Posi­ti­on

Ange­sichts der stän­dig zuneh­men­den Bedeu­tung von infor­ma­ti­ons­tech­ni­schen Syste­men in der Gesell­schaft und an den Hoch­schu­len, gewinnt auch das Thema Daten­schutz und Daten­si­cher­heit heraus­ra­gen­den Stel­len­wert. Um den Einzel­nen oder die Einzel­ne davor zu schüt­zen, dass er oder sie durch den Umgang mit perso­nen­be­zo­ge­nen Daten in seinem oder ihrem Persön­lich­keits­recht beein­träch­tigt wird, sieht die LAK Bayern in folgen­den Berei­chen Handlungsbedarf.

Nach dem Grund­satz der Daten­spar­sam­keit dürfen bereits bei der Erhe­bung von Daten an Hoch­schu­len, aber auch ande­ren öffen­t­­lich-rech­t­­li­chen Bildungs­ein­rich­tun­gen wie etwa Studi­en­stif­tun­gen, keine irrele­van­ten Daten erho­ben werden. Die LAK Bayern fordert insbe­son­de­re den Verzicht auf die Erhe­bung von nicht sach­dien­li­chen Daten beispiels­wei­se zu Reli­gi­ons­zu­ge­hö­rig­keit oder allge­mei­nem Gesundheitszustand.

Ange­fan­gen bei der Imma­tri­ku­la­ti­on ist trans­pa­rent zu machen, an welchen Stel­len die dort erho­be­nen Daten verwen­det werden. Eine entspre­chen­de und voll­stän­di­ge Liste ist den Einschrei­bungs­for­mu­la­ren beizufügen.

Ferner fordern wir, dass an jeder Hoch­schu­le, an der Eignungs­fest­stel­lungs­ver­fah­ren durch­ge­führt werden, verbind­li­che Mindest­stan­dards verab­schie­det werden, die insbe­son­de­re auch regeln was dort erfragt werden darf.

Vor allem dort, wo es um Befrei­un­gen von Studi­en­ge­büh­ren wegen unbil­li­ger Härte oder um einen Nach­teils­aus­gleich geht, werden äußerst sensi­ble Daten erho­ben und gespei­chert. Die LAK Bayern fordert darum, beim Umgang mit diesen Daten beson­de­re Rück­sicht auf die Privat­sphä­re zu nehmen.

Auch beim Betrieb von IT-Syste­­men muss die Entste­hung unnö­ti­ger Daten vermie­den werden. So müssen etwa Log-Daten, wie sie bei Zugrif­fen und sons­ti­gen Aktio­nen auf IT-Syste­­me anfal­len, nach der vorge­schrie­be­nen Spei­cher­frist von 6 Mona­ten umge­hend gelöscht werden.

Die LAK Bayern spricht sich gegen einen fakti­schen Zwang zu perso­na­li­sier­ten RFID-Karten aus. Statt­des­sen soll­ten, wo immer möglich, auch Alter­na­ti­ven bestehen blei­ben bezie­hungs­wei­se eröff­net werden.

Wir weisen auch auf die Sicher­heits­ri­si­ken von RFID-Karten hin, die sich durch ihre kontakt­lo­se Ausles­bar­keit aus der Distanz ergeben.

Nicht zwin­gend erfor­der­li­che Verkehrs­da­ten bei der Benut­zung von Karten – etwa für die Mensa, Kopie­rer oder Park­sys­te­me – dürfen nicht gespei­chert werden. Neben der Daten­spar­sam­keit ist uns auch die Sicher­heit der Daten vor Verlust ein wich­ti­ges Anlie­gen. Soweit Leis­tungs­nach­wei­se nur noch elek­tro­nisch gespei­chert werden, ist die Hoch­schu­le für eine Siche­rung der Daten vor Verlust verant­wort­lich. Es ist recht­lich sicher­zu­stel­len, dass Studie­ren­de keinen Nach­teil durch einen solchen Daten­ver­lust erlei­den. Die Rekon­struk­ti­on von Leis­tungs­nach­wei­sen liegt in der allei­ni­gen Verant­wor­tung der Hochschule.

Um die Bedeu­tung des Daten­schut­zes an den Hoch­schu­len zu stär­ken und die Anbin­dung der Studie­ren­den als zahlen­mä­ßig größ­te Grup­pe an entspre­chen­de Abläu­fe zu gewähr­leis­ten, müssen auch Rege­lun­gen bezüg­lich der Daten­schutz­be­auf­trag­ten über­ar­bei­tet werden.

Der oder die Daten­schutz­be­auf­trag­te der Hoch­schu­le darf nicht Mitglied der Hoch­schul­lei­tung sein, wie dies bisher teil­wei­se der Fall ist. Dies führt poten­zi­ell zu Inter­es­sen­kon­flik­ten, die im Sinne eines effek­ti­ven Daten­schut­zes zu vermei­den sind. Die LAK Bayern fordert daher, dass der oder die Daten­schutz­be­auf­trag­te vom Senat zu wählen ist und diesem jähr­lich einen Tätig­keits­be­richt vorzu­le­gen hat.

Die LAK Bayern fordert außer­dem die Einrich­tung eines oder einer zusätz­li­chen studen­ti­schen Daten­schutz­be­auf­trag­ten an jeder Hoch­schu­le. Dieser oder diese soll bei der Studie­ren­den­ver­tre­tung ange­sie­delt sein und ange­mes­sen vergü­tet werden. Die hier­für erfor­der­li­chen Mittel dürfen nicht zu Lasten der Haus­halts­mit­tel der Studie­ren­den­ver­tre­tun­gen gehen.

Diese Person muss ein Infor­ma­ti­ons­recht haben, das dem des behörd­li­chen Daten­schutz­be­auf­trag­ten in vollem Umfang entspricht. Sie muss bei bei allen Daten­schutz rele­van­ten Vorgän­gen gehört werden und hat das Recht, hier­zu Stel­lung­nah­men abzugeben.