Hochschule

Im Übrigen ist er darauf hinzuweisen, dass er die Auskunft verweigern kann. Sind die Angaben für die Gewährung einer Leistung erforderlich, ist er über die möglichen Folgen einer Nichtbeantwortung aufzuklären.

Ein Teil dieser Informationen fehlte jedoch bei den mir vorgelegten Formularen, z. B. der Hinweis auf § 8 HDSG. 5.6.1.1.2 Überflüssige Information in Antragsformularen

Das Studentensekretariat weist in den jetzt verwendeten Formularen immer noch auf die Tatsache der automatisierten Verarbeitung der erhobenen Daten hin. Dies verlangten die bis 1998 geltenden Vorschriften des HDSG so (vgl. § 18 Abs. 1 HDSG alte Fassung). Inzwischen ist die automatisierte Datenverarbeitung die Regel. Betroffene, bei denen Daten erhoben werden, gehen davon aus, dass diese automatisiert verarbeitet werden. Deshalb sieht die seit 1999 geltende Fassung dieser Vorschrift keinen Hinweis mehr auf die Tatsache der automatisierten Verarbeitung vor. Eine Benachrichtigung über die erhobenen Daten ist seitdem entbehrlich, wenn die Daten bei den Betroffenen erhoben werden (§ 18 Abs. 2 Nr. 1 HDSG). § 18 HDSG

(1) Datenverarbeitende Stellen, die personenbezogene Daten automatisiert speichern, haben die Betroffenen von dieser Tatsache schriftlich zu benachrichtigen und dabei die Art der Daten sowie die Zweckbestimmung und die Rechtsgrundlage der Speicherung zu nennen. Die Benachrichtigung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens mit deren Durchführung. Dienen die Daten der Erstellung einer beabsichtigten Mitteilung an den Betroffenen, kann die Benachrichtigung mit dieser Mitteilung verbunden werden.

(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn

1. die Daten beim Betroffenen erhoben oder von ihm mitgeteilt worden sind,

2. die Verarbeitung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist,

3. der Betroffene auf andere Weise Kenntnis von der Verarbeitung seiner Daten erlangt hat,

4. die Benachrichtigung des Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.

...

Da die betroffenen Daten durch Direkterhebung gewonnen wurden, konnte also der Hinweis auf die automatisierte Verarbeitung der Daten entfallen.

5.6.1.1.3 Vorabkontrolle der Verfahren HIS-POS und HIS-ZUL

Das Studentensekretariat setzt seit ca. zwei Jahren die für die Verwaltung der Studentendaten entwickelten Verwaltungsprogramme HIS-POS und HIS-ZUL ein. Bevor zur Verarbeitung personenbezogener Daten vorgesehene Verwaltungsprogramme eingesetzt werden dürfen, muss nach § 7 Abs. 6 HDSG die so genannte Vorabkontrolle erfolgen.

§ 7 Abs. 6 HDSG

Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.

Ziel der Vorabkontrolle ist es sicherzustellen, dass nur Verfahren zum Einsatz kommen, bei denen aus rechtlicher und technischer sicht kein Grund besteht, eine Gefährdung des Rechts auf informationelle Selbstbestimmung anzunehmen. Eine Vorabkontrolle war vor Einsatz des Verfahrens nicht erfolgt. Mir wurde zugesagt, dass sie nachträglich durchgeführt und dokumentiert wird.

5.6.1.1.4 Behandlung von Studentendaten nach Ablauf der Aufbewahrungsfristen

Die im Studentensekretariat manuell und automatisiert gespeicherten Studentendaten werden nach bestimmten schriftlich festgelegten Fristen regelmäßig zunächst verwahrt. Nach Ablauf dieser Fristen sind sie, wie alle sonstigen Verwaltungsdaten der Hochschulverwaltung auch, nach § 10 HArchivG dem örtlich zuständigen Staatsarchiv in Marburg zur Entscheidung über die Archivierung anzubieten. Zwar verlangt § 19 Abs. 3 Satz 1 HDSG grundsätzlich eine Löschung der Daten, wenn ihre Erforderlichkeit für die Aufgabenerfüllung entfallen ist. § 10 HArchivG geht dem § 19 Abs. 3 Satz 1 HDSG aber als Sondervorschrift vor.

§ 10 HArchivG

(1) Die in § 6 genannten Stellen sind verpflichtet, alle Unterlagen, die zur Erfüllung ihrer Aufgaben nicht mehr erforderlich sind, unverzüglich auszusondern und dem zuständigen Archiv zur Übernahme anzubieten. Dies soll im Regelfall dreißig Jahre nach Entstehung der Unterlagen erfolgen. Anzubieten sind auch Unterlagen, die besonderen Rechtsvorschriften über Geheimhaltung oder über den Datenschutz unterworfen sind. Unberührt bleiben gesetzliche Vorschriften über die Löschung oder Vernichtung unzulässig erhobener oder verarbeiteter Daten oder Unterlagen.

(2) Die in § 6 genannten Stellen dürfen Unterlagen nur vernichten oder Daten nur löschen, wenn das zuständige öffentliche Archiv die Übernahme abgelehnt oder nicht binnen eines Jahres über die Archivwürdigkeit angebotener Unterlagen entschieden hat. Von dem Anbieten und Vorhalten von Unterlagen von offensichtlich geringer Bedeutung kann im Einvernehmen mit dem zuständigen öffentlichen Archiv abgesehen werden. Ausgesonderte Unterlagen, deren Übernahme von den öffentlichen Archiven abgelehnt wird, sind im Regelfall zu vernichten, sofern kein Grund zu der Annahme besteht, da durch die Vernichtung schutzwürdige Belange von Betroffenen beeinträchtigt werden.

(3) Die in § 6 genannten öffentlichen Stellen sollen ein Exemplar der von ihnen herausgegebenen Druckschriften dem zuständigen Archiv zur Übernahme anbieten.

Erst nach Ablehnung der Archivierung müssen die Verwaltungsunterlagen endgültig vernichtet bzw. gelöscht werden. Das Studentensekretariat hatte die hiervon betroffenen Verwaltungsunterlagen bisher jedoch dem Staatsarchiv nicht angeboten.

Mir wurde zugesagt, dies umgehend nachzuholen.

Juristisches Dekanat 5.6.1.2.1 Bescheinigungen über Studienleistungen

Das Dekanat sieht für Studenten, die die zum Semesterschluss vorgesehene Klausur erfolgreich geschrieben haben, die Ausgabe einer entsprechenden schriftlichen Bescheinigung vor. Manche Studenten holen diese Bescheinigungen aus verschiedenen Gründen jedoch nicht ab, sodass sie im Dekanatsbüro zunächst liegen bleiben. Nicht geklärt war durch entsprechend klare interne Anweisung, wie lange solche Scheine aufzubewahren sind, ehe sie dem Staatsarchiv zur evtl. Archivierung überlassen oder zur Vernichtung freigegeben werden können. Mir wurde zugesagt, die Frage umgehend zu klären und die Verfahrensweise in einer internen Anordnung klarzustellen.

5.6.1.2.2 Mitarbeiterdaten auf der Homepage

Die Homepage der Hochschule enthält auch unterschiedliche Informationen über den Fachbereich Rechtswissenschaften.

Neben einzelnen Professoren, die persönlich mit Bild vorgestellt werden, sind auch die Namen der ihnen zugeordneten Mitarbeiter genannt.

Die allgemeine Problematik der Erwähnung von Mitarbeiter-Daten auf der Homepage einer Behörde habe ich bereits im 25. Tätigkeitsbericht, Ziff. 8.3 erörtert. Diesen Grundsätzen entsprechend hatte das Hessische Ministerium für Wissenschaft und Kunst in einem Erlass vom 27. Februar 2002 die allgemeinen Voraussetzungen der Veröffentlichungen solcher Hochschulmitarbeiter-Daten festgelegt. Danach können Name und Kontaktdaten von Hochschuldozenten einschließlich ihrer Forschungsgebiete und Schwerpunkte auf der Homepage auch ohne ihre Einwilligung erwähnt werden. Zu diesem Kreis gehören aber nicht alle ihre Mitarbeiter. Mir wurde daher zugesagt, deren schriftliche Einwilligung in die Veröffentlichung einzuholen, soweit eine solche personenbezogene Darstellung weiterhin gewünscht wird.

Beratung der Hochschule für Musik und Darstellende Kunst in Frankfurt am Main

Es kann nicht Aufgabe von Entwicklern und Verkäufern von Verwaltungsprogrammen sein, in dieser Rolle gleichzeitig auch eine Vorabkontrolle zu fertigen für die Behörde, die das Programm einsetzen will.

Die Hochschule für Musik und Darstellende Kunst bat mich um datenschutzrechtliche Beratung im Zusammenhang mit der Einführung eines so genannten Informations- und Kommunikationsservers. Dieser soll dem internen und externen Dokumenten- und Datenaustausch folgender Benutzergruppen in der Hochschule dienen:

zentrale Verwaltung

Fachbereichsverwaltung

Hochschullehrer

Lehrbeauftragte

Studierende.

Mit der Aufgabe, die Einrichtung einer solchen Kommunikationsplattform zu planen und vorzubereiten, hat die Hochschule ein Unternehmen beauftragt.

Bislang gab es nur ein internes Rechnernetz, jedoch ohne einen Zentralserver, auf dem entsprechend einem gemeinsamen, allgemein gültigen Aktenplan Dokumente und Informationen abgelegt werden konnten. Auch fehlte damit eine zentrale Steuerung der Software-Updates einschließlich der Sicherheitsprogramme und Datensicherungen.

Unter dem Gesichtspunkt der Datensicherheit war die Einrichtung zentraler E-Mail und Dateiserver zu begrüßen, die die zentrale Verwaltung von Benutzerprofilen und eine entsprechende Datensicherung ermöglichen.

Beim Einsatz dieser neuen Software werden auch unterschiedliche personenbezogene Daten verarbeitet. Neben den persönlichen Daten der Systemnutzer wie persönliche Notizen, Termine und E-Mails sind auch zahlreiche Inhalte mit Personenbezug vorgesehen.

Vor Einführung des Systems war daher die Anfertigung einer Vorabkontrolle nach § 7 Abs. 6 HDSG durchzuführen.

§ 7 Abs. 6 HDSG

Den mir vorgelegten ersten Entwurf der Vorabkontrolle hatte der Auftragnehmer erstellt, der die Kommunikationsplattform planen und vorbereiten sollte. Dieses Verfahren ist nicht akzeptabel. Die Vorabkontrolle nach § 7 Abs. 6 HDSG ist von der für den Einsatz des Verfahrens verantwortlichen Stelle durchzuführen. Das bleibt die Hochschule als Auftraggeber auch dann, wenn sie sich für die Konzeption oder sogar für den Betrieb des Verfahrens eines Auftragnehmers bedient. Die Vorabkontrolle soll gerade die datenschutzrechtlichen Schwächen und Risiken sowie die technischen und organisatorischen Maßnahmen zur Vermeidung solcher Risiken aufzeigen und auf dieser Basis bewerten, ob Gefahren für den Datenschutz durch den Einsatz des Verfahrens bestehen. Der Auftragnehmer hat das wirtschaftliche Interesse, seine Dienstleistungen und die von ihm vorgeschlagenen Produkte im guten Licht erscheinen zu lassen. Führt er die Vorabkontrolle durch, besteht eine klare Interessenkollision.

Ich habe der Hochschule meine Bedenken mitgeteilt und sie auf die Notwendigkeit ergänzender Darstellungen und eigener Bewertungen in der Vorabkontrolle hingewiesen. Die letzte Fassung der Vorabkontrolle, in der auch meine inhaltliche Kritik an der Vorversion Berücksichtigung fand, wurde daher von der Verwaltungsleitung der Hochschule selber konzipiert und verantwortet, bevor sie vom internen Datenschutzbeauftragten abschließend geprüft wurde.

Forschung und Statistik

Aufbau eines Forschungsdatenzentrums der Statistischen Landesämter

Das Datenschutzkonzept des Forschungsdatenzentrums ist von den Datenschutzbeauftragten des Bundes und der Länder ganz überwiegend nicht akzeptiert worden. Für den vorläufigen Testbetrieb sind detaillierte restriktive Rahmenbedingungen formuliert worden. Für den zukünftigen Echtbetrieb müssen neue Rechtsgrundlagen erarbeitet werden. Eine Verwaltungsvereinbarung zwischen Bund und Ländern über die Zusammenarbeit der Statistischen Ämter des Bundes und der Länder genügt dazu nicht.

Aufgabe und Ziel des Forschungsdatenzentrums

Im Oktober 2001 erfolgte die Einrichtung des Forschungsdatenzentrums des Statistischen Bundesamtes. Um der Wissenschaft auch den Zugang zu den dezentral erhobenen Statistiken zu ermöglichen und die regionale Erreichbarkeit zu verbessern, haben die Statistischen Landesämter im März 2002 beschlossen, ein Forschungsdatenzentrum der Statistischen Landesämter einzurichten. Die Leitung erfolgt durch einen Lenkungsausschuss, in dem mehrere Statistische Landesämter vertreten sind und dessen Vorsitz zunächst beim Bayerischen Landesamt für Statistik und Datenverarbeitung liegt. Die Verwaltungs- und Koordinationsaufgaben werden von einer Geschäftsstelle wahrgenommen, die im Landesamt für Datenverarbeitung und Statistik Nordrhein-Westfalen eingerichtet wurde.