12 Datenschutz

12.1 - Welche personenbezogenen Daten dürfen in den Antragsunterlagen einschließlich des Selbstberichts und den Anlagen enthalten sein?

02/2019

Die Hochschulen unterliegen der Datenschutz-Grundverordnung (DSGVO). Zusätzlich gilt für staatliche Hochschulen das Datenschutzgesetz des jeweiligen Bundeslandes; für private Hochschulen das Bundesdatenschutzgesetz. Die Hochschulen müssen als verantwortliche Stellen prüfen, ob die Übermittlung der personenbezogenen Daten, die in den Antragsunterlagen, insbesondere in Lebensläufen, enthalten sind, an die Stiftung Akkreditierungsrat rechtmäßig ist. Zudem müssen sie die erforderlichen datenschutzrechtlichen Aufklärungen vornehmen. Beides müssen sie bei der Antragstellung im elektronischen Antragsbearbeitungssystem ELIAS bestätigen.

12.2 - Aufgrund welcher Rechtsgrundlage werden die Daten (Name, Titel, Funktion und Institution) der Gutachterinnen und Gutachter in den Akkreditierungsberichten veröffentlicht?

Datum: 02/2019, geändert: 04/2019

Nach § 29 Satz 2 MRVO beruht die Veröffentlichung der Daten auf der Einwilligung der Gutachterinnen und Gutachter. Hochschulen müssen also bei der Antragstellung für eine Programm- oder Systemakkreditierung in ELIAS bestätigen, dass die Gutachterinnen und Gutachter in die Veröffentlichung ihrer Daten eingewilligt haben. Eine Möglichkeit, wie Hochschulen dies sicherstellen können, ist eine Regelung im Begutachtungsvertrag mit der Agentur, wonach die Agentur gewährleistet, dass die Einwilligungen vorliegen. Die Einwilligung sollte sich nicht nur auf die Veröffentlichung, sondern auch auf die Verarbeitung der Daten im Übrigen beziehen.

Für systemakkreditierte Hochschulen sowie Hochschulen, die ein alternatives Verfahren gemäß § 34 MRVO als Äquivalent zu einer Systemakkreditierung durchgeführt haben, gelten die Pflichten nach § 29 MRVO zur Veröffentlichung der Akkreditierungsberichte entsprechend (vgl. § 29 Satz 3 MRVO und den Beschluss des Akkreditierungsrates vom 24.09.2018 zu den Berichtspflichten für systemakkreditierte Hochschulen). Deshalb müssen sie sich bei der Antragstellung zur Systemakkreditierung in ELIAS dazu verpflichten, in den internen Akkreditierungsverfahren die Einwilligung der eingesetzten Gutachterinnen und Gutachter zur Verarbeitung und Veröffentlichung ihrer Daten einzuholen und die entsprechenden Daten auch zu veröffentlichen.

 

12.3 - Dürfen in den Akkreditierungsberichten personenbezogene Daten enthalten sein?

Datum: 02/2019, geändert 04/2019

Hochschulen müssen bei der Antragstellung für eine Programm- oder Systemakkreditierung in ELIAS bestätigen, dass keine weiteren personenbezogenen Daten im Akkreditierungsbericht enthalten sind, es sei denn,

  • die betroffene Person hat eingewilligt oder
  • die Einholung der Einwilligung der betroffenen Person ist nicht oder nur mit unverhältnismäßigem Aufwand möglich und es ist offensichtlich, dass die Offenbarung im Interesse der betroffenen Person liegt (vgl. § 29 Satz 2 MRVO).

Eine Möglichkeit, wie die Hochschulen dies sicherstellen können, ist eine Regelung im Begutachtungsvertrag mit der Agentur, wonach die Agentur dies gewährleistet. Die genannten Anforderungen gelten auch für die internen Akkreditierungsberichte systemakkreditierter Hochschulen (vgl. § 29 Satz 3 MRVO).

12.4 - Verarbeitung von Daten der Antragstellerinnen und Antragsteller im elektronischen Antragsbearbeitungssystem ELIAS

Datum: 02/2019

Die Stiftung Akkreditierungsrat unterliegt als öffentliche Stelle den Bestimmungen der DSGVO und des Datenschutzgesetzes NRW.
Sie benötigt die Daten der Antragstellerinnen und Antragsteller für folgende Zwecke:

  • für die Anlage und Verwaltung des Benutzerkontos in ELIAS,
  • für die Identifizierung des Nutzers/der Nutzerin beim Einloggen im System,
  • für die Kommunikation mit dem Nutzer/der Nutzerin innerhalb des Systems sowie  
  • für die Gewährleistung der Nachvollziehbarkeit des Verwaltungshandelns.

Für in der Regel acht Jahre ab Ablauf des Geltungszeitraums der jeweiligen Akkreditierung bzw. ab Bekanntgabe einer Negativentscheidung werden die in ELIAS gestellten Anträge und beigefügten Dokumente, die mittels des Systems an die Stiftung Akkreditierungsrat gesandten Nachrichten sowie Datum, Uhrzeit, Absender und E-Mail-Adresse zur Antragstellung oder Nachricht gespeichert. Dies dient der Gewährleistung der Nachvollziehbarkeit der Handlungen und Entscheidungen der Stiftung Akkreditierungsrat. Eine längere Speicherung erfolgt nur dann, wenn die weitere Aufbewahrung der Antragsakte für ein noch nicht abgeschlossenes gerichtliches Verfahren erforderlich ist.

Im Übrigen werden die Daten der Nutzerinnen und Nutzer (Name, Vorname, gegebenenfalls Titel, E-Mail-Adresse(n), Telefonnummer(n) sowie die Hochschulanschrift) sowie das jeweils aktuelle Passwort (in verschlüsselter Form) gespeichert, solange das Nutzerkonto besteht, und bei Löschung des Kontos unverzüglich gelöscht.

Diese Informationen gelten auch für Agenturen, die im System Hochschulfunktionen übernehmen. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. e DSGVO; die Datenverarbeitung ist also zur Wahrnehmung der öffentlichen Aufgabe der Stiftung Akkreditierungsrat erforderlich.

Weitere Informationen zur Verarbeitung von Nutzerdaten finden Sie unter https://antrag.akkreditierungsrat.de/datenschutz/

 

12.5 - Wie erreiche ich den Datenschutzbeauftragten der Stiftung Akkreditierungsrat?

02/2019, zuletzt geändert 11/2023

Den behördlich bestellten Datenschutzbeauftragten der Stiftung Akkreditierungsrat, Herrn Andreas Braun, erreichen Sie folgendermaßen:

Stiftung Akkreditierungsrat
Behördlicher Datenschutzbeauftragter
Andreas Braun
Adenauerallee 73
53113 Bonn
Telefon +49 (0) 228-338306-0
E-Mail: braun@akkreditierungsrat.de

 

12.6 - Wie verarbeitet die Stiftung Akkreditierungsrat Daten von Hochschulangehörigen, die in Akkreditierungsanträgen enthalten sind?

01/2021, zuletzt 08/2022

Daten von Hochschulangehörigen sind in der Regel in den Selbstevaluationsberichten und/oder Anlagen zu diesen Berichten enthalten, die die Hochschulen gemäß § 23 Abs. 1 der Musterrechtsverordnung (MRVO) bzw. den entsprechenden Landesverordnungen dem Akkreditierungsantrag beizufügen haben.

Die antragstellende Hochschule ist für die Prüfung der Rechtmäßigkeit der Übermittlung der personenbezogenen Daten, die in den Antragsunterlagen enthalten sind, und die Einholung der erforderlichen Aufklärungen nach DSGVO, Landesdatenschutzgesetzen und ggf. dem Bundesdatenschutzgesetz, verantwortlich. Die Stiftung erhebt die Daten auf Grundlage von Art. 6 Abs. 1 e) DSGVO i. V. m. § 3 Abs. 1 DSG NRW, die Datenverarbeitung ist also zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.

Die Daten werden in ELIAS gespeichert. Die Mitglieder des Akkreditierungsrates und/oder Mitglieder des Vorstands der Stiftung (dies hängt vom jeweiligen Antragstyp ab) können über ihren Account auf diese Daten zugreifen. Sie haben sich dazu verpflichtet,

  • Anträge einschließlich aller darin enthaltenen Dokumente bzw. Anlagen nicht zu anderen Zwecken als der Antragsbearbeitung auf Datenträgern außerhalb von ELIAS zu speichern;
  • die Anträge einschließlich aller Dokumente und Anlagen nicht an Dritte weiterzugeben, es sei denn, die Weiterleitung an eigene Mitarbeiterinnen und Mitarbeiter ist zur Antragsbearbeitung zwingend erforderlich. Im Fall der Weitergabe der Anträge an eigene Mitarbeiterinnen/Mitarbeiter werden letztere verpflichtet, die Dokumente vertraulich zu behandeln sowie ihrerseits nicht weiterzugeben.

Die Daten werden im Übrigen nicht weitergegeben und sie werden nicht veröffentlicht.

Die genannten Daten sind in den Antragsakten enthalten. Diese werden in der Regel acht Jahre ab Ablauf des Geltungszeitraums der jeweiligen Akkreditierung bzw. in der Regel acht Jahre ab Bekanntgabe einer Negativentscheidung aufbewahrt. Dies dient der Gewährleistung der Nachvollziehbarkeit der Handlungen und Entscheidungen der Stiftung Akkreditierungsrat. Eine längere Speicherung erfolgt nur dann, wenn die weitere Aufbewahrung der Antragsakte für ein noch nicht abgeschlossenes gerichtliches Verfahren erforderlich ist.

Die Mitglieder des Akkreditierungsrates und/oder Mitglieder des Vorstands der Stiftung sowie deren Mitarbeiterinnen und Mitarbeiter sind dazu verpflichtet, ggf. heruntergeladene Anträge einschließlich aller Dokumente bzw. Anlagen von Datenträgern außerhalb von ELIAS zu löschen, sobald sie sie nicht mehr zur Bewertung von Akkreditierungsanträgen benötigen.

Auftragsverarbeiter ist die ProUnix Gesellschaft für Softwareentwicklung mbH, Heinemannstr. 34, 53175 Bonn. ELIAS wird von ProUnix auf den Servern der Claranet GmbH betrieben, die von der ProUnix als Subunternehmerin eingesetzt wird. Nähere Informationen zur Auftragsdatenverarbeitung durch ProUnix finden Sie unter https://antrag.akkreditierungsrat.de/datenschutz/.

12.7 - Wie verarbeitet die Stiftung Akkreditierungsrat Daten von Gutachterinnen und Gutachtern, die von systemakkreditierten Hochschulen in internen Verfahren eingesetzt werden?

01/2021

Es werden folgende Daten erhoben: Name, Titel, Funktion und Institution der von systemakkreditierten Hochschulen eingesetzten Gutachterinnen und Gutachter.

Diese Daten werden von den Hochschulen in das dafür vorgesehene Datenfeld in ELIAS eingetragen; dadurch sind die Daten von Gutachterinnen und Gutachtern in der öffentlichen Datenbank akkreditierter Studiengänge sichtbar. Zudem sind die genannten Daten in den von den Hochschulen verfassten und ebenfalls von ihnen in der öffentlichen Datenbank eingestellten Qualitätsberichten (d.h. in den Berichten die als Grundlage für die internen Akkreditierungen dienen) enthalten. Die Hochschulen müssen sich bei der Antragstellung per Checkbox verpflichten, die Einwilligung der eingesetzten Gutachterinnen und Gutachter zur Verarbeitung und Veröffentlichung der genannten Daten einzuholen und die entsprechenden Daten dann auch zu veröffentlichen. Rechtsgrundlage für die Datenerhebung ist damit Art. 6 Abs. 1 a) DSGVO.

Die Akkreditierungsdatensätze, Akkreditierungsberichte bzgl. Programm- und Systemakkreditierungen sowie Qualitätsberichte zu internen Akkreditierungen werden 24 Jahre ab Ablauf des Geltungszeitraums der jeweiligen Akkreditierung bzw. 30 Jahre ab einer Bekanntgabe einer Negativentscheidung gespeichert und veröffentlicht. Der Grund liegt darin, dass die Öffentlichkeit (insbes. Absolventeninnen und Absolventen sowie Arbeitgeberinnen und Arbeitgeber) ggf. Informationen auch über länger zurückliegende Akkreditierungen benötigt.

Auftragsverarbeiter ist die ProUnix Gesellschaft für Softwareentwicklung mbH, Heinemannstr. 34, 53175 Bonn. ELIAS wird von ProUnix auf den Servern der Claranet GmbH betrieben, die von der ProUnix als Subunternehmerin eingesetzt wird. Nähere Informationen zur Auftragsdatenverarbeitung finden Sie unter https://antrag.akkreditierungsrat.de/datenschutz/.