Die Datenschutz-Grundverordnung – genauer die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („Datenschutz-Grundverordnung“, DSGVO) – hat es wirklich in sich.
Mit 173 „erwogenen“ Gründen einbegleitet, normieren 99 Artikel (als pdf heruntergeladen insgesamt 88 Seiten) gerade für Bildungseinrichtungen sehr wesentliche Verpflichtungen, da diese jede Menge personenbezogene Daten verarbeiten (müssen).
Die DSGVO trat bereits am 24. Mai 2016 in Kraft und gilt ab dem 25. Mai 2018 in allen EU-Mitgliedsstaaten.
Unternehmen[1] müssen sich nun selbst darum kümmern, die geforderten Maßnahmen zu setzen – widrigenfalls empfindliche Strafen drohen.
Mit der DSGVO kommen neue Begriffe auf Unternehmen zu, wie
- die Datenminimierung (Art. 5 (1) c – es dürfen nicht überschießend ohne Zweck Daten gesammelt werden),
- die Speicherbegrenzung (Art. 5 (1) e – Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden) oder
- die Pseudonymisierung (Art. 4 Z 5 – die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können…)
Wer „personenbezogene Daten“ verarbeitet
und das sind lt. Art 4 Z 1 der Verordnung alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
also sicher jede Bildungseinrichtung – ist davon betroffen und sollte sich darauf entsprechend einstellen.
Zusätzliche Rechte der Kursteilnehmer/-innen und Studierenden:
Schon bisher konnten Studierende und Kursteilnehmer/-innen eine Datenauskunft bei ihren Bildungseinrichtungen beantragen und die Löschung bzw. Berichtigung verlangen.
Mit der neuen Verordnung kommt das Recht dazu, diese Verarbeitung einzuschränken – das muss allerdings begründet werden.
Die Bildungseinrichtungen müssen all das innerhalb einer Frist von einem Monat erfüllen.
Diese kann in besonders komplexen Fällen oder bei besonders vielen Anfragen auf drei Monate verlängert werden – was vom Bildungsträger aber sehr gut begründet werden muss.
Ebenfalls neu ist das Recht auf Datenübertragbarkeit.
Betroffene sollen ihre personenbezogenen Daten von einem Bildungsträger zum nächsten „mitnehmen“ können, ohne dass es technische Barrieren gibt und dafür Gebühren verlangt werden.
Hohe Strafen möglich:
Üblicherweise wenden sich künftig Studierende mit einem Anliegen (wie um eine Auskunft oder Löschung) an ihre Bildungseinrichtung und wird die Auskunft erteilt oder die gewünschte Aktion durchgeführt.
Gibt es damit ein Probleme, kann sich jede/r Studierende an die nationale Datenschutzbehörde wenden, die ein Verfahren einleitet und Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent vom Umsatz verhängen kann.
Ein erlittener Schaden muss vom Betroffenen nachgewiesen werden bzw. dann vor Gericht eingeklagt werden.
Der Schadenersatz muss vor Gericht verhandelt werden.
Die Bildungsanbieter müssen nun – wie alle Unternehmen – sicherstellen, dass auch ihre externen Dienstleister nach der neuen Verordnung arbeiten – dies verlangt die Überprüfung aller bestehender Verträge ihrer Auftragsverarbeiter, Vertriebspartner …..
Jedem Bildungsanbieter kann die zeitgerechte Auseinandersetzung mit der DSGVO nur dringend angeraten werden:
- Verordnung (EU) 2016/679 auf EUR-Lex
- Direkt zum Text der Verordnung 2016/679
- Leitfaden – Verordnung (EU) 2016/679 (PDF, 264 KB)
Rückfragen bitte an Martin Stieger, Professor für Berufsbildung und Wirtschaftspädagogik an der Hochschule Allensbach – Allensbach University: Martin.stieger@liwest.at
[1] Gem. Art. 4 Ziffer 18 DSGVO sind „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen
