Datenschutz-Folgenabschätzung durchführen

Lesezeit: 10 Minuten

Bisher hatten Schulen mit dem Thema Datenschutz-Folgenabschätzung (DSFA) eher nichts zu tun. Mit der zunehmenden Nutzung von digitalen Medien und dabei vor allem Online-Plattformen wird sich dieses für Schulen vermutlich ändern.

Worum geht es bei einer DSFA?

Wie der Name vermuten lässt, geht es um die Abschätzung der möglichen Folgen einer Verarbeitung von personenbezogenen Daten. Der Fokus liegt dabei jedoch nicht auf dem, der diese Daten verarbeitet, sondern auf den Betroffenen. Folgen meint hier die Auswirkung auf die Rechte und Freiheiten der betroffenen Personen. Die DSFA “kann als ein Instrument verstanden werden, durch welches das durch die Verarbeitung personenbezogener Daten verursachte Risiko für die Rechten und Interessen der betroffenen Person erkannt und bewertet wird.1Karg in Simitis, Hornung, Spieker Art. 35 Rn 9, Datenschutzrecht Ziel ist dabei, dass daraus abgeleitet wirksame Schutzmaßnahmen ergriffen werden, um die Risiken zu minimieren.

“Die Datenschutz-Folgenabschätzung ist somit eine umfassende technische, organisatorische und rechtliche Überprüfung und Bewertung der Verfahren und Grundlage für die daraufhin zu ergreifenden Risikominimierungsmaßnahmen”2Karg in Simitis, Hornung, Spieker Art. 35 Rn 12, Datenschutzrecht

In nicht deutschsprachigen europäischen Ländern wird für DSFA unter anderem der Begriff Privacy-Impact Assessment (PIA) verwendet. Beachten sollte man dabei, dass es diese Begrifflichkeit auch außerhalb der EU gibt. Im anglo-amerikanischen Sprachraum wird damit ein der DSFA ähnliches Verfahren bezeichnet, für das es auch Beispiele im Bildungsbereich gibt. Nach Einschätzung von Autoren wie Karg3in Simitis, Hornung, Spieker Art. 35 Rn 10, Datenschutzrecht sind beide jedoch kaum vergleichbar, da beim PIA die Thematik vor allem aus der technischen und organisatorischen Perspektive betrachtet wird, während die DSFA einen vorrangig rechtlich orientierten Abwägungsprozess definiert. Trotzdem kann man dort für eine DSFA zu großen US Plattformen wie Office 365 und Google Workspace for Education nützliche Informationen finden.

Wann ist eine DSFA erforderlich?

Nicht jede Datenverarbeitung stellt automatisch ein Risiko für die Rechte und Freiheiten der Betroffenen im Sinne von Art. 35 dar. Die Erfordernis für eine DSFA ergibt sich nur dann, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt4siehe dazu auch Jandt in Kühling, Buchner Art. 35 Rn. 7. Drei verschiedene Beispiele werden in Art. 35 Abs. 3 genannt, bei denen man von einem voraussichtlich hohen Risiko ausgehen muss. Auf Schule bezogen kann man diese wie folgt beschreiben.

Bewertung persönlicher Aspekte der Betroffenen

Es findet eine systematische und umfassende Bewertung von persönlichen Aspekten von Schülern, Lehrern und Eltern auf der Grundlage von automatisierten Entscheidungen oder der Bildung von Profilen statt, die ihrerseits die Grundlage für Entscheidungen über die Personen dienen, und eine Rechtswirkung haben oder zu vergleichbaren Folgen führen können. Beispiele dafür könnten Programme sein, welche auf der Grundlage von dort eingetragenen Informationen zur Leistung und zum Verhalten von Schülern automatisiert eine Einteilung in ein Kurssystem vornehmen oder eine Schulempfehlung abgeben und darüber hinaus auch noch eine Bewertung der Lehrkräfte für eine Gehaltseinstufung abgeben. Eine Lernplattform, die mittels Learning Analytics Förderprofile erstellen soll, wäre ebenfalls ein Beispiel.

Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten

Schulverwaltungsprogramme verarbeiten besondere Kategorien von personenbezogenen Daten entsprechend Art. 9 DS-GVO. Dazu gehören Angaben zur ethnischen Herkunft, zu religiösen Überzeugungen, Gesundheitsdaten (jedoch nur mit Einschränkungen5In NRW dürfen viele Gesundheitsdaten grundsätzlich nicht automatisiert verarbeitet werden. Darunter fallen laut VO-DV I Anlage I Abschnitt B, Fn. 2 z.B. Medizinische Gutachten und Atteste) und zur sexuellen Orientierung.6Die Verarbeitung dieser Daten ist nach Art. 9 Abs. 1 grundsätzlich untersagt. Art. 9 Abs. 2 lit. g. schafft hier jedoch eine Ausnahme. Allerdings erfolgt die Verarbeitung solcher personenbezogener Daten dort nicht umfangreich.

Systematische Überwachung öffentlicher Bereiche

Hier geht es vor allem um Videoüberwachung. Es sind aber auch andere elektronische Formen der Überwachung denkbar. Eine Videokamera, welche die Zugänge zu den Toiletten überwacht und dazu genutzt werden soll, um zu kontrollieren, wer, wann, wie lange und wie oft zur Toilette geht, würde unter eine systematische Überwachung fallen. In Schulen ist Videoüberwachung ohnehin ein sehr heikles Thema, auch ohne eine systematische Überwachung im Sinne der Verordnung.

Die drei in Art. 9 Abs. 3 genannten Regelbeispiele schließen andere mögliche Konstellationen, bei welchen sich die Pflicht zur Durchführung einer DSFA ergeben könnte, nicht aus.

Jedes Bundesland anders

Auch wenn mit Art. 35 DS-GVO die Rechtsgrundlage die gleiche ist, hängt es maßgeblich von der Einschätzung der jeweils zuständigen Aufsichtsbehörde bzw. dem Schulministerium ab, ob Schulen vor der Einführung einer neuen Technologie eine DSFA durchführen müssen. Die einzelnen Bundesländer kommen dabei zu unterschiedlichen Einschätzungen. Während einige Bundesländer im Bereich Bildung durchaus DSFAs vorsehen, geht man in NRW aktuell davon aus, dass es eine solche Erfordernis in der Regel nicht gibt7“Nach den Regelbeispielen im Verordnungstext ist dies insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Daher besteht für die Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke, über die auf Ebene einer Einzelschule üblicherweise entschieden wird, nach hiesiger Einschätzung in der Regel keine Verpflichtung der Schulleitung, eine DSFA durchzuführen.” FAQ Datenschutzrecht an Schulen, Medienberatung NRW, Stand 05/2019
. Mit der Formulierung “in der Regel” schließt man in NRW jedoch nicht aus, dass es Fälle geben kann, in welchen eine eine Schulleitung dann doch zu einer DSFA verpflichtet ist. Die Orientierungshilfe Online-Lernplattformen im Schulunterricht der Datenschutzkonferenz (DSK), an der alle Bundesländer beteiligt sind, nimmt an, dass “aufgrund der Art, der Umstände und der Zwecke der Verarbeitung bei einer Online-Lernplattform in aller Regel” davon auszugehen ist, dass diese “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge hat.”

Was meint Risiko im Zusammenhang mit der DSFA?

Die DS-GVO liefert weder eine Definition des Begriffs selbst noch eine Skala, an welcher die Höhe des Risikos abzulesen ist. Grundlage für die Abschätzung des Risikos ist eine Prognoseentscheidung, bei welcher der Verantwortliche versucht, den Eintritt eines möglichen Schadens abzuschätzen und vorherzusagen. Dazu muss die Bewertung zwei Faktoren berücksichtigen:

  • die Eintrittswahrscheinlichkeit des befürchteten Schadens und
  • die Schwere des Schadens

Aus dem Verhältnis zwischen den beiden Faktoren ergibt sich dann das Gesamtrisiko.8Karg in Simitis, Hornung, Spieker Art. 35 Rn 22ff, Datenschutzrecht [

Was meint Schaden im Zusammenhang mit der DSFA?

Mit Schaden sind hier solche physischer, materieller oder immaterieller Art gemeint9Siehe auch Erwägungsgrund 75. In Schule dürfte im Zusammenhang mit der Verarbeitung von personenbezogenen Daten wohl vor allem um mögliche materielle oder immaterielle Schäden gehen, also beispielsweise um eine aus der Verarbeitung resultierende Diskriminierung, eine Rufschädigung, einen finanziellen Verlust oder einen Identitätsdiebstahl.

Welche Vorgaben muss eine DSFA erfüllen?

Die wichtigsten Aussagen zu den allgemeinen Anforderungen und der Vorgehensweise für eine DSFA finden sich in Art. 35 Abs. 7 lit. a bis d DS-GVO. Demnach muss eine DSFA inhaltlich zumindest vier Elemente aufweisen. Bezogen auf Schule kann man diese wie folgt beschreiben:

  • (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
  • (b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge bezogen auf den Zweck,
  • (c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (Schüler, Lehrkräfte, Eltern)
  • (d) eine Beschreibung der geplanten Maßnahmen, mit denen der Schutz der personenbezogenen Daten sichergestellt werden soll und ein Nachweis, dass die Vorgaben der DS-GVO unter Wahrung der Interessen und Rechte der Betroffenen eingehalten werden.

Aus diesen inhaltlichen Mindestanforderungen lässt sich eine dreischrittige Vorgehensweise  für eine DSFA ableiten10Jandt in Kühling, Buchner Art. 35 Rn. 33, eine Vorbereitungsphase (a), eine Bewertungsphase (b, c) und eine Maßnahmenphase (d). 

Das Kurzpapier Nr. 5 der Datenschutzkonferenz untergliedert den Prozess der DSFA in 10 Schritte bis zum Abfassen des Berichtes, an welche sich dann noch sechs weitere Schritte anschließen, in welchen die Maßnahmen, welche das Risiko vermindern sollen, umgesetzt und auf ihre Wirksamkeit geprüft werden, die Einhaltung der DS-GVO dokumentiert und das Verfahren freigegeben wird. Damit endet der Prozess jedoch nicht. Gegebenenfalls wird die DSFA überprüft und fortgeschrieben.

Vorbereitungsphase

  • Zusammenstellung der Personen, welche an der DSFA beteiligt sind. Dazu wird auf jeden Fall jemand gehören, der im Fall von Schule die Plattform oder Software ausreichend gut kennt, jemand, der eine Vorstellung davon hat, wie die Nutzung erfolgen soll und beratend eventuell auch ein Datenschutzbeauftragter.
  • Erstellung eines Prüfplans. Je komplexer eine Plattform oder Software ist und je umfangreicher die Auseinandersetzung damit, umso besser muss das Vorgehen geplant und abgestimmt werden.
  • Festlegung des Beurteilungsumfangs (Scope). Hier wird festgelegt, um welche konkreten Verarbeitungsvorgänge es bei der geplanten Nutzung der Plattform bzw. Software geht, welche Datenflüsse es dabei gibt und welches die Verarbeitungszwecke sind. Dabei geht es auch um die eingesetzte Technik und eine Erläuterung von Art, Umfang und Umständen der Verarbeitung von personenbezogenen Daten.
  • Identifikation und Einbindung von Akteuren und betroffenen Personen. Um in später die Risiken abschätzen zu können, müssen die Personen benannt werden, welche mit dem Verarbeitungsprozess zu tun haben, als Betroffene, also Schüler, Lehrkräfte, Eltern und eventuell andere Personen, und als Akteure wie z.B. IT Administratoren, Auftragsverarbeiter und ähnlich. Bei den Betroffenen wird je nach Verarbeitungsprozesse auch deren Meinung eingeholt.

Bewertungsphase

  • Bewertung der Notwendigkeit/Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck. Die in den vorherigen Schritten ermittelten Verarbeitungsvorgänge werden bezogen auf die beschriebenen Verarbeitungszwecke auf ihre Verhältnismäßigkeit hin bezüglich der Auswirkungen auf die Rechte und Freiheiten der Betroffenen, also der Schüler, Lehrkräfte und Eltern hin bewertet. Je nach Ergebnis wird geschaut, ob sich Alternativen anbieten, deren Auswirkungen für die Betroffenen geringer sind. Entsprechend werden dann unter Umständen Verarbeitungsprozesse angepasst, hinsichtlich der genutzten Technik, der verwendeten Daten oder der beteiligten Akteure.
  • Identifikation der Rechtsgrundlagen. Wenn klar ist, welche Verarbeitungsvorgänge in Frage kommen und mit welchen Auswirkungen auf die betroffenen Personen, werden die Rechtsgrundlagen dafür ermittelt und dokumentiert sein. In der Schule kommen hier in der Regel nur wenige Möglichkeiten in Frage, die Verarbeitung auf der Grundlage eines Gesetzes oder auf der Grundlage einer Einwilligung der Betroffenen.
  • Modellierung der Risikoquellen. In diesem Teil soll ermittelt werden, woraus sich bei der Verarbeitung von personenbezogenen Daten Risiken für die Betroffenen ergeben können. Es wird unterschieden zwischen internen und externen Quellen, also von innerhalb und von außerhalb der Schule, sowie zwischen menschlichen (z.B. Personen in der Schule) und nichtmenschlichen Quellen (z.B. Hardwareversagen). Dabei wird auch die mögliche Motivation betrachtet, sofern es sich um eine menschliche Quelle handelt. Unterschieden wird dabei zwischen unbeabsichtigt (z.B. Bedienfehler) und vorsätzlich (z.B. Hacking).
  • Risikobeurteilung  Unter Berücksichtigung der Umstände und der Zwecke der geplanten Verarbeitung von personenbezogenen Daten wird abgeschätzt, wie hoch das Risiko für die Rechte und Freiheiten der Benutzer, Schüler und Lehrkräften, ausfällt. Dabei geht es um mögliche materielle wie auch immaterielle Schäden. Materielle Schäden können beispielsweise der Verlust einer Ausbildungsstelle sein. Rufschädigung wäre ein möglicher immaterieller Schaden. Beurteilt wird so, wie wahrscheinlich es ist, dass ein Risiko eintritt und wie schwer der voraussichtliche Schaden ist, der für die betroffene Person daraus entstehen kann. Berücksichtigt werden dazu auch die Maßnahmen, welche verhindern sollen, dass das Risiko eintritt. Das meint die technischen und organisatorischen Maßnahmen auf Seiten der Schule selbst wie auch durch den Betreiber der Online Plattform oder die Hersteller der Software, deren Nutzung geplant ist. Das Ergebnis der Risikobewertung bzw. -beurteilung kann in einer Matrix abgetragen werden, die auf der einen Achse, die Schwere des möglichen Schadens und auf der anderen die Eintrittswahrscheinlichkeit darstellt.

Maßnahmenphase

  • Auswahl geeigneter Abhilfemaßnahmen Entsprechend dem Ergebnis der Bewertungsphase werden in diesem Schritt technische und organisatorische Maßnahmen zusammengestellt, welche geeignet sind, die ermittelten Risiken auszuschließen oder zumindest bezüglich ihrer Eintrittswahrscheinlichkeit zu reduzieren. Es kann sich eine erneute Risikobewertung (Restrisikoanalyse) anschließen, um zu ermitteln, in wie weit sich dadurch die Sicherheit des Systems erhöht und damit das Risiko für die Betroffenen reduziert hat.
  • Erstellung des DSFA-Berichts Die DSFA schließt mit einem Bericht ab, der Verschriftlichung der verschiedenen Stufen der DSFA.

Tipps

  • Für die eigentliche Beurteilung der Risiken gibt es mehrere Verfahren. Im Musterbeispiel zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134 greift man dafür auf ISO 31000 zurück. Für Schulen scheidet dieser Weg eher aus, da die Dokumentationen zu den ISO Normen nur kostenpflichtig erhältlich sind. 11ISO/IEC 29134 kostet aktuell als Epub und PDF etwa 140 € Erläuterungen zu den Normen geben die Normen selbst in der Regel nur auszugsweise wieder. Man kann sich zumindest in Teilen an Muster DSFAs orientieren. Mit Schule haben die gegenwärtigen Muster und Beschreibungen leider alle nichts zu tun. Etwas einfacher ist das Vorgehen entsprechend dem PIA Tool der französischen Aufsichtsbehörde, da dieses über das Tool selbst dokumentiert ist. Dieses Tool kann man auf einem Windows System installieren und es führt Schritt für Schritt durch eine DSFA. Am Ende wird ein Bericht ausgegeben. Etwas Hintergrundwissen oder Fachliteratur kann beim Ausfüllen der verschiedenen Abfragen im PIA Tool sehr hilfreich sein.

Download

Diese Datenschutz-Folgenabschätzung betrachtet die möglichen Risiken, welche sich mit einer Nutzung der Google Workspace  for Education im Unterricht und zu Zwecken der Teamarbeit im Kollegium und Bereitstellung von Informationen durch die Schulverwaltung für die Rechte und Freiheiten der Betroffenen ergeben können und mit welchen Maßnahmen entsprechend der Befunde eine Risikoeindämmung vorgenommen werden kann.

Hinweis: Diese DSFA erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit. Auch wenn es das Ziel ist, anhand von objektiven Kriterien zu einer begründeten Bewertung zu kommen, so gibt es Bereiche, wo man mit Vermutungen arbeiten muss und vielleicht falsch liegt. Darüber hinaus ist auch die Struktur in Teilen noch verbesserungswürdig. Der endgültige Bericht muss nicht alle Punkte einschließen, welche in der Vorlage erfasst sind.12Zur Orientierung, was der Bericht selbst umfassen sollte, siehe S. 25 in Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134, Musterbeispiel, Bayerisches Landesamt für Datenschutzaufsicht Im März 2021 veröffentlichte die Privacy Company aus den Niederlanden eine DSFA zu Google Workspace Enterprise, die sehr viel umfangreicher ausfällt als das Beispiel hier und auch andere Aspekte wie z.B. Telemetriedaten berücksichtigt. Die im Auftrag des Niederländischen Justizministeriums angefertigte DSFA wurde im Vorjahr durchgeführt und die Ergebnisse finden sich unter Google Workspace DPIA for Dutch DPA und gelten auch für Google Workspace Enterprise for Education. Eine kurze Zusammenfassung des Ergebnis findet sich unter Privacy assessment Google Workspace (G Suite) Enterprise : Dutch government consults Dutch Data Protection Authority on high privacy risks (engl. Sprache).

Um die Objektivität und Richtigkeit der dargestellten Sachverhalte zu gewährleisten, sollte eine DSFA immer von mehreren Personen erstellt werden. Dabei kann die grundlegende Vorarbeit durchaus von einer einzelnen Person geleistet werden. Andere Personen sollten jedoch in den weiteren Phasen beteiligt werden.

Wer als Schule eine DSFA durchführen muss, kann sich an dieser Vorlage durchaus orientieren, auch wenn es nicht um Google Workspace for Education geht. Die Vorlage lässt sich problemlos auf andere Anwendungen und Plattformen übertragen.

Wichtig! Schulen, die zufälligerweise eine DSFA für Google Workspace  for Education durchführen, sollten die Vorlage oben nicht einfach blind kopieren und fertig. Man sollte sich intensiv mit dem Thema auseinandersetzen. Vielleicht kommt man zu einem völlig anderen Schluss. Schulen, die nicht in NRW sind, müssen außerdem die Verweise auf das Schulgesetz NRW auf ihr Bundesland anpassen. Auch wenn es kein Muss ist, sollte man die SV und den Lehrerrat (oder vielleicht sogar den örtlichen Personalrat) mit einbeziehen und um Stellungnahme bitten. Die Stellungnahmen können wichtige Aufschlüsse bringen, wo die Betroffenen für sich Risiken vermuten. Diese sollten in die Betrachtung und Bewertung der Risiken mit einfließen. Vielleicht hilft die DSFA in ihrem Ergebnis, die Befürchtungen der Betroffenen zu entkräften.

Die wichtigste Orientierung bei der Erstellung dieser DSFA waren das Kurzpapier Nr. 5, das Musterbeispiel des Bayerisches Landesamt für Datenschutzaufsicht und das PIA Tool der Französischen Aufsichtsbehörde.

Beispiel Office 365

Im Zusammenhang mit Office 365 sind 2018 und 2019 mehrere DSFA entstanden. Das niederländische Justizministerium hatte bei einer Firma, Privacy Company, eine DSFA in Auftrag gegeben, um zu ermitteln, ob der Einsatz von Office 365 in Regierungsbehörden datenschutzkonform möglich ist. Die DSFA sind öffentlich zugänglich in englischer und niederländischer Sprache. Damit erhält man ein sehr gutes Beispiel, wie eine DSFA aussehen und vor allem, welchen Umfang sie haben kann. Auch zu erkennen ist an dem Beispiel, wie viel Expertise erforderlich ist, um eine DSFA von einem so komplexen Produkt wie Office 365 zu erstellen.

Beispiel elektronisches Klassenbuch und Videoüberwachung – Niedersachsen

Anders als in NRW gibt es in Niedersachsen konkretere Vorgaben13siehe https://www.landesschulbehoerde-niedersachsen.de/themen/schulorganisation/datenschutz/dsgvo/datenschutzfolgeabschaetzung , wann eine DSFA durchzuführen ist. Die genannten Beispiele sind nicht abschließend.

“Im schulischen Kontext bedarf es einer Datenschutz-Folgenabschätzung beispielsweise bei der Einführung eines elektronischen Klassenbuches, der Verarbeitung personenbezogener Schülerdaten durch Lernplattformen oder der Einführung von Tablet-Klassen.”

Zwei Vorlagen werden als PDF zum Download angeboten, für die Einführung eines elektronischen Klassenbuches und eine Videoüberwachung.

Hilfreiche Informationen zur DSFA

Art. 35 der DS-GVO und die zugehörigen Erwägungsgründe 75 – 93 reichen definitiv nicht aus, um eine DSFA durchführen zu können, da dort vertiefende und erklärende Informationen fehlen. Die oben an verschiedenen Stellen zitierten Kommentierungen der DS-GVO können helfen, die Vorgaben aus der DS-GVO besser zu verstehen. Für Schulen, die sich mit einer DSFA befassen, dürften aber die meisten der hier gelisteten Schriften deutlich hilfreicher sein.

Dokumente

Buch

Software

Stand 04/2021