Datenschutz in der VS
Am kommenden Freitag, den 21. Mai findet – im Rahmen der Gremienschulungen – von 16 bis 18 Uhr eine Online-Datenschutzschulung für Interessierte aus Fachschaften, Referaten etc. und auch Hochschulgruppen statt. Worum es dabei geht? Hier ein Einblick! Auch wenn sich die Veranstaltung von den Beispielen her primär an Fachschaften richtet, sind alle an der Thematik interessierten angesprochen.
Datensammeln – wozu und warum?
Aktuell werden allüberall COVID-19 Kontaktdatenlisten angefertigt. Auch Räumlichkeiten der Verfassten Studierendenschaft (VS) wie im StuRa-Büro oder in Fachschaftsräumen werden diese Daten für eine etwaige Kontaktpersonenverfolgung gesammelt. Nach vier Wochen werden sie wieder vernichtet – und landen hoffentlich nicht im Papierkorb…
Im StuRa-Büro kommen aber hin und wieder auch Listen mit personenbezogenen Daten an, deren Zweck unklar ist. So werden z.B. mit manchen Abrechnungen von Ersti-Einführungen auch Anwesenheitslisten abgegeben. Diese Listen sind aber für Abrechnungen überhaupt nicht nötig. Ganz im Gegenteil: Sie müssen mit besonderer Sorgfalt verwaltet und vernichtet werden!
Auch aus diesem Grunde haben wir im Folgenden ein paar Worte zum Datenschutz gesammelt, die euch in der Fachschaft als Leitplanken dienen können, was ihr so an Daten erhebt und womöglich sogar in Excel-Listen, Datenbanken und Notizbüchern verwaltet.
Das Ganze ist indes nicht (nur) eine bürokratische Spielerei paranoider Nerds. Im immer noch ausgesprochen lesenswerten Volkszählungsurteil von 1983 hat das Bundesverfassungsgericht einst ausgeführt:
“[Nutzbarkeit und Verwendungsmöglichkeit von Daten] hängen einerseits von dem Zweck, dem die Erhebung dient, und andererseits von den der Informationstechnologie eigenen Verarbeitungs- und Verknüpfungsmöglichkeiten ab. Dadurch kann ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatischen Datenverarbeitung kein ‘belangloses’ Datum mehr.”
Daraus folgt vor allem eines: Spart Daten!
Datensparsamkeit
Daraus ergibt sich insbesondere das Prinzip der Datensparsamkeit: Um Daten, die gar nicht erst erhoben und gespeichert werden, müssen weder ihr noch wir uns Sorgen machen. Datensparsamkeit heißt konkret, dass jede Datenerhebung und -verarbeitung einen definierten Zweck hat. Am Beispiel der Anwesenheitslisten könnten das der “Tätigkeitsnachweis” respektive der “Nachweis der zweckgemäßen Verwendung der Mittel” sein. Dieser Zweck darf sich in der Regel auch nicht im Nachhinein ändern (“Zweckbindung”), und natürlich müssen die Betroffenen auch wissen, dass, warum und welche Daten gespeichert oder archiviert werden (“Transparenz”). Tatsächlich müsstet ihr (ohne andere Rechtsgrundlage) auch noch die Einwilligung der Betroffenen einholen. Solange sie sich selbst eintragen, könnte man zwar noch von einer impliziten (“konkludenten”) Einwilligung ausgehen –das ist jedoch schon sehr im Graubereich und daher nicht gerade empfehlenswert.
Hat man den Zweck definiert, sind noch folgende drei Kriterien zu prüfen (was übrigens, sollte etwas schiefgehen, auch ein Gericht machen würde):
» № 1: Eignung
Die erfassten Daten müssen überhaupt dem angegebenen Zweck dienen können. Wenn ihr z.B. in euren Anwesenheitslisten Geburtsorte erfragen würdet, so ist kaum vorstellbar, wie diese den beiden oben definierten Zwecken dienlich sein könnten. Zur Not wäre vorstellbar, Herkunftsländer zu erfragen, *wenn* geschwind ein neuer Zweck (“Abschätzung der Inklusivität” etwa) definiert werden würde.
» № 2: Notwendigkeit
Ohne die Erfassung der Daten lässt sich der Zweck nicht erreichen. Im Beispiel der Anwesenheitslisten mag die Zahl der Teilnehmer*innen für einen Tätigkeitsnachweis hilfreich sein. Realistisch betrachtet hilft es jedoch weitaus mehr, eine Art Ergebnisprotokoll zu haben mit Kurzbeschreibungen, was ihr so alles gemacht habt (zumal vielleicht Ideen dabei sind, die andere Fachschaften aufgreifen können).
Die konkreten Personen sind dabei aber egal. Beim Nachweis der bestimmungsgemäßen Mittelverwendung könnte eine Erfassung von Namen hilfreich sein, etwa, wenn die Verwaltung vermutet, dass ihr irgendwelche Namen reingeschrieben habt und sie auf die Idee kommt, die Personen mit ihrer Studi-Datenbank abzugleichen; ihr ahnt aber vielleicht schon, wie schnell aus unbedacht gespeicherten Daten plötzlich Bomben werden können (“dieser Mensch aus Syrien war ja noch nicht mal bei der Ersti-Einführung; bestimmt ist der nur ein Schein-Studi”). Wenn ihr außerdem den Inklusivitäts-Zweck verfolgt, so wäre lediglich eine summarische Erfassung der Herkunftsländer ausreichend, nicht aber eine Korrelation mit den konkreten Personen.
» № 3: Angemessenheit
Der durch die Erfassung der Daten bedingte Eingriff in die Persönlichkeitsrechte muss dem Zweck angemessen sein. Im Fall der Anwesenheitslisten haben wir nach der Notwendigkeitsabschätzung ohnehin nur noch die Frage der bestimmungsgemäßen Mittelverwendung als Zweck. Wie oben angedeutet, können die Anwesenheitslisten ziemlich üble Konsequenzen haben. Demgegenüber ist die Möglichkeit des Nachweises, dass etwas zu viel eingekauft wurde, ein recht bescheidener Nutzen. Es geht ja in der Regel um keine großen Summen. (Sollten Fachschaften systematisch Geld missbrauchen, würde das auch auf andere Weise rauskommen.)
Also: Spart Daten!
Wir haben das jetzt an einem Beispiel durchexerziert, aber diese Systematik könnt ihr grundsätzlich auf alle personenbezogenen Daten anwenden. Und das solltet ihr auch tun! Vor allem aus Respekt gegenüber den Rechten der Leute, mit deren Daten ihr hantiert. Aber auch, weil bei EDV immer mal was kaputt/schief gehen und die Daten öffentlich werden können. Und dann wird es richtig peinlich… bis hin zu strafrechtlichen Maßnahmen gegen die Personen, die den Datenschutzmurks zu verantworten haben. Das würden im Zweifelsfall die Vertreter*innen der VS sein, und mit der neuen EU-Datenschutzgrundverordnung könnte das echt teuer werden.
Insofern: Spart Daten!
Ihr wollt noch mehr wissen? Kommt zu unserer virtuellen Datenschutzschulung!
→ Freitag, 21. Mai, ab 16:00 Uhr:
Datenschutz-Schulung per Videokonferenz
[https://bbb.stura.uni-heidelberg.de/datenschutzschulung]
Fragen, um die es unter anderem gehen wird:
- Darf ich Mails an die Mitglieder meiner Fachschaft oder Hochschulgruppe versenden, um auf die Vollversammlung/Mitgliederversammlung hinzuweisen?
- Welche persönlichen Daten dürfen in Protokollen stehen?
- Kann ich als Mitglied einer Berufungskommission in einer anderen Sitzung über einzelne Kandidat*innen sprechen?
Solltet ihr an diesem Termin keine Zeit oder irgendwann später einmal Fragen haben: Meldet euch bei den Datenschutzbeauftragten der Verfassten Studierendenschaft!
Kommentarbereich geschlossen.