https://www.faz.net/-gqz-9adoy

Datenschutz an Hochschulen : Neue Regeln für den Schutz der Persönlichkeit

  • -Aktualisiert am

Auf die Universitäten (hier die Berliner Humboldt-Universität) kommen mit der Datenschutzreform neue Schutz- und Dokumentationspflichten zu. Bild: Picture-Alliance

An diesem Freitag tritt die Datenschutz-Grundverordnung in Kraft. Wie müssen die Hochschulen die Daten ihrer Studenten und Mitarbeiter schützen?

          Studieren und Forschen von beliebigen Orten aus ist eine Wohltat der Digitalisierung. Sie erfordert aber künftig mehr Disziplin in puncto Datenschutz. Ab dem 25. Mai 2018 muss in der EU auch in Hochschulen die Datenschutz-Grundverordnung (DSGVO) angewendet werden. Wissenschaftseinrichtungen werden zwar privilegiert, soweit es um Forschungszwecke geht. Der überwiegende Teil der Datenverarbeitungen an Hochschulen hat damit aber nichts zu tun. Die Alma Mater weiß viel über ihre Studenten und das wissenschaftliche Personal. Von der Einschreibung bis zum Abschluss verarbeitet sie Informationen über persönliche Verhältnisse, Leistungsvermögen, Gesundheit, Stressresistenz und vieles mehr. Zunehmend geht es um E-Learning und die Auswertung von Studentendaten zu einer Vielzahl von bekannten und unbekannten Zwecken. Auch personenbezogene Daten über Wissenschaftler und deren Forschungsgegenstände verarbeiten Hochschulen als Dienstherren zur Genüge.

          Verantwortlich für die Organisation des Datenschutzes sind in erster Linie die Hochschulen als Einrichtungen. Sie müssen einen Datenschutzbeauftragten bestellen, der ihnen beratend zur Seite steht. Was gilt es zu beachten? Auf den Punkt gebracht: Die Datenverarbeitung muss mit Blick auf Datenschutz und Datensicherheit nicht nur zulässig sein, sondern sie muss durch Informationspflichten transparent gestaltet, für Dritte nachvollziehbar organisiert, technisch gegen Datenpannen gewappnet und nachweislich risikominimiert sein. Zudem haben von der Datenverarbeitung Betroffene eine Vielzahl von Rechten, auf deren legitime Wahrnehmung Hochschulen vorbereitet sein müssen. Sie betreffen zum Beispiel Auskunft, Löschung und Berichtigung von Daten. Geldbußen gibt es für die öffentliche Hand bei Verstößen aber grundsätzlich nicht, wohl aber Sanktionen unterhalb dieser Schwelle.

          Wenn staatliche Hochschulen Daten zur Erfüllung ihres öffentlichen Auftrages verarbeiten, benötigen sie, damit dies zulässig ist, in der Regel keine Einwilligung, sondern sie handeln auf gesetzlicher Basis rechtmäßig. Man muss nur darauf achten, Daten nicht zu Zwecken jenseits des öffentlichen Auftrages zu verarbeiten. Dann, wenn die Hochschule etwa im Rahmen wissenschaftlicher Projekte im Wettbewerb handelt, kommt es auf Verträge oder Einwilligungen an, die informiert und freiwillig gegeben werden müssen.

          Komplexe Löschpflichten

          Die Regeln zur Zulässigkeit der Datenverarbeitung sind nicht neu. Allerdings werden sie künftig durch Informationspflichten ergänzt. Zum Zeitpunkt der Erhebung von Daten muss die Hochschule Studenten unabhängig davon, ob das im Detail interessiert und sinnvoll aufgenommen werden kann, umfassende Informationen zukommen lassen. Transparenz muss unter anderem über alle Zwecke der Datenverarbeitung geschaffen werden, aber auch über die Empfänger der Daten und wie lange sie gespeichert werden. Mitzuteilen ist auch die Rechtsgrundlage der Verarbeitung und falls sie auf einer Interessenabwägung beruht, wie etwa eine Videoüberwachung bestimmter Bereiche der Hochschule, auch die Gründe, die dies erforderlich machen. Hochschulen sind also künftig verpflichtet, bei der Einschreibung umfassend, verständlich, vollständig und nachweislich zu informieren. Zudem sollten die Informationen im Rahmen einer Datenschutzerklärung auf der Website der Hochschule verfügbar sein.

          Die Auftragsdatenverarbeitung schließlich betrifft jede Hochschule, weil dort immer auch externe Datenverarbeitungen durchgeführt werden. Sei es, dass Druckaufträge für Visitenkarten vergeben oder Hosting-Dienste in Anspruch genommen werden. Für diese Verarbeitungen müssen Verträge zur Wahrung von Datenschutz und Datensicherheit geschlossen werden. Die Verantwortung dafür liegt bei der Hochschule, die zwingend ihren Datenschutzbeauftragten konsultieren muss.

          Weitere Themen

          Topmeldungen

          Kanzlerin Merkel: Auch wenn das Klima-Paket der Koalition am Freitag zu einem Eckpunkte-Päckchen schrumpfte, ein Scheitern konnte sich die Koalition nicht leisten.

          Klimapolitik : Der Offenbarungseid der Merkel-Ära

          Der Klimaschutz in Deutschland muss nicht nur das Klima retten. Die Koalition denkt auch an sich. Zwischen Protestkultur von links und rechts sucht sie den Mittelweg.
          Erwachsen geworden: Erik Podzuweit und Stefan Mittnik (links), zwei der drei Gründer von Scalable Capital

          Fintechs : Evolution ist die neue Revolution

          Viele der einst rebellischen Fintechs zielen gar nicht mehr darauf ab, die Banken abzulösen. Stattdessen kooperieren sie oder bieten sogar Produkte für die Konkurrenz an.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.