Datenschutz in der Psychologischen Beratung

Aus datenschutzrechtlicher Sicht wäre eine Beratung ohne jegliche Verarbeitung personenbezogener Daten zwar ideal, in der Praxis jedoch nicht umsetzbar. Und, auch hier gilt: werden personenbezogene Daten verarbeitet, muss der Datenschutz berücksichtigt werden. Je nach Ausgestaltung des Beratungsangebots wird bereits bei der Terminvergabe personenbezogene Daten verarbeitet. Die Mailadresse, Prüfung ob es sich um ein Mitglied der Hochschule handelt etc.

Bereits um festzustellen, ob es sich um ein Hochschulmitglied handelt, müssen bestimmte Angaben erhoben werden – schließlich handelt es sich um ein hochschulinternes, kostenfreies Angebot.

Darüber hinaus besteht die Möglichkeit, dass Hochschulen bestimmte Daten aufgabenbezogen (zusätzlich) verarbeiten, zum Beispiel:

• für interne Verwaltungsabläufe
• zur Qualitätssicherung
• für anonymisierte statistische Auswertungen
• für Berichtswesen oder Revision

Spätestens hier liegt eine Verarbeitung personenbezogener Daten vor, die rechtlich abgesichert sein muss. 

Die Einzelgespräche selbst finden ausschließlich zwischen der beratenden Person und der ratsuchenden Person statt. Es ist sicherzustellen, dass keine unbefugten Dritten anwesend sind und dass Inhalte nicht nach außen dringen – etwa durch geschlossene Türen, geeignete Raumwahl oder technische Schutzmaßnahmen bei Online-Gesprächen. Sollte sich die Räume beispielsweise im Erdgeschoss befinden, ist darauf zu achten, dass Fenster geschlossen sind.

In der psychologischen Beratung gelten besonders hohe Anforderungen an die Datensicherheit. Jede Verarbeitungstätigkeit ist mit einem erhöhten Schutzbedarf verbunden.

• Einzelgespräche selbst finden ausschließlich zwischen der beratenden Person und der ratsuchenden Person statt. Es ist sicherzustellen, dass keine unbefugten Dritten anwesend sind und dass Inhalte nicht nach außen dringen – etwa durch geschlossene Türen, geeignete Raumwahl oder technische Schutzmaßnahmen bei Online-Gesprächen. Sollte sich die Räume beispielsweise im Erdgeschoss befinden, ist darauf zu achten, dass Fenster geschlossen sind.
• Handschriftliche Notizen aus Beratungsgesprächen dürfen nicht offen auf dem Schreibtisch liegen bleiben, auch nicht kurzfristig oder umgedreht. Sie sind unmittelbar nach dem Gespräch in einem abschließbaren Schrank aufzubewahren.
• Zugriff auf Unterlagen erhalten ausschließlich die zuständigen Beratenden. Kolleg*innen aus anderen Bereichen haben keinen Einblick.
• Werden personenbezogene Daten digital erfasst, etwa in einem Beratungssystem oder auf einem Hochschulserver, sind Rechte- und Rollenkonzepte einzurichten. So wird sichergestellt, dass nur autorisierte Personen Zugriff haben.
• Bei Online-Beratungen ist darauf zu achten, dass datenschutzkonforme Videokonferenz- oder Chat-Systeme genutzt werden und Gespräche nicht aufgezeichnet werden.

Diese Maßnahmen tragen dazu bei, das Vertrauen der Studierenden zu schützen und die psychologische Beratung als sicheren Ort innerhalb der Hochschule zu erhalten.

Die psychologische Beratung kann als Bestandteil der Aufgabenerfüllung der Hamburger Hochschulen einzuordnen sein. Nach dem Hamburgischen Hochschulgesetz obliegt den Hochschulen – gegebenenfalls in Zusammenarbeit mit den Studierendenwerken – ein sozialer Auftrag, der die Förderung der Studierenden in unterschiedlichen Lebenslagen einschließt. Hierzu kann unter anderem auch die Unterstützung bei persönlichen, studienbezogenen und psychosozialen Belastungssituationen zählen.

Die Verarbeitung personenbezogener Daten kann dann in diesem Zusammenhang zur Wahrnehmung einer Aufgabe im öffentlichen Interesse gemäß Artikel 6 Absatz 1 Buchstabe e DSGVO in Verbindung mit § 111 HmbHG erfolgen. Soweit im Rahmen der psychologischen Beratung Gesundheitsdaten verarbeitet werden, findet ergänzend Artikel 9 Absatz 2 Buchstabe h DSGVO Anwendung.

Die psychologische Beratungsstellen an öffentlichen Hochschulen können die Daten der beratungssuchenden Personen auch aufgrund einer ausdrücklichen Einwilligung verarbeiten. Diese stützt sich auf Artikel 6 Absatz 1 Buchstabe a sowie Artikel 9 Absatz 2 Buchstabe a DSGVO und dient insbesondere der Transparenz und der Vertrauensbildung. Dabei ist zu beachten, dass eine wirksame Einwilligung an klare Prozesse und Vorgaben der DSGVO gebunden ist, insbesondere an Freiwilligkeit, Informiertheit und Widerrufbarkeit. Sofern eine Verarbeitung auf Grundlage einer Einwilligung erfolgen soll, wird empfohlen, frühzeitig die zuständigen Datenschutzbeauftragten oder Datenschutzfachstellen der Hochschule einzubeziehen.

Datenschutzinformationen müssen nicht ausschließlich in allgemeiner Form bereitgestellt werden, sondern können auch situations- und anlassbezogen ausgestaltet sein. Dies ermöglicht es, die Informationen passgenau dort zur Verfügung zu stellen, wo konkrete Beratungssituationen stattfinden.

• Offene Sprechstunde: Ein klassisches Beispiel aus dem Hochschulalltag ist die offene Sprechstunde. In diesem Rahmen kann beim Eintreffen ein kurzes Informationsblatt zum Datenschutz ausgegeben werden – vergleichbar mit der Praxis in Arztpraxen – oder alternativ über einen gut sichtbaren Aushang informiert werden.
• Einzelberatungen: Bei Einzelberatungen per E-Mail oder Videochat bietet sich an, den Datenschutzhinweis vorab zu übersenden oder in der E-Mail-Signatur zu verlinken. In Chatbasierten Beratungsangeboten kann zudem ein Opt-in-Verfahren eingesetzt werden, bei dem die Beratung erst nach aktiver Bestätigung der Datenschutzhinweise beginnt.
• Telefonische Beratungen: Auch bei telefonischen Beratungen ist sicherzustellen, dass die Möglichkeit besteht, sich vorab oder begleitend über die datenschutzrechtlichen Rahmenbedingungen zu informieren, etwa jederzeit über die Webseite der Hochschule. Auf diese Weise wird Transparenz geschaffen und zugleich verdeutlicht, dass vertrauliche Inhalte geschützt verarbeitet werden.

Neben einzelfallbezogenen Hinweisen besteht für Hochschulen die Möglichkeit, eine umfassende zentrale Datenschutzinformation bereitzustellen (vgl. auch den Abschnitt Datenschutzinformation International Office). Diese kann bereits im Bewerbungs- oder Immatrikulationsprozess darüber informieren, in welchen Zusammenhängen und zu welchen Zwecken personenbezogene Daten innerhalb der Hochschule verarbeitet werden – einschließlich der Nutzung von Beratungsangeboten.

Ein Vorteil dieses Vorgehens liegt darin, dass Organisationseinheiten wie die Psychologische Beratung entlastet werden. Sofern die relevanten Verarbeitungstätigkeiten bereits in der zentralen Datenschutzinformation beschrieben sind, ist keine wiederholte separate Information in jedem Einzelfall erforderlich. Dadurch kann der Fokus stärker auf die eigentliche Beratungsarbeit gelegt werden.

Voraussetzung ist jedoch, dass sich die Datenverarbeitungen tatsächlich auf die in der zentralen Datenschutzinformation beschriebenen Prozesse beschränken. Werden neue Angebote oder Arbeitsweisen eingeführt – etwa digitale Beratungsformate, Gruppenkurse oder zusätzliche Auswertungs- und Dokumentationstools –, ist die Datenschutzinformation entsprechend zu ergänzen oder zu aktualisieren. Transparenz bleibt damit auch bei zentralen Informationskonzepten das maßgebliche Leitprinzip.