21. Tätigkeitsbericht (1999)



4.9

Schule, Hochschule, Wissenschaft

4.9.1

Datenschutzverordnung als "Blockwartsystem"?

Immer mehr Lehrer verarbeiten mit privaten PC Schülerdaten im häuslichen Bereich. Auch nachdem das gesetzliche Verbot der Nutzung von Privat-PC für dienstliche Zwecke gelockert wurde, schmecken einigen Lehrern die Rahmenbedingungen hierfür nicht.

1. Szenario:

Man stelle sich vor: Ein Finanzamt bittet aus Platzmangel einen Teil seiner Mitarbeiter, die Steuererklärungen der Steuerpflichtigen zu Hause zu bearbeiten. Jeder Beamte kann seine Arbeit so verrichten, wie er möchte, da keine besonderen Regelungen erlassen werden. Einige bearbeiten nun die Steuererklärungen im häuslichen Wohnzimmer. Sensible Unterlagen mit Angaben z. B. zu Unterhaltsleistungen an Dritte, Nachweisen für erhöhte Aufwendungen wegen Behinderung usw. liegen für andere Familienmitglieder einsehbar herum. Andere wiederum, die ein eigenes Arbeitszimmer haben, schließen die Unterlagen nicht weg, da sich das Zimmer ja in der eigenen Wohnung befindet. Für Mißtrauen gegenüber den eigenen Familienangehörigen besteht aus ihrer Sicht kein Anlaß. Manche Mitarbeiter benutzen für die Sachbearbeitung ihren eigenen PC, der allerdings auch von anderen Familienmitgliedern genutzt wird. Ein anderer betreibt eine Mailbox auf seinem Computer, der an das Internet angeschlossen ist. Die Steuerdaten der Bürger im Rechner sind, weil der Finanzamtsmitarbeiter dies nicht für nötig hält ("was soll da schon passieren") und ihn auch keine Dienstvorschrift dazu anhält, vor dem Zugriff virtueller Besucher nicht geschützt. Möglicherweise studieren und kopieren fremde Hacker interessiert die Steuererklärung anderer Leute oder machen sich einen Spaß daraus, die Zahlen zu manipulieren.

Wer würde in Kenntnis dieser Zustände noch Vertrauen in die ordnungsgemäße und vertrauliche Verarbeitung seiner Steuerdaten durch die Finanzverwaltung haben?

2. Szenario:

Man stelle sich vor: Den Schulleitungen wird im Rahmen der Dezentralisierung und Verschlankung die Personalaktenführung übertragen. Manche Schulleiter schaffen es nicht, während des laufenden Schulbetriebes auch noch die Lehrereinsatzplanung und den "Personalverwaltungskram" zu erledigen. Deshalb nehmen sie Personalakten zu sich nach Hause. Den Lehrereinsatz verwalten sie mit einem auf dem Privat-PC installierten Programm. Zwecks reibungsloser Planung werden die Urlaubs-, Lehrgangs- und Krankheitsfehlzeiten gespeichert. Für die Beurteilung der Lehrkräfte werden eigene Dateien angelegt. Auf Einwände einzelner Lehrer würden die Schulleiter antworten, als Beamte seien sie doch zur Verschwiegenheit verpflichtet, da könne man ihnen schon vertrauen. Sollte die vorgesetzte Stelle auf die Idee kommen, sich die Sache einmal vor Ort anzusehen, würden die Schulleiter die Unverletzlichkeit ihrer Wohnung geltend machen.

Was wohl die Personalräte dazu sagen würden?

Die Szenarien mögen konstruiert klingen. So oder so ähnlich argumentieren manche Lehrer aber, seit das Bildungsministerium die Nutzung privateigener PC für dienstliche Zwecke unter bestimmten Voraussetzungen zugelassen hat. In einigen Eingaben wurde geltend gemacht, die Datensicherungsregelungen zeugten von Mißtrauen gegenüber den Lehrern und ihre Einhaltung erfordere zuviel Aufwand. Als rechtstreue Beamte bräuchten sie nicht mit Regeln zur Datensicherheit und Kontrollen überzogen werden. Die geforderte Einwilligung in etwaige Kontrollen durch Schulleitung oder den Datenschutzbeauftragten komme einer Preisgabe der häuslichen Privatsphäre gleich. Ein Lehrer sprach gar von "Kontrollstaat" und "Denunziantentum"; er fühle sich an das "Blockwartsystem" vergangener Zeiten erinnert.



Im Gegensatz dazu haben insbesondere Informatiklehrer mit der neuen Regelung keine Probleme. Bei der Vorstellung und Erläuterung der Datenschutzverordnung Schule zeigte sich, daß es für sie eine Selbstverständlichkeit ist, die Arbeit mit Schülerdaten am privaten PC als Datenverarbeitung durch eine öffentliche Stelle zu verstehen, die gewisse Sicherheitsstandards und Kontrollmöglichkeiten unumgänglich macht. Tatsächlich geht es im wesentlichen um das kleine Einmaleins der Datensicherheit. Denn auch Daten über Schüler und ihre Eltern können sehr sensibel sein. Sie unterliegen dem gleichen Schutz wie andere bei der Verwaltung verarbeitete Daten über Bürgerinnen und Bürger. Für diese Daten trägt die Schule auch dann die Verantwortung, wenn die Verarbeitung zu Hause am privaten PC stattfindet. Sie gehören nicht zur "privaten Verfügungsmasse" der Lehrer.

Was ist zu tun?
Lehrer, die ihren häuslichen PC für dienstliche Zwecke nutzen, sollten akzeptieren, daß dies keine reine Privatangelegenheit ist.

4.9.2

Schulabgängeradressen für Werbezwecke gesucht!

Unternehmen versuchen mit Hilfe von "Wettbewerben", "Tests" oder "Analysen" an Adreßmaterial von Schülern zu gelangen, um anschließend gezielte Werbemaßnahmen zu starten. Auch die gesetzlichen Krankenkassen mischen mit.

Von Schulen, Eltern sowie von betroffenen Schülerinnen und Schülern werden wir immer wieder auf die fragwürdigen Praktiken z. B. von Krankenversicherungen hingewiesen, mit denen sie an Adreßmaterial sowie zusätzliche Informationen von Schulabgängern zu gelangen versuchen. Dies geschieht mit Hilfe von Wettbewerben oder durch das Angebot von Berufsbildanalysen. So verteilte eine gesetzliche Krankenkasse im Rahmen ihrer gesundheitlichen Aufklärung in der Schule Karten für die Teilnahme an einem Quiz und beschaffte sich so Namen und Anschriften der Schülerinnen und Schüler, um diese daraufhin gezielt mit Werbung anzusprechen.

Eine Bausparkasse bot über ein mit ihr verbundenes Institut einen Berufsinteressentest an, durch den die Schülerinnen und Schüler Anregungen für die zukünftige Studien- oder Berufswahl erhalten sollten. Wäre dieser Test, wie zunächst geplant, personenbezogen durchgeführt worden, so hätte die Bausparkasse über die ausgefüllten Fragebögen nicht nur Namen und Anschriften der heranwachsenden jungen Menschen erhalten, sondern auch aussagefähige Persönlichkeitsbilder. Diese Informationen wären für Werbezwecke buchstäblich Gold wert gewesen; die informationelle Selbstbestimmung hätte das Nachsehen gehabt. Wir konnten erreichen, daß eine Anonymisierung der Fragebögen erfolgte.

Bei all diesen Aktionen versuchen die Firmen ganz geschickt, die Schulleitungen oder gar das Bildungsministerium als Partner zu gewinnen und sich so einen leichteren Zugang zu den Schülerinnen und Schülern zu verschaffen. Sind diese bereit, ihre Angaben freiwillig herauszugeben, so kann das im Schulgesetz verankerte Werbe- und Übermittlungsverbot umgangen werden. Wir haben das Bildungsministerium auf diese Tricks hingewiesen, das daraufhin die Schulen entsprechend unterrichtete.

Was ist zu tun?
Die Schulen sollten sorgfältig die datenschutzrechtlichen Aspekte prüfen, bevor sie Wettbewerbe, Tests etc. von Unternehmen unterstützen.

4.9.3

Studi-Chipkarten

In der Fachhochschule und der Medizinischen Universität Lübeck wurden Chipkarten als Studierendenausweise eingeführt. Weitere Hochschulen wollen folgen.

Die mit der geplanten Studi-Chipkarte verbundenen Versprechungen hinsichtlich Verwaltungsrationalisierung und Arbeitsentlastung hören sich äußerst verheißungsvoll an. Rückmeldungen, Kostenabrechnungen und Berechtigungskontrollen und noch viel mehr soll mit Chipkarten einfacher, schneller und billiger gehen. Eine eingehende Erörterung mit allen Beteiligten zeigte schnell, daß Innovationsfreude und Tatkraft allein für die Einführung von Chipkarten mit derart vielfältigen Funktionen nicht genügen. Neben einer Vielzahl technischer Fragen mußten auch rechtliche Fragen geklärt werden. Die Einführung eines obligatorischen Studierendenausweises in Form einer Chipkarte bedarf einer bereichsspezifischen Rechtsgrundlage. Deshalb findet in Lübeck der Chipkarteneinsatz zunächst auf freiwilliger Basis statt. Die Betroffenen sind über die Funktionsweise und die Zwecke sowie über die Widerrufbarkeit ihrer schriftlichen Einwilligung unterrichtet worden.

Parallel dazu arbeiteten wir an einem Regelungsvorschlag zur Änderung der Studierenden-Datenverordnung mit, in dem der Datensatz und die Zwecke der Anwendungen sowie die zulässigen Formen der Nutzung der Chipkarte festgelegt werden. Um die Transparenz für die Betroffenen zu gewährleisten, wurde das Auskunftsrecht betont und die Pflicht, jede Kommunikation zwischen Chipkarte und Lesegerät erkennbar zu machen, normiert.

Was ist zu tun?
Der obligatorische Studierendenausweis als Chipkarte kann erst nach Änderung der Studierenden-Datenverordnung und nach Durchführung des Freigabeverfahrens erfolgen.

4.9.4

Was brächte ein Forschungsgeheimnis?

Das Verhältnis zwischen Wissenschaft und Datenschutz steht seit über zwanzig Jahren in der Diskussion. Von Anfang an wurde "dem Datenschutz" der Vorwurf gemacht, "die Forschung" zu behindern. Vorschläge zur Änderung des Landesdatenschutzgesetzes und zur Einführung eines Forschungsgeheimnisses könnten zur Konfliktlösung beitragen.

Zwar wurden uns derartige Pauschalvorwürfe in Schleswig-Holstein nicht vorgetragen. Gleichwohl stellen sich auch hier immer wieder Abgrenzungsfragen, in letzter Zeit häufig verbunden mit der Forderung nach einem Forschungsgeheimnis. Für Forschende sollen ein umfassendes Schweigerecht und eine Schweigepflicht gelten. Im Gegenzug sollen sie freien Zugang zu zumeist medizinischen, personenbezogenen Daten erhalten - eine "Lizenz zum Forschen". Derartige Vorstellungen sind mit deutschem Verfassungsrecht und europäischen Vorgaben allerdings nicht vereinbar.

Unser Vorschlag für eine Novellierung des Landesdatenschutzgesetzes sieht in einer Forschungsklausel aber einige wesentliche Erleichterungen für Wissenschaftler vor, insbesondere wenn diese mit anonymisierten oder pseudonymisierten Daten arbeiten wollen. Nur wenn eine solche Anonymisierug nicht möglich ist, muß versucht werden, die Einwilligung der Betroffenen einzuholen. Eine weitere Vereinfachung soll darin bestehen, daß Projektmitarbeiter des Forschungsvorhabens im Rahmen einer Personalüberlassung bei der verarbeitenden Stelle die Anonymisierung bzw. Pseudonymisierung selbst vornehmen können, wenn sie den Weisungen und der Aufsicht der speichernden Stelle unterliegen.

Diese Regelungen entbinden aber den Bundesgesetzgeber nicht, sich Gedanken zu einem dem Arztgeheimnis rechtlich nachempfundenen Forschungsgeheimnis zu machen. Es soll aber keine pauschale Befugnisnorm für die Forschenden darstellen, sondern vorrangig die Betroffenen schützen. Eine strafbewehrte Schweigepflicht der Forscher, verbunden mit einem Beschlagnahmeverbot, würde allerdings auch das Vertrauen zur Forschung und damit die Kooperationsbereitschaft gegenüber den Wissenschaftlern stärken.

Was ist zu tun?
Die Regelungen für den Datenschutz im Forschungsbereich sollten auf Bundesebene um ein Forschungsgeheimnis im Interesse der Bürgerinnen und Bürger erweitert werden.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel