Hochschul- und Verwaltungsdatenschutz

Der Begriff „öffentliche Stelle" wird in den Landesdatenschutzgesetzen unterschiedlich definiert; sachlich besteht jedoch weitgehend Übereinstimmung. Erfasst sind Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Landes, der Gemeinden, der Verbandsgemeinden, der Landkreise sowie sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts. Hochschulen sind danach öffentliche Stellen des jeweiligen Landes (in Sachsen-Anhalt: § 2 Abs. 2 DSAG LSA i. V. m. § 54 HSG LSA).

Aus dieser Einordnung ergibt sich eine Reihe von Besonderheiten, die im Folgenden dargestellt werden – sie betreffen Rechtsgrundlage, Aufsicht, Beschäftigtendatenschutz, Forschung sowie Sanktionsregime.

Für öffentliche Stellen einer Hochschule wirken drei Normebenen zusammen. Die DSGVO ist unmittelbar geltendes Unionsrecht (Art. 288 AEUV); nationales Recht kann sie weder verdrängen noch ersetzen, sondern nur dort konkretisieren, wo die DSGVO eine Öffnungsklausel vorsieht – insbesondere Art. 6 Abs. 2 und 3, Art. 9 Abs. 2 und 4 sowie Art. 88 DSGVO. Innerhalb dieses unionsrechtlich eröffneten Korridors gilt für die Auswahl der nationalen Rechtsgrundlage der Grundsatz lex specialis derogat legi generali: Vor der Generalklausel des § 4 DSAG LSA ist zunächst die hochschulspezifische Norm § 119 HSG LSA zu prüfen.

1. DSGVO als unionsrechtlicher Rahmen Die Grundsätze der Verarbeitung (Art. 5), die Rechtsgrundlagen (Art. 6, 9), die Pflichten des Verantwortlichen (Art. 24–32), die Meldepflichten bei Datenpannen (Art. 33, 34) und die Vorschriften zum Drittlandtransfer (Art. 44 ff.) gelten unmittelbar und in jedem Fall. Für öffentliche Stellen kommt als Rechtsgrundlage regelmäßig Art. 6 Abs. 1 lit. e DSGVO in Betracht; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) ist für die Verarbeitung durch Behörden in Erfüllung ihrer Aufgaben ausdrücklich nicht anwendbar (Art. 6 Abs. 1 UAbs. 2 DSGVO). Art. 5, 6, 9, 24–32, 33–34, 44 ff. DSGVO; Art. 6 Abs. 1 UAbs. 2 DSGVO
2. HSG LSA als hochschulspezifische Lex Specialis § 119 Abs. 1 HSG LSA ist die hochschulspezifische Datenschutznorm. Sie ermächtigt die Hochschule, von Bewerberinnen, Studierenden, Prüflingen, Mitgliedern und Angehörigen sowie Nutzern wissenschaftlicher Einrichtungen diejenigen personenbezogenen Daten zu verarbeiten, die für die in der Norm aufgeführten Zwecke erforderlich sind (u. a. Zulassung, Immatrikulation, Rückmeldung, Beurlaubung, Exmatrikulation, Teilnahme an Lehrveranstaltungen und Prüfungen). Sie wirkt i. S. d. Art. 6 Abs. 1 lit. e DSGVO als spezifische Aufgabennorm und ist vor dem Rückgriff auf die landesrechtliche Generalklausel zu prüfen. § 119 Abs. 1 HSG LSA i. V. m. Art. 6 Abs. 1 lit. e DSGVO
3. DSAG LSA als landesrechtliche Lex Generalis § 4 DSAG LSA ist die allgemeine Rechtsgrundlage für Verarbeitungen durch öffentliche Stellen Sachsen-Anhalts. Er greift subsidiär – also dann, wenn eine speziellere landesrechtliche Norm wie § 119 HSG LSA nicht einschlägig ist oder die Tragfähigkeit im Einzelfall zweifelhaft erscheint. Daneben enthält das DSAG LSA für einzelne Bereiche eigene Spezialregelungen, etwa § 8 für die optisch-elektronische Beobachtung (Videoüberwachung), § 26 für die Personalaktenführung und § 27 für die Forschungsklausel. §§ 4, 8, 26, 27 DSAG LSA

Diese Prüfreihenfolge entspricht der Aufsichtspraxis der Landesbeauftragten für den Datenschutz Sachsen-Anhalt. In einer Stellungnahme gegenüber den Datenschutzbeauftragten der Hochschulen des Landes hat die Behörde ausdrücklich klargestellt: „Bevor jedoch auf § 4 DSAG LSA als allgemeine Rechtsgrundlage zurückgegriffen wird, ist zunächst die vorrangige Anwendbarkeit von speziellen Normen zu prüfen. Hier käme ggf. § 119 Abs. 1 HSG LSA in Betracht."

Das BDSG findet auf landesrechtliche öffentliche Stellen im Regelfall keine Anwendung. Eine Ausnahme regelt § 2 Abs. 7 Nr. 1 DSAG LSA für öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen; insoweit gelten – mit Ausnahme der §§ 5 bis 16 und 38 BDSG – die für nicht öffentliche Stellen geltenden BDSG-Vorschriften. Vor jeder Argumentation, die sich auf BDSG-Normen stützen will, ist die Anwendbarkeit gesondert zu prüfen.

Die DSGVO bietet sechs gleichrangige Rechtsgrundlagen (Art. 6 Abs. 1 lit. a–f). Für öffentliche Stellen sind im Hochschul- und Verwaltungsalltag insbesondere folgende Konstellationen praxisrelevant:

Der Beschäftigtendatenschutz an einer öffentlichen Hochschule wird durch ein Geflecht aus Art. 88 DSGVO als Öffnungsklausel, Art. 6 Abs. 1 DSGVO als Erlaubnisgrundlage, beamten- und tarifrechtlichen Spezialnormen, dem PersVG LSA und nur drei eng zugeschnittenen Sondertatbeständen des § 26 DSAG LSA geprägt. Drei Eckpunkte sind in der Hochschulpraxis besonders bedeutsam:

• Keine Generalklausel: § 26 DSAG LSA regelt nur Personalaktenführung, Eignungsuntersuchungen und die GenDG-Anwendung. Außerhalb dieser Sondertatbestände folgt die Rechtsgrundlage unmittelbar aus Art. 6 Abs. 1 lit. b oder lit. e DSGVO i. V. m. der einschlägigen beamten- oder tarifrechtlichen Norm. § 26 BDSG ist für Landesbedienstete an Landeshochschulen nicht anwendbar.
• Mitbestimmung des Personalrats: Datenschutzrelevante Maßnahmen mit Beschäftigtenbezug (technische Einrichtungen, IT-Systeme, automatisierte Verfahren) unterliegen regelmäßig der Mitbestimmung nach § 69 Nr. 1 und Nr. 2 PersVG LSA, soweit keine gesetzliche oder tarifliche Regelung entgegensteht (§ 69 Einleitungssatz PersVG LSA). Die Einbindung muss vor Inbetriebnahme erfolgen.
• Einwilligung als Ausnahme: Wegen des strukturellen Über-/Unterordnungsverhältnisses ist die Freiwilligkeit nach Erwägungsgrund 43 DSGVO regelmäßig nicht gewahrt; tragfähig nur in eng begrenzten, tatsächlich freiwilligen Konstellationen (vgl. Themenseite Einwilligungserklärungen).

Eine zusammenhängende Darstellung – einschließlich Rechtsgrundlagen-Tabelle, Personalaktenführung nach LBG LSA, Krankheitsdaten und BEM nach § 167 SGB IX, Beschäftigten-Tracking, KI im HR-Bereich (Anhang III KI-VO) und Schnittstelle zum Hinweisgeberschutz – findet sich auf der eigenen Themenseite Beschäftigtendatenschutz an Hochschulen.

Forschungsverarbeitungen genießen unter den Voraussetzungen des Art. 89 DSGVO besondere Privilegien – insbesondere für die Verarbeitung besonderer Kategorien (Art. 9 Abs. 2 lit. j DSGVO). Die landesrechtliche Ausfüllung erfolgt etwa in § 27 DSAG LSA.

Folgende Aspekte werden in der Praxis empfohlen, sorgfältig zu dokumentieren:

• Aufnahme der Forschungsverarbeitung in das Verarbeitungsverzeichnis (Art. 30 DSGVO).
• Pseudonymisierung mit getrennter Schlüsselverwaltung als zentrale Schutzmaßnahme.
• Klare Trennung zwischen Forschungsverarbeitung und administrativer Verarbeitung der gleichen Person.
• Prüfung der DSFA-Pflicht (Art. 35 DSGVO) bei umfangreicher Verarbeitung besonderer Kategorien.
• Information der Betroffenen nach Art. 13 oder 14 DSGVO; Beachtung der Ausnahmen des Art. 14 Abs. 5 lit. b DSGVO bei wissenschaftlichen Forschungszwecken.
• Einbindung der Ethikkommission, soweit nach Hochschulrecht oder Berufsrecht erforderlich.

Zuständige Aufsichtsbehörde für öffentliche Stellen ist die jeweilige Landesaufsichtsbehörde – in Sachsen-Anhalt die Landesbeauftragte für den Datenschutz Sachsen-Anhalt (LfD LSA). Sie nimmt die in Art. 57 DSGVO genannten Aufgaben wahr und kann die in Art. 58 DSGVO geregelten Befugnisse ausüben.

Folgende Konstellationen sind besonders relevant:

• Beschwerden Betroffener (Art. 77 DSGVO): Die Aufsichtsbehörde nimmt Beschwerden entgegen und untersucht sie. Es wird empfohlen, eingehende Anfragen zeitnah und vollständig zu beantworten – schon die Bearbeitungszeit wirkt sich auf das Aufsichtsbild aus.
• Meldepflichten bei Datenpannen (Art. 33 DSGVO): Innerhalb von 72 Stunden ab Kenntnis, sofern kein geringes Risiko besteht. Empfehlung: Strukturierter interner Meldeprozess mit klaren Fristen, Verantwortlichkeiten und Eskalationswegen.
• Vorherige Konsultation (Art. 36 DSGVO): Bei voraussichtlich hohem Restrisiko nach DSFA. Vertiefung auf der Themenseite DSFA.
• Anlassunabhängige Prüfungen (Art. 58 Abs. 1 lit. b DSGVO): Können jederzeit erfolgen. Es wird empfohlen, Verarbeitungsverzeichnis, DSFA-Dokumentation, AVV-Verträge, TOM-Anlagen und Schulungsnachweise jederzeit vorlegbar zu halten.

Nach Art. 83 Abs. 7 DSGVO obliegt es dem Mitgliedstaat festzulegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden dürfen. Sachsen-Anhalt hat von dieser Öffnungsklausel Gebrauch gemacht: § 31 Abs. 2 Satz 1 DSAG LSA schließt die Verhängung von Geldbußen gegen die öffentlichen Stellen des Landes aus. Eine Rückausnahme regelt § 31 Abs. 2 Satz 2 DSAG LSA für öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen – insoweit bleibt die Verhängung von Geldbußen möglich.

Daraus folgt jedoch kein sanktionsfreies Handeln. Bei Verstößen kommen insbesondere in Betracht:

• Behördliche Anordnungen oder Untersagungen nach Art. 58 Abs. 2 DSGVO.
• Schadensersatzansprüche Betroffener nach Art. 82 DSGVO.
• Reputationsschäden, die in der öffentlichen Wahrnehmung empfindlich wirken können.
• Disziplinarrechtliche Konsequenzen für einzelne Beschäftigte.
• Strafrechtliche Verantwortlichkeit nach § 33 DSAG LSA i. V. m. § 32 Abs. 1 DSAG LSA für jede Person, die bei einer öffentlichen Stelle Sachsen-Anhalts oder bei deren Auftragsverarbeiter dienstlichen Zugang zu nicht allgemein zugänglichen personenbezogenen Daten hat oder hatte; § 42 BDSG bleibt bei Verarbeitungen mit Bezug zum Bundesrecht unberührt.

Die folgenden Punkte begegnen in der Praxis öffentlicher Stellen besonders häufig und werden zur Sensibilisierung empfohlen:

1. Berechtigtes Interesse als Rechtsgrundlage gewählt: Art. 6 Abs. 1 lit. f DSGVO gilt nach Art. 6 Abs. 1 UAbs. 2 DSGVO nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Wird diese Rechtsgrundlage für eine behördliche Verarbeitung herangezogen, ist sie neu zu bestimmen.
2. Pauschale Berufung auf das öffentliche Interesse: Eine Verarbeitung allein mit dem Schlagwort „öffentliches Interesse" zu begründen, reicht nicht aus. Art. 6 Abs. 1 lit. e DSGVO verlangt die Benennung einer konkreten gesetzlichen Aufgabennorm.
3. BDSG-Normen als Rechtsgrundlage: § 26 BDSG und andere bundesrechtliche Datenschutznormen finden auf Landesbehörden im Regelfall keine Anwendung. Vor jedem Rückgriff ist die landesrechtliche Anwendbarkeit zu prüfen.
4. Einwilligung als Standardlösung: Im öffentlich-rechtlichen Verhältnis ist die Freiwilligkeit einer Einwilligung wegen des strukturellen Machtungleichgewichts häufig nicht gewahrt. Vorrangig sind die einschlägigen Aufgabennormen zu prüfen.
5. Keine landesrechtliche Forschungsklausel berücksichtigt: Bei Forschungsverarbeitungen ist die landesrechtliche Forschungsnorm (etwa § 27 DSAG LSA in Sachsen-Anhalt) gesondert in die Rechtmäßigkeitsprüfung einzubeziehen.
6. Datenpannen werden nicht systematisch erfasst: Für Datenpannen ist nach Art. 33 Abs. 5 DSGVO eine interne Dokumentation verpflichtend – auch dann, wenn keine Meldung an die Aufsichtsbehörde erfolgt. Ein klar geregelter interner Meldeprozess ist deshalb zwingend.
7. Bußgeldausschluss missverstanden: Aus dem Bußgeldausschluss nach § 31 DSAG LSA folgt nicht, dass Verstöße konsequenzlos bleiben. Es wird empfohlen, weiterhin alle Sicherheits- und Compliance-Maßnahmen mit derselben Sorgfalt umzusetzen.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 6 Abs. 1 lit. e und Abs. 1 UAbs. 2 (Öffnungsklausel); Art. 83 Abs. 7 (Bußgeldoption für öffentliche Stellen).
• Datenschutz-Grundverordnungs-Ausfüllungsgesetz Sachsen-Anhalt (DSAG LSA) – insb. § 4 (Zulässigkeit der Verarbeitung); § 27 (Forschungs- und Statistikklausel); § 31 (Anwendung der Vorschriften über das Bußgeld- und Strafverfahren / Bußgeldausschluss).
• Hochschulgesetz Sachsen-Anhalt (HSG LSA) – insb. § 3 (Aufgaben); § 23 (Aufgaben der Forschung); § 119 (Datenschutz).

Rechtsprechung

• EuGH, Urteil v. 30.03.2023 – C-34/21 (Hauptpersonalrat der Lehrer beim Hessischen Kultusministerium) – Anforderungen an mitgliedstaatliche Öffnungsklauseln nach Art. 88 DSGVO.

Aufsichtspraxis

• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.
• LfD Sachsen-Anhalt, Tätigkeitsberichte – jährlich veröffentlichte Berichte mit hochschulrelevanten Konstellationen und aufsichtsbehördlichen Hinweisen.
• DSK, Beschlüsse und Orientierungshilfen – konsolidierte Aufsichtspraxis von Bund und Ländern, mit eigenständigen Listen für die jeweiligen Dokumenttypen.

Querverweise auf eigene Themenseiten

• Beschäftigtendatenschutz an Hochschulen – vertiefende Anker-Seite zu Art. 88 DSGVO, § 26 DSAG LSA, Personalakten, BEM, Beschäftigten-Tracking, KI im HR-Bereich und Hinweisgeberschutz.
• Forschungszweck – Privilegierungen für die wissenschaftliche Forschung.
• Microsoft 365 an öffentlichen Hochschulen – zentrale Diensteinführung im Hochschulkontext.
• Mailinglisten – Kommunikationsdienste an öffentlichen Stellen.
• Einwilligung (Art. 7 DSGVO) – Einwilligung im öffentlich-rechtlichen Verhältnis.