Wenn Datenschutz nicht mitgedacht wird

Hamburgs Hochschulen haben auf den ersten Blick Glück: Sie genießen ein Bußgeldprivileg und müssen im Regelfall keine Geldstrafen für Datenschutzverstöße fürchten, § 24 Abs. 3 HmbDSG. Doch wer denkt, damit sei das Thema erledigt, täuscht sich.

Auch ohne Bußgelder kann die Datenschutzaufsichtsbehörde einschreiten – etwa durch Prüfungen, Auflagen oder Projektstopps. Sie verfügt über weitreichende Befugnisse nach Art. 58 DSGVO, um Datenschutzverstöße zu beheben oder künftige zu verhindern.

Typische Maßnahmen können sein:

• Anordnung zur Löschung oder Einschränkung von Daten – etwa, eine Hochschule bewahrt Bewerbungsunterlagen abgelehnter Bewerberinnen und Bewerber länger auf als erlaubt. Die Aufsichtsbehörde kann anordnen, diese Daten zu löschen und verbindliche Löschkonzepte einzuführen.
• Untersagung bestimmter Verarbeitungsvorgänge – zum Beispiel, wenn in einem Forschungsprojekt Gesundheitsdaten erhoben werden, ohne dass eine ausreichende Rechtsgrundlage oder Einwilligung vorliegt. Die Behörde kann die Verarbeitung stoppen, bis die Voraussetzungen erfüllt sind.
• Vor-Ort-Prüfungen -wenn eine Hochschule wiederholten Aufforderungen zur Umsetzung von Sicherheitsmaßnahmen nicht nachkommt, kann die Behörde eine Vor-Ort-Prüfung durchführen. Solche Maßnahmen sind rechtlich verbindlich und können den Hochschulbetrieb deutlich beeinflussen – organisatorisch, zeitlich und personell.

Diese Eingriffe sind verbindlich und können den Hochschulbetrieb spürbar beeinträchtigen – organisatorisch, zeitlich und personell.

Das Bußgeldprivileg gilt außerdem nicht grenzenlos. Wenn eine Hochschule am Markt agiert, etwa durch die Vermietung von Räumen, kommerzielle Weiterbildungsangebote oder Dienstleistungen, die auch private Anbieter erbringen, kann sie sehr wohl mit Bußgeldern belegt werden. Ob ein solches Wettbewerbshandeln vorliegt, muss im Einzelfall geprüft werden.

Fazit:
Auch ohne Bußgelder kann es für Hochschulen ernst werden. Die Aufsichtsbehörde kann Maßnahmen anordnen, Projekte stoppen und Nachbesserungen verlangen. Wer Datenschutz frühzeitig ernst nimmt, vermeidet nicht nur formale Verfahren, sondern schützt auch das Vertrauen von Studierenden, Beschäftigten und Förderinstitutionen.

Betroffene Personen können nach Art. 82 DSGVO Schadensersatz verlangen, wenn ihnen durch eine Datenschutzverletzung ein materieller oder immaterieller Schaden entstanden ist. Auch Hochschulen können hier in die Pflicht genommen werden.

• Unrechtmäßige Fotoveröffentlichung: Eine Hochschulmitarbeiterin erhielt 5.000 Euro Schadensersatz, weil ihr Foto ohne Einwilligung in einer Broschüre veröffentlicht wurde. Es sollte Internationalität symbolisieren, hatte aber mit ihrem Tätigkeitsbereich nichts zu tun. Das Gericht sah hierin eine Verletzung des Persönlichkeitsrechts.  
• Googeln von Bewerbenden: In einem aktuellen Fall wurde einem Bewerber 1.000 Euro Entschädigung zugesprochen, weil eine Hochschule ihn vor dem Vorstellungsgespräch „gegoogelt“ hatte, ohne ihn darüber zu informieren. Selbst öffentlich zugängliche Informationen dürfen nicht ohne Rechtsgrundlage weiterverarbeitet werden. 

Diese Beispiele zeigen: Auch ohne Bußgeldpflicht können zivilrechtliche Ansprüche gegen Hochschulen entstehen – und sie treffen dann meist unmittelbar den Haushalt oder den Ruf der Einrichtung.

Nicht jeder Datenschutzverstoß führt zu einem Bußgeld oder zu Schadensersatz – doch Folgen kann es trotzdem geben. Ein bekanntes Risiko ist der Reputationsschaden: Ein Datenschutzskandal verbreitet sich schnell – insbesondere in den Medien. Kritische Schlagzeilen über eine unsichere Datenpraxis können Studierende verunsichern und das Vertrauen in die Hochschule nachhaltig beeinträchtigen. Auch Fördermittel können gefährdet sein: Förderinstitutionen wie die DFG oder die EU-Kommission prüfen zunehmend, ob Datenschutzanforderungen ernst genommen werden. Verstöße können dazu führen, dass laufende Mittel gestrichen, Fördergelder zurückgefordert oder neue Projektanträge abgelehnt werden. Selbst Benachteiligungen bei Ausschreibungen sind denkbar, wenn der Datenschutz nicht nachweislich gewährleistet ist.

Mitarbeitende haben eine Sorgfaltspflicht, die sich direkt aus dem Arbeitsvertrag ergibt. Sie umfasst den verantwortungsvollen Umgang mit allem, was ihnen im Rahmen der Arbeit anvertraut wird – also nicht nur mit Geräten und Materialien, sondern auch mit personenbezogenen Daten.

So wie man darauf achtet, dass der Dienstlaptop sicher transportiert wird – etwa in einer gepolsterten Tasche, damit er nicht herunterfällt oder beschädigt wird –, sollte man auch mit den Daten anderer Menschen achtsam umgehen. Beide Fälle betreffen denselben Grundgedanken: sorgsamer Umgang mit Arbeitsmitteln und Schutz vor Schaden.

Im Hochschulalltag kann es schnell passieren, dass Datenschutz versehentlich verletzt wird – oft ohne böse Absicht, aber mit spürbaren Folgen. Die folgenden Beispiele zeigen typische Situationen, in denen die Sorgfaltspflicht im Umgang mit personenbezogenen Daten verletzt werden kann:

• Versand von personenbezogenen Daten an falsche Empfänger – etwa, wenn Bewerbungsunterlagen, Studierenden- oder Teilnehmerlisten versehentlich an die falsche E-Mail-Adresse gesendet werden, z. B. durch eine unachtsame Auswahl im Mailprogramm.
• Verwendung des CC-Feldes statt des BCC-Feldes beim Versand von Rundmails an Studierende, Lehrbeauftragte oder Teilnehmende, wodurch alle Empfänger die E-Mail-Adressen der anderen sehen können.
• Speicherung unverschlüsselter Daten auf mobilen Geräten wie USB-Sticks, externen Festplatten oder Laptops, die verloren gehen oder gestohlen werden.
• Fehlende oder unzureichende Zugriffsbeschränkungen in hochschulinternen IT-Systemen, sodass Mitarbeitende auf mehr personenbezogene Daten zugreifen können, als für ihre Aufgaben notwendig ist.
• Unbefugte Einsichtnahme in personenbezogene Daten zu privaten Zwecken – beispielsweise, wenn jemand ohne dienstlichen Grund auf Studierendendaten oder Personalakten zugreift.
• Veröffentlichung personenbezogener Daten ohne Einwilligung, z. B. von Fotos, Namen oder Projektdaten auf einer Webseite, in Präsentationen oder in einer Broschüre.
• Unverschlossene Ablage oder falsche Archivierung von sensiblen Unterlagen (z. B. Prüfungslisten, Personalunterlagen) in Büros oder gemeinsam genutzten Räumen, sodass Unbefugte Einsicht nehmen können.