Exportkontrolle und Datenschutz an Hochschulen

Exportkontrolle bedeutet die staatliche Aufsicht über die Ausfuhr und Verbringung von Gütern, Technologien und Software, die für militärische oder rüstungsrelevante Zwecke nutzbar sind. Anders als der Begriff „Export" vermuten lässt, betrifft das nicht nur den klassischen Warenverkehr: Erfasst sind auch immaterielle Übertragungen – Übermittlung technischer Unterlagen, Cloud-Zugriffe, mündliche Weitergabe von Wissen. An Hochschulen kommt das Thema typischerweise an drei Stellen zur Sprache:

• Forschungskooperationen mit Partnern aus Drittländern, insbesondere mit Personenbezug zu sanktionierten Staaten.
• Auslandsaufenthalte von Beschäftigten und Studierenden – Konferenzteilnahmen, Forschungsaufenthalte, Lehrkooperationen.
• Aufnahme neuer Mitglieder (Beschäftigte, Studierende, Gäste) mit Staatsangehörigkeit aus Embargostaaten oder mit Bezügen zu sanktionierten Einrichtungen.

Hochschulen sind als Forschungseinrichtungen weder vom Anwendungsbereich des Außenwirtschaftsrechts noch von den EU-Sanktionsverordnungen ausgenommen. Sie sind in der Pflicht, organisatorische und technische Vorkehrungen zu treffen, um sanktions- und exportkontrollrechtliche Verstöße zu verhindern. Genau diese Pflicht steht in einem natürlichen Spannungsverhältnis zum Datenschutz: Die zentrale Erfassung der Staatsangehörigkeit aller Mitglieder einer Hochschule berührt die Grundsätze von Zweckbindung, Datenminimierung und Verhältnismäßigkeit in mehrfacher Hinsicht.

Verordnung (EU) 2021/821 vom 20.05.2021 (EU-Dual-Use-VO); Außenwirtschaftsgesetz (AWG); Außenwirtschaftsverordnung (AWV); einschlägige EU-Sanktionsverordnungen, etwa Verordnung (EU) Nr. 833/2014

Der exportkontrollrechtliche Rahmen besteht für deutsche Hochschulen aus drei Ebenen: dem Unionsrecht (Dual-Use-VO 2021/821 und sektorbezogene Sanktionsverordnungen), dem Außenwirtschaftsgesetz (AWG) auf Bundesebene und der Außenwirtschaftsverordnung (AWV) als untergesetzliche Konkretisierung.

Wichtig für die spätere datenschutzrechtliche Bewertung: Diese Vorschriften begründen keine generelle Pflicht, die Staatsangehörigkeit aller Mitglieder einer Hochschule zentral zu erfassen. Sie verlangen, dass einzelne sanktions- oder exportkontrollrelevante Vorgänge geprüft und dokumentiert werden. Welche datenbezogenen Maßnahmen daraus folgen, ist eine Frage der Erforderlichkeit und Verhältnismäßigkeit (siehe Abschnitt 05).

Verordnung (EU) 2021/821 vom 20.05.2021, ABl. L 206 vom 11.06.2021, S. 1; AWG vom 06.06.2013 (BGBl. I S. 1482); AWV vom 02.08.2013 (BGBl. I S. 2865); BAFA, Merkblatt „Wissenschaft – Forschung – Lehre", abrufbar über bafa.de

Nicht jede Auslandsbeziehung einer Hochschule ist exportkontrollrechtlich relevant. Drei Konstellationen bilden den praxisrelevanten Kern; sie sollten in einer hochschulinternen Exportkontrollrichtlinie ausdrücklich adressiert sein.

Die akademische Lehre und allgemein zugängliche Forschungsinhalte sind vom Anwendungsbereich grundsätzlich ausgenommen. Anhang I der Dual-Use-VO enthält in der „Allgemeinen Technologie-Anmerkung" Ausschlussklauseln für „grundlegende wissenschaftliche Forschung" und „im öffentlichen Bereich verfügbare Technologie". Der Verbreitungsausschluss gilt, soweit die Information ohne Einschränkung zugänglich ist – etwa über Bibliotheken, Veröffentlichungen, offene Lehrveranstaltungen oder allgemein zugängliche Online-Datenbanken.

Diese Ausnahme verkleinert den Anwendungsbereich erheblich. Sie hat unmittelbare Auswirkungen auf die datenschutzrechtliche Bewertung – insbesondere für Universitätsbibliotheken (siehe Abschnitt 09).

Anhang I der Verordnung (EU) 2021/821, Allgemeine Technologie-Anmerkung; konsolidierte EU-Sanktionsliste, abrufbar über sanctionsmap.eu; BAFA, Merkblatt „Wissenschaft – Forschung – Lehre"

Die zentrale Schnittstelle zwischen Exportkontrolle und Datenschutz ist das Datenfeld Staatsangehörigkeit. Aus exportkontrollrechtlicher Sicht ist es ein praxistauglicher erster Indikator: Die Sanktionsverordnungen wirken länderbezogen, und für die Anwendung mancher Genehmigungstatbestände ist die Staatsangehörigkeit der beteiligten Personen relevant. Aus datenschutzrechtlicher Sicht ist es ein personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO, für dessen Verarbeitung eine Rechtsgrundlage erforderlich ist.

Klarstellung am Rande: Die Staatsangehörigkeit ist keine besondere Kategorie personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dieser schützt nach seinem Wortlaut Daten zur „rassischen und ethnischen Herkunft" (Terminologie der Norm) – die Staatsangehörigkeit ist davon zu unterscheiden. Sie ist ein „normales" personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO und unterliegt damit dem allgemeinen Schutzregime; eine Argumentation, die die Erforderlichkeit unter Berufung auf Art. 9 erschwert, steht auf unsicherem Boden.

Damit verschiebt sich die Bewertung auf das übliche Prüfungsraster: Welche Rechtsgrundlage trägt? Ist die Verarbeitung erforderlich? Welche Maßnahmen wären datenschutzfreundlicher umsetzbar? Werden die Betroffenen korrekt informiert, insbesondere wenn ein bisher nicht ausgewiesener Zweck hinzukommt?

Für öffentliche Hochschulen kommt als Rechtsgrundlage in Betracht: Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit der jeweiligen landesrechtlichen Aufgabennorm; in Sachsen-Anhalt insbesondere § 3 HSG LSA (Aufgabenkanon) und § 119 HSG LSA (hochschulrechtliche Datenverarbeitung). Daneben wird in der außenwirtschaftsrechtlichen Compliance-Praxis und Literatur teilweise auch Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) herangezogen. Welche Buchstabenvariante einschlägig ist, ist umstritten.

Der Streitpunkt liegt nicht in der Frage „lit. c oder lit. e", sondern in den Anforderungen aus Art. 6 Abs. 3 DSGVO: Die Rechtsgrundlage muss den Zweck der Verarbeitung „klar und präzise" festlegen (so ausdrücklich auch Erwägungsgrund 41 DSGVO). Die EU-Dual-Use-VO 2021/821, das AWG/AWV und die Sanktionsverordnungen kennen Aufzeichnungs- und Listenabgleich-Pflichten, enthalten aber keine ausdrückliche Pflicht zur pauschalen Vorab-Erfassung der Staatsangehörigkeit aller Hochschulmitglieder. Ob eine mittelbar aus dem Außenwirtschaftsrecht abgeleitete Erforderlichkeit Art. 6 Abs. 1 lit. c DSGVO trägt, hängt damit wesentlich von der konkreten Verarbeitungsform ab – Vollerhebung über alle Mitglieder gegenüber anlassbezogener Erfassung. Vertiefend dazu Abschnitt 06.

Art. 4 Nr. 1, Art. 6 Abs. 1 lit. c, Art. 6 Abs. 1 lit. e, Art. 6 Abs. 3, Art. 9 Abs. 1 DSGVO; ErwGr 41 DSGVO; § 3, § 119 HSG LSA; § 4 DSAG LSA

Im Zentrum der datenschutzrechtlichen Diskussion steht regelmäßig die Frage: Muss die Staatsangehörigkeit aller Hochschulmitglieder zentral erfasst werden, obwohl die exportkontrollrechtlichen Pflichten nur einen kleinen Teil tatsächlich betreffen? Die Antwort darauf entscheidet sich an drei klassischen Datenschutzdogmen.

Hinzu kommt der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO: Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke" verarbeitet werden. Wird die Staatsangehörigkeit ursprünglich für die Personalverwaltung oder die Studierendenverwaltung erhoben, ist eine Übertragung in ein zentrales Identitätsmanagementsystem zum Zweck der Exportkontrolle eine Weiterverarbeitung für einen neuen Zweck. Sie ist nicht per se unzulässig, löst aber zusätzliche Pflichten aus (siehe Abschnitt 07).

Die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO verlangt zudem, dass die Daten nur so lange aufbewahrt werden, wie sie für den Zweck erforderlich sind. Eine Aufbewahrungsfrist von fünf Jahren – in der Praxis manchmal mit Verweis auf BAFA-Vorgaben begründet – ist nicht ohne Weiteres übertragbar, weil die BAFA-Aufbewahrungsfristen für konkrete exportkontrollrechtliche Vorgänge gelten, nicht für die Stammdaten in einem Identitätsmanagementsystem.

Art. 5 Abs. 1 lit. b, c und e, Art. 6 Abs. 1, Art. 6 Abs. 4 DSGVO; § 4 Abs. 1 DSAG LSA; ErwGr 39 DSGVO

Art. 5 Abs. 1 lit. c DSGVO verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind. Im Exportkontroll-Kontext bedeutet das konkret: Reicht für den ersten Filterschritt das Kennzeichen „EU-Bürger: ja/nein", oder muss tatsächlich die vollständige Staatsangehörigkeit gespeichert werden?

Eine Entscheidung gegen die datenschutzfreundliche Variante muss begründbar sein. „Operative Erwägungen" allein dürften regelmäßig nicht ausreichen, weil die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO ein gesetzlicher Grundsatz ist – nicht ein betriebswirtschaftliches Optimum. Empfohlen wird, die Entscheidung samt Begründung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.

Art. 5 Abs. 1 lit. c und Abs. 2, Art. 25 Abs. 2, Art. 30 DSGVO

Wird die Staatsangehörigkeit ursprünglich in der Personal- oder Studierendenverwaltung erhoben und anschließend in ein zentrales Identitätsmanagementsystem zum Zweck der Exportkontrolle übertragen, liegt eine Weiterverarbeitung für einen neuen Zweck im Sinne von Art. 6 Abs. 4 DSGVO vor. Auf Landesebene Sachsen-Anhalts ist die Zweckänderung in § 7 Abs. 2 DSAG LSA bereichsspezifisch ausgeformt. Sie ist zulässig, soweit der neue Zweck mit dem ursprünglichen Zweck vereinbar ist; die DSGVO nennt in Art. 6 Abs. 4 DSGVO fünf Bewertungsfaktoren.

Selbst wenn die Vereinbarkeit zu bejahen ist, ist die Weiterverarbeitung nicht „bewertungsneutral". Sie löst insbesondere eine Informationspflicht nach Art. 13 Abs. 3 DSGVO aus: Die betroffene Person ist aktiv über den neuen Zweck zu unterrichten, bevor die Daten zu diesem Zweck weiterverarbeitet werden.

Ausnahmen von der Informationspflicht sind eng auszulegen. Auf Landesebene Sachsen-Anhalts kommen insbesondere § 7 Abs. 4 DSAG LSA (Gefährdung des Verarbeitungszwecks) und § 10 Abs. 1 DSAG LSA (öffentliche Sicherheit, Strafverfolgung, Geheimhaltung) in Betracht. Beide Ausnahmen greifen für den Regelfall der Exportkontrolle nicht: Die Information der Betroffenen über die Verarbeitung ihrer Staatsangehörigkeit gefährdet weder den Zweck der Exportkontrolle noch löst sie ein Geheimhaltungsbedürfnis aus.

Auch die Ausnahme nach Art. 13 Abs. 4 DSGVO greift regelmäßig nicht: Sie befreit von der Informationspflicht nur dann, wenn die Betroffenen bereits über die maßgeblichen Informationen verfügen. Wenn der Zweck „Exportkontrolle" bisher nicht Bestandteil der Datenschutzhinweise war, sind die Betroffenen gerade nicht vorinformiert; die Informationspflicht muss daher aktiv erfüllt werden.

Art. 6 Abs. 4, Art. 13 Abs. 3, Art. 13 Abs. 4 DSGVO; § 7 Abs. 2 (Zweckänderung) und Abs. 4, § 10 Abs. 1 DSAG LSA

Die aktive Informationspflicht nach Art. 13 Abs. 3 DSGVO ist eine Bringschuld des Verantwortlichen. Drei Umsetzungswege haben sich in der Hochschulpraxis herausgebildet; sie unterscheiden sich erheblich in Aufwand, Reichweite und datenschutzrechtlicher Belastbarkeit.

In der Praxis hat sich die Kombination aus Variante A oder B mit ergänzender Variante C bewährt. Variante C allein reicht regelmäßig nicht; sie kann allenfalls eine erkennbar gewordene Verzögerung der aktiven Information kompensieren – aber nicht die Pflicht selbst erfüllen.

Art. 13 Abs. 1, Abs. 2, Abs. 3 DSGVO; § 9 ArchivG LSA i. V. m. § 12 Abs. 2 DSAG LSA

Universitätsbibliotheken nehmen in der Exportkontroll-Diskussion eine besondere Stellung ein. Die Praxis-Frage lautet typischerweise: Muss die Bibliothek die Staatsangehörigkeit ihrer externen Nutzenden – Stadtbürgerinnen und Stadtbürger, Wissenschaftlerinnen und Wissenschaftler aus anderen Einrichtungen, Schülerinnen und Schüler – erfassen, um exportkontrollrechtlichen Pflichten zu genügen?

Hinzu kommt eine Frage der Aufbewahrungsfrist. Die fünfjährige BAFA-Aufbewahrungsfrist gilt für exportkontrollrechtlich relevante Vorgänge (Ausfuhr- genehmigungen, Genehmigungsakten). Sie ist auf Bibliotheksanmeldedaten nicht übertragbar – bei der Bereitstellung allgemein zugänglicher Literatur entsteht kein solcher Vorgang. Die übliche Anmeldedaten-Aufbewahrung in einer Bibliothek folgt eigenen Regeln (Vertragsdauer plus Verjährung etwaiger Vermögensansprüche, regelmäßig drei bis sechs Jahre nach BGB), nicht dem Außenwirtschaftsrecht.

Die saubere Antwort ist daher in aller Regel: Keine Erfassung der Staatsangehörigkeit aller Bibliotheksnutzenden. Wenn ein Spezialbestand mit Dual-Use-Bezug existiert (z. B. ein Spezialarchiv mit kryptografischer Literatur oder militärtechnologischen Forschungsberichten), ist eine Spezialregelung für diesen Bestand der angemessene Weg – nicht die Vollerfassung über alle Nutzenden hinweg.

Art. 5 Abs. 1 lit. b und c, Art. 6 Abs. 1 lit. b und e DSGVO; Verordnung (EU) 2021/821, Anhang I Allgemeine Technologie-Anmerkung; §§ 195, 199 BGB

Wo die Erfassung der Staatsangehörigkeit dem Grunde nach zulässig ist, bleibt die Frage, wer auf das Datenfeld zugreifen darf. Art. 32 Abs. 1 lit. b DSGVO verlangt geeignete technische und organisatorische Maßnahmen, um die Vertraulichkeit zu gewährleisten – das Need-to-know-Prinzip.

Aus der Erfahrung heraus ist die Reduktion der Berechtigten der Punkt mit dem größten Risikomanagement-Effekt. Eine Voll-Lese-Berechtigung über das Datenfeld „Staatsangehörigkeit" für 30 oder mehr Personen, die mit der allgemeinen Benutzerverwaltung betraut sind, lässt sich datenschutzrechtlich selten rechtfertigen – die wenigen Personen, die für die Exportkontrollprüfung tatsächlich Zugriff brauchen, sind klar abzugrenzen.

Art. 32 Abs. 1 lit. b DSGVO; § 69 Nr. 1 und Nr. 2 PersVG LSA; vgl. Themenseite TOMs

1. Vollerfassung als Standard: Die Staatsangehörigkeit aller Hochschulmitglieder zu speichern, weil es „einfacher" sei, ist datenschutzrechtlich kein tragfähiges Argument. Der Grundsatz der Datenminimierung ist gesetzlich vorgegeben; eine Begründung mit operativer Bequemlichkeit dürfte regelmäßig nicht standhalten.
2. Verwechslung Sanktionsliste und Staatsangehörigkeit: Die Sanktionsverordnungen wirken länderbezogen und personenbezogen. Eine Stadtbürgerin mit drittstaatlicher Staatsangehörigkeit ist nicht automatisch sanktioniert; sanktioniert sind gelistete Personen. Der eigentliche Treffer entsteht über den Abgleich mit der konsolidierten EU-Sanktionsliste, nicht über die Staatsangehörigkeit als Solche.
3. BAFA-Aufbewahrungsfrist auf Stammdaten ausgeweitet: Die fünfjährige Aufbewahrungsfrist gilt für konkrete exportkontrollrechtliche Vorgänge, nicht für die Stammdaten in einem Identitätsmanagementsystem. Wer die Frist auf Stammdaten ausdehnt, dehnt damit auch die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO über das Erforderliche hinaus.
4. Staatsangehörigkeit als „besondere Kategorie": Eine Argumentation, die die Erforderlichkeit unter Berufung auf Art. 9 DSGVO erschwert, ist dogmatisch unsauber – die Staatsangehörigkeit ist kein Datum besonderer Kategorie. Das schwächt die Argumentation insgesamt; die Datenminimierung und die Verhältnismäßigkeit tragen die Argumente ohne Art. 9-Bezug ohnehin.
5. Information übersehen: Wenn die Synchronisation in das zentrale System bereits produktiv geschaltet ist, bevor die Betroffenen informiert werden, besteht eine fortwirkende Informationspflicht – sie wird nicht durch reine Veröffentlichung auf der Website erfüllt. Eine aktive Information bleibt erforderlich.
6. Beratungspflicht der oder des Datenschutzbeauftragten ignoriert: Wenn die oder der Datenschutzbeauftragte gegen eine geplante Verarbeitung Bedenken äußert, ist das nicht ein Hinweis unter vielen, sondern Ausdruck der gesetzlichen Beratungspflicht aus Art. 39 Abs. 1 lit. a DSGVO. Ein Vetorecht hat sie oder er nicht. Eine Umsetzung der Verarbeitung trotz geäußerter Bedenken ist im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu dokumentieren und kann später von der Aufsichtsbehörde nachvollzogen werden.
7. Fehlender VVT-Eintrag: Eine neue Verarbeitungstätigkeit „Exportkontrolle" erfordert einen eigenen Eintrag im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO – nicht nur eine Ergänzung im Personalakten- oder Studierendenverwaltungs-Eintrag.
8. Pauschal alle Bibliotheksnutzenden erfassen: Allgemein zugängliche Literatur ist nicht Dual-Use. Ein gezieltes Spezialregime für einen einzelnen kontrollpflichtigen Bestand ist immer das mildere Mittel gegenüber einer Vollerfassung.
9. Sanktionslisten-Update nicht eingeplant: Sanktionslisten ändern sich häufig. Wer die Klassifikation der Mitglieder einmal vornimmt und dann nie wieder aktualisiert, läuft in das Gegenteil dessen, was er bezweckt – eine veraltete Klassifikation ist keine Compliance, sondern Risiko.
10. Mitbestimmung übersehen: Die Einführung eines Filtersystems mit Lesezugriff auf Beschäftigtendaten und Audit-Protokollen ist regelmäßig mitbestimmungspflichtig nach § 69 Nr. 1 und Nr. 2 PersVG LSA. Eine Vereinbarung mit der Personalvertretung gehört in den Roll-out-Plan.

Eine abschließende Bewertung, ob konkrete Verstöße vorliegen, obliegt der zuständigen Aufsichtsbehörde.