So heißt es im aktuellen Datenschutzbericht für Nordrhein-Westfalen, den der Düsseldorfer Landtag veröffentlicht hat. Hochschulen dürften Daten ihrer Studierenden grundsätzlich an externe Unternehmen übermitteln, um Täuschungsversuche aufzuspüren. Eine betroffene Person hatte sich bei der Landesbeauftragten für Datenschutz und Informationsfreiheit beschwert, nachdem ihre Abschlussarbeit mithilfe von Plagiatssoftware begutachtet worden war.
Voraussetzung für eine datenschutzkonforme Plagiatsprüfung sei, dass die Daten vorher pseudonymisiert werden, heißt es im Bericht der Beauftragten. "Für den Abgleich der Texte auf Plagiate benötigen die externen Unternehmen in keinem Fall die Klar-Daten der Studierenden."
Für die Hochschulen müsse lediglich gewährleistet sein, dass die Ergebnisse der Überprüfung sicher einem bestimmten Studierenden zugeordnet werden könnten. Hierfür sei die Vergabe eines Pseudonyms ausreichend. "Von einer Pseudonymisierung kann nur ausgegangen werden, wenn das Pseudonym nicht mit der Matrikelnummer identisch ist und auch sonst keine Rückschlüsse auf die konkrete Person zulässt", präzisiert der Bericht.
Zudem sei eine generelle, anlasslose Plagiatsüberprüfung mithilfe externer Unternehmen in den jeweiligen Prüfungsordnungen der Hochschulen zu regeln. Nach der Überprüfung müssten die Arbeiten auf den Servern der Dienstleister gelöscht werden. Eine Einwilligungslösung als Rechtsgrundlage für die Datenübermittlung scheide aus, weil nicht davon ausgegangen werden könne, dass Betroffene tatsächlich eine echte Wahl hätten, die Einwilligung zu verweigern, ohne Nachteile zu erleiden, erläuterte die Datenschutzbeauftragte.