Empfehlung des 191. Plenums vom 3./4. Juli 2000
A. Ausgangssituation
B. Auftrag
C. Zusammenfassung der Empfehlungen
D. Erläuterungen und Umsetzungsempfehlungen
- Verwaltungsinterne Effizienzsteigerung und verbesserter Service für Studierende und Mitarbeiter durch den Einsatz von Chipkarten
- Hochschul- und datenschutzrechtliche Rahmenbedingungen
- Kommunikation innerhalb und außerhalb der Hochschulen
- Wahl der Kartenart und Infrastrukturkosten
- Kooperationen
- Zahlungsverkehr
- Prüfungsverwaltung
- Anhang
- Beispiele für gegenwärtig an deutschen Hochschulen bereits realisierte bzw. geplante Chipkartenlösungen
A. Ausgangssituation
In den Hochschulen stehen die Verwaltungsprozesse durch moderne Informations- und Kommunikationstechnologien (IKT) vor großen Umbrüchen. Durch die gestiegene budgetäre Eigenverantwortung sind die Hochschulen zur effizienten Ressourcenallokation gezwungen. In diesem Zusammenhang muss auch das Innovations- und Rationalisierungspotential, das mit den neuen IuK-Technologien gegeben ist, genauer abgeschätzt und einer Kostenanalyse unterzogen werden. Gleichzeitig werden von den Hochschulen zeitgemäße Serviceleistungen erwartet. Dabei muss die Leistung nicht mehr an dem Ort der Hochschule erbracht werden und an feste Zeiten gebunden sein.
Diese Entwicklung wird sich im Rahmen der Profilbildung einzelner Hochschulen und einer dazu komplementären regionalen Netzwerkbildung beschleunigen (müssen), um Mobilitätshemmnisse und Transaktionskosten für Lehrende und Studierende zu vermindern.Auch an den Präsenzhochschulen nehmen Formen des verteilten und asynchronen Lehrens und Lernens mit digitalisierten Inhalten (Stichwort "Virtuelle Hochschule") zu. Dabei stellen sich Fragen der Authentifizierung der Teilnehmer und der ausgetauschten Dokumente sowie der Vertraulichkeit des Datenaustausches.
Die Hochschulen sind deshalb gefordert, ihre internen Ablaufstrukturen aus die Möglichkeiten digitaler und online-gestützter Kommunikationsformen umzustellen. An den Schnittstellen der einzelnen Funktionsbereiche eröffnen sich dabei für Chipkarten als flexiblen, weil multifunktionalen Datenträgern eine Vielzahl von Einsatzmöglichkeiten.
B. Auftrag
Vor diesem Hintergrund hat das Präsidium der HRK am 8.11.1999 eine Arbeitsgruppe eingesetzt, die die Einsatzmöglichkeiten von Chipkarten in der Hochschulverwaltung analysieren und Handreichungen für die Planung und Einführung verfassen sollte.
Die Arbeitsgruppe hat in zwei Sitzungen Einigung über wesentliche Einsatzfelder für Chipkartensysteme erzielt und diese in Form detaillierter Arbeitspapiere eingehender analysiert. Auf der Grundlage dieser Materialien und weiterer Gespräche mit Experten sowie nach Beratung in den Präsidium und Senat der HRK ist die nachstehende HRK-Empfehlung zum Einsatz von Chipkarten erarbeitet worden.
C. Zusammenfassung der Empfehlungen
Die HRK empfiehlt die Anwendung einer multifunktionalen Chipkarte mit Bezahlfunktion und Signaturgesetz-konformer Signaturfunktion.
Diese Karte soll über die Anwendungsfelder der heutigen Studierendenausweise hinaus rechtsverbindliche Online-Transaktionen ermöglichen. Weitere Anwendungsfelder sind die Buchausleihe sowie die Zugangsberechtigung zu Räumen und Geräten.
Über eine Attributzertifizierung kann der Status "Student(in)" auch im elektronischen Geschäftsverkehr außerhalb der Hochschule nachgewiesen werden. Darüber hinaus sollte die Karte so gestaltet sein, dass sie auch eine visuelle Identifizierung als Studierendenausweis ermöglicht (durch entsprechend aufgebrachte Hinweise oder auf einer Kartenhülle).Die Bezahlfunktion soll sich an Standards der Kreditwirtschaft ausrichten, andere Wege der Zahlung und Zugangsregelung aber nicht ausschließen. Nach heutigem Stand erscheinen kontogebundene oder -ungebundene Geldkarten sowie die Nutzung des Geldkartenchips auf den EC-Karten als günstigste Optionen.
D. Erläuterungen und Umsetzungsempfehlungen
1. Verwaltungsinterne Effizienzsteigerung und verbesserter Service für Studierende und Mitarbeiter durch den Einsatz von Chipkarten
Mittlerweile liegen die Ergebnisse einer Vielzahl von Modellversuchen vor, die eine Abschätzung der Vorteile und Risiken des Einsatzes von Chipkarten erlauben [1]. Die HRK ist nach Auswertung dieser Erfahrungen zu dem Schluss gekommen, dass die Vorteile eines Einsatzes von Chipkarten bereits kurzfristig zum Tragen kommen. Leistungsverbesserungen, Zeit- und Kosteneinsparungen lassen sich, je nach Umfang der implementierten Chipkartenfunktionen, in folgenden Bereichen feststellen:
a. Beschleunigung und Automatisierung sowie Herstellung von Transparenz bei Verwaltungsvorgängen
Der Einsatz von Chipkarten macht es möglich, Verwaltungsvorgänge ohne "Medienbrüche" zeitsparend durchzuführen (etwa im Gegensatz zur vielfach üblichen Datenerfassung auf Papier und anschließenden Übertragung in digitale Form). Da der Zwang zur Anwesenheit innerhalb eng umgrenzter Zeiten und an bestimmten Orten entfällt, kann ein gleichmäßigerer Arbeitsanfall erreicht werden; gegenwärtig weisen diejenigen Verwaltungsbereiche der Hochschulen, die unmittelbare Dienstleistungen für Studierende erbringen, noch starke Auslastungsunterschiede auf, z.B. zwischen Immatrikulationszeiträumen und vorlesungsfreien Zeiten. Ein Teil der Verwaltungsaufgaben in diesen "Stoßzeiten" könnte bereits heute von den Studierenden selbst durchgeführt werden. Mit Hilfe von chipgestützten, kryptographischen Verfahren können beispielsweise gespeicherte Personaldaten von den Studierenden jederzeit eingesehen und aktualisiert werden. Nach den heute verfügbaren Verfahren ist eine Anwesenheit nur bei erstmaliger Immatrikulation erforderlich. Rückmeldungen, Adressänderungen etc. können von Selbstbedienungsterminals u. ä. aus erfolgen. Die Aktualisierung der Daten erfolgt in kürzeren Perioden und hebt damit die Qualität der Datenbestände.
b. Ausdehnung der Nutzungszeiten von Hochschuleinrichtungen
Die Betreuung und Überwachung von zentralen und sicherheitsrelevanten Serviceeinrichtungen führt insbesondere außerhalb der üblichen Arbeitszeiten zu einem kostenintensiven Personaleinsatz. Im Zuge von Sparmaßnahmen werden deshalb häufig die Öffnungszeiten von Bibliotheken, Rechenzentren etc. reduziert. Der Einsatz von Chipkarten zur Identifikation und Zugangskontrolle ermöglicht es hingegen, die Nutzungszeiträume zu erweitern und gleichzeitig Gefahren (Sachbeschädigung, Diebstahl etc.) zu vermindern. Die Entlastung von Routinetätigkeiten, die zumeist in den Kernzeiten ausgeführt werden müssen, macht den flexibleren und zeitlich gestreckten Einsatz des Personals und seine Freistellung für qualitativ hochwertigere Serviceleistungen möglich. Es wird eine gleichmäßigere Auslastung der Raum- und Maschinenkapazitäten erreicht.
c. Zentrale Administration der Kartenverwaltung und Wegfall unterschiedlicher Kartentypen
In vielen Hochschulen befinden sich eine Reihe von unterschiedlichen Kartentypen parallel im Einsatz. Deren Administration ist personal- und kosten-intensiv. Deshalb empfiehlt es sich, die einzelnen Funktionen (z. B. Kopierkarte, Zutrittskontrolle, Mensakarte) auf einer einzigen Karte zu vereinigen. Änderungen der Dateneinträge können zentral vorgenommen werden und gewährleisten damit einen einheitlichen Datenstand (Änderung der PIN-Nummer, Ersatz bei Verlust).
d. Wegfall eines hochschuleigenen Bargeld-Handling und vereinfachte Kontrolle des Zahlungsverkehrs
Besonders aufwändig ist die Kontrolle von Zahlungskreisläufen, die durch unterschiedliche Kartensysteme bedingt sind. Die Reduzierung auf ein einheitliches Trägermedium (etwa die EC-Karte mit Geldchip) führt dazu, das einerseits ein Teil der Transaktionskosten auf Dienstleister außerhalb der Hochschulen verlagert werden können (insb. das Bankensystem), andererseits erhält die Verwaltung einen zeitnahen Überblick über die Zahlungsströme. Studierenden bleibt erspart, mehrere verschiedene Bargeldträger (Magnetstreifenkarten, etc.) zu verwenden. Außerdem erhöht sich der Umsatz pro Karte, die Geldbindung wird reduziert.
Der Einsatz von Chipkartensystemen muss Teil einer umfassenden Analyse und Verbesserung der gesamten Geschäftsprozesse der Hochschulverwaltung sein. Dabei sollte immer auch das lokale Umfeld der Hochschulen und ihr Eingebundensein in regionale Netzwerke beachtet werden. Exakte Kosten-Nutzen-Angaben sind gegenwärtig nicht möglich, weil die bestehenden Ablaufstrukturen bisher noch keinem entsprechenden Kalkül unterzogen wurden.
2. Hochschul- und datenschutzrechtliche Rahmenbedingungen
Je nach Funktionszuschnitt der Chipkartensysteme werden in unterschiedlichem Umfang hochschul-, hochschulverwaltungs-, zivil- und datenschutzrechtliche Normen berührt. Nach Einschätzung der HRK können gegenüber der Einführung von Chipkartensystemen in den genannten Rechtsbereichen keine grundsätzlichen Einwände geltend gemacht werden. Aus Gründen der Rechtssicherheit sind explizite Ergänzungen der einschlägigen Rechtsvorschriften um die Möglichkeiten eines Chipkarteneinsatzes wünschenswert.
Einige hochschul- bzw. hochschulverwaltungsrechtliche Bestimmungen stellen bislang die digitale Abwicklung von Geschäftsvorgängen nicht in vollem Umfang mit den herkömmlichen Verfahren der Schriftlichkeit und persönlichen Anwesenheit gleich (z.B. bei der Immatrikulation). Da es sich bei der Studien- und Prüfungsverwaltung regelmäßig um eine Selbstverwaltungsangelegenheit der Hochschule handelt, nach Auffassung der HRK jedenfalls handeln sollte, könnten durch entsprechende Änderungen der Hochschulsatzungen die Voraussetzungen für rechtsverbindliche Transaktionen mittels Chipkarten rasch geschaffen werden.
Um der Gefahr des Missbrauchs von personenbezogenen Daten zu begegnen, sollte der Umfang der auf den Karten gespeicherten Daten möglichst gering gehalten werden. Für die Mehrzahl der Anwendungen genügt es, die zur eindeutigen Identifizierung des Karteninhabers benötigten Daten auf dem Chip abzulegen. Dies dürfte in der Regel die Matrikelnummer in Verbindung mit einer PIN-Nummer sein. Alle übrigen personenbezogenen Daten können in den "Hintergrundsystemen" der Hochschulverwaltung gespeichert werden. Auch der personenbezogene Datenaustausch zwischen den Hochschulen kann besser auf Netzen und Übertragungsprotokollen erfolgen.
3. Kommunikation innerhalb und außerhalb der Hochschulen
Chipkartensysteme können mit Erfolg nur dann in der Hochschulverwaltung und den hochschulinternen Dienstleistungsbereichen eingeführt werden, wenn neben einer abgestimmten technischen Infrastruktur die Akzeptanz durch die betroffenen Personengruppen gewährleistet ist. Die Erfahrungen aus den bisherigen Modellprojekten zeigen deutlich, dass eine möglichst frühzeitige Informationen über die geplante Einführung und die Beteiligung an konzeptionellen Überlegungen zu den Einsatzfeldern zu breiter Akzeptanz führen. Deshalb empfiehlt es sich, geeignete Koordinierungs- und Gesprächsgruppen einzurichten, die den Prozess der Einführung von Chipkartensystemen von Beginn an begleiten. Dabei sind insbesondere die örtlichen Datenschutzbeauftragten einzubeziehen.
4. Wahl der Kartenart und Infrastrukturkosten
Die eingesetzten Kartensysteme sollten die Funktionen:
- elektronischer Zahlungsverkehr
- digitale Signierung
- (Studierenden)ausweis ("visuelle Identifikation")
unterstützen. Darüber hinaus sollten die eingesetzten Chips über zusätzliche Datenspeicher bzw. -felder verfügen, um erweiterbar für individuelle Zusatzanwendungen zu sein (z.B. die Belegung eines leeren Datenfeldes mit dem Attribut "Studierender").Den Hochschulen bleibt auch in Zukunft der Einsatz eigener Chipkarten mit lokalem Gültigkeitsbereich unbenommen. Doch mit Blick auf die Anschaffungs- und Einsatzkosten erfüllen nach gegenwärtigem Entwicklungsstand kontogebundene und -ungebundene Geldkarten sowie die Nutzung des Geldkartenchips auf den EC-Karten am besten die beschriebenen Anforderungen.
Der flächendeckende Austausch der bestehenden EC- und Geldkarten durch eine neue Generation von Chipkarten mit integriertem Signaturchip, wie er im Kreditgewerbe bis 2002 vollzogen werden wird, stellt den Hochschulen (zunächst) ohne finanzielle Eigenbeteiligung Karten mit weitreichendem Funktionsumfang zur Verfügung.
Will oder kann die Hochschule nicht auf eine "visuelle Identifikation" (i.d.R. durch Lichtbild) und veränderbare Daten (z.B. Angaben, die auf einzelne Semester bezogen sind, OCR-Codierungen für Bibliotheken) verzichten, sind diese Anforderungen auf dem Datenträger der kontogebundenen EC-Chipkarten nicht realisierbar, da die Karten durch die Hochschule nicht verändert werden dürfen. Praktikable Lösungen können Kartenhüllen mit Aufdrucken und wiederbeschreibbarer Flächen (z.B. Thermochromstreifen, Magnet- und Barcodestreifen) oder die Ausgabe zusätzlicher, nur lokal gültiger Karten sein, deren Gestaltung nicht den Regeln des Kreditgewerbes unterliegen. Ähnlich liegt der Fall bei kontaktlosen Chipkarten, die zunehmend zum Einsatz kommen.
Sofern Chipkartensysteme bereits im Einsatz sind, verfügen die Hochschulen über eine Reihe von Schnittstellengeräten (z.B. Lese- und Ladegeräte). Nach Auskunft von Experten sind diese mehrheitlich in der Lage, auch die nächste Generation von Chipkarten zu lesen. Ein Update der Steuerungssoftware reicht in der Regel aus, um die erweiterten Funktionen und Daten an die Hintergrundsysteme anzubinden. Die Hochschulen werden in den nächsten Jahren, insbesondere im Zuge der Einführung von neuen Kosten- und Leistungsrechnungssystemen, eine Neu- bzw. Ersatzbeschaffung von Verwaltungssoftware durchführen.
Hier empfiehlt sich eine zeitliche und konzeptionelle Abstimmung mit der Einführung von Chipkartensystemen. Moderne Standardsoftware (z.B. HICOS, SAP) erlaubt das Einlesen von Daten über chipkartengeeignete Peripheriegeräte durch entsprechend programmierte Module. Beim Einsatz digitaler Signaturen treten Einmalkosten für die Ausstellung eines "digitalen Schlüsselpaares" und laufende Kosten pro Transaktion auf. Es ist damit zu rechnen, dass mit der zunehmenden Verbreitung digitaler Signierverfahren diese Kosten sinken werden. Eine positive Aufwand-Ertrag-Relation stellt sich um so eher ein, sofern zusätzlich außerhochschulische Anwendungsfelder ("virtuelles Rathaus", ÖPNV-Karten) dem Studierenden zur Verfügung stehen.
Digitale Schlüsselpaare (public-private-key-Verfahren) können sowohl durch die Hochschulen als auch durch externe Zertifizierungsagenturen (Trustcenter) ausgestellt und verwaltet werden. Da das deutsche Signaturgesetz hohe Anforderungen an die Sicherheitsinfrastruktur stellt, empfiehlt die HRK den Hochschulen, keine eigenen Zertifizierungsagenturen aufzubauen, sondern akzeptable Konditionen mit privaten Trustcenter-Betreibern zu vereinbaren.
5. Kooperationen
Bei der Wahl der (software) technischen Lösungen für Hintergrundsysteme und Schnittstellen sollte ein Institutionen übergreifender Einsatz möglich bleiben. Damit vermeiden die Hochschulen, sich dauerhaft an einen Anbieter zu binden und Wettbewerbsvorteile nicht auszuschöpfen. Die hard- und softwaretechnische Komplexität eines multifunktionalen Chipkartensystems erfordert regelmäßig eine enge Zusammenarbeit mit (meist mehreren) anderen Hochschulen (Dienstleistern). Deshalb ist in jeder Hochschule eine Koordinationsstelle nützlich, um Ausfallzeiten zu reduzieren und eine zeitnahe Anpassung an die Nutzerbedürfnisse zu gewährleisten.
Zumindest in der Einführungsphase werden die Hochschulen auf verschiedene Formen öffentlichen Engagements und privat-public-partnership-Modelle angewiesen sein. Bevorzugte Partner sind das örtliche Kreditgewerbe und Hard/Softwareprovider. Für den Aufbau oder die Nutzung hochschulübergreifender Service- und Netzinfrastrukturen (z.B. Trustcenter) sollten die Länder für einen befristeten Zeitraum zusätzliche Mittel zur Verfügung stellen.
6. Zahlungsverkehr
Gegenwärtig konkurrieren kontogebundene und kontoungebundene Zahlungssysteme miteinander. Eine eindeutige Aussage zugunsten eines der beiden Systeme kann nicht getroffen werden. Handelt es sich um die alltägliche Abbuchung von Kleinstbeträgen (Kopien, Bibliotheksentgelten etc.) und/oder um Bereiche, in denen unnötige Wartezeiten zu vermeiden sind (z. B. Mensabetrieb), so sind unter den gegenwärtigen Bedingungen kontoungebundene Geldkarten oder Hybrid-Karten (EC- und Geldkarten mit Doppelchip) gute Lösungen. Da hier keine Online-Transaktionen auf einem Bankkonto durchgeführt werden müssen, fallen wesentlich geringere Bearbeitungsgebühren an. Besonders bei einer hohen Anzahl von Transaktionen mit geringen Umsätzen sollte diese Lösung gewählt werden.
Soll eine kontogebundene Chipkarte zum Einsatz kommen, so sollte auf aufwändige Authentifizierungsverfahren mit PIN-Abfrage bei Kleinstbeträgen verzichtet und von der Hochschule auf eine Übernahme der Transaktionskosten durch das Kreditgewerbe gedrängt werden. Eine zusätzliche finanzielle Belastung der Studierenden sollte vermieden, vielmehr sollten Kostensenkungen an diese weiter gegeben werden, um die Akzeptanz der Karten zu steigern.
Mit der Einführung kontogebundener Kreditkarten wird der an vielen Standorten existierende geschlossene Geldkreislauf zwischen Studierenden, Hochschule und Studentenwerk zugunsten einer unmittelbaren Abwicklung der Zahlungsvorgänge durch kommerzielle Kreditunternehmen aufgebrochen. Den Studentenwerken gehen dabei relevante Einnahmen verloren; auch technische Defizite, wie fehlende Stornomöglichkeiten oder Pfandrückbuchungen, sind bislang nicht befriedigend gelöst.
7. Prüfungsverwaltung
Die vollständige Dokumentation von Studienleistungen und eine entsprechende Vorlage bei Abschlussprüfungen ("elektronische Prüfungsakte") gewinnt bei zunehmend modularisierten Studiengängen und studienbegleitenden Prüfungsverfahren weiter an Gewicht. Hier durch Digitalisierung die Abläufe zu beschleunigen, liegt einerseits im Interesse der Studierenden. Andererseits wird der Dokumentenaustausch zwischen den beteiligten Prüfungsämtern und Fachbereichen erleichtert. Die HRK sieht in diesem Anwendungsfeld mittelfristig einen erheblichen Zuwachs an Serviceleistungen gegenüber dem Studierenden. Es besteht aber noch umfangreicher Regelungsbedarf in Bezug auf die Archivierung, Authentifizierung und den Ablauf von Prüfungsverfahren, der durch die Möglichkeit einer "Fern-Prüfung" noch zunimmt [2].
Anmerkungen:
[1] Die HRK hat im Juni 1999 einen ganztägigen Workshop zur Praxis des Einsatzes von Chipkarten an deutschen Hochschulen veranstaltet.
[2] Auf allen Einsatzfeldern, die einer hochschul- und länderübergreifenden Regelung bedürfen (z. B. Trustcenter, Netzinfrastrukturen) wird zum Teil erheblicher Koordinierungsbedarf gesehen. Die Frage bleibt, ob eine bzw. welche Institution (z. B. die HRK) diese Steuerungsaufgabe übernehmen könnte.
Anhang
Beispiele für gegenwärtig an deutschen Hochschulen bereits realisierte bzw. geplante Chipkartenlösungen:
Funktion
Beispiele für den Hochschuleinsatz
Abbuchung von Semestergebühren, Immatrikulation und Rückmeldung
FH Esslingen, H Wismar, Uni Bochum, Uni Hamburg, Uni Leipzig, Uni Lübeck, Uni Tübingen, Uni Würzburg
Ausweisfunktion
H Wismar, Hochschule Bremen, HTW Zittau-Görlitz, TU Dresden, Uni Bochum, Uni Bremen, Uni Halle-Wittenberg, Uni Leipzig, Uni Lübeck, Uni Trier, Uni Tübingen
Benutzung des ÖPNV
TU Dresden, Uni Bremen, Uni Hamburg, Uni Leipzig
Bibliotheksnutzung
H Wismar, HTW Zittau-Görlitz, TU Dresden, Uni Bochum, Uni Halle-Wittenberg, Uni Leipzig, Uni Würzburg
Digitale Signatur
HTW Zittau-Görlitz, Uni Bremen, Uni Würzburg
Gebäudezutrittskontrolle, Netzzugang
HTW Zittau-Görlitz, Uni Erlangen, Uni Halle-Wittenberg, Uni Hamburg, Uni Tübingen, Uni Würzburg
Kopier- und Telefonkarten
FH Esslingen, FHTW Berlin, H Wismar, HTW Zittau-Görlitz, TU Dresden, Uni Halle-Wittenberg, Uni Hamburg, Uni Köln, Uni Leipzig, Uni Lübeck, Uni Tübingen, Uni Würzburg
Mahngebühren
HTW Zittau-Görlitz, Uni Würzburg
Mensakarte
FU Berlin, H Wismar, HTW Zittau-Görlitz, TH Darmstadt, TU Chemnitz, Uni Halle-Wittenberg, Uni Karlsruhe, Uni-GH Essen
Parkraumbewirtschaftung
HTW Zittau-Görlitz, Uni Trier, Uni Würzburg
Prüfungsverwaltung
Uni Bremen, Uni Bochum
Verkaufsautomaten, Verkauf von Studienmaterialien
Uni Leipzig, Uni Würzburg
Mitarbeiterkarte
HTW Zittau-Görlitz, Uni Tübingen, Uni Würzburg