Rechenzentrum mit Schloss
mauritius images/Westend61/Style-Photography

EU-Gesetzgebung
Was Hochschulen beim Datenschutz beachten müssen

Die Datenschutz-Grundverordnung hat für viel Wirbel und Verunsicherung gesorgt. Welche Folgen hat sie für Hochschulen und Wissenschaftler?

Wissenschaft lebt von Information und Kommunikation und sie ist technisch betrachtet Umgang mit Daten. Der Erfolg der Wissenschaft hängt in Zeiten der Digitalisierung von den Möglichkeiten ab, die der rechtliche Ordnungsrahmen ihr belässt. Seit Mai 2018 wird dieser in der EU durch die Datenschutz-Grundverordnung (DSGVO) geprägt. Sie gilt in der EU vollumfänglich und darüber hinaus für alle, die hier von Drittstaaten aus datenbasierte Leistungen anbieten: Sie betrifft faktisch jede Verarbeitung personenbezogener Daten, soweit sie nicht zu persönlichen oder familiären Zwecken erfolgt.

Die DSGVO und der EuGH fassen den Personenbezug weit. Er erstreckt sich auch auf sogenannte pseudonymisierte, also ver- und entschlüsselbare Daten. Deshalb gibt es faktisch kaum Daten, die dem Recht nicht unterfallen. Hochschulen betrifft die DSGVO als Wissenschafts- und als Verwaltungseinrichtungen.

Hochschulen verarbeiten unabhängig vom Wissenschaftsbetrieb  eine Vielzahl von Informationen. Sie wissen viel über Personal und Studierende. Es geht um Daten über persönliche Verhältnisse, Leistungsvermögen, Gesundheit, Stressresistenz und vieles mehr. Zunehmend spielt E-Learning und die Auswertung von Studierendendaten zu einer Vielzahl von bekannten und unbekannten Zwecken eine Rolle. Auch personenbezogene Daten über Wissenschaftler und deren Forschungsgegenstände verarbeiten Hochschulen als Dienstherren umfassend.

"Wenn man so will, ist die informationelle Selbstbestimmung in der Lesart des Bundesverfassungsgerichts abgeschafft."

Sofern es um Datenschutz und Datensicherheit in der Hochschule als Wissenschaftseinrichtung unabhängig von Forschung und Lehre geht, ist sie gegenüber anderen staatlichen Stellen, die Daten zur Erfüllung ihrer Aufgaben verarbeiten dürfen, nicht privilegiert. Verantwortlich ist grundsätzlich die Hochschule, wobei hier feine Abgrenzungen zum datenverarbeitenden Personal und den Studierenden zu treffen sind, die im Studium auf die IT-Angebote der Hochschulen wie Onlineportale zugreifen.

Diese wissenschaftsunabhängige Verarbeitung personenbezogener Daten erstreckt sich von der Verarbeitung von Studierendendaten zwischen Immatrikulation und Exmatrikulation bis zum Datenschutz der Hochschulbeschäftigten vom Pförtner bis zum Präsidenten. Sie verlangt eine Legitimation, die sich aus einem Zusammenspiel von DSGVO und dem mitgliedstaatlichen Recht ergibt. Sie entstammt für öffentliche Stellen, wie Hochschulen, in der Regel nicht einer Einwilligung. Es kommt vielmehr darauf an, ob die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung etwa aus den Hochschulgesetzen und/oder zur Erfüllung ihrer im öffentlichen Interesse liegenden Aufgabe als Hochschule erfolgt.

DSGVO: Mitgliedstaaten legen Rechtsgrundlage fest

Nach dem ausdrücklichen Wortlaut der DSGVO legen die Mitgliedstaaten die Rechtsgrundlage derartiger Datenverarbeitungen fest. Das sind in Deutschland für Hochschulen des Bundes der Bund und für die Mehrzahl der Hochschulen die Länder. Dementsprechend finden sich im Bundesdatenschutzgesetz (BDSG) und in den bereits vorhandenen Landesdatenschutzgesetzen Generalermächtigungen. Sie füllen eine der zahlreichen, aber eng auszulegenden Öffnungsklauseln aus, die den Mitgliedstaaten verbleibende Spezialzuständigkeiten eröffnen.

Dort, wo das die Öffnungen schließende Landesrecht fehlt, dürfte, bis neues Recht geschaffen ist, das vorhandene Landesrecht aus der Zeit vor der DSGVO anwendbar sein. Das gilt aber nur, sofern es auch dem neuen Recht entspricht, was im Einzelfall geprüft werden muss. Widerspricht es der DSGVO, fällt man unmittelbar auf die vagen Formulierungen der DSGVO zurück. Es kommt dann für die öffentliche Hand unspezifisch auf die Existenz einer rechtlichen Verpflichtung zur Datenverarbeitung oder darauf an, ob diese zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt.

Gemessen an den strengen Anforderungen der Volkszählungsentscheidung des Bundesverfassungsgerichts scheinen die generalklauselartigen Eingriffstatbestände der DSGVO unbestimmt. Das entspricht aber dem Willen des EU-Gesetzgebers, dessen Kontrolle allein dem Europäischen Gerichtshof obliegt. Wenn man so will, ist die informationelle Selbstbestimmung in der Lesart des Bundesverfassungsgerichts abgeschafft. Eine Datenverarbeitung der öffentlichen Hand kann zwar von den Mitgliedstaaten spezifisch ausgestaltet werden. Das ist in Deutschland aus Gründen der öffentlichen Sicherheit bei der Videoüberwachung geschehen.

Treffen die Mitgliedstaaten aber keine Regelung, so eröffnet das EU-Recht weite Spielräume. Will eine Hochschulbibliothek etwa eine wissenschaftliche Arbeit nach abgeschlossenem Überprüfungsverfahren als Plagiat kennzeichnen, kann dies zu deren Aufgabenerfüllung als Verwaltungseinrichtung gehören. "Die Universitäten gewährleisten (nämlich) eine gute wissenschaftliche Praxis." (Paragraf 3 HSchG NRW). "Alle an der Hochschule wissenschaftlich Tätigen sowie die Studierenden sind zu wissenschaftlicher Redlichkeit verpflichtet. Hierzu sind die allgemein anerkannten Grundsätze guter wissenschaftlicher Praxis einzuhalten." (Paragraf 3 HSchG NRW).

Das Landesdatenschutzrecht NRW gestattet in Übereinstimmung mit der DSGVO bei Fehlen spezialgesetzlicher Regelungen etwa zur Plagiatskennzeichnung, die darin liegende Datenverarbeitung als Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe (gute wissenschaftliche Praxis und wissenschaftliche Redlichkeit). Die Bundesländer können prüfen, wie sie derartig spezifische Eingriffe in Persönlichkeitsrechte regulieren wollen. Handeln sie nicht, ist für den Erlaubnistatbestand auf das unspezifische Recht der DSGVO zurückzugreifen.

Über die Zulässigkeit der Datenverarbeitung hinaus hat die DSGVO insbesondere auch umfassende  Dokumentations-, Informations- und Organisationspflichten geschaffen. Hier bestehen etwa komplexe Herausforderungen für die Organisation des Prüfungswesens. Hochschulen sind auch vor den Sanktionen nach der DSGVO – mit einer wichtigen Ausnahme – nicht gefeit. Anders als privaten Unternehmen drohen staatlichen Hochschulen bei Pflichtverstößen keine Geldbußen.

Das Bundesdatenschutzgesetz hat die öffentliche Hand davon ausgenommen und die Bundesländer verfahren entsprechend. Allerdings hat die Aufsicht unterhalb dieser Schwelle von der Warnung, über die Verwarnung bis zu Anweisungen und Verboten Sanktionsbefugnisse. Will die Aufsicht im Einzelfall strengere Maßstäbe an die Datenverarbeitung anlegen als die verantwortliche Hochschule, dann steht ihr gegen die Aufsichtsmaßnahme der Rechtsweg zum Verwaltungsgericht offen.

Klagen dort haben aufschiebende Wirkung. Die innerstaatlichen Gerichte müssen Rechtsfragen im Zweifel dem Europäischen Gerichtshof vorlegen. Bis dieser entschieden und die Vorlagefrage des Verwaltungsgerichts beantwortet hat, entfaltet eine Aufsichtsmaßnahme grundsätzlich keine Wirkung. Daneben sind Schadensersatzansprüche der Betroffenen denkbar. Abseits der möglichen rechtlichen Konsequenzen kann ein Datenschutzverstoß erhebliche Imageschäden nach sich ziehen.

Privilegierung zu Forschungszwecken

Sofern Hochschulen personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeiten, sind sie privilegiert. Das geschieht, um die Wissenschaftsfreiheit und die Persönlichkeitsrechte von Forschern und menschlichen Forschungsobjekten in ein spezifisches Verhältnis zu bringen. Probleme grundsätzlicher Art bestehen hier schon insoweit, als die Lehre vom Wortlaut der Norm nicht erfasst ist. Zutreffend dürfte sie gemeinsam mit der Wissenschaft zu privilegieren sein, weil sie vom Schutzbereich der Wissenschaftsfreiheit nach der europäischen Grundrechtecharta erfasst ist.

Die Privilegierungen der Datenverarbeitung zu wissenschaftlichen Zwecken knüpft die DSGVO an eine Pflicht. Sie sind nur vorgesehen, soweit Forschungseinrichtungen sogenannte Garantien und Bedingungen einhalten (Artikel 89 Absatz 1 DSGVO). Das bedeutet, dass die Prinzipien der DSGVO etwa zur Dokumentation und Datenminimierung zwar auch für Hochschulen bei der Forschung gelten.

So kann eine ungeregelte Datenvorratshaltung auch zu Forschungszwecken nicht mit der Forschungsaufgabe gerechtfertigt werden. Allerdings haben Hochschulen erleichterte Möglichkeiten, Forschungsdaten durch Pseudonymisierung persönlichkeitsrechtsschonend so aufzubereiten, dass ihre Verarbeitung zu Forschungszwecken möglich bleibt. Vereinfacht ausgedrückt, müssen dazu personenbezogene Informationen durch Codes ersetzt werden. Es muss sichergestellt sein, dass die ausführenden Forscher den Bezug zwischen der Person und deren Daten nicht herstellen können.

Konkret lässt die DSGVO es etwa zu, dass der Zweckbindungsgrundsatz für die Datenverarbeitung in diesem Bereich faktisch aufgehoben wird. So ist die Weiterverarbeitung bereits erhobener Daten zu wissenschaftlichen Zwecken solange zulässig, wie die Garantien wirken. Auf dieser Basis können etwa Daten zur Erforschung künstlicher Intelligenz aus öffentlichen Quellen frei verwendet werden.  

In besonderen Fällen ist eine Verarbeitung sensitiver Daten zu wissenschaftlichen Forschungszwecken auch ohne Einwilligung zulässig, wenn die Forschungszwecke durch ein öffentliches Interesse gedeckt sind. Hier können die Mitgliedstaaten spezifische Privilegierungen schaffen.

Beruhen Datenverarbeitungen auf Einwilligungen, so müssen grundsätzlich alle Verarbeitungen von der Erlaubnis erfasst sein. Einwilligungen für Datenverarbeitungen zu Forschungszwecken sind insofern besser gestellt, als sie sich auch auf solche Verarbeitungen erstrecken, die zum Zeitpunkt der Datenerhebung noch nicht vollständig bestimmbar sind. So kann man Daten von Probanden bei langfristig angelegten Forschungsprojekten auf Basis dieser speziellen Einwilligung auch dann noch verarbeiten, wenn sich neue Zwecke ergeben.

Auch mit Blick auf die Transparenzpflichten sind Erleichterungen vorgesehen. Eine Benachrichtigung über die Änderung einer Verarbeitung ist verzichtbar, wenn diese zu wissenschaftlichen Zwecken erfolgt und der Aufwand die Zweckverfolgung, etwa bei Langzeitstudien, gefährden würde. Auch hier müssen aber die erwähnten Garantien, sprich die Pseudonymisierung der Daten, erfüllt sein.

Zusammenfassung

  • Das Recht der DSGVO trifft Hochschulen in vollem Umfang, soweit sie Daten unabhängig von wissenschaftlichen Zwecken verarbeiten.
  • Bei der Erfüllung wissenschaftlicher Aufgaben sind Hochschulen privilegiert.
  • Die Gesetzgeber in Deutschland müssen entscheiden, inwieweit sie im Hochschulbereich Sonderregelungen für die Wissenschaft treffen, um die Öffnungsklausel Artikel 89 DSGVO auszufüllen. Das ist aber nicht zwingend. Die Zulässigkeit der Verarbeitung wird dann an den unspezifischen Vorgaben der DSGVO gemessen.
  • Hochschulen müssen etablierte Prozesse auf datenschutzrechtliche Konformität hin überprüfen, denn die Organisation und Etablierung des Datenschutzmanagements im Wissenschaftsbereich hat nun einen sehr anspruchsvollen rechtlichen Rahmen.