Der Schutz personenbezogener Daten im Verwaltungsbereich

- ein Nachtrag zu dem Artikel Datenverarbeitung in der Universitätsverwaltung in RZ-Mitteilungen, Heft 8/1994

RZ-Mitteilungen als Medium der kontinuierlichen Aufklärung

Vorab möchte ich mich bei dem Direktor des Rechenzentrums bedanken, daß er mir an dieser Stelle Raum für die Darstellung der Problematik des Datenschutzes an der Humboldt-Universität zu Berlin zur Verfügung gestellt hat. Schwerpunkt des Datenschutzes an einer Universität ist einerseits der ordnungsgemäße Umgang mit den personenbezogenen Daten der Mitglieder der Universität, vor allen Dingen in der Verwaltung, aber auch in den Fakultäten. Andererseits wird in einem erheblichen Umfang personenbezogenes Material in der Wissenschaft und Forschung verwendet. In diesem Artikel soll zunächst aufgrund der Sachnähe zu Heft 8 auf die Datenverarbeitung in der Universitätsverwaltung eingegangen werden. Dies soll den Stellenwert des Datenschutzes an der Universität in Bezug auf Verwaltung und Forschung nicht einseitig verschieben. Vielmehr sind beide Bereiche zumindest gleichgewichtig vertreten. Ich sehe daher diesen Beitrag als Anfang einer Reihe, die den Datenschutz in Wissenschaft und Forschung zum Schwerpunkt haben wird.

Der Begriff des Datenschutzes

Datenschutz ist ein Bereich des öffentlichen Rechts, der an die rasante Entwicklung der Informationstechnologie anknüpft und versucht, mit ihr Schritt zu halten. Aufgrund der ständigen Veränderung von Situationen, Möglichkeiten und Begehrlichkeiten der Nutzer der Informationstechnologie gerät der Datenschutz oftmals in Kritik und muß nachgebessert werden. Wesentliches Ziel bleibt aber stets die Verhinderung des gläsernen Bürgers ohne Freiraum zur Persönlichkeitsentfaltung, da eine solche Entwicklung zum "Großen Bruder" zwar möglich ist, aber dem Grundrecht auf informationelle Selbstbestimmung, wie es das Bundesverfassungsgericht in seiner grundlegenden Entscheidung zum Volkszählungsgesetz 1983 zum Ausdruck gebracht hat, zuwiderläuft.
Gerade in Behörden müssen aufgrund ihrer Aufgabenstellung eine Vielzahl von personenbezogenen Daten erhoben und verarbeitet werden. Hierbei muß sich die Verwaltung stets eigene Zwänge auferlegen, um nicht Daten auf Vorrat zu erheben ( 9 Berliner Datenschutzgesetz - BlnDSG) bzw. bereits erhobene Daten nicht zweckwidrig einzusetzen. Dementsprechend können Studentendaten nicht an Dritte zum Zwecke der Musterung zum Wehrdienst übermittelt werden, ebensowenig wie Mitarbeiterdaten bzw. Studentendaten an den Fakultäten erneut erhoben werden dürfen, um diese gegebenenfalls mit den Datensätzen der Personalabteilung bzw. Studienabteilung abzugleichen. In den regelmäßig der Universitätsleitung, den Fakultäten und der Zentralen Universitätsverwaltung zur Kenntnis gegebenen Jahresberichten werden die Einzelfälle des laufenden Jahres aufgezählt und beanstandet. In Abhängigkeit von der Verhältnismäßigkeit des Verstoßes und dem Schaden ist auch stets die mögliche Strafbarkeit zu prüfen, um gegebenenfalls die Staatsanwaltschaft einzuschalten.

Der Begriff "personenbezogene Daten"

Die Einschränkungen bei der Datenverarbeitung beginnen bereits mit der Definition des Begriffes "personenbezogene Daten". Oftmals argumentieren anfragende Stellen, unabhängig davon, ob es sich hierbei um Personen des Privatrechts handelt oder um Personen des Öffentlichen Rechts, daß sie "lediglich" den Namen erfragen wollen oder "nur" das Geburtsdatum, die Anschrift oder ähnliches benötigen.
Personenbezogene Daten sind jedoch alle Daten, die einen Bezug auf das Individuum ermöglichen; geschütztes Rechtsgut ist das Persönlichkeitsrecht des einzelnen, seine Privatsphäre und sein ganzer persönlicher Freiheitsraum sowie sein Recht, sich nach außen als Individuum darzustellen und im Rahmen der Rechtsordnung selbst darüber zu entscheiden, wem welche Informationen über sich zu welchen Zwecken erteilt werden.
Die rechtmäßige Erhebung und Verarbeitung personenbezogener Daten ergibt sich aus den 10 und 6 BlnDSG. Gemäß 10 BlnDSG dürfen personenbezogene Daten grundsätzlich nur aufgrund einer besonderen Rechtsvorschrift bzw. aufgrund der Einwilligung des Betroffenen beim Betroffenen mit dessen Kenntnis erhoben werden. Die Einwilligung bedarf der Schriftform und ist durch den Grundsatz der Freiwilligkeit geprägt. Ferner ist der Betroffene über die Art und den Zweck der Erhebung und der Verarbeitung, einschließlich der Möglichkeit einer Übermittlung der Daten an Dritte, und die genaue Bezeichnung des Empfängerkreises aufzuklären.
Gemäß 34 Abs. 2 BlnDSG findet für die Datenverarbeitung bezüglich früherer, bestehender und künftiger dienst- und arbeitsrechtlicher Rechtsverhältnisse das Bundesdatenschutzgesetz Anwendung.
Die personenbezogenen Daten dürfen grundsätzlich nur zu dem Zweck weiterverarbeitet werden, zu dem sie erhoben worden sind ( 11 Abs. 1 BlnDSG). Eine Abweichung von diesem Grundsatz indiziert die Möglichkeit der Verwirklichung einer Straftat nach dem Tatbestand des 32 BlnDSG. Die Strafandrohung sieht eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe vor.

Die Aufgaben der Zentralen Universitätsverwaltung unter besonderer Berücksichtigung der Datenschutzproblematik

In der Zentralen Universitätsverwaltung der Humboldt-Universität zu Berlin werden nach den Schwerpunkten der Verwaltung die Daten der Mitglieder der Universität sowie der Personen, die mit der Universität in diesen Bereichen in Verbindung treten, verwaltet und verarbeitet. Dies gilt sowohl für die laufende Mitgliedschaft beziehungsweise laufende Rechtsgeschäfte wie auch für historische Rechtsverhältnisse.
So verwaltet und verarbeitet die Studienabteilung die Studenten- und Prüfungsakten der Studenten und hat einen eingeschränkten Zugriff auf Akten von ehemaligen Absolventen der Alma mater. Ferner werden die Bewerberakten verwaltet. Im Rahmen der Verarbeitung werden u.a. auch Zuarbeiten für Statistiken nach dem Hochschulstatistikgesetz an das Statistische Landesamt übermittelt. Dies kann nur dann effektiv geschehen, wenn eine Übermittlung rechnergestützt erfolgen kann. Hierbei sind allerdings die geltenden Rechtsvorschriften zu beachten, was regelmäßig zu Interessenkollisionen mit dem Statistischen Landesamt führt.
In der Forschungsabteilung werden überwiegend personenbezogene Daten im Bereich der Drittmittelverwaltung verarbeitet. Hier stellt sich vor allen Dingen aufgrund der befristeten Mittel die Frage der Sperrung und Löschung von personenbezogenen Daten.
In der Personalabteilung werden die Daten der Mitarbeiter verwaltet und verarbeitet. Zweckbindung besteht hinsichtlich des Arbeitsverhältnisses (Begründung, Verlauf, Beendigung) einschließlich der Folgen aus einem Arbeitsverhältnis, wie z.B. Mitteilung an die Rentenversicherer. Ferner sind die Grundsätze der Personalaktenführung zu beachten. Dies alles geschieht im zunehmenden Maße rechnergestützt. Innerhalb der Referate der Personalabteilung müssen die Grundsätze der Zweckbindung und der Verhältnismäßigkeit ebenfalls streng eingehalten werden.
Die Haushaltsabteilung erfaßt im Rahmen des Haushaltsplanes einschließlich des Sollstellenplanes Daten der Mitarbeiter. Ferner werden Daten zum Zwecke der Abrechnung von Einzelleistungen berücksichtigt, soweit nicht die Lohn- und Gehaltsstelle bzw. das Referat E (Beihilfestelle) in der Personalabteilung hierfür zuständig sind.
Die Universitätsbibliothek, insbesondere das Archiv, verwaltet die Daten, die nach dem Landesarchivgesetz (LArchivG) gesperrt sind. Die weitere Bearbeitung wird in Zusammenarbeit mit dem behördlichen Datenschutzbeauftragten (gemäß 5 BlnDSG) aufgrund der Vorschriften des LArchivG und des BlnDSG geregelt. Hierbei kommen überwiegend wissenschaftliche Projekte in Betracht.
In der Verwaltung wird selbstverständlich grundsätzlich auf die Adreßverwaltung zurückgegriffen.
Die von den Abteilungen verwalteten Daten sind getrennt und dürfen auch untereinander nur äußerst restriktiv auf Grundlage des Berliner Datenschutzgesetzes und des Informationsverarbeitungsgesetzes übermittelt werden. Hierbei ist vor allen Dingen die Zweckbindung zu beachten. Bei Übermittlungen in Bereiche außerhalb der Universität sind die gleichen strengen Maßstäbe anzulegen. Dabei sind Fehleinschätzungen nicht immer vermeidbar. Allerdings ist es auch Aufgabe des behördlichen Datenschutzbeauftragten, hier beratend tätig zu sein. Durch eine kurze Beratung kann einer späteren Beanstandung mit den möglichen finanziellen und strafrechtlichen Rechtsfolgen vorgebeugt werden.
Die rechnergestützte Datenverarbeitung in der zentralen Universitätsverwaltung, insbesondere unter besonderer Berücksichtigung des Datenverarbeitungskonzeptes der Humboldt-Universität zu Berlin, führt zu einem verstärkten Austausch zwischen dem Wissenschaftsbereich und dem Verwaltungsbereich. Waren die Daten bislang überwiegend zu Zwecken der (übertragenen) Studentenverwaltung und zu empirischen Forschungen notwendig, so ist die Bedeutung und neue Zielsetzung aufgrund der qualitativen und quantitativen Entwicklung der automatisierten elektronischen Datenverarbeitung nicht absehbar. Da es allerdings, auch unter der Berücksichtigung des 30 BlnDSG, kein Wissenschaftsprivileg gibt, ist der behördliche Datenschutzbeauftragte aufgrund seiner Kontrollkompetenz aus 5 BlnDSG ein Ansprechpartner, um im Vorfeld eine Beanstandung aus datenschutzrechtlicher Sicht auszuschließen. Eine Vielzahl von Wissenschaftlern bedient sich bereits dieses Dienstes.
Personenbezogene Daten sind zu sperren und unverzüglich zu löschen, wenn der Zweck, für den sie erhoben wurden, erreicht ist. Ferner sind sie zu sperren und zu löschen, wenn sie rechtswidrig erhoben wurden bzw. ihre Richtigkeit berechtigterweise bestritten wird ( 17 BlnDSG).

Resümee und Zielsetzung

Auf dem Gebiet des Datenschutzes und der Datensicherheit hat die Humboldt-Universität zu Berlin in der Hochschullandschaft des Landes Berlin eine Vorreiterrolle übernommen. Dies gilt zunächst allerdings nur für die Aufarbeitung von Altfällen sowie die Einzelfallösungen in den Bereichen Wissenschaft und Forschung bzw. Verwaltung. Ausschlaggebend für diesen Erfolg ist das Bekennen der Universitätsleitung zum Datenschutz sowie die konsequente Durchsetzung von Anregungen des behördlichen Datenschutzbeauftragten durch die Universitätsleitung, die Fakultäten und die Abteilungsleiter bzw. Direktoren selbständiger Einrichtungen innerhalb der Universität. Gerade im Bereich der IT-Sicherheitstechnik wollen wir den Vorsprung ausbauen und die Vorbildfunktion festigen. Diesen Zielen dient vorrangig das Pilotprojekt Verwaltungsnetz, in dem eine ausgewählte Anzahl an Teilnehmern unter Auflagen den "Ernstfall" probt. Dies geschieht selbstverständlich ohne sensible personenbezogene Daten, da erst die Ergebnisse dieses Pilotprojektes uns die Möglichkeiten einer effektiven Datensicherheit und damit auch eines effektiven Datenschutzes aufzeigen können. Bis dahin wird noch eine Vielzahl von organisatorischen Regelungen zu treffen sein, da bisher nur Einzelfallösungen gefällt wurden. Entsprechende grundsätzliche Dienstanweisungen und Dienstvereinbarungen fehlen bislang an der Humboldt-Universität zu Berlin fast gänzlich (und nicht nur an der HUB, sondern in allen Verwaltungen des Landes Berlin). Insbesondere auf den im Artikel "Anwendung im Rechnernetz der zentralen Universitätsverwaltung" (RZ-Mitteilungen, Nr.8) genannten Gebieten fehlt es entgegen der Auffassung der Autorin an jeglicher organisatorischer Regelung. Mit den wenigen Regelungen, die bislang getroffen wurden, können nicht einmal in kleinen Organisationseinheiten die Datensicherheit und der situationsspezifische Datenschutz gewährleistet werden, wie ich bereits in meinem Jahresbericht 1993 festgestellt habe und auch im Jahre 1994 bei einer Vielzahl von Begehungen zur Kenntnis nehmen mußte. Dementsprechend habe ich bei der Planung für das Jahr 1995 einen Schwerpunkt auf diesen Bereich gelegt. Ich werde unter der Berücksichtigung der anderen Bundesländer Empfehlungen entwerfen und mit den Abteilungsleitern diskutieren, damit universitätsweit einheitliche datenschutzkonforme und praktikable Regelungen geschaffen werden. Dies gilt nicht nur für die Verwaltung, sondern im besonderen Maße für die Fakultäten. Als Beispiel sei hier nur die Problematik der sogenannten "Anwesenheitslisten" und deren Unterarten genannt. Dieses Thema soll aber einem weiteren Beitrag an dieser Stelle vorbehalten bleiben.
Für Rückfragen und Anregungen stehe ich gerne unter der Telefonnummer 2093 2591 zur Verfügung.

André Kuhring*

* Herr Kuhring ist der Datenschutzbeauftragte der Humboldt-Universität.


9.1.95 / cs
Last Update: 11.1.95, 14:10 , cs