Juni 2010, Nr. 15
INTERVIEW
Prof. Dr. Gabriele Beger, erste Datenschutzbeauftragte der Universität Hamburg
Kontakt:
Prof. Dr. Gabriele Beger
Gemeinsame behördliche Datenschutzbeauftragte
c/o Staats- und Universitätsbibliothek Carl von Ossietzky
Von-Melle-Park 3
20146 Hamburg
Tel.: 040.42838-5801
E-Mail: datenschutz-at-sub.uni-hamburg.de
Datenschutz an Hochschulen: Ein Interview mit der neuen Datenschutzbeauftragten der Universität Prof. Dr. Gabriele Beger
Sie sind im April als erste Datenschutzbeauftragte nicht nur der Universität Hamburg, sondern auch weiterer 3 Hochschulen und der Staatsbibliothek in Hamburg berufen worden. Erlauben Sie mir die direkte Frage: Wieso brauchen Hochschulen heutzutage Datenschutzbeauftragte?
Rechtlich gesehen benötigten wir Datenschutzbeauftragte bereits seit Inkrafttreten der Datenschutzgesetze in den 1980er Jahren. Im Hochschulbereich werden Datenschutzbeauftragte deshalb immer wichtiger, weil die Organisation, die Verwaltung und zahlreiche Anwendungen im Hochschulbereich mehr und mehr auf netzgestützten Systemen basieren. Beispielhaft sei hier an der Universität Hamburg STINE genannt, an anderen Hochschulen CampusNet.
Diesen Systemen ist eigen, dass sie mit einer Vielzahl von personenbezogenen Daten arbeiten. Und wie man weiß, sind mit der Nutzung modernster Datenverarbeitungs- und Kommunikationstechniken sind nicht nur Chancen und Nutzen verbunden, sondern auch Risiken für den Einzelnen. Die Integration von personenbezogenen Daten in diese Prozesse stellt eben neue und hohe Ansprüche an die Wahrung des Datenschutzes und die Datensicherheit.
Datenschutz heißt Wahrung der Persönlichkeitsrechte
Welche Risiken sind das genau? Wofür müssen Sie Sorge tragen?
Das Risiko heißt Missbrauch, Zugang durch unbeteiligte Personen, aber auch, dass durch das Zusammenführen unterschiedlicher Sachverhalte zu einer Person der so genannte gläserne Mensch entsteht. Wir weisen mit unserer Beratung und unseren Stellungnahmen darauf hin, wie das verhindert werden kann.
Datenschutz hat aber nicht vorrangig die Aufgabe, sinnvolle und pragmatische Anwendungen zu verhindern, sondern für die Wahrung der Persönlichkeitsrechte eines jeden Bürgers, d.h. vor allem Sparsamkeit und Verhältnismäßigkeit bei der Erfassung und Verwendung von personenbezogenen Daten Sorge zu tragen. Die Datensicherheit spielt dabei eine große Rolle, so dass viele datenschutzrechtliche Belange nur technisch zu beantworten sind.
Was sind demnach Ihre konkreten Aufgaben?
Vor allen Dingen geht es um die Überwachung der ordnungsgemäßen Erhebung, Verarbeitung und Nutzung personenbezogener Daten, einschließlich Vorabkontrolle von automatisierten Verfahren. Dann um die Mitwirkung bei der Entwicklung von Projekten, mit denen personenbezogene Daten verarbeitet werden, um das Überwachen, Verfolgen und Auswerten von Datenschutzverletzungen, aber auch die Beratung der Hochschulleitungen, der Personalvertretungen und der Mitarbeiter in allen Datenschutz-/Informationssicherheitsfragen.
Als Datenschutzbeauftragte bin ich der jeweiligen Hochschulleitung zugeordnet, aber weisungsfrei tätig. Grundsätzlich jede/r kann sich an mich als Datenschutzbeauftragte ohne Einhaltung eines Dienstweges wenden, ich bin gesetzlich zur Verschwiegenheit verpflichtet.
Bestandsaufnahme datenschutzrechtlich relevanter Projekte
Und welche Themen wollen Sie und Ihr Kollege Herr Uderstadt als Erstes angehen?
Es ist ja nicht so, dass die Hamburger Hochschulen bislang keinen Datenschutz gewahrt hätten, deshalb gilt es zu allererst, eine Bestandsaufnahme durchzuführen und gemeinsame Strukturen der Beratung und Prüfinstanz einzuführen. In einer Auftaktveranstaltung am 30. April haben wir uns den Leitungen der beteiligten Hochschulen und ihren für Datenschutz zuständigen Mitarbeitern vorgestellt.
Erstes organisatorisches Ziel ist also, die Datenschutzbelange aller zu koordinieren, d.h. in jeder Hochschule Ansprechpartner zu benennen, eine Bestandsaufnahme über laufende und geplante datenschutzrechtlich relevante Projekte herbeizuführen und Wege der Verfahrensbeschreibungen zu vereinheitlichen, auch um Doppelarbeiten künftig vermeiden zu können. In Kürze sollen auf einer Website allgemeine Informationen, FAQs, Muster und Vorlagen den beteiligten Hochschulen zur Verfügung stehen.
Zugleich aber sind wir ins Wasser gesprungen, denn viele Projekte wurden angehalten und bedurften so der möglichst schnellen Beratung. Bei unseren Beratungen und Schulungen wollen wir keine Allgemeinplätze bedienen, sondern besuchen jede Einrichtung, um konzentriert auf deren Belange und konkreten Anforderungen eingehen zu können.
Multimediastrategien der Hochschulen
Was die Projekte betrifft: Es war anlässlich Ihrer Einführung von „hochschulübergreifenden Prozessen“ und der „Integration personenbezogener Daten in diese Prozesse“ die Rede – was ist damit genau gemeint?
Die Hamburger Hochschulen haben unter den Namen ELCH (E-Learning-Consortium Hamburg) und eCampus zwei hochschulübergreifende und mit fachkompetenten Mitgliedern der Hochschulen und der Staats- und Universitätsbibliothek besetzte Expertengremien geschaffen. Sie verfolgen damit die Weiterentwicklung der Multimediastrategie für die Hamburger Hochschulen und die Beratung der Hochschulen sowie der Behörde für Wissenschaft und Forschung in allen Fragen, die den Arbeitsbereich E-Learning, Multimedia-Produktion und Multimedia-Einsatz in der Lehre betreffen.
Bei eCampus handelt es sich um ein Förderprojekt der Behörde für Wissenschaft und Forschung in Zusammenarbeit mit den öffentlichen Hochschulen Hamburgsund dem Multimedia Kontor Hamburg. eCampus unterstützt die Modernisierung der Hamburger Hochschulen durch neue IuK-Technologien und vergibt gemeinschaftlich Fördermittel, insbesondere für hochschulübergreifende und zur Nachnutzung geeignete Projekte einzelner Hochschulen. Zahlreiche Projekte davon haben datenschutzrechtliche Relevanz.
Ein Beispiel eines hochschulübergreifenden Prozesses ist die Anwendung der Bereitstellung von elektronischen Ressourcen in den Bibliotheken. Diese werden meist als Campuslizenz oder sogar als Landeslizenz erworben. Damit jeder Studierende und jeder Angehörige der Hochschulen Zugang zu diesen erhält, ist ein Identity Management Voraussetzung. Dieses muss auch hochschulübergreifend wirksam werden und beinhaltet zweifelsfrei eine Vielzahl von personenbezogenen Daten.
Jeder Studierende, der an mehr als einer Hochschule Lehrveranstaltungen wahrnimmt, erwartet, dass seine Leistungen an jedem Ort abgebildet werden. Diese so einfach klingenden Erwartungen, setzen aber den Zugriff eines Hochschulnetzes auf ein anderes voraus, so dass auch hier dem Datenschutz und den Zugriffsberechtigungen besondere Aufmerksamkeit gewidmet werden muss.
Welche Befugnisse werden Sie in diesen Fällen haben? Haben Sie vor allem Beratungsfunktion oder sogar Mitbestimmungsrecht?
Wir werden künftig in alle Bereiche der Hochschulen und der Staats- und Universitätsbibliothek einbezogen, in denen personenbezogene Daten erfasst und verarbeitet werden. Die gemeinsame Datenschutzbeauftragte ist weisungsfrei und hat die Befugnisse, uneingeschränkt Auskunft und Einsicht zu verlangen. Sie hat aber ihrerseits kein Weisungsrecht, sie nimmt Stellung und kann sich zur Verfolgung von Rechtsverletzungen oder Behinderungen an den Hamburger Beauftragten für Datenschutz wenden. Ihre Tätigkeit ist deshalb eher durch Beratung und Mitwirkung geprägt.
Lesen Sie Teil 2 des Interviews zum Thema Open Access…
Rechtlich gesehen benötigten wir Datenschutzbeauftragte bereits seit Inkrafttreten der Datenschutzgesetze in den 1980er Jahren. Im Hochschulbereich werden Datenschutzbeauftragte deshalb immer wichtiger, weil die Organisation, die Verwaltung und zahlreiche Anwendungen im Hochschulbereich mehr und mehr auf netzgestützten Systemen basieren. Beispielhaft sei hier an der Universität Hamburg STINE genannt, an anderen Hochschulen CampusNet.
Diesen Systemen ist eigen, dass sie mit einer Vielzahl von personenbezogenen Daten arbeiten. Und wie man weiß, sind mit der Nutzung modernster Datenverarbeitungs- und Kommunikationstechniken sind nicht nur Chancen und Nutzen verbunden, sondern auch Risiken für den Einzelnen. Die Integration von personenbezogenen Daten in diese Prozesse stellt eben neue und hohe Ansprüche an die Wahrung des Datenschutzes und die Datensicherheit.
Datenschutz heißt Wahrung der Persönlichkeitsrechte
Welche Risiken sind das genau? Wofür müssen Sie Sorge tragen?
Das Risiko heißt Missbrauch, Zugang durch unbeteiligte Personen, aber auch, dass durch das Zusammenführen unterschiedlicher Sachverhalte zu einer Person der so genannte gläserne Mensch entsteht. Wir weisen mit unserer Beratung und unseren Stellungnahmen darauf hin, wie das verhindert werden kann.
Datenschutz hat aber nicht vorrangig die Aufgabe, sinnvolle und pragmatische Anwendungen zu verhindern, sondern für die Wahrung der Persönlichkeitsrechte eines jeden Bürgers, d.h. vor allem Sparsamkeit und Verhältnismäßigkeit bei der Erfassung und Verwendung von personenbezogenen Daten Sorge zu tragen. Die Datensicherheit spielt dabei eine große Rolle, so dass viele datenschutzrechtliche Belange nur technisch zu beantworten sind.
Was sind demnach Ihre konkreten Aufgaben?
Vor allen Dingen geht es um die Überwachung der ordnungsgemäßen Erhebung, Verarbeitung und Nutzung personenbezogener Daten, einschließlich Vorabkontrolle von automatisierten Verfahren. Dann um die Mitwirkung bei der Entwicklung von Projekten, mit denen personenbezogene Daten verarbeitet werden, um das Überwachen, Verfolgen und Auswerten von Datenschutzverletzungen, aber auch die Beratung der Hochschulleitungen, der Personalvertretungen und der Mitarbeiter in allen Datenschutz-/Informationssicherheitsfragen.
Als Datenschutzbeauftragte bin ich der jeweiligen Hochschulleitung zugeordnet, aber weisungsfrei tätig. Grundsätzlich jede/r kann sich an mich als Datenschutzbeauftragte ohne Einhaltung eines Dienstweges wenden, ich bin gesetzlich zur Verschwiegenheit verpflichtet.
Bestandsaufnahme datenschutzrechtlich relevanter Projekte
Und welche Themen wollen Sie und Ihr Kollege Herr Uderstadt als Erstes angehen?
Es ist ja nicht so, dass die Hamburger Hochschulen bislang keinen Datenschutz gewahrt hätten, deshalb gilt es zu allererst, eine Bestandsaufnahme durchzuführen und gemeinsame Strukturen der Beratung und Prüfinstanz einzuführen. In einer Auftaktveranstaltung am 30. April haben wir uns den Leitungen der beteiligten Hochschulen und ihren für Datenschutz zuständigen Mitarbeitern vorgestellt.
Erstes organisatorisches Ziel ist also, die Datenschutzbelange aller zu koordinieren, d.h. in jeder Hochschule Ansprechpartner zu benennen, eine Bestandsaufnahme über laufende und geplante datenschutzrechtlich relevante Projekte herbeizuführen und Wege der Verfahrensbeschreibungen zu vereinheitlichen, auch um Doppelarbeiten künftig vermeiden zu können. In Kürze sollen auf einer Website allgemeine Informationen, FAQs, Muster und Vorlagen den beteiligten Hochschulen zur Verfügung stehen.
Zugleich aber sind wir ins Wasser gesprungen, denn viele Projekte wurden angehalten und bedurften so der möglichst schnellen Beratung. Bei unseren Beratungen und Schulungen wollen wir keine Allgemeinplätze bedienen, sondern besuchen jede Einrichtung, um konzentriert auf deren Belange und konkreten Anforderungen eingehen zu können.
Multimediastrategien der Hochschulen
Was die Projekte betrifft: Es war anlässlich Ihrer Einführung von „hochschulübergreifenden Prozessen“ und der „Integration personenbezogener Daten in diese Prozesse“ die Rede – was ist damit genau gemeint?
Die Hamburger Hochschulen haben unter den Namen ELCH (E-Learning-Consortium Hamburg) und eCampus zwei hochschulübergreifende und mit fachkompetenten Mitgliedern der Hochschulen und der Staats- und Universitätsbibliothek besetzte Expertengremien geschaffen. Sie verfolgen damit die Weiterentwicklung der Multimediastrategie für die Hamburger Hochschulen und die Beratung der Hochschulen sowie der Behörde für Wissenschaft und Forschung in allen Fragen, die den Arbeitsbereich E-Learning, Multimedia-Produktion und Multimedia-Einsatz in der Lehre betreffen.
Bei eCampus handelt es sich um ein Förderprojekt der Behörde für Wissenschaft und Forschung in Zusammenarbeit mit den öffentlichen Hochschulen Hamburgsund dem Multimedia Kontor Hamburg. eCampus unterstützt die Modernisierung der Hamburger Hochschulen durch neue IuK-Technologien und vergibt gemeinschaftlich Fördermittel, insbesondere für hochschulübergreifende und zur Nachnutzung geeignete Projekte einzelner Hochschulen. Zahlreiche Projekte davon haben datenschutzrechtliche Relevanz.
Ein Beispiel eines hochschulübergreifenden Prozesses ist die Anwendung der Bereitstellung von elektronischen Ressourcen in den Bibliotheken. Diese werden meist als Campuslizenz oder sogar als Landeslizenz erworben. Damit jeder Studierende und jeder Angehörige der Hochschulen Zugang zu diesen erhält, ist ein Identity Management Voraussetzung. Dieses muss auch hochschulübergreifend wirksam werden und beinhaltet zweifelsfrei eine Vielzahl von personenbezogenen Daten.
Jeder Studierende, der an mehr als einer Hochschule Lehrveranstaltungen wahrnimmt, erwartet, dass seine Leistungen an jedem Ort abgebildet werden. Diese so einfach klingenden Erwartungen, setzen aber den Zugriff eines Hochschulnetzes auf ein anderes voraus, so dass auch hier dem Datenschutz und den Zugriffsberechtigungen besondere Aufmerksamkeit gewidmet werden muss.
Welche Befugnisse werden Sie in diesen Fällen haben? Haben Sie vor allem Beratungsfunktion oder sogar Mitbestimmungsrecht?
Wir werden künftig in alle Bereiche der Hochschulen und der Staats- und Universitätsbibliothek einbezogen, in denen personenbezogene Daten erfasst und verarbeitet werden. Die gemeinsame Datenschutzbeauftragte ist weisungsfrei und hat die Befugnisse, uneingeschränkt Auskunft und Einsicht zu verlangen. Sie hat aber ihrerseits kein Weisungsrecht, sie nimmt Stellung und kann sich zur Verfolgung von Rechtsverletzungen oder Behinderungen an den Hamburger Beauftragten für Datenschutz wenden. Ihre Tätigkeit ist deshalb eher durch Beratung und Mitwirkung geprägt.
Lesen Sie Teil 2 des Interviews zum Thema Open Access…