Der Schutz personenbezogener Daten im Verwaltungsbereich
- ein Nachtrag zu dem Artikel Datenverarbeitung in der Universitätsverwaltung in RZ-Mitteilungen,
Heft 8/1994
RZ-Mitteilungen als Medium der kontinuierlichen Aufklärung
Vorab möchte ich mich bei dem Direktor des Rechenzentrums bedanken, daß er mir an dieser Stelle
Raum für die Darstellung der Problematik des Datenschutzes an der Humboldt-Universität zu Berlin
zur Verfügung gestellt hat. Schwerpunkt des Datenschutzes an einer Universität ist einerseits der
ordnungsgemäße Umgang mit den personenbezogenen Daten der Mitglieder der Universität,
vor allen Dingen in der Verwaltung, aber auch in den Fakultäten. Andererseits wird in einem erheblichen
Umfang personenbezogenes Material in der Wissenschaft und Forschung verwendet. In diesem Artikel soll
zunächst aufgrund der Sachnähe zu Heft 8 auf die Datenverarbeitung in der
Universitätsverwaltung eingegangen werden. Dies soll den Stellenwert des Datenschutzes an der
Universität in Bezug auf Verwaltung und Forschung nicht einseitig verschieben. Vielmehr sind beide
Bereiche zumindest gleichgewichtig vertreten. Ich sehe daher diesen Beitrag als Anfang einer Reihe, die den
Datenschutz in Wissenschaft und Forschung zum Schwerpunkt haben wird.
Der Begriff des Datenschutzes
Datenschutz ist ein Bereich des öffentlichen Rechts, der an die rasante Entwicklung der
Informationstechnologie anknüpft und versucht, mit ihr Schritt zu halten. Aufgrund der ständigen
Veränderung von Situationen, Möglichkeiten und Begehrlichkeiten der Nutzer der Informationstechnologie
gerät der Datenschutz oftmals in Kritik und muß nachgebessert werden. Wesentliches Ziel bleibt
aber stets die Verhinderung des gläsernen Bürgers ohne Freiraum zur Persönlichkeitsentfaltung,
da eine solche Entwicklung zum "Großen Bruder" zwar möglich ist, aber dem
Grundrecht auf informationelle Selbstbestimmung, wie es das Bundesverfassungsgericht in seiner grundlegenden
Entscheidung zum Volkszählungsgesetz 1983 zum Ausdruck gebracht hat, zuwiderläuft.
Gerade in Behörden müssen aufgrund ihrer Aufgabenstellung eine Vielzahl von personenbezogenen
Daten erhoben und verarbeitet werden. Hierbei muß sich die Verwaltung stets eigene Zwänge
auferlegen, um nicht Daten auf Vorrat zu erheben (§ 9 Berliner Datenschutzgesetz - BlnDSG) bzw. bereits
erhobene Daten nicht zweckwidrig einzusetzen. Dementsprechend können Studentendaten nicht an Dritte
zum Zwecke der Musterung zum Wehrdienst übermittelt werden, ebensowenig wie Mitarbeiterdaten bzw.
Studentendaten an den Fakultäten erneut erhoben werden dürfen, um diese gegebenenfalls mit den
Datensätzen der Personalabteilung bzw. Studienabteilung abzugleichen. In den regelmäßig der
Universitätsleitung, den Fakultäten und der Zentralen Universitätsverwaltung zur Kenntnis
gegebenen Jahresberichten werden die Einzelfälle des laufenden Jahres aufgezählt und beanstandet.
In Abhängigkeit von der Verhältnismäßigkeit des Verstoßes und dem Schaden ist
auch stets die mögliche Strafbarkeit zu prüfen, um gegebenenfalls die Staatsanwaltschaft
einzuschalten.
Der Begriff "personenbezogene Daten"
Die Einschränkungen bei der Datenverarbeitung beginnen bereits mit der Definition des Begriffes
"personenbezogene Daten". Oftmals argumentieren anfragende Stellen, unabhängig davon, ob
es sich hierbei um Personen des Privatrechts handelt oder um Personen des Öffentlichen Rechts, daß
sie "lediglich" den Namen erfragen wollen oder "nur" das Geburtsdatum, die Anschrift
oder ähnliches benötigen.
Personenbezogene Daten sind jedoch alle Daten, die einen Bezug auf das Individuum ermöglichen;
geschütztes Rechtsgut ist das Persönlichkeitsrecht des einzelnen, seine Privatsphäre und sein
ganzer persönlicher Freiheitsraum sowie sein Recht, sich nach außen als Individuum darzustellen
und im Rahmen der Rechtsordnung selbst darüber zu entscheiden, wem welche Informationen über
sich zu welchen Zwecken erteilt werden.
Die rechtmäßige Erhebung und Verarbeitung personenbezogener Daten ergibt sich aus den §§ 10
und 6 BlnDSG. Gemäß § 10 BlnDSG dürfen personenbezogene Daten grundsätzlich
nur aufgrund einer besonderen Rechtsvorschrift bzw. aufgrund der Einwilligung des Betroffenen beim Betroffenen
mit dessen Kenntnis erhoben werden. Die Einwilligung bedarf der Schriftform und ist durch den Grundsatz
der Freiwilligkeit geprägt. Ferner ist der Betroffene über die Art und den Zweck der Erhebung und
der Verarbeitung, einschließlich der Möglichkeit einer Übermittlung der Daten an Dritte, und
die genaue Bezeichnung des Empfängerkreises aufzuklären.
Gemäß § 34 Abs. 2 BlnDSG findet für die Datenverarbeitung bezüglich
früherer, bestehender und künftiger dienst- und arbeitsrechtlicher Rechtsverhältnisse das
Bundesdatenschutzgesetz Anwendung.
Die personenbezogenen Daten dürfen grundsätzlich nur zu dem Zweck weiterverarbeitet werden,
zu dem sie erhoben worden sind (§ 11 Abs. 1 BlnDSG). Eine Abweichung von diesem Grundsatz indiziert die
Möglichkeit der Verwirklichung einer Straftat nach dem Tatbestand des § 32 BlnDSG. Die Strafandrohung
sieht eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe vor.
Die Aufgaben der Zentralen Universitätsverwaltung unter besonderer Berücksichtigung der
Datenschutzproblematik
In der Zentralen Universitätsverwaltung der Humboldt-Universität zu Berlin werden nach den
Schwerpunkten der Verwaltung die Daten der Mitglieder der Universität sowie der Personen, die mit der
Universität in diesen Bereichen in Verbindung treten, verwaltet und verarbeitet. Dies gilt sowohl für
die laufende Mitgliedschaft beziehungsweise laufende Rechtsgeschäfte wie auch für historische
Rechtsverhältnisse.
So verwaltet und verarbeitet die Studienabteilung die Studenten- und Prüfungsakten der Studenten und
hat einen eingeschränkten Zugriff auf Akten von ehemaligen Absolventen der Alma mater. Ferner werden
die Bewerberakten verwaltet. Im Rahmen der Verarbeitung werden u.a. auch Zuarbeiten für Statistiken
nach dem Hochschulstatistikgesetz an das Statistische Landesamt übermittelt. Dies kann nur dann effektiv
geschehen, wenn eine Übermittlung rechnergestützt erfolgen kann. Hierbei sind allerdings die
geltenden Rechtsvorschriften zu beachten, was regelmäßig zu Interessenkollisionen mit dem
Statistischen Landesamt führt.
In der Forschungsabteilung werden überwiegend personenbezogene Daten im Bereich der Drittmittelverwaltung
verarbeitet. Hier stellt sich vor allen Dingen aufgrund der befristeten Mittel die Frage der Sperrung
und Löschung von personenbezogenen Daten.
In der Personalabteilung werden die Daten der Mitarbeiter verwaltet und verarbeitet. Zweckbindung besteht
hinsichtlich des Arbeitsverhältnisses (Begründung, Verlauf, Beendigung) einschließlich der
Folgen aus einem Arbeitsverhältnis, wie z.B. Mitteilung an die Rentenversicherer. Ferner sind die
Grundsätze der Personalaktenführung zu beachten. Dies alles geschieht im zunehmenden
Maße rechnergestützt. Innerhalb der Referate der Personalabteilung müssen die
Grundsätze der Zweckbindung und der Verhältnismäßigkeit ebenfalls streng
eingehalten werden.
Die Haushaltsabteilung erfaßt im Rahmen des Haushaltsplanes einschließlich des Sollstellenplanes
Daten der Mitarbeiter. Ferner werden Daten zum Zwecke der Abrechnung von Einzelleistungen
berücksichtigt, soweit nicht die Lohn- und Gehaltsstelle bzw. das Referat E (Beihilfestelle) in der
Personalabteilung hierfür zuständig sind.
Die Universitätsbibliothek, insbesondere das Archiv, verwaltet die Daten, die nach dem Landesarchivgesetz
(LArchivG) gesperrt sind. Die weitere Bearbeitung wird in Zusammenarbeit mit dem behördlichen
Datenschutzbeauftragten (gemäß § 5 BlnDSG) aufgrund der Vorschriften des LArchivG und des
BlnDSG geregelt. Hierbei kommen überwiegend wissenschaftliche Projekte in Betracht.
In der Verwaltung wird selbstverständlich grundsätzlich auf die Adreßverwaltung
zurückgegriffen.
Die von den Abteilungen verwalteten Daten sind getrennt und dürfen auch untereinander nur
äußerst restriktiv auf Grundlage des Berliner Datenschutzgesetzes und des Informationsverarbeitungsgesetzes
übermittelt werden. Hierbei ist vor allen Dingen die Zweckbindung zu beachten. Bei
Übermittlungen in Bereiche außerhalb der Universität sind die gleichen strengen
Maßstäbe anzulegen. Dabei sind Fehleinschätzungen nicht immer vermeidbar. Allerdings ist
es auch Aufgabe des behördlichen Datenschutzbeauftragten, hier beratend tätig zu sein. Durch eine
kurze Beratung kann einer späteren Beanstandung mit den möglichen finanziellen und
strafrechtlichen Rechtsfolgen vorgebeugt werden.
Die rechnergestützte Datenverarbeitung in der zentralen Universitätsverwaltung, insbesondere
unter besonderer Berücksichtigung des Datenverarbeitungskonzeptes der Humboldt-Universität zu
Berlin, führt zu einem verstärkten Austausch zwischen dem Wissenschaftsbereich und dem
Verwaltungsbereich. Waren die Daten bislang überwiegend zu Zwecken der (übertragenen)
Studentenverwaltung und zu empirischen Forschungen notwendig, so ist die Bedeutung und neue Zielsetzung
aufgrund der qualitativen und quantitativen Entwicklung der automatisierten elektronischen Datenverarbeitung
nicht absehbar. Da es allerdings, auch unter der Berücksichtigung des § 30 BlnDSG, kein
Wissenschaftsprivileg gibt, ist der behördliche Datenschutzbeauftragte aufgrund seiner Kontrollkompetenz aus § 5
BlnDSG ein Ansprechpartner, um im Vorfeld eine Beanstandung aus datenschutzrechtlicher Sicht
auszuschließen. Eine Vielzahl von Wissenschaftlern bedient sich bereits dieses Dienstes.
Personenbezogene Daten sind zu sperren und unverzüglich zu löschen, wenn der Zweck, für
den sie erhoben wurden, erreicht ist. Ferner sind sie zu sperren und zu löschen, wenn sie rechtswidrig
erhoben wurden bzw. ihre Richtigkeit berechtigterweise bestritten wird (§ 17 BlnDSG).
Resümee und Zielsetzung
Auf dem Gebiet des Datenschutzes und der Datensicherheit hat die Humboldt-Universität zu Berlin in der
Hochschullandschaft des Landes Berlin eine Vorreiterrolle übernommen. Dies gilt zunächst
allerdings nur für die Aufarbeitung von Altfällen sowie die Einzelfallösungen in den
Bereichen Wissenschaft und Forschung bzw. Verwaltung. Ausschlaggebend für diesen Erfolg ist das
Bekennen der Universitätsleitung zum Datenschutz sowie die konsequente Durchsetzung von Anregungen
des behördlichen Datenschutzbeauftragten durch die Universitätsleitung, die Fakultäten und
die Abteilungsleiter bzw. Direktoren selbständiger Einrichtungen innerhalb der Universität. Gerade
im Bereich der IT-Sicherheitstechnik wollen wir den Vorsprung ausbauen und die Vorbildfunktion festigen.
Diesen Zielen dient vorrangig das Pilotprojekt Verwaltungsnetz, in dem eine ausgewählte Anzahl an
Teilnehmern unter Auflagen den "Ernstfall" probt. Dies geschieht selbstverständlich ohne
sensible personenbezogene Daten, da erst die Ergebnisse dieses Pilotprojektes uns die Möglichkeiten einer
effektiven Datensicherheit und damit auch eines effektiven Datenschutzes aufzeigen können. Bis dahin
wird noch eine Vielzahl von organisatorischen Regelungen zu treffen sein, da bisher nur Einzelfallösungen
gefällt wurden. Entsprechende grundsätzliche Dienstanweisungen und Dienstvereinbarungen fehlen
bislang an der Humboldt-Universität zu Berlin fast gänzlich (und nicht nur an der HUB, sondern in
allen Verwaltungen des Landes Berlin). Insbesondere auf den im Artikel "Anwendung im Rechnernetz der
zentralen Universitätsverwaltung" (RZ-Mitteilungen, Nr.8) genannten Gebieten fehlt es entgegen der
Auffassung der Autorin an jeglicher organisatorischer Regelung. Mit den wenigen Regelungen, die bislang
getroffen wurden, können nicht einmal in kleinen Organisationseinheiten die Datensicherheit und der
situationsspezifische Datenschutz gewährleistet werden, wie ich bereits in meinem Jahresbericht 1993
festgestellt habe und auch im Jahre 1994 bei einer Vielzahl von Begehungen zur Kenntnis nehmen mußte.
Dementsprechend habe ich bei der Planung für das Jahr 1995 einen Schwerpunkt auf diesen Bereich
gelegt. Ich werde unter der Berücksichtigung der anderen Bundesländer Empfehlungen entwerfen und
mit den Abteilungsleitern diskutieren, damit universitätsweit einheitliche datenschutzkonforme und
praktikable Regelungen geschaffen werden. Dies gilt nicht nur für die Verwaltung, sondern im besonderen
Maße für die Fakultäten. Als Beispiel sei hier nur die Problematik der sogenannten
"Anwesenheitslisten" und deren Unterarten genannt. Dieses Thema soll aber einem weiteren Beitrag
an dieser Stelle vorbehalten bleiben.
Für Rückfragen und Anregungen stehe ich gerne unter der Telefonnummer 2093 2591 zur
Verfügung.
André Kuhring*
* Herr Kuhring ist der Datenschutzbeauftragte der Humboldt-Universität.