CEUSHB (Computerbasiertes EntscheidungsUnterstützungsSystem für Hochschulen in Bayern – im folgenden CEUS) ist der gelungene Transfer von der Wissenschaft in die Praxis. Gerade in einer Zeit hoher Dynamik, einem gerade bewältigten doppelten Abiturjahrgang, liefert das System interessante Erkenntnisse für die Steuerung einer Hochschule, für die Einrichtung neuer Studiengänge und für den Verlauf des Studiums. Herrn Professor Sinz und seinem Team verdanken wir dieses außerordentlich nützliche Instrument der Hochschulplanung, das der Verfasser dieser kleinen Abhandlung für seine Arbeit in Präsidium, Senat, Hochschulrat und Fakultät gerne genutzt hat. Wir verdanken aber „CEUS“ auch einige spannende juristische Fragestellungen, die wir hier beleuchten wollen. Wir beziehen uns nur auf einen Teil der Daten, nämlich die Domäne Studierende/Prüfungen[1].
Das Hinaussehen-Können „über den Tellerrand“ der eigenen Hochschule, die Analyse des Wettbewerber[2] macht CEUS-zentral, das hochschulübergreifende System, besonders wertvoll. Analysen in einer Granularität und Tiefe werden möglich, die die hoch aggregierten Zahlen der Amtlichen Statistik nicht bieten können.
CEUS-zentral[3] bewegt sich jedoch in einem engen, gefährdeten, Bereich: Zwei juristische Ungeheuer[4] lauern auf die Anwendung und den Systemersteller[5]: auf der einen Seite der „Datenschutz“ (Scylla[6]) und auf der anderen Seite das „Statistikgeheimnis“ (Charybdis).
Aus näherer Sicht sind es zwei rechtliche Regelungskomplexe, d.h. Systeme rechtlicher Regelungen. Beide Regelungskomplexe sind und darin entsprechen sie ihren griechischen Vorbildern, schwer fassbar, „gestaltlos“ oder „hybrid“. Beide Komplexe bergen ein Risiken. Ihre mangelnde Beachtung oder Fehler im Verständnis machen das Navigieren „rechtlich bedenklich“ oder gar rechtswidrig und ziehen den Blick der Aufsichtsbehörden auf sich[7].
„Datenschutz“ ist eine spezielle Ausprägung des Allgemeinen Persönlichkeitsrechts, im deutschen Recht abgeleitet aus Art. 2 Abs. 1 GG (Handlungsfreiheit) und Art. 1 Abs. 1 GG (Menschenwürde), als „Grundrecht auf Informationelle Selbstbestimmung“ festgeschrieben im Urteil des Bundesverfassungsgerichts zur Volkszählung 1983[8], „Privatheit” ist als Schutzgut genannt in Art. 8 der Europäischen Menschenrechtskonvention und in Art. 7 der Grundrechtscharta der EU (GRC), „Datenschutz” wird genannt in Art. 8[9] GRC.
CEUS wurde datenschutzrechtlich immer als sensibel[10] angesehen. Die Daten wurden pseudonymisiert: Direkt identifizierende Bestandteile wie Namen und Adressen[11] wurden gelöscht. Man war auch nicht so naiv anzunehmen, dass Matrikelnummern selbst schon Pseudonyme[12] darstellen würden. Es wurden daher gesonderte Pseudonymisierungen durchgeführt.
„Pseudonymisierung“ ist aber nicht identisch mit „Anonymisierung“. Ob es im Zeitalter von „Big Data“ überhaupt noch nicht-personenbezogene (synonym: „anonyme“ Daten) gibt, wird oftmals bezweifelt[13]. Somit würde sich die Frage des nicht endenden und auch durch das Urteil des EuGH vom 19.10.2016[14] nicht abgeschlossenen Streits über den „relativen/subjektiven“ und den „absoluten/objektiven“ Begriff des Personenbezugs[15] durch die heutige faktische Lage „es gibt keine Anonymität“ erledigt haben.
Die Meinung, es gäbe keine Anonymität mehr, ist aus Sicht eines Social Media Anbieters plausibel: Für seine Nutzer mag es angesichts der Tatsache, dass sie ihr Leben vollständig („life-line“) protokollieren lassen, tatsächlich keine Anonymität mehr geben. Die Profile der Nutzer von Sozialen Medien sind nur scheinbar anonym und bieten immer einen Anknüpfungspunkt für eine Deanonymisierung (synonym: „Reidentifikation”), d.h. für die Bestimmung oder Bestimmbarkeit einer natürlichen Person.
Für ein System wie CEUS-zentral, das nur ein dürres Profil der Studierenden (einige demographische Daten und Studienleistungen) hat, ist die Sachlage eine gänzlich andere als für ein Soziales Medium. Im Hochschulbereich lohnt es sich daher noch, über die Frage „personenbezogen“[16] oder „nicht personenbezogen“ nachzudenken[17].
Im Einklang mit der erst am 25.5.2018 wirksam werdenden europäischen Datenschutzgrundverordnung (DS GVO)[18] wurden die (hochschulübergreifenden) Daten von CEUS Zentral, obwohl pseudonymisiert, als personenbezogen gesehen[19]. Mag es für Mitglieder einer fremden Hochschule auch faktisch[20] unmöglich sein, aus dem CEUS-Pool Daten über einzelnen Studierende[21] anderer Hochschulen zurückzugewinnen, so könnte dies doch für Studierende der eigenen Hochschule aufgrund des Kontextes („Zusatzwissens“) gelingen[22]. Konsequenterweise wurde der Zugang zu den Daten streng beschränkt, nur auf Antrag für Beschäftigte der Hochschulen zu Planungszwecken gewährt und mittels Protokollierung eine ständige Missbrauchskontrolle durchgeführt. So glaubte man das eine Ungeheuer, „den Datenschutz“, gebändigt zu haben, d.h. gesetzeskonform zu verfahren.
Hochschulen sind Ländersache, – so ist man es (mindestens) seit der Förderalismusreform gewohnt. Umso erstaunlicher ist es, dass ein Bundeshochschulstatistikgesetz die Länder bzw. ihre statischen Landesämter dazu zwingt, Daten ihrer Hochschulen in großer Detailtiefe zu erfassen und an das Bundesamt für Statistik zu liefern.
In Bayern ist dies Aufgabe des Statistischen Landesamts. Die Hochschulen haben ihre Daten an das Landesamt abzugeben. Die Daten durchlaufen Prüfschritte des Landesamts und fließen dann einerseits in das System CEUS-zentral, andererseits in die Amtliche Statistik.
Die Daten sind „janusköpfig“ – und darin liegt die Schwierigkeit: Man kann sie als Daten der Hochschulen sehen, die einen wichtigen qualitätssichernden Schritt durchlaufen und dann an die Hochschulen zu Planungszwecken via CEUS-zentral zurück gelangen. Jetzt sehen wir aber ein zweites Ungeheuer aus dem Nebel auftauchen, das „Statistikgeheimnis“:
Sieht man die CEUS-Daten als Daten der Amtlichen Statistik[23], so unterliegen sie dem Statistikgeheimnis, solange sie „Einzeldaten“ sind. Als „Sondergeheimnis“ umfasst es (wie z.B. auch das Fernmeldegeheimnis) nicht nur „personenbezogene Daten“. Dies ist einleuchtend: Auch die Umsatzzahlen eines Unternehmens sind zu schützen. Eine Amtliche Statistik darf keine „Einzelangaben[24]“ offenlegen. In unserem Fall sehen wir eventuell Daten von Studierenden, also Daten natürlicher Personen, und haben damit eine Überschneidung von Statistikrecht und Datenschutzrecht.
„Amtliche Statistik“ ist gewöhnlich nicht das Thema, das die Öffentlichkeit[25] erregt. Anders 1983: Zur Verwunderung der in statistischen Ämtern Arbeitenden erhob sich 1983 der „Volkszorn“ über die geplante Volkszählung. Dies war der Anlass für die bahnbrechende (und immer noch sehr lesenswerte) Entscheidung des Bundesverfassungsgerichts, die den Datenschutz, d.h. das „Recht auf Informationelle Selbstbestimmung“[26] in Deutschland als Grundrecht etabliert hat. Im einem meist weniger zitierten Teil des Urteils geht das Bundesverfassungsgericht auf „Statistik“ ein. Verglichen mit dem, was heute ein Bürger an einem einzigen Tag an Facebook bekannt gibt, waren die vom Staat 1983 geforderten Daten eher „harmlos“.[27]
Um Klarheit im Bereich der Statistik zu schaffen, wurde in die Statistikgesetze eingefügt, dass Tabellen mit Einzelfallbezug, sogenannten „Tabelleneinsen“ – gemeint in Tabellen ausgewiesene Fallzahlen „1“ – nur an oberste Behörden[28] kommuniziert werden dürfen. Der Begriff „Tabelleneins“ ist allerdings eine drastische ,Vereinfachung: Der Rückschluss auf ein Individuum[29] bzw. auf den Einzelfall ist auch in etwas weniger simplen Fällen durch geschicktes „Rückrechnen“ möglich[30].
Das bayerische Staatsministerium für Bildung, Kultus, Wissenschaft und Kunst kann also Empfänger solcher Tabellen zu Zwecken der Planung sein. Eine Hochschule ist nur „nachgeordnete“ Behörde und scheidet damit als Empfänger nach Statistikrecht aus. Solange also das System CEUS-zentral solche „Einsen“ ausweisen könnte, darf es nach dem Statistikrecht hochschulübergreifend nicht mehr zugänglich gemacht werden. Die eigenen Daten darf die Hochschule – unter gewissen Vorkehrungen –allerdings auch in CEUS-zentral noch sehen[31]. Diese Daten sieht sie in CEUS-lokal[32] jedoch auch, so dass der Mehrwert des zentralen hochschulübergreifenden Systems hier fraglich bleibt.
Zu beobachten ist eine rechtliche Inkonsistenz: Die „Tabelleneins“ begründet sozusagen immer die Vermutung, dass der Rückschluss auf den konkreten individuellen Sachverhalt möglich ist – d.h. aus Datenschutzsicht „eine Bestimmung der natürlichen Person“, über die eine Aussage getroffen wird, möglich ist. Eine Abwägung in Bezug auf das faktisch Mögliche und aus Sicht eines Angreifers mit „vertretbarem Aufwand“ Erreichbare ist ausgeschlossen – das „Schema“ der „Tabelleneins“ entscheidet.
Aus Sicht des Statistikrechts ist dieses starre Vorgehen bei amtlichen Statistiken, die typischerweise eben keiner Zweckbindung unterliegen, die in der Regel veröffentlicht werden und die jedermann beliebig verwenden kann, verständlich.
Für ein im geschlossenen Bereich von Hochschulen, mit beschränktem nur dienstlichem Zugang, in strenger Zweckbindung verwandtes Data Warehouse, das auch nur eingeschränkte Retrievalmöglichkeiten bietet und einer Missbrauchskontrolle durch Protokollierung unterliegt, ist diese Restriktion nicht verständlich und droht den Hochschulen wertvolle[33] Planungsgrundlagen[34] zu entziehen.
Das „Volkszählungsurteil“ des Bundesverfassungsgerichts kann man für diese Restriktion nicht bemühen: Das Bundesverfassungsgericht kritisiert[35] die mangelnde Abgrenzung zum Verwaltungsvollzug und generell die fehlende „Normenklarheit“ mancher Regelungen des Volkszählungsgesetzes über die Weitergabe von Volkszählungsdaten an andere Behörden. Im hier vorliegenden Fall geht es aber nicht um Verwaltungsvollzug[36]: Die Hochschulen nutzen CEUS-zentral, nicht anders als das Wissenschaftsministerium, zur Planung, z.B. bei der Einrichtung neuer Studiengänge zur Bestimmung regionaler Einzugsbereiche durch Vergleich mit Studiengängen bei anderen Hochschulen.
Hochschulen nutzen die Daten für Aufgaben, die ihnen vom Gesetzgeber zugewiesen sind. Als öffentlich rechtliche Körperschaften handeln sie und ihre Mitglieder im Rahmen der grundrechtlich (Art. 5 Abs. 3 GG) verbürgten Freiheit der Forschung und Lehre. Wer erwartet, dass die Hochschulen vernünftig planen, muss ihnen auch die dafür nötigen Planungsgrundlagen zur Verfügung stellen.
Im idealen Fall, der für die Zukunft anzustreben ist, würde sich die Diskussion um „Tabelleneinsen” allerdings erledigen: Man hätte eine technische Lösung, die die kritischen Fälle durch mathematische Operationen (z.B. der „Verschleierung“[37]) ausschließt, ohne die Aussagekraft der Daten wesentlich zu beeinträchtigen.
Tatsächlich ist der Planer der Hochschulen an den Einzelfällen ohnedies nicht interessiert. Die „Einzelfalldiskussion“ wird nur deswegen geführt, weil die entfernte Möglichkeit besteht, dass ein Nutzer des Systems mit Zusatzwissen und unter Missbrauch der ihm gegebenen Mittel versucht, Daten einer ihm bekannten Person zuzuordnen bzw. zu den ihm vorliegenden Daten eine Person zu bestimmen[38]. Vom „Fluss von Einzeldaten aus der Statistik in den Verwaltungsvollzug“ – dies ist das Thema des Bundesverfassungsgerichts in der Volkszählungsentscheidung – ist dieses Szenario sehr weit entfernt[39].
Die „Ungeheuer“ Datenschutz und Statistikgeheimnis lauern auf jeder Ebene, z.B. auch im Verhältnis Bund-Land: Die Dienstleistung des Bundesamts für Statistik im Bereich der Bildungsplanung wurde jüngst zu einer (pseudonymisierten) Verfolgung der Studienverläufe[40] ausgebaut, – einem durchaus sehr anspruchsvollen Vorhaben für Statistikämter[41]. Die Länder scheiterten mit weitgehenden Zugriffswünschen[42] auf die nach ihrer Begründung „steuerungsrelevante Information für die Hochschulpolitik”, „unverzichtbare Daten” am Statistikgeheimnis.
Die Länder können also in diesem speziellen Punkt ihre Planunginteressen so wenig gegen den Bund durchsetzen[43], wie die Hochschulen ihre Planungsinteressen gegenüber dem Landesamt für Statistik.
Fazit: Schon das Datenschutzrecht („Scylla“) ist nicht einfach anwendbar, bietet aber durchaus eine gewisse Flexibilität. Befinden wir uns aber im Bereich des Statistikrechts (im Strudel der „Charybdis“) sehen wir ein kaum zu begründendes Informationsungleichgewicht zwischen dem Staatsministerium für Bildung. Kultus, Wissenschaft und Kunst und den Hochschulen und sehen Hindernisse für den Einsatz moderner Planungsinstrumente an den Hochschulen.
Dies könnte Anlass sein über das Verhältnis Bürger-Staat im Datenschutz nachzudenken: Wir sehen ein völliges Missverhältnis zwischen der Fülle der Daten, die der Bürger durchaus in Kenntnis der ungebremsten Profilbildung und der daran gekoppelten staatlichen US-amerikanischen Überwachungspraxis[44] großen USKonzernen wie Facebook und Google (Alphabet Inc.) zur Verfügung stellt und dem, was er nach der deutschen Gesetzgebung, der Rechtssprechung und nicht zuletzt der Aufsichtspraxis der Datenschutzbehörden dem deutschen Staat für Planungszwecke zur Verfügung stellen muss.
Dieses Missverhältnis festzustellen, bedeutet keineswegs die Datenerhebungen deutscher staatlicher Stellen ausweiten zu wollen. Die vollständig fehlende Durchsetzungsfähigkeit im Datenschutz gegenüber der Privatwirtschaft steht aber in deutlichem Kontrast zu fein ziselierten und restriktiven Regelungen im Binnenbereich der Behörden.
Inkonsistenzen zwischen Datenschutz- und Statistikrecht sollten beseitigt werden.
Im europäischen Recht ist dies bereits geleistet: Auch das europäische Recht sichert die Statistische Geheimhaltung[45] Es ist aber flexibler, was die Frage der geheim zu haltenden Informationen betrifft – flexibler als die deutschen Regelungen über „Tabelleneinsen” – und entspricht damit dem europäischen und dem deutschen Datenschutzrecht[46]. Da gerade das Hochschulstatistikgesetz nach seiner eigenen Zweckbestimmung[47] auch dazu dient europäische Statistikverpflichtungen zu erfüllen, sollte seine Auslegung gemäß den europäischen Regelungen erfolgen[48].
Die Anpassung des Rechts in Bund und Ländern an die europäische Datenschutzgrundverordnung[49] könnte genutzt werden um (deutsches und bayerisches) Datenschutzrecht und Statistikrecht zu „harmonisieren“.
Originaler Text: BeitragMoencke_EmeritierungProfSinz