Der Studierende möchte eine Adressänderung mitteilen? Es soll eine Namensänderung aufgrund einer Heirat oder eines Identitätswechsel stattfinden? Wie soll mit Anfragen umgegangen werden, die nicht vom Betroffenen stammen? Diese Fragen und auch andere bearbeitet die Studierendenverwaltung. Wir geben einen Überblick, welche besonderen Herausforderungen der Datenschutz an einigen Stellen hervorruft und wie man diesen begegnen kann.
In der Studierendenverwaltung werden Themen betreut, die hauptsächlich den gesamten Zyklus der Studierenden widerspiegeln und die datenschutzrechtlich zu berücksichtigen sind. Die folgenden Beispiele sind nicht abschließend zu betrachten und können - je nach Ausgestaltung der Hochschule - unterschiedlich ausfallen.
Beim Bewerbungs- und Immatrikulationsprozess einer Hochschule sollten nur personenbezogene Daten von Bewerbern und Studierenden verarbeitet werden, die für die Zweckerreichung erforderlich sind, Grundsatz der Zweckbindung. Immatrikulationsordnungen und Datenschutzsatzungen der Hochschulen können an dieser Stelle eine hilfreiche Stütze sein. Die rechtlichen Grundlagen zählen unter anderem auch die Kategorien an personenbezogenen Daten auf, die zum Beispiel im Rahmen der Immatrikulation erhoben werden dürfen.
Benötigt die Hochschule für einen bestimmten Prozess weitere Nachweise, in denen eventuell weitere personenbezogene Daten versehen sind, die zur Zweckerreichung nicht notwendig sind, sollten die aufgeforderte Person, die nachweispflichtig ist, auch darauf hingewiesen werden, dass daten die nicht notwendig sind, unkenntlich zu machen sind.
Im Rahmen der Studierendenverwaltung spielt die organisatorische Datensicherheit eine große Rolle. Hier sollten Sie sich immer fragen: Wie kann ich sicherstellen, dass anwesende Studierende tatsächlich die Personen sind, die sie vorgeben zu sein? Wie kann ich sicherstellen, dass andere Studierende keine Kenntnis von den Studierendendaten eines Studierenden erhalten?
Die Anwendbarkeit der regeln de DSGVO sind natürlich nur anwendbar, wenn personenbezogene Daten verarbeitet werden. Dies ist nicht gegeben, wenn der/die Studierende einfach nur eine Anfrage allgemeiner Natur hat, bei der keine personenbezogenen Daten des Studierenden offenbart werden. Vorsicht ist allerdings geboten, wenn zur Beantwortung einer vermeintlich einfachen Frage, personenbezogene Daten verarbeitet werden. Kommt eine studierende Person in die Studierendenverwaltung und will wissen, ob ein/e Professor /in vor vier Jahren die Zwischenklausur eines Grundlagenfachs beurteilt hat, und kann die Studierendenverwaltung dies Frage nur beantworten in dem sie in die Studierendenakte der anfragenden Person schaut, benötigt sie einen Namen. Sollte die anfragende Person einen Namen nennen, wird zum leichteren Auffinden das Geburtsdatum abgefragt. Und schon befindet man sich - trotz einer einfachen Anfrage, im Anwendungsbereich der DSGVO.
In der Praxis ist es nicht möglich und erforderlich, dass Sie jedes Mal, wenn eine studierende Person Ihr Büro betritt, diese um einen Nachweis in Form seines Studierendenausweises oder seines Personalausweises fragen. Abhängig von den Vorgaben an Ihren Hochschulen kann eine solche Identitätsüberprüfung jedoch bei einzelnen Vorgängen (wie z.B. das Beantragen einer Zweitausfertigung des Semestertickets) sowieso eine gängige Vorgehensweise sein. Ansonsten ist es ausreichend, dass Stichproben bzgl. der Identität eines Studierenden erfolgen, wenn Sie Zweifel bzgl. der Identität haben.
Nach Möglichkeit ist ein gewisser Abstand zwischen den einzelnen Studierenden zu gewährleisten. Sei es bei der Ausgabe von Leistungsnachweisen, bei der Zweitausfertigung eines Semstertickets oder bei einer sonstigen Antragsstellung. Helfen können hier Bodenmarkierungen mit dem Hinweis der Diskretion. Gegebenenfalls muss die Studierendenverwaltung mit Terminen arbeiten, sofern Themen sehr vertraulich sind (Krankheit, Mutterschutz, Identitätswechsel, Nachteilsausgleich für Menschen mit Handicap) die Studierendenverwaltung aufgrund des Semsterstarts überlaufen ist oder Themen einfach mehr Zeit beanspruchen.
Bei Anfragen per E-Mail werden von den Studierenden in der Praxis selten die bei Immatrikulation zugeteilten offiziellen Hochschul-E-Mail-Adressen verwendet. Häufiger nutzen die Studierenden private E-Mail-Adressen. Bei einer solchen Vorgehensweise sollte nur nach weiteren Mitteln der Identifikation gefragt werden, wenn z.B. die E-Mail-Adresse keinerlei Rückschlüsse auf den Namen des/der Studierenden schließen lässt. Weiter sollte am besten ein Textbaustein entworfen werden, mit welchem den Studierenden mitgeteilt wird, dass sie insbesondere bei privaten E-Mail-Adressen dafür verantwortlich sind, der Studierendenverwaltung mitzuteilen, wenn diese E-Mail-Adressen nicht mehr aktuell sind und die/der Studierende unter dieser E-Mail-Adresse nicht mehr erreichbar ist.
Bei telefonischen Anfragen von Studierenden sollte nach deren Matrikelnummer und Geburtsdatum gefragt werden. So kann höchstwahrscheinlich sichergestellt sein, dass die anrufende Person auch wirklich jene ist, der er oder die sie ausgibt zu sein.
Vertraulichkeit bedeutet, Unbefugte dürfen keinen Zugriff auf Daten haben, sofern sie diese Daten nicht zur Erfüllung ihrer Aufgabe benötigen. Personenbezogene Daten müssen grundsätzlich vor unbefugten Zugriff oder Kenntnisnahme geschützt werden. Einen großen Teil davon kann jeder Hochschulmitarbeiter bereits einhalten, durch einen datenschutzgerechten Umgang am Arbeitsplatz, wie:
Einige Hochschulen haben auf ihrer Webseite ein Kontaktformular eingeführt. Oft können Anfragende über ein Dropdown-Menü ihre Anfrage zielgerichteter stellen. Nehmen Nutzer diese Möglichkeit der Kontaktaufnahme war, werden personenbezogene Daten verarbeitet.
Multifunktionsgeräte erfreuen sich großer Beliebtheit. Aufgrund ihrer Komplexität (Drucker, Scanner, Kopierer, Faxmodem usw.) sind sie datenschutzrechtlich nicht zu unterschätzen. Eine große Rolle spielen vor allem interne Speichereinheiten, die eine Vielzahl von Daten speichern, meist unerkannt. Je nach Umfang ist ein Multifunktionsgerät als eigene Verarbeitung anzusehen. Somit müssen gerade hier folgende Punkte berücksichtigt werden.
Des Weiteren sollten Druckaufträge nicht einfach auszulösen sein. Mittlerweile haben viele Einrichtungen die Multifunktionsgeräte so eingerichtet, dass der beauftragte Druck erst durch das Gegenhalten einer entsprechenden Karte (z.B. Zugangsberechtigungskarte zur Hochschule) an einem am Gerät angebrachten Kartenleser ausgelöst werden kann. Sofern der Druckauftrag allerdings sofort ausgedruckt wird, sobald die Person ihn über seinen Computer abgeschickt hat, sollte die Person innerhalb seines Druckauftrages "Vertrauliches Drucken" einstellen.
Veröffentlichung von Noten oder Teilnehmerlisten
Die Veröffentlichung von Noten oder Teilnahmelisten wird an den Hochschulen, den einzelnen Lehrstühlen und bei einzelnen Dozenten unterschiedlich gehandhabt. Wenn Noten oder Teilnahmelisten an Schwarzen Brettern ausgehängt werden, sollten dabei nicht die Namen der Studierenden angegeben werden, sondern die Matrikelnummern. Wenn die Veröffentlichung von Noten und Teilnahmelisten online erfolgt, sollte dies nicht über eine bloße Veröffentlichung auf der Website des Lehrstuhls erfolgen, sondern datenschutzrechtlich vorzuziehen ist es, dass der Zugriff auf diese personenbezogenen Daten ausschließlich über ein Campus Management System erfolgt. Hierbei sollte der einzelne Studierende auch nicht Zugriff auf die Noten anderer Studierender oder auf die gesamte Teilnehmerliste haben, sondern nur auf seine eigenen personenbezogenen Daten.
Jede einzelne Verarbeitungstätigkeit, die im Rahmen der Studierendenverwaltung erfolgt, bedarf einer Rechtsgrundlage. Die sogenannten administrativen Verarbeitungen sind zur Erfüllung einer gesetzlichen Aufgabe, gemäß Art. 6 Absatz 1 lit. e DSGVO, notwendig. Sofern diese Rechtsgrundlage einschlägig ist, bedarf es zusätzlich einer konkretisierenden Rechtsgrundlage. In der Regel werden die Aufgaben der Hochschulen im Hamburgischen Hochschulgesetz festgelegt und gegebenenfalls durch weitere hochschulspezifische Satzungen und Ordnungen konkretisiert.
Es kann durchaus vorkommen, dass für einige Verarbeitungen im Bereich der Studierendenverwaltung als Rechtsgrundlage die Einwilligung herangezogen werden muss.
Die Einschreibung an der Hochschule, die Teilnahme an Lehrveranstaltungen und Prüfungen sowie die Nutzung von Hochschuleinrichtungen, überall werden personenbezogene Daten verarbeitet, damit die Hochschule ihre Angebote abbilden können. Dabei müssen die Hochschulen Studienbewerber*innen und Studierende nach Maßgabe der DSGVO umfassend über die einzelnen Verarbeitungsschritte an dieser Stelle informieren, und das spätestens zum Zeitpunkt der Datenerhebung. Aber wie wird das am besten umgesetzt?
Im Bereich Lehre und Studium finden zahlreiche Verarbeitungsvorgänge zu unterschiedlichen Zwecken statt. Um die Einhaltung der Informationspflicht nachzukommen, ist eine praktikable Lösung notwendig. Es bietet sich daher an, wenn Hochschulen bereits im Bewerbungsprozess den potenziellen Studierenden eine umfassende „Datenschutzerklärung für Immatrikulation, Studium und Promotion“ zur Verfügung stellt. Viele Hochschulen können eine solche Datenschutzerklärung in ihrem Campus-Management-System einbinden.
Eine umfassende Datenschutzerklärung hat im Bereich Lehre und Studium einen großen Vorteil: Einzelne Abteilung aus der Lehre oder der Studierendenverwaltung (wie beispielsweise die Qualitätsentwicklung oder bei der Nutzung von e-Learning Plattformen usw.) müssen sich im Rahmen ihrer Aufgabe mit der Erforderlichkeit und dem Erstellen einer Informationspflicht beschäftigen.
Nicht nur die Weiterleitung von Studierendendaten an Dritte (externe Empfänger) im Rahmen gesetzlicher Verpflichtungen, sondern auch die Zusammenarbeit mit Auftragsverarbeitern als auch die Weitergabe an weiteren Personen innerhalb der Hochschule fallen unter eine Weiterleitung im Sinne der DSGVO.
Dann kann es bei Ihnen ein Bestandteil Ihrer Arbeit sein, dass Tutorenverträge abgeschlossen werden und z.B. die Personalverwaltung Studierendendaten, gerade auch in Form von Nachweisen, welche der potenzielle Tutor zu erbringen hat, erfragt. Die Rechtsgrundlage für die Übermittlung von Tutorendaten an die Personalverwaltung ist der mit dem potenziellen Tutor abzuschließende Vertrag. Bei den erforderlichen Nachweisen kann es sich um Sozialversicherungsdaten handeln (welche sensible Daten sind und somit besonders geschützt werden müssen). Die Personalabteilung ist an einem Nachweis interessiert, dass der/die Studierende wirklich noch als Studierende/r eingeschrieben ist, da eine Voraussetzung für die Tätigkeit als Tutor ist, dass der potenzielle Tutor wirklich auch Studierende/r ist. Weiter kann es für die Personalverwaltung erforderlich sein, festzustellen, ob der/die Studierende einen zweiten Nebenjob hat und in Zusammenhang mit diesem Nebenjob und der Beschäftigung als Tutor eine für Studierende vorgegebene Höchststundenzahl pro Woche überschreitet. Die Personalverwaltung benötigt diese Daten auch für die Lohnbuchhaltung und die Weiterleitung an das Finanzamt.
Deshalb kann es notwendig sein, dass die Personalverwaltung z.B. Arbeitsverträge oder Gehaltsnachweise des potenziellen Tutors einsehen möchte. Grundsätzlich sollte bevorzugt werden, dass der/die Studierende diese erforderlichen Gehaltsnachweise bei der Personalverwaltung direkt abgibt. Sollten Sie aber als Studierendenverwaltung direkter Ansprechpartner für den potenziellen Tutor sein, sollten Sie es auch hier dem Tutor ermöglichen, seine Unterlagen direkt bei Ihnen vorbeizubringen. Es sollte immer darauf verwiesen werden (entweder vor Ort bei Ihnen im Büro oder auf der Website), dass die nicht erforderlichen personenbezogenen Daten von dem potenziellen Tutor geschwärzt werden dürfen. Wenn Sie es hier (dies gilt auch für andere Bereiche) ermöglichen, dass der Tutor seine Unterlagen über eine Website bei Ihnen hochladen kann, stellt sich die Frage ob der Datentransfer zu Ihnen verschlüsselt ist. Wenn dies nicht der Fall ist, sollten Sie den Studierenden umso mehr die Möglichkeit geben, ihre Unterlagen bei Ihnen vor Ort im Büro abzugeben. Es sollte weiter aber mithilfe eines Textbausteins auf der Website darauf hingewiesen werden, dass ein verschlüsselter Datentransfer nicht gewährleistet werden kann und dass mit den Sozialversicherungsdaten auch sensible Daten übermittelt werden.
Es sollte grundsätzlich jedoch vermieden werden, dass die Personalverwaltung Zugriff auf die Software der Studierendenverwaltung hat.
Bei der internen Weitergabe von Daten z.B. an die Finanz- und Rechnungsabteilung z.B. wegen der Nachweise der Bezahlung der Immatrikulations- oder Studiengebühren beim Fernstudium dient auch das Hamburger Hochschulgesetz (HmbHG) als Rechtsgrundlage. Es sollte auch darauf geachtet werden, dass für die Abrechnung nicht erforderliche personenbezogene Daten nicht intern an die Finanz- und Rechnungsabteilung weitergegeben werden.
Da es sich bei Statistikdaten um anonyme Daten handelt, ist die DSGVO nicht anwendbar und es bedarf keiner Rechtsgrundlage. Im Rahmen der verpflichtenden Weitergabe von personenbezogenen Daten für die Hochschulstatistik sollten jedoch wirklich nur anonyme Daten und keine personenbezogenen Daten weitergeben werden.
In der Studierendenverwaltung kommt es hin und wieder vor, dass nach Daten von Studierenden gefragt wird. Aber, wie soll mit dieser Form des Auskunftsersuchens umgegangen werden?
In erster Linie muss die Form der Anfrage berücksichtigt werden. Bei telefonischen Anfragen sollte grundsätzlich in dieser Form keine Daten übermittelt werden, da sich die anrufende Person problemlos als eine andere Person ausgeben und damit über ihre Identität täuschen kann. Als nächster Schritt ist zu klären, ob eine Übermittlung an Dritte überhaupt zulässig ist, d.h. ob es eine Rechtsrundlage gibt.
Stammt die Anfrage von einer Ermittlungsbehörde (z.B. Polizei, Staatsanwaltschaft) kann von der Hochschule nach § 161 StPO Auskünfte verlangt werden. Voraussetzung ist jedoch, dass ein Ermittlungsverfahren geführt wird. Diese Voraussetzung lässt sich im Zweifel nicht schnell nachprüfen und kann sich kompliziert gestalten. Bei Anfragen einer Ermittlungsbehörde sollte sich die zuständige Sachbearbeitung daher an das Justiziariat oder die Hochschulleitung wenden.
Der Umgang mit Anfragen durch Privatpersonen ist schwer über eine Rechtsgrundlage zu lösen, da es im Zweifel keine gibt. Hier ist der Einzelfall zu betrachten.
Liegt die Beantwortung der Anfrage im Interesse des Betroffenen, kann sich die Hochschule Gedanken machen, ob es die Anfrage nicht einfach weiterleitet (zum Beispiel durch Aushang ans Schwarze Brett/Ankündigung in einer Lehrveranstaltung/Hinweis auf der Internetseite).
Kommt es zu einer Anfrage durch ein Elternteil oder eine Privatperson sollte auch an dieser Stelle der jeweilige Umstand berücksichtigt werden. Aber auch hier gilt vorab, gibt es vielleicht eine Rechtsgrundlage? Das heißt, kann die anfragende Person tatsächlich eine Einwilligung der betroffenen Person in die Auskunftserteilung durch die Hochschule vorlegen? Wenn ja, kann die Auskunft erteilt werden. Wird allerdings keine Einwilligung vorgelegt, dann gibt es keine Rechtsgrundlage, die eine Datenübermittlung an Privatpersonen zulässt. Esgilt der Grundsatz der Datenerhebung beim Betroffenen. Unabhängig davon besteht natürlich hier auch die Möglichkeit, der anfragenden Person entgegenzukommen:
Bzgl. der Speicherdauer der personenbezogenen Daten gilt zunächst der Grundsatz, dass personenbezogene Daten nicht weiter gespeichert werden dürfen, wenn ihr Zweck erreicht ist. Dies würde grundsätzlich bedeuten, dass, da die personenbezogenen Daten der Studierenden zur Ermöglichung des Studiums gespeichert wurden, eigentlich die personenbezogenen Daten der Studierenden nach Exmatrikulation gelöscht werden müssten. Dies kann nicht sein, da gerade die Zeugnisse und Abschlussnoten für den möglichen Fall einer zukünftigen Zweitausfertigung weiter vorgehalten werden müssen. Nach erfolgloser Bewerbung auf einen Studienplatz sind diese Unterlagen natürlich umgehend zu löschen. meist haben die Hochschulen eigene Regelungen in Form einer Satzung oder Ordnung erlassen, in denen Fristen für die Aufbewahrung und Löschung geregelt sind.
Allerdings gibt es eine Besonderheit, die zu berücksichtigen ist. Unterlagen, die bei der Arbeit an einer Hochschule entstehen, sind dienstlich entstandene Unterlagen. Für den Umgang mit diesen Unterlagen hat der Gesetzgeber klare Vorgaben getroffen: Das Hamburgische Archivgesetz (HmbArchG). Öffentliche Stellen müssen ihre nicht mehr benötigten Unterlagen dem zuständigen Archiv zur Übernahme anbieten. Das mag im ersten Augenblick als Widerspruch zum Datenschutz erscheinen, da grundsätzlich alle Daten nach Zweckerreichung zu löschen sind. Aber auch hier gilt: Auch die ausgesonderten Unterlagen werden im Archiv nur so lange aufbewahrt, wie sie erforderlich sind - nur für einen anderen Zweck.