Plagiatssoftware, auch bekannt als Plagiatserkennungssoftware, hat sich in den vergangenen Jahren zu einem unverzichtbaren Werkzeug in Bildungseinrichtungen und wissenschaftlichen Institutionen entwickelt. Diese hilft dabei, die akademische Integrität zu wahren und sicherzustellen, dass eingereichte Arbeiten frei von unerlaubten Kopien sind. Trotz ihrer Vorteile dürfen Plagiatsprogramme nur in dem Umfang eingesetzt werden, der eine datenschutzkonforme Verarbeitung personenbezogener Daten gewährleistet.
Zulässigkeit der Datenverarbeitung
In erster Linie stellt sich die Frage, ob aus datenschutzrechtlicher Sicht der Einsatz von Plagiatssoftware in Bildungsinstitutionen erlaubt ist. Mit dieser Problematik beschäftigte sich der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) in seinem aktuellen Bericht. Hintergrund war eine Beschwerde einer betroffenen Person. Diese war der Auffassung, dass die Hochschule ihre Abschlussarbeit mithilfe von Plagiatssoftware begutachtete und dabei mehr personenbezogene Daten als erforderlich an ein externes Unternehmen übermittelte.
Laut LDI NRW ist die Übermittlung von Studierendendaten an externe Unternehmen zur generellen, anlasslosen Plagiatsüberprüfung eingereichter Arbeiten zulässig, wenn dies in der jeweiligen Prüfungsordnung der Hochschule geregelt ist. Im vorliegenden Fall erfolgte die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 Abs. 1 DSG NRW. Somit war diese für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Der LDI NRW wies in seinem Bericht darauf hin, dass angesichts der heutzutage verfügbaren technischen Mittel, Hochschulen verpflichtet sind, sicherzustellen, dass einzelne Studierende sich durch das Kopieren fremder Texte keinen unlauteren Vorteil in der Prüfung verschaffen. Dies kann ausschließlich mithilfe einer Plagiatsprüfung erfolgen.
Einwilligung als Rechtsgrundlage der Datenverarbeitung?
Es stellt sich zudem die Frage, ob für den Einsatz der Plagiatssoftware eine Einwilligung des Betroffenen gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO erforderlich ist. Dabei ist zu beachten, dass ausschließlich eine freiwillig erklärte Einwilligung wirksam sein kann.
Nach Erwägungsgrund 42 DSGVO liegt diese vor, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Zudem ist zu beachten, dass laut Erwägungsgrund 43 DSGVO bei einem Ungleichgewicht zwischen den beteiligten Parteien regelmäßig keine Freiwilligkeit der Einwilligungserklärung gewährleistet werden kann. Aus diesem Grund können Hochschulen nicht gewährleisten, dass Studierende eine freie Entscheidung hinsichtlich des Einsatzes der Plagiatssoftware treffen können. Zudem würde dies dem Sinn und Zweck des Einsatzes einer solchen Plagiatssoftware entgegenlaufen.
Pseudonymisierung erforderlich
Voraussetzung für eine datenschutzkonforme Plagiatsprüfung ist, dass die Daten vor der Übermittlung an Dritte pseudonymisiert werden. Für den Abgleich der Texte ist es nämlich nicht notwendig, dass das beauftragte Unternehmen personenbezogene Daten der Studierenden erhält. Hochschulen müssen lediglich gewährleisten können, dass bei der Rückübermittlung die Ergebnisse der Plagiatsüberprüfung sicher den Autoren zugeordnet werden können. Hierfür ist eine Pseudonymisierung ausreichend. Bei dieser ist es erforderlich, dass keine Rückschlüsse auf die konkrete Person möglich sind. Somit darf das Pseudonym nicht der Matrikelnummer entsprechen.
Weitere Pflichten des Verantwortlichen
Darüber hinaus sind die Hochschulen verpflichtet, ausschließlich solche Auftragnehmer einzusetzen, die die personenbezogenen Daten datenschutzkonform verarbeiten. Insbesondere muss das Verfahren transparent gestaltet werden. Ferner müssen die Unternehmen gewährleisten können, dass die Daten nach erfolgter Plagiatsüberprüfung aus den Servern gelöscht werden.
Fazit
Der Einsatz von Plagiatssoftware ist aus Gründen der Sicherstellung akademischer Integrität und Qualität essenziell. Die Datenverarbeitung kann regelmäßig auf Rechtsgrundlage von Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit dem speziellen Landesgesetz erfolgen. Jedoch müssen Bildungseinrichtungen und Anbieter der Software die datenschutzrechtlichen Anforderungen strikt einhalten, um die Rechte und Freiheiten betroffener Personen zu schützen. Insbesondere sind die Studierenden über die Datenverarbeitung zu informieren und ihre personenbezogenen Daten zu pseudonymisieren.