Die Digitalisierung erleichtert nicht nur das Verfassen wissenschaftlicher Arbeiten, sondern auch das unrechtmäßige Kopieren oder Übernehmen fremder Inhalte als eigene Leistung. Um unfaire Vorteile durch Textplagiate zu verhindern, greifen Hochschulen daher mittlerweile auch auf Softwarelösungen entsprechend spezialisierter Dienstleister zurück, die Arbeiten mit umfangreichen Datenbanken abgleichen und so mögliche Übernahmen fremder Texte aufdecken können.
Aber dürfen Hochschulen Arbeiten der Studierenden so ohne Weiteres an externe Unternehmen übermitteln, damit diese automatisiert mögliche Plagiate und damit Täuschungsversuche aufspüren?
Mit dieser Frage hatte sich die Landesbeauftragte für Datenschutz und Datensicherheit in Nordrhein-Westfalen (LDI NRW) aus Anlaß einer an sie herangetragenen Beschwerde zu befassen.
In dem in ihrem Jahresbericht für das Jahr 2023 Anfang 2024 veröffentlichten Fall (S. 50-52) hatte sich eine betroffene Person bei der Datenschutzaufsichtsbehörde beschwert, nachdem ihre Abschlussarbeit von ihrer Hochschule mit Hilfe von Plagiatssoftware begutachtet worden war.
Die LDI NRW stellt zunächst fest, dass ein grundsätzliches Interesse der Hochschulen an einer derartigen automatisierten Überprüfung ohne Weiteres anzuerkennen ist:
„Die Abnahme von Prüfungen ist Teil des öffentlichen Bildungsauftrags der Hochschulen. Dabei müssen sie Chancengleichheit für alle Studierenden in den für den Bildungsgang entscheidenden Prüfungen gewährleisten. Insbesondere angesichts der technischen Mittel, die den Studierenden heute zur Verfügung stehen, müssen die Hochschulen sicherstellen, dass einzelne Studierende sich durch das Kopieren fremder Texte keinen unlauteren Vorteil in der Prüfung verschaffen. Dies auszuschließen kann nur durch Plagiatsprüfungen wirksam erreicht werden.“
Der bei vordergründiger Betrachtung vermeintlich einfachsten Lösung, für diese Überprüfungen einfach die Einwilligung der Studierenden einzuholen, erteilt die Aufsichtsbehörde dabei allerdings eine generelle Absage.
Eine wirksame Einwilligung komme wegen der faktischen Drucksituation, in der sich Studierende im Zusammenhang mit der beabsichtigten Überprüfung befänden, mangels Freiwilligkeit grundsätzlich nicht in Betracht. Die Betroffenen seien nicht frei in ihrer Entscheidung, sich für oder gegen eine Plagiatsüberprüfung zu entscheiden, sondern könnten sich gezwungen sehen, keine Einwände zu erheben, um sich keinem Täuschungsverdacht auszusetzen.
Die Behörde sieht die Hochschulen daher in der Pflicht, eine datenschutzkonforme Umsetzung sicherstellen, ohne sich auf eine Einwilligung zu stützen.
Grundsätzliche Voraussetzung hierfür ist nach Ansicht der LDI NRW eine ausdrückliche und hinreichend bestimmte Regelung in Bezug auf das Verfahren zur softwaregestützten Plagiatsüberprüfung in den Prüfungsordnungen der Hochschulen.
Hierbei verlangt die Datenschutzaufsicht auch eine transparente Gestaltung des Verfahrens. Die Studierenden müssen daher bereits im Vorfeld in „präziser, verständlicher sowie in klarer Art und Weise“ über den Einsatz einer Plagiatssoftware informiert werden.
Ein datenschutzrechtlich unbedenklicher Einsatz von Plagiatssoftware setzt, so die LDI NRW, inhaltlich dann insbesondere die festzulegende Bedingung voraus, dass die an die externen Unternehmen zu übermittelnden Daten zuvor pseudonymisiert wurden.
Externe Dienstleister benötigen für den vorzunehmenden Abgleich unter dem Aspekt der Erforderlichkeit keine personenbezogenen Daten der Studierenden und dürfen die Arbeiten daher nur pseudonymisiert erhalten. Zudem müssen diese nach Durchführung und Ergebnisübermittlung der Analyse wegen der eingetretenen Zweckerreichung regemäßig auch kurzfristig wieder gelöscht werden.
Die Hochschulen dürfen daher lediglich sicherstellen, dass das Ergebnis der Prüfung von ihnen im Nachgang erforderlichenfalls einer bestimmten Person zugeordnet werden kann. Als besonders wichtig dabei erwähnt die Datenschutzaufsichtsbehörde, dass das gewählte Pseudonym keine Matrikelnummer oder andere leicht identifizierbare Merkmale enthält.
Die Beschwerde hatte im konkreten Fall übrigens Erfolg: Die betroffene Hochschule wurde verpflichtet, ihre Plagiatsprüfung datenschutzkonform anzupassen.