Datenschutz im Hochschulbereich

Einführung

Am 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten. In diesem Zusammenhang sind auch die Hochschulen verpflichtet, die neuen datenschutzrechtlichen Bestimmungen einzuhalten. Im Hinblick auf die Verhängung von Bußgeldern, sind sie zwar gemäß § 43 Abs. 3 Bundesdatenschutzgesetz (BDSG) privilegiert, dennoch zeigt sich auch hier aufgrund der neuen, unbekannten Gesetzeslage eine gewisse Unsicherheit. Die Professorinnen und Professoren verarbeiten regelmäßig Studierendendaten und Daten weiterer Personengruppen und müssen dabei die Vorschriften der DSGVO einhalten. Im Falle einer Verletzung haftet im Außenverhältnis jedoch die Hochschule.

Anwendungsbereich der DSGVO

Die DSGVO spricht von der Verarbeitung der personenbezogenen Daten. Hierunter fallen alle Informationen, mit deren Hilfe eine natürliche Person bestimmbar ist (z. B. Name, E-Mail-Adresse, Matrikelnummer, Telefonnummer, IP-Adresse). Verarbeiten bedeutet in diesem Zusammenhang jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang wie das Erheben, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Offenlegung durch Übermittlung, die Verbreitung, das Löschen oder die Vernichtung von Daten. Vom Anwendungsbereich ausgenommen sind Verarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Verpflichtung auf das Datengeheimnis

Die Aufforderung zur Abgabe von Verpflichtungserklärungen über die Einhaltung der datenschutzrechtlichen Bestimmungen trifft häufig auf Unverständnis. Schließlich beinhaltet der von den verbeamteten Professorinnen und Professoren geleistete Amtseid ohnehin die Wahrung der Grundrechte und die Einhaltung der Gesetze. Der Dienstherr kann jedoch dennoch die Abgabe einer solchen Verpflichtungserklärung verlangen. Die DSGVO sieht zwar selbst keine unmittelbare Verpflichtung der bei den Behörden beschäftigten Personen auf das Datenschutzgeheimnis vor, bestimmt aber allgemein, dass die Einhaltung der Vorschriften durch geeignete Maßnahmen sichergestellt sein muss (vgl. Art. 29, 32 Abs. 4 DSGVO). Dies kann durch Unterrichtung oder Verpflichtung der einzelnen mit der Verarbeitung von personenbezogenen Daten beschäftigten Personen oder auch durch eine allgemeine gesetzliche Verpflichtung erfolgen. Für Beschäftigte der Bundesbehörden besteht gemäß § 53 Bundesdatenschutzgesetz (BDSG) eine Pflicht zur Verpflichtung der mit der Datenverarbeitung befassten Personen auf das Datengeheimnis. Die einzelnen Bundesländer sehen in ihren Landesdatenschutzgesetzen unterschiedliche Maßnahmen vor, sodass eine Verpflichtungserklärung teilweise zwingend, teilweise obligatorisch ist. Sofern sie nicht zwingend vorgeschrieben wird, kann die Hochschule dennoch die Unterzeichnung einer Verpflichtungserklärung verlangen, um die erfolgten Maßnahmen zur Einhaltung der DSGVO zu treffen und zu dokumentieren. Eine Übersicht über die unterschiedlichen landesrechtlichen Vorgaben finden Sie in dem Infoblatt „Datenschutz – Übersicht über Regelungen der Bundesländer“.

Praxishinweise zum Umgang mit personenbezogenen Daten

Sobald Professorinnen und Professoren zur Erfüllung ihrer Dienstpflichten personenbezogenen Daten verarbeiten, ist dies regelmäßig vom Anwendungsbereich der DSGVO erfasst. Bei Unsicherheiten darüber, was für den Einzelnen zu beachten ist, kann beim Dienstherrn die Durchführung einer entsprechenden Schulung angefordert werden. Die folgenden Hinweise sollen eine erste Einschätzung ermöglichen:

Nach der Konzeption der DSGVO sind alle Verarbeitungen verboten, sofern sie nicht ausdrücklich erlaubt sind. Einige Verarbeitungen sind von den Erlaubnistatbeständen in Art. 6 Abs. 1 DSGVO erfasst und damit zulässig. Datenverarbeitungen der Hochschulen sind häufig für die Wahrnehmung von Aufgaben erforderlich, die ihnen übertragen wurden und in Ausübung öffentlicher Gewalt erfolgen, vgl. Art. 6 Abs. 1 lit. e) DSGVO. So werden ihnen in den jeweiligen Landeshochschulgesetzen regelmäßig hoheitliche Aufgaben zur Abnahme von Prüfungen übertragen, für die eine Verarbeitung der personenbezogenen Daten der Studierenden erforderlich ist.

Es gibt jedoch einige Verarbeitungen, die datenschutzrechtlich mit Vorsicht zu behandeln sind. Bei der Verwendung eines E-Mail-Verteilers beispielsweise sollten die einzelnen Empfänger nur in der Blindkopie (Bcc) aufgeführt werden. Dies gilt insbesondere dann, wenn dem Verteiler auch Studierende, Forschungskontakte oder andere nicht dem Hochschulpersonal zugehörende Personen angehören. Des Weiteren dürfen Krankmeldungen grundsätzlich nicht mittels einer unverschlüsselten E-Mail erfolgen, denn es handelt sich hierbei um Gesundheitsdaten, die gemäß Art. 9 Abs. 1 DSGVO besonders geschützt sind. Bei einer dem derzeit üblichen technischen Standard entsprechende E-Mail besteht lediglich eine Transportverschlüsselung. Für den Versand von Gesundheitsdaten ist nach der derzeitigen Rechtsauffassung jedoch eine Ende-zu-Ende-Verschlüsselung erforderlich. Eine Krankmeldung per E-Mail entspricht allerdings den heutigen technischen Gewohnheiten und wird insbesondere von den Studierenden häufig vorgenommen. Daher ist zu empfehlen, diese zu Beginn einer Lehrveranstaltung auf die datenschutzrechtliche Relevanz und die sich daraus ergebenden Folgen hinzuweisen.

Der Hochschullehrerbund hlb berät seine Mitglieder gern persönlich. Die Mitarbeiterinnen und Mitarbeiter der Geschäftsstelle stehen Ihnen als Mitglied mit ihrer Erfahrung beratend zur Seite.

Stand: 20.02.2019


Die Zusammenstellung dieser Information ist nach bestem Wissen und Gewissen erfolgt. Dennoch müssen wir um Verständnis bitten, dass der hlb keine Gewähr übernehmen kann und sich von einer Haftung freizeichnen muss.