Schwerpunkt

1/2018 - Educational Data Mining und Learning Analytics

Informationelle Selbstbestimmung im Bildungsbereich

AutorIn: Sebastian Elisa Pfeifer

Wie kann mit personenbezogenen Daten in der Bildung umgegangen werden, ohne Datenschutzverletzungen zu begehen? Ein Interview von Petra Missomelius mit dem Experten Sebastian Pfeifer vom Verein Cyber Perikarp ...

Abstract

Datenschutz sollte – so die ab Mai 2018 anzuwendende EU-Datenschutz-Grundverordnung (DSG-VO) – in allen Prozessen, in denen mit personenbezogenen Daten umgegangen wird, gewährleistet sein. Wie sieht dies im Bildungsbereich aus? Der Beitrag zeigt auf, wie durch Auskunftsbegehren Klarheit über die vorliegenden Daten bei einer Institution gewonnen werden kann, aber auch in welchem Zwiespalt sich der Umgang mit Daten zwischen Persönlichkeitsschutz und Staatsschutz derzeit bewegt.


I. Was ist ein Datenauskunftsbegehren?

In Österreich gibt es zumindest theoretisch ein verfassungsrechtlich geregeltes Grundrecht auf Datenschutz. Dieses Recht wurde schon mehrmals untergraben, zuletzt durch das sogenannte Staatsschutzgesetz und davor durch Gesetze wie die (vom europäischen Gerichtshof für rechtswidrig erklärte) Vorratsdatenspeicherung. Ein Teil dieses Grundrechts ist es, dass jede Person das Recht hat, zu erfahren, welche Daten über sie verarbeitet und an wen diese Daten weitergegeben werden. Das geschieht mit einem sogenannten Datenauskunftsbegehren. Einfach gesagt ist das der Brief bzw. das Fax, mit dem Du die Auskunft verlangst. Das kannst Du ein mal im Jahr pro "Gegenstelle" machen. Die Auskunft muss gratis, schriftlich, allgemein verständlich und innerhalb von acht Wochen erteilt werden. Im Fall von falschen Datensätzen hast du das Recht diese Ändern zu lassen.

Du hast allerdings auch die Pflicht am Datenauskunftsbegehren mitzuwirken und deine Identität nachzuweisen. Die am häufigsten gewählten Wege, das zu tun, sind zusätzliche Informationen (wie z. B. Deine Kundennummer, KFZ-Kennzeichen, eventuelle frühere akademischen Grade und Namen etc.) anzugeben, sowie eine Kopie eines amtlichen Lichtbildausweises beizulegen. Manchmal kommt es vor, dass von Dir weitere Mitwirkung verlangt wird, aber dann wird Dir auch genau gesagt was du tun musst. Wenn Du Deine Auskunft nicht innerhalb von acht Wochen oder unvollständig erhältst, hast du das Recht eine Beschwerde bei der Datenschutzbehörde zu erheben oder alternativ eine Klage einzureichen.

Unter bestimmten Bedingungen (geregelt in § 26 (2) DSG 2000) kann die Auskunft verweigert werden. In diesem Fall bekommst Du einen Hinweis, dass zu Deiner Person "keine der Auskunftspflicht unterliegenden Daten vorhanden sind". Auch das muss innerhalb dieser acht Wochen passieren. Die Auskunft muss die verarbeiteten Daten (also wirklich die Inhalte der Datensätze – für den Datensatz /Vorname/ muss es daher lauten "Vorname: Sebastian". Einfach nur "Wir verarbeiten Ihren Namen, Ihre Adresse, ..." reicht nicht!), die Herkunft dieser Daten und an wen sie übermittelt wurden sowie die Dienstleister enthalten. Weiters ist die Rechtsgrundlage, auf welcher die Daten erhoben, gespeichert und weitergegeben wurden, und Zweck der Datenwendung bekannt zu geben.

Die Auskunft muss in allgemein verständlicher Form erteilt werden – also keine unverständlichen Aufzählungen von irgendwelchen Abkürzungen.

Negativbeispiele:


Abb. 1


Abb. 2

Verlange niemals Auskunft und Löschung Deiner Daten gleichzeitig! Nach Einlangen Deines Auskunftsbegehrens tritt eine viermonatige Sperre in Kraft, in denen der Datenverarbeiter Deine Daten nicht löschen darf. Das dient zur Erhaltung der Daten, falls Du Beschwerde bei der Datenschutzbehörde einreichst.

Weitere Informationen zu Datenauskunftsbegehren sind in Kürze hier zu finden: https://www.auskunftsbegehren.at.

 

II. Was ist Deine Motivation, Dich mit Datenauskunftsbegehren zu beschäftigen?

Jeder Mensch hat etwas zu verbergen. Du läufst ja auch nicht nackt durch die Straßen und erzählst allen welche Pornos du gerne siehst, dass Du Streit mit Deinen Eltern hast und sich Deine Hämorrhoiden wieder verschlimmert haben. Datensammlung ist allgegenwärtig, den Leuten fehlt das Bewusstsein, wer Daten von ihnen sammelt bzw. wie Daten über sie verwertet werden. In Deutschland wurden sehr lange sogenannte Rosa Listen geführt. Ihr Inhalt: Vermeintlich homosexuelle Männer. Amsterdam hatte schon immer umfassende Daten über die Demografie seiner Einwohner. Und dann kam die Gestapo.

Der Staat wird mit immer umfassenderen Überwachungsmöglichkeiten ausgestattet, um gegen eventuelle GefährderInnen vorzugehen. Das Staatsschutzgesetz und das laut FPÖ- Innenminister Kickl "rasch umzusetzende" Sicherheitspaket sind nur die letzten Auswüchse dieses Trends. (https://derstandard.at/2000070592129/Regierung-will-mehr- ueberwachen-Kritiker-warnen-vor-Polizeistaat). Das wird uns alle treffen, es gibt wieder den Begriff der "GefährderIn" – das sind Menschen, denen weder eine Straftat vorgeworfen wird, noch sind sie verdächtigt eine zu begehen. Und obwohl gegen sie nichts vorliegt, sollen diese Menschen in ihrer Bewegungsfreiheit und elektronischen Kommunikation eingeschränkt werden.

Je mehr Leute Datenauskunftsbegehren stellen, um so grösser wird das Interesse an Datenschutz und das Bewusstsein für Überwachung wächst. Vielleicht halten sich die Behörden auch etwas zurück, wenn sie das Gefühl haben, dass ihnen jemand auf die Finger sieht.

III. Wie stellt sich die Situation derzeit hinsichtlich der Verfügbarkeit persönlicher Daten dar?

Es gibt bei uns Hackerethik-bedachten Systemadministratoren den Grundsatz "Sammle nur so wenige Daten, wie du musst. Überlege Dir bei allem was du speicherst, was wäre, wenn wieder eine totalitäre Regierung an die Macht kommt?"

Wir generieren immer Daten. Jede Zahlung mit deiner Bankomatkarte, jedes Telefonat, jede Messenger Nachricht, jede E-Mail und jede Webseite, die du ansurfst. Man muss nicht einmal die Inhalte speichern, um detaillierte Profile über Menschen erstellen zu können, allein die sogenannten Metadaten reichen aus. Metadaten, das sind die Daten, die durch die Übermittlung von Daten in Informationssystemen anfallen. Bei einem Telefonat sind das z. B. die Telefonnummern der GesprächspartnerInnen und die Dauer des Anrufes, bei einer E-Mail Absender und Empfänger, Zeitpunkt der Übermittlung und der Betreff usw. Lebst du im 'falschen' Land können Metadaten dazu führen, dass du ermordet wirst (https://www.heise.de/newsticker/meldung/Ex-NSA-Chef-Wir-toeten-auf-Basis-von-Metadaten-2187510.html).

Wie gesagt reichen bereits Metadaten aus, um detaillierte Personenprofile über jeden Menschen zu erstellen (https://netzpolitik.org/2014/metadaten-wie-dein-unschuldiges-smartphone-fast-dein-ganzes-leben-an-den-geheimdienst-uebermittelt/). Natürlich ist nicht nur die staatliche, sondern auch die private Datensammlung ein großes Problem. Heute kaufst du auf Amazon ein Buch "Raus aus den Schulden" für deinen besten Freund. Morgen versuchst du einen neuen Handyvertrag abzuschließen, aber die Software lehnt dich ab. Du bist nicht mehr kreditwürdig, weil irgendwo im Hintergrund eine Software "Big Data" macht und alle über dich gesammelten Daten verknüpft.

Staatliche Überwacher haben darüberhinaus auch Zugriff auf alle Inhaltsdaten. Texte der E-Mails, der Telefonate, der SMS. Mit dem geplanten Staatstrojaner haben sie auch Zugriff auf Nachrichten von Ende-zu-Ende verschlüsselten Diensten wie Whatsapp oder Signal. Oder auf Deine Webcam. Oder Dein Mikrofon. Oder alle Deine Passwörter. Von all dem wirst Du nichts merken. Du wirst in der ständigen Ungewissheit leben, ob das was du gerade sagst, privat bleibt oder nicht. Du wirst nicht wissen, ob Dein gerade versendetes Nacktfoto nur vom Empfänger gesehen wird, für immer ungesehen auf einem Datenträger eines Geheimdienstes landet oder vielleicht dort durch viele Hände gereicht wird. Die neue österreichische Regierung plant außer dem Staatstrojaner noch viele weitere Maßnahmen, die unser Grundrecht auf Datenschutz unterwandern. Gesichtserkennung auf öffentlichen Plätzen, die stärkere Vernetzung von personenbezogenen Daten, die Unterwanderung von EU-Richtlinien wie der Datenschutz-Grundverordnung oder der Netzneutralitätsregelungen. Der Staat soll zum ungehemmten Datensammler aufsteigen. Wie genau die Umsetzung erfolgt, werden wir – dank des in Österreich noch immer bestehenden Amtsgeheimnisses – nicht erfahren.

IV. Was könnte das für den Bildungsbereich bedeuten?

Wir befinden uns den Großteil unserer jungen Jahre an Bildungseinrichtungen verschiedener Art. Dadurch generieren wir Berge an Daten. Im Moment gibt es das Bildungsdokumentationsgesetz, das durch die Regierung Kurz I ausgeweitert werden soll auf eine "durchgehende Bildungs- und Leistungsdokumentation für jede Schülerin und jeden Schüler". Jede erbrachte oder nicht erbrachte Leistung, jede Abweichung von Leistungszielen und jede Verhaltensauffälligkeit werden damit künftig aufgezeichnet. Schon jetzt werden umfassend Daten über Schüler gesammelt (§ 3. (1) Bildungsdokumentationsgesetz), was auch sensible und besonders schutzwürdige Daten wie die Sozialversicherungsnummer (https://www.ots.at/presseaussendung/OTS_20100310_OTS0321/bildungsdokumentation- sozialversicherungsnummer-bleibt-vorerst-zahlreiche-antraege-dem-unterrichts- unterausschuss-zugewiesen), das Religionsbekenntnis und eventuellen sonderpädagogischen Förderbedarf umfasst.

Ein Eintrag eines Schülers in der Schulverwaltung einer Schule sieht typischerweise in etwa so aus:


Abb. 3


Für jede Schülerin und jeden Schüler wird weiters ein Stammdatenblatt geführt:


Abb. 4


An manchen Schulen erfolgt die Erfassung dieser Daten ohne die Hilfe von Computersystemen:


Abb. 5

V. Was sollten Lehrkräfte und SchülerInnen/Studierende/Lehrlinge wissen?

Je mehr Daten gespeichert werden, umso mehr Daten können missbraucht werden. Harmlose Daten gibt es nicht. Niemand weiß, wie sich die Gesellschaft in der Zukunft entwickelt, welche Regierungen an der Macht sein werden. Vielleicht wird es in Zukunft verboten sein, jemals Rock-Musik gehört zu haben? Plötzlich wird jedes Like auf Deinem Facebook Profil und jedes Lied in deiner Spotify-Playlist ein Problem für Dich. Ich will jetzt nicht sagen, dass wir unser Verhalten an die Überwachung anpassen sollen (eher das Gegenteil), aber wir müssen uns ihrer bewusst sein. Wir müssen uns bewusst sein, dass Daten über uns anfallen, gespeichert, verarbeitet, verknüpft und verkauft werden.

VI. Wie schätzt du die Nutzung proprietärer Software (z. B. Microsoft-Verträge des bmb) ein?

Um heise zu zitieren: "Katastrophe" (https://www.heise.de/ix/meldung/Kommentar-LiMux-Aus-ist-schade-aber-kaum-ueberraschend-3629493.html). Und das nicht nur aus Datenschutzsicht. Wir verschwenden Millionen an Steuergeld für Softwarelizenzen, wo es auch völlig gratis zu benutzende Alternativen gäbe. Dass Behörden Microsoft Office verwenden, zwingt im weiteren Sinn jeden Privatbürger, ebenfalls Windows und MS Office zu erwerben, da Microsofts Dokumentformat nicht offen ist und von LibreOffice und anderen alternativen Officeprogrammen darum nicht vollständig unterstützt werden kann. Inzwischen unterstützt Microsoft rudimentär das OpenDocument Format (ODF), speichert aber standardmäßig nicht damit. ODF ist das Standardformat von LibreOffice und wird von vielen Textverarbeitungsprogrammen unterstützt. Das TAC der EU, die NATO, die Verwaltung Großbritanniens sowie viele Organisationen und Unternehmen der Privatwirtschaft empfehlen oder schreiben die Verwendung von ODF als Standardformat zum Austausch von Dokumenten vor.

In Zukunft müssen wir sehr genau aufpassen, was wir in vermeintlich privaten Kommunikationskanälen sagen. Wir werden uns mehr mit den technischen Möglichkeiten der Überwacher, als auch mit unseren Optionen, unsere Privatsphäre zu wahren, auseinandersetzen müssen. Selbst wenn Dir Deine Privatsphäre völlig egal ist, sollte das ein Thema für Dich sein, wenn Dir Deine Zeit etwas wert ist. Ist Dein Handy zufällig zur falschen Zeit am falschen Ort, kann es sein, dass Du in den nächsten Tagen Besuch von der Polizei bekommst. (https://netzpolitik.org/2014/funkzellenabfrage-in-muenchen-polizei-rasterte-an-einem-tag-eine-halbe-million-handy-daten-von-70-000-menschen/) Vielleicht giltst Du dann ja auch schon als GefährderIn und Dein nächster Auslandsurlaub fällt ins Wasser.

VII. Was empfiehlst du Bildungsinstitutionen?

  • offene Standards,
  • offene Software, und
  • das Prinzip der Datensparsamkeit

VIII. Und zum Schluß: Kann man Bildung durch Big Data Analytics verbessern?

Wie fast alles bietet Big Data Analytics Vor- und Nachteile. In einem entsprechend flexiblen Bildungssystem, wo auf Stärken und Schwächen der SchülerInnen eingegangen wird, wäre das eine begrüßenswerte Idee. Davon abgesehen, dass wir kein solches System haben, gilt auch hier der Grundsatz, dass Daten die vorhanden sind auch missbraucht werden können. Das muss nicht gleich die oben erwähnte Gestapo sein, es reicht schon ein einzelner Beamter, der Interesse an diesen Daten hat. Und das passiert offenbar, wie man hier nachlesen kann: https://diepresse.com/home/panorama/oesterreich/543599/Amtsmissbrauch_Steirischer-Polizist-verurteilt.

Vielen Dank für das Interview!

Tags

bildungsdaten, datenauskunftsbegehren, data, datenschutz, selbstbestimmung, überwachung, staatsschutz