Datenschutz in der Studierendenverwaltung

Im Bewerbungs- und Immatrikulationsprozess werden zahlreiche personenbezogene Daten erhoben. Dabei gilt der Grundsatz der Zweckbindung: Es dürfen nur solche Daten verarbeitet werden, die für die Durchführung des Verfahrens erforderlich sind. Immatrikulationsordnungen und Datenschutzsatzungen der Hochschulen bieten hierfür eine wichtige Orientierung.

Mögliche datenschutzrelevante Risiken:

• Erhebung von Daten „auf Vorrat“
• Übermittlung von Dokumenten mit mehr Informationen als notwendig (z. B. Ausweiskopien mit Foto, Seriennummer etc.)
• Unsicherheit bei Studierenden, welche Angaben erforderlich sind

Mögliche Praxisnahe Lösungsvorschläge:

• Klare Benennung der erforderlichen Datenkategorien im Immatrikulationsprozess
• Verweis auf hochschulinterne Ordnungen als rechtliche Grundlage
• Deutliche Hinweise an Studierende, welche Angaben in Nachweisen erforderlich sind
• Aufforderung, nicht benötigte Informationen in Dokumenten unkenntlich zu machen (z. B. Schwärzen von Foto, Religionszugehörigkeit oder Ausweisnummer)
• Bereitstellung von Beispielen oder Hinweistexte in Upload-Portalen („Bitte schwärzen Sie nicht erforderliche Angaben“)

Studierende wenden sich häufig per E-Mail an die Studierendenverwaltung, etwa um eine aktuelle Notenübersicht zu erhalten oder eine Bescheinigung für das BAföG-Amt anzufordern. Problematisch kann hierbei sein, dass E-Mail-Anfragen nicht immer eindeutig der richtigen Person zugeordnet werden können – etwa wenn private E-Mail-Adressen genutzt werden oder nur der Vorname im Absender erscheint.

Mögliche datenschutzrelevante Risiken:

• Übersendung sensibler Daten an eine nicht eindeutig identifizierte Person
• Weiterleitung der E-Mail an Dritte (z. B. bei gemeinsam genutzten Postfächern)
• Speicherung personenbezogener Daten in E-Mail-Postfächern ohne klare Löschfristen

Mögliche Praxisnahe Lösungsvorschläge:

• Nutzung hochschuleigener E-Mail-Adressen für datensensible Anfragen empfehlen oder voraussetzen
• Bei sensiblen Informationen eine zusätzliche Identifikation abfragen (z. B. Matrikelnummer oder Geburtsdatum)
• Verweis auf geschützte Self-Service-Portale, in denen Notenübersichten oder Bescheinigungen selbstständig heruntergeladen werden können
• Sensible Dokumente nicht als E-Mail-Anhang versenden, sondern über sichere Downloadlinks bereitstellen

Telefonische Anfragen von Dritten sind ein häufiger Bestandteil des Hochschulalltags – etwa wenn Eltern nach dem Studienstatus ihres Kindes fragen oder Arbeitgeber eine Studienbescheinigung anfordern. Auch wenn die Anfrage gut gemeint ist, besteht hier ein hohes Datenschutzrisiko.

Mögliche datenschutzrelevante Risiken:

• Unbefugte Offenlegung personenbezogener Daten
• Fehlende Möglichkeit, die Identität der anrufenden Person zu überprüfen
• Erwartungshaltungen („Wir sind die Eltern, wir dürfen das wissen“)

Mögliche Praxisnahe Lösungsvorschläge:

• Grundsatz: Keine telefonischen Auskünfte zu personenbezogenen Daten an Dritte
• Freundliche, aber klare Standardformulierungen verwenden (z. B. Verweis auf Datenschutz)
• Hinweis an Studierende, dass Auskünfte nur an sie selbst erfolgen
• Nutzung schriftlicher Vollmachten, falls in Ausnahmefällen eine Weitergabe erforderlich ist
• Verweis auf offizielle Dokumente, die Studierende selbst weiterleiten können (z. B. Studienbescheinigungen aus dem Portal)
• Sonderfälle: Siehe unten unter Weiterleitung von personenbezogenen Daten/Umgang mit Anfragen

Digitale Systeme sind aus der Studierendenverwaltung nicht mehr wegzudenken. Sie verarbeiten große Mengen personenbezogener Daten, angefangen mit der Bewerbung, und sind oft über viele Jahre im Einsatz.

Mögliche datenschutzrelevante Risiken:

• Zugriff auf Daten durch zu viele oder nicht berechtigte Personen
• Speicherung von Daten über den notwendigen Zeitraum hinaus
• Unklare Verantwortlichkeiten bei externen IT-Dienstleistern

Mögliche Praxisnahe Lösungsvorschläge:

• Rollen- und Berechtigungskonzepte konsequent umsetzen („Wer darf was sehen?“)
• Regelmäßige Überprüfung von Nutzerkonten, insbesondere bei Personalwechsel
• Abschluss und Pflege von Auftragsverarbeitungsverträgen mit externen Dienstleistern
• Klare Regelungen zur Datenlöschung und Archivierung innerhalb der Systeme
• Sensibilisierung der Mitarbeitenden für datenschutzkonforme Nutzung

Serien-E-Mails sind ein effizientes Kommunikationsmittel, bergen aber ebenfalls datenschutzrechtliche Fallstricke – insbesondere bei großen Verteilerlisten.

Mögliche datenschutzrelevante Risiken:

• Offenlegung von E-Mail-Adressen durch falsche Verwendung von „An“ oder „CC“
• Versand an falsche oder veraltete Verteiler
• Unklare Zweckbindung der Kommunikation

Mögliche Praxisnahe Lösungsvorschläge:

• Nutzung von Verteilerlisten oder Mailingsystemen, bei denen Empfänger:innen nicht sichtbar sind
• Einsatz von „BCC“, wenn kein zentrales System verfügbar ist
• Regelmäßige Pflege und Aktualisierung der Verteiler
• Klare Zweckbeschreibung der E-Mail (Warum erhalten Studierende diese Nachricht?)
• Verzicht auf unnötige personenbezogene Daten im E-Mail-Text

Viele Hochschulen nutzen Anfragetools (z.B. für Kontaktformulare), um Anfragen von Studierenden strukturiert zu bearbeiten. Studierende können dort Anliegen auswählen, Dateien hochladen und den Bearbeitungsstand verfolgen. Diese Systeme bieten organisatorische Vorteile, bringen aber auch datenschutzrechtliche Fragestellungen mit sich.

Mögliche datenschutzrelevante Risiken:

• Erhebung zu vieler personenbezogener Daten durch frei gestaltbare Eingabefelder
• Upload von Dokumenten mit sensiblen oder nicht erforderlichen Informationen
• Zugriff auf Anfragen durch zu viele Mitarbeitende
• Lange oder unklare Speicherfristen innerhalb des Systems

Mögliche Praxisnahe Lösungsvorschläge:

• Pflichtfelder auf das notwendige Minimum beschränken
• Klare Hinweise geben, welche Angaben erforderlich sind und welche nicht
• Upload-Funktionen gezielt begrenzen (z. B. Dateitypen, Dateigröße)
• Studierende aktiv darauf hinweisen, nicht erforderliche Daten zu schwärzen
• Rollen- und Berechtigungskonzepte im Tool umsetzen
• Regelmäßige Überprüfung und Löschung abgeschlossener Vorgänge

Multifunktionsgeräte sind fester Bestandteil des Verwaltungsalltags, werden aber im Datenschutz oft unterschätzt. Sie verarbeiten regelmäßig personenbezogene Daten, etwa beim Scannen von Immatrikulationsunterlagen, Ausweiskopien oder Prüfungsnachweisen.

Mögliche datenschutzrelevante Risiken:

• Liegengebliebene Ausdrucke mit personenbezogenen Daten
• Speicherung von Scans im Gerätespeicher oder auf Netzlaufwerken
• Versand gescannter Dokumente an falsche E-Mail-Adressen
• Gemeinsame Nutzung der Geräte durch verschiedene Organisationseinheiten

Mögliche Praxisnahe Lösungsvorschläge:

• Einsatz von „Follow-Me-Print“- oder PIN-Lösungen, bei denen Ausdrucke erst nach Authentifizierung erfolgen
• Regelmäßige Schulung der Mitarbeitenden im Umgang mit Multifunktionsgeräten
• Klare Vorgaben zum Scannen und Ablegen von Dokumenten
• Deaktivierung oder Einschränkung der lokalen Speicherung auf den Geräten
• Deutliche Hinweise an Geräten (z. B. „Bitte Ausdrucke sofort entnehmen“)

In der Praxis greifen viele dieser Prozesse ineinander, zum Beispiel, kann eine Anfrage über ein Ticketsystem Dokumente enthalten, die anschließend ausgedruckt, gescannt und per E-Mail weiterverarbeitet werden. Gerade an diesen Schnittstellen entstehen häufig Datenschutzrisiken.

Mögliche unterstützende Maßnahmen können sein:

• Klare Prozessbeschreibungen für typische Vorgänge in der Studierendenverwaltung
• Sensibilisierung für medienbruchfreie und datensparsame Abläufe
• Regelmäßige Überprüfung bestehender Prozesse aus Datenschutzperspektive

In bestimmten Fällen kann die Studierendenverwaltung jedoch eine freiwillige Einwilligung der Studierenden benötigen – insbesondere dann, wenn die Verarbeitung nicht zwingend für die Durchführung des Studiums erforderlich ist und keine andere gesetzliche Grundlage greift.

Praxisnahes Beispiel:

Möchte eine Hochschule beispielsweise Kontaktdaten von Studierenden an externe Organisationen weitergeben – etwa für freiwillige Mentoringprogramme, Alumni-Angebote während des Studiums oder Einladungen zu hochschulnahen, aber nicht studienrelevanten Veranstaltungen – kann hierfür eine ausdrückliche Einwilligung erforderlich sein. Gleiches kann gelten, wenn Studierende freiwillig zusätzliche Angaben machen sollen, die über die Pflichtdaten hinausgehen, etwa für interne Serviceangebote oder Umfragen ohne gesetzlichen Auftrag.

Dabei gilt:

• Die Einwilligung muss freiwillig, informiert und eindeutig erfolgen.
• Sie darf nicht an studienrelevante Nachteile geknüpft sein.
• Studierende müssen ihre Einwilligung jederzeit widerrufen können.

Dieses Beispiel verdeutlicht, dass die Einwilligung in der Studierendenverwaltung die Ausnahme bleibt – aber dort erforderlich sein kann, wo Datenverarbeitungen über den gesetzlichen Studienbetrieb hinausgehen.

Datenschutzinformationen sollten die relevanten Verarbeitungsvorgänge abbilden, die im Zuständigkeitsbereich der Studierendenverwaltung liegen. Welche Verarbeitungen konkret aufgeführt werden, kann je nach Hochschule, Struktur und eingesetzten Systemen unterschiedlich ausfallen.

Typische Beispiele für Verarbeitungen, die in Datenschutzinformationen enthalten sein können, sind unter anderem:

• Bewerbung auf einen Studienplatz
  (z. B. Verarbeitung von Bewerbungsunterlagen, Zeugnissen, Kontaktdaten)
• Immatrikulation und Rückmeldung
  (z. B. Verarbeitung von Adressdaten, Angaben zur Krankenversicherung, Zahlungsdaten)
• Führen von Studierendenakten
  (z. B. Studienverlaufsdaten, Prüfungsleistungen, Abschlussdaten)
• Prüfungsverwaltung
  (z. B. Anmeldung zu Prüfungen, Speicherung von Noten, Ausstellung von Zeugnissen)
• Weiterleitung von Daten an externe Stellen
  (z. B. Krankenkassen, Studierendenwerk, Statistikstellen)
• Datenübermittlungen im Rahmen von Kooperationen
  (z. B. an Partnerhochschulen bei Austauschprogrammen oder Doppelabschlüssen)
• Weitergabe von Daten an Stipendiengeber oder Förderprogramme
  (z. B. bei hochschulinternen oder externen Stipendien)

Diese Aufzählung ist nicht abschließend. Je nach Hochschule können weitere Verarbeitungen hinzukommen oder einzelne Punkte entfallen.

Wie umfangreich die Datenschutzinformation ausgestaltet ist, hängt maßgeblich von den hochschulspezifischen Prozessen ab. Hochschulen können sich beispielsweise dafür entscheiden,

• prozessbezogene Datenschutzinformationen bereitzustellen
  (z. B. getrennte Informationen für Bewerbung, Immatrikulation, Prüfungen, International Office)

oder

• vollumfängliche Datenschutzinformationen bereits zu Beginn des Studiums zur Verfügung zu stellen, die den gesamten Student-Life-Cycle abbilden – von der Bewerbung bis zur Exmatrikulation.

In letzterem Fall können auch Verarbeitungen berücksichtigt werden, die in anderen Organisationseinheiten stattfinden, etwa im International Office, im Prüfungsamt oder bei hochschulübergreifenden Kooperationen. Dadurch kann es möglich sein, dass Studierende nicht mehrfach zu denselben oder sehr ähnlichen Verarbeitungen informiert werden müssen.

Mögliche Vorteile

• Studierende erhalten frühzeitig einen umfassenden Überblick über die Datenverarbeitung während des gesamten Studiums
• Reduzierung von Mehrfachinformationen durch verschiedene Organisationseinheiten
• Einheitliche und konsistente Darstellung der Datenverarbeitung
• Weniger Nachfragen, wenn Informationen gut strukturiert und verständlich aufbereitet sind

Mögliche Nachteile

• Umfangreiche Informationen können für Studierende unübersichtlich oder schwer verständlich sein
• Gefahr, dass relevante Informationen im Text „untergehen“
• Änderungen einzelner Prozesse erfordern eine regelmäßige Aktualisierung des gesamten Dokuments
• Unterschiedliche Detailtiefe einzelner Verarbeitungsvorgänge kann zu Unklarheiten führen

• Hinweise im Online-Bewerbungsportal, welche Daten zu welchem Zweck erhoben werden
• Datenschutzinformationen bei der Einschreibung oder Rückmeldung
• Transparente Erläuterungen, wie lange Prüfungsdaten gespeichert werden
• Informationen darüber, ob und an wen personenbezogene Daten weitergegeben werden

Gerade bei neuen digitalen Verfahren – etwa bei der Einführung eines neuen Campus-Management-Systems – ist es besonders wichtig, Studierende frühzeitig, verständlich und auffindbar zu informieren. Unklare oder schwer zugängliche Datenschutzinformationen führen häufig zu Rückfragen, Unsicherheiten oder Vertrauensverlust auf Seiten der Studierenden.

Dann kann es bei Ihnen ein Bestandteil Ihrer Arbeit sein, dass Tutorenverträge abgeschlossen werden und z.B. die Personalverwaltung Studierendendaten, gerade auch in Form von Nachweisen, welche der potenzielle Tutor zu erbringen hat, erfragt. Die Rechtsgrundlage für die Übermittlung von Tutorendaten an die Personalverwaltung ist der mit dem potenziellen Tutor abzuschließende Vertrag. Bei den erforderlichen Nachweisen kann es sich um Sozialversicherungsdaten handeln (welche sensible Daten sind und somit besonders geschützt werden müssen). Die Personalabteilung ist an einem Nachweis interessiert, dass der/die Studierende wirklich noch als Studierende/r eingeschrieben ist, da eine Voraussetzung für die Tätigkeit als Tutor ist, dass der potenzielle Tutor wirklich auch Studierende/r ist. Weiter kann es für die Personalverwaltung erforderlich sein, festzustellen, ob der/die Studierende einen zweiten Nebenjob hat und in Zusammenhang mit diesem Nebenjob und der Beschäftigung als Tutor eine für Studierende vorgegebene Höchststundenzahl pro Woche überschreitet. Die Personalverwaltung benötigt diese Daten auch für die Lohnbuchhaltung und die Weiterleitung an das Finanzamt.

Deshalb kann es notwendig sein, dass die Personalverwaltung z.B. Arbeitsverträge oder Gehaltsnachweise des potenziellen Tutors einsehen möchte. Grundsätzlich sollte bevorzugt werden, dass der/die Studierende diese erforderlichen Gehaltsnachweise bei der Personalverwaltung direkt abgibt. Sollten Sie aber als Studierendenverwaltung direkter Ansprechpartner für den potenziellen Tutor sein, sollten Sie es auch hier dem Tutor ermöglichen, seine Unterlagen direkt bei Ihnen vorbeizubringen. Es sollte immer darauf verwiesen werden (entweder vor Ort bei Ihnen im Büro oder auf der Website), dass die nicht erforderlichen personenbezogenen Daten von dem potenziellen Tutor geschwärzt werden dürfen. Wenn Sie es hier (dies gilt auch für andere Bereiche) ermöglichen, dass der Tutor seine Unterlagen über eine Website bei Ihnen hochladen kann, stellt sich die Frage ob der Datentransfer zu Ihnen verschlüsselt ist. Wenn dies nicht der Fall ist, sollten Sie den Studierenden umso mehr die Möglichkeit geben, ihre Unterlagen bei Ihnen vor Ort im Büro abzugeben. Es sollte weiter aber mithilfe eines Textbausteins auf der Website darauf hingewiesen werden, dass ein verschlüsselter Datentransfer nicht gewährleistet werden kann und dass mit den Sozialversicherungsdaten auch sensible Daten übermittelt werden.

Es sollte grundsätzlich jedoch vermieden werden, dass die Personalverwaltung Zugriff auf die Software der Studierendenverwaltung hat.

Bei der internen Weitergabe von Daten z.B. an die Finanz- und Rechnungsabteilung z.B. wegen der Nachweise der Bezahlung der Immatrikulations- oder Studiengebühren beim Fernstudium dient auch das Hamburger Hochschulgesetz (HmbHG) als Rechtsgrundlage. Es sollte auch darauf geachtet werden, dass für die Abrechnung nicht erforderliche personenbezogene Daten nicht intern an die Finanz- und Rechnungsabteilung weitergegeben werden.

Da es sich bei Statistikdaten um anonyme Daten handelt, ist die DSGVO nicht anwendbar und es bedarf keiner Rechtsgrundlage. Im Rahmen der verpflichtenden Weitergabe von personenbezogenen Daten für die Hochschulstatistik sollten jedoch wirklich nur anonyme Daten und keine personenbezogenen Daten weitergeben werden.

In der Studierendenverwaltung kommt es hin und wieder vor, dass nach Daten von Studierenden gefragt wird. Aber, wie soll mit dieser Form des Auskunftsersuchens umgegangen werden?

Anfrage durch Ermittlungsbehörde (Polizei/Staatsanwaltschaft)

In erster Linie muss die Form der Anfrage berücksichtigt werden. Bei telefonischen Anfragen sollte grundsätzlich in dieser Form keine Daten übermittelt werden, da sich die anrufende Person problemlos als eine andere Person ausgeben und damit über ihre Identität täuschen kann. Als nächster Schritt ist zu klären, ob eine Übermittlung an Dritte überhaupt zulässig ist, d.h. ob es eine Rechtsrundlage gibt.

Stammt die Anfrage von einer Ermittlungsbehörde (z.B. Polizei, Staatsanwaltschaft) kann von der Hochschule nach § 161 StPO Auskünfte verlangt werden. Voraussetzung ist jedoch, dass ein Ermittlungsverfahren geführt wird. Diese Voraussetzung lässt sich im Zweifel nicht schnell nachprüfen und kann sich kompliziert gestalten. Bei Anfragen einer Ermittlungsbehörde sollte sich die zuständige Sachbearbeitung daher an das Justiziariat oder die Hochschulleitung wenden.

Anfragen durch die Familie/Privatpersonen/Firmen

Der Umgang mit Anfragen durch Privatpersonen ist schwer über eine Rechtsgrundlage zu lösen, da es im Zweifel keine gibt. Hier ist der Einzelfall zu betrachten.

Liegt die Beantwortung der Anfrage im Interesse des Betroffenen, kann sich die Hochschule Gedanken machen, ob es die Anfrage nicht einfach weiterleitet (zum Beispiel durch Aushang ans Schwarze Brett/Ankündigung in einer Lehrveranstaltung/Hinweis auf der Internetseite). 

Kommt es zu einer Anfrage durch ein Elternteil oder eine Privatperson sollte auch an dieser Stelle der jeweilige Umstand berücksichtigt werden. Aber auch hier gilt vorab, gibt es vielleicht eine Rechtsgrundlage? Das heißt, kann die anfragende Person tatsächlich eine Einwilligung der betroffenen Person in die Auskunftserteilung durch die Hochschule vorlegen? Wenn ja, kann die Auskunft erteilt werden. Wird allerdings keine Einwilligung vorgelegt, dann gibt es keine Rechtsgrundlage, die eine Datenübermittlung an Privatpersonen zulässt. Esgilt der Grundsatz der Datenerhebung beim Betroffenen. Unabhängig davon besteht natürlich hier auch die Möglichkeit, der anfragenden Person entgegenzukommen:

• Geht es beispielweise um den Fall, dass die Anfragende Person frühere Freunde sucht, so kann die Hochschule dem Anfragenden/Absender der Anfrage anbieten, die Nachricht an den die Anfrage Betreffenden weiterzuleiten.
• Häufig kommt es in der Studierendenverwaltung auch zu Anrufen besorgter Eltern. Insbesondere nach dem Versand von Mahnungen mit dem Hinweis das noch kein Zahlungseingang zur Rückmeldung zu verbuchen ist, und gegebenenfalls die Exmatrikulation droht. es wird dann geschildert, dass das Kind sich längere Zeit im Ausland befindet und die Eltern fragen, was sie tun können um einer Exmatrikulation entgegenzuwirken. In diesem Fall berichten die Eltern häufig einen Sachverhalt, von dem nur sie Kenntnis bekommen können (zum Beispiel wurden die Eltern von ihrem Kind darum gebeten, regelmäßig in die Post zu schauen). An dieser Stelle ist davon auszugehen, dass sich die Eltern im Auftrag des Studierenden an die Studierendenverwaltung wenden.
• Anders ist der Fall zu betrachten, wenn sich die Eltern an die Studierendenverwaltung wenden, um Auskunft zu erhalten, ob ihr Kind erfolgreich studiert. Um dann, je nach Ausgang, die Unterhaltszahlungen einzustellen. Hier darf die Studierendenverwaltung keine Auskunft geben.

Im Hochschulalltag ergeben sich zahlreiche Situationen, in denen geprüft werden muss, ob Daten noch benötigt werden oder gelöscht werden können:

• Bewerbungsunterlagen abgelehnter Bewerber:innen
  Diese dürfen in der Regel nur für einen begrenzten Zeitraum aufbewahrt werden, etwa um Rückfragen zu beantworten oder rechtliche Fristen einzuhalten.
• Studienverlaufsdaten ehemaliger Studierender
  Für Prüfungsakten, Abschlussunterlagen oder Zeugnisse gelten unterschiedliche Aufbewahrungsfristen, die sich aus hochschul- oder prüfungsrechtlichen Vorgaben ergeben können.
• E-Mail-Korrespondenz mit Studierenden
  E-Mails enthalten häufig personenbezogene Daten und sollten regelmäßig überprüft werden. Eine dauerhafte Speicherung im persönlichen Postfach ist in der Regel nicht erforderlich.

In der Praxis ist oft unklar,

• wer für die Löschung verantwortlich ist,
• wann genau Daten gelöscht werden müssen,
• oder welche Daten noch aufbewahrt werden dürfen.

Klare interne Regelungen, abgestimmte Löschkonzepte und eine eindeutige Zuständigkeit helfen dabei, datenschutzkonform und gleichzeitig praxistauglich zu arbeiten. Dazu gehört auch, Mitarbeitende für Löschfristen und den Umgang mit Altbeständen zu sensibilisieren.