Seit einigen Tagen können Schulen und LehrerInnen über die App Lernsieg (erhältlich für Android und IOS) bewertet werden. Die Bewertung ist in Sternchen-Form abzugeben und unterscheidet Schulbewertungen (welche aus Sicht der DSGVO nicht relevant sind)[1] und Bewertungen von LehrerInnen in folgenden Kategorien:
- Unterricht
- Fairness
- Respekt
- Motivationsfähigkeit
- Geduld
- Vorbereitung
- Durchsetzungsfähigkeit
- Pünktlichkeit
Grundsätzlich ist die Zurverfügungstellung einer Bewertungsapp, um direktes Feedback geben zu können, begrüßenswert. Jedoch stellt sich die Frage, ob dies für die Öffentlichkeit bestimmt sein soll und dadurch Geheimhaltungsinteressen oder Rechte der Betroffenen verletzt werden können.
Ist denn das in Zeiten der DSGVO überhaupt erlaubt?
Aus datenschutzrechtlicher Sicht bedarf es jeder Datenverarbeitung eines Rechtsgrunds. Die DSGVO unterscheidet dabei die Zulässigkeit der Verarbeitung von
- personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Art 10)
- besonderen Kategorien personenbezogener Daten (Art 9 Abs 2)
- nicht-sensible Daten (Art 6)
Bei der Bewertung von LehrerInnen werden weder strafrechtlich relevante Daten noch besondere Kategorien personenbezogener Daten verarbeitet, wonach sich die Rechtmäßigkeit nach Art 6 DSGVO ergibt. Demnach dürfen personenbezogene Daten ua. dann verarbeitet werden, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist.
Berechtigte Interessen?
In der Datenschutzinformation der App werden mehrere Zwecke aufgelistet, wobei sich bis auf Punkt2 alle Verarbeitungen auf berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO stützen. Unabhängig davon, dass der genaue Zweck der Bewertung nicht angegeben ist und dies nicht dem Grundsatz der Transparenz (Art 5 Abs 1 lit a) entspricht, stellt sich die Frage, ob die Bewertung rechtmäßig ist und ob tatsächlich berechtigte Interessen vorliegen.
Das berechtigte Interesse des Verantwortlichen oder eines Dritten ist hierbei immer im Detail zu prüfen, wobei im Einzelfall folgende Punkte geprüft werden müssen:
- Vorliegen eines berechtigten Interesses
- Ist die Verarbeitung für die Erreichung des Ziels erforderlich (Erforderlichkeit)
- Interessenabwägung
- werden Grundrechte und Grundfreiheiten des Betroffenen beeinträchtigt
- Kann der Betroffene mit der Datenverarbeitung rechnen, wurde er informiert und ist die Verarbeitung absehbar
- Handelt es sich bei den Betroffenen um Kinder
- Welche Folgen hat die Verarbeitung für die Betroffenen (Wahrscheinlichkeit, Schwere, Art der Daten, Art und Weise der Verarbeitung, …)
- Wurden Schutzmaßnahmen initiiert (TOMs, Privacy by Design, Privacy by Default)
- Transparenz (Wurden die Betroffenen entsprechend informiert)
- Kein Widerspruch (Allgemeiner Widerspruch, Widerspruch gegen Direktwerbung)
Ob und unter welchen Voraussetzungen ein berechtigtes Interesse vorliegen kann, habe ich kürzlich in einem Praxis-Leitfaden auf Basis der Stellungnahme der Art-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gem Art 7 der Richtlinie 95/46/EG (WP 217) zusammengefasst. Es ist jedenfalls immer im Einzelfall zu prüfen, ob man sich für die Verarbeitung auf die Rechtsgrundlage des berechtigten Interesses stützen kann.
Ein Interesse ist das Bestreben, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann. Ebenso kann es sich auch um einen Nutzen handeln, den er aus der Verarbeitung zieht. Damit das Interesse auch berechtigt sein kann, muss es
- rechtmäßig und
- hinreichend klar formuliert sein, und
- ein gegenwärtiges Interesse darstellen.
Das Interesse des Verantwortlichen dürfte in diesem Fall ein wirtschaftliches Interesse sein, da auch in der Datenschutzinformation ersichtlich ist, dass personenbezogene Daten zur Abwicklung von Werbeaufträgen verarbeitet werden. (Siehe Pkt. 2.d. der Datenschutzinformation).
Im nächsten Schritt ist zu prüfen, ob die Datenverarbeitung für die Erreichung des Zwecks erforderlich ist. Erforderlich ist eine Verarbeitung immer dann, wenn die jeweilige Aufgabe ohne der konkreten Verarbeitung nicht oder nicht vollständig erfüllt werden kann. Darunter fällt auch, dass die Aufgabe auf andere Weise nur
- mit unverhältnismäßig großen Schwierigkeiten oder
- mit unvertretbar höheren Aufwand oder
- verspätet erfüllt werden könnte.
Eine für alle App-User abrufbare Veröffenlichung der Namen sämtlicher LehrerInnen einer Schule samt die von Nutzern abgegebenen Bewertungen wird mE. nicht erforderlich sein, um den Zweck „direktes Feedback abgeben/einholen“ erreichen zu können.
Ergänzend muss noch auf die Möglichkeit des Widerspruchsrechts hingewiesen werden, wonach der Betroffene beim Verantwortlichen iSd Art 21 DSGVO Widerspruch erheben kann, dass die personenbezogenen Daten
- gem Abs 1 bei allen Verarbeitungen, die sich auf Art 6 Abs 1 lit f DSGVO (=berechtigtes Interesse) stützten, bzw.
- gem Abs 2 bei Verarbeitungen zu Direktmarketingzwecken bzw.
- gem Abs 6 bei allen Verarbeitungen, die sich aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem Art 89 Abs 1 erfolgt
nicht weiter verarbeiten dürfen. Bei diesem allgemeinen Widerspruchsrecht gem Abs 1 hat der Verantwortliche sein überwiegendes berechtigtes Interesse darzulegen und trägt somit die Beweislast für das Vorliegen eines berechtigten Interesses iSd Art 6 Abs 1 lit f DSGVO.
Im Zuge der Interessenabwägung sind sämtliche Umstände zu berücksichtigen, die den Betroffenen in ihren Grundrechten oder Freiheiten einschränken können. Die App Lernsieg kann ohne Registrierung benutzt werden. Neben der Veröffentlichung aller Namen von LehrerInnen an der ausgewählten Schule können auch die bereits abgegebenen Bewertungen als Durchschnittwert eingesehen werden. Es stellt sich die Frage ob und wie weit hier ein Eingriff auf das Recht auf Geheimhaltung iSd § 1 DSG eingegriffen wird und welche Folgen diese Veröffentlichung und Bewertung für die einzelnen Betroffenen haben wird. Ohne im Detail auf die relevanten Punkte eingehen zu wollen, würde ich behaupten, dass eine Bewertung der Betroffenen für einen uneingeschränkten Personenkreis (ohne Registrierung) ein massiver Eingriff in die Privatsphäre ist und die Interessenabwägung nicht zugunsten des Verantwortlichen ausfallen wird. Dies ist meine persönliche Meinung! Ob die Datenverarbeitung tatsächlich rechtmäßig erfolgt oder nicht, wird in Form einer Beschwerde eines Betroffenen oder einer amtswegigen Prüfung von der Datenschutzbehörde festgestellt werden müssen. Details zur Interessenabwägung siehe auch den Blog-Artikel von dataprotect.
In der aktuellen Ausgestaltung der App sehe ich allerdings große Zweifel, ob die Datenverarbeitung rechtmäßig erfolgt und ob „berechtigte Interessen“ als Rechtsgrundlage herangezogen werden können.
Vgl. dazu die Entscheidung der Datenschutzbehörde DSB-D123.527/0004-DSB/2018, welche die Zulässigkeit eines Ärztebewertungsportals aufgrund berechtigter Interessen bestätigt. Allerdings muss hierbei unterschieden werden, dass Patienten grundsätzlich ihre behandelnden Ärzte frei wählen können, wohingegen Schüler keinen Einfluss auf die Wahl bestimmter LehrerInnen haben.
Warum sollen Schüler ihre LehrerInnen öffentlich bewerten?
Um eine Bewertung abgeben zu können, muss der User registriert sein und seine Telefonnummer bekannt geben. Entsprechend der Datenschutzinformation werden die Telefonnummer, der Zeitpunkt der Registrierung, der Zeitpunkt der letzten Anmeldung sowie die IP-Adresse und die abgegebenen Bewertungen über Schulen und LehrerInnen 7 Jahre nach Abgabe der letzten Bewertung bzw. nach Löschung des Benutzeraccounts gespeichert.
Wenn nach 7 Jahren tatsächlich die Daten automatisiert gelöscht werden, würde das uU. wiederum bedeuten, dass die Durchschnittsergebnisse dadurch verfälscht werden könnten.
Was mit diesen personenbezogenen Daten geschieht, ob der Verantwortliche diese zu anderen Zwecken weiterverarbeitet oder an Dritte übermittelt, ist der Datenschutzinformation nicht zu entnehmen. Es bedeutet aber, dass der Verantwortliche aufgrund der Bewertungen weiß, dass eine bestimmte Telefonnummer existiert, und die dahinterstehende Person wahrscheinlich die zuletzt bewertete Schule besucht und welche Schulen und LehrerInnen wie bewertet wurden.
DerStandard hatte am 16.November 2019 berichtet, dass der Verantwortliche einen sechsstelligen Betrag von Investoren bekommen hat. Fraglich ist, ob diese Investoren mit dem Launch der App und einer hohen Nutzung zufrieden sind, oder ob sich dahinter ein Geschäftsmodell mit Werbeeinnahmen durch personalisierte Werbung oder Generierung von Nutzerdaten zur Vermarktung verbirgt.
Schüler sollten sich jedenfalls bewusst sein, dass mit der Registrierung und Abgabe von Bewertungen personenbezogene Daten generiert werden, die sehr lange gespeichert werden! Eine Bewertung durch Eltern oder Lehrer ist ohnehin verboten. (vgl. AGBs Pkt. 3).
Kann ich als LehrerIn meine Bewertungen löschen lassen?
Diese Frage kann derzeit nur mit einem klaren Jein beantwortet werden. Eine Löschung nach Art 17 DSGVO ist ua. nämlich nur dann zulässig, wenn die Daten unrechtmäßig verarbeitet werden.[2] Sofern die Verarbeitung auf berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann und die Datenschutzbehörde auch dieser Ansicht ist, wird ein Löschbegehren aber ins Leere gehen. Es bleibt also abzuwarten wie die Datenschutzbehörde die Zulässigkeit einstuft. Eine Prüfung kann durch eine Beschwerde bei Ablehnen eines Löschbegehrens oder aber auch von Amts wegen eingeleitet werden.
Kann ich als LehrerIn mein Widerspruchsrecht geltend machen?
Immer dann, wenn der Verantwortliche eine Datenverarbeitung auf Basis berechtigter Interessen durchführt, hat der Betroffene die Möglichkeit Widerspruch iSd Art 21 DSGVO einzulegen. Dies aber nur dann, wenn der Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann. Dh. es kommt zu einer neuerlichen Interessenabwägung, bei der die Interessen des Verantwortlichen überwiegen müssen. Kann die beispielsweise zu Unrecht schlecht beurteilte LehrerIn nachweisen, dass es sich bei der Bewertung um keine objektive Bewertung handelt, sollte die Interessenabwägung zu Gunsten der Betroffenen ausfallen und der Verantwortliche dürfte die Daten nicht weiter verarbeiten.
Fazit
Eine Bewertung von LehrerInnen ist gut und notwendig, allerdings sollte diese Bewertung nicht öffentlich stattfinden und nur den betroffenen Schülern, Lehrern und ggf. Vorgesetzten vorgelegt werden. Eine Veröffentlichung von derartigen Beurteilungen kann zu einem großen Eingriff in die Privatsphäre führen, vor allem, da eine Bewertung von jedem registrierten Nutzer abgegeben werden kann – unabhängig davon, ob dieser Nutzer tatsächlich von der bewertenden LehrerIn unterrichtet wurde oder nicht.
Jeder Verantwortliche muss bei der Verarbeitung personenbezogener Daten die Einhaltung der Grundsätze der Datenverarbeitung iSd Art 5 DSGVO nachweisen können. Weiters müssen technische und organisatorische Maßnahmen gesetzt werden und die Datensicherheit gewährleistet werden (Artt 24, 25, 32 DSGVO). In der aktuellen Ausgestaltung der App werden diese Grundsätze mE. nicht im erforderlichen Maß umgesetzt und berücksichtigt, weshalb abzuwarten bleibt, ob die Datenschutzbehörde zur Ansicht kommt, dass diese App den Anforderungen der DSGVO entspricht, oder ob LehrerInnen das Feedback ihrer SchülerInnen wie bereits jetzt teilweise gehandhabt, am Ende des Semesters mit einem anonymen Fragebogen einholen werden, ohne die breite Öffentlichkeit davon in Kenntnis zu setzen.
[1] der sachliche Anwendungsbereich der DSGVO ist auf natürlich Personen eingeschränkt. Unabhängig davon greift allerdings das Grundrecht auf Geheimhaltung iSd § 1 DSGVO, sofern schutzwürdige Geheimhaltungsinteressen vorliegen auch für juristische Personen.
[2] Weitere Alternativtatbestände zum Recht auf Löschung siehe Art 17 Abs 1 lit a-f DSGVO.