Von der Hochschule in die Welt oder von der Welt in die Hochschule? Im International Office einer Hochschule kommt es immer zu einem grenzüberschreitenden Austausch von personenbezogenen Daten.
In erster Linie ist das International Office einer Hochschule eine Service- und Informationseinrichtung. Es informiert Studierende (meist auch Lehrende und Beschäftigte einer Hochschule) in Form von Informationsveranstaltungen, Einzelberatungen und unterstützt die Studierenden, die die Hochschule zum Zweck eines Auslandsaufenthaltes verlassen (Outgoing) als auch die Internationalen Studierenden, die die Hochschule im Rahmen ihres Studiums besuchen (Incoming). Dabei plant und verwaltet die Hochschule die zur Verfügung stehenden Mittel und archiviert die Dokumente und Nachweise für bestimmte Austauschprogramme. Für alle Situationen gilt auch hier: keine Verarbeitung der Daten ohne die Berücksichtigung der Grundsätze über die Verarbeitung personenbezogener Daten.
Um an einer Partnerhochschule im Ausland zu studieren, steht den Studierenden oft eine große Auswahl an unterschiedlichen Austauschprogrammen zur Verfügung. Über die Webseite der Hochschule können sich die Studierenden gezielt über die einzelnen Austauschprogramme informieren und im Anschluss online direkt bewerben. Je nach Ausgestaltung der digitalen Bewerbungsmaske muss der Studierende Angaben zu seiner Person (Name, Geschlecht, Geburtsdatum, Nationalität), zu seinem Studium, eventuell zur geplanten Finanzierung sowie weitere Informationen aus seinem Study Cycle machen.
Einige Hochschulen bieten auch an, Kontakte zwischen den Teilnehmern an den jeweiligen Austauschprogrammen herzustellen. So haben die studierenden die Möglichkeit, bereits gemachte Erfahrungen und sinnvolle Tipps untereinander auszutauschen. Hier werden dann Name, E-Mail-Adresse und gegebenenfalls auch das Studienfach an weitere Teilnehmer des Austauschprogrammes weitergegeben.
Oftmals werden Auslandsaufenthalte der Studierenden über ein Stipendium finanziert. Gemäß der Rechenschaftspflicht gegenüber den Stipendiengebern werden einige Daten durch die Hochschulen an diese weitergegeben. Je nach Förderorganisation kann sich die inhaltliche Ausgestaltung der Datenweiterage natürlich unterscheiden.
Die Datenverarbeitungen im International Office sind zwingend erforderlich, um den Studierenden im Rahmen ist zum Beispiel die Durchführung eines Auswahlverfahrens sowie die Verwaltung der Austauschprogramme. Aber auch für das Berichtswesen (u.a. EU-Kommission, DAAD) und die Anmeldung an der ausländischen Gasthochschule werden personenbezogene Daten verwendet. All diese Arbeitsschritte benötigen eine Rechtsgrundlage für die Verarbeitung.
Viele Hochschulen nutzen mittlerweile eine digitale Plattform (zum Beispiel Mobility Online) für die Verwaltung von Austausch-, Förder- und Orientierungsprogramme. als Rechtsgrundlage für die Verarbeitung der Daten zum Zweck der Bewerbung und Durchführung eines Auslandsaufenthaltes kann Art. 6 Absatz 1 lit. e in Verbindung mit Absatz 3 DSGVO in Verbindung mit § 111 Absatz 5 HmbHG in Verbindung mit der entsprechenden Satzung der jeweiligen Hochschule herangezogen werden.
Für alle weiteren Verarbeitungsvorgänge ist zwingend erforderlich, mit einer Einwilligung zu arbeiten. Hier käme infrage:
Die Hochschulen müssen über die Datenverarbeitungen im International Office informieren. Hier sind unterschiedliche Lösungsansätze möglich:
Dabei stellt sich insbesondere die Frage: Erfolgt eine Übermittlung von personenbezogenen Daten der Studierenden in ein sogenanntes Drittland (also namentlich nicht EU-Mitgliedstaaten bzw. EWR-Staaten) oder eine internationale Organisation? Je nach Abwicklung innerhalb der Hochschule kommen folgende Szenarien infrage:
Stipendienbezogene Daten von Konstanzer Studierenden, die im Rahmen von Austausch- bzw. Förderprogrammen wie bspw. des Erasmus Programms einen Teil ihres Studiums im Ausland verbringen und dafür von Fördereinrichtungen wie bspw. dem DAAD oder der Europäischen Kommission einen Mobilitätszuschuss erhalten, werden vom International Office an die Haushaltsabteilung der Hochschule zur Auszahlung des Mobilitätszuschusses weitergeleitet.
Erasmus/Austausch-KoordinatorInnen der Fachbereich:
Mobilitätsbezogene Daten Konstanzer Studierender, die an Austauschprogrammen teilnehmen und im Ausland studieren bzw. studieren möchten, sind von dem/der jeweiligen Fachkoordinator/in online einsehbar. Der Zugang unterstützt und ermöglicht die administrative Bearbeitung der Austauschprozesse (Auswahl, Betreuung, Pflege der Kooperationen).
Für die Auswahl werden die Unterlagen der Bewerber*innen, die sich für ein Austausch- bzw. Förderprogramm beworben haben, an den Ausschuss für Auslandsstipendien bzw. das zuständige Auswahlgremium weitergeleitet.
Gegebenenfalls werden für hochschulinterne Planungs- Steuerungs- und Evaluationszwecke ausgewählte personenbezogene Daten (z. B. Matrikelnummer, Geschlecht, Staatsangehörigkeit) an die Stabsstelle Controlling automatisiert übertragen.
Mobilitätsbezogene Daten von Studierenden der Hochschule, die eine Förderung für ihren Auslandsaufenthalt erhalten, werden vom International Office an die entsprechenden Förderorganisationen (den DAAD bzw. die Europäische Kommission) weitergeleitet. Die Übermittlung dient der Rechenschaftspflicht gegenüber dem Mittelgeber (DAAD, Europäische Kommission).
Für die Anmeldung an der Gasthochschule übermittelt das International Office im Rahmen des jeweiligen Nominierungsverfahrens die geforderten Daten der nominierten Studierenden elektronisch oder postalisch an die jeweilige Partnerhochschule. Dabei kann sich das Datenschutzniveau zwischen den Gastländern unterscheiden.
Für den Fall, dass Sie eingewilligt haben, dass das International Office den Kontakt zu anderen Teilnehmern sowie Interessenten an einem Austauschprogrammen herstellen darf, werden ihr Name, Studienfach sowie ihre Email-Adresse an andere Outgoing-Studierende der Hochschule weitergegeben.
Das ist bei der Weitergabe von personenbezogenen Daten der Studierenden im Rahmen eines Studierendenaustausches grundsätzlich zu bejahen. Daher ist - neben dem vorliegenden einer erfoderlichen Einwilligung (s.o.) bei der Datenübermittlung in ein Drittland folgendes zu beachten:
(Weiter liegt eine gemeinsame Verantwortlichkeit vor, wenn mit einer Partnerhochschule in einem Drittland ein Kooperationsvertrag bzgl. eines Studierendenaustausches abgeschlossen wird. Denn die Hochschule in dem Drittland verfügt über die Entscheidungsbefugnis, wie sie die personenbezogenen Daten der Studierenden verarbeitet. Aus diesem Grund muss dem Kooperationsvertrag ein Vertrag bzgl. einer gemeinsamen Verantwortlichkeit als Anlage beigefügt werden.)
Besteht ein Angemessenheitsbeschluss für das betreffende Drittland?
Durch einen Angemessenheitsbeschluss wird durch die Europäische Kommission anerkannt, dass in dem Drittland ein der DSGVO gleichwertiges Datenschutzniveau vorliegt. Angemessenheitsbeschlüsse bestehen für Andorra, Argentinien, die Färöer Inseln, Guernsey, die Isle of Man, Israel, Japan, Jersey Kanada, Neuseeland, die Schweiz und Uruguay.
Besteht kein Angemessenheitsbeschluss, müssen Garantien vorliegen, mit denen sichergestellt wird, dass das datenschutzrechtliche Niveau in dem Einzelfall der Vertragsbeziehung entsprechend dem Niveau der DSGVO gleichgestellt ist.
Die entscheidendsten Garantien sind die Standardvertragsklauseln. Hierbei handelt es sich um von der Europäischen Kommission in der Entscheidung 2001/497 vorgegebene Vertragsklauseln, welche die Verpflichtungen im Rahmen der Datenverarbeitung zwischen einem Verantwortlichen in der EU und einem Verantwortlichen in einem Drittland festlegen.
Dabei müssen dem Kooperationsvertrag und dem Datenverarbeitungsvertrag über eine gemeinsame Verantwortlichkeit nur die Seiten 6-13 der Entscheidung 2001/497 der Europäischen Kommission beigefügt werden. Diese Seiten 6-13 bestehen aus den Standardvertragsklauseln und zwei obligatorischen Anlagen. Die Seiten 6, 8 und 9 der Standardvertragsklauseln und die Anlage 1 auf den Seiten 10 und 11 müssen ausgefüllt werden.
Inhalt der Standardvertragsklauseln
Die Daten dürfen von der Hochschule in dem Drittland nur zu dem in dem Dienstleistungsvertrag mit der Hochschule in Deutschland vereinbarten Zweck verarbeitet werden.
Die Hochschule in dem Drittland ist bei Anfragen von Studierenden dazu verpflichtet, diese zu bearbeiten.
Die Hochschule in dem Drittland muss der Hochschule in Deutschland mitteilen, wenn in dem Drittland ein Gesetz erlassen wurde, welches die DSGVO-konforme Datenübermittlung nicht mehr möglich macht.
Die personenbezogenen Daten dürfen von der Hochschule in dem Drittland auch nicht länger als notwendig aufbewahrt werden.
Aussichten bzgl. der Gültigkeit der Standardvertragsklauseln
Derzeit ist ein Verfahren vor dem Europäischen Gerichtshof (EuGH) bezüglich der Rechtmäßigkeit der Standardvertragsklauseln allgemein anhängig. Im Augenblick ist die Verwendung der Standardvertragsklauseln jedoch noch rechtmäßig.
Die Standardvertragsklauseln müssen dem Kooperationsvertrag und dem Datenverarbeitungsvertrag über eine gemeinsame Verantwortlichkeit wortwörtlich beigefügt werden und dürfen nicht verändert werden.
Ein spezieller Fall ist die Datenübermittlung in die USA. Werden personenbezogene Daten in den USA verarbeitet, stellt dies grundsätzlich ein Problem dar. Denn zu den USA besteht kein Angemessenheitsbeschluss der Europäischen Kommission, der dem US-amerikanischen Datenschutzrecht ein der DSGVO gleichwertiges Niveau bescheinigt. Zwischen den USA und der EU wurde jedoch das Privacy-Shield-Abkommen abgeschlossen. Danach wird ausgewählten US-Unternehmen, die sich beim US-Handelsministerium in eine Liste eingetragen haben und die Beachtung der in der DSGVO festgelegten Bestimmungen versichert haben, von Seiten der EU ein der DSGVO gleichwertiges Niveau bescheinigt. Es ist jedoch fraglich, inwiefern Hochschulen in den USA sich in diese Liste beim US-Handelsministerium eingetragen haben. Dies ist im Einzelfall zu prüfen.
Im Bereich des International Office sind ebenfalls die Löschfristen zu beachten. Allerdings muss zwischen den unterschiedlichen Verarbeitungszwecken unterschieden werden. Wie lange werden Bewerbungsunterlagen aufbewahrt? Gibt es eine einheitliche Regelung zwischen "Incomings" und "Outgoings"? Wann werden die Unterlagen bei einer erfolglosen Bewerbung gelöscht? Welche Daten müssen gegebenenfalls aus haushaltsrechtlichen Vorgaben länger aufbewahrt werden?