Datenschutz bei studentischen Arbeiten

Wer personenbezogene Daten verarbeitet, muss die rechtlichen Regelungen zum Datenschutz beachten. Diese Regelungen ergeben sich für uns an der Universität Münster insbesondere aus der Datenschutz-Grundverordnung (DSGVO). Die DSGVO gilt auch für Studierende. Beispielsweise, falls sie in einer Befragung für die Abschlussarbeit personenbezogene Daten erheben und auswerten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare, natürliche (lebende) Person beziehen. Also wenn es theoretisch möglich ist, eine Person anhand der Daten zu identifizieren. Beispiele für personenbezogene Daten sind Name, Geburtsort, IP-Adresse, Stimme, Handschrift, Fotos und -videos sowie auch DNA einer Person. Daten gelten auch als personenbezogen, wenn eine Person mit ihnen nur mittelbar identifiziert werden könnte, z. B. wenn man die Daten mit Hintergrundwissen oder Informationen aus anderen Quellen kombiniert.

Ob auch Ihr konkretes, studentisches Vorhaben in den Geltungsbereich der DSGVO fällt, können Sie mit unseren Hinweisen unten überprüfen. Ist dies der Fall, gilt es festzustellen, ob das Vorhaben im Namen der Universität als sogenannte „Verantwortliche“ für den Datenschutz durchzuführen ist, oder Sie selbst im Sinne des Datenschutzes die „verantwortliche“ Person sind. Wie Sie als verantwortliche Person den Datenschutz in der Praxis umsetzen, erfahren Sie unten auf dieser Seite.

Prüfschritt 1: Werden im Rahmen der Arbeit bzw. Studien- oder Prüfungsleistung personenbezogene Daten verarbeitet?

  • Ja: Weiter bei Prüfschritt 2.
  • Nein: Wenn keine personenbezogenen Daten verarbeitet werden, fällt die geplante Arbeit nicht unter den Geltungsbereich der datenschutzrechtlichen Vorschriften. Daher entfallen weitere Prüfschritte.

Prüfschritt 2: Soll an der Universität Münster mit den erhobenen Daten weiter geforscht oder auf andere Art gearbeitet werden?

  • Ja: In diesem Fall ist die Datenerhebung unter der Verantwortlichkeit der Universität durchzuführen. Die Universität ist ebenfalls für die spätere weitere Verarbeitung der Daten verantwortlich. Für die Verarbeitung der Daten im Rahmen Ihrer Arbeit sind Sie selbst verantwortlich. Was dabei zu beachten ist, können Sie weiter unten nachlesen.
  • Nein: Weiter bei Prüfschritt 3.

Prüfschritt 3: Beinhaltet die Aufgabenstellung die eigenständige Erhebung von Daten?

  • Ja: Wenn es Teil der Aufgabe ist, dass Sie Konzepte zur Datenerhebung und -auswertung erstellen und diese selbst durchführen, sind Sie datenschutzrechtlich verantwortlich.
  • Nein: Wenn die Studierenden z. B. gemeinsam mit den Lehrenden personenbezogene Daten erheben oder diese zur Verfügung gestellt bekommen, ist die Universität datenschutzrechtlich verantwortlich.

  • Was heißt es, selbst datenschutzrechtlich verantwortlich zu sein?

    Wenn die obenstehende Prüfung ergeben hat, dass Sie als die datenschutzrechtlich verantwortliche Person gelten, ergeben sich die folgenden maßgeblichen Rahmenbedingungen:

    • Die Datenerhebung muss im eigenen Namen erfolgen
      • Anschreiben an Probandinnen und Probanden, Aufforderungen zur Teilnahme an Umfragen, Datenschutz- sowie Einwilligungserklärungen etc. müssen Sie im eigenen Namen verfassen.
      • Briefkopf und Logo der Universität Münster dürfen Sie nicht verwenden.
      • Betreuende Personen, wie die Lehrenden der Universität, können Sie mit Begleitschreiben bei der Gewinnung von Studienteilnehmenden unterstützen. Diese Begleitschreiben dürfen Logo und Briefkopf der Universität verwenden. Es ist dabei deutlich zu machen, dass es sich bei dem Vorhaben um eine Arbeit von Studierenden handelt.
    • Da die Universität datenschutzrechtlich nicht zuständig ist, darf die Stabsstelle Datenschutz Sie nicht datenschutzrechtlich beraten.
    • Sie müssen die Sicherheit der Daten selbst durch technische und organisatorische Maßnahmen gewährleisten.
    • Sie müssen die Rechte der Personen beachten und wahren, deren Daten Sie verarbeiten.
    • Wenn ein Anbieter, wie z. B. ein Umfrage-Dienst, personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ggf. ein Auftragsverarbeitungsvertrag erforderlich. Diesen müssen Sie selbst in Ihrem eigenen Namen abschließen. In der Regel bieten die Anbieter dafür Muster an.

  • Wie setzt man als verantwortliche Person den Datenschutz um?

    Festlegen der Rechtsgrundlage

    Zunächst ist wichtig zu wissen, dass die DSGVO jede Verarbeitung von personenbezogenen Daten verbietet – es sei denn, es liegt ein sogenannter Erlaubnistatbestand aus dem Recht vor. Man benötigt also eine Rechtsgrundlage, die das Vorhaben erlaubt. Die in Frage kommenden Rechtsgrundlagen finden sich in Artikel 6 Absatz 1 der Datenschutzgrundverordnung (DSGVO).

    Bei studentischen Arbeiten sollten Sie sich stets auf die Einwilligung der betroffenen Personen als Rechtsgrundlage stützen. Wenn eine Person u. a. freiwillig und gut informiert (siehe unten "Informationspflicht und Datenschutzerklärung") einwilligt, ist die Verarbeitung ihrer personenbezogenen Daten gemäß Artikel 6 Absatz 1 lit. a DSGVO entsprechend erlaubt.

    Für sogenannte „besondere Kategorien personenbezogener Daten“ gilt zudem der Artikel 9 der DSGVO, der für diese Daten einen besonderen Schutz vorsieht. Gemeint sind damit folgende sensible Datenkategorien:

    • Daten, aus denen die Herkunft einer Person hervorgeht
    • politische Meinungen
    • religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
    • Genetische und biometrische Daten zur eindeutigen Identifizierung einer Person
    • Gesundheitsdaten
    • Daten zum Sexualleben oder der sexuellen Orientierung einer Person

    Wenn besondere Kategorien personenbezogener Daten verarbeitet werden, muss dafür eine eigene Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegen. Wenn Sie für die Verarbeitung eine Einwilligung einholen, dient Ihnen Art. 9 Abs. 2 lit. a DSGVO als Rechtsgrundlage.

    Informationspflicht beachten und Datenschutzerklärung bereitstellen

    Die Personen, deren Daten verarbeitet werden sollen, haben ein gesetzlich verankertes Recht darauf, in transparenter und nachvollziehbarer Weise über die Verarbeitung ihrer Daten informiert zu werden (Art. 5 Abs. 1 lit. a DSGVO). Daraus ergibt sich eine Informationspflicht, der Sie als verantwortliche Person nachkommen müssen. Zu diesem Zweck können Sie eine Datenschutzerklärung schreiben und sie den betroffenen Personen vor der Datenerhebung zur Verfügung stellen. Unverbindliche Muster dafür stellen wir Ihnen weiter unten auf dieser Seite bereit.

    Die Datenschutzerklärung muss mindestens folgende Angaben enthalten:

    • Name und Kontaktdaten der verantwortlichen Person
    • Zwecke der Verarbeitung
    • Rechtsgrundlage für die Verarbeitung
    • Kategorien von Daten, die verarbeitet werden
    • Kategorien von Empfängerinnen und Empfängern der personenbezogenen Daten (sowohl innerhalb, als auch außerhalb der Universität – ohne einzelne Personen namentlich zu nennen). Hier muss z. B. auch transparent gemacht werden, wenn die Daten veröffentlicht werden sollen, wie z. B. in einer Publikation oder in Social Media.
    • Dauer der Speicherung der Daten, bzw. Kriterien für die Festlegung der Speicherdauer
    • Hinweis auf die Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch)
    • Hinweis auf das Recht zum Widerruf der Einwilligung. Hinweis darauf, dass die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung bis zum Widerruf nicht berührt wird.
    • Hinweis auf das Recht zur Beschwerde bei einer Aufsichtsbehörde (Angabe der konkreten Aufsichtsbehörde ist nicht erforderlich)

    Einwilligung einholen

    Die Einwilligung muss von den Personen, deren Daten Sie verarbeiten möchten, informiert und aktiv gegeben werden („Opt-in“). Außerdem müssen Sie nachweisen können, dass tatsächlich eingewilligt wurde. Es ist daher empfehlenswert, die Einwilligung schriftlich einzuholen, z. B. bei Interviews vorab per Unterschrift unter der Einwilligungserklärung.

    Bei Online-Befragungen kann die Einwilligung auch per Klick eingeholt werden. Wichtig ist dabei, dass die Befragten dafür selbst aktiv klicken müssen und sie die Befragung ohne Einwilligung nicht aufrufen können. Dafür finden Sie weiter unten einen Textbaustein als Muster.

    Daten angemessen schützen

    Als verantwortliche Person müssen Sie die personenbezogenen Daten, die Sie verarbeiten, angemessen schützen. Insbesondere vor dem Zugriff durch unbefugte Personen und vor Verlust. Informationen zu Schutmaßnahmen finden Sie z. B. auf der  Webseite der Stabsstelle Informationssicherheit.

    Daten löschen

    Wie oben beschrieben muss in der Datenschutzerklärung eine Frist für die Löschung der Daten angegeben werden. Die DSGVO fordert nämlich, dass personenbezogene Daten gelöscht werden, wenn sie für den Zweck der Verarbeitung nicht mehr erforderlich sind. Sie müssen die Daten also auch zu dem festgelegten Zeitpunkt löschen. Eine bestimmte Löschfrist in Jahren kann dabei nicht empfohlen werden – wann die Daten nicht mehr erforderlich sind, ist vom jeweiligen Vorhaben abhängig.

  • Besonderheiten bei Daten von Minderjährigen und Erhebungen an Schulen

    Minderjährige müssen auch in Bezug auf die Verarbeitung ihrer personenbezogenen Daten besonders geschützt werden. Denn sie sind sich möglicherweise der Risiken und ihrer Rechte bei der Verarbeitung ihrer Daten weniger bewusst (siehe auch Erwägungsgrund 38 DSGVO). Deshalb gilt es bei allen Minderjährigen stellvertretend (auch) die Einwilligung der Erziehungsberechtigten einzuholen. Sollte eine sorgeberechtigte Person allein unterzeichnen, muss sie schriftlich versichern, dass sie auch im Namen der anderen sorgeberechtigten Person handeln darf. In den auf dieser Seite bereitgestellten Muster-Dokumenten sind bereits entsprechende Felder für die Einwilligung durch Erziehungsberechtigte inkludiert.

    Wenn die Betroffenen in einem Alter zwischen 14 und 18 Jahren als sind, sollten sie zusätzlich selbst in die Verarbeitung ihrer Daten einwilligen.

    Wenn Sie eine Untersuchung in Schulen planen, gilt es weitere rechtliche Rahmenbedingungen zu beachten, wie z. B. ggf. das Schulgesetz NRW. Informieren Sie sich daher rechtzeitig über die für Ihr Vorhaben geltenden Gesetze und die daraus folgenden Rahmenbedingungen. Beispielsweise sind Erhebungen an Schulen in der Regel genehmigungspflichtig und müssen vorab der Schulleitung vorgelegt werden.

  • Was heißt es, wenn die Universität für die Erhebung personenbezogener Daten verantwortlich ist?

    Wenn die obenstehende Prüfung ergeben hat, dass Universität als die datenschutzrechtlich „Verantwortliche“ gilt, ergeben sich die folgenden maßgeblichen Rahmenbedingungen:

    • Betreuende Personen, wie Lehrende der Universität, sollten Studierende bei der Umsetzung unterstützen. Die Daten müssen rechtmäßig erhoben werden, um eine rechtmäßige weitere Nutzung zu gewährleisten.
    • Die Datenerhebung kann im Namen der Universität erfolgen, die Muster-Dokumente im Corporate Design dürfen genutzt werden.
      • Anschreiben an Probandinnen und Probanden, Aufforderungen zur Teilnahme an Umfragen, Datenschutz- sowie Einwilligungserklärungen etc. dürfen im Namen der Universität erstellt werden.
      • Briefkopf und Logo der Universität Münster dürfen verwendet werden
      • Muster-Dokumente aus dem Intranet dürfen verwendet werden (hier zugänglich für Mitarbeitende)
    • Da die Universität datenschutzrechtlich zuständig ist, darf die Stabsstelle Datenschutz das Vorhaben durch datenschutzrechtliche Beratung unterstützen.
    • Die Regelungen zur Informationssicherheit an der Universität müssen beachtet werden. Hervorzuheben ist insb. die Richtlinie sowie die Handreichung zur Klassifizierung von Informationen, die Sie auf dieser Seite finden.
    • Wenn ein Anbieter, wie z. B. ein Umfrage-Dienst, personenbezogene Daten im Auftrag verarbeitet, ist ggf. ein Auftragsverarbeitungsvertrag erforderlich. Dieser wird unter Verantwortlichkeit der Universität auch mit der Universität abgeschlossen. In der Regel bieten die Anbieter dafür Muster an. Die Verträge können durch die Stabsstelle Datenschutz überprüft werden.

    Weitere Informationen zum Thema Datenschutz finden Mitarbeitende der Universität auf dieser Seite im Intranet.

  • Muster

     Muster für eine Datenschutzerklärung mit Einwilligungserklärung

     Muster für eine Datenschutzerklärung ohne Einwilligungserklärung (wenn z. B. online per Klick eingewilligt wird)

     Textbaustein für die Einwilligung per Klick bei Online-Befragungen