Datenschutz und Vertraulichkeit beim Ghostwriting

Vertraulichkeit als Geschäftsgrundlage

Akademisches Ghostwriting funktioniert nur, wenn Vertraulichkeit beidseitig verlässlich ist. Der Auftraggeber muss darauf vertrauen können, dass seine Identität, die Hochschule und das Thema nicht öffentlich werden. Der Anbieter muss darauf vertrauen können, dass der Kunde die vertragliche Beziehung nicht offenlegt. Diese gegenseitige Diskretion ist nicht moralisch interessant — sie ist die ökonomische Grundlage einer Tätigkeit, die in einem rechtlich legalen, aber gesellschaftlich diskret behandelten Markt operiert.

In der Praxis manifestiert sich diese Vertraulichkeit auf drei Ebenen: vertraglich (Vertraulichkeitsvereinbarungen), technisch (verschlüsselte Kommunikation, Datensparsamkeit) und organisatorisch (Pseudonymisierung, beschränkter Zugriff). Ein seriöser Anbieter regelt alle drei Ebenen explizit; ein unseriöser ignoriert sie oder regelt sie nur formal.

DSGVO-Grundlagen für Auftraggebende

Die Datenschutz-Grundverordnung gilt für jede Verarbeitung personenbezogener Daten in der EU — auch im Verhältnis zwischen Studierender und Ghostwriter-Agentur. Was sind in diesem Zusammenhang personenbezogene Daten? Klassisch: Name, E-Mail-Adresse, Telefonnummer, Anschrift. Im Ghostwriting-Kontext zusätzlich: Hochschule, Studiengang, Thema der Arbeit, Inhalte des Briefings, eingereichte Materialien wie Vorarbeiten oder eigene Kapitel.

Die DSGVO verlangt für jede Verarbeitung dieser Daten eine Rechtsgrundlage. Für Ghostwriting-Aufträge ist das in der Regel der Vertrag (Art. 6 Abs. 1 lit. b DSGVO) — der Anbieter darf die Daten verarbeiten, soweit es zur Vertragserfüllung notwendig ist. Darüber hinausgehende Nutzungen (Marketing, Newsletter, Weitergabe an Dritte zu eigenen Zwecken des Anbieters) brauchen eine separate Einwilligung — die Sie nicht erteilen müssen.

Sie haben außerdem ein Recht auf Information, was mit Ihren Daten geschieht. Diese Information muss in der Datenschutzerklärung des Anbieters enthalten sein und auf Anfrage konkretisiert werden. Ein Anbieter ohne Datenschutzerklärung verletzt die DSGVO und sollte aus diesem Grund allein bereits ausgeschieden werden.

Datenfluss zwischen Kunde und Bearbeiter

Ein seriöser Anbieter strukturiert den Datenfluss nach dem Grundsatz der Datensparsamkeit: Es wird nur das verarbeitet und gespeichert, was für die Bearbeitung tatsächlich nötig ist. Klarname, Hochschule, Studiengang und Kontaktdaten gehen an den verantwortlichen Bearbeiter — geschützt durch DSGVO, schriftlichen Vertrag und NDA. Materialien wie Briefing, Vorarbeiten oder eingereichte Kapitel fließen verschlüsselt zwischen den beiden Parteien hin und her.

Wird für ein Spezialthema außerhalb des Kernfachs ein externer Fachautor hinzugezogen, geschieht das in einer eigenen vertraglichen Stufe: pseudonymisiertes Briefing, eigener NDA, klare Zweckbindung. Der Klarname der Auftraggeberin bleibt beim Hauptbearbeiter; der externe Fachautor erhält nur die fachlich notwendigen Inhalte, ohne identifizierende Details. Wer am Auftrag tatsächlich schreibt, ist im Vorfeld transparent kommuniziert — anonyme Vermittlung an wechselnde Bearbeiter aus einer Liste ist mit dem Grundsatz der Datensparsamkeit nicht vereinbar.

Diese Struktur schützt mehrfach. Im Konfliktfall — etwa bei einer Forderung Dritter, die Identität des Kunden offenzulegen — lässt sich juristisch belastbar dokumentieren, dass nur die zwingend notwendigen Daten weitergegeben wurden. Und je weniger Personen auf den Klarnamen zugreifen können, desto kleiner ist das Risiko einer unbeabsichtigten Offenlegung.

Vertraulichkeitsvereinbarungen

Eine professionelle Vertraulichkeitsvereinbarung — oft als NDA (Non-Disclosure Agreement) bezeichnet — regelt zwei Richtungen. Erstens verpflichtet sie den Bearbeiter, über den Auftrag und seine Inhalte zu schweigen. Wird ein externer Fachautor hinzugezogen, schließt der Hauptbearbeiter mit ihm einen eigenen NDA, der inhaltlich nicht hinter dem Vertrag mit der Auftraggeberin zurückbleibt. Zweitens kann die Vereinbarung die Kundin verpflichten, die Identität des Anbieters und die Existenz des Auftrags nicht ohne Zustimmung Dritten zu offenbaren.

Inhaltlich umfasst eine seriöse NDA: Definition der vertraulichen Information, Geltungsdauer (üblich: dauerhaft, nicht zeitlich befristet), erlaubte Ausnahmen (gesetzliche Auskunftspflichten, gerichtliche Anordnungen), Konsequenzen bei Verletzung (Vertragsstrafe oder mindestens Schadensersatzpflicht), Gerichtsstand und anwendbares Recht.

Wer eine NDA prüft, sollte auf zwei Dinge achten: Die Pflichten müssen gegenseitig sein (nicht nur einseitig zulasten des Auftraggebers), und die Ausnahmen müssen sachgerecht sein. Eine NDA, die alle praktischen Schutzbedürfnisse durch zu weite Ausnahmen aushöhlt, ist mehr Marketingdokument als Schutz.

Sichere Kommunikationswege

Drei technische Aspekte verdienen Beachtung.

E-Mail-Kommunikation. Standard-E-Mail ist nicht verschlüsselt im Sinne der DSGVO; sie wird auf mehreren Servern zwischen Absender und Empfänger gespeichert. Ein seriöser Anbieter bietet wahlweise eine TLS-gesicherte Übermittlung an, ein eigenes verschlüsseltes Postfach (über die Webseite) oder eine Ende-zu-Ende-Verschlüsselung mit PGP für Kunden, die das technisch beherrschen. Für sehr sensible Inhalte ist Letzteres die sicherste Wahl.

Messenger-Dienste. WhatsApp ist in der Praxis verbreitet und für die organisatorische Kommunikation (»wann liefern wir das nächste Kapitel?«) unbedenklich. Für inhaltliche Materialien — Themenexposé, Datensätze, Zwischenstände — ist WhatsApp aus Datenschutzsicht weniger geeignet als ein verschlüsselter Anbieter wie Signal oder Threema, auch wenn die Praxis hier oft pragmatischer verfährt.

Dateiaustausch. Cloud-Dienste wie Google Drive, Dropbox oder OneDrive verarbeiten Daten in den USA und sind damit für sehr sensible Inhalte ohne zusätzliche Verschlüsselung kritisch. Europäische Anbieter wie Nextcloud (selbst gehostet) oder MagentaCLOUD (Telekom) bieten DSGVO-konforme Alternativen. Die seriöse Lösung ist oft ein eigenes Kunden-Portal des Anbieters.

Was nach Projektabschluss mit Ihren Daten geschieht

Die DSGVO verlangt, dass personenbezogene Daten nicht länger gespeichert werden, als es für den Zweck nötig ist. Nach Abschluss eines Ghostwriting-Auftrags bedeutet das konkret: Die für die Vertragsabwicklung erforderlichen Daten — Rechnungsstellung, steuerliche Aufbewahrungspflichten — bleiben bestehen, soweit gesetzlich vorgeschrieben (in Deutschland sechs bis zehn Jahre für Buchhaltungsunterlagen).

Alle weiteren Inhalte — Materialien, Korrespondenz, Briefingdokumente — sollten bei einem seriösen Anbieter innerhalb einer kurzen Frist gelöscht werden. Eine in der Praxis bewährte Frist ist ein bis drei Monate nach Auftragsabschluss; spätere Löschung lässt sich auf Wunsch jederzeit verlangen. Diese Löschpolitik sollte in der Datenschutzerklärung dokumentiert sein und auf Nachfrage konkretisiert werden.

Was nicht passieren darf: Materialien werden für andere Zwecke weiterverwendet — etwa zur Ausbildung interner Modelle, zur Wiederverwertung in anderen Aufträgen oder zur Werbung. Ein seriöser Anbieter schließt diese Nutzungen vertraglich aus.

Ihre Rechte nach DSGVO

Als Betroffene haben Sie nach DSGVO mehrere Rechte, die jederzeit gegenüber dem Anbieter geltend zu machen sind.

Auskunftsrecht (Art. 15 DSGVO). Sie können verlangen, welche Daten zu Ihrer Person der Anbieter verarbeitet, zu welchem Zweck, an wen sie weitergegeben wurden, wie lange sie gespeichert werden. Der Anbieter muss innerhalb eines Monats antworten.

Berichtigungsrecht (Art. 16 DSGVO). Falsche oder unvollständige Daten müssen auf Antrag korrigiert werden.

Löschungsrecht / »Recht auf Vergessenwerden« (Art. 17 DSGVO). Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Anfrage muss begründet werden, eine pauschale Berufung reicht in der Regel.

Widerspruchsrecht (Art. 21 DSGVO). Sie können der Verarbeitung Ihrer Daten widersprechen, soweit sie auf berechtigtem Interesse des Anbieters beruht (das gilt nicht für vertragliche Verarbeitungen, sondern etwa für Newsletter).

Beschwerderecht (Art. 77 DSGVO). Wenn ein Anbieter sich nicht an die DSGVO hält, können Sie Beschwerde bei der zuständigen Datenschutzaufsicht einlegen. In Deutschland ist das je nach Sitz des Anbieters die Datenschutzbeauftragte des jeweiligen Bundeslandes.

Risiken bei unseriösen Anbietern

Wer bei der Auswahl der Datenschutz-Aspekte nachlässig ist, riskiert handfeste Nachteile. Drei Szenarien sind in der Praxis zu beobachten.

Daten in Drittländern. Anbieter mit Sitz oder Server-Standort in Ländern ohne Datenschutzabkommen mit der EU verarbeiten Daten unter potenziell schwächeren rechtlichen Standards. Einige bekannte Plattformen sitzen in osteuropäischen Ländern, die zwar in der EU sind, aber im Streitfall nur schwer erreichbar.

Kein NDA, keine vertraglichen Sicherheiten. Wer keinen schriftlichen Vertrag und keine Vertraulichkeitsvereinbarung unterschreiben will, ist im Konfliktfall haftungsrechtlich kaum greifbar. Im schlimmsten Fall werden Materialien an Dritte weitergegeben oder als Druckmittel verwendet.

Daten als Trainingsmaterial. Manche Anbieter nutzen die eingereichten Materialien zum Training eigener KI-Modelle oder verkaufen sie an Datenmakler. Ohne explizite Ausschlussklausel ist dies eine reale Gefahr — und oft im Kleingedruckten der AGB versteckt.

Zusammenfassung

Datenschutz und Vertraulichkeit beim Ghostwriting beruhen auf drei Säulen: rechtlich (DSGVO und vertragliche Vertraulichkeitsvereinbarungen), technisch (verschlüsselte Kommunikation, sichere Dateiwege) und organisatorisch (Datensparsamkeit, getrennte Datenhaltung, Löschfristen). Ein seriöser Anbieter regelt alle drei Säulen explizit, dokumentiert die Datenverarbeitung in einer Datenschutzerklärung und bietet eine schriftliche NDA. Wird für ein Spezialthema ein externer Fachautor hinzugezogen, geschieht das pseudonymisiert und unter eigenem NDA. Als Auftraggeber haben Sie nach DSGVO umfangreiche Rechte — Auskunft, Berichtigung, Löschung, Widerspruch und Beschwerde — die Sie jederzeit geltend machen können. Wer beim Datenschutz nachlässig ist, geht nicht nur ein abstraktes Risiko ein, sondern schwächt die ökonomische Grundlage des gesamten Vertrauensverhältnisses. Eine sorgfältige Prüfung dieser Punkte ist deshalb keine bürokratische Pflichtübung, sondern Teil der eigentlichen Anbieterauswahl.