Menü Schließen
Klicke hier zur PDF-Version des Beitrags!

I. Daten­schutz an der Hochschule
Das Daten­schutz­recht hat die Hoch­schu­len erreicht.1 Dort wer­den durch das wis­sen­schaft­li­che und nicht wis­sen­schaft­li­che Per­so­nal zu Zwe­cken der Wis­sen­schaft und Ver­wal­tung in gro­ßem Umfang per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Bei der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, etwa der Nut­zung der Matri­kel­num­mer anstel­le des Namens oder eines Codes für Teil­neh­mer an einer Stu­die, wer­den Daten aus daten­schutz­recht­li­chen Grün­den oft ver­schlüs­selt oder pseud­ony­mi­siert. Solan­ge sie am Ende – fak­tisch gleich auf wel­che Wei­se – wie­der einer Per­son zuge­ord­net wer­den kön­nen, blei­ben sie per­so­nen­be­zo­gen und unter­fal­len dem wei­ten Anwen­dungs­be­reich des Daten­schutz­rechts. Nach der DSGVO ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zuläs­sig, wenn sie auf einer recht­li­chen Grund­la­ge basiert. Die­se kann per Ein­wil­li­gung des Betrof­fe­nen erfol­gen oder sich aus dem Gesetz erge­ben. Im Wis­sen­schafts­be­reich gibt es unter Gel­tung der DSGVO eine Viel­zahl gesetz­li­cher Ermäch­ti­gun­gen. Öffent­li­che Stel­len dür­fen in die­sem Rah­men grund­sätz­lich die Daten erhe­ben, die zu ihrer Auf­ga­ben­er­fül­lung erfor­der­lich sind. Das kön­nen Daten über ein bestimm­tes Ver­hal­ten zu For­schungs­zwe­cken sein, aber auch Name und Anschrift der Stu­die­ren­den für die Ein­schrei­bung. Die Ver­ar­bei­tung von Daten, die über die Erfor­der­lich­keit zur Auf­ga­ben­er­fül­lung der Hoch­schu­le hin­aus­ge­hen, kann der Betrof­fe­ne per Ein­wil­li­gung erlau­ben. Die­se ist aber jeder­zeit und ohne Begrün­dung für die Zukunft widerrufbar.2 Sofern sen­si­ble Daten – etwa über eth­ni­sche Her­kunft, Reli­gi­on und Welt­an­schau­ung, sexu­el­le Ori­en­tie­rung, gene­ti­sche, bio­me­tri­sche oder Gesund­heits­da­ten – ver­ar­bei­tet wer­den, tritt ein abschlie­ßen­der Kata­log von beson­de­ren Erlaub­nis­grün­den hin­zu. Zur Erleich­te­rung der wis­sen­schaft­li­chen For­schung kön­nen per­so­nen­be­zo­ge­ne Daten zu wis­sen­schaft­li­chen For­schungs­zwe­cken ver­ar­bei­tet wer­den, wobei sie ange­mes­se­nen Bedin­gun­gen und geeig­ne­ten Garan­tien unter­lie­gen müs­sen, die im Uni­ons­recht oder im Recht der Mit­glieds­staa­ten fest­ge­legt sind.3 § 17 DSG NRW regelt in die­sem Zusam­men­hang etwa spe­zi­fi­sche Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, wenn die­se wis­sen­schaft­li­che oder his­to­ri­sche For­schungs­zwe­cke oder sta­tis­ti­sche Zwe­cke ver­folgt. Mit Art. 89 DS-GVO pri­vi­le­giert der euro­päi­sche Gesetz­ge­ber Daten­ver­ar­bei­tun­gen zu den genann­ten Zwe­cken und ermög­licht es den Mit­glieds­staa­ten, im Rah­men sog. Öff­nungs­klau­seln eige­ne Rege­lun­gen in den geöff­ne­ten Berei­chen zu treffen.4 Gleich­zei­tig ent­hält Art. 9 Abs. 2 lit. j DS-GVO eine der­ar­ti­ge Öff­nungs­klau­sel für die natio­na­len Gesetz­ge­ber, soweit beson­de­re per­so­nen­be­zo­ge­ne Daten zu den abschlie­ßend auf­ge­zähl­ten Zwe­cken ver­ar­bei­tet werden.5
II. Daten­schutz­recht­li­che Verantwortlichkeit
Beson­de­re Bedeu­tung kommt ins­be­son­de­re im Wis­sen­schafts­be­reich der Fra­ge zu, wen im Ver­hält­nis zwi­schen Hoch­schu­le und Hoch­schul­leh­rer die Ver­ant­wor­tung für Daten­ver­ar­bei­tungs­vor­gän­ge trifft. Nach Art. 4 Nr. 7 DSGVO ist „Ver­ant­wort­li­cher“ und damit Adres­sat der DSGVO-Pflich­ten die natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten entscheidet.6 Das Recht geht also davon aus, dass die Ent­schei­dung über Zwe­cke und Mit­tel der Daten­ver­ar­bei­tung „allein oder gemein­sam mit ande­ren“ getrof­fen wer­den kann. Für den Fall, dass meh­re­re Akteu­re in die­ser Wei­se ver­ant­wort­lich betei­ligt sind7 (dazu III. und IV.), knüpft die DSGVO dar­an in Art. 26 DSGVO eine beson­de­re Rechts­fol­ge in Form einer Ver­ein­ba­rung über die­se gemein­sa­me Daten­ver­ar­bei­tung (dazu V.). Bevor der Fra­ge nach­ge­gan­gen wer­den kann, wel­che daten­schutz­recht­li­che Ver­ant­wort­lich­keit im Ver­hält­nis zwiRolf
Schwartmann
Die Ver­ant­wort­lich­keit für die Ver­ar­bei­tung von For­schungs­da­ten an Hochschulen
1 Schwart­mann, For­schung & Leh­re 2019, 1006.
2 Vgl. Art. 7 Abs. 3 S.1 DSGVO.
3 ErwG 157 S. 5.
4 Ver­tie­fend dazu Wybitul in HK-DS-GVO/BDSG Art. 89 Rn. 1 ff.; Nol­te in Gierschmann/Schlender/Stentzel/Veil, Art. 89 DS-GVO Rn. 14; Pau­ly in Paal/Pauly Art. 89 DS-GVO Rn. 1.
5 Ver­tie­fend dazu Jaspers/Schwartmann/Mühlenbeck in HK-DS-GVO/BDSG Art. 9 Rn. 187 ff. sowie Schwartmann/Jacquemain RDV 5/2019, 219 (222); dazu auch Smol­le in HK-LDSG RhPf § 22 Rn. 3.
6 So auch Auern­ham­mer-Eßer Art. 4 Nr. 7 Rn. 34; Küh­lin­g/­Buch­ner-Har­tung Art. 4 Nr. 7 Rn. 1 sowie Gier­schmann-Kra­mer in Vor­be­mer­kung zu Art. 4 Nr. 7.
7 Dazu schon das WP 169 der Art.-29-Datenschutzgruppe S. 21 f.
Ord­nung der Wis­sen­schaft 2020, ISSN 2197–9197
7 8 O R D N U N G D E R WI S S E N S C H A F T 2 ( 2 0 2 0 ) , 7 7 — 8 4
8 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 (Fan­page).
9 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 (Jeho­va).
10 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 (Fashion ID).
11 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 28 (Fan­page); EuGH
Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 66 (Jeho­va); EuGH Urt. v. 29.
Juli 2019 Rs. C‑40/17 Rn. 70 (Fashion ID).
12 Vgl. dazu auch die Kom­men­tie­rung von Kre­mer zu Art. 26.
13 BVerwG Beschl. v. 25.2.2016 – 1 C 28/14.
14 Dazu EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 14 ff. (Fan­page)
sowie Schwartmann/Jacquemain DataAgen­da Arbeitspapier
04 – EuGH: Face­book Fan­pages, S. 1.
15 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 16 (Fan­page) sowie
Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 04 – EuGH:
Face­book Fan­pages, S. 1
16 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 29 (Fan­page). Dieses
Ver­ständ­nis greift der EuGH in EuGH Urt. v. 29. Juli 2019 Rs.
C‑40/17 Rn. 67 (Fashion ID) unter Ver­weis auf EuGH Urt. v. 05.
Juni 2018 Rs. C‑210/16 Rn. 29 (Fan­page); EuGH Urt. v. 10. Juli
2018 Rs. C‑25/17 Rn. 65 (Jeho­va) aus­drück­lich auf.
17 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 35 (Fan­page) sowie
dazu aus­führ­lich Schwartmann/Jacquemain DataAgen­da Arbeitspapier
10 – Die EuGH-Recht­spre­chung zum Joint-Controllership,
S. 2; dies, DataAgen­da Arbeits­pa­pier 04 – EuGH: Facebook
Fan­pages, S. 2.
18 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 (Fan­page) Rn 35 f.
19 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 38 (Fan­page) sowie
dazu Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 10 –
Die EuGH-Recht­spre­chung zum Joint-Con­trol­lers­hip, S. 2.
20 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 43 (Fan­page);
Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 10 – Die
EuGH-Recht­spre­chung zum Joint-Con­trol­lers­hip, S. 2.
21 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 43 (Fan­page).
22 EuGH Urt. v. 05. Juni 2018 Rs. C‑210/16 Rn. 43 (Fan­page) sowie
dazu aus­führ­lich Schwartmann/Jacquemain DataAgen­da Arbeitspapier
10 – Die EuGH-Recht­spre­chung zum Joint-Controllership,
S. 2.
23 Dazu aus­führ­lich Schwartmann/Jacquemain DataAgen­da Arbeitspapier
04 – EuGH: Face­book Fan­pages, S. 1.
24 BVerwG, Urt. v. 11.9.2019, 6 C 15/18.
schen Hoch­schu­le und deren wis­sen­schaft­li­chem Personal
besteht (IV.), muss die durch den EuGH gelegte
recht­li­che Grund­la­ge der gemein­sa­men Verantwortlichkeit
her­aus­ge­ar­bei­tet wer­den (III.). Unter VI. werden
ers­te Hand­lungs­op­tio­nen aufgezeigt.
III. Gemein­sa­me Ver­ant­wort­lich­keit in der Rechtsprechung
Der EuGH hat 2018 und 2019 in den Rechts­sa­chen Fanpage8,
Jehova9 und FashionID10 wich­ti­ge Aus­sa­gen zu
den Vor­aus­set­zun­gen und zum Begriffsverständnis11
einer gemein­sa­men Ver­ant­wort­lich­keit getroffen.12

  1. „Fan­page“
    Das ers­te Urteil in die­sem Zusam­men­hang erging zur
    Fra­ge der gemein­sa­men Ver­ant­wort­lich­keit von Betreibern
    einer Face­book-Fan­page mit Face­book. Gegenstand
    des Urteils war ein Vor­ab­ent­schei­dungs­er­su­chen des
    BVerwG13. Hin­ter­grund war ein Verwaltungsrechtsstreit
    zwi­schen der Wirt­schafts­aka­de­mie Schleswig-Holstein
    GmbH und dem Unab­hän­gi­gen Lan­des­zen­trum für
    Daten­schutz Schles­wig-Hol­stein (ULD).14 Die­ses hatte
    gegen­über der Wirt­schafts­aka­de­mie ange­ord­net, den
    Betrieb einer Fan­page auf Face­book ein­zu­stel­len, da die
    Besu­cher der Fan­page nicht über den Ein­satz von Cookies
    und eine damit ein­her­ge­hen­de Ver­ar­bei­tung ihrer
    per­so­nen­be­zo­ge­nen Daten infor­miert würden.15
    Der EuGH beton­te zunächst, dass sich der Begriff des
    Ver­ant­wort­li­chen nicht zwin­gend auf eine ein­zi­ge Stelle
    bezieht, son­dern meh­re­re an einer Datenverarbeitung
    betei­lig­te Akteu­re betref­fen kann, so dass in der Folge
    jeder die­ser Akteu­re den Vor­schrif­ten der DSGVO
    unterliegt.16 Fer­ner wies er dar­auf hin, dass es für die
    Begrün­dung einer gemein­sa­men Verantwortlichkeit
    bereits aus­rei­che, dass eine Stel­le (im kon­kre­ten Fall der
    Betrei­ber einer Face­book Fan­page) einem ande­ren Verantwortlichen
    (hier Face­book) die Mög­lich­keit gebe, personenbezogene
    Daten der betrof­fe­nen Per­so­nen zu verarbeiten.
    17 Das ent­schei­den­de Kri­te­ri­um zur Begründung
    des gemein­sa­men Zwe­ckes sieht der EuGH darin,
    dass der Betrei­ber der Fan­page und Face­book über das
    Zur­ver­fü­gung­stel­len einer Nut­zer­sta­tis­tik (Para­me­trie­rung)
    und das Ein­räu­men der Mög­lich­keit gegenüber
    Face­book bei Besu­chern der Fan­page soge­nann­te Cookies
    zu set­zen, einen gemein­sa­men Zweck zum wechselseitigen
    Vor­teil verfolgen.18 Für eine gemein­sa­me Verantwortlichkeit
    sei eben­falls nicht erfor­der­lich, dass bei
    meh­re­ren Betrei­bern für die­sel­be Ver­ar­bei­tung jeder
    Zugang zu den betref­fen­den per­so­nen­be­zo­ge­nen Daten
    habe19. Die gemein­sa­me Ver­ant­wort­lich­keit set­ze keine
    gleich­wer­ti­ge Ver­ant­wort­lich­keit der Akteu­re voraus.20
    Die­se könn­ten auch „in ver­schie­de­nen Pha­sen und in
    unter­schied­li­chem Ausmaß“21 in die Ver­ar­bei­tung personenbezogener
    Daten ein­be­zo­gen sein, so dass der
    Grad der Ver­ant­wort­lich­keit unter Berücksichtigung
    aller Umstän­de der Ein­zel­fal­les zu beur­tei­len sei.22 Nach
    dem Ergeb­nis des EuGH ist der Facebook-Fanpage
    Betrei­ber also gemein­sam mit Face­book für die Verarbeitung
    per­so­nen­be­zo­ge­ner Daten und etwai­ge Datenschutzverstöße
    verantwortlich.23 Das Bundesverwaltungsgericht
    hat die Ent­schei­dung des Europäischen
    Gerichts­ho­fes zu Face­book-Fan­pages für den konkreten
    Fall am 11.9.2019 befolgt und die Sache zur endgültigen
    Ent­schei­dung an das OVG Schles­wig ver­wie­sen. 24
  2. „Zeu­gen Jehovas“
    Das zwei­te Urteil des EuGH zur Reich­wei­te einer
    gemein­sa­men Ver­ant­wort­lich­keit erging zu einer Datenverarbeitung
    der Zeu­gen Jeho­vas. Deren Mitglieder
    Schwart­mann · Die Ver­ant­wort­lich­keit für die Ver­ar­bei­tung von For­schungs­da­ten 7 9
    25 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 15 (Jeho­va).
    26 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 16 (Jeho­va).
    27 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 17 (Jeho­va).
    28 Vgl. dazu die Kom­men­tie­rung von Schwartmann/Hermann zu
    Art. 4 Nr. 6 Rn. 96a.
    29 Dazu Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 10 –
    Die Recht­spre­chung des EuGH zum Joint-Con­trol­lers­hip, S. 3 f.
    30 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 66 ff.(Jehova).
    31 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 68 (Jeho­va).
    32 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 67 und 69 (Jeho­va).
    33 EuGH Urt. v. 10. Juli 2018 Rs. C‑25/17 Rn. 71.(Jehova).
    34 Zum Gan­zen vgl. auch Schwartmann/Jacquemain DataAgenda
    Arbeits­pa­pier 10 – Die Recht­spre­chung des EuGH zum Joint-
    Con­trol­lers­hip, S. 3 f.
    35 Vgl. hier­zu auch Beck­OK DSGVO-Ehman­n/­Sel­mayr Art. 26 Rn.
    9; Gol­land, CR 2019, 676; Nebel Daten­schutz­recht­li­che Verantwortlichkeit
    bei der Nut­zung von Fan­pages und Social Plug-ins,
    RDV 2019, 9, 12 f.; Satt­ler Gemein­sa­me Verantwortlichkeit –
    getrenn­te Pflich­ten, GRUR 2019, 1023 – alter­na­ti­ver Ansatz zur
    Ein­ord­nung der Akteu­re bei Lee/Cross (Gemein­sa­me) Verantwortlichkeit
    beim Ein­satz von Dritt­in­hal­ten auf Web­sites, MMR
    2019, 559
    36 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 25 ff. (Fashion ID).
    37 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 65 ff. (Fashion ID).
    38 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 25 ff. (Fashion ID), Rn.
    68.
    39 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 74 (Fashion ID).
    40 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 74 (Fashion ID), Rn.
    97.
    41 In Deutsch­land hat sich das AG Mann­heim mit der Fra­ge einer
    gemein­sa­men Ver­ant­wort­lich­keit einer Wohnungseigentümergemeinschaft
    und eines Ver­wal­ters aus­ein­an­der­ge­setzt und diese
    bejaht: Urt. v. 11.09.2019 – Az. 5 C 1733/19 WEG.
    führ­ten im Rah­men ihrer Ver­kün­di­gungs­tä­tig­keit Hausbesuche
    bei Per­so­nen durch, die weder ihnen noch der
    Gemein­schaft bekannt waren.25 Die Gemein­schaft gab
    dabei ihren „Ver­kün­dern“ Anlei­tun­gen zur Anfertigung
    von Noti­zen zu den Haus­be­su­chen (ins­bes. Aufzeichnung
    von Name und Adres­se der auf­ge­such­ten Personen,
    reli­giö­se Über­zeu­gun­gen) und orga­ni­sier­te und
    koor­di­nier­te die Verkündigungstätigkeit.26 Dabei verlangt
    die Gemein­schaft von ihren ver­kün­den­den Mitgliedern
    weder, dass die­se per­so­nen­be­zo­ge­ne Daten
    durch Noti­zen erhe­ben noch kann­te sie die Inhal­te möglicher
    Noti­zen oder die Iden­ti­tät der tätig­ten Mitglieder
    bei der Datenerhebung.27 Neben der Fra­ge hinsichtlich
    des Vor­lie­gens eines Datei­sys­tems i.S.v. Art. 4 Nr. 628
    nahm der EuGH ins­be­son­de­re zur inhalt­li­chen Reichweite
    der Ver­ant­wort­lich­keit Stellung.29 Dabei nimmt
    das Gericht auf die Aus­füh­run­gen in Fan­page Bezug30,
    und führt ergän­zend aus, dass es für die Annah­me einer
    (gemein­sa­men) Ver­ant­wort­lich­keit aus­rei­che, dass eine
    natür­li­che oder juris­ti­sche Per­son aus Eigen­in­ter­es­se auf
    die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Einfluss
    neh­me und damit an der Ent­schei­dung über die Zwecke
    und Mit­tel der Ver­ar­bei­tung mitwirke.31 Es sei zum
    einen für das Vor­lie­gen einer gemein­sa­men Verantwortlichkeit
    unschäd­lich, dass die Gemein­schaft keinen
    Zugang zu den betref­fen­den per­so­nen­be­zo­ge­nen Daten
    habe, zum ande­ren set­ze das Vor­lie­gen einer Verantwortlichkeit
    nicht vor­aus, dass die Gemein­schaft schriftliche
    Anlei­tun­gen oder Anwei­sun­gen zu den Datenverarbeitungen
    gebe.32 Maß­geb­li­ches Kri­te­ri­um für die
    Begrün­dung einer gemein­sa­men Ver­ant­wort­lich­keit sei
    inso­fern, dass die Erhe­bung der personenbezogenen
    Daten letzt­lich „zur Umset­zung des Ziels der Gemeinschaft
    – näm­lich [der] Ver­brei­tung ihres Glaubens –

[die­ne]

“33 und die Gemein­schaft die Verkündigungstätigkeit
orga­ni­siert und koordiniert.34 „Fashio­nID“
Im Juli 2019 erging das Urteil des EuGH zu Fashio­nID. 35
Es ging um die Fra­ge, ob ein Online-Händ­ler für die Einbindung
des Face­book-Like-But­tons als Social-Plug-In
auf sei­ner Web­site gemein­sam mit Face­book für eine
damit ein­her­ge­hen­de Ver­ar­bei­tung personenbezogener
Daten ver­ant­wort­lich ist.36 Durch die Bestä­ti­gung der
Kern­aus­sa­gen aus Fan­page und Jeho­va unter­streicht der
EuGH in Fashio­nID sein wei­tes Begriffs­ver­ständ­nis des
gemein­sam Verantwortlichen.37 Wer „aus Eigeninteresse
auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Einfluss
nimmt und damit an der Ent­schei­dung über die Zwecke
und Mit­tel die­ser Ver­ar­bei­tung mit­wirkt, (kann) als für die
Ver­ar­bei­tung Ver­ant­wort­li­cher […] ange­se­hen werden
[…]“ lau­tet die Begrün­dung im Kern.38. Gleichwohl
äußert sich das Gericht ein­schrän­kend dahingehend,
dass die daten­ver­ar­bei­ten­de Stel­le „für vor- oder nachgelagerte
Vor­gän­ge in der Ver­ar­bei­tungs­ket­te, für die sie
weder die Zwe­cke noch die Mit­tel fest­legt, nicht als (…)
ver­ant­wort­lich ange­se­hen wer­den [kann]“39. Indem der
EuGH fest­hält, dass es zur Annah­me einer gemeinsamen
Ver­ant­wor­tung „erfor­der­lich ist, dass der Betrei­ber und
der Anbie­ter mit die­sen Ver­ar­bei­tungs­vor­gän­gen jeweils
ein berech­tig­tes Inter­es­se […] wahr­neh­men, damit diese
Vor­gän­ge für jeden Ein­zel­nen von ihnen gerechtfertigt
sind“40, macht er deut­lich, dass eine voll­stän­di­ge Rechtfertigung
der Daten­ver­ar­bei­tung mit­tels eines Erlaubnistatbestandes
für jeden gemein­sam Verantwortlichen
erfor­der­lich ist.41
8 0 O R D N U N G D E R WI S S E N S C H A F T 2 ( 2 0 2 0 ) , 7 7 — 8 4
42 Vgl. dazu EDPS Gui­de­li­nes on the con­cepts of con­trol­ler, processor
and joint con­trol­lers­hip under Regu­la­ti­on (EU) 2018/1725
vom 07. Novem­ber 2019, S. 13 und S. 20 f., abruf­bar unter https://
edps.europa.eu/sites/edp/files/publication/19–11-07_edps_guidelines_
on_controller_processor_and_jc_reg_2018_1725_en.pdf
(zuletzt abge­ru­fen: 2.12.2019).
43 Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 10 – Die
EuGH-Recht­spre­chung zum Joint-Con­trol­lers­hip, S. 7.
44 Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 10 – Die
EuGH-Recht­spre­chung zum Joint-Con­trol­lers­hip, S. 7.
45 Schwartmann/Jacquemain DataAgen­da Arbeits­pa­pier 10 – Die
EuGH-Recht­spre­chung zum Joint-Con­trol­lers­hip, S. 6.
46 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 74 (Fashion ID).
47 Zu prü­fen blie­be, ob sie nicht in gemein­sa­mer Ver­ant­wor­tung des
For­schers mit dem Auf­trag­ge­ber erfolgt.
48 Ross­na­gel, ZD 2019, 157, 160.
49 Stel­lung­nah­me der behörd­li­chen Daten­schutz­be­auf­trag­ten der
Hoch­schu­len des Lan­des NRW, S. 5.
50 Schwartmann/Hermann in Schwartmann/Pabst (Hrsg.) HKLDSG
NRW § 17 Rn. 2 ff.; Schwartmann/Jacquemain RDV
5/2019, 219 (222). Leit­li­ni­en zur gemein­sa­men Verantwortung
Aus der Recht­spre­chung las­sen sich somit fol­gen­de Leitlinien
formulieren42:
– Erfor­der­lich für die Annah­me einer gemeinsamen
Ver­ant­wort­lich­keit ist, dass ein Ver­ant­wort­li­cher die
Daten­ver­ar­bei­tung ermög­licht und die Parameter
für die Ver­ar­bei­tung vor­gibt und die­se so beeinflusst
oder dass die Daten­ver­ar­bei­tung zumin­dest im Interesse
des einen Ver­ant­wort­li­chen erfolgt.43
– Nicht erfor­der­lich ist, dass alle Akteu­re Zugang zu
den ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten haben,
gleich­wer­ti­ge Bei­trä­ge erbrin­gen oder schriftliche
Anlei­tun­gen oder Anwei­sun­gen vornehmen.44
– Jeder der gemein­sam Ver­ant­wort­li­chen muss sich
auf einen eige­nen Recht­fer­ti­gungs­tat­be­stand der
DSGVO für die Ver­ar­bei­tung der personenbezogenen
Daten beru­fen können.45
– Bei vor- oder nach­ge­la­ger­ten Ver­ar­bei­tun­gen personenbezogener
Daten beschränkt sich die gemeinsame
Ver­ant­wort­lich­keit auf das Glied in der Verarbeitungskette,
auf das der jewei­li­ge Verantwortliche
Ein­fluss nimmt, indem er über Zwe­cke und Mittel
der Daten­ver­ar­bei­tung entscheidet.46
IV. (Gemein­sa­me) Ver­ant­wort­lich­keit von Hochschule
und Hochschullehrer
Die Orga­ni­sa­ti­on des Stu­di­ums von der Einschreibung
über die Prü­fungs­or­ga­ni­sa­ti­on bis hin zur Exmatrikulation
ist eben­so ein daten­schutz­recht­li­ches The­ma, wie
die Durch­füh­rung der Beschäf­ti­gungs­ver­hält­nis­se mit
den Ange­stell­ten und dem ver­be­am­te­ten Personal.
Davon unab­hän­gig ist der Umgang mit Forschungsdaten
zu wis­sen­schaft­li­chen Zwe­cken im Rah­men der Forschung
für die Hoch­schu­le zu behan­deln. Nur um letztgenannte
geht es im Fol­gen­den. In der Pra­xis kommt
dies etwa in der medi­zi­ni­schen For­schung bei der Auswahl
von Teil­neh­mern an Stu­di­en und der Auswertung
der Ergeb­nis­se eben­so vor, wie außer­halb des medizinischen
Bereichs, wenn es um die Ver­ar­bei­tung von Daten
von Per­so­nen geht, deren Kon­sum­ver­hal­ten oder sonstiges
Ver­hal­ten wis­sen­schaft­lich aus­ge­wer­tet wer­den soll.
Dabei ist zu unter­schei­den, ob eine Datenverarbeitung
im Rah­men des Neben­amts als pri­va­te Tätig­keit erfolgt
oder im Haupt­amt. For­schung im Rah­men einer Nebentätigkeit
Fin­det die Daten­ver­ar­bei­tung im Rah­men einer Nebentätigkeit
statt, so erfolgt sie im Ver­hält­nis zur Hochschule
in der allei­ni­gen Ver­ant­wor­tung des For­schers nach
Art. 4 Nr. 7 DS-GVO, weil sie unab­hän­gig vom Interesse
der Hoch­schu­le erfolgt.47 For­schung im Hauptamt
a) Ver­ant­wor­tung der Hochschule
Bei der For­schung im Haupt­amt wird ver­tre­ten, dass die
Daten­ver­ar­bei­tung ins­ge­samt in der allei­ni­gen Verantwortung
der Hoch­schu­le lie­ge, die die Wissenschaftler
auf die Ein­hal­tung der Daten­schutz­vor­ga­ben zu verpflichten
habe.48
b) Ver­ant­wor­tung des Hochschullehrers
Nach Ansicht eines Zusam­men­schlus­ses von Hochschulen
und Hoch­schul­lei­tungs­or­ga­nen in NRW spricht
dem­ge­gen­über vie­les dafür, dass die Hoch­schu­len bei
For­schungs­vor­ha­ben gar nicht Ver­ant­wort­li­che iSd
Art. 4 Nr. 7 DS-GVO sind, denn über die Zwe­cke und
Mit­tel der Daten­ver­ar­bei­tung ent­schei­den nach deren
Auf­fas­sung allei­ne die Wis­sen­schaft­ler und zwar in Ausübung
ihres höchst­per­sön­li­chen Grund­rechts auf Wissenschaftsfreiheit
(Art. 5 Abs. 3 GG).49 Die­se freie
Grund­rechts­be­tä­ti­gung hät­ten die Hoch­schu­le lediglich
zu ermög­li­chen, ohne inhalt­li­chen Ein­fluss neh­men zu
dürfen.50
c) Gemein­sa­me Verantwortung
Bei­de Betrach­tun­gen begeg­nen datenschutzrechtlichen
Beden­ken vor dem Hin­ter­grund der geschilderten
Recht­spre­chung des EuGH zur (gemein­sa­men) VerantSchwartmann
· Die Ver­ant­wort­lich­keit für die Ver­ar­bei­tung von For­schungs­da­ten 8 1
51 BVerfGE 35, 79 = NJW 1973, 1176 (1177) – Hochschulurteil.
52 Vgl. Beck­OK Hoch­schulR NRW/Schemmer HG § 4 Rn. 4.
53 Beck­OK Hoch­schulR NRW/Schemmer, 11. Ed. 1.5.2019, HG § 4
Rn. 4.
54 Beck­OK Hoch­schulR NRW/Schemmer, 11. Ed. 1.5.2019, HG § 4
Rn. 4.
55 EuGH Urt. v. 5.6.2018-C-210/16 – Wirtschaftsakademie.
56 EuGH Urt. v. 5.6.2018 – C‑210/16 Rn. 34 ff. – Fan­pages; EuGH
Urt. v. 29. Juli 2019 Rs. C‑40/17 Rn. 70 (Fashion ID).
57 EuGH Urt. v. 10.7.2018 – C‑25/17 Rn. 69 – Zeu­gen Jehovas.
wort­lich­keit nach der DS-GVO (Art. 4 Nr. 7 DS-GVO).
Die Wis­sen­schafts­frei­heit des Art. 5 Abs. 3 GG garantiert
Wis­sen­schaft­lern gro­ße Ent­schei­dungs­frei­heit über Auswahl,
Fra­ge­stel­lung, Metho­dik sowie Bewer­tung von
For­schungs­er­geb­nis­sen. Das führt aber nicht dazu, dass
sie des­halb die allei­ni­ge Ver­ant­wor­tung über Zwecke
und Mit­tel der For­schungs­da­ten­ver­ar­bei­tung trifft. Eine
Viel­zahl daten­schutz­re­le­van­ter Ent­schei­dun­gen können
For­scher nur auf­grund über­ge­ord­ne­ter Entscheidungen
der Hoch­schu­le tref­fen. Schon durch die Einwirkungsmöglichkeiten
im Rah­men der Dritt­mit­tel­for­schung, die
Deno­mi­na­ti­on der Pro­fes­su­ren und Fest­le­gung von Forschungsschwerpunkten,
das Zur­ver­fü­gung­stel­len von IT
etc. kann und darf der ein­zel­ne Hoch­schul­leh­rer im Verhältnis
zur Hoch­schu­le nicht allein über Zwe­cke und
Mit­tel sei­ner Daten­ver­ar­bei­tung ent­schei­den. Diese
Bedacht­nah­me auf Vor­ga­ben der Hoch­schu­le korrespondiert
mit deren Ver­pflich­tung zur Bereit­stel­lung personeller,
finan­zi­el­ler und orga­ni­sa­to­ri­scher Mittel.51 So
ver­pflich­tet der Art. 5 Abs. 3 S. 1 GG einfachrechtlich
kon­kre­ti­sie­ren­de § 4 Abs. 1 HG NRW Land und Hochschulen
dazu, jeder Aus­höh­lung der Freiheitsgarantien
vorzubeugen.52 Dazu gehört, dass funk­ti­ons­fä­hi­ge Institutionen
für einen frei­en Wis­sen­schafts­be­trieb erhalten
oder her­ge­stellt werden.53 Für das ein­zel­ne Hochschulmitglied
resul­tiert dar­aus kein ori­gi­nä­rer Leistungsanspruch,
also auch kein Grund­aus­stat­tungs­an­spruch für
die Aus­übung der Grund­frei­hei­ten aus
Art. 5 Abs. 3 S. 1 GG. Es besteht nur ein Anspruch auf
ver­hält­nis­mä­ßi­ge und am all­ge­mei­nen Gleichheitssatz
ori­en­tier­te Teil­ha­be an Leis­tun­gen und Einrichtungen,
die vom Staat bereit­ge­stellt sind.54 Über­trägt man dies
auf die Bestim­mung der daten­schutz­recht­li­chen Verantwortlichkeit,
ist auch die jewei­li­ge Hoch­schu­le für die in
ihrem Rah­men durch­ge­führ­ten wis­sen­schaft­li­chen Forschungsvorhaben
gem. Art. 4 Nr. 7 DS-GVO verantwortlich,
da sie die per­so­nel­len, finan­zi­el­len und organisatorischen
Mit­tel der in ihrem Verantwortungsbereich
durch­ge­führ­ten For­schungs­vor­ha­ben fest­legt und verteilt,
so dass die Hoch­schu­le dadurch zumin­dest mittelbar
Ein­fluss auf die Daten­ver­ar­bei­tungs­zwe­cke nimmt.
Dane­ben ent­schei­den auch Wis­sen­schaft­ler über die
kon­kre­ten Zwe­cke und Mit­tel der Datenverarbeitung,
etwa dar­über, wel­che Daten wel­cher Per­son in einer wissenschaftlichen
Aus­wer­tung eine Rol­le spie­len, welche
Daten­quel­len genutzt wer­den und wie die Details der
Daten­ver­ar­bei­tung in der kon­kre­ten Situa­ti­on ausgestaltet
sind. Daher ist es ist es nahe­lie­gend, den Wissenschaftler
gemein­sam mit der Hoch­schu­le in der (gemein­sa­men)
Ver­ant­wor­tung nach Art. 26 DS-GVO zu
sehen. Eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO
oder eine ein­sei­ti­ge Zurech­nung der Verantwortung
schei­tern an der feh­len­den Wei­sungs­ge­bun­den­heit des
For­schers in Fra­gen kon­kre­ter Ent­schei­dun­gen über
Zwe­cke und Mit­tel der Daten­ver­ar­bei­tung bzw. an der
aus­schließ­li­chen Ent­schei­dungs­be­fug­nis im
Gesamtkontext.
Ent­schei­dend für die Annah­me einer gemeinsamen
Ver­ant­wort­lich­keit ist die gemein­sa­me Abwick­lung der
Daten­ver­ar­bei­tung, die nach Art. 26 DS-GVO insbesondere
eine die gemein­sa­me Fest­le­gung der Zwe­cke und
Mit­tel der Daten­ver­ar­bei­tung ver­langt. Nach der Rechtsprechung
des EuGH ist kei­ne Pari­tät bei den Verarbeitungsanteilen
der Ver­ant­wort­li­chen erfor­der­lich 55 und
eine Betei­li­gung an der Ent­schei­dung über die Zwecke
und Mit­tel der Ver­ar­bei­tung reicht für eine gemeinsame
Ver­ant­wor­tung aus,56 wenn die jewei­li­ge Datenverarbeitung
in einem wei­ten Sinn einem gemein­sa­men Zweck
dient. Für die Begrün­dung der gemein­sa­men Verantwortlichkeit
kommt es dar­auf an, dass eine kon­kre­te Datenverarbeitung
(Per­so­nen­da­ten­ver­ar­bei­tung in einem
For­schungs­vor­ha­ben) durch einen einem wei­te­ren Verantwortlichen
im Hin­ter­grund (Hoch­schu­le) organisiert
und koor­di­niert wird. Der mög­li­che Zugriff eines weiteren
Ver­ant­wort­li­chen – hier der Hoch­schu­le – auf die
von den in der kon­kre­ten Ver­ar­bei­tungs­si­tua­ti­on erhobenen
per­so­nen­be­zo­ge­nen Daten oder die Einflussnahme
durch kon­kre­te Anlei­tun­gen oder Anwei­sun­gen zur
Daten­ver­ar­bei­tung im Ein­zel­fall ist nicht erforderlich.57
Die Grund­sät­ze der Recht­spre­chung des EuGH lassen
sich also auf die Hoch­schu­len über­tra­gen. Die Wissenschaftseinrichtung
ist neben dem wis­sen­schaft­lich verantwortlichen
Per­so­nal an der Ent­schei­dung über die
Zwe­cke und Mit­tel der Ver­ar­bei­tung betei­ligt. Den
Hoch­schu­len obliegt die Sicher­stel­lung der Aufgabenerfüllung
der durch Art. 5 Abs. 3 S. 1 GG ver­bürg­ten Rechte
der Wis­sen­schaft­ler, indem sie den dafür erforderlich
per­so­nel­len, sach­li­chen und orga­ni­sa­to­ri­schen Rahmen
8 2 O R D N U N G D E R WI S S E N S C H A F T 2 ( 2 0 2 0 ) , 7 7 — 8 4
58 EuGH Urt. v. 29. Juli 2019 Rs. C‑40/17 (Fashion ID); EuGH Urt. v. Juli 2018 Rs. C‑25/17 (Jeho­va); EuGH Urt. v. 05. Juni 2018 Rs.
C‑210/16 (Fan­page); AG Mann­heim, Urt. v. 11.09.2019 – Az. 5 C
1733/19 WEG.
59 So auch Gier­schmann-Kra­mer Art. 4 Nr. 7 Rn. 23; Kühling/
Buch­ner-Har­tung Art. 4 Nr. 7 Rn. 13.
60 Art.-29-Datenschutzgruppe WP 169 zu den Begrif­fen „für die
Ver­ar­bei­tung Ver­ant­wort­li­cher“ und „Auf­trags­ver­ar­bei­ter“, S. 16.
61 AG Mann­heim, Urt. v. 11.09.2019 – Az. 5 C 1733/19 WEG Rn.
23; Art.-29-Datenschutzgruppe WP 169 zu den Begrif­fen „für die
Ver­ar­bei­tung Ver­ant­wort­li­cher“ und „Auf­trags­ver­ar­bei­ter“, S. 16;
Küh­lin­g/­Buch­ner-Har­tung Art. 4 Nr. 7 Rn. 13; zur Abgrenzung
der gemein­sa­men zur allei­ni­gen Ver­ant­wor­tung Kartheuser/Nabulsi
Abgren­zungs­fra­gen bei gemein­sam Ver­ant­wort­li­chen, MMR
2019, 717, 718 ff.
62 Zum Begriff des Auf­trags­ver­ar­bei­ters Schwartmann/Hermann in
HK DSGVO/BDSG Art. 4 Rn. 27 ff.
63 Art.-29-Datenschutzgruppe WP 169 zu den Begrif­fen „für die Verarbeitung
Ver­ant­wort­li­cher“ und „Auf­trags­ver­ar­bei­ter“, S. 16.
64 Art.-29-Datenschutzgruppe WP 169 zu den Begrif­fen „für die
Ver­ar­bei­tung Ver­ant­wort­li­cher“ und „Auf­trags­ver­ar­bei­ter“, S. 16;
Gier­schmann-Kra­mer Art. 4 Nr. 7 Rn. 27;
65 Art.-29-Datenschutzgruppe WP 169 zu den Begrif­fen „für die
Ver­ar­bei­tung Ver­ant­wort­li­cher“ und „Auf­trags­ver­ar­bei­ter“, S. 16;
Küh­lin­g/­Buch­ner-Har­tung Art. 4 Nr. 7 Rn. 13.
66 Art.-29-Datenschutzgruppe WP 169 zu den Begrif­fen „für die Verarbeitung
Ver­ant­wort­li­cher“ und „Auf­trags­ver­ar­bei­ter“, S. 16 f.
67 Ver­tie­fend dazu Kre­mer in HK-DS-GVO/BDSG Art. 26 Rn. 31 ff
schaf­fen (vgl. § 4 HG NRW). Wis­sen­schaft­ler nut­zen diesen
Frei­raum zur Aus­übung ihrer Wissenschaftsfreiheit
nach Art. 5 Abs. 3 GG, indem sie den orga­ni­sa­to­risch gewährten
Frei­raum auch im Wege der Datenverarbeitung
nut­zen. Daten­ver­ar­bei­tung im Rah­men der Lehre
Mit Blick auf die Leh­re oder den Voll­zug prüfungsrechtlicher
Vor­ga­ben kommt es zu zahl­rei­chen Datenverarbeitungsvorgängen.
Sie betref­fen ins­be­son­de­re die Erhebung
von Daten von Stu­die­ren­den zur Durchführung
von Lehr­ver­an­stal­tun­gen und Prü­fun­gen. Bei der Wahrnehmung
die­ser Auf­ga­ben dürf­ten Hoch­schul­leh­rer in
der Pra­xis erheb­li­chen Ent­schei­dungs­spiel­raum mit
Blick auf das Füh­ren etwa von Anwe­sen­heits- und
Noten­lis­ten haben. In die­sen Fäl­len kann – geht man von
einer Wei­sungs­ho­heit der Hoch­schu­le mit Blick auf diese
Daten­ver­ar­bei­tun­gen aus, auch eine Auftragsverarbeitung
durch den Hoch­schul­leh­rer für die Hoch­schu­le in
Betracht kom­men. War nach § 3 Abs. 7 BDSG a.F. noch
die Zweck­be­stim­mung der Daten­ver­ar­bei­tung das
wesent­li­che Abgren­zungs­merk­mal des Verantwortlichen,
so ist dies nach Art. 4 Nr. 7 nun­mehr die Entscheidung
über Zweck und Mit­tel der Ver­ar­bei­tung personenbezogener
Daten. Man­gels wei­te­rer Aus­füh­run­gen in der
DSGVO sowie im BDSG ist somit als Auslegungshilfe
auch hier das WP 169 der Art.-29-Datenschutzgruppe
sowie die Recht­spre­chung des EuGH58 heranzuziehen:59
Danach ist der Zweck ein „erwar­te­tes Ergeb­nis, das
beab­sich­tigt ist oder die geplan­ten Aktio­nen lei­tet“ und
das Mit­tel die „Art und Wei­se, wie ein Ergeb­nis oder Ziel
erreicht wird“.60 Inso­weit ist im Wege einer kontextbezogenen
Betrach­tung zu prü­fen, wer die Zwe­cke und Mittel
der Ver­ar­bei­tung, d.h. das Ob, War­um und Wie der
Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten festlegt.61
Dabei ist aus­schlag­ge­bend, wie detail­liert jemand über
Zwe­cke und Mit­tel ent­schei­det und wel­chen Handlungsspielraum
er etwa einem vom Ver­ant­wort­li­chen abzugrenzenden
Auftragsverarbeiter62 einräumt.63 Dabei
kann für die Bestim­mung des Ver­ant­wort­li­chen die Entscheidung
über Zweck oder Mit­tel jeweils unterschiedlich
im Vor­der­grund stehen.64 Als Abwägungskriterien
kön­nen etwa das Wei­sungs­recht des Verantwortlichen
gegen­über dem Auf­trags­ver­ar­bei­ter, die Kontrollmöglichkeiten
gegen­über dem Auf­trags­ver­ar­bei­ter oder die
Abgren­zung der ver­schie­de­nen Handlungsspielräume
dienen.65 Letzt­lich ist zu fra­gen, wer ent­schei­det, warum
eine Ver­ar­bei­tung erfolgt und dabei die Rol­le und mögliche
Betei­li­gung der jewei­li­gen Akteu­re fest­legt. Die
Ent­schei­dung über die Mit­tel beinhal­tet sowohl technische
als auch orga­ni­sa­to­ri­sche Fragen.66
V. Recht­li­che Kon­se­quen­zen der Rechtsprechung
In den Fäl­len, in denen man zur Annah­me einer gemeinsamen
Ver­ant­wort­lich­keit zwi­schen Hoch­schu­le und
Hoch­schul­leh­rer kommt, sind die Vor­ga­ben des Art. 26
DS-GVO zu beach­ten. Es bedarf dann einer Vereinbarung
zwi­schen den Betei­lig­ten (Hochschule/ Wissenschaftler)
über die Über­nah­me der Verpflichtungen
nach der DS-GVO.67 Eine Ver­ein­ba­rung nach
Art. 26 Abs. 1 S. 2 DSGVO hat nur dekla­ra­to­ri­sche Wirkung,
so dass auch ohne Ver­ein­ba­rung eine gemeinsame
Ver­ant­wort­lich­keit besteht. Fehlt die Ver­ein­ba­rung muss
jeder Ver­ant­wort­li­che selbst alle Pflich­ten aus der
DSGVO erfül­len. Eine feh­ler­haf­te Ein­ord­nung (z.B. als
Auf­trags­ver­ar­bei­tung) ist sank­ti­ons­fä­hig. Der Vor­teil der
gemein­sa­men Ver­ant­wor­tung liegt in der Möglichkeit
der Ver­tei­lung der Pflich­ten aus der DS-GVO auf die
gemein­sam Ver­ant­wort­li­chen. Ihr Gegen­stand muss
etwa die Fest­le­gung zur Erfül­lung der Pflich­ten nach der
DSGVO, ins­be­son­de­re die Rech­te betrof­fe­ner Personen,
Art. 15 ff DSGVO und die Infor­ma­ti­ons­pflich­ten nach
Art. 13, 14 DSGVO sein. Ihr Ziel ist es, die tatsächlichen
Funk­tio­nen und Bezie­hun­gen der gemein­sam Verantwortlichen
gegen­über betrof­fe­nen Per­so­nen gebührend
wider­zu­spie­geln. Es geht dar­um trans­pa­rent zu machen,
wel­che Ver­ant­wort­li­chen betei­ligt sind, wel­che VerarbeiSchwartmann
· Die Ver­ant­wort­lich­keit für die Ver­ar­bei­tung von For­schungs­da­ten 8 3
68 Vgl. dazu etwa das tabel­la­ri­sche Bei­spiel von Payback: https://
www.payback.de/gemeinsam-verantwortlich.
69 Schwart­mann, For­schung und Leh­re 2019, 1006, 1007; Schwartmann/
Jac­que­main RDV 5/2019, 219 (222).; dazu insgesamt
Kre­mer in HK-DS-GVO/BDSG Art. 26 Rn. 21.
70 Schwartmann/Hermann in Schwartmann/Pabst (Hrsg.) HKLDSG
NRW § 17 Rn. 2 ff. Dazu Kre­mer CR 2019, 225 (232).
71 Schwart­mann, For­schung und Leh­re 2019, 1006, 1007.
tun­gen betrof­fen sind (ent­spre­chend
Art. 28 Abs. 3 S. 1 DSGVO) und wel­che Entscheidungen
gemein­sam von Ver­ant­wort­li­chen getrof­fen werden.
Nach der Trans­pa­renz­pflicht des Art. 26 Abs. 1 S. 2, Abs.
2 S. 2 DSGVO ist die Ver­ein­ba­rung in transparenter
Form zu gestal­ten und das „Wesent­li­che“ der Vereinbarung
muss den betrof­fe­nen Per­so­nen zur Verfügung
gestellt wer­den. „Wesent­li­ches“ meint mit Blick auf
Art. 26 Abs. 2 S. 1 DSGVO die „jewei­li­gen tatsächlichen
Funk­tio­nen und Bezie­hun­gen der gemein­sam Verantwortlichen
gegen­über betrof­fe­nen Per­so­nen“. Zur Verfügung
gestellt wer­den kann sie als Annex zur Datenschutzinformation
nach Art. 13/14 Abs. 1, Abs. 2
DSGVO.68
Bei Feh­len oder Män­geln der Ver­ein­ba­rung kommen
Sank­tio­nen durch Auf­sichts­be­hör­den in Betracht. Mögliche
Sank­ti­ons­grün­de kön­nen ins­be­son­de­re die falsche
Zuord­nung der Leis­tungs­be­zie­hung (etwa Auftragsverarbeitung
statt Joint Con­trol­lers­hip), eine feh­len­de oder
unvoll­stän­di­ge Ver­ein­ba­rung der gemein­sam Verantwortlichen
(Art. 26 Abs. 1 S. 2 DSGVO), die Nichterfüllung
der Fest­le­gun­gen aus der Ver­ein­ba­rung, oder die
Ver­wei­ge­rung der Erfül­lung von Rech­ten betroffener
Per­so­nen sein (Art. 26 Abs. 3 DSGVO). Nach
Art. 26 Abs. 3 DSGVO haf­tet jeder Ver­ant­wort­li­che vollumfänglich
gegen­über betrof­fe­nen Personen.
VI. Hand­lungs­emp­feh­lung für Hochschulen
Geht man von der gemein­sa­men Ver­ant­wor­tung aus,
spricht auf­grund der Ein­bin­dung des For­schers in die
Hoch­schul­or­ga­ni­sa­ti­on vie­les dafür, dass die Hochschule
sowohl im Ver­hält­nis zu den Betrof­fe­nen als auch im
Ver­hält­nis zur Daten­schutz­auf­sicht die datenschutzrechtliche
Ver­ant­wor­tung orga­ni­siert und die­se im
Innen­ver­hält­nis zum Hoch­schul­leh­rer übernimmt.69
Die im Rah­men von Art. 26 DS-GVO recht­lich zulässige
Frei­stel­lung des For­schers von der datenschutzrechtlichen
Haf­tung im Innenverhältnis70 ist im Hochschulkontext
gebo­ten, weil das wis­sen­schaft­li­che Per­so­nal nur
auf die­se Wei­se voll­um­fäng­lich von der verfassungsrechtlich
ver­bürg­ten Wis­sen­schafts­frei­heit Gebrauch
machen kann. For­scher und Hoch­schu­len soll­ten insgesamt
gemein­sam auf die Schaf­fung eines siche­ren und
ein­heit­li­chen Rah­mens für Ver­ar­bei­tung personenbezogener
Daten hin­wir­ken und dabei aber immer auch die
Frei­heit ihrer For­schung im Auge haben. Die rechtlichen
Rah­men­vor­ga­ben sind in vie­len Fäl­len noch nicht spezifiziert.
Wis­sen­schaft­ler sind dar­an gewöhnt und darauf
ange­wie­sen unter frei­heit­li­chen Bedin­gun­gen zu arbeiten.
Jeder For­scher muss gleich­wohl auf den sorgsamen
Umgang mit Daten ach­ten und sen­si­bel wer­den. Dazu
zäh­len vor allem auch der Ein­satz und die Nut­zung der
tech­ni­schen Hilfsmittel.71 Auch über den wissenschaftlichen
Bereich hin­aus­ge­hend, soll­ten Hoch­schu­len etwa
auch im Rah­men ihrer fis­ka­li­schen Tätig­keit ihre Leistungsbeziehungen
über­prü­fen, ins­be­son­de­re stellt sich
die Fra­ge, ob eine „alte Auf­trags­da­ten­ver­ar­bei­tung“ auch
noch Auf­trags­ver­ar­bei­tung nach der DSGVO ist, ob eine
„alte Funk­ti­ons­über­tra­gung“ nicht nun­mehr gemeinsame
Ver­ant­wor­tung ist und wie die hochschulinternen
Ver­ein­ba­run­gen zur Daten­ver­ar­bei­tung gestal­tet sind.
Wich­tig ist es, ins­be­son­de­re den Betrieb von Fanpages
und ande­rer Social Media-Akti­vi­tä­ten und den Einsatz
ihrer IT bis hin zu frem­der Plugins (Like-But­ton etc.) auf
den Prüf­stand zu stel­len. Denn hier besteht nach der
Recht­spre­chung des EuGH und des Bundesverwaltungsgerichts
Gewiss­heit, dass eine Ver­ein­ba­rung zwischen
der Hoch­schu­le und dem jewei­li­gen Anbie­ter des Dienstes
erfor­der­lich ist.
Der Autor lei­tet die Köl­ner For­schungs­stel­le für
Medi­en­recht an der Tech­ni­schen Hoch­schu­le Köln und
ist Vor­sit­zen­der der Gesellschaft