I. Datenschutz an der Hochschule
Das Datenschutzrecht hat die Hochschulen erreicht.1 Dort werden durch das wissenschaftliche und nicht wissenschaftliche Personal zu Zwecken der Wissenschaft und Verwaltung in großem Umfang personenbezogene Daten verarbeitet. Bei der Verarbeitung von personenbezogenen Daten, etwa der Nutzung der Matrikelnummer anstelle des Namens oder eines Codes für Teilnehmer an einer Studie, werden Daten aus datenschutzrechtlichen Gründen oft verschlüsselt oder pseudonymisiert. Solange sie am Ende – faktisch gleich auf welche Weise – wieder einer Person zugeordnet werden können, bleiben sie personenbezogen und unterfallen dem weiten Anwendungsbereich des Datenschutzrechts. Nach der DSGVO ist eine Verarbeitung personenbezogener Daten zulässig, wenn sie auf einer rechtlichen Grundlage basiert. Diese kann per Einwilligung des Betroffenen erfolgen oder sich aus dem Gesetz ergeben. Im Wissenschaftsbereich gibt es unter Geltung der DSGVO eine Vielzahl gesetzlicher Ermächtigungen. Öffentliche Stellen dürfen in diesem Rahmen grundsätzlich die Daten erheben, die zu ihrer Aufgabenerfüllung erforderlich sind. Das können Daten über ein bestimmtes Verhalten zu Forschungszwecken sein, aber auch Name und Anschrift der Studierenden für die Einschreibung. Die Verarbeitung von Daten, die über die Erforderlichkeit zur Aufgabenerfüllung der Hochschule hinausgehen, kann der Betroffene per Einwilligung erlauben. Diese ist aber jederzeit und ohne Begründung für die Zukunft widerrufbar.2 Sofern sensible Daten – etwa über ethnische Herkunft, Religion und Weltanschauung, sexuelle Orientierung, genetische, biometrische oder Gesundheitsdaten – verarbeitet werden, tritt ein abschließender Katalog von besonderen Erlaubnisgründen hinzu. Zur Erleichterung der wissenschaftlichen Forschung können personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden, wobei sie angemessenen Bedingungen und geeigneten Garantien unterliegen müssen, die im Unionsrecht oder im Recht der Mitgliedsstaaten festgelegt sind.3 § 17 DSG NRW regelt in diesem Zusammenhang etwa spezifische Anforderungen an die Verarbeitung personenbezogener Daten, wenn diese wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verfolgt. Mit Art. 89 DS-GVO privilegiert der europäische Gesetzgeber Datenverarbeitungen zu den genannten Zwecken und ermöglicht es den Mitgliedsstaaten, im Rahmen sog. Öffnungsklauseln eigene Regelungen in den geöffneten Bereichen zu treffen.4 Gleichzeitig enthält Art. 9 Abs. 2 lit. j DS-GVO eine derartige Öffnungsklausel für die nationalen Gesetzgeber, soweit besondere personenbezogene Daten zu den abschließend aufgezählten Zwecken verarbeitet werden.5
II. Datenschutzrechtliche Verantwortlichkeit
Besondere Bedeutung kommt insbesondere im Wissenschaftsbereich der Frage zu, wen im Verhältnis zwischen Hochschule und Hochschullehrer die Verantwortung für Datenverarbeitungsvorgänge trifft. Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ und damit Adressat der DSGVO-Pflichten die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.6 Das Recht geht also davon aus, dass die Entscheidung über Zwecke und Mittel der Datenverarbeitung „allein oder gemeinsam mit anderen“ getroffen werden kann. Für den Fall, dass mehrere Akteure in dieser Weise verantwortlich beteiligt sind7 (dazu III. und IV.), knüpft die DSGVO daran in Art. 26 DSGVO eine besondere Rechtsfolge in Form einer Vereinbarung über diese gemeinsame Datenverarbeitung (dazu V.). Bevor der Frage nachgegangen werden kann, welche datenschutzrechtliche Verantwortlichkeit im Verhältnis zwiRolf
Schwartmann
Die Verantwortlichkeit für die Verarbeitung von Forschungsdaten an Hochschulen
1 Schwartmann, Forschung & Lehre 2019, 1006.
2 Vgl. Art. 7 Abs. 3 S.1 DSGVO.
3 ErwG 157 S. 5.
4 Vertiefend dazu Wybitul in HK-DS-GVO/BDSG Art. 89 Rn. 1 ff.; Nolte in Gierschmann/Schlender/Stentzel/Veil, Art. 89 DS-GVO Rn. 14; Pauly in Paal/Pauly Art. 89 DS-GVO Rn. 1.
5 Vertiefend dazu Jaspers/Schwartmann/Mühlenbeck in HK-DS-GVO/BDSG Art. 9 Rn. 187 ff. sowie Schwartmann/Jacquemain RDV 5/2019, 219 (222); dazu auch Smolle in HK-LDSG RhPf § 22 Rn. 3.
6 So auch Auernhammer-Eßer Art. 4 Nr. 7 Rn. 34; Kühling/Buchner-Hartung Art. 4 Nr. 7 Rn. 1 sowie Gierschmann-Kramer in Vorbemerkung zu Art. 4 Nr. 7.
7 Dazu schon das WP 169 der Art.-29-Datenschutzgruppe S. 21 f.
Ordnung der Wissenschaft 2020, ISSN 2197–9197
7 8 O R D N U N G D E R WI S S E N S C H A F T 2 ( 2 0 2 0 ) , 7 7 — 8 4
8 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 (Fanpage).
9 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 (Jehova).
10 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 (Fashion ID).
11 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 28 (Fanpage); EuGH
Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 66 (Jehova); EuGH Urt. v. 29.
Juli 2019 Rs. C‑40/17 Rn. 70 (Fashion ID).
12 Vgl. dazu auch die Kommentierung von Kremer zu Art. 26.
13 BVerwG Beschl. v. 25.2.2016 – 1 C 28/14.
14 Dazu EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 14 ff. (Fanpage)
sowie Schwartmann/Jacquemain DataAgenda Arbeitspapier
04 – EuGH: Facebook Fanpages, S. 1.
15 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 16 (Fanpage) sowie
Schwartmann/Jacquemain DataAgenda Arbeitspapier 04 – EuGH:
Facebook Fanpages, S. 1
16 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 29 (Fanpage). Dieses
Verständnis greift der EuGH in EuGH Urt. v. 29. Juli 2019 Rs.
C‑40/17 Rn. 67 (Fashion ID) unter Verweis auf EuGH Urt. v. 05.
Juni 2018 Rs. C‑210/16 Rn. 29 (Fanpage); EuGH Urt. v. 10. Juli
2018 Rs. C‑25/17 Rn. 65 (Jehova) ausdrücklich auf.
17 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 35 (Fanpage) sowie
dazu ausführlich Schwartmann/Jacquemain DataAgenda Arbeitspapier
10 – Die EuGH-Rechtsprechung zum Joint-Controllership,
S. 2; dies, DataAgenda Arbeitspapier 04 – EuGH: Facebook
Fanpages, S. 2.
18 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 (Fanpage) Rn 35 f.
19 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 38 (Fanpage) sowie
dazu Schwartmann/Jacquemain DataAgenda Arbeitspapier 10 –
Die EuGH-Rechtsprechung zum Joint-Controllership, S. 2.
20 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 43 (Fanpage);
Schwartmann/Jacquemain DataAgenda Arbeitspapier 10 – Die
EuGH-Rechtsprechung zum Joint-Controllership, S. 2.
21 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 43 (Fanpage).
22 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 43 (Fanpage) sowie
dazu ausführlich Schwartmann/Jacquemain DataAgenda Arbeitspapier
10 – Die EuGH-Rechtsprechung zum Joint-Controllership,
S. 2.
23 Dazu ausführlich Schwartmann/Jacquemain DataAgenda Arbeitspapier
04 – EuGH: Facebook Fanpages, S. 1.
24 BVerwG, Urt. v. 11.9.2019, 6 C 15/18.
schen Hochschule und deren wissenschaftlichem Personal
besteht (IV.), muss die durch den EuGH gelegte
rechtliche Grundlage der gemeinsamen Verantwortlichkeit
herausgearbeitet werden (III.). Unter VI. werden
erste Handlungsoptionen aufgezeigt.
III. Gemeinsame Verantwortlichkeit in der Rechtsprechung
Der EuGH hat 2018 und 2019 in den Rechtssachen Fanpage8,
Jehova9 und FashionID10 wichtige Aussagen zu
den Voraussetzungen und zum Begriffsverständnis11
einer gemeinsamen Verantwortlichkeit getroffen.12
- „Fanpage“
Das erste Urteil in diesem Zusammenhang erging zur
Frage der gemeinsamen Verantwortlichkeit von Betreibern
einer Facebook-Fanpage mit Facebook. Gegenstand
des Urteils war ein Vorabentscheidungsersuchen des
BVerwG13. Hintergrund war ein Verwaltungsrechtsstreit
zwischen der Wirtschaftsakademie Schleswig-Holstein
GmbH und dem Unabhängigen Landeszentrum für
Datenschutz Schleswig-Holstein (ULD).14 Dieses hatte
gegenüber der Wirtschaftsakademie angeordnet, den
Betrieb einer Fanpage auf Facebook einzustellen, da die
Besucher der Fanpage nicht über den Einsatz von Cookies
und eine damit einhergehende Verarbeitung ihrer
personenbezogenen Daten informiert würden.15
Der EuGH betonte zunächst, dass sich der Begriff des
Verantwortlichen nicht zwingend auf eine einzige Stelle
bezieht, sondern mehrere an einer Datenverarbeitung
beteiligte Akteure betreffen kann, so dass in der Folge
jeder dieser Akteure den Vorschriften der DSGVO
unterliegt.16 Ferner wies er darauf hin, dass es für die
Begründung einer gemeinsamen Verantwortlichkeit
bereits ausreiche, dass eine Stelle (im konkreten Fall der
Betreiber einer Facebook Fanpage) einem anderen Verantwortlichen
(hier Facebook) die Möglichkeit gebe, personenbezogene
Daten der betroffenen Personen zu verarbeiten.
17 Das entscheidende Kriterium zur Begründung
des gemeinsamen Zweckes sieht der EuGH darin,
dass der Betreiber der Fanpage und Facebook über das
Zurverfügungstellen einer Nutzerstatistik (Parametrierung)
und das Einräumen der Möglichkeit gegenüber
Facebook bei Besuchern der Fanpage sogenannte Cookies
zu setzen, einen gemeinsamen Zweck zum wechselseitigen
Vorteil verfolgen.18 Für eine gemeinsame Verantwortlichkeit
sei ebenfalls nicht erforderlich, dass bei
mehreren Betreibern für dieselbe Verarbeitung jeder
Zugang zu den betreffenden personenbezogenen Daten
habe19. Die gemeinsame Verantwortlichkeit setze keine
gleichwertige Verantwortlichkeit der Akteure voraus.20
Diese könnten auch „in verschiedenen Phasen und in
unterschiedlichem Ausmaß“21 in die Verarbeitung personenbezogener
Daten einbezogen sein, so dass der
Grad der Verantwortlichkeit unter Berücksichtigung
aller Umstände der Einzelfalles zu beurteilen sei.22 Nach
dem Ergebnis des EuGH ist der Facebook-Fanpage
Betreiber also gemeinsam mit Facebook für die Verarbeitung
personenbezogener Daten und etwaige Datenschutzverstöße
verantwortlich.23 Das Bundesverwaltungsgericht
hat die Entscheidung des Europäischen
Gerichtshofes zu Facebook-Fanpages für den konkreten
Fall am 11.9.2019 befolgt und die Sache zur endgültigen
Entscheidung an das OVG Schleswig verwiesen. 24 - „Zeugen Jehovas“
Das zweite Urteil des EuGH zur Reichweite einer
gemeinsamen Verantwortlichkeit erging zu einer Datenverarbeitung
der Zeugen Jehovas. Deren Mitglieder
Schwartmann · Die Verantwortlichkeit für die Verarbeitung von Forschungsdaten 7 9
25 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 15 (Jehova).
26 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 16 (Jehova).
27 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 17 (Jehova).
28 Vgl. dazu die Kommentierung von Schwartmann/Hermann zu
Art. 4 Nr. 6 Rn. 96a.
29 Dazu Schwartmann/Jacquemain DataAgenda Arbeitspapier 10 –
Die Rechtsprechung des EuGH zum Joint-Controllership, S. 3 f.
30 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 66 ff.(Jehova).
31 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 68 (Jehova).
32 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 67 und 69 (Jehova).
33 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 71.(Jehova).
34 Zum Ganzen vgl. auch Schwartmann/Jacquemain DataAgenda
Arbeitspapier 10 – Die Rechtsprechung des EuGH zum Joint-
Controllership, S. 3 f.
35 Vgl. hierzu auch BeckOK DSGVO-Ehmann/Selmayr Art. 26 Rn.
9; Golland, CR 2019, 676; Nebel Datenschutzrechtliche Verantwortlichkeit
bei der Nutzung von Fanpages und Social Plug-ins,
RDV 2019, 9, 12 f.; Sattler Gemeinsame Verantwortlichkeit –
getrennte Pflichten, GRUR 2019, 1023 – alternativer Ansatz zur
Einordnung der Akteure bei Lee/Cross (Gemeinsame) Verantwortlichkeit
beim Einsatz von Drittinhalten auf Websites, MMR
2019, 559
36 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 25 ff. (Fashion ID).
37 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 65 ff. (Fashion ID).
38 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 25 ff. (Fashion ID), Rn.
68.
39 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 74 (Fashion ID).
40 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 74 (Fashion ID), Rn.
97.
41 In Deutschland hat sich das AG Mannheim mit der Frage einer
gemeinsamen Verantwortlichkeit einer Wohnungseigentümergemeinschaft
und eines Verwalters auseinandergesetzt und diese
bejaht: Urt. v. 11.09.2019 – Az. 5 C 1733/19 WEG.
führten im Rahmen ihrer Verkündigungstätigkeit Hausbesuche
bei Personen durch, die weder ihnen noch der
Gemeinschaft bekannt waren.25 Die Gemeinschaft gab
dabei ihren „Verkündern“ Anleitungen zur Anfertigung
von Notizen zu den Hausbesuchen (insbes. Aufzeichnung
von Name und Adresse der aufgesuchten Personen,
religiöse Überzeugungen) und organisierte und
koordinierte die Verkündigungstätigkeit.26 Dabei verlangt
die Gemeinschaft von ihren verkündenden Mitgliedern
weder, dass diese personenbezogene Daten
durch Notizen erheben noch kannte sie die Inhalte möglicher
Notizen oder die Identität der tätigten Mitglieder
bei der Datenerhebung.27 Neben der Frage hinsichtlich
des Vorliegens eines Dateisystems i.S.v. Art. 4 Nr. 628
nahm der EuGH insbesondere zur inhaltlichen Reichweite
der Verantwortlichkeit Stellung.29 Dabei nimmt
das Gericht auf die Ausführungen in Fanpage Bezug30,
und führt ergänzend aus, dass es für die Annahme einer
(gemeinsamen) Verantwortlichkeit ausreiche, dass eine
natürliche oder juristische Person aus Eigeninteresse auf
die Verarbeitung personenbezogener Daten Einfluss
nehme und damit an der Entscheidung über die Zwecke
und Mittel der Verarbeitung mitwirke.31 Es sei zum
einen für das Vorliegen einer gemeinsamen Verantwortlichkeit
unschädlich, dass die Gemeinschaft keinen
Zugang zu den betreffenden personenbezogenen Daten
habe, zum anderen setze das Vorliegen einer Verantwortlichkeit
nicht voraus, dass die Gemeinschaft schriftliche
Anleitungen oder Anweisungen zu den Datenverarbeitungen
gebe.32 Maßgebliches Kriterium für die
Begründung einer gemeinsamen Verantwortlichkeit sei
insofern, dass die Erhebung der personenbezogenen
Daten letztlich „zur Umsetzung des Ziels der Gemeinschaft
– nämlich [der] Verbreitung ihres Glaubens –
[diene]
“33 und die Gemeinschaft die Verkündigungstätigkeit
organisiert und koordiniert.34
„FashionID“
Im Juli 2019 erging das Urteil des EuGH zu FashionID. 35
Es ging um die Frage, ob ein Online-Händler für die Einbindung
des Facebook-Like-Buttons als Social-Plug-In
auf seiner Website gemeinsam mit Facebook für eine
damit einhergehende Verarbeitung personenbezogener
Daten verantwortlich ist.36 Durch die Bestätigung der
Kernaussagen aus Fanpage und Jehova unterstreicht der
EuGH in FashionID sein weites Begriffsverständnis des
gemeinsam Verantwortlichen.37 Wer „aus Eigeninteresse
auf die Verarbeitung personenbezogener Daten Einfluss
nimmt und damit an der Entscheidung über die Zwecke
und Mittel dieser Verarbeitung mitwirkt, (kann) als für die
Verarbeitung Verantwortlicher […] angesehen werden
[…]“ lautet die Begründung im Kern.38. Gleichwohl
äußert sich das Gericht einschränkend dahingehend,
dass die datenverarbeitende Stelle „für vor- oder nachgelagerte
Vorgänge in der Verarbeitungskette, für die sie
weder die Zwecke noch die Mittel festlegt, nicht als (…)
verantwortlich angesehen werden [kann]“39. Indem der
EuGH festhält, dass es zur Annahme einer gemeinsamen
Verantwortung „erforderlich ist, dass der Betreiber und
der Anbieter mit diesen Verarbeitungsvorgängen jeweils
ein berechtigtes Interesse […] wahrnehmen, damit diese
Vorgänge für jeden Einzelnen von ihnen gerechtfertigt
sind“40, macht er deutlich, dass eine vollständige Rechtfertigung
der Datenverarbeitung mittels eines Erlaubnistatbestandes
für jeden gemeinsam Verantwortlichen
erforderlich ist.41
8 0 O R D N U N G D E R WI S S E N S C H A F T 2 ( 2 0 2 0 ) , 7 7 — 8 4
42 Vgl. dazu EDPS Guidelines on the concepts of controller, processor
and joint controllership under Regulation (EU) 2018/1725
vom 07. November 2019, S. 13 und S. 20 f., abrufbar unter https://
edps.europa.eu/sites/edp/files/publication/19–11-07_edps_guidelines_
on_controller_processor_and_jc_reg_2018_1725_en.pdf
(zuletzt abgerufen: 2.12.2019).
43 Schwartmann/Jacquemain DataAgenda Arbeitspapier 10 – Die
EuGH-Rechtsprechung zum Joint-Controllership, S. 7.
44 Schwartmann/Jacquemain DataAgenda Arbeitspapier 10 – Die
EuGH-Rechtsprechung zum Joint-Controllership, S. 7.
45 Schwartmann/Jacquemain DataAgenda Arbeitspapier 10 – Die
EuGH-Rechtsprechung zum Joint-Controllership, S. 6.
46 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 74 (Fashion ID).
47 Zu prüfen bliebe, ob sie nicht in gemeinsamer Verantwortung des
Forschers mit dem Auftraggeber erfolgt.
48 Rossnagel, ZD 2019, 157, 160.
49 Stellungnahme der behördlichen Datenschutzbeauftragten der
Hochschulen des Landes NRW, S. 5.
50 Schwartmann/Hermann in Schwartmann/Pabst (Hrsg.) HKLDSG
NRW § 17 Rn. 2 ff.; Schwartmann/Jacquemain RDV
5/2019, 219 (222).
Leitlinien zur gemeinsamen Verantwortung
Aus der Rechtsprechung lassen sich somit folgende Leitlinien
formulieren42:
– Erforderlich für die Annahme einer gemeinsamen
Verantwortlichkeit ist, dass ein Verantwortlicher die
Datenverarbeitung ermöglicht und die Parameter
für die Verarbeitung vorgibt und diese so beeinflusst
oder dass die Datenverarbeitung zumindest im Interesse
des einen Verantwortlichen erfolgt.43
– Nicht erforderlich ist, dass alle Akteure Zugang zu
den verarbeiteten personenbezogenen Daten haben,
gleichwertige Beiträge erbringen oder schriftliche
Anleitungen oder Anweisungen vornehmen.44
– Jeder der gemeinsam Verantwortlichen muss sich
auf einen eigenen Rechtfertigungstatbestand der
DSGVO für die Verarbeitung der personenbezogenen
Daten berufen können.45
– Bei vor- oder nachgelagerten Verarbeitungen personenbezogener
Daten beschränkt sich die gemeinsame
Verantwortlichkeit auf das Glied in der Verarbeitungskette,
auf das der jeweilige Verantwortliche
Einfluss nimmt, indem er über Zwecke und Mittel
der Datenverarbeitung entscheidet.46
IV. (Gemeinsame) Verantwortlichkeit von Hochschule
und Hochschullehrer
Die Organisation des Studiums von der Einschreibung
über die Prüfungsorganisation bis hin zur Exmatrikulation
ist ebenso ein datenschutzrechtliches Thema, wie
die Durchführung der Beschäftigungsverhältnisse mit
den Angestellten und dem verbeamteten Personal.
Davon unabhängig ist der Umgang mit Forschungsdaten
zu wissenschaftlichen Zwecken im Rahmen der Forschung
für die Hochschule zu behandeln. Nur um letztgenannte
geht es im Folgenden. In der Praxis kommt
dies etwa in der medizinischen Forschung bei der Auswahl
von Teilnehmern an Studien und der Auswertung
der Ergebnisse ebenso vor, wie außerhalb des medizinischen
Bereichs, wenn es um die Verarbeitung von Daten
von Personen geht, deren Konsumverhalten oder sonstiges
Verhalten wissenschaftlich ausgewertet werden soll.
Dabei ist zu unterscheiden, ob eine Datenverarbeitung
im Rahmen des Nebenamts als private Tätigkeit erfolgt
oder im Hauptamt.
Forschung im Rahmen einer Nebentätigkeit
Findet die Datenverarbeitung im Rahmen einer Nebentätigkeit
statt, so erfolgt sie im Verhältnis zur Hochschule
in der alleinigen Verantwortung des Forschers nach
Art. 4 Nr. 7 DS-GVO, weil sie unabhängig vom Interesse
der Hochschule erfolgt.47
Forschung im Hauptamt
a) Verantwortung der Hochschule
Bei der Forschung im Hauptamt wird vertreten, dass die
Datenverarbeitung insgesamt in der alleinigen Verantwortung
der Hochschule liege, die die Wissenschaftler
auf die Einhaltung der Datenschutzvorgaben zu verpflichten
habe.48
b) Verantwortung des Hochschullehrers
Nach Ansicht eines Zusammenschlusses von Hochschulen
und Hochschulleitungsorganen in NRW spricht
demgegenüber vieles dafür, dass die Hochschulen bei
Forschungsvorhaben gar nicht Verantwortliche iSd
Art. 4 Nr. 7 DS-GVO sind, denn über die Zwecke und
Mittel der Datenverarbeitung entscheiden nach deren
Auffassung alleine die Wissenschaftler und zwar in Ausübung
ihres höchstpersönlichen Grundrechts auf Wissenschaftsfreiheit
(Art. 5 Abs. 3 GG).49 Diese freie
Grundrechtsbetätigung hätten die Hochschule lediglich
zu ermöglichen, ohne inhaltlichen Einfluss nehmen zu
dürfen.50
c) Gemeinsame Verantwortung
Beide Betrachtungen begegnen datenschutzrechtlichen
Bedenken vor dem Hintergrund der geschilderten
Rechtsprechung des EuGH zur (gemeinsamen) VerantSchwartmann
· Die Verantwortlichkeit für die Verarbeitung von Forschungsdaten 8 1
51 BVerfGE 35, 79 = NJW 1973, 1176 (1177) – Hochschulurteil.
52 Vgl. BeckOK HochschulR NRW/Schemmer HG § 4 Rn. 4.
53 BeckOK HochschulR NRW/Schemmer, 11. Ed. 1.5.2019, HG § 4
Rn. 4.
54 BeckOK HochschulR NRW/Schemmer, 11. Ed. 1.5.2019, HG § 4
Rn. 4.
55 EuGH Urt. v. 5.6.2018-C-210/16 – Wirtschaftsakademie.
56 EuGH Urt. v. 5.6.2018 – C‑210/16 Rn. 34 ff. – Fanpages; EuGH
Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 70 (Fashion ID).
57 EuGH Urt. v. 10.7.2018 – C‑25/17 Rn. 69 – Zeugen Jehovas.
wortlichkeit nach der DS-GVO (Art. 4 Nr. 7 DS-GVO).
Die Wissenschaftsfreiheit des Art. 5 Abs. 3 GG garantiert
Wissenschaftlern große Entscheidungsfreiheit über Auswahl,
Fragestellung, Methodik sowie Bewertung von
Forschungsergebnissen. Das führt aber nicht dazu, dass
sie deshalb die alleinige Verantwortung über Zwecke
und Mittel der Forschungsdatenverarbeitung trifft. Eine
Vielzahl datenschutzrelevanter Entscheidungen können
Forscher nur aufgrund übergeordneter Entscheidungen
der Hochschule treffen. Schon durch die Einwirkungsmöglichkeiten
im Rahmen der Drittmittelforschung, die
Denomination der Professuren und Festlegung von Forschungsschwerpunkten,
das Zurverfügungstellen von IT
etc. kann und darf der einzelne Hochschullehrer im Verhältnis
zur Hochschule nicht allein über Zwecke und
Mittel seiner Datenverarbeitung entscheiden. Diese
Bedachtnahme auf Vorgaben der Hochschule korrespondiert
mit deren Verpflichtung zur Bereitstellung personeller,
finanzieller und organisatorischer Mittel.51 So
verpflichtet der Art. 5 Abs. 3 S. 1 GG einfachrechtlich
konkretisierende § 4 Abs. 1 HG NRW Land und Hochschulen
dazu, jeder Aushöhlung der Freiheitsgarantien
vorzubeugen.52 Dazu gehört, dass funktionsfähige Institutionen
für einen freien Wissenschaftsbetrieb erhalten
oder hergestellt werden.53 Für das einzelne Hochschulmitglied
resultiert daraus kein originärer Leistungsanspruch,
also auch kein Grundausstattungsanspruch für
die Ausübung der Grundfreiheiten aus
Art. 5 Abs. 3 S. 1 GG. Es besteht nur ein Anspruch auf
verhältnismäßige und am allgemeinen Gleichheitssatz
orientierte Teilhabe an Leistungen und Einrichtungen,
die vom Staat bereitgestellt sind.54 Überträgt man dies
auf die Bestimmung der datenschutzrechtlichen Verantwortlichkeit,
ist auch die jeweilige Hochschule für die in
ihrem Rahmen durchgeführten wissenschaftlichen Forschungsvorhaben
gem. Art. 4 Nr. 7 DS-GVO verantwortlich,
da sie die personellen, finanziellen und organisatorischen
Mittel der in ihrem Verantwortungsbereich
durchgeführten Forschungsvorhaben festlegt und verteilt,
so dass die Hochschule dadurch zumindest mittelbar
Einfluss auf die Datenverarbeitungszwecke nimmt.
Daneben entscheiden auch Wissenschaftler über die
konkreten Zwecke und Mittel der Datenverarbeitung,
etwa darüber, welche Daten welcher Person in einer wissenschaftlichen
Auswertung eine Rolle spielen, welche
Datenquellen genutzt werden und wie die Details der
Datenverarbeitung in der konkreten Situation ausgestaltet
sind. Daher ist es ist es naheliegend, den Wissenschaftler
gemeinsam mit der Hochschule in der (gemeinsamen)
Verantwortung nach Art. 26 DS-GVO zu
sehen. Eine Auftragsverarbeitung nach Art. 28 DSGVO
oder eine einseitige Zurechnung der Verantwortung
scheitern an der fehlenden Weisungsgebundenheit des
Forschers in Fragen konkreter Entscheidungen über
Zwecke und Mittel der Datenverarbeitung bzw. an der
ausschließlichen Entscheidungsbefugnis im
Gesamtkontext.
Entscheidend für die Annahme einer gemeinsamen
Verantwortlichkeit ist die gemeinsame Abwicklung der
Datenverarbeitung, die nach Art. 26 DS-GVO insbesondere
eine die gemeinsame Festlegung der Zwecke und
Mittel der Datenverarbeitung verlangt. Nach der Rechtsprechung
des EuGH ist keine Parität bei den Verarbeitungsanteilen
der Verantwortlichen erforderlich 55 und
eine Beteiligung an der Entscheidung über die Zwecke
und Mittel der Verarbeitung reicht für eine gemeinsame
Verantwortung aus,56 wenn die jeweilige Datenverarbeitung
in einem weiten Sinn einem gemeinsamen Zweck
dient. Für die Begründung der gemeinsamen Verantwortlichkeit
kommt es darauf an, dass eine konkrete Datenverarbeitung
(Personendatenverarbeitung in einem
Forschungsvorhaben) durch einen einem weiteren Verantwortlichen
im Hintergrund (Hochschule) organisiert
und koordiniert wird. Der mögliche Zugriff eines weiteren
Verantwortlichen – hier der Hochschule – auf die
von den in der konkreten Verarbeitungssituation erhobenen
personenbezogenen Daten oder die Einflussnahme
durch konkrete Anleitungen oder Anweisungen zur
Datenverarbeitung im Einzelfall ist nicht erforderlich.57
Die Grundsätze der Rechtsprechung des EuGH lassen
sich also auf die Hochschulen übertragen. Die Wissenschaftseinrichtung
ist neben dem wissenschaftlich verantwortlichen
Personal an der Entscheidung über die
Zwecke und Mittel der Verarbeitung beteiligt. Den
Hochschulen obliegt die Sicherstellung der Aufgabenerfüllung
der durch Art. 5 Abs. 3 S. 1 GG verbürgten Rechte
der Wissenschaftler, indem sie den dafür erforderlich
personellen, sachlichen und organisatorischen Rahmen
8 2 O R D N U N G D E R WI S S E N S C H A F T 2 ( 2 0 2 0 ) , 7 7 — 8 4
58 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 (Fashion ID); EuGH Urt. v.
Juli 2018 Rs. C‑25/17 (Jehova); EuGH Urt. v. 05. Juni 2018 Rs.
C‑210/16 (Fanpage); AG Mannheim, Urt. v. 11.09.2019 – Az. 5 C
1733/19 WEG.
59 So auch Gierschmann-Kramer Art. 4 Nr. 7 Rn. 23; Kühling/
Buchner-Hartung Art. 4 Nr. 7 Rn. 13.
60 Art.-29-Datenschutzgruppe WP 169 zu den Begriffen „für die
Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, S. 16.
61 AG Mannheim, Urt. v. 11.09.2019 – Az. 5 C 1733/19 WEG Rn.
23; Art.-29-Datenschutzgruppe WP 169 zu den Begriffen „für die
Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, S. 16;
Kühling/Buchner-Hartung Art. 4 Nr. 7 Rn. 13; zur Abgrenzung
der gemeinsamen zur alleinigen Verantwortung Kartheuser/Nabulsi
Abgrenzungsfragen bei gemeinsam Verantwortlichen, MMR
2019, 717, 718 ff.
62 Zum Begriff des Auftragsverarbeiters Schwartmann/Hermann in
HK DSGVO/BDSG Art. 4 Rn. 27 ff.
63 Art.-29-Datenschutzgruppe WP 169 zu den Begriffen „für die Verarbeitung
Verantwortlicher“ und „Auftragsverarbeiter“, S. 16.
64 Art.-29-Datenschutzgruppe WP 169 zu den Begriffen „für die
Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, S. 16;
Gierschmann-Kramer Art. 4 Nr. 7 Rn. 27;
65 Art.-29-Datenschutzgruppe WP 169 zu den Begriffen „für die
Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, S. 16;
Kühling/Buchner-Hartung Art. 4 Nr. 7 Rn. 13.
66 Art.-29-Datenschutzgruppe WP 169 zu den Begriffen „für die Verarbeitung
Verantwortlicher“ und „Auftragsverarbeiter“, S. 16 f.
67 Vertiefend dazu Kremer in HK-DS-GVO/BDSG Art. 26 Rn. 31 ff
schaffen (vgl. § 4 HG NRW). Wissenschaftler nutzen diesen
Freiraum zur Ausübung ihrer Wissenschaftsfreiheit
nach Art. 5 Abs. 3 GG, indem sie den organisatorisch gewährten
Freiraum auch im Wege der Datenverarbeitung
nutzen.
Datenverarbeitung im Rahmen der Lehre
Mit Blick auf die Lehre oder den Vollzug prüfungsrechtlicher
Vorgaben kommt es zu zahlreichen Datenverarbeitungsvorgängen.
Sie betreffen insbesondere die Erhebung
von Daten von Studierenden zur Durchführung
von Lehrveranstaltungen und Prüfungen. Bei der Wahrnehmung
dieser Aufgaben dürften Hochschullehrer in
der Praxis erheblichen Entscheidungsspielraum mit
Blick auf das Führen etwa von Anwesenheits- und
Notenlisten haben. In diesen Fällen kann – geht man von
einer Weisungshoheit der Hochschule mit Blick auf diese
Datenverarbeitungen aus, auch eine Auftragsverarbeitung
durch den Hochschullehrer für die Hochschule in
Betracht kommen. War nach § 3 Abs. 7 BDSG a.F. noch
die Zweckbestimmung der Datenverarbeitung das
wesentliche Abgrenzungsmerkmal des Verantwortlichen,
so ist dies nach Art. 4 Nr. 7 nunmehr die Entscheidung
über Zweck und Mittel der Verarbeitung personenbezogener
Daten. Mangels weiterer Ausführungen in der
DSGVO sowie im BDSG ist somit als Auslegungshilfe
auch hier das WP 169 der Art.-29-Datenschutzgruppe
sowie die Rechtsprechung des EuGH58 heranzuziehen:59
Danach ist der Zweck ein „erwartetes Ergebnis, das
beabsichtigt ist oder die geplanten Aktionen leitet“ und
das Mittel die „Art und Weise, wie ein Ergebnis oder Ziel
erreicht wird“.60 Insoweit ist im Wege einer kontextbezogenen
Betrachtung zu prüfen, wer die Zwecke und Mittel
der Verarbeitung, d.h. das Ob, Warum und Wie der
Verarbeitung der personenbezogenen Daten festlegt.61
Dabei ist ausschlaggebend, wie detailliert jemand über
Zwecke und Mittel entscheidet und welchen Handlungsspielraum
er etwa einem vom Verantwortlichen abzugrenzenden
Auftragsverarbeiter62 einräumt.63 Dabei
kann für die Bestimmung des Verantwortlichen die Entscheidung
über Zweck oder Mittel jeweils unterschiedlich
im Vordergrund stehen.64 Als Abwägungskriterien
können etwa das Weisungsrecht des Verantwortlichen
gegenüber dem Auftragsverarbeiter, die Kontrollmöglichkeiten
gegenüber dem Auftragsverarbeiter oder die
Abgrenzung der verschiedenen Handlungsspielräume
dienen.65 Letztlich ist zu fragen, wer entscheidet, warum
eine Verarbeitung erfolgt und dabei die Rolle und mögliche
Beteiligung der jeweiligen Akteure festlegt. Die
Entscheidung über die Mittel beinhaltet sowohl technische
als auch organisatorische Fragen.66
V. Rechtliche Konsequenzen der Rechtsprechung
In den Fällen, in denen man zur Annahme einer gemeinsamen
Verantwortlichkeit zwischen Hochschule und
Hochschullehrer kommt, sind die Vorgaben des Art. 26
DS-GVO zu beachten. Es bedarf dann einer Vereinbarung
zwischen den Beteiligten (Hochschule/ Wissenschaftler)
über die Übernahme der Verpflichtungen
nach der DS-GVO.67 Eine Vereinbarung nach
Art. 26 Abs. 1 S. 2 DSGVO hat nur deklaratorische Wirkung,
so dass auch ohne Vereinbarung eine gemeinsame
Verantwortlichkeit besteht. Fehlt die Vereinbarung muss
jeder Verantwortliche selbst alle Pflichten aus der
DSGVO erfüllen. Eine fehlerhafte Einordnung (z.B. als
Auftragsverarbeitung) ist sanktionsfähig. Der Vorteil der
gemeinsamen Verantwortung liegt in der Möglichkeit
der Verteilung der Pflichten aus der DS-GVO auf die
gemeinsam Verantwortlichen. Ihr Gegenstand muss
etwa die Festlegung zur Erfüllung der Pflichten nach der
DSGVO, insbesondere die Rechte betroffener Personen,
Art. 15 ff DSGVO und die Informationspflichten nach
Art. 13, 14 DSGVO sein. Ihr Ziel ist es, die tatsächlichen
Funktionen und Beziehungen der gemeinsam Verantwortlichen
gegenüber betroffenen Personen gebührend
widerzuspiegeln. Es geht darum transparent zu machen,
welche Verantwortlichen beteiligt sind, welche VerarbeiSchwartmann
· Die Verantwortlichkeit für die Verarbeitung von Forschungsdaten 8 3
68 Vgl. dazu etwa das tabellarische Beispiel von Payback: https://
www.payback.de/gemeinsam-verantwortlich.
69 Schwartmann, Forschung und Lehre 2019, 1006, 1007; Schwartmann/
Jacquemain RDV 5/2019, 219 (222).; dazu insgesamt
Kremer in HK-DS-GVO/BDSG Art. 26 Rn. 21.
70 Schwartmann/Hermann in Schwartmann/Pabst (Hrsg.) HKLDSG
NRW § 17 Rn. 2 ff. Dazu Kremer CR 2019, 225 (232).
71 Schwartmann, Forschung und Lehre 2019, 1006, 1007.
tungen betroffen sind (entsprechend
Art. 28 Abs. 3 S. 1 DSGVO) und welche Entscheidungen
gemeinsam von Verantwortlichen getroffen werden.
Nach der Transparenzpflicht des Art. 26 Abs. 1 S. 2, Abs.
2 S. 2 DSGVO ist die Vereinbarung in transparenter
Form zu gestalten und das „Wesentliche“ der Vereinbarung
muss den betroffenen Personen zur Verfügung
gestellt werden. „Wesentliches“ meint mit Blick auf
Art. 26 Abs. 2 S. 1 DSGVO die „jeweiligen tatsächlichen
Funktionen und Beziehungen der gemeinsam Verantwortlichen
gegenüber betroffenen Personen“. Zur Verfügung
gestellt werden kann sie als Annex zur Datenschutzinformation
nach Art. 13/14 Abs. 1, Abs. 2
DSGVO.68
Bei Fehlen oder Mängeln der Vereinbarung kommen
Sanktionen durch Aufsichtsbehörden in Betracht. Mögliche
Sanktionsgründe können insbesondere die falsche
Zuordnung der Leistungsbeziehung (etwa Auftragsverarbeitung
statt Joint Controllership), eine fehlende oder
unvollständige Vereinbarung der gemeinsam Verantwortlichen
(Art. 26 Abs. 1 S. 2 DSGVO), die Nichterfüllung
der Festlegungen aus der Vereinbarung, oder die
Verweigerung der Erfüllung von Rechten betroffener
Personen sein (Art. 26 Abs. 3 DSGVO). Nach
Art. 26 Abs. 3 DSGVO haftet jeder Verantwortliche vollumfänglich
gegenüber betroffenen Personen.
VI. Handlungsempfehlung für Hochschulen
Geht man von der gemeinsamen Verantwortung aus,
spricht aufgrund der Einbindung des Forschers in die
Hochschulorganisation vieles dafür, dass die Hochschule
sowohl im Verhältnis zu den Betroffenen als auch im
Verhältnis zur Datenschutzaufsicht die datenschutzrechtliche
Verantwortung organisiert und diese im
Innenverhältnis zum Hochschullehrer übernimmt.69
Die im Rahmen von Art. 26 DS-GVO rechtlich zulässige
Freistellung des Forschers von der datenschutzrechtlichen
Haftung im Innenverhältnis70 ist im Hochschulkontext
geboten, weil das wissenschaftliche Personal nur
auf diese Weise vollumfänglich von der verfassungsrechtlich
verbürgten Wissenschaftsfreiheit Gebrauch
machen kann. Forscher und Hochschulen sollten insgesamt
gemeinsam auf die Schaffung eines sicheren und
einheitlichen Rahmens für Verarbeitung personenbezogener
Daten hinwirken und dabei aber immer auch die
Freiheit ihrer Forschung im Auge haben. Die rechtlichen
Rahmenvorgaben sind in vielen Fällen noch nicht spezifiziert.
Wissenschaftler sind daran gewöhnt und darauf
angewiesen unter freiheitlichen Bedingungen zu arbeiten.
Jeder Forscher muss gleichwohl auf den sorgsamen
Umgang mit Daten achten und sensibel werden. Dazu
zählen vor allem auch der Einsatz und die Nutzung der
technischen Hilfsmittel.71 Auch über den wissenschaftlichen
Bereich hinausgehend, sollten Hochschulen etwa
auch im Rahmen ihrer fiskalischen Tätigkeit ihre Leistungsbeziehungen
überprüfen, insbesondere stellt sich
die Frage, ob eine „alte Auftragsdatenverarbeitung“ auch
noch Auftragsverarbeitung nach der DSGVO ist, ob eine
„alte Funktionsübertragung“ nicht nunmehr gemeinsame
Verantwortung ist und wie die hochschulinternen
Vereinbarungen zur Datenverarbeitung gestaltet sind.
Wichtig ist es, insbesondere den Betrieb von Fanpages
und anderer Social Media-Aktivitäten und den Einsatz
ihrer IT bis hin zu fremder Plugins (Like-Button etc.) auf
den Prüfstand zu stellen. Denn hier besteht nach der
Rechtsprechung des EuGH und des Bundesverwaltungsgerichts
Gewissheit, dass eine Vereinbarung zwischen
der Hochschule und dem jeweiligen Anbieter des Dienstes
erforderlich ist.
Der Autor leitet die Kölner Forschungsstelle für
Medienrecht an der Technischen Hochschule Köln und
ist Vorsitzender der Gesellschaft