Zum Inhalt springen

Datenschutz oder "Neugestaltung des Verfahrens Amtliche Schuldaten"?

Stellungnahme zum Gesetzentwurf der Staatsregierung zur Änderung des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) (KMS II.2-5S 1070.2-1/8387 vom 13.2.2008)

Der u.a. der GEW übersandte Gesetzentwurf nebst dem „Entwurf einer Verordnung zur Ausführung des Art. 113 a des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen“ stößt in der politischen Öffentlichkeit auf breite und fundamentale Kritik, der sich auch die GEW anschließt.

Jede Sammlung von Daten im Schulbereich, egal ob sie der Optimierung von Schulbetrieb und Bildungsplanung oder der vergleichenden Bildungsstatistik dient, hat sich zu bewähren vor den dazu vom Bundesverfassungsgericht ergangenen Grundsätzen:

Aus dem allgemeinen Persönlichkeitsrecht folgt das Recht des Einzelnen, grundsätzlich selbst zu entscheiden, wann und in welchem Umfang andere von seinen persönlichen Lebenssachverhalten erfahren (sog. „informationelle Selbstbestimmung“).

Diese Befugnis bedarf unter den Bedingungen der automatisierten Datenverarbeitung eines besonderen Schutzes. Das beruht vor allem darauf, dass rein technisch gesehen Informationen unbegrenzt speicherbar sind und dass der Zugriff jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle möglich ist. Ferner ist es möglich, mehrere Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammenzufügen, ohne dass der Betroffene dessen Richtigkeit und Verwendung hinreichend kontrollieren kann. Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in seiner Umgebung bekannt sind, kann in der Freiheit, aus eigener Selbstbestimmung zu planen und zu entscheiden, erheblich gehemmt werden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Das Recht auf informationelle Selbstbestimmung gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Wegen der Verarbeitungs- und Verknüpfungsmöglichkeiten der modernen Informationstechnologie gibt es kein „belangloses“ Datum mehr. Durch die Verarbeitung und Verknüpfung kann ein für sich gesehen belangloses Datum einen neuen Stellenwert erhalten. Ob ein Datum sensibel ist, lässt sich daher nur entscheiden, wenn man seinen Verwendungszusammenhang kennt.

(Urteil vom 15. Dezember 1983 – 1 BvR 209)

 

Bei der 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26. − 27. Oktober 2006 in Naumburg wurde eine Entschließung verabschiedet, die datenschutzrechtliche Anforderungen an den  Umfang des Erhebungsprogramms für die Statistikzwecke festlegen:

  • Bei allen Festlegungen sind die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit zu beachten.
  • Bei der Datenverarbeitung ist das Gebot der personellen, organisatorischen, räumlichen und verfahrensmäßigen Trennung von Verwaltungsvollzug und Statistik einzuhalten und das Statistikgeheimnis zu gewährleisten.

Vor diesem Hintergrund also sind die Änderungen des BayEUG und die Ausführungsverordnung zu betrachten.

Die Durchsicht der übersandten Entwürfe hat ergeben, dass die aufgeführten Datenschutz-Kriterien in fundamentaler Weise verletzt werden, dass also die Grundsätze

  • der Erforderlichkeit,
  • der Verhältnismäßigkeit und
  • der Trennung von Verwaltungsvollzug und Statistik

beim Verfassen der Entwürfe auf der Strecke geblieben sind.

Daneben gibt es noch weitere Kritikpunkte der GEW, die wir im folgenden stichpunktartig und unsystematisch ansprechen.

„Erforderlichkeit“ und „Verhältnismäßigkeit“:

"Die operative Datenbank dient drei Zwecken:

a) Unterstützung schulübergreifender Prozesse (insbesondere Schulwechsel, Kooperation von Schulen, Überwachung der Schulpflicht),

b) Unterstützung von Dienstaufgaben der Schulaufsichtsbehörden (z.B. Unterrichtsplanung, Lehrerzuweisung und Schulfinanzierung),

c) Schaffung der Datengrundlage für die Auswertungsdatenbank (technische Speicherung)."

Zu a):

Dieser Zweck ist nachvollziehbar.

Hier ist lediglich sicher zu stellen, dass die Daten nur für diesen Zweck genutzt werden können.

Zu b):

Es ist nicht erkennbar, warum zur Erfüllung dieses Zwecks personenbezogene Daten notwendig sein sollen.

Dies sind reine Verwaltungs- und Planungsaufgaben, die sich mit anonymisierten Daten und vielleicht in wenigen Ausnahmen mit pseudonymisierten Daten genauso gut erfüllen lassen würden.

Hier wurde nicht das mildeste Mittel zur Erfüllung des Zwecks gewählt.

Bildungsverlauf, pseudonymisiert:

In der Begründung zur Gesetzesänderung wird darauf eingegangen, dass Stichproben teuer sind, die tatsächliche Entwicklung nicht abbilden würden und daher kein milderes Mittel gegenüber einer Vollerfassung darstellen.

Allerdings ist der Zweck der Vollerfassung nicht wirklich benannt.

Wenn es darum geht die schul- und bildungspolitische Planungen zu verbessern, ist es doch sinnvoller, zunächst die Erkenntnisse, die heute bereits vorliegen umzusetzen.

Ein teures Riesenprojekt ohne konkrete Zielsetzung erfüllt der Zweck einer guten Bildungspolitik jedenfalls nicht.

Hier stellt sich auch die Frage der Verhältnismäßigkeit.

Wenn für die bundesweite Volkszählung stichpunkteartige Untersuchungen und Befragungen ausreichen, ist es nicht nachvollziehbar, warum dies für Statistiken zur Bildungspolitik nicht genügt.

„Trennung von Verwaltungsvollzug und Statistik“:

Die operative Datenbank stellt den eigentlich problematischen Teil des Systems dar.

Es werden Daten, die zu unterschiedlichen Zwecken erhoben werden, in eine Datenbank zusammengeführt.

Diese Maßnahme geht weit über das hinaus, was eigentlich der Zweck des ganzen Verfahrens sein soll, und verstößt damit gegen datenschutzrechtliche Grundsätze zur Datentrennung, Datensparsamkeit und Zweckbindung.

Gesetzesvorrang?

Bemerkenswert ist Abs. 4, der die „näheren Einzelheiten“ des Verfahrens durch Rechtsvorschriften des KM regeln lässt, insbesondere „den Auftrag, die beauftragte Stelle, die Zugriffsrechte, den Vorgang der Pseudonymisierung und die zu verarbeitenden Daten betreffend“.

Genau die unter Datenschutz-Gesichtspunkten wichtigsten Fragen sollen also dem Gesetzgeber aus der Hand und der Verwaltung in die Hand gegeben werden.

Zusammenfassend ist dazu festzuhalten:

Nirgendwo im Gesetzentwurf und in der Begründung wird klar benannt, wozu eine SchülerID  und eine LehrerID wirklich erforderlich sind.

Die Daten liegen teilweise in Datenbanken vor und können entsprechend dem Zweck dieser Datenbanken angefordert werden.

Es wurde auch keine Begründung geliefert, warum persönliche Daten von Schülern und Lehrern in einer Datenbank liegen müssten.

Regelmäßige Abfragen beim Einwohnermeldeamt, nach der schulpflichtigen Wohnbevölkerung, dürften genauso ausreichen; es ist nicht notwendig, hier Daten des Einwohnermeldeamtes in die operative Datenbank des Staatsministeriums für Unterricht zu überführen.

 

Durch die Gesetzesänderung werden alle Beteiligten im Bildungsprozess darauf verpflichtet, den Schulen persönliche und zum Teil sensible Daten herauszugeben.

Diese Daten werden in den Schulen zusammengeführt.

Im Rechenzentrum, in der operativen Datenbank werden diese Daten anonymisiert und zum Teil pseudonymisiert.

Aber: „Pseudonymisieren“ heißt auch, dass die Daten zurückgeführt werden können.

Der Aufwand ist zwar nicht gering, aber möglich.

Eine Verknüpfung dieser Daten, eine Verwendung für andere Zwecke als sie bestimmt sind, ist damit immer möglich. Sicherer für den einzelnen wäre das Anonymisieren der Daten. Hier ist es fast unmöglich, die Daten zurückzuführen.

Die im Gesetzentwurf und in der Begründung dazu benannten Zwecke können zum Teil mit milderen Mitteln erreicht werden, etwa so: Nur die Daten, die nicht bereits in zentralen Datenbanken vorliegen, kommen in die neue Datenbank. Diese enthält nur die personenbezogenen Daten, die für Planung und Statistik erforderlich sind. Die Daten liegen, soweit möglich, in anonymisierter Form vor.

Die Datenschutzgrundsätze der Zweckbindung der Daten und der Datentrennung sind gefährdet.

Die Gründe für die Notwendigkeit für den Zusammenhang der "operativen Datenbank" mit der "Auswertungsdatenbank" (Punkt 2.4 in der Begründung für den Gesetzentwurf) sind nicht stichhaltig

Fast alle Beteiligten in diesem Verfahren dürfen nur auf Grund ihrer Aufgaben auf diese Daten zugreifen.

Es gibt in diesem Gesetzentwurf jedoch nur wenig klaren Grenzen für diese Aufgaben. Dies bedeutet, mit einem zusätzlichen Gesetz können die Aufgaben einzelner Beteiligter durchaus erweitert werden.

Nirgendwo ist ein Auskunftsrecht geregelt, dass dem einzelnen die Möglichkeit gibt, Einsicht in die über ihn gespeicherten und zusammengeführten Daten zu nehmen.

Nirgendwo gibt es die Möglichkeit, auf seine eigenen Daten Einfluss zu nehmen (löschen, sperren, berichtigen, Gegendarstellung).

Löschungsfristen:

In der Planung und Begründung des Gesetzentwurfs sind zwar Löschfristen vorgesehen, nicht jedoch im eigentlichen Entwurf.

Nach der Begründung sollen die personenbezogenen Daten von Lehrkräften erst 6 Jahre, nachdem sie aus dem Dienst ausgeschieden sind, gelöscht werden.

Daten der Personalakten sind nach Art. 100g BayBG jedoch bereits nach 5 Jahren zu löschen; damit wird diese Frist automatisch verlängert.

In dem Gesetzentwurf werden die 6 Jahre mit 'Erfahrungswerten' begründet. Diese sind jedoch nicht nachvollziehbar.

Folgerungen für die Schulen

Die Schulen werden zur Nutzung des ASV verpflichtet und eine Verpflichtung zur Auskunftserteilung wird erlassen.

Die Schulen bleiben weiter Verantwortliche im Sinne des BayDSG und sind zur Plausibilitätsprüfung verpflichtet.

Es gibt keine Regelung dazu, wann welche Daten zu löschen sind.

Es fehlt eine Regelung, wer die Personen, die Zugriff haben sollen, autorisiert.

Es gibt keine Regelung, wer Datenschutz und Datensicherung kontrolliert.

(AusführungsVO zu Art. 113a)

Gerade bei der immer wieder zitierten Gruppe „Schüler/innen mit Migrationshintergrund“ wird das dringend notwendige Vertrauen zu Schule und Lehrkräften abgebaut, wird Misstrauen aufgebaut.

Kosten

In der Einleitung zur Gesetzesänderung wird von der Annahme ausgegangen, dass auf Staat, Kommunen, Schulen und Bürger auf Dauer gesehen keine weiteren Kosten entstehen.

Diese Annahme ist unrealistisch. Es werden auch über die Anfangszeit hinaus hohe Kosten für Technik, zusätzliches Personal, Qualifizierung des Personals und Datensicherung anfallen.

Bedenkt man, dass die Schulen für die Aufnahme und Verifizierung der Daten zuständig sind, so sind auch hier Investitionen erforderlich, damit datenschutzrechtliche Anforderungen erfüllt werden können.

 

Die Defizite der Entwürfe in datenschutzrechtlicher Hinsicht und die zu erwartenden negativen Auswirkungen auf das Arbeits- und Lernklima in den Schulen sind so gravierend und fundamental, dass sich die Vermutung aufdrängt, sie würden von den Autoren der Entwürfe und damit von der Staatsregierung billigend in Kauf genommen. Angesichts der durch die Entwürfe angedrohten Totalerhebung aller Schülerdaten (und Lehrerdaten) mit zentralem Speicherort verzichtet die GEW deswegen auf einzelne Änderungsvorschläge, da diese allenfalls kosmetische Verbesserungen erbringen könnten, solange es keine grundsätzliche Umkehr der Tendenz in den Entwürfen gibt, deren Quintessenz lautet: „Keine Übermittlung von personenbezogenen Daten an eine zentrale Datenbank!“