Datenschutz & Verantwortlichkeit im Studium

Datenschutz bei Prüfungsleistungen (Formen siehe Prüfungsleistung) ist immer dann relevant, wenn personenbezogene Daten verarbeitet werden. Dies ist vorwiegend bei empirischen Arbeiten der Fall, bei denen z.B. Interviews durchgeführt, Patien:innendaten genutzt, Online-Umfragen erstellt werden usw. Da Studienarbeiten an der Schnittstelle zwischen eigenständiger Forschung und dem institutionellen Lehrbetrieb stehen, ist die Klärung der Verantwortlichkeit entscheidend: Wer legt die Zwecke der Datenverarbeitung fest und wer kommt den Informationspflichten gegenüber den Betroffenen nach? Eine klare Abgrenzung ist hier die Basis für rechtssicheres wissenschaftliches Arbeiten. Fragen zum Datenschutz können an datenschutz@hs-bremen.de gerichtet werden. Beachten Sie zudem die unten bereitgestellten Materialien.

Beschäftigte und Lehrende erhalten mehr Informationen hier.

Was zählt zu Studienarbeiten?

Unter den Begriff der Studienarbeit fallen Studienarbeiten gem. BPO / MPO bei denen der Datenschutz eine Rolle spielen kann:

• Seminar- & Hausarbeiten im Rahmen von Lehrveranstaltungen
• Projekt- & Forschungsarbeiten in allen Studienphasen
• Abschlussarbeiten (Bachelor-, Master- und Diplomarbeiten)
• Dissertationen in Promotionsstudiengängen
• Praktikumsberichte mit wissenschaftlichem Fokus

Der entscheidende Punkt: Gemäß den geltenden Studien-, Prüfungs- oder Promotionsordnungen müssen Sie diese Leistungen eigenständig erbringen. Diese wissenschaftliche Selbstständigkeit ist nicht nur ein zentrales Bewertungskriterium, sondern auch der Grund, warum die datenschutzrechtliche Verantwortung häufig direkt bei Ihnen als Urheber liegt.

Wann wird es datenschutzrechtlich relevant?

Sobald Sie für Ihre Studienarbeiten gem. BPO / MPO personenbezogene Daten verarbeiten, greift die DSGVO. Das betrifft alle Informationen, die eine Person identifizierbar machen – direkt oder indirekt.

Dazu gehören:

• Allgemeine Daten: Name, E-Mail, Telefonnummer
• Forschungsdaten: Interview-Antworten, Audio-Stimmen, Videoaufnahmen, Fotos
• Digitale Spuren: IP-Adressen bei Online-Umfragen, Cookies
• Sensible Daten: z. B. Gesundheit, Religion, Herkunft oder sexuelle Orientierung

Vorsicht bei der „Anonymität“: Daten sind oft weniger anonym, als man denkt. Auch ohne Namen können Menschen durch Kombinationen (z. B. Alter + Beruf + PLZ) oder Bewegungsmuster in Videos identifizierbar bleiben.

Eine Anonymität ist nur gewährleistet, wenn die Informationen unter keinen Umständen wieder einer Person zugeordnet werden kann. So lange eine solche Re-Identifizierung möglich ist, sind die Informationen nicht anonym und die Vorgaben der DSGVO zu berücksichtigen.

Was bedeutet „Verarbeiten“?

Jeder Umgang mit diesen Daten zählt: das Erheben (z. B. das Interview führen), das Speichern (auf dem Laptop/Cloud), das Transkribieren und sogar das spätere Löschen.

Praxisbeispiel: Sie führen für Ihre Bachelorarbeit Interviews und nehmen diese mit Ihrem Smartphone auf. Da Sie entscheiden, wie und warum diese Daten erhoben werden, liegt die alleinige datenschutzrechtliche Verantwortung bei Ihnen. Sie müssen sicherstellen, dass Einwilligungen vorliegen und die Daten sicher verwahrt werden.

Kooperationen mit Dritten: Wer ist verantwortlich?

Sobald externe Partner (Unternehmen, andere Unis oder IT-Dienstleister) involviert sind, muss die Rollenverteilung geklärt werden. In der Praxis gibt es drei Modelle:

• Auftragsverarbeitung: Ein Dienstleister (z. B. ein Cloud-Anbieter, Transkriptionssoftware) arbeitet rein nach Weisung. Sie bleiben allein verantwortlich. 
• Gemeinsame Verantwortlichkeit: Zwei oder mehr Partner entscheiden gemeinsam über die Daten (z. B. bei Verbundprojekten). Hier ist ein spezieller Vertrag zwingend erforderlich.
• Getrennte Verantwortlichkeit: Alle Beteiligten nutzen die Daten unabhängig für eigene Zwecke.

Wichtig: Die Abgrenzung ist oft kompliziert. Wenn Sie externe Tools nutzen oder mit Partnern außerhalb der Hochschule forschen, binden Sie bitte frühzeitig den Datenschutzbeauftragten ein.

Ihre Checkliste: Was Sie tun müssen

Sofern Sie selbst Verantwortlicher sind, obliegen Ihnen folgende Pflichten:

Besondere Stolperfallen

Datenübermittlung ins Ausland (z. B. Cloud-Dienste)

Personenbezogene Daten dürfen grundsätzlich nicht ohne Weiteres in Länder außerhalb der EU bzw. des EWR übertragen werden (sogenannte Drittländer).

Worauf Sie achten müssen:

• Vorsicht bei Cloud-Tools: Viele beliebte Dienste (z. B. Google Drive, Dropbox oder Umfrage-Tools aus den USA) speichern Daten auf Servern außerhalb der EU.
• Garantien erforderlich: Eine Übermittlung ist nur zulässig, wenn spezielle rechtliche Garantien (gemäß Art. 44 ff. DSGVO) vorliegen, die ein angemessenes Datenschutzniveau sicherstellen.
• Empfehlung: Nutzen Sie nach Möglichkeit nur die von der Hochschule Bremen bereitgestellten IT-Dienste. Falls Sie externe Tools nutzen müssen, prüfen Sie vorab, ob die Serverstandorte in der EU liegen.

Die Rechtsgrundlage: ohne Erlaubnis geht es nicht

Da Sie bei Ihrer Studienarbeit meist selbst entscheiden, wie und warum Daten erhoben werden, tragen Sie die Verantwortung für die rechtliche Absicherung. Sie benötigen eine informierte Einwilligung (gemäß Art. 6 Abs. 1 lit. a DSGVO), damit die Daten ins Ausland übermittelt werden dürfen.

Sensible Daten (Besondere Kategorien nach Art. 9)

Falls Sie für Ihre Arbeit Informationen erheben möchten, die unter Art. 9 DSGVO fallen, gelten strenge Regeln. Es handelt sich dabei um Daten, aus denen Folgendes hervorgeht:

• Rassische und ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetischen Daten (z. B. DNA-Analysen)
• Biometrischen Daten zur eindeutigen Identifizierung (z. B. Fingerabdrücke, Gesichtserkennung)
• Gesundheitsdaten (Diagnosen, Krankheitsverläufe, Behinderungen)
• Daten zum Sexualleben oder der sexuellen Orientierung

Für diese Daten besteht ein grundsätzliches Verarbeitungsverbot. Eine Ausnahme für Ihre Forschung ist nur unter bestimmten Voraussetzungen zulässig:

• Explizite Einwilligung: Die Teilnehmenden müssen spezifisch und schriftlich in die Verarbeitung genau dieser sensiblen Punkte einwilligen.
• Wissenschaftliche Notwendigkeit: Sie müssen nachweisen, dass das Forschungsziel ohne diese speziellen Daten nicht erreicht werden kann und die Interessen des Betroffenen ihre Interessen nicht überwiegen. Darüber hinaus sind weitere Voraussetzungen von § 13 Abs. 1 und 2 BremDSGVO (Interessenabwägung, Anonymisierung etc.) und § 11 Abs. 2 BremDSGVO (technische und organisatorische Maßnahmen, Sensibilisierung etc.).
• Zusätzliche Sicherheit: Es sind verstärkte Schutzmaßnahmen (z. B. sofortige Pseudonymisierung oder besonders starke Verschlüsselung) zwingend erforderlich.

Forschung mit Minderjährigen: Besondere Schutzpflichten

Kinder und Jugendliche genießen im Datenschutz einen besonderen Stellenwert, da sie Risiken oft noch nicht voll einschätzen können (Erwägungsgrund 38 DSGVO). Wenn Ihre Zielgruppe unter 18 Jahre alt ist, müssen Sie zusätzliche Regeln beachten.

Die goldene Regel: Einwilligung der Eltern

• Bei Minderjährigen ist die Einwilligung der Erziehungsberechtigten grundsätzlich zwingend.   
• Beide Eltern: Im Idealfall unterschreiben beide Sorgeberechtigten.
• Ein Elternteil: Unterschreibt nur eine Person, sollte diese schriftlich bestätigen, dass sie auch im Namen des zweiten Sorgeberechtigten handelt.
• Jugendliche (14–17 Jahre): Hier empfehlen wir, zusätzlich zur Unterschrift der Eltern auch die Einwilligung des Jugendlichen selbst einzuholen. Das fördert die Transparenz und Akzeptanz.

Wer darf entscheiden? (Altersstufen)

Anders als bei Apps oder sozialen Netzwerken (Art. 8 DSGVO) gelten für wissenschaftliche Studien die allgemeinen Regeln der Geschäftsfähigkeit:

• Unter 7 Jahren: Geschäftsunfähig. Die Eltern entscheiden allein.
• 7 bis 17 Jahre: Beschränkt geschäftsfähig. Je nach Komplexität Ihrer Studie ist die Zustimmung der Eltern rechtlich notwendig.
• Ab 18 Jahren: Voll geschäftsfähig. Die Person entscheidet selbstständig.

Zielgruppengerechte Sprache

Ihre Informationsblätter müssen so formuliert sein, dass die Zielgruppe sie versteht. Nutzen Sie insbesondere bei Kindern einfache Sätze.

Rechtsfolgen bei Verstößen gegen die DSGVO

Verstöße gegen die DSGVO können unterschiedliche Rechtsfolgen haben. Hierzu zählen nicht nur Bußgelder, die von der Aufsichtsbehörde verhängt, sondern auch Schadensersatzansprüche von Betroffenen. Darüber hinaus kann die Aufsichtsbehörde auch die Verarbeitung personenbezogener Daten beschränken oder verbieten.