An Datenschutz nicht erst auf der Zielgeraden denken

Egal ob man es damit streng oder locker hält – das Thema Datenschutz ist in der EdTech-Branche ein Dauerbrenner. „Zurecht!“, sagt Datenschutzexperte Daniel Lohninger. Der Netzaktivist ist Spezialist für staatliche Überwachung und Datenschutz im Bildungsbereich bei epicenter.works, der österreichischen Bürgerrechtsorganisation für digitale Sicherheit und Datenschutz sowie Geschäftsführer und Gründer des Bildungszweiges der NGO epicenter.academy. „Gerade dann, wenn es um Daten von Kindern und Jugendlichen geht. Sie sind besonders schützenswert, weil vor allem für sie die Folgen der Datenspeicherung noch nicht wirklich absehbar sind und sie im Schulalltag oft nicht selbst entscheiden können, mit welchen Tools sie arbeiten.“ Auf was Unternehmer:innen achten sollten, um mit Daten verantwortungsvoll umzugehen, haben wir uns genauer angesehen.

Das Datenschutzrecht – die DSGVO

Zuallererst: Dieser Beitrag ersetzt natürlich keine professionelle Rechtsberatung. Nichtsdestotrotz geben wir euch hier einen ersten Einblick. Denn das Thema beschäftigt uns nicht erst seit der DSGVO – die es heuer übrigens seit fünf Jahren gibt. Das freut viele, auch Daniel, der in dieser europäischen Grundverordnung ein internationales Musterbeispiel sieht, um einen Schritt für einheitliche Datensicherheit zu gehen: „Wenn sich Unternehmen dann auch an die DSGVO halten würden, hätten wir viel weniger Probleme. Leider gehen zu viele zu oft fahrlässig mit Daten um, die sie erheben.“

Deshalb kommen hier die relevantesten Punkte der DSGVO für EdTech-Unternehmen:

• Einwilligung: Bevor Daten erhoben werden, muss das die betroffene Person erst erlauben. Diese Einwilligung muss freiwillig erfolgen, basierend auf verständlichen Informationen, zu welchen Zweck diese Daten erhoben werden und wie die weitere Verarbeitung aussieht. Dazu zählt beispielsweise auch, wie lange die Daten gespeichert bleiben. Unternehmen müssen diese Angaben in ihren Datenschutzrichtlinien und Nutzungsbedingungen offenlegen.
• Rechte: Nutzer:innen haben besondere Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung oder der Übertragbarkeit. Diese Aspekte müssen Unternehmer:innen garantieren.
• Datensparsamkeit: Laut unserem Datenschutzexperten Daniel einer der wichtigsten Punkte für EdTech-Unternehmen aus der DSGVO. Dabei gilt es nämlich, nur die notwendigsten personenbezogenen Daten zu erheben. Dazu gleich mehr unter „Privacy by Design“.
• Technische Sicherheit: Um die Datensicherheit zu gewährleisten, sollten auch die nötigen technischen und organisatorischen Sicherheitsmaßnamen vorhanden sein. Dazu zählen beispielsweise die Verschlüsselung von Daten, Zugriffskontrollen, oder regelmäßige Sicherheitsüberprüfungen.
• Auftragsverarbeitung: Wenn externe Dienstleister:innen beauftragt werden, personenbezogene Daten zu verarbeiten (wie zum Beispiel Cloud-Anbieter), – müssen angemessene Verträge abgeschlossen werden. Bei der Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) zählen dazu Schutzmaßnahmen, wie Standardvertragsklauseln oder Binding Corporate Rules. Von der WKO gibt es eine Vorlage für eine Auftragsverarbeitung.
• Datenschutz-Folgenabschätzung: Gerade bei der Entwicklung von EdTech-Programmen, die teilweise auf neuen Technologien basieren oder sensible Daten wie ethnische Herkunft, Behinderungen, medizinische Bedürfnisse, psychische Gesundheit, religiöse Zugehörigkeit oder gar biometrische Daten wie Fingerabdrücke, Gesichts- oder Stimmerkennung verarbeiten, ist eine Datenschutz-Folgeabschätzung ratsam. Dabei werden potenzielle Auswirkungen auf die Privatsphäre bewertet und Maßnahmen ergriffen, um Risiken zu minimieren.
• Datenschutzbeauftragung: Wenn möglich, sollte es jemanden im Team geben, der oder die sich um das Thema Datenschutz kümmert. Und somit auch über die Einhaltung des Datenschutzes wacht und als Ansprechperson dient. Gerade an Schulen kann das teilweise schwierig sein, denn diese Aufgabe obliegt den Schulleiter:innen, denen oft die spezifische Ausbildung fehlt.

Privacy by Design

Bei Privacy by Design handelt es sich um ein Prinzip, das Datenschutz und Privatsphäre bereits in der Technikgestaltung sieht. Schon bei der Entwicklung von Technologien, Systemen oder Dienstleistungen werden dabei Schutzmaßnahmen getroffen, anstatt sie erst später hinzuzufügen. Wenn also schon in den ersten Schritten der Ideation Datenschutz verankert wird, können Risiken meist frühzeitig erkannt und bestenfalls vermieden werden.

Generell heißt das auch, so wenig Daten wie möglich zu erheben. Nur jene, die für den Prozess unerlässlich sind. Nutzer:innen sollten darüber Bescheid wissen und die Kontrolle haben. Dazu gehört die Möglichkeit, die Einwilligung über die Datenverarbeitung zu widerrufen, ihre Daten zu korrigieren oder sie gänzlich zu löschen. All das setzt schlussendlich voraus, das Bewusstsein für Datenschutz und Privatsphäre auch bei allen Mitarbeitenden des Unternehmens zu schärfen und in der Kultur zu verankern.

Nachgefragt bei Daniel:

Was ist dein Top-Tipp für einen verantwortungs­vollen Umgang mit Nutzer:innendaten?

Neben Privacy by Design geht es auch darum, die großen Monopole zu vermeiden, wenn schon Daten für wichtige Zwecke gespeichert oder verarbeitet werden müssen. Denn wenn es in erster Linie um Profit und das Sammeln von Daten geht, dann kommt meistens auch die Datensicherheit zu kurz. Am besten also man setzt auf lokale Lösungen und Open Source Lösungen, die in Österreich gehostet und entwickelt werden.

Hast du ein Best Practice, wie eine digitale Entwicklung datenschutz­freundlich aufgebaut sein kann?

Ich finde, die Stopp Corona App hat schön gezeigt, wie verantwortungsvoller Umgang mit Nutzer:innendaten aussehen kann. Unter unserer Beratung wurde beschlossen, die Daten über die Zeitpunkte – wann und wer sich getroffen hat – anonym über ein dezentrales System zu verarbeiten. Damit erzeugte die App zufällige Ziffern anstatt konkreter personenbezogener Daten. Das war extrem privatsphärefreundlich, da keine personenbezogenen Daten zentral gespeichert wurden.

Was ist deine Vision für den Datenschutz in naher Zukunft?

Ich würde mir eine gemeinsame, offene Software wünschen und mehr europäische Zusammenarbeit, um ein Gegenmodell zu den großen Monopolisten zu bauen. Etwas, das nicht rein kapitalistisch geprägt ist. Ein Modell, das wir auf unseren ethischen Grundsätzen und datenschutzkonform nutzen, damit unsere Technik im europäischen Raum selbst entwickeln. Ich glaube, das würde sich – wie auch die DSGVO nach Südamerika, Afrika und Asien, wie sich anhand von Ländern wie Brasilien, Kenia und Japan um nur einige zu nennen, zeigt – gut exportieren lassen.