Verantwortung im Datenschutz
Personenbezogene Daten von Studierenden, Mitarbeitenden und anderen Personen, die mit der Universität in Kontakt stehen, müssen geschützt werden. Die Universität muss sicherstellen, dass die Regelungen der Datenschutzgrundverordnung – kurz DSGVO – eingehalten werden. So dürfen nur dann personenbezogene Daten verarbeitet werden, wenn dies rechtmäßig, transparent und zweckgebunden erfolgt. Zudem müssen technische und organisatorische Maßnahmen getroffen werden, um die Daten vor Verlust, unbefugtem Zugriff oder Missbrauch zu schützen. Gerade auch im Forschungsumfeld ist wichtig, dass die Daten nur dann an Dritte weitergegeben werden dürfen, wenn die betroffene Person eingewilligt hat oder es eine andere rechtliche Grundlage gibt. Die betroffenen Personen und ihre Rechte stehen im Mittelpunkt. Seit 1. September 2024 unterstützt Dennis Winkler als Datenschutzmanager die Universität bei der Umsetzung von Datenschutzmaßnahmen. Über seine Aufgaben, die Maßnahmen zum Datenschutz und warum es an der Uni eine Datenschutzbeauftragte und einen Datenschutzmanager gibt, spricht er mit Ines Perl.
An der OVGU ist bereits eine Datenschutzbeauftragte tätig, warum jetzt noch einen Datenschutzmanager?
Der Umfang und die Komplexität nehmen durch die steigende Digitalisierung der Arbeitsprozesse, die alle datenschutzkonform umgesetzt werden müssen, stetig zu. Es steigen auch die potenziellen Gefahren für den Einzelnen. Eine Vielzahl an Vorschriften und rechtlichen Vorgaben, die sich ständig ändern, führen zu einer hohen Arbeitsbelastung. Die Universität hatte vor einigen Jahren bereits einen Datenschutzmanager, der sehr erfolgreich Prozesse an der OVGU umgesetzt hat. Die Stelle war seit einiger Zeit unbesetzt und so mussten wir, die Datenschutzbeauftragte Rita Freudenberg und ich als ihr Stellvertreter, viele Dinge zusätzlich übernehmen, die gar nicht zu den eigentlichen Aufgaben von Datenschutzbeauftragten gehören. Entsprechend war die Arbeitsbelastung hoch und die Zeit knapp. Mit mir steht nun eine Vollzeitkraft zur Verfügung, die sich intensiv um alle Belange des Datenschutzes an der Universität kümmern kann. Und so ist dann auch wieder die Trennung zwischen Kontrolle und Umsetzung des Datenschutzes hergestellt.
Der neue Datenschutzmanager Dennis Winkler (Foto: Jana Dünnhaupt)
Welche Hauptaufgaben hat ein Datenschutzmanager im Vergleich zu einem Datenschutzbeauftragten?
Datenschutzbeauftragte und Datenschutzmanager ergänzen sich, haben aber unterschiedliche Aufgaben und Rollen. Ein Datenschutzmanager unterstützt bei den operativen Aufgaben und koordiniert die praktische Umsetzung des Datenschutzes im Tagesgeschäft. Dazu zählen beispielsweise die Entwicklung und Umsetzung von Richtlinien, also konkrete Maßnahmen und Prozesse, um den Datenschutz im Alltag sicherzustellen. Hierzu gehört aber auch die Sensibilisierung der Mitarbeitenden für den Datenschutz, die Analyse möglicher Risiken, die Identifikation potenzieller Datenschutzlücken sowie der Entwurf von Strategien zur Minimierung dieser Risiken. Eine weitere Aufgabe ist die ordnungsgemäße Dokumentation von Datenschutzmaßnahmen und Datenschutzvorfällen. Dazu zählt auch das Führen eines Verzeichnisses der an der Universität durchgeführten Verarbeitungstätigkeiten.
Die Datenschutzbeauftragte hingegen hat primär die Aufgabe, die Einhaltung der Datenschutzvorschriften zu überwachen, die Universität als verantwortliche Stelle in datenschutzrechtlichen Fragen zu beraten, die Kommunikation mit unserer Landesdatenschutzbehörde zu koordinieren und Schulungen durchzuführen. Sie hat also ein beratendes und kontrollierendes Mandat und ist dabei unabhängig und weisungsfrei. Sie ist quasi eine neutrale Prüferin und Beraterin.
Der Datenschutzmanager unterstützt bei der täglichen Umsetzung des Datenschutzes, beim Risikomanagement und bei der Prozessoptimierung, und die Datenschutzbeauftragte ist für die Beratung, Schulung, Überwachung und Einhaltung der gesetzlichen Vorgaben sowie die Kommunikation mit den Aufsichtsbehörden zuständig. |
Eine Ihrer Hauptaufgaben sei die Unterstützung bei der Umsetzung von Datenschutzmaßnahmen. Welche Maßnahmen sind das zum Beispiel?
Das sind zum einen technische Maßnahmen. Der Datenschutzmanager drängt in Zusammenarbeit mit dem Informationssicherheitsbeauftragten auf deren Umsetzung. Hierzu zählen beispielsweise Verschlüsselung, um die Vertraulichkeit zu gewährleisten, die Einführung von Systemen zur Zugriffsbeschränkung, die Datensicherung, um Datenverlust zu verhindern oder die Forderung nach Anonymisierung und Pseudonymisierung.
Andere Maßnahmen sind die organisatorischen Maßnahmen. Es müssen Datenschutzrichtlinien entwickelt werden, die den Umgang mit personenbezogenen Daten regeln und den Mitarbeitenden damit klare Vorgaben geben. Jeder, der mit personenbezogenen Daten arbeitet, ist auch für den Datenschutz zuständig. Er wird am Ende vielleicht nicht zur Verantwortung gezogen, aber auch das kann passieren, wenn ein Verstoß schuldhaft erfolgt ist.
Eine weitere Maßnahme, bei der ich unterstützen kann, ist die Dokumentation, beispielsweise das Führen des Verzeichnisses der Verarbeitungsfähigkeiten. Hierzu ist die Mitarbeit der vielen Datenschutzkoordinatoren an der Universität unabdingbar. Der Datenschutzmanager unterstützt bei der Durchführung von Datenschutzfolgeabschätzungen für risikoreiche Verarbeitungen personenbezogener Daten, um Risiken zu identifizieren und Maßnahmen zu ihrer Minimierung zu ergreifen.
Auch die Entwicklung von Notfallplänen für den Fall, dass es zu einem Datenleck oder einer anderen Datenschutzverletzung kommt, einschließlich der Information betroffener Personen, alles natürlich in engster Zusammenarbeit mit der Datenschutzbeauftragten.
Eine Maßnahme möchte ich aber auch noch erwähnen: Die Universität benötigt ein ‚Löschkonzept‘, in dem festgelegt wird, wie lange welche Daten aufbewahrt werden dürfen und müssen und wann diese zu löschen sind. Dieses ist wichtig, um dem Grundsatz der Datenminimierung zu entsprechen.
(Foto: Roman/ pixabay)
Gibt es gesetzliche Vorgaben für die Ernennung eines Datenschutzbeauftragten und gibt es vergleichbare Vorgaben für den Datenschutzmanager?
Ja, es gibt gesetzliche Vorgaben für die Ernennung einer Datenschutzbeauftragten, während es für die Rolle des Datenschutzmanagers in dieser Form keine verbindlichen gesetzlichen Vorgaben gibt. Die Datenschutzgrundverordnung verlangt, dass Organisationen und Unternehmen, die regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten, eine Datenschutzbeauftragte zu bestellen haben. Öffentliche Stellen wie die OVGU als Körperschaft öffentlichen Rechts müssen zwingend eine solche Bestellung durchführen. Die Datenschutzbeauftragte ist unabhängig und unterliegt keinen Weisungen in Bezug auf ihre datenschutzbezogenen Aufgaben. Sie darf aufgrund der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Die Datenschutzbeauftragte muss über die notwendigen Fachkenntnisse verfügen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Artikel 37 bis 39 DSGVO beschreibt die Voraussetzungen für die Ernennung, Aufgaben und Pflichten eines Datenschutzbeauftragten.
Praktische Umsetzung der Datenschutzvorschriften im Alltag sicherstellen
Für den Datenschutzmanager gibt es keine gesetzlichen Vorgaben im Sinne der DSGVO. Ein Datenschutzmanager wird in der Regel freiwillig durch die Organisation ernannt, um die praktische Umsetzung der Datenschutzvorschriften und der Datenschutzrichtlinien im Alltag sicherzustellen. Er ergänzt die Arbeit der Datenschutzbeauftragten, indem er die operativen und technischen Maßnahmen zur Sicherstellung des Datenschutzes plant und bei der Umsetzung mitwirkt.
Mit welchen Anliegen konkret können sich Mitarbeitende oder auch Studierende an Sie als Datenschutzmanager wenden?
Ich sehe mich als wichtige Anlaufstelle für Mitarbeitende und Studierende, wenn es um konkrete Anliegen zum Datenschutz geht. Mitarbeitende können auf mich zukommen, wenn Sie beispielsweise Fragen haben, wie sie die Datenschutzrichtlinien in ihrem täglichen Arbeitsablauf korrekt anwenden oder wenn Sie Unterstützung in konkreten Fragestellungen benötigen. Mitarbeitende könnten Fragen dazu haben, wie lange sie bestimmte personenbezogene Daten aufbewahren müssen und wann bzw. wie diese gelöscht werden sollten, um gesetzliche Vorgaben einzuhalten.
Bei Einführung neuer IT-Systeme durch die fortschreitende Digitalisierung der Verwaltung oder aber auch bei Fragen der Verarbeitung personenbezogener Daten in Forschungsprojekten biete ich gerne meine Hilfe an.
Auch Studierende können sich jederzeit an mich wenden. Sie kann ich beispielsweise unterstützen, wenn sie z.B. für Abschlussarbeiten selbst mit personenbezogenen Daten arbeiten und dafür Dokumente erstellen müssen, also beispielsweise bei Umfragen usw.
Der Datenschutzmanager ist die zentrale Anlaufstelle für operative und technische Datenschutzfragen, während die Datenschutzbeauftragte eher eine überwachende und beratende Rolle hat. |
Was sind die größten Herausforderungen für die OVGU bei der Umsetzung von Datenschutzmaßnahmen?
Die Universität steht bei der Umsetzung von Datenschutzmaßnahmen vor einer Reihe von Herausforderungen. Diese ergeben sich aus der Komplexität des Hochschulbetriebs, den vielfältigen Datenverarbeitungsprozessen und den speziellen Anforderungen, die Universitäten aufgrund ihrer Forschungstätigkeit haben. An der Universität werden sehr unterschiedliche Datenkategorien verarbeitet. Von Studierendendaten – Immatrikulation, Noten, Prüfungsleistungen – über Mitarbeiterdaten bis hin zu Forschungsdaten. Der Schutz all dieser Daten in verschiedenen Kontexten stellt eine große Herausforderung dar. Universitäten arbeiten häufig mit externen Partnern und Forschungsinstitutionen zusammen, was die Verarbeitung und den Austausch von Daten komplexer macht. Die Einhaltung der Datenschutzvorgaben muss in diesen Kooperationen sichergestellt werden, insbesondere bei der Auftragsverarbeitung. Eine besondere Herausforderung stellt derzeit der Austausch von Daten im Zusammenhang mit EU GREEN dar.
Ein weiterer wichtiger Punkt ist die Balance zwischen der Datenschutzgrundverordnung und der Freiheit der Forschung. Forschungsprojekte, die personenbezogene Daten, z. B. aus sozialwissenschaftlichen Umfragen, verwenden, müssen datenschutzkonform durchgeführt werden, ohne die wissenschaftliche Arbeit unnötig zu behindern. In der Forschung ist die Anonymisierung und Pseudonymisierung personenbezogener Daten oft entscheidend, um den Datenschutz sicherzustellen. Dies erfordert technische und organisatorische Maßnahmen, die sicherstellen, dass Daten nicht auf Einzelpersonen zurückgeführt werden können.
Die OVGU verarbeitet und speichert eine große Menge an Daten auf IT-Systemen, was sie zu einem ‚attraktiven‘ Ziel für Cyberangriffe macht. Die Umsetzung wirksamer Sicherheitsmaßnahmen wie Verschlüsselung, Firewalls, sichere Netzwerke und regelmäßige Sicherheitsupdates ist eine ständige Herausforderung.
Datenschutzbestimmungen auch bei grenzüberschreitenden Projekten einhalten
Die OVGU ist international vernetzt und beteiligt sich an vielen grenzüberschreitenden Projekten, die die Verarbeitung personenbezogener Daten über Ländergrenzen hinweg erfordern. Hier müssen die spezifischen Anforderungen der DSGVO und anderer internationaler Datenschutzgesetze berücksichtigt werden.
Bei der Verwaltung von Studierenden in Austauschprogrammen oder der Kommunikation mit internationalen Partneruniversitäten muss sichergestellt werden, dass die Datenschutzbestimmungen auch bei der Übermittlung von Daten ins Ausland eingehalten werden.
Datenschutzvorschriften, insbesondere die DSGVO, unterliegen einer fortlaufenden Entwicklung und Interpretation durch Gerichte und Aufsichtsbehörden. Die OVGU muss sich kontinuierlich an neue rechtliche Vorgaben und Empfehlungen anpassen, was zusätzliche Ressourcen und Flexibilität erfordert.
Die Digitalisierung hat auch an der OVGU an Fahrt aufgenommen und soll helfen, Prozesse zu vereinfachen. Dafür werden aber immer mehr Daten gesammelt und ausgewertet. Wie passt das mit dem Datenschutz zusammen?
Das Sammeln und Auswerten von immer mehr Daten steht nicht im Widerspruch zum Datenschutz, solange die datenschutzrechtlichen Vorgaben eingehalten und Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. Auch im Zuge der Digitalisierung muss das Prinzip der Datensparsamkeit beachtet werden. Das bedeutet, dass nur die Daten erhoben und verarbeitet werden, die für einen bestimmten Zweck erforderlich sind. Beispielsweise sollte bei digitalen Verwaltungsprozessen nur auf notwendige Informationen zugegriffen werden und unnötige Datenverarbeitung vermieden werden. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Im Kontext der Digitalisierung bedeutet dies, dass die Universität klar definieren muss, warum bestimmte Daten gesammelt werden und diese Daten nicht ohne rechtliche Grundlage für andere Zwecke genutzt werden dürfen. Bei der Einführung neuer digitaler Systeme muss der Datenschutz von Anfang an in die Gestaltung der Systeme einfließen. Das bedeutet, dass technische und organisatorische Maßnahmen getroffen werden, um den Schutz personenbezogener Daten zu gewährleisten. Bei der Entwicklung oder Anschaffung von Software sollte daher immer geprüft werden, ob diese datenschutzfreundliche Konfigurationen ermöglicht.
Die Digitalisierung an der OVGU kann durchaus im Einklang mit dem Datenschutz stehen, wenn die datenschutzrechtlichen Prinzipien und gesetzlichen Vorgaben beachtet werden. Durch den Einsatz von ‚Privacy by Design‘ und den Aufbau eines sicheren technischen und organisatorischen Rahmens kann die Universität digitale Prozesse umsetzen, die sowohl effizient als auch datenschutzkonform sind.
Vielen Dank für das Gespräch.