CEUS: Informationsgewinnung zwischen Scylla und Charybdis

CEUSHB (Computerbasiertes EntscheidungsUnterstützungsSystem für Hochschulen in Bayern – im folgenden CEUS) ist der gelungene Transfer von der Wissenschaft in die Praxis. Gerade in einer Zeit hoher Dynamik, einem gerade bewältigten doppelten Abiturjahrgang, liefert das System interessante Erkenntnisse für die Steuerung einer Hochschule, für die Einrichtung neuer Studiengänge und für den Verlauf des Studiums. Herrn Professor Sinz und seinem Team verdanken wir dieses außerordentlich nützliche Instrument der Hochschulplanung, das der Verfasser dieser kleinen Abhandlung für seine Arbeit in Präsidium, Senat, Hochschulrat und Fakultät gerne genutzt hat. Wir verdanken aber „CEUS“ auch einige spannende juristische Fragestellungen, die wir hier beleuchten wollen. Wir beziehen uns nur auf einen Teil der Daten, nämlich die Domäne Studierende/Prüfungen[1].

Das Hinaussehen-Können „über den Tellerrand“ der eigenen Hochschule, die Analyse des Wettbewerber[2] macht CEUS-zentral, das hochschulübergreifende System, besonders wertvoll. Analysen in einer Granularität und Tiefe werden möglich, die die hoch aggregierten Zahlen der Amtlichen Statistik nicht bieten können.

CEUS-zentral[3] bewegt sich jedoch in einem engen, gefährdeten, Bereich: Zwei juristische Ungeheuer[4] lauern auf die Anwendung und den Systemersteller[5]: auf der einen Seite der „Datenschutz“ (Scylla[6]) und auf der anderen Seite das „Statistikgeheimnis“ (Charybdis).

Aus näherer Sicht sind es zwei rechtliche Regelungskomplexe, d.h. Systeme rechtlicher Regelungen. Beide Regelungskomplexe sind und darin entsprechen sie ihren griechischen Vorbildern, schwer fassbar, „gestaltlos“ oder „hybrid“. Beide Komplexe bergen ein Risiken. Ihre mangelnde Beachtung oder Fehler im Verständnis machen das Navigieren „rechtlich bedenklich“ oder gar rechtswidrig und ziehen den Blick der Aufsichtsbehörden auf sich[7].

„Datenschutz“ ist eine spezielle Ausprägung des Allgemeinen Persönlichkeitsrechts, im deutschen Recht abgeleitet aus Art. 2 Abs. 1 GG (Handlungsfreiheit) und Art. 1 Abs. 1 GG (Menschenwürde), als „Grundrecht auf Informationelle Selbstbestimmung“ festgeschrieben im Urteil des Bundesverfassungsgerichts zur Volkszählung 1983[8], „Privatheit” ist als Schutzgut genannt in Art. 8 der Europäischen Menschenrechtskonvention und in Art. 7 der Grundrechtscharta der EU (GRC), „Datenschutz” wird genannt in Art. 8[9] GRC.

CEUS wurde datenschutzrechtlich immer als sensibel[10] angesehen. Die Daten wurden pseudonymisiert: Direkt identifizierende Bestandteile wie Namen und Adressen[11] wurden gelöscht. Man war auch nicht so naiv anzunehmen, dass Matrikelnummern selbst schon Pseudonyme[12] darstellen würden. Es wurden daher gesonderte Pseudonymisierungen durchgeführt.

„Pseudonymisierung“ ist aber nicht identisch mit „Anonymisierung“. Ob es im Zeitalter von „Big Data“ überhaupt noch nicht-personenbezogene (synonym: „anonyme“ Daten) gibt, wird oftmals bezweifelt[13]. Somit würde sich die Frage des nicht endenden und auch durch das Urteil des EuGH vom 19.10.2016[14] nicht abgeschlossenen Streits über den „relativen/subjektiven“ und den „absoluten/objektiven“ Begriff des Personenbezugs[15] durch die heutige faktische Lage „es gibt keine Anonymität“ erledigt haben.

Die Meinung, es gäbe keine Anonymität mehr, ist aus Sicht eines Social Media Anbieters plausibel: Für seine Nutzer mag es angesichts der Tatsache, dass sie ihr Leben vollständig („life-line“) protokollieren lassen, tatsächlich keine Anonymität mehr geben. Die Profile der Nutzer von Sozialen Medien sind nur scheinbar anonym und bieten immer einen Anknüpfungspunkt für eine Deanonymisierung (synonym: „Reidentifikation”), d.h. für die Bestimmung oder Bestimmbarkeit einer natürlichen Person.

Für ein System wie CEUS-zentral, das nur ein dürres Profil der Studierenden (einige demographische Daten und Studienleistungen) hat, ist die Sachlage eine gänzlich andere als für ein Soziales Medium. Im Hochschulbereich lohnt es sich daher noch, über die Frage „personenbezogen“[16] oder „nicht personenbezogen“ nachzudenken[17].

Im Einklang mit der erst am 25.5.2018 wirksam werdenden europäischen Datenschutzgrundverordnung (DS GVO)[18] wurden die (hochschulübergreifenden) Daten von CEUS Zentral, obwohl pseudonymisiert, als personenbezogen gesehen[19]. Mag es für Mitglieder einer fremden Hochschule auch faktisch[20] unmöglich sein, aus dem CEUS-Pool Daten über einzelnen Studierende[21] anderer Hochschulen zurückzugewinnen, so könnte dies doch für Studierende der eigenen Hochschule aufgrund des Kontextes („Zusatzwissens“) gelingen[22]. Konsequenterweise wurde der Zugang zu den Daten streng beschränkt, nur auf Antrag für Beschäftigte der Hochschulen zu Planungszwecken gewährt und mittels Protokollierung eine ständige Missbrauchskontrolle durchgeführt. So glaubte man das eine Ungeheuer, „den Datenschutz“, gebändigt zu haben, d.h. gesetzeskonform zu verfahren.

Hochschulen sind Ländersache, – so ist man es (mindestens) seit der Förderalismusreform gewohnt. Umso erstaunlicher ist es, dass ein Bundeshochschulstatistikgesetz die Länder bzw. ihre statischen Landesämter dazu zwingt, Daten ihrer Hochschulen in großer Detailtiefe zu erfassen und an das Bundesamt für Statistik zu liefern.

In Bayern ist dies Aufgabe des Statistischen Landesamts. Die Hochschulen haben ihre Daten an das Landesamt abzugeben. Die Daten durchlaufen Prüfschritte des Landesamts und fließen dann einerseits in das System CEUS-zentral, andererseits in die Amtliche Statistik.

Die Daten sind „janusköpfig“ – und darin liegt die Schwierigkeit: Man kann sie als Daten der Hochschulen sehen, die einen wichtigen qualitätssichernden Schritt durchlaufen und dann an die Hochschulen zu Planungszwecken via CEUS-zentral zurück gelangen. Jetzt sehen wir aber ein zweites Ungeheuer aus dem Nebel auftauchen, das „Statistikgeheimnis“:

Sieht man die CEUS-Daten als Daten der Amtlichen Statistik[23], so unterliegen sie dem Statistikgeheimnis, solange sie „Einzeldaten“ sind. Als „Sondergeheimnis“ umfasst es (wie z.B. auch das Fernmeldegeheimnis) nicht nur „personenbezogene Daten“. Dies ist einleuchtend: Auch die Umsatzzahlen eines Unternehmens sind zu schützen. Eine Amtliche Statistik darf keine „Einzelangaben[24]“ offenlegen. In unserem Fall sehen wir eventuell Daten von Studierenden, also Daten natürlicher Personen, und haben damit eine Überschneidung von Statistikrecht und Datenschutzrecht.

„Amtliche Statistik“ ist gewöhnlich nicht das Thema, das die Öffentlichkeit[25] erregt. Anders 1983: Zur Verwunderung der in statistischen Ämtern Arbeitenden erhob sich 1983 der „Volkszorn“ über die geplante Volkszählung. Dies war der Anlass für die bahnbrechende (und immer noch sehr lesenswerte) Entscheidung des Bundesverfassungsgerichts, die den Datenschutz, d.h. das „Recht auf Informationelle Selbstbestimmung“[26] in Deutschland als Grundrecht etabliert hat. Im einem meist weniger zitierten Teil des Urteils geht das Bundesverfassungsgericht auf „Statistik“ ein. Verglichen mit dem, was heute ein Bürger an einem einzigen Tag an Facebook bekannt gibt, waren die vom Staat 1983 geforderten Daten eher „harmlos“.[27]

Um Klarheit im Bereich der Statistik zu schaffen, wurde in die Statistikgesetze eingefügt, dass Tabellen mit Einzelfallbezug, sogenannten „Tabelleneinsen“ – gemeint in Tabellen ausgewiesene Fallzahlen „1“ – nur an oberste Behörden[28] kommuniziert werden dürfen. Der Begriff „Tabelleneins“ ist allerdings eine drastische ,Vereinfachung: Der Rückschluss auf ein Individuum[29] bzw. auf den Einzelfall ist auch in etwas weniger simplen Fällen durch geschicktes „Rückrechnen“ möglich[30].

Das bayerische Staatsministerium für Bildung, Kultus, Wissenschaft und Kunst kann also Empfänger solcher Tabellen zu Zwecken der Planung sein. Eine Hochschule ist nur „nachgeordnete“ Behörde und scheidet damit als Empfänger nach Statistikrecht aus. Solange also das System CEUS-zentral solche „Einsen“ ausweisen könnte, darf es nach dem Statistikrecht hochschulübergreifend nicht mehr zugänglich gemacht werden. Die eigenen Daten darf die Hochschule – unter gewissen Vorkehrungen –allerdings auch in CEUS-zentral noch sehen[31]. Diese Daten sieht sie in CEUS-lokal[32] jedoch auch, so dass der Mehrwert des zentralen hochschulübergreifenden Systems hier fraglich bleibt.

Zu beobachten ist eine rechtliche Inkonsistenz: Die „Tabelleneins“ begründet sozusagen immer die Vermutung, dass der Rückschluss auf den konkreten individuellen Sachverhalt möglich ist – d.h. aus Datenschutzsicht „eine Bestimmung der natürlichen Person“, über die eine Aussage getroffen wird, möglich ist. Eine Abwägung in Bezug auf das faktisch Mögliche und aus Sicht eines Angreifers mit „vertretbarem Aufwand“ Erreichbare ist ausgeschlossen – das „Schema“ der „Tabelleneins“ entscheidet.

Aus Sicht des Statistikrechts ist dieses starre Vorgehen bei amtlichen Statistiken, die typischerweise eben keiner Zweckbindung unterliegen, die in der Regel veröffentlicht werden und die jedermann beliebig verwenden kann, verständlich.

Für ein im geschlossenen Bereich von Hochschulen, mit beschränktem nur dienstlichem Zugang, in strenger Zweckbindung verwandtes Data Warehouse, das auch nur eingeschränkte Retrievalmöglichkeiten bietet und einer Missbrauchskontrolle durch Protokollierung unterliegt, ist diese Restriktion nicht verständlich und droht den Hochschulen wertvolle[33] Planungsgrundlagen[34] zu entziehen.

Das „Volkszählungsurteil“ des Bundesverfassungsgerichts kann man für diese Restriktion nicht bemühen: Das Bundesverfassungsgericht kritisiert[35] die mangelnde Abgrenzung zum Verwaltungsvollzug und generell die fehlende „Normenklarheit“ mancher Regelungen des Volkszählungsgesetzes über die Weitergabe von Volkszählungsdaten an andere Behörden. Im hier vorliegenden Fall geht es aber nicht um Verwaltungsvollzug[36]: Die Hochschulen nutzen CEUS-zentral, nicht anders als das Wissenschaftsministerium, zur Planung, z.B. bei der Einrichtung neuer Studiengänge zur Bestimmung regionaler Einzugsbereiche durch Vergleich mit Studiengängen bei anderen Hochschulen.

Hochschulen nutzen die Daten für Aufgaben, die ihnen vom Gesetzgeber zugewiesen sind. Als öffentlich rechtliche Körperschaften handeln sie und ihre Mitglieder im Rahmen der grundrechtlich (Art. 5 Abs. 3 GG) verbürgten Freiheit der Forschung und Lehre. Wer erwartet, dass die Hochschulen vernünftig planen, muss ihnen auch die dafür nötigen Planungsgrundlagen zur Verfügung stellen.

Im idealen Fall, der für die Zukunft anzustreben ist, würde sich die Diskussion um „Tabelleneinsen” allerdings erledigen: Man hätte eine technische Lösung, die die kritischen Fälle durch mathematische Operationen (z.B. der „Verschleierung“[37]) ausschließt, ohne die Aussagekraft der Daten wesentlich zu beeinträchtigen.

Tatsächlich ist der Planer der Hochschulen an den Einzelfällen ohnedies nicht interessiert. Die „Einzelfalldiskussion“ wird nur deswegen geführt, weil die entfernte Möglichkeit besteht, dass ein Nutzer des Systems mit Zusatzwissen und unter Missbrauch der ihm gegebenen Mittel versucht, Daten einer ihm bekannten Person zuzuordnen bzw. zu den ihm vorliegenden Daten eine Person zu bestimmen[38]. Vom „Fluss von Einzeldaten aus der Statistik in den Verwaltungsvollzug“ – dies ist das Thema des Bundesverfassungsgerichts in der Volkszählungsentscheidung – ist dieses Szenario sehr weit entfernt[39].

Die „Ungeheuer“ Datenschutz und Statistikgeheimnis lauern auf jeder Ebene, z.B. auch im Verhältnis Bund-Land: Die Dienstleistung des Bundesamts für Statistik im Bereich der Bildungsplanung wurde jüngst zu einer (pseudonymisierten) Verfolgung der Studienverläufe[40] ausgebaut, – einem durchaus sehr anspruchsvollen Vorhaben für Statistikämter[41]. Die Länder scheiterten mit weitgehenden Zugriffswünschen[42] auf die nach ihrer Begründung „steuerungsrelevante Information für die Hochschulpolitik”, „unverzichtbare Daten” am Statistikgeheimnis.

Die Länder können also in diesem speziellen Punkt ihre Planunginteressen so wenig gegen den Bund durchsetzen[43], wie die Hochschulen ihre Planungsinteressen gegenüber dem Landesamt für Statistik.

Fazit: Schon das Datenschutzrecht („Scylla“) ist nicht einfach anwendbar, bietet aber durchaus eine gewisse Flexibilität. Befinden wir uns aber im Bereich des Statistikrechts (im Strudel der „Charybdis“) sehen wir ein kaum zu begründendes Informationsungleichgewicht zwischen dem Staatsministerium für Bildung. Kultus, Wissenschaft und Kunst und den Hochschulen und sehen Hindernisse für den Einsatz moderner Planungsinstrumente an den Hochschulen.

Dies könnte Anlass sein über das Verhältnis Bürger-Staat im Datenschutz nachzudenken: Wir sehen ein völliges Missverhältnis zwischen der Fülle der Daten, die der Bürger durchaus in Kenntnis der ungebremsten Profilbildung und der daran gekoppelten staatlichen US-amerikanischen Überwachungspraxis[44] großen USKonzernen wie Facebook und Google (Alphabet Inc.) zur Verfügung stellt und dem, was er nach der deutschen Gesetzgebung, der Rechtssprechung und nicht zuletzt der Aufsichtspraxis der Datenschutzbehörden dem deutschen Staat für Planungszwecke zur Verfügung stellen muss.

Dieses Missverhältnis festzustellen, bedeutet keineswegs die Datenerhebungen deutscher staatlicher Stellen ausweiten zu wollen. Die vollständig fehlende Durchsetzungsfähigkeit im Datenschutz gegenüber der Privatwirtschaft steht aber in deutlichem Kontrast zu fein ziselierten und restriktiven Regelungen im Binnenbereich der Behörden.

Inkonsistenzen zwischen Datenschutz- und Statistikrecht sollten beseitigt werden.

Im europäischen Recht ist dies bereits geleistet: Auch das europäische Recht sichert die Statistische Geheimhaltung[45] Es ist aber flexibler, was die Frage der geheim zu haltenden Informationen betrifft – flexibler als die deutschen Regelungen über „Tabelleneinsen” – und entspricht damit dem europäischen und dem deutschen Datenschutzrecht[46]. Da gerade das Hochschulstatistikgesetz nach seiner eigenen Zweckbestimmung[47] auch dazu dient europäische Statistikverpflichtungen zu erfüllen, sollte seine Auslegung gemäß den europäischen Regelungen erfolgen[48].

Die Anpassung des Rechts in Bund und Ländern an die europäische Datenschutzgrundverordnung[49] könnte genutzt werden um (deutsches und bayerisches) Datenschutzrecht und Statistikrecht zu „harmonisieren“.

Originaler Text: BeitragMoencke_EmeritierungProfSinz

[1] Rechtliche Erwägungen für andere Domänen können sich von den hier getroffenen unterscheiden.
[2] Dass Hochschulen im Wettbewerb stehen ist eine im Zuge der seit etwa 1999/2000 üblichen ökonomischen Betrachtung der Hochschulen („Hochschule als Unternehmen“) gängige Beobachtung.
[3] CEUS-zentral meint die hochschulübergreifende Sammlung. CEUS-lokal, die jeweils hochschulspezifischen Sammlungen, sind rechtlich vergleichsweise einfach zu handhaben. Sie werden nach Art. 17 Abs. 3 BayDSG als sogenannte Geschäftsstatistken gesehen und durchlaufen lokale Freigabeverfahren nach Art. 26 BayDSG an den einzelnen Hochschulen
[4] Der Verfasser nennt sie „Ungeheuer“, nicht weil er die Datenschutz und Statistkgeheimnis gering schätzt, sondern weil sie dem Ersteller eines Systems in ihrer juristischen Komplexität so erscheinen können.
[5] der Gutes tun will, d.h. die bayerischen Hochschulen und das Staatsministerium mit einer guten Planungsgrundlage ausstatten will.
[6] Scylla und Charybdis sind zwei eine Meerenge (Straße von Messina?) bewachende Meeresungeheuer. Odysseus konnte aber (mit Verlusten) zwischen ihnen durch navigieren.
[7] vgl. 22. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz – Berichtszeitraum 2005/2006 ; veröffentlicht als Landtagsdrucksache 15/6700 vom 29.1.2007; dort Abschnitt 21.3 „[…] Zu begrüßen ist insbesondere, dass sowohl das hochschulübergreifende Data-Warehouse-System als auch das Data-Warehouse-System des Staatsministeriums für Wissenschaft, Forschung und Kunst beim Landesamt für Statistik und Datenverarbeitung – und nicht beim Staatsministerium selbst – betrieben werden sollen. Datenschutzrechtliche Probleme können sich vor allem im Bereich von einelementigen Abfrageergebnissen – so genannten Tabelleneinsen – ergeben, da diese einen Personenbezug ermöglichen können. Insoweit vertrete ich folgenden Standpunkt: Aufgrund der Bestimmung des § 6 Abs. 2 HStatG nach der die Statistischen Landesämter ausdrücklich ermächtigt werden, auch einelementige Abfrageergebnisse an die obersten Landesbehörden zu liefern, erscheint der Nachweis von Tabelleneinsen im Data-Warehouse-System des Staatsministeriums für Wissenschaft, Forschung und Kunst selbst datenschutzrechtlich hinnehmbar. Allerdings ist zu beachten, dass im Bereich der Amtlichen Statistik die Bekanntgabe von einelementigen Abfrageergebnissen an die obersten Landesbehörden in der Praxis regelmäßig mit der Auflage versehen wird, dass diese nur für Zwecke der Planung, nicht jedoch für die Regelung von Einzelfällen erfolgt. Dies ist Ausfluss der verfassungsrechtlichen Trennung von Statistik und Verwaltungsvollzug. Bei Auswertungen aus dem hochschulübergreifenden Data-Warehouse-System können – entgegen ursprünglichen Aussagen – ebenfalls Tabelleneinsen entstehen. Dies ist von der Bestimmung des § 6 Abs. 2 HStatG jedoch nicht mehr gedeckt, da die Datenempfänger keine obersten Landesbehörden sind. Im Hinblick auf das Personalaktengeheimnis sind hier aus datenschutzrechtlicher Sicht insbesondere Auswertungen von Personal- und Stellendaten als kritisch anzusehen.”
[8] BVerfGE 65, 1; Urteil vom 15. Dezember 1983
[9] Art. 8 GRC Schutz personenbezogener Daten.
Abs. 1 Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
Abs. 2 Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung dieser Daten zu erwir- ken.
Abs. 3 Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
[10] Elmar J. Sinz, Markus Plaha, Achim Ulbrich-vom Ende; Datenschutz und Datensicherheit in einem landesweiten Data-Warehouse-System für das Hochschulwesen, in: ihf [Hrsg]; Beiträge zur Hochschulforschung, Heft 4, 24. Jahrgang, 2002
[11] d.h. alle unmittelbar identifizierende Daten
[12] § 3 Absatz 6a BDSG „Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren“.
[13] vgl. Volker Boehme-Neßler; Das Ende der Anonymität – Wie Big Data das Datenschutzrecht verändert, in DuD, 7/2016, S. 419 und Paul Ohm; Broken Promises of Privacy, Responding to the suprising failure of anonymization (http://www.uclalawreview.org/pdf/57-6-3.pdf, zuletzt am 2.1.2017 abgerufen)
[14] EuGH Urteil vom 19.10.2016 – C-582/14 (Breyer/Deutschland)—Dynamische IP-Adressen können personenbezo- gene Daten sein, mit Anmerkung Richter am LG Dr. Reto Mantz, Frankfurt a. M. und Rechtsanwalt Jan Spittka, Köln, in NJW 2016, 3579; Anmerkung von Ingemar Kartheuser und Friedrich Gilsdorf in MMR-Aktuell Kurzbei- träge/Kommentare MMR-Aktuell 2016, 382533, abgerufen am 01.12.2016 16:18 – Quelle: beck-online; Anmerkung von Nink, in CR 12/2016, S. 794 und Jens Eckhardt, Anwendungsbereich des Datenschutzrechts – Geklärt durch den EuGH ? in CR 12/2016 S. 786; Letztlich neigt derc EuGH zur relativen/subjektiven Auffassung, allerdings mit einer weiten Auffassung zur Frage, wer die Person bestimmen könne.
[15] vgl. dazu Niko Härting; Anonymität und Pseudonymität im Datenschutzrecht, in NJW 2013, 2065; Moritz Karg; Anonymität, Pseudonyme und Personenbezug revisited ? in DuD 8/2015, S. 520; K. Brisch / F. Pieper; Das Kriterium der „Bestimmbarkeit“ bei Big-Data-Analyseverfahren, in CR 11/2015, S. 724;
[16] vgl. Art 4 Abs. 1 BayDSG „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhält- nisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene).” und Art. 4 Abs. 8 BayDSG „Anonymisie- ren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Ver- hältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
[17] Das gilt wohl für alle staatlichen Datensammlungen.
[18] Die DSGVO eröffnet den Mitgliedsstaaten Möglichkeiten die Datenverarbeitung für hoheitliche Zwecke und insbe- sondere für Zwecke der Statistik, in gewissem Umfang national zu regeln, vgl. Art. 5 Abs. 1 Buchstabe e, Art. 6 Abs. 1 Buchstabe e und Art. 89 Abs. 1 DSGVO. Näheres vgl. Phillip Richter; Big Data, Statistik und die Daten- schutz-Grundverordnung, in DuD 9/ 2016 , S.581 und Phillip Richter: IV Statistische Datenverarbeitung, in: Alex- ander Roßnagel [Hrsg] Europäische Datenschutz-Grundverordnung – Vorrang des Unionsrechts-Anwendbarkeit des nationalen Rechts, Nomos, 2017.
[19] vgl. Art. 4 Ziffer 5 DSGVO i.V.m. Erwägungsgrund 26 Satz 2 „Einer Pseudonymisierung unterzogene personenbe- zogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden kön- nen, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“
[20] d.h. nur mit einem unvertretbaren Aufwand, vgl. dazu Fußnote 16. Solche Daten sind auch zukünftig gemäß Art. 4 DSGVO i.V. m. Erwägungsgrund 26 Satz 3, 4 und 5 DSGVO nicht Gegenstand des Datenschutzes.
[21] vgl. Fußnote 2; Für Beschäftigtendaten kann man wegen des Personalaktengeheimnisses und wegen des ganz ande- ren Kontextes die Bedenken des bayerischen Landesbeauftragten für Datenschutz (vgl. Fußnote 6) teilen.
[22] Die Überlegung, dass Beschäftigte von Hochschulen versuchen sollten, durch geschickte Anfragekombinationen Daten, die ihnen dienstlich nicht zustehen, über ihnen persönlich bekannte Studierende aus einem pseudonymisierten Data Warehouse zu ermitteln, ist eher abwegig: Welche Daten sollten so interessant sein ? Alter ? Abschlussnote ? Geburtsort ?
[23] Dies ist eine Einstufung, die nach Meinung des Verfassers in dieser Qualitätssicherungsphase keineswegs zwingend ist. Das Landesamt könnte auch im Auftrag der Hochschulen Daten verarbeiten. Der Begriff der Amtlichen Statistik findet sich in Art. 1 Abs. 1 BayStatG und die Regelungen dazu in Abschnitt III BayStatG.
[24] Art. 2 Abs. 5 bayerisches Statistikgesetz – BayStatG; Einzelangaben können auch juristische Personen betreffen; Zur Geheimhaltung Art. 17 BayStatG und § 16 Bundesstatistikgesetz – BStatG. Art. 17 Abs. 1 Nr. 5 BayStatG macht eine Ausnahme von der Geheimhaltungspflicht, wenn die Einzelangaben keiner befragten oder betroffenen Personen zuzuordnen sind. Ebenso § 16 Abs. 1 Nr. 4 BStatG.
[25] Natürlich gibt es vor jedem sogenannten Zensus einige Beschwerden einzelner Befragter. Politisch heikler sind die Beschwerden diverser Gemeinden vor dem Bundesverfassungsgericht, die schlicht die Methodik der Statistischen Landesämter in Frage stellen und klagen, dass man für sie nachteilige Einwohner-Kennzahlen errechnet hat. Stellve- tretend für andere das Verfahren BvF 2/15 Abstrakte Normenkontrolle des Zensus 201, angestrengt durch die Han- sestadt Hamburg.
[26] vgl. BVerfGE 65, 1, Urteil vom 15. Dezember 1983; Entgegen manchen Behauptungen endet dieses Verfahren kei- neswegs mit einer totalen Niederlage des Staates. Für nichtig erklärt wurde nur der sogenannte Melderegisterab- gleich und tatsächlich unklare Klauseln über den Datenfluss zwischen Behörden.
[27] Es wurde auch entgegen manchen Behauptungen nicht gefragt, ob man eine Blümchentapete hatte oder wie das Ba- dezimmer gekachelt war. Zu berücksichtigen ist allerdings, dass es kein per se „belangloses Datum“ gibt, vgl. BVerfGE 65, 1, Urteil vom 15. Dezember 1983 dort: C II 2.: „.Dadurch kann ein für sich gesehen belangloses Da- tum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatischen Datenverarbei- tung kein „belangloses“ Datum mehr.“
[28] vgl. § 11 Abs. 2 HStatG erlaubt die Übermittlung von Tabellen mit „Einsen” an die für Wissenschaft und Forschung zuständigen obersten Bundes- und Landesbehörden, § 16 Abs. 4 BStatG erlaubt die Übermittlung von Tabellen mit
„Einsen” an oberste Bundes- und Landesbehörden sowie die Statistischen Landesämter; nach Art. 18 Abs. 4 Bay- StatG „darf das Landesamt den Staatsministerien übermitteln, auch soweit Tabellenfelder nur einen einzigen Fall ausweisen“.
[29] oft „Deanonymisierung“ genannt, „Tracking“ ist ein Begriff für die Angriffsoperation. Die „1“ in einer Tabelle,
z.B. in der mehrdimensionalen Tabelle (Hochschule, Studiengang, Fachsemester, Geschlecht, Alter, Art der Hoch- schulzugangsberechtigung(HZB), Ort der HZB) im Feld (Hochschule München, Maschinenbau, 7, w, 27, Allgemei- ne, LKrMü) als solche macht für Nutzer in der verantwortlichen Stelle noch keine Person bestimmbar. Kennt ein Angreifer allerdings die Merkmale der Person, so könnte er nach dem Durchschnitt der Abschlussnoten der Perso – nen mit diesen Merkmalen fragen und erhielte trivialerweise, was er sucht. Die Tabelleneins selbst muss er nicht nachfragen.
[30] Das reine Ausblenden von „1“ oder „2“ in Tabellen genügt aufgrund der umfänglichen Recherchemöglichkeiten und Verrechnungsmöglichkeiten nicht; vgl.auch Ulrich Möncke, Data Warehouses – eine Herausforderung für den Datenschutz ? in DuD 10/1998, S. 561
[31] Die Hochschulen sehen ihre eigenen Daten im hochschulspezifischen CEUS-lokal Data Warehouse ohnedies. Auch diese Daten sind als personenbezogen einzustufen, obwohl sie pseudonymisiert sind. Der Zugang ist restriktiv, wird von der eigenen Hochschule nach Maßgabe der Erforderlichkeit (gem Art. 17 bayDSG) gewährt und nur im Ein- klang mit dem vom behördlichen Datenschutzbeauftragten der jeweiligen Hochschule nach Art. 26 BayDSG freige- gebenen Verfahren eröffnet.
[32] Hier fließen die Daten von den Hochschulen unmittelbar in das Data Warehouse – der Umweg über das Landesamt für Statistik findet hier nicht statt.
[33] Hochschulen benötigen gerade die Daten aus CEUS-zentral über Nachbarhochschulen und Wettbewerber.
[34] Grundlagen, die mit großem und frühzeitigen Engagement (seit 1998) seitens des Wissenschaftsministeriums und des Teams am ihb – Wissenschaftliches Institut für Hochschulsoftware der Universität Bamberg/Lehrstuhl Prof. Dr. Sinz, unter Verwendung von staatlichen Mitteln aufgebaut wurden.
[35] BVerfGE 65, 1 dort: C IV 3) 4a) und 4b)
[36] d.h. der Entscheidung eines Einzelfalls, einen bestimmten Studendierenden betreffend.
[37] Verfahren, wie sie für die Zensusdaten ebenfalls angewandt werden. Man führt sozusagen künstliche kleine Fehler ein, die aber die Aussagekraft der Daten für Planungszwecke nicht beeinträchtigen.
[38] vgl. Fußnote 22
[39] Liest man die Volkszählungsentscheidung aufmerksam, wird man feststellen, dass sie einer Weitergabe von Daten zu Zwecken der Planung nicht entgegensteht. C IV 3) 4a) und 4b) kritisieren allerdings die mangelnde Abgrenzung zum Verwaltungsvollzug und generell die fehlende „Normenklarheit“ der entsprechenden Regelungen des Volks- zählungsgesetzes. Holger Poppenhäger befasst sich bereits in NvwZ 1992,149 mit kombinierten Erhebungen, d.h. solchen Erhebungen, die nicht nur der Statistik dienen. Interessanterweise sieht er sogar noch nach dem Volkszäh- lungsurteil eine Möglichkeit, Statistikdaten für den Verwaltungsvollzug zu verwenden, allerdings auf entsprechen- der gesetzlicher Grundlage. Soweit muss man im vorliegenden Fall nicht gehen: Im hiesigen Fall wollen die Hoch- schulen die Daten ebenfalls nur für Planungszwecke verwenden. Dies zeigt wiederum, dass die Konsequenzen, die hier aus dem Volkszählungsurteil für die Planung nachgeordneter Behörden gezogen werden, zu weitgehend sind. Zu kritisieren ist das Fehlen jeglichen Abwägungsspielraums.
[40] Man will die gesamte individuelle Karriere eines jeden Studierenden in der Bundesrepublik, einschließlich seiner Fach- und Hochschulwechsel, erfassen.
[41] Novelle des Hochschulstatistikgesetzes durch Gesetz vom 2.3.2016; vgl. den Gesetzesentwurf der Bundesregierung, BT-Drs. 18/6550
[42] vgl. BT-Drs.18/6550 Stellungnahme des Bundesrats in Anhang 3 Nr. 1: Ansiedlung der Auswertungsdatenbank auch bei einem Statistischen Landesamt und Nr. 2: Zugriff auch für oberste Landesbehörden; die Ablehnung durch BReg findet sich in Anhang 4.
[43] Mit Hinweis auf das Statistikgeheimnis wurden auch Wünsche der Länder für den Zensus 2021 abgelehnt, vgl. dazu BT-Drs. 10/10458, Stellungnahme des Bundesrates zum Entwurf des Zensusvorbereitungsgesetzes 2021, Nr. 4:wei- tere Daten aus Melderegister, und Nr. 7: Rückspielen von Anschriften, und die Antwort der Bundesregierung. Der ebenfalls registergestützte Zensus 2011 wird beim Bundesverfassungsgericht (BvF 1/15, 2/15) allerdings nicht aus Datenschutzgründen angegriffen, sondern von Kommunen, die an den für sie ermittelten Einwohnerzahlen zweifeln (vgl. Fußnote 25).
[44] vgl. die deutlichen Ausführungen des EuGH, Urt. v 6.10.2015 Rs C-362/14 Maximilian Schrems vs. Data Protecti- on Commissioner, in CR 10/2015, S. 633; Die uferlose Überwachungspraxis US-amerikanischer Behörden hat den EuGH dazu bewogen, das „Safe Harbour“ Abkommen der EU mit den USA für ungültig zu erklären. Nachfolger ist der recht ähnliche „Privacy Shield“.
[45] Art. 338 Abs. 2 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) und Kapitel V der Verordnung 223/2009 („Statistikverordnung”). Der Schlüsselbegriff dieses Kapitels ist das „Vertrauliche Datum”. Dieses wird geschützt.
[46] Art. 3 Nr. 7 EG 223/2009 Definition: „Vertrauliche Daten“ [sind] Daten, die eine direkte oder indirekte Identifizie- rung statistischer Einheiten möglich machen und dadurch Einzelinformationen offenlegen. Bei der Entscheidung, ob eine statistische Einheit identifizierbar ist, sind alle Mittel zu berücksichtigen, die nach vernünftigem Ermessen von einem Dritten angewendet werden könnten, um die statistische Einheit zu identifizieren.”
Dies entspricht Art. 4 Abs. 8 BayDSG (oben Fußnote 16) und es entspricht auch den Formulierungen im EU-Daten- schutzrecht: vgl. Art. 4 DSGVO i.V. m. Erwägungsgrund 26 Satz 3, 4 und 5 DSGVO (oben Fußnote 20).
[47] § 1 HStatG („Zweck”) zählt die Datenlieferverpflichtungen sehr genau auf.
[48] Dagegen lässt sich einwenden, dass es eben auch eine deutsche Statistik ist. Wie Grabitz/HilfNettesheim/Hahlen AEUV Art. 338 Rdnr 30-34 in ihrem sehr instruktiven Abschnitt über die Statistische Geheimhaltung schreiben, führt dies zu widersprüchlichen und undurchschaubaren Ergebnissen (Rdnr. 32). In unserem Fall ist der Systembe- treiber des CEUS-Systems das Opfer dieser Widersprüche. Glaubt er dem Datenschutz Genüge getan zu haben, scheitert er an den „Tabelleneinsen” des deutschen Statistikrechts.
[49] Diese Anpassung findet gerade auch in Bayern in Bezug auf allgemeinen und speziellen Datenschutz statt.