Tobias O. Keber, Ella Bachmeier, Karla Neef [*] | ||
Learning Analytics – Datenschutzrechtliche und ethische Überlegungen zu studienleistungsbezogenen Datenanalysen an Hochschulen | ||
JurPC Web-Dok. 97/2019, Abs. 1 - 72 | ||
I. Ausgangssituation: EDM und LA an deutschen Hochschulen | ||
| Die Menge der im Rahmen der Forschung, der Lehre und der allgemeinen Hochschulverwaltung verarbeiteten, personenbezogenen Daten wächst zusehends. Mit Blick auf Studierendendaten geht es längst nicht mehr nur um personenbezogene Bestandsdaten (Name, Anschrift) und prüfungsrelevante (Leistungs-)Daten, sondern auch um solche, die im Zusammenhang mit Evaluationen von Lehrveranstaltungen stehen oder um Daten im Zusammenhang mit der Nutzung der in Forschung und Lehre zunehmend eingesetzten Softwareplattformen, also Lehr- und Lernplattformen wie „ILIAS“ und „Moodle“, sowie Campus- oder Classroom-Management-Systemen. Die im Rahmen dieser Dienste, Plattformen und Applikationen anfallenden Daten können technisch umfassend ausgewertet werden. | Abs. 2 | |
| Ziel von Educational Data Mining (EDM), das bereits seit Mitte der 1990er-Jahre begrifflich etabliert ist, ist es, Arbeits- und Lehr- und Lerntechniken auf Muster hin zu untersuchen, die Aussagen zu möglicher Optimierung der Prozesse erlauben. Während EDM die strategisch-operative Ebene und (hochschul-)politische bzw. ökonomische Faktoren wie die Absicht, die Absolventenquote zu erhöhen, zum Gegenstand hat, adressiert der Begriff Learning Analytics (LA) deutlicher die individuelle Perspektive von Lehrenden und Lernenden und stellt die datenbasierte Verbesserung des individuellen Lernprozesses und die Vorhersage von Lernerfolgen in den Vordergrund.[1] Im Gegensatz zu definitorischen Detail- und Abgrenzungsfragen[2] herrscht Einigkeit insoweit, dass LA zwar mit der Nutzung von E-Learning-Angeboten einhergehen kann, aber auch unabhängig von Lernplattformen wie Moodle, ILIAS & Co. an der Hochschule[3] möglich ist. Im Rahmen von LA lassen sich bspw. „nur“ aktuelle Prüfungsdaten einzelner Studierender mit statistischen Daten verknüpfen und auf Grundlage des Auswertungsergebnisses Prognosen über den weiteren Studienverlauf erstellen. | Abs. 3 | |
| Während man sich in Deutschland den mit LA möglichen Anwendungsszenarien vergleichsweise behutsam nähert,[4] ist die Erhebung von Lernprozessdaten zur Anpassung von individuellen Lernpfaden ein Konzept, dass im angloamerikanischen Raum schon länger in der Praxis eingesetzt wird. Dabei steht der Datenschutz oftmals nicht gerade an erster Stelle, wie die Lektüre des ein oder anderen Vortragstitels der in den USA jährlich stattfindenden Fachkonferenz zum Educational Data Mining zeigt: Der wissenschaftlichen Community präsentiert wurden dort zuletzt (2018) u.a. „Predicting Learning by Analyzing Eye-Gaze Data of Reading Behavior“, „Prediction of Academic Achievement Based on Digital Campus“ oder „What can we learn from college students’ network transactions? Constructing useful features for student success prediction“.[5] | Abs. 4 | |
| Nicht alles, was technisch möglich ist, ist im Bildungskontext auch verantwortbar. Die frühzeitige Unterstützung von Studierenden kann ein erfolgreiches Instrument sein, um die Beratung von Studierenden zu verbessern und dadurch das Risiko von Studienabbrüchen zu minimieren. Learning Analytics steht dabei aber in einem hochkomplexen Spannungsfeld zwischen individualisiertem Serviceangebot sowie ökonomisch motiviertem Effizienzmanagement einerseits und der Wahrung studentischer Autonomie versus didaktischem Paternalismus andererseits. | Abs. 5 | |
II. Datenschutzrechtliche und ethische Herausforderungen | Abs. 6 | |
| Insgesamt stehen die Hochschulen (spätestens) seit dem 25. Mai 2018 vor der vielschichtigen Herausforderung, hinsichtlich der Verarbeitung personenbezogener Daten im Allgemeinen und für LA im Besonderen den Vorgaben der Datenschutzgrundverordnung (DSGVO)[6] und den (soweit daneben anwendbaren) bereichsspezifisch und landesrechtlichen Vorgaben zu entsprechen.[7] Die Einhaltung der gesetzlichen Vorschriften allein reicht aber nicht aus, um das Vertrauen der Studierenden in Systeme zu gewinnen, die andernorts (Arbeitsplatz) als Maßnahmen zur Verhaltens- und Leistungskontrolle adressiert würden.[8] Neben den datenschutzrechtlichen Fragen ist daher auch den ethischen Implikationen von LA-Systemen Rechnung zu tragen, um das eingangs beschriebene Spannungsfeld auszutarieren. Recht und Ethik lassen sich dabei nicht (immer) isoliert voneinander betrachten, da die beiden Perspektiven viele Schnittmengen haben. Konsequenterweise hat der E-Learning-Experte Niall Sclater (für die Situation im Vereinigten Königreich) in einem Beitrag[9] aus dem Jahr 2015 insgesamt 86 kritische Fragen für LA-Systeme herausgearbeitet, die im gleichen Jahr in einen „Code of practice for learning analytics“ mündeten, der 2018 noch einmal aktualisiert wurde.[10] | Abs. 7 | |
| Der Leitfaden adressiert acht Kernthemen, die berücksichtigt werden müssten, um einen verantwortungsbewussten, angemessenen und effektiven Umgang mit Studierendendaten sicherzustellen: 1. Responsibility (Gesamtverantwortung für den Datennutzungsprozess in der Organisation, u.a. Anonymisierung, Analyseprozess, Aufbewahrung), 2. Transparency and consent (Aufklärung hinsichtlich Art und Verwendung der Daten; Einwilligung der Studierenden inkl. Widerruf), 3. Privacy (Anonymisierung, Zugriffsregeln, keine Re-Identifikation durch Metadaten oder Aggregation; Welche sensiblen Daten dürfen nicht in die Analyse einfließen?), 4. Validity (Überwachung der Qualität und Gültigkeit der Daten und Prozesse; Minimierung unvollständiger oder unzutreffender Daten; Vermeidung von Fehlkorrelationen), 5. Access (Einsicht von Studierendenseite in die eigenen Daten und Analyseergebnisse; Korrektur fehlerhafter Daten), 6. Enabling positive interventions (Festlegung der Umstände, der Art und der Zuständigkeiten, wenn die Datenanalyse Unterstützungsnotwendigkeit anzeigt), 7. Minimising adverse impacts (Erkenntnis, dass Analytik kein vollständiges Bild des Lernens vermitteln kann; Berücksichtigung persönlicher Umstände; Verhinderung von ‚Abstempelung‘ oder Diskriminierung) und 8. Stewardship of data (u.a. Datenverarbeitung nur in Übereinstimmung mit DSGVO). | Abs. 8 | |
III. Das LAPS-Projekt: Learning Analytics an der Hochschule der Medien Stuttgart | Abs. 9 | |
| Das Forschungsprojekt „Learning Analytics für Prüfungsleistungen und Studienerfolg (LAPS)“ an der Hochschule der Medien Stuttgart (HdM) wurde im Zeitraum vom 01. Oktober 2016 bis zum 30. September 2018 gefördert vom Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg im Förderprogramm „Digital Innovations for Smart Teaching – Better Learning“. Untersucht werden sollte, wie über die Entwicklung einer speziellen Learning-Analytics-Software die Beratung von Studierenden (Semesterstufen 2 bis 4) verbessert und dadurch das Risiko von Studienabbrüchen verringert werden kann. Die Basis des Projekts bildete die 2014 an der HdM entwickelte und beispielhaft implementierte Learning-Analytics-Software S-BEAT, die gezeigt hatte, dass durch die Analyse soziodemografischer Daten sowie der Prüfungsleistungen von bereits exmatrikulierten Studierenden auf das Risiko eines Studienabbruchs von aktuell immatrikulierten Studierenden geschlossen werden kann. | Abs. 10 | |
| Vor dem Hintergrund des oben beschriebenen Spannungsfelds sowie auf der Basis zahlreicher Studien zu den Erfahrungen mit LA-Systemen an Hochschulen u.a. in den USA, UK und Australien[11] hatte LAPS von Beginn an auch das Ziel, den Konzepten des „Ethics und Privacy by Design“ Rechnung zu tragen und folglich datenschutzrechtliche sowie ethische Herausforderungen frühestmöglich zu identifizieren und bereits in der Entwicklungsphase (auf Softwareebene) Lösungen zu implementieren. Für das Projekt wurden daher gleich zu Beginn ethische und datenschutzrechtliche Grundsätze formuliert. Im Zentrum standen dabei vor allem: | Abs. 11 | |
| • Freiwilligkeit der Teilnahme, | Abs. 12 | |
| • Transparenz hins. Funktionalität des Systems und der Verarbeitungsvorgänge, | Abs. 13 | |
| • Datensparsamkeit, | Abs. 14 | |
| • Selbstbestimmung und Eigenverantwortung der Studierenden, | Abs. 15 | |
| • Vertraulichkeit und Integrität von System und Datenverarbeitungsvorgängen. | Abs. 16 | |
| Daneben wurde ein Leitfaden fuÌr die prediktorbasierte Beratung und Begleitung von Studierenden erstellt, der die besondere Beratungssituation beim Einsatz von Learning-Analytics-Systemen berücksichtigt. Hier wurde vor allem Wert daraufgelegt, die Studierenden zu einem Teil des Prozesses zu machen statt zu Objekten einer Analyse, um einem möglichen Gefühl von Überwachung sowie einer möglichen Demotivation von Beginn an entgegenzuwirken. | Abs. 17 | |
1. Technik: Datenbasis und maschinelles Lernen | ||
| Um das LA-System LAPS funktional nachvollziehen zu können, muss zunächst das technisch organisatorische Umfeld der Verwaltung von Studierendendaten dargestellt werden. Die effiziente Verwaltung von Hochschulen erfordert den Einsatz von Campus-Management-Systemen (CMS), die es ermöglichen, den gesamten Student-Life-Cycle von der Bewerbung bis zur Abmeldung zu verfolgen und zu unterstützen. Eines der Schlüsselelemente eines solchen CMS ist die Verwaltung von Prüfungen. Das CMS erfasst alle prüfungsrelevanten Studiendaten. Aus dem Prüfungsverwaltungssystem der Hochschule lassen sich Daten über frühere Studierende der Hochschule anonymisiert extrahieren, um einen statistischen Vergleichsdatenpool und allgemeine Statistiken zum Prüfungsgeschehen zu schaffen. Aus dem Vergleichsdatenpool können für eine Vielzahl von Studiensituationen Wahrscheinlichkeiten für Studienerfolg und -misserfolg ermittelt werden. | Abs. 18 | |
| Dies erfolgt mit Hilfe von Machine-Learning-Algorithmen, genauer dem Apriori-Algorithmus (Agrawal/ImieliÅski/Swami 1993). Während des maschinellen Lernens werden Muster nicht manuell festgelegt, sondern automatisch aus den vorhandenen Trainingsdaten ‚gelernt‘. Als Trainingsdaten verwendet die LAPS-Software anonymisiert die Studienfortschrittsdaten und Studienerfolgsdaten aller Studierenden, die ihr Bachelorstudium bereits abgeschlossen haben. Mit dem Apriori-Algorithmus kann für die Analysen in LAPS eine Vielzahl möglicher Risikodimensionen mit unterschiedlichen Eigenschaften definiert werden. Die folgende Liste zeigt die im Forschungsprojekt verwendeten Risikodimensionen, die von der LAPS-Software verwendet werden: | Abs. 19 | |
| Soziodemografische Daten: | Abs. 20 | |
| • Alter zu Studienbeginn | Abs. 21 | |
| • Geschlecht | Abs. 22 | |
| Bildungsbiographie: | Abs. 23 | |
| • Art der Hochschulzugangsberechtigung | Abs. 24 | |
| • Datum der Hochschulzugangsberechtigung | Abs. 25 | |
| • Zeitintervall zwischen dem Erwerb der Hochschulzugangsberechtigung und dem Studienbeginn | Abs. 26 | |
| Dimensionen der Studiengangsanalyse nach Semester: | Abs. 27 | |
| • Summe der erreichten ECTS-Punkte | Abs. 28 | |
| • erreichte Durchschnittsnote | Abs. 29 | |
| • Anzahl der nicht bestandenen Prüfungen | Abs. 30 | |
| • Anzahl erfolgreicher Prüfungen | Abs. 31 | |
| • Anzahl der aufgeschobenen Prüfungen | Abs. 32 | |
| • Häufigkeit des Nichterscheinens bei angemeldeten Prüfungen | Abs. 33 | |
| Den Studiendimensionen nach Semestern werden zusätzlich unterschiedliche Merkmale zugeordnet. Die Risikodimensionssumme der erreichten ECTS-Punkte wird nach dem ersten Studiensemester mit den folgenden Merkmalen analysiert: | Abs. 34 | |
| • weniger als 10 ECTS-Punkte | Abs. 35 | |
| • weniger als 20 ECTS-Punkte | Abs. 36 | |
| • weniger als 30 ECTS-Punkte | Abs. 37 | |
| • über 30 ECTS-Punkte | Abs. 38 | |
| In der aktuellen Version von LAPS können die Risikodimensionen und -merkmale konfiguriert werden. Es liegt in der Verantwortung des Benutzers des Systems, einen Schwellenwert für den vorhergesagten Risikowert festzulegen, oberhalb dessen die betroffenen Studierenden automatisch als kritisch eingestuft werden. | Abs. 39 | |
 Abb. 1: Prozess des maschinellen Lernens in LAPS | Abs. 40 | |
| Die Daten aus dem Vergleichspool lassen sich, soweit die Studierenden dieser (LAPS-spezifischen) Datenverarbeitung vorab ausdrücklich zugestimmt haben, mit personenbezogenen Daten (soziodemografische Stammdaten[12] sowie leistungsbezogene Daten[13]) aktueller Studierender zusammenführen, wodurch es möglich wird, Studierende zu identifizieren, die möglicherweise von einer Studienberatung profitieren. | Abs. 41 | |
| 2.Datenschutzrechtliche Fragen | Abs. 42 | |
| a) Nicht privilegierte Verarbeitung personenbezogener Daten | Abs. 43 | |
| Da es sich bei LAPS um eine Forschungsprojekt handelt, könnte man an Art. 89 DSGVO denken, der die Verarbeitung personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken in gewissem Umfang privilegiert. Auch wird in ErwG 159 von einem weiten Forschungsbegriff ausgegangen.[14] Problematisch ist dann mit Blick auf LAPS aber einerseits, dass das System über die Projektlaufzeit hinaus einsetzbar sein sollte und andererseits, dass der Verarbeitungszweck vornehmlich im Kontext der Hochschullehre steht, die nach dem klaren Wortlaut der DSGVO im Gegensatz zur Forschung gerade nicht privilegiert ist.[15] | Abs. 44 | |
| b) Einwilligungspflichtige Verarbeitung personenbezogener Daten | Abs. 45 | |
| Die Verarbeitung personenbezogener Daten (Art. 4 Ziff. 1 DSGVO) bei LAPS könnte sodann zur Erfüllung der Aufgabe der Hochschule erforderlich sein, Art. 6 Abs. 1 lit. e) DSGVO. Über die Öffnungsklausel in Art. 6 Abs. 1 lit. e) DSGVO in Verbindung mit Art. 6 Abs. 3 Satz 1 lit. b) DSGVO sind dann die jeweiligen Hochschulgesetze sowie gegebenenfalls die Landesdatenschutzgesetze anzuwenden, sofern sie mit der DSGVO in Einklang zu bringen sind.[16] Für die für das Forschungsprojekt entscheidende Situation in BaWü ergibt sich das folgende Bild: | Abs. 46 | |
| Dem Landesdatenschutzgesetz gehen speziellere Vorschriften des LHG vor, soweit dieses den Umgang mit personenbezogenen Daten regelt, vgl. § 2 Absatz 3 LDSG BaWü. Das LHG BaWü adressiert die Verarbeitung personenbezogener Daten im hier maßgeblichen Kontext in § 5 Abs. 3 sowie in § 12 LHG. Nach § 5 Abs. 3 Satz 1 LHG dürfen die Hochschulen zur Erfüllung ihrer Aufgaben nach § 5 Absatz 2 und § 13 Absatz 9 LHG die erforderlichen Erhebungen und weiteren Datenverarbeitungen vornehmen. § 5 Abs. 3 Satz 2 bestimmt, dass die betroffenen Mitglieder und Angehörigen der Hochschule gegenüber ihrer Hochschule zur Mitwirkung und zur Angabe auch personenbezogener Daten verpflichtet sind. Zwar sind Mitglieder der Hochschule nach §§ 9 Absatz 1, 60 Abs. 1 Satz 1 LHG auch die eingeschriebenen Studierenden. Die datenschutzrechtliche Gestattungsnorm des § 5 Absatz 3 LHG steht aber ausschließlich im Kontext des Evaluationsauftrags des § 5 Absatz 2 LHG, der seinerseits der Qualitätssicherung dient (§ 5 Absatz 1 LHG). Dabei geht es gerade nicht um eine individuelle Lern-, sondern um eine Lehrevaluation, die beispielsweise die Aspekte der Lehr- und Prüfungsorganisation, die Betreuung der Studierenden, Umsetzung der Studiengangskonzeption, Studierbarkeit des Lehrangebots, Kohärenz und Abstimmung des Lehrangebots, Internationalität oder den Einsatz multimedialer Inhalte im Unterricht etc. adressiert.[17] | Abs. 47 | |
| Belastbarer scheint § 12 LHG, der in Absatz 1 Studierende verpflichtet, der Hochschule die zur Erfüllung ihrer Aufgaben einschließlich der Studienverlaufsstatistik erforderlichen personenbezogenen Daten, insbesondere zum Hochschulzugang, zum Studium, zum Studienverlauf, zu den Prüfungen und zur Nutzung weiterer Angebote der Hochschule, anzugeben. Unabhängig von der Frage, was insoweit zur Erfüllung der Aufgaben der Hochschule (§ 2 LHG) erforderlich ist, sieht § 12 Absatz 1 Satz 4 LHG eine Konkretisierung des Umfangs der Daten durch Rechtsverordnung des Wissenschaftsministeriums vor.[18] Jene, soweit ersichtlich noch nicht mit der DSGVO abgestimmte Verordnung, betrifft neben personenbezogenen Bestandsdaten (Familienname, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Geschlecht) nur Leistungsdaten in Bezug auf Prüfungsleistungen (Ergebnis und Datum) bei bestimmten Vor-, Zwischen- und Abschlussprüfungen. Eine durchgängige, alle Prüfungsleistungen betreffende Leistungsanalyse und die Verknüpfung mit dem Vergleichsdatenpool lässt sich hierüber nicht legitimieren. Die Verknüpfung der Leistungsdaten mit dem Vergleichsdatenpool zum Zweck einer Leistungsprognose ist wegen einer ohne weiteres möglichen datenschonenderen (Art. 5 Abs. 1 lit. c) DSGVO) Aufgabenerfüllung nicht erforderlich.[19] | Abs. 48 | |
| Nichts Anderes folgt aus dem Umstand, dass das LHG BaWü in § 32 Absatz 5 den Auftrag an die Hochschulen formuliert: „Die Hochschulen tragen durch eine frühzeitige Begleitung der Studierenden, insbesondere in der Studieneingangsphase für einen Studienerfolg Sorge.“ Jedenfalls als datenschutzrechtliche Gestattungsnorm trägt die Vorschrift nicht, weil eine Begleitung der Studierenden auch ohne (zusätzliche) Datenverarbeitungsvorgänge möglich ist. | Abs. 49 | |
| Hiernach kommt als Erlaubnistatbestand für die Analyse- und Prognosefunktionen von LAPS nur die Einwilligung, Art. 6 Abs. 1 Buchst. a) DSGVO („opt-in“) in Betracht, wobei die Anforderungen an eine rechtmäßige Einwilligung nach Art. 7 DSGVO zu beachten sind und sie insgesamt als freiwillig erscheint, was in ErwG 43 noch einmal konkretisiert wird. | Abs. 50 | |
| c) Informations- und Transparenzpflichten | Abs. 51 | |
| Mit Blick auf die im Rahmen von LAPS verarbeiteten Daten muss die Hochschule ihren Informations- und Transparenzpflichten (Art. 12ff. DSGVO) nachkommen. Den teilnehmenden Studierenden müssen dazu vorab in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache (Art. 12 Abs. 1 Satz 1 DSGVO) nicht nur allgemeine Informationen, wie Name und Kontaktdaten des Verantwortlichen sowie die Zwecke und Rechtsgrundlage der Datenverarbeitung mitgeteilt werden (Art. 13 Abs. 1 DSGVO), sondern auch weitere Informationen wie z.B. die Dauer der Speicherung der personenbezogenen Daten (Art. 13 Abs. 2 a) DSGVO) und der Umstand, dass die Studierenden zu der sie betreffenden Datenverarbeitung Auskunft verlangen können (Art. 13. Abs. 2 b) DSGVO). Nach der in der datenschutzrechtlichen Literatur herrschenden Auffassung ist es möglich, den Transparenz- und Informationspflichten auch gestuft und über Medienbrüche hinweg zu entsprechen.[20] Das bedeutet auch, dass den Studierenden die Pflichtangaben zu Inhalt und Umfang der Datenverarbeitung der LA-Anwendung zusammen mit der Einwilligungserklärung als Text zur Verfügung gestellt und im Rahmen von Informationsveranstaltungen bei Bedarf weitergehend erläutert werden sollten. | Abs. 52 | |
| d) Recht auf Auskunft | Abs. 53 | |
| Um die Umsetzung des in Art. 15 DSGVO näher geregelten Auskunftsrechts praktikabler zu gestalten, wird in der DSGVO in ErwG 63 die Möglichkeit eines direkten Zugang zu den Daten mittels Fernzugriff genannt. Das bedeutet, dass dem Auskunftsrecht der Studierenden dadurch Rechnung getragen werden kann, dass sie die insoweit erforderlichen Informationen über einen (Login-geschützten) persönlichen Bereich (Privacy Dashboard) jederzeit selbst einsehen und hier gegebenenfalls auch Begehren zur Berichtigung (Art. 16), Löschung (Art. 17) oder zur Einschränkung der Verarbeitung (Art. 18) kommunizieren können. Soweit die Komplexität das LA-Systems hoch und zu erwarten ist, dass Nutzerinnen und Nutzer Methodik und Aussagewert der einsehbaren Berechnungen nicht oder nur schwer nachvollziehen können, sollte die Einsichtnahme assistiert erfolgen, so dass geschultes Personal Berechnungsgrundlage, Ergebnis und seine Signifikanz näher erläutern kann. | Abs. 54 | |
| e) Recht auf Löschung | Abs. 55 | |
| Praxisrelevant, weil auch unabhängig von einem entsprechenden Verlangen eines Betroffenen,[21] ist das Recht auf Löschung, Art. 17 DSGVO. Der Verordnungsgeber legt bestimmte Gründe in Art. 17 Abs. 1 lit. a) bis f) für den Verantwortlichen fest, nach denen dieser die Löschung der Daten veranlassen muss. Ist der für die Datenverarbeitung festgelegte Zweck nicht mehr vorhanden, was z.B. nach Abschluss des Studiums für die Datenerhebung zur Voraussage eines möglichen Studienabbruchs gegeben wäre, sind die Daten nach Art. 1 lit. a) zu löschen. Im Falle von Learning-Analytics-Systemen im Kontext des Verhältnisses zwischen Hochschule und Studierenden kommt auch ein Widerruf der Einwilligung (Art. 7 Abs. 3) nach Art. 17 Abs. 1 lit. b) in Betracht. Die DSGVO lässt nach Art. 17 Abs. 3 einige Ausnahmen von der Löschungspflicht zu. Darunter fällt auch die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, Art. 17 Abs. 3 lit. d). Ein wissenschaftlicher Forschungszweck liegt z.B. dann vor, wenn die genutzten Lern- und Lehrkonzepte in LA-Systemen auf ihre didaktische und pädagogische Wirksamkeit wissenschaftlich überprüft und verbessert werden. Die | Abs. 56 | |
| DSGVO deutet in ErwGr 159 für den Begriff des „wissenschaftlichen Forschungszwecks“ eine weite Auslegung an. Der Verordnungsgeber beschreibt in Art. 89 allerdings auch, dass geeignete Maßnahmen zur Wahrung von Interessen der betroffenen Person wie z.B. die Pseudonymisierung der Ergebnisse zu treffen sind. Mit Blick auf das Verarbeitungsprivileg zu statistischen Zwecken heißt es in ErwGr 162: „Unter dem Begriff „statistische Zwecke“ ist jeder für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung personenbezogener Daten zu verstehen.“ Möchte die Hochschule im Zeitverlauf also beispielsweise analysieren, wie sich die Abbrecherquote mit und ohne Früherkennung durch LA-Systeme verändert hat und welche Maßnahmen wirkungsvoll waren, lässt sich dies über Art. 17 Abs. 3 lit. d) DSGVO begründen. Insoweit gilt wieder der Grundsatz, dass die personenbezogenen Daten zu dem Zeitpunkt zu löschen sind, ab dem sie für den Zweck (nach Ausnahmeregelung) nicht mehr gebraucht werden.[22] | Abs. 57 | |
| f) Recht auf Datenübertragbarkeit | Abs. 58 | |
| Mit der Möglichkeit, die über sie verarbeiteten, personenbezogenen Daten nicht nur einzusehen, sondern sie auch in einem gängigen Format[23] herunterzuladen (Art. 15 Abs. 3 DSGVO), kann zugleich, so es im jeweiligen Anwendungsszenario anwendbar ist, dem Recht auf Datenübertragung nach Art. 20 DSGVO Rechnung getragen werden.[24] Mit Blick auf den Anwendungsbereich dieses Rechts ist in Art. 20 Abs. 1 DSGVO die Rede von Daten, die einem Verantwortlichen von der betroffenen Person bereitgestellt werden. Unter dem Begriff „bereitgestellte Daten“ versteht die Artikel-29-Datenschutzgruppe[25] zwei Kategorien von personenbezogenen Daten. Zum einen wären das die von einer Person aktiv bereitgestellten Daten – wie z.B. Name oder Geschlecht – und zum anderen Daten, die durch Beobachtung der Person erhoben wurden – wie z.B. Standortdaten, Verkehrsdaten oder der Suchverlauf. In beiden Fällen geht es um Rohdaten. Im Unterschied zu diesen Rohdaten erstreckt sich das Recht aus Art. 20 DSGVO jedoch nicht auf Informationen durch Analysemethoden, sprich abgeleitete Daten, denn diese abgeleiteten Daten wurden nicht von der betroffenen Person bereitgestellt.[26] Bei LA-Systemen basieren viele Aussagen und Rückschlüsse aber gerade auf abgeleiteten Daten, die nicht über das Recht auf Datenportabilität herauszugeben wären. Im Einzelfall kann das Recht auf Datenübertragbarkeit unabhängig davon wegen betroffenen Rechten Dritter[27] ausgeschlossen sein, Art. 20 Abs. 4 DSGVO. | Abs. 59 | |
| g) Keine automatisierte Entscheidungsfindung | Abs. 60 | |
| Die betroffene Person hat nach Art. 22 DSGVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.[28] Eine unmittelbar rechtliche Wirkung würde eine von dem LA-System ausgegebene ungünstige Prognose entfalten, wenn der Studierende aufgrund dieser Vorhersage automatisch exmatrikuliert würde. Gleiches (in ähnlicher Weise erheblich beeinträchtigt) und im Lichte des Art. 22 DSGVO unzulässig wäre eine Ausgestaltung, bei der mit der Berechnung von Abbruchswahrscheinlichkeiten die Verpflichtung einherginge, bei ungünstiger Prognose kostenpflichtige Nachhilfekurse zu belegen oder Pflichttermine bei der sozial-psychologischen Beratung wahrzunehmen. Bringt ein LA-System dagegen lediglich Vorschläge hervor, woraufhin ein Mensch eine Entscheidung trifft und verantwortet, fällt die Entscheidungsfindung nicht unter Art. 22.[29] Im Projekt LAPS wird u.a. die Abbruchswahrscheinlichkeit und auf dieser Grundlage entscheidet ein Mensch, ob der betroffene Studierende eine Einladung zu einem Termin zur Studienberatung erhält, dessen Wahrnehmung wiederum freiwillig ist. | Abs. 61 | |
| h) Erfordernis einer Datenschutz-Folgenabschätzung | Abs. 62 | |
| Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 Abs. 1 DSGVO durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In der Sache geht es dabei um einen zu dokumentierenden, geordneten Prozess der Bewertung besonderer Risiken für die Rechte und Freiheiten natürlicher Personen, die durch den Verarbeitungsvorgang auftreten, um diese durch geeignete Gegenmaßnahmen (insbesondere durch technische und organisatorische Maßnahmen (TOMs)) sachgerecht zu adressieren.[30] Zur Bewertung der Frage, ob ein hohes Risiko vorliegt, hat die Artikel-29- Datenschutzgruppe Kriterien entwickelt, wonach dies u.a. bei Verarbeitungsvorgängen, die eine Bewertung oder Einstufung, automatisierte Entscheidungsfindung, Datenverarbeitung in großem Umfang, das Abgleichen oder Zusammenführen von Datensätzen sowie die innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen der Fall sein kann.[31] | Abs. 63 | |
| Nach der nicht abschließenden Aufzählung in Art. 35 Abs. 3 DSGVO ist eine DSFA insbesondere in näher bestimmten Fällen einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen sowie im Falle der Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 9 Abs. 1 DSGVO) erforderlich. Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DSGVO oder der Liste einer Aufsichtsbehörde (Muss- bzw. Positivlisten i.S.d. Art. 35 Abs. 4 DSGVO für Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist)[32] genannt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DSGVO Gebrauch machen. | Abs. 64 | |
| Vor dem Hintergrund der von der Artikel-29-Datenschutzgruppe entwickelten Kriterien der Wertung in Art. 35 Abs. 3 sowie den Vorgaben in Positivlisten (für öffentliche Stellen)[33] wird man von der Erforderlichkeit einer DSFA für LA-Systeme ausgehen müssen. | Abs. 65 | |
IV. Praktische Abbildung datenschutzrechtlicher sowie ethischer Desiderata in LAPS | Abs. 66 | |
| Die dargestellten Vorgaben der DSGVO sowie ethische Desiderata führten zu folgender Ausgestaltung des Systems: | Abs. 67 | |
1. Prinzip der Freiwilligkeit und Transparenz | ||
| Eingeschriebene Studierende müssen explizit eine Einwilligungserklärung (Opt-In) abgeben, um an LAPS und damit an der personenbezogenen Analyse teilnehmen zu können. Hierzu werden die Studierenden vorab ausführlich über den genauen Inhalt und Umfang der Datenverarbeitung (Informationen zu Art, Zweck und Umfang der Datenverarbeitung) aufgeklärt durch ein der Einwilligungserklärung beiliegendes Merkblatt, das ausdrücklich Bestandteil der Einwilligungserklärung ist. Nur mit dieser freiwilligen und informierten Einwilligung ist es möglich, dass die Berater/innen in der Zentralen Studienberatung auf die jeweiligen persönlichen Daten mit Risikoanalysen Einsicht nehmen können. Die Studierenden haben zudem jederzeit die Möglichkeit, ihre Entscheidung rückgängig zu machen. Sobald sie sich abmelden, werden die identifizierenden Daten unverzüglich gelöscht und bei zukünftigen Datenabzügen nicht mehr aus dem Prüfungsverwaltungssystem übertragen. Ab diesem Zeitpunkt erfolgt nur noch eine Auswertung der Daten im Rahmen statistischer Auswertungen, die keine Identifikation einzelner Studierender erlaubt. Wird zu keinem Zeitpunkt eine Einwilligung erteilt, so erfolgt von Anfang an nur eine Auswertung zu statistischen Zwecken. Aus der Verweigerung der Einwilligung oder einem Widerruf entstehen den Studierenden keine Nachteile. Transparenz und Aufklärung über das Projekt werden auch dadurch erzielt, dass das LAPS-Projekt in jedem Semester in der Studierendenvollversammlung vorgestellt wird. Zudem können die Studierenden jeweils einmal im Semester an einem Informationsstand im Foyer der Hochschule persönlich sowie jederzeit über die Webseite des Projekts (https://www.hdm-stuttgart.de/laps) direkt ihre Fragen zum Verfahren und zur Verwendung der Daten an das Projektteam richten. Auf der Webseite zum Projekt werden zudem die zentralen Informationen zu LAPS in Form von FAQ bereitgestellt. | Abs. 68 | |
2. Zugriffs- und Schulungskonzept | ||
| Der Zugriff auf die Daten und Auswertungen im LAPS-Projekt ist durch die Einschränkung der Benutzergruppe(n) streng begrenzt. Die Analyseergebnisse von Studierenden, die per Einwilligungserklärung an LAPS teilnehmen, können standardmäßig nur von Mitarbeiter/innen der Zentralen Studienberatung eingesehen werden, die keinerlei Einfluss auf die Notengebung haben und im Umgang mit den statistischen Analyseergebnissen geschult sind. Studierende können einzelnen Dozenten/innen, Mitarbeitern/innen der studienfachlichen Studienberatung (i. d. R. die Studiendekaninnen und -dekane) individuell, ausdrücklich und zeitlich beschränkt Zugriff gestatten. Somit entscheidet die/der Studierende selbst, ob sie/er einer notengebenden Personen Einblick in seine persönlichen Analyseergebnisse erlauben möchte oder nicht. Hierbei handelt es sich um eine bewusste Entscheidung, um einer möglichen Stigmatisierung von Studierenden auf der Grundlage der LA-Ergebnisse entgegenzuwirken. Im LAPS-Prozess wurde darauf Wert gelegt, so weit als möglich die Rolle des notengebenden Lehrenden von der Rolle des in einer kritischen Studiensituation Beratenden zu trennen. Darüber hinaus müssen die Studiendekaninnen und -dekane zunächst an einem LAPS-Beratungsworkshop teilgenommen haben, bevor sie LAPS für ihre Beratungsgespräche nutzen können. Diese Einführung zielt darauf ab, dass Benutzerinnen und Benutzer verstehen lernen, wie die zugrundeliegenden Daten, die zur Berechnung der Wahrscheinlichkeit eines positiven oder negativen Lernfortschritts verwendet werden, und die Ergebnisse zu interpretieren sind und wie diese für eine erfolgreiche Beratung eingesetzt werden können. Eine Weitergabe der personenbezogenen Daten von Studierenden aus dem LAPS-Projekt an andere Einrichtungen oder die Nutzung durch andere Stellen oder Mitarbeiter der Hochschule findet ausdrücklich nicht statt. | Abs. 69 | |
3. Beratungskonzept | ||
| Zeigen die durchgeführten Analysen eine statistische Wahrscheinlichkeit dafür an, dass eine Beratung sinnvoll sein könnte, hat dies einzig zur Folge, dass der/die betreffende Studierende einen entsprechenden Hinweis und den Rat erhält, Beratung in Anspruch zu nehmen. Ob diesem Rat gefolgt wird, entscheidet alleinig der/die Studierende. Eine Nichtbefolgung hat keinerlei Konsequenzen. Nach dem Empfang der E-Mail können Studierende selbst entscheiden, ob sie diese ignorieren oder ob sie sich für ein Beratungsgespräch mit entweder der Zentralen Studienberatung oder der Fachstudienberatung entscheiden. Das Ergebnis der Analyse bekommen die Studierenden in der E-Mail nicht mitgeteilt. Dies ist eine bewusste Entscheidung: Ohne die Kenntnis, wie die Analyse zu interpretieren ist, und ein Verständnis für die individuelle Situation der Studierenden, könnten die Daten missinterpretiert werden. Die Studierenden haben jedoch innerhalb des Beratungsgesprächs die Möglichkeit, ihre Analyseergebnisse begleitet von der entsprechenden Erläuterung selbst einzusehen. Hierbei ist es wichtig, dass die Studierenden verstehen, dass es sich bei der durch die Analyse abgeleiteten Risikowahrscheinlichkeit um eine Wahrscheinlichkeit handelt, die auf ganz spezifischen Daten, die der Hochschule vorliegen, basiert. Dass ein/e Studierende/r eine geringe Anzahl ECTS-Punkte in den ersten Semestern erworben hat, kann vielfältige Gründe haben, die mit dem Studium u. U. nichts zu tun haben und somit vom System nicht berücksichtigt werden können. Das könnten gesundheitliche Problem, hohe Arbeitsbelastungen außerhalb der Hochschule, Probleme im persönlichen Umfeld etc. sein. Dessen sollten sich alle Prozess-Beteiligten immer bewusst sein. Abbildung 2 veranschaulicht den zuvor beschriebenen LAPS-Beratungs- und Datenzugriffsprozess. | Abs. 70 | |
 Abb. 2: LAPS-Beratungs- und Datenzugriffsprozess | Abs. 71 | |
4. Open Source | ||
| Obwohl das LAPS-Projekt an der HdM entwickelt wurde, kann es an jeder anderen Universität eingesetzt werden. Dies wird durch die Veröffentlichung als Open Source-Software erreicht, und der Datenimport ist nicht an ein bestimmtes CMS gebunden. Die einzige Voraussetzung ist, dass die CMS-Daten in ein LAPS-lesbares CSV-Format exportiert werden müssen. Dazu müssen Exportskripte geschrieben werden, die den Export der Daten ermöglichen. | Abs. 72 | |
| Fußnoten | ||
| [*] Dr. iur. Tobias O. Keber ist Professor für Medienrecht und Medienpolitik in der digitalen Gesellschaft an der Hochschule der Medien in Stuttgart sowie Leiter des Instituts für Digitale Ethik (IDE), ebendort. Ella Bachmaier ist Projektreferentin bei der Stiftung Medienpädagogik Bayern und war im Rahmen ihrer Masterarbeit an der Hochschule für Medien mit Learning Analytics befasst. Karla Neef ist Mitarbeiterin des IDE und war im Forschungsprojekt LAPS für die Bearbeitung der ethischen Fragestellungen zuständig. [1] Zu EDM Jülicher, Big Data in der Bildung, ABIDA-Dossier November 2015, S. 2. Beitrag abrufbar unter: http://www.abida.de/sites/default/files/Education.pdf [2] http://www.abida.de/sites/default/files/Education.pdf Zu den unterschiedlichen Begrifflichkeiten und zur Abgrenzung von EDM und LA vgl. Nithya/Umamaheswari/Umadevi, A Survey on Educational Data Mining in Field of Education, International Journal of Advanced Research in Computer Engineering & Technology (IJARCET), Volume 5 Issue 1, January 2016, S. 69–78, abrufbar unter: http://ijarcet.org/wp-content/uploads/IJARCET-VOL-5-ISSUE-1-69-78.pdf; Mandausch/Meinhard/Henning, Zwischen digitaler Unterstützung und gläsernen Studierenden, Educational Data Mining und Learning Anal 1/2018, 19.03.2018, abrufbar unter: https://journals.univie.ac.at/index.php/mp/article/view/mi1206/1312; Ferguson, Learning analytics, International Journal of Technology Enhanced Learning, 2012, 4(5/6), S. 304–317, abrufbar unter: http://oro.open.ac.uk/36374/. [3] Zu den datenschutzrechtlichen Implikationen beim E-Learning (nicht nur) in der Hochschullehre vgl. die Orientierungshilfe der Datenschutzaufsichtsbehörden für Online-Lernplattformen im Schulunterricht (Stand: 26.04.2018), abrufbar unter: https://www.datenschutzkonferenz-online.de/orientierungshilfen.html sowie Internationale Arbeitsgruppe für Datenschutz in der Telekommunikation, Arbeitspapier zum Thema E-Learning-Plattformen mit Empfehlungen für Bildungseinrichtungen, Anbieter von E-Learning-Plattformen, Datenschutzbehörden und politische Entscheidungsträger (61. Meeting, 24.–25. April 2017), abrufbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/working-paper/2017/2017-IWGDPT_Working_Paper_E-Learning_Platforms-de.pdf. [4] Für einen Überblick vgl. auch https://www.e-teaching.org/didaktik/qualitaet/learning_analytics. [5] Educational Data Mining 2018, July 15–18, 2018, Buffalo NY, Proceedings abrufbar unter: http://educationaldatamining.org/EDM2018/proceedings/. [6] Verordnung (EU) 2016/679 des Europäischen Parlament und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). [7] Für einen Überblick vgl. Schwartmann, Faz.net v. 23.05.2018, abrufbar unter: https://www.faz.net/aktuell/feuilleton/hoch-schule/datenschutz-an-hochschulen-15600850.html. [8] Wenn das Verhalten oder die Leistung betrieblicher Arbeitnehmer durch den Einsatz technischer Einrichtungen überwacht werden soll, kommt dem Betriebsrat ein zwingendes Mitbestimmungsrecht nach § 87 Absatz 1 Nr. 6 BetrVG zu. [9] Sclater, A taxonomy of the ethical and legal issues of learning analytics v0.1, 30. Januar 2015, online verfügbar unter: https://analytics.jiscinvolve.org/wp/2015/01/30/a-taxonomy-of-the-ethical-and-legal-issues-of-learning-analytics-v0-1/. [10] Sclater/Bailey, Code of practice for learning analytics, 15. August 2018, abrufbar unter: http://repository.jisc.ac.uk/6985/1/Code_of_Practice_for_learning_analytics.pdf. [11] Vgl. u.a. Slade/Prinsloo, Learning Analytics: Ethical Issues and Dilemmas, American Behavioral Scientist 57(10), 2013, S. 1510–1529, abrufbar unter: https://doi.org/10.1177/0002764213479366; Scholes, The ethics of using learning analytics to categorize students on risk, Education Tech Research Dev (2016) 64, S. 939–955, abrufbar unter: https://doi.org/10.1007/s11423-016-9458-1; Willis/Slade/Prinsloo, Ethical oversight of student data in learning analytics: a typology derived from a cross-continental, cross-institutional perspective, Education Tech Research Dev (2016) 64, S. 881–901, abrufbar unter: https://doi.org/10.1007/s11423-016-9463-4; Lawson/Beer/Rossi et al., Identification of ‘at risk’ students using learning analytics: the ethical dilemmas of intervention strategies in a higher education institution, Education Tech Research Dev (2016) 64, S. 957–968, abrufbar unter: https://doi.org/10.1007/s11423-016-9459-0; Slade, Applications of Student Data in Higher Education: Issues and Ethical Considerations, Ithaka S+R, 6. September 2016, abrufbar unter: https://doi.org/10.18665/sr.283891. [12] Stammdaten: Matrikelnummer, Geschlecht, PLZ des Wohnorts, Art der Hochschulzugangsberechtigung (HZB) (z.B. Abitur), Postleitzahl des Orts des Erwerbs der HZB, Jahr und Note des Erwerbs der HZB, Beginn des Studiums, Studiengang und Studienschwerpunkt, Version der geltenden Prüfungsordnung, Zahl der Fach- und Hochschulsemester. [13] Leistungsbezogene Daten: Datum und Note von Studienleistungen im Sinne der einschlägigen Bestimmungen der Studien- und Prüfungsordnung grundständiger Studiengänge an der Hochschule der Medien (HdM). [14] Golla, in: Specht/Mantz, Handbuch Europäisches und Deutsches Datenschutzrecht, Teil C, Datenschutzrecht im öffentlichen Sektor, Rn. 77. [15] Vgl. auch Golla/Matthé, Das neue Datenschutzrecht und die Hochschullehre, WissR 2018 (51. Band, Heft 2), S. 206. [16] Zum Zusammenspiel der Normen vgl. auch Golla/Matthé, Das neue Datenschutzrecht und die Hochschullehre, WissR 2018 (51. Band, Heft 2), S. 206 ff. (214). [17] Haug, in: von Coelln/Haug, Beck'scher Online-Kommentar Hochschulrecht Baden-Württemberg, § 5 LHG, Rn. 13. [18] Verordnung des Wissenschaftsministeriums zur Erhebung und Verarbeitung personenbezogener Daten der Studienbewerber, Studierenden und Prüfungskandidaten für Verwaltungszwecke der Hochschulen (Hochschul-Datenschutzverordnung) in der Fassung vom 28. August 1992, zuletzt geändert durch Artikel 2 der Verordnung vom 3. Mai 2012. [19] Vgl. dazu Golla, in: Specht/Mantz, Handbuch Europäisches und Deutsches Datenschutzrecht, Teil C, Datenschutzrecht im öffentlichen Sektor, Rn. 88. [20] Dazu WP 260 Rev. 1 v. 11.4.2018, S. 19f. GDD-Praxishilfe DS-GVO VII - Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, abrufbar unter: [21] https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf. [21] Zwar spricht Art. 17 Abs. 1 Satz 1 zunächst „nur“ von einem Recht des Betroffenen, der Wortlaut „und der Verantwortliche ist verpflichtet…“ stellt dann aber klar, dass die Rechtsfolge auch unabhängig von einem entsprechend geäußerten Begehren des Betroffenen ist. [22] Vgl. Datenschutzkonferenz (DSK) 2017, Kurzpapier Nr. 11, Recht auf Löschung / „Recht auf Vergessenwerden“ S. 2. Papier abrufbar unter: https://www.datenschutzkonferenz-online.de/kurzpapiere.html. [23] Die Artikel-29-Datenschutzgruppe verlangt einen hohen Abstraktionsgrad, der eine Lesbarkeit der Formate mithilfe von vielen verschiedenen Programmen ermöglicht. In Frage kommen dafür z.B. Formate wie txt (Text-Datei), rtf (Rich Text Format) oder Excel-Formate. Vgl. Artikel-29-Datenschutzgruppe, WP 242 rev.01, S. 21. [24] Vgl. zu diesem Recht Artikel-29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit 2017. Die Herausgabe der personenbezogenen Daten aus LA-Systemen ist im Zusammenhang mit einem Hochschulwechsel denkbar; insbesondere dann, wenn in einen fachlich ähnlichen Studiengang an einer anderen Hochschule gewechselt wird und die Bildungseinrichtung ebenfalls ein Learning-Analytics-System bereitstellt. Gerade beim Wechsel in höhere Fachsemester können die bereits erhobenen Daten an der neuen Hochschule integriert werden. Besonders für LA-Systeme, die personalisiertes Lernen ermöglichen und Kontroll-Dashboards für Studierende bereithalten, mag dies interessant sein. Im Einzelfall ist genau zu untersuchen, ob das Recht auf Datenübertragbarkeit wegen betroffenen Rechten Dritter nicht ausgeschlossen ist, Art. 20 Abs. 4 DSGVO. [25] Gemäß Artikel 68 DSGVO nahm am 25.05.2018 der Europäische Datenschutzausschuss (EDSA) seine Arbeit auf und löste die Artikel-29-Datenschutzgruppe ab. Zentrale Vorarbeiten der Artikel-29-Datenschutzgruppe hat sich der EDSA in Endorsement 1/2018 zu eigen gemacht. [26] Vgl. hierzu Artikel-29-Datenschutzgruppe, WP 242 rev.01, S. 11. [27] Denkbar wäre dies beispielsweise, wenn das System in die individuelle Leistungsanalyse pbD Dritter einbezieht, was bei der Vergabe von Gruppennoten der Fall wäre. [28] Zur Interpretation des Art. 22 DSGVO vgl. auch ErwG 71. [29] Schulz, in: Gola, Datenschutzgrundverordnung, Art. 22, Rn. 14; Atzert, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO, Art. 22, Rn. 65. [30] Eingehend dazu das Kurzpapier der Datenschutzkonferenz zur Datenschutz-Folgenabschätzung, abrufbar unter: https://www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf. Vgl. auch die Praxishilfe „Voraussetzungen einer Datenschutz-Folgenabschätzung“ der Gesellschaft für Datenschutz und Datensicherheit (GDD), abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf. [31] Art. 29-Datenschutzgruppe, WP 248, S. 10ff. [32] Nachweise mit Links zu den jeweiligen Papieren (Stand: August 2018) finden sich in Dossier IV, Datenschutz-Folgenabschätzung der Stiftung Datenschutz, S. 5, abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Dossiers_Infoplattform/DSGVO-Info-Dossier_IV___Datenschutzfolgenabschaetzung_AR.pdf. [33] Vgl. etwa die Muss-Liste (Positivliste) für öffentliche Stellen in Rheinland-Pfalz, abrufbar unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf. | ||
| [online seit: 21.08.2019] | ||
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs. |
| Zitiervorschlag: Keber, Tobias O., Learning Analytics – Datenschutzrechtliche und ethische Überlegungen zu studienleistungsbezogenen Datenanalysen an Hochschulen - JurPC-Web-Dok. 0097/2019 |
