„Zur Risikoanalyse verpflichtet“
Wie Hochschulen die Datenschutz-Neuerungen am besten in Angriff nehmen, erklärt Datenschutzexpertin Iris Meyer.
Die neue Datenschutzgrundverordnung stellt Hochschulen vor gewaltige Aufgaben. Was es zu beachten gilt, weiß Iris Meyer. Sie ist Referentin für technische/juristische Datenschutzaufgaben bei der Stabsstelle Datenschutz am Hochschulservicezentrum Baden-Württemberg in Reutlingen.
DUZ: Frau Meyer, wie haben die Bundesländer, also auch Baden-Württemberg, die Datenschutzgrundverordnung für die Hochschulen umgesetzt?
Meyer: Wegen des Anwendungsvorrangs des europäischen Rechts ist es erforderlich, die landesrechtlichen Datenschutzregelungen an die Datenschutzgrundverordnung anzupassen. In Baden-Württemberg liegt ein Gesetzesentwurf zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679 mit Vorblatt vor.
duz: Warum gibt es ein Bundesdatenschutzgesetz zur EU-Verordnung, warum gilt die nicht direkt?
Meyer: Der europäische Gesetzgeber wollte, dass die Mitgliedsstaaten die Möglichkeit haben, bereichsspezifische nationale Vorschriften zu behalten, anderes zu konkretisieren und zu ergänzen. Deshalb gibt es Öffnungsklauseln. Ab dem 25. Mai gilt die EU-Verordnung sowohl für die Hochschulen als auch für die Unternehmen unmittelbar. Das Bundesdatenschutzgesetz gilt nur dort, wo der Bund wegen der Öffnungsklauseln dazu berechtigt ist, eigene ergänzende Vorschriften zu erlassen. Es gilt nicht für die Hochschulen. Da bleiben wir bei der alten Aufteilung, dass für die Hochschulen oder öffentlichen Stellen der Länder ein Landesdatenschutz gilt. Bis zum 25. Mai ist noch das alte anzuwenden, bis dahin sollte das neue durch den baden-württembergischen Landtag verabschiedet sein.
duz: Haben Sie den Entwurf schon gesichtet?
Meyer: Ja, sonst wäre es schwierig, alles rechtzeitig umzusetzen. Der Bundesdatenschutz ist relativ ausführlich in den Einzelheiten, das Landesdatenschutzgesetz hält sich mit den Präzisierungen der Datenschutzgrundverordnung eher zurück. Es lässt sich aber jetzt schon sagen, dass die wesentlichen Bestimmungen unverändert geblieben sind.
duz: Als HSZ-BW haben Sie die Hochschulen über die Neuerungen informiert?
Meyer: Wir haben die aktuelle Diskussion verfolgt und haben Informationen der Aufsichtsbehörden erhalten. Die Hochschulen selber haben Arbeitskreise gebildet, wo sie miteinander das weitere Vorgehen besprochen haben. Wir und die Hochschulen haben viele Checklisten und Gegenüberstellungen zum alten und neuen Recht erarbeitet. Dabei stellte sich heraus, dass viele der neuen Verpflichtungen den alten sehr ähnlich sind. Es gibt zum Beispiel in der Datenschutzgrundverordnung ein Verzeichnis für Verarbeitungstätigkeiten, also Dokumentationspflichten für die Verfahren der Datenverarbeitung. Das gab es auch bisher schon. Da konnte man einiges übernehmen.
duz: Was sind denn die wichtigsten Änderungen?
Meyer: Eine wichtige Änderung ist zum Beispiel, dass man auch an den Hochschulen jetzt einen Datenschutzbeauftragten benennen muss, was bisher nicht der Fall war. Viele unserer Hochschulen hatten zwar schon einen, aber das war nicht verpflichtend. Neu ist auch die Rechenschaftspflicht. Man muss jetzt ganz genau dokumentieren und nachweisen können, wie man die Datenschutzgrundverordnung umsetzt. Das heißt, es müssen Strukturen und Prozesse etabliert werden. Ein explizites Datenschutzmanagement muss eingeführt werden. Das ist natürlich eine völlig andere Forderung als bisher. Meine Erfahrung ist, dass es auch bisher schon eine sehr große Sensibilität in dem Bereich gab. Die Mitarbeiter sind beim Umgang mit personenbezogenen Daten von Kollegen und Studierenden sehr gewissenhaft umgegangen, aber es war nicht üblich, dass die Vorgehensweisen auch schriftlich festgehalten worden sind. Wenn zum Beispiel ein Studierender oder Mitarbeiter einmal eine Auskunftsanfrage stellt. Das wurde dann schon gemanagt, aber es gab nicht unbedingt klare Vorgaben für ein Vorgehen. Genau das fordert aber die Datenschutzgrundverordnung und das ist eigentlich die größte Herausforderung für die Hochschulen. Ansonsten kann man auch die Verpflichtung zu einem risikobasierten Vorgehen nennen. Die Datenschutzgrundverordnung enthält eine Reihe von Regelungen, die den Verantwortlichen zur Durchführung einer Risikoanalyse verpflichten. Es müssen Risiken identifiziert und eingestuft werden und damit einhergehend die Eintrittswahrscheinlichkeit und die Schadenshöhe. Dieses Vorgehen kennt man bereits aus der IT-Sicherheit, es ist aber beim Datenschutz in der Ausgestaltung neu.
duz: Welche Bereiche der Hochschule sind besonders betroffen?
Meyer: Datenschutz kann nur funktionieren, wenn jeder Mitarbeiter mitmacht, es geht also alle etwas an. Natürlich gibt es Bereiche, die stärker betroffen sind. Zum Beispiel die Rechenzentrumsmitarbeiter, die Studierenden- und die Personalverwaltung. Und dadurch, dass wir die Pflicht zur Rechenschaft und Dokumentation haben, wird es auch besonders wichtig, was die Hochschulleitung macht. Es geht ja darum, dass man neue Prozesse einführt, und das muss von der Leitung kommen. In dem Sinne ist also auch die Hochschulleitung ganz stark betroffen.
duz: Was kommt auf die Hochschule an möglichen Sanktionen oder Strafen zu bei Verstößen?
Meyer: Hier hat der europäische Gesetzgeber auch eine Öffnungsklausel vorgesehen, wenn man das Verordnungswerk genauer betrachtet. Der Landes- und der Bundesgesetzgeber haben davon Gebrauch gemacht, sodass die Behörden und öffentlichen Stellen keine finanziellen Sanktionen zu befürchten haben. Es werden bei ihnen keine Geldbußen erhoben werden, weil es keinen Sinn macht, wenn der Staat Geld aus der einen Tasche nimmt und in die andere gibt. Man darf es aber trotzdem nicht zu locker nehmen, weil der Reputationsschaden enorm sein kann. Darüber hinaus ist es auch so, dass die Aufsichtsbehörden, der Landesbeauftragte für Datenschutz, jetzt mit mehr Rechten ausgestattet sind. Das kann sogar so weit gehen, dass er die Einstellung einer bestimmten Verarbeitung von Daten verordnen kann. Wenn man dann zum Beispiel im Extremfall eine bestimmte Software nicht mehr einsetzen darf, hat es auch finanzielle Folgen. Das ist sicher auch eine spannende Frage, wie die Aufsichtsbehörden, die zumindest in Baden-Württemberg zusätzliches Personal bekommen haben, mit der neuen Lage umgehen werden.
DUZ Wissenschaft & Management 04/2018 vom 11.05.2018