Server© Canva

Lokal vs. Cloud: Wie werden Daten an Hochschulen sinnvoll gespeichert? – Fall des Monats Februar ’26

/in

Das Team der Rechtsinformationsstelle ORCA.nrw unterstützt Lehrende aus Nordrhein-Westfalen bei rechtlichen Fragen. Im Format „Fall des Monats“ stellt es regelmäßig einen besonderen Sachverhalt vor, der sich aus einer zu bearbeitenden Anfrage oder aus aktueller Rechtsprechung ergibt.

Ausgangspunkt

Eine Hochschule in Nordrhein-Westfalen steht vor der Entscheidung, zentrale Lehr- und Lerndaten künftig entweder auf eigenen Systemen im Hochschulrechenzentrum zu verarbeiten oder auf einen extern betriebenen Cloud-Dienst mit Serverstandort in der Europäischen Union umzustellen. Die Verantwortlichen fragen sich nun, welche Lösung aus datenschutzrechtlicher Sicht am sinnvollsten ist.

Rechtliche Bewertung

Damit gewinnt eine technische Beschaffungsfrage an datenschutzrechtlicher Relevanz. Denn die Wahl der Infrastruktur bestimmt, wie Verantwortung, Kontrolle, Sicherheit und Nachweisführung nach der DSGVO praktisch organisiert werden.

1. Grundlagen und Bewertungsmaßstab

Der sachliche Anwendungsbereich der DSGVO ist eröffnet, sobald personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden. Im Hochschulkontext umfasst dies beispielsweise Stammdaten, wie Nutzungs- und Interaktionsdaten aus Lernplattformen, Login-Zeitpunkte, Bearbeitungsverhalten, Prüfungsleistungen, Bewertungsdaten sowie audiovisuelle Beiträge in digitalen Lehrformaten. Zentral ist zudem die zutreffende Rollenbestimmung. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO regelmäßig die Hochschule, weil sie Zwecke und wesentliche Mittel der Verarbeitung festlegt. Diese Verantwortlichkeit erstreckt sich auch auf die Auswahl und Ausgestaltung der technischen Infrastruktur. Werden externe IT-Dienstleister eingebunden, liegt in der Regel eine Auftragsverarbeitung (Art. 4 Nr. 8, Art. 28 DSGVO) vor. Dann ist die Hochschule weiterhin für die Rechtmäßigkeit verantwortlich, während der Dienstleister weisungsgebunden tätig wird. Art. 28 Abs. 3 DSGVO verlangt hierfür eine vertragliche Grundlage mit klarer Weisungsbindung, Offenlegung von Unterauftragsverhältnissen, Sicherstellung angemessener technischer und organisatorischer Maßnahmen sowie verbindlichen Lösch- und Rückgaberegelungen. Die rechtliche Tragfähigkeit einer Cloud-Lösung hängt daher davon ab, ob die geplante Steuerungs- und Kontrollstruktur tatsächlich durchgesetzt werden kann.

Die Zulässigkeit der Verarbeitung selbst richtet sich nach Art. 6 DSGVO. Im Hochschulkontext ist häufig die Wahrnehmung einer Aufgabe im öffentlichen Interesse einschlägig, konkretisiert durch landeshochschulrechtliche Bestimmungen. Für fakultative Zusatzangebote kann eine Einwilligung oder, soweit zulässig, eine Interessenabwägung in Betracht kommen. Unabhängig von der gewählten Rechtsgrundlage sind Zweckbindung, Transparenz, Datenminimierung und Speicherbegrenzung strikt einzuhalten.

2. Lokale Server und Cloud-Dienste im Vergleich

Die datenschutzrechtliche Bewertung lokaler und cloudbasierter Infrastrukturen orientiert sich an denselben Maßstäben. Unterschiede ergeben sich nicht aus dem Speicherort als solchem, sondern aus der praktischen Ausgestaltung von Kontrolle, Sicherheit und Nachweisführung.

a) Lokale Server

Serverlösungen bieten den Vorteil unmittelbarer organisatorischer und physischer Kontrolle. Zugriffskreise können intern definiert und Administrationsrechte klar zugewiesen werden. Externe Zugriffsmöglichkeiten bestehen grundsätzlich nicht, sofern keine Fernwartungs- oder Outsourcing-Strukturen eingerichtet sind. Diese Datenhoheit ist jedoch nur dann ein realer Vorteil, wenn die Hochschule dauerhaft ein dem Stand der Technik entsprechendes Sicherheitsniveau gewährleisten kann. Art. 32 DSGVO verlangt ein risikoadäquates Schutzkonzept, das Vertraulichkeit, Integrität und Verfügbarkeit sichert. Ohne ausreichende personelle und finanzielle Ressourcen kann der vermeintliche Kontrollvorteil faktisch ins Leere laufen.

b) Cloud-Dienste

Cloud-Dienste bieten demgegenüber funktionale Vorteile, etwa durch hohe Skalierbarkeit und standardisierte Sicherheitsupdates. Verantwortlich bleibt gleichwohl die Hochschule. Sie muss die Auslagerung so ausgestalten und dokumentieren, dass Zugriffsberechtigungen, Unterauftragnehmerketten, Protokollierung, Löschkonzepte sowie Backup- und Rückgabemechanismen nachvollziehbar beherrscht werden. Ein EU-Rechenzentrum ist dabei ein wichtiges Element, ersetzt aber nicht die Prüfung, ob der Anbieter oder Subunternehmer aus Drittstaaten heraus auf Daten zugreifen kann oder Daten dorthin offengelegt werden. Falls ja, sind die Vorgaben der Art. 44 ff. DSGVO einzuhalten und gegebenenfalls Zusatzmaßnahmen zu prüfen.

Fazit

Wer Daten verarbeitet, muss sie rechtlich beherrschen können. Datenschutzrechtlich ist weder die lokale Speicherung noch die Nutzung cloudbasierter Dienste per se vorzugswürdig. Maßgeblich ist, ob die Hochschule ihre Verantwortlichkeit strukturell wahrnimmt, die Grundsätze des Art. 5 DSGVO umsetzt und die Einhaltung gemäß Art. 24 Abs. 1 DSGVO dokumentieren kann. Lokale Lösungen stärken die unmittelbare Datenhoheit, verlangen jedoch dauerhafte technische und organisatorische Leistungsfähigkeit. Cloud-Lösungen können gleichwertig datenschutzkonform sein, wenn Weisungsbindung, Sicherheitsniveau, Transparenz, Unterauftragnehmerkontrolle und Drittlandrisiken rechtssicher ausgestaltet und überprüfbar sind. Die infrastrukturelle Entscheidung ist somit keine rein technische Wahl, sondern eine Frage der institutionellen Steuerungsfähigkeit.

Das könnte Sie auch interessieren

Markus Deimann ORCA.nrw-Bühne@RUB, MarquardMarkus Deimann: „Die Inhalte stehen bei ORCA.nrw im Fokus“
Roboter und Frau an einem Schreibtisch© CanvaKI in Zeiten des Lehrermangels: Können Mensch und Maschine im Bildungssystem zusammenarbeiten?
© TikTok: @kortakabi, @alles.rund.ums.abi, @hosnamadinaVon Studierenden für Studierende: positive Resonanz auf TikTok-Kampagne von ORCA.nrw
Handy und Laptop, die die neue Website von ORCA.nrw zeigen© ORCA.nrwStrukturierter und persönlicher – der neue Webauftritt von ORCA.nrw
Laptop mit Oberfläche des Tools Canva© CanvaDürfen OER-Inhalte mit Canva erstellt werden? – Fall des Monats Mai ’25
KI-Chatbot© CanvaDarf ich einen KI-Chatbot in der Lehre einsetzen? – Fall des Monats Dezember ’25
Frau schaut auf die Darstellung eines Atoms© CanvaNeues Angebot für die Studieneingangsphase: Online-Brückenkurs Physik
Auszug aus dem Lexikon mit dem Begriff "translation"© CanvaDarf ich Übersetzungen von Tools wie DeepL in meinen Materialien nutzen? – Fall des Monats Juni ’25
Ein Kooperationsvorhaben empfohlen durch die: Logo: Digitale Hochschule NRW
Gefördert durch: Logo: Ministerium für Kultur und Wissenschaft des Landes NRW

Kann ich KI-Detektoren vertrauen? – KI-News mit Prof. PaaßenBenjamin Paaßen bei der Aufnahme© ORCA.nrw