Mehr Gewicht für Datenschutz an der Uni  [25.05.18]

Seit heute gelten in der EU einheitliche Regeln für den Datenschutz. Umgesetzt werden muss die Reform auch an der Uni. Denn personenbezogene Daten, z.B. von Studierenden, Beschäftigten oder Partnern, spielen im Alltag eine wichtige Rolle. Um Beschäftigte beim Umsetzen der EU-Verordnung zu unterstützen, will das Rektorat zusätzliche Ressourcen für den Datenschutz bereitstellen. U.a. sollen Standard-Lösungen für zentrale Arbeitsprozesse entwickelt und Beschäftigte besser informiert und sensibilisiert werden.

Viele Unternehmen haben ihre Datenschutzrichtlinien und AGBs in den letzten Tagen noch eilig nachjustiert. Verbraucher sahen sich in der Folge mit einer ganzen Flut an Mails, Briefen und Hinweisen im Netz konfrontiert.

Die neue EU-weit gültige Datenschutzgrundverordnung (DS-GVO) zielt vor allem darauf ab, endlich auch große international agierende Datensammler wie Facebook & Co in die Pflicht zu nehmen. Tatsächlich bereitet sie aber auch kleineren Unternehmen Kopfzerbrechen, die sich zu Teil erstmals intensiver mit dem Thema Datenschutz auseinandersetzen.

Land plant Ausnahmen für wissenschaftlichen Bereich

Und Universitäten? Die sind von der DS-GVO grundsätzlich genauso betroffen wie Unternehmen, Vereine oder Behörden. Allerdings gibt es ein paar Besonderheiten.

Kanzlerin Katrin Scheffer setzt z.B. darauf, dass das Land Baden-Württemberg den bestehenden gesetzlichen Spielraum nutzt, um Ausnahmeregelungen für die Datenverarbeitung im Kontext von Wissenschaft zu treffen, z.B. für sozialwissenschaftlichen Forschungsprojekte oder für die automatisierte Auswertung großer Datensätze.

„Das Landesdatenschutzgesetz muss erneuert und in Einklang mit der EU-Verordnung gebracht werden“, so Scheffer. „Wir haben uns seitens der Uni Hohenheim gemeinsam mit den anderen Landes-Universitäten in den Prozess eingebracht. Inzwischen existiert ein Gesetzentwurf, in dem unsere Vorschläge auch berücksichtigt sind. Die Verabschiedung im Parlament steht jedoch noch aus.“

Ähnliche Regeln – strengere Strafen

Und was ändert sich für die Uni hinsichtlich personenbezogener Daten von Beschäftigten, Studierenden, Alumni oder Partnern?

Auf den ersten Blick gar nicht so viel. Denn die Regeln für den Umgang mit personenbezogenen Daten waren in Deutschland auch bisher schon streng.

Allerdings wurden Verstöße bisher kaum geahndet. Entsprechend lax haben viele Unternehmen die bestehenden Regelungen umgesetzt. Künftig drohen empfindliche Bußgelder. Bei extrem schwerwiegenden Verstößen können diese bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes betragen.

Uni ist von Bußgeldern weitgehend ausgenommen

Für die Uni Hohenheim ist die Ausgangslange hingegen nicht ganz so bedrohlich. Zum einen, weil sie auch bisher schon wesentliche formale Anforderungen der bestehenden Datenschutzverordnung erfüllt. Zum anderen, weil Unis als öffentlichen Einrichtungen im Regelfall nur Sanktionen, aber keine Geldbußen befürchten müssen.

„Hier steckt der Teufel allerdings im Detail“, betont Kanzlerin Scheffer. „Wenn die Uni z.B. Auftragsforschung für Unternehmen durchführt, gilt dies als wirtschaftliche Betätigung und nicht als hoheitliche Aufgabe. Entsprechend könnten Verstöße hier genauso wie bei Unternehmen geahndet werden. Spannend ist die Frage, ob das grundsätzliche für alle Drittmittelprojekte gilt – und wie Dienstleistungen einzuschätzen sind, mit denen Universitäten in Konkurrenz zum freien Markt stehen können, z.B. Druck- & Kopierdienste. Hier gibt es noch eine ganze Menge juristischen Klärungsbedarf.“

Auskunftspflicht, Recht auf „Vergessen-werden“, Datensicherheit

Zurücklehnen kann sich die Uni mit Blick auf die neue Rechtslage jedoch auch aus anderen Gründen nicht. Denn in der DS-GVO geht es nicht allein um den Datenschutz an sich. Ein wesentliches Ziel der Verordnung ist es darüber hinaus, für Einzelpersonen mehr Transparenz zu schaffen und ihnen das Recht auf „Vergessen-werden“ einzuräumen.

Unter anderem muss sich die Uni darauf vorbereiten, bei Anfragen zeitnah Auskunft zu geben, welche Daten über die jeweilige Person an verschiedenen Stellen gespeichert sind. Auf Wunsch müssen diese Daten zeitnah gelöscht werden, sofern keine rechtliche Verpflichtung zur Aufbewahrung der Daten dagegenspricht.

Darüber hinaus muss die Uni gegenüber den Aufsichtsbehörden detailliert darlegen, wie sie sich technisch und organisatorisch gegen mögliche Datenpannen wappnet. U.a. muss sichergestellt sein, dass Datenlecks binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

Neuer Datenschutzbeauftragter

Verpflichtend ab 25. Mai ist für die Uni darüber hinaus die Bestellung eines Datenschutzbeauftragten, der dafür zuständig ist, dass die EU-Verordnung im Alltag auch tatsächlich eingehalten wird. Er informiert und berät Beschäftigte, überwacht sensible Prozesse und arbeitet mit Aufsichtsbehörden zusammen.

Übergangsweise nimmt Uni-Justiziar Dr. Matthias Wilhelm diese Funktion für die Uni Hohenheim wahr. Da Stellen an der Universität rar sind, will das Rektorat die gesetzlich definierten Aufgaben des Datenschutzbeauftragten künftig jedoch extern vergeben.

Service-Angebote für Beschäftigte geplant

„Wir wollen aber auch unsere internen Ressourcen für das Thema Datenschutz zeitnah aufstocken“, erklärt Kanzlerin Scheffer. „Die externe Vergabe der Position des Datenschutzbeauftragten schafft dabei zusätzlichen Spielraum. An der Uni wollen wir unsere Kräfte bündeln, um Service-Angebote bereitzustellen, die Beschäftigte bei der konkreten Umsetzung der Verordnung helfen. Denn Datenschutz ist keine Angelegenheit, die durch eine zentrale Stelle in der Verwaltung erledigt werden kann, sondern die von allen Beschäftigten im Alltag praktiziert werden muss.“

Zum einen soll das Info-Portal zum Thema Datenschutz in den kommenden Monaten erweitert, gut verständliche Handreichungen erstellt und Beschäftigte durch verschiedene weitere Kommunikationsmaßnahmen für wichtige Datenschutz-Aspekte sensibilisiert werden. Zum anderen soll eine Projektgruppe ausgewählte zentrale Arbeitsvorgänge hinsichtlich Datenschutz-Gesichtspunkten genauer unter die Lupe nehmen.

Ziel: Arbeitsprozesse vereinheitlichen

„Beispielsweise speichern alle Fachgebiete Prüfungsleistungen von Studierenden derzeit auf jeweils individuelle Weise ab und übermitteln sie auf unterschiedlichen Wegen ans Prüfungsamt“, so Scheffer. „Wir wollen den Lehrstühlen nicht nur Handreichungen dafür an die Hand geben, sondern ein komplettes Standard-Verfahren entwickeln, inklusive Datei-Vorlagen für Excel-Listen und Co sowie der datenschutzrechtlich erforderlichen Prozess-Dokumentation. Dieses Angebot entlastet die Lehrstühle, die andernfalls selbst individuelle Verarbeitungsverzeichnisse erstellen müssten.“

Besondere Unterstützung sollen außerdem diejenigen Einrichtungen erhalten, die regelmäßig mit großen Mengen an personenbezogenen Daten umgehen, wie z.B. die Personalabteilung oder die Abteilung Studienangelegenheiten, sowie das KIM als zentraler Dienstleister, der die technische Infrastruktur für die Datenverarbeitung an der Uni Hohenheim zur Verfügung stellt.

Text: Leonhardmair