Datenschutz an Hochschulen

Neue Regeln für den Schutz der Persönlichkeit

Von Rolf Schwartmann
23.05.2018
, 14:00
Auf die Universitäten (hier die Berliner Humboldt-Universität) kommen mit der Datenschutzreform neue Schutz- und Dokumentationspflichten zu.
An diesem Freitag tritt die Datenschutz-Grundverordnung in Kraft. Wie müssen die Hochschulen die Daten ihrer Studenten und Mitarbeiter schützen?
ANZEIGE

Studieren und Forschen von beliebigen Orten aus ist eine Wohltat der Digitalisierung. Sie erfordert aber künftig mehr Disziplin in puncto Datenschutz. Ab dem 25. Mai 2018 muss in der EU auch in Hochschulen die Datenschutz-Grundverordnung (DSGVO) angewendet werden. Wissenschaftseinrichtungen werden zwar privilegiert, soweit es um Forschungszwecke geht. Der überwiegende Teil der Datenverarbeitungen an Hochschulen hat damit aber nichts zu tun. Die Alma Mater weiß viel über ihre Studenten und das wissenschaftliche Personal. Von der Einschreibung bis zum Abschluss verarbeitet sie Informationen über persönliche Verhältnisse, Leistungsvermögen, Gesundheit, Stressresistenz und vieles mehr. Zunehmend geht es um E-Learning und die Auswertung von Studentendaten zu einer Vielzahl von bekannten und unbekannten Zwecken. Auch personenbezogene Daten über Wissenschaftler und deren Forschungsgegenstände verarbeiten Hochschulen als Dienstherren zur Genüge.

Verantwortlich für die Organisation des Datenschutzes sind in erster Linie die Hochschulen als Einrichtungen. Sie müssen einen Datenschutzbeauftragten bestellen, der ihnen beratend zur Seite steht. Was gilt es zu beachten? Auf den Punkt gebracht: Die Datenverarbeitung muss mit Blick auf Datenschutz und Datensicherheit nicht nur zulässig sein, sondern sie muss durch Informationspflichten transparent gestaltet, für Dritte nachvollziehbar organisiert, technisch gegen Datenpannen gewappnet und nachweislich risikominimiert sein. Zudem haben von der Datenverarbeitung Betroffene eine Vielzahl von Rechten, auf deren legitime Wahrnehmung Hochschulen vorbereitet sein müssen. Sie betreffen zum Beispiel Auskunft, Löschung und Berichtigung von Daten. Geldbußen gibt es für die öffentliche Hand bei Verstößen aber grundsätzlich nicht, wohl aber Sanktionen unterhalb dieser Schwelle.

ANZEIGE

Wenn staatliche Hochschulen Daten zur Erfüllung ihres öffentlichen Auftrages verarbeiten, benötigen sie, damit dies zulässig ist, in der Regel keine Einwilligung, sondern sie handeln auf gesetzlicher Basis rechtmäßig. Man muss nur darauf achten, Daten nicht zu Zwecken jenseits des öffentlichen Auftrages zu verarbeiten. Dann, wenn die Hochschule etwa im Rahmen wissenschaftlicher Projekte im Wettbewerb handelt, kommt es auf Verträge oder Einwilligungen an, die informiert und freiwillig gegeben werden müssen.

Komplexe Löschpflichten

Die Regeln zur Zulässigkeit der Datenverarbeitung sind nicht neu. Allerdings werden sie künftig durch Informationspflichten ergänzt. Zum Zeitpunkt der Erhebung von Daten muss die Hochschule Studenten unabhängig davon, ob das im Detail interessiert und sinnvoll aufgenommen werden kann, umfassende Informationen zukommen lassen. Transparenz muss unter anderem über alle Zwecke der Datenverarbeitung geschaffen werden, aber auch über die Empfänger der Daten und wie lange sie gespeichert werden. Mitzuteilen ist auch die Rechtsgrundlage der Verarbeitung und falls sie auf einer Interessenabwägung beruht, wie etwa eine Videoüberwachung bestimmter Bereiche der Hochschule, auch die Gründe, die dies erforderlich machen. Hochschulen sind also künftig verpflichtet, bei der Einschreibung umfassend, verständlich, vollständig und nachweislich zu informieren. Zudem sollten die Informationen im Rahmen einer Datenschutzerklärung auf der Website der Hochschule verfügbar sein.

ANZEIGE

Die Auftragsdatenverarbeitung schließlich betrifft jede Hochschule, weil dort immer auch externe Datenverarbeitungen durchgeführt werden. Sei es, dass Druckaufträge für Visitenkarten vergeben oder Hosting-Dienste in Anspruch genommen werden. Für diese Verarbeitungen müssen Verträge zur Wahrung von Datenschutz und Datensicherheit geschlossen werden. Die Verantwortung dafür liegt bei der Hochschule, die zwingend ihren Datenschutzbeauftragten konsultieren muss.

Besonderes Augenmerk verdienen zudem Löschpflichten, die Datenschutzorganisation, die Auftragsdatenverarbeitung, die Verhinderung und der Umgang mit Datenpannen und die verfahrensrechtlich vorgegebene Datenschutz-Folgenabschätzung für besonders risikobehaftete Datenverarbeitungen. Mancher, der an den Jahre zurückreichenden Posteingang seines Mail-Accounts denkt, kann ermessen, dass die Einhaltung von Löschpflichten ein erhebliches praktisches Problem darstellt. Grundsätzlich müssen personenbezogene Daten nicht nur in Mails im Sinne der Datensparsamkeit gelöscht werden, sobald sich ihr Speicherzweck erledigt hat. Das muss im Einzelfall geprüft und in Löschkonzepten umgesetzt werden. Wie komplex das ist, wird deutlich, wenn man bedenkt, in wie vielen Hunderten von Posteingängen von Hochschulrechnern und von für die Hochschule genutzten Privatgeräten Daten E-Mails mit unzähligen persönlichen Informationen liegen.

Der Löschpflicht stehen zwar teilweise Aufbewahrungspflichten etwa nach Hochschulrecht, zu Prüfungszwecken, zu statistischen Zwecken oder nach dem Steuerrecht entgegen. In vielen Fällen werden diese aber nicht gelten, und unabhängig von der Löschpflicht können Betroffene Löschrechte auf „Vergessen-werden“ einfordern. Dem ist unverzüglich zu entsprechen, wenn die Speicherung nicht mehr nötig ist. Wie diese Löschung der teilweise verketteten Daten aus Archiven und Backups erfolgen soll, ist technisch völlig offen.

ANZEIGE

Neue Dokumentationspflichten

Herausforderungen stellen sich in organisatorischer Hinsicht. Das Datenschutzrecht verpflichtet Hochschulen dazu, Datenverarbeitungsvorgänge zu dokumentieren. Hierzu ist ein „Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“, zu führen. Diese Übersicht muss sämtliche relevanten Prozesse abbilden. Mit Blick auf die Prüfungsorganisation etwa muss der Prüfungsablauf und dessen Koordination datenschutzkonform ausgestaltet und nachgewiesen werden. Auch was man unterlässt, muss beschrieben und dokumentiert werden. Das gilt für die konkrete Bearbeitung genauso wie für die Archivierung und Vernichtung. Auch wenn Prüfungsangelegenheiten insgesamt schon sensibel sind, erhöht sich der Maßstab bei Gesundheitsdaten. Diese werden etwa zur Gewährung von Nachteilsausgleichen verarbeitet. Werden sie – wie vielfach üblich – von Studenten per unverschlüsselter Mail übersandt, so entspricht das nicht den nach DSGVO erforderlichen Standards. Sofern eine verschlüsselte elektronische Übermittlung nicht möglich ist, muss man die Papierform nutzen. Eine Bewerberauswahl per Multiple Choice oder Abnahmen von Prüfungen per Skype sind ebenso herausfordernd.

Vom Einsatz von Google Analytics bis hin zum Einsatz privater Endgeräte für den dienstlichen Mailverkehr bedarf es in Hochschulen Regeln und Risikobewertungen. Hier muss man Risiken durch genaue Vorgaben minimieren. Ab wann ist der Verlust eines Rechners oder eine Sicherheitslücke im Hochschulserver ein meldepflichtiges Risiko? Die Kinder des Klinikdirektors, die auf seinem dienstlichen Tablet im Netz surfen, sind es allemal.

ANZEIGE

Sanktionen unterhalb der Bußgeldschwelle

Für Datenverarbeitungen mit voraussichtlich hohen Risiken muss die Hochschule Risikoindikatoren festlegen. Der Umgang mit sensitiven Daten wie Gesundheits- oder Leistungsdaten von Studenten, die unter anderem im Prüfungswesen in erheblichem Umfang elektronisch verarbeitet werden, muss in ein angemessenes Verhältnis zu Schutzmaßnahmen gesetzt werden. Können Restrisiken nicht eingeschätzt und minimiert werden, etwa beim Einsatz von externen Anwendungen von Drittanbietern wie Google oder Facebook, muss die Aufsichtsbehörde konsultiert werden.

Anders als privaten Unternehmen drohen staatlichen Hochschulen bei Verstoß gegen datenschutzrechtliche Pflichten keine Geldbußen. Allerdings hat die Aufsicht auch unterhalb der Bußgeldschwelle Sanktionsbefugnisse – von der Warnung über die Verwarnung bis zur Anweisung gegenüber der Hochschule Datenverarbeitungsmaßnahmen durchzuführen oder zu unterlassen. Will die Aufsicht im Einzelfall – etwa bei den Löschvorgaben in Posteingängen der Mail-Accounts der Hochschule – strengere Maßstäbe anlegen als die verantwortliche Hochschule, dann steht ihr gegen die Aufsichtsmaßnahme der Rechtsweg zum Verwaltungsgericht offen. Klagen dort haben aufschiebende Wirkung. Da die DSGVO Europarecht ist, muss das Verwaltungsgericht die Rechtsfrage im Zweifel dem Europäischen Gerichtshof vorlegen. Bis dieser entschieden und die Vorlagefrage des Verwaltungsgerichts beantwortet hat, entfaltet die Anweisung der Aufsicht grundsätzlich keine Wirkung.

Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e. V.

Quelle: F.A.Z.
  Zur Startseite
Verlagsangebot
Verlagsangebot
Stellenmarkt
Jobs für Fach- und Führungskräfte finden
Zertifikate
Alle exklusiven Zertifikate im Überblick
Englischkurs
Lernen Sie Englisch
ANZEIGE