Die Verantwortlichkeit im Datenschutz bei Studienarbeiten

Die datenschutzrechtliche Verantwortlichkeit wird besonders herausfordernd, wenn Dritte – z. B. externe Forschungspartner, IT-Dienstleister oder andere Bildungseinrichtungen – eingebunden sind. Dann muss sorgfältig geprüft werden, in welchem Verhältnis die beteiligten Parteien zueinander stehen. In der Praxis gibt es typischerweise drei Konstellationen:

• Auftragsverarbeitung: Eine externe Stelle verarbeitet personenbezogene Daten ausschließlich im Auftrag der Hochschule und nach deren Weisung (z. B. ein Rechenzentrum, das Serverkapazitäten zur Verfügung stellt). Hier bleibt die Hochschule allein verantwortlich.
• Gemeinsame Verantwortlichkeit: Zwei oder mehr Parteien entscheiden gemeinsam über Zwecke und Mittel der Datenverarbeitung (z. B. bei einem kooperativen Forschungsprojekt mit gemeinsamem Datenpool). Dann muss vertraglich geregelt werden, wer welche Aufgaben übernimmt und wie Betroffenenrechte gewahrt werden.
• Getrennte Verantwortlichkeit: Jede beteiligte Stelle verarbeitet personenbezogene Daten unabhängig voneinander für eigene Zwecke (z. B. wenn eine Hochschule und ein Unternehmen jeweils eigene Studien mit denselben Teilnehmenden durchführen).

Die Zuordnung, welche dieser Formen im Einzelfall zutrifft, ist oft nicht eindeutig und bedarf sorgfältiger Prüfung. Gerade bei interdisziplinären Kooperationen, Drittmittelprojekten oder der Nutzung externer Dienste empfiehlt es sich daher dringend, frühzeitig die Datenschutzkoordinatorinnen der Hochschule einzubinden, um rechtlich auf der sicheren Seite zu sein.

Unter Studienarbeiten an Hochschulen können verschiedene Arten von Prüfungsleistungen verstanden werden:

• Seminararbeiten und Hausarbeiten als Teil von Lehrveranstaltungen
• Projektarbeiten und Forschungsarbeiten in verschiedenen Studienphasen
• Bachelor- und Masterarbeiten als Abschlussarbeiten des Studiums
• Studien- und Diplomarbeiten je nach Studiengang
• Praktikumsberichte mit wissenschaftlichem Anspruch
• Dissertationen im Rahmen von Promotionsstudiengängen
• Sonstige schriftliche Prüfungsarbeiten, die eigenständige wissenschaftliche Leistungen erfordern

Wichtig ist dabei: Studierende müssen bei solchen Prüfungsarbeiten eigenständige Leistungen erbringen. Dies ist in der Regel explizit in den jeweiligen Studienordnungen, Prüfungsordnungen oder Promotionsordnungen der Hochschulen geregelt. Die Eigenständigkeit der wissenschaftlichen Arbeit ist ein wesentliches Kriterium für die Bewertung und Anerkennung der Studienleistung.

Datenschutzrechtlich relevant wird es immer dann, wenn im Rahmen der Studienarbeiten Personenbezogene Daten verarbeitet werden. Aber was bedeutet das konkret?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen – beispielsweise Name, E-Mail-Adresse, Stimme (bei Audioaufnahmen) oder auch Antworten in einem Interview.

Verarbeitung bedeutet: Diese Daten werden erhoben, gespeichert, verändert, übermittelt, gelöscht oder auf andere Weise verwendet.

Beispiel: Eine Studentin führt für ihre Bachelorarbeit Interviews mit Teilnehmenden durch. Sie nimmt die Gespräche mit ihrem privaten Smartphone auf, überträgt die Audiodateien auf ihren eigenen Computer, transkribiert sie und verwendet die Aussagen anschließend für die Analyse in ihrer Studienarbeit.

In diesem Fall liegt die datenschutzrechtliche Verantwortung allein bei der Studierenden. Sie entscheidet selbst über Zweck und Mittel der Datenverarbeitung und muss daher die Pflichten der Datenschutzgrundverordnung (DSGVO) erfüllen – beispielsweise Einwilligungen einholen, Daten sicher speichern und Betroffenenrechte wahren.

Es gibt jedoch auch Fälle, in denen nicht mehr nur die studierende Person allein verantwortlich ist:

1. Studienarbeit im Rahmen eines Forschungsprojekts an der Hochschule

Erhält eine studierende Person im Zuge eines Forschungsprojekts an der Hochschule eine Anstellung oder wird in ein bestehendes Projekt eingebunden, kann die Verarbeitung personenbezogener Daten in der Verantwortung der Hochschule liegen – oder es besteht eine gemeinsame Verantwortlichkeit mit der studierenden Person. Wer konkret verantwortlich ist, hängt davon ab, wer über die Zwecke und Mittel der Verarbeitung entscheidet.

2. Studienarbeit im Rahmen eines Werkstudiums

Bearbeitet eine Studierende ihre Studienarbeit im Rahmen ihrer Tätigkeit als Werkstudentin in einem Unternehmen und verarbeitet dabei Personenbezogene Daten, muss auch hier genau hingeschaut werden. Wichtig: In solchen Fällen sollte vor Beginn der Arbeit verbindlich geklärt werden, ob und in welchem Umfang die datenschutzrechtliche Verantwortung beim Unternehmen, bei der Studierenden oder gemeinsam liegt. Auch hier kommt es darauf an, wer die Entscheidungen über die Datenverarbeitung trifft.

3. Zusammenarbeit mit einem Unternehmen oder einer Organisation

Auch bei Kooperationen mit externen Einrichtungen (Forschungspartnern) oder Betrieben im Rahmen der Studienarbeit kann eine gemeinsame Verantwortung entstehen – zum Beispiel, wenn gemeinsam festgelegt wird, welche Daten zu welchem Zweck verarbeitet werden. Dann müssen beide Parteien Pflichten nach der DSGVO wahrnehmen – beispielsweise Informationspflichten, Schutzmaßnahmen oder Vereinbarungen zur Zusammenarbeit.

Rechtsgrundlage bestimmen

Jede Verarbeitung personenbezogener Daten benötigt eine rechtliche Grundlage nach Art. 6 DSGVO. In der Regel ist dies die Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit. a DSGVO). Alternativ können auch gesetzliche Bestimmungen oder berechtigte Interessen für wissenschaftliche Zwecke herangezogen werden (Art. 6 Abs. 1 lit. f DSGVO). Bei besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) ist zusätzlich Art. 9 DSGVO zu beachten.

Informationspflichten erfüllen

Betroffene Personen müssen vor der Datenerhebung transparent und verständlich informiert werden. Die Informationspflichten nach Art. 13 und 14 DSGVO umfassen:

• Zweck der Datenverarbeitung
• Art der erhobenen Daten
• Rechtsgrundlage der Verarbeitung
• Speicherdauer oder Kriterien für deren Bestimmung
• Betroffenenrechte
• Kontaktdaten des Verantwortlichen

Hierzu ist eine Datenschutzerklärung zu erstellen und den Betroffenen zur Verfügung zu stellen.

Datenschutzkonzept entwickeln

Bei sensiblen oder umfangreichen Datenverarbeitungen sollte ein Datenschutzkonzept erstellt werden, das den Umgang mit den Daten, Schutzmaßnahmen und Löschfristen dokumentiert. In einigen Bundesländern (z. B. Hessen) ist dies bei bestimmten Forschungsvorhaben verpflichtend. Das Konzept sollte auch eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) beinhalten, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Grundsätze der Datenverarbeitung beachten

Die Grundsätze nach Art. 5 DSGVO sind einzuhalten:

• Datenminimierung: Nur die für die Forschungsfrage notwendigen Daten dürfen erhoben werden
• Zweckbindung: Daten dürfen ausschließlich für den angegebenen Zweck verwendet werden
• Richtigkeit: Die Daten müssen sachlich richtig und aktuell sein
• Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist

Technische und organisatorische Maßnahmen umsetzen

Studierende müssen für die Sicherheit der Daten sorgen (Art. 32 DSGVO). Dazu gehören:

• Passwortschutz und starke Authentifizierung
• Verschlüsselung sensibler Daten
• Sichere Aufbewahrung physischer und digitaler Unterlagen
• Kein Versand sensibler Daten über unsichere Kanäle
• Regelmäßige Sicherheitskopien
• Schutz vor unbefugtem Zugriff

Löschpflicht und Datenvernichtung

Nach Abschluss der Arbeit müssen Personenbezogene Daten gelöscht oder anonymisiert werden, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten. Das Löschen muss vollständig und sicher erfolgen:

• Physische Vernichtung von Papierunterlagen
• Sicheres Löschen digitaler Daten (mehrfache Überschreibung)
• Vernichtung von Datenträgern
• Löschung aus allen Systemen und Sicherungskopien

Betroffenenrechte gewährleisten

Studierende müssen sicherstellen, dass betroffene Personen ihre Rechte nach Kapitel III DSGVO wahrnehmen können:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Gegebenenfalls hochschulspezifische Anforderungen beachten

Viele Hochschulen haben zusätzliche Anforderungen.

Personenbezogene Daten dürfen grundsätzlich nicht ohne Weiteres in Drittländer außerhalb der EU/des EWR übertragen oder dort gespeichert werden (Kapitel V DSGVO). Bei der Nutzung von Cloud-Diensten ist besondere Vorsicht geboten. Wenn eine Übermittlung erforderlich ist, müssen entsprechende Garantien nach Art. 44 ff. DSGVO vorliegen.

Wenn Studierende für ihre Studienarbeit die IT-Systeme der Hochschule nutzen – zum Beispiel E-Mail, Cloud-Dienste oder Uni-Server –, sollten sie prüfen, ob sich ein automatischer Zugriff der Hochschule auf die gespeicherten Daten ausschließen lässt.

Besteht diese Möglichkeit nicht, könnte im Einzelfall eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegen. Das hängt allerdings immer von der konkreten Situation ab.

Daher ist es sinnvoll, sich frühzeitig Gedanken zu machen, wie und wo die Daten gespeichert werden, und bei Unsicherheiten Rücksprache mit der betreuenden Stelle oder dem Datenschutzbeauftragten zu halten.

Wenn Studierende im Rahmen von studienarbeiten Personenbezogene Daten erheben und verarbeiten, sind sie in der Regel hierbei allein datenschutzrechtlich verantwortlich, da sie eigenständig über Zweck und Mittel der Verarbeitung entscheiden. Hier stellt sich die Frage der möglichen Rechtsgrundlage für die Datenverarbeitung.

Einwilligung als Regelfall bei studentischen Arbeiten

In diesen Fällen ist die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO die naheliegende und meistgeeignete Rechtsgrundlage. Die Einwilligung bietet nicht nur rechtliche Klarheit, sondern auch den Vorteil, dass sie den Teilnehmenden Transparenz und Kontrolle über ihre Daten vermittelt.

Damit eine Einwilligung rechtswirksam ist, muss sie bestimmte formale Anforderungen erfüllen:

• Freiwilligkeit: Die Teilnahme darf nicht mit Nachteilen bei Verweigerung verbunden sein.
• Informiertheit: Die betroffene Person muss klar und verständlich über Zweck, Umfang und Dauer der Verarbeitung aufgeklärt werden.
• Zweckgebundenheit: Die Einwilligung gilt nur für den genannten Zweck.
• Widerrufbarkeit: Die Einwilligung kann jederzeit widerrufen werden, ohne dass daraus Nachteile entstehen.

Besonders bei Befragungen, Interviews oder anderen Erhebungen im Rahmen studentischer Arbeiten wirkt die Einwilligung zudem vertrauensfördernd: Teilnehmende haben das Gefühl, dass sie selbstbestimmt entscheiden können, ob ihre Daten verarbeitet werden – und behalten das Recht, diese Entscheidung auch später zu ändern.

Alternative Rechtsgrundlagen: Berechtigte Interessen und wissenschaftliche Forschung

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

In bestimmten Fällen kann auch die Rechtsgrundlage der berechtigten Interessen in Betracht kommen, wenn das Interesse an der wissenschaftlichen Arbeit die Interessen der betroffenen Personen überwiegt. Dies erfordert jedoch eine sorgfältige Interessenabwägung und ist bei studentischen Arbeiten oft schwer zu begründen, da der wissenschaftliche Wert noch nicht etabliert ist.

Der sog. Forschungsparagraf (§ 11 HmbDSG)

Für Hochschulen oder wissenschaftlich tätige Personen besteht unter bestimmten Voraussetzungen die Möglichkeit, sich auf den sogenannten Forschungsparagrafen (§ 11 Hamburgisches Datenschutzgesetz – HmbDSG) zu stützen. Dieser erlaubt die Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke, auch ohne Einwilligung – sofern geeignete Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden (z. B. Pseudonymisierung, technische und organisatorische Maßnahmen).

Allerdings gilt dieser Paragraf in der Praxis vor allem für institutionelle Forschungsvorhaben unter Verantwortung der Hochschule oder anderer wissenschaftlicher Einrichtungen. Das bedeutet:

Studierende können sich in der Regel nicht selbstständig auf § 11 HmbDSG berufen, da sie keine eigenständigen wissenschaftlichen Einrichtungen darstellen. Sie forschen im Rahmen ihrer Ausbildung und nicht als Teil eines institutionellen Forschungsauftrags.

Daher ist bei Studienarbeiten weiterhin die Einwilligung die bevorzugte und rechtssichere Grundlage, es sei denn, das Projekt ist Teil eines offiziellen Hochschul-Forschungsvorhabens, bei dem die Hochschule als Verantwortliche auftritt.

Wichtiger Hinweis: Falls in der Studienarbeit Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden sollen (z.B. Gesundheitsdaten, Daten über religiöse oder politische Überzeugungen, biometrische oder genetische Daten), gelten verschärfte Anforderungen. Diese Daten unterliegen einem grundsätzlichen Verarbeitungsverbot, das nur durch spezielle Erlaubnistatbestände durchbrochen werden kann.

Für wissenschaftliche Forschung ist dies grundsätzlich möglich (Art. 9 Abs. 2 lit. j DSGVO), erfordert aber:

• Explizite Einwilligung der betroffenen Person oder
• Erforderlichkeit für wissenschaftliche Forschungszwecke mit angemessenen Garantien

Zusätzliche technische und organisatorische Maßnahmen.

Minderjährige müssen auch in Bezug auf die Verarbeitung ihrer personenbezogenen Daten besonders geschützt werden. Denn sie sind sich der Risiken und ihrer Rechte oft nicht in vollem Umfang bewusst – darauf weist auch Erwägungsgrund 38 der DSGVO ausdrücklich hin.

Daher sollte bei der Teilnahme Minderjähriger grundsätzlich die Einwilligung der Erziehungsberechtigten eingeholt werden. In den auf dieser Seite bereitgestellten Musterformularen sind bereits entsprechende Felder zur Unterschrift durch Erziehungsberechtigte enthalten.

Wenn nur ein Elternteil unterschreibt, sollte zusätzlich eine schriftliche Erklärung abgegeben werden, dass er oder sie auch im Namen der zweiten sorgeberechtigten Person handelt.

Für Jugendliche im Alter zwischen 14 und 17 Jahren empfiehlt es sich, zusätzlich auch deren eigene Einwilligung einzuholen – so wird sichergestellt, dass sie den Umgang mit ihren Daten nachvollziehen und bewusst zustimmen.

Zivilrechtliche Regelungen statt Art. 8 DSGVO

Wichtig: Der häufig zitierte Art. 8 DSGVO – der besondere Regeln zur Einwilligung von Kindern enthält – gilt nur für sogenannte Dienste der Informationsgesellschaft, also etwa Online-Plattformen, soziale Netzwerke oder Apps. Für wissenschaftliche Befragungen im Rahmen von Studienarbeiten, insbesondere in Präsenz oder auf Papier, gelten hingegen die allgemeinen zivilrechtlichen Vorschriften zur Einwilligungsfähigkeit:

• Kinder unter 7 Jahren: geschäftsunfähig – die Einwilligung der Erziehungsberechtigten ist zwingend erforderlich.
• Kinder und Jugendliche von 7 bis 17 Jahren: beschränkt geschäftsfähig – je nach Alter und Komplexität der Datenverarbeitung kann zusätzlich die Einwilligung der Eltern erforderlich sein.
• Ab 18 Jahren: voll geschäftsfähig – die Einwilligung kann selbstständig erteilt werden.

Altersgerechte Information & schulrechtliche Vorgaben

Die Informationen zur Datenverarbeitung (z. B. in einem Informationsblatt oder Formular) müssen altersgerecht und verständlich formuliert sein – dies ist ein zentrales Gebot der DSGVO, gerade bei minderjährigen Teilnehmenden.

Wenn die Studie an einer Hamburger Schule durchgeführt werden soll, gelten zudem besondere rechtliche Vorgaben, u. a. aus dem Hamburgischen Schulgesetz. Studien und Erhebungen an Schulen sind in der Regel genehmigungspflichtig und müssen vorab der Schulleitung zur Prüfung vorgelegt werden. Es ist daher wichtig, sich rechtzeitig über die für das Forschungsvorhaben geltenden rechtlichen Rahmenbedingungen zu informieren.