Auf ein Wort mit Ute Winter: „Von einem guten Datenschutz profitieren wir alle“

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai in Kraft und stellt auch Hochschulen und ihre Verwaltungen vor neue Herausforderungen. Auf ein Wort mit Ute Winter, der Datenschutzbeauftragten der Universität Erfurt...

Frau Winter, welches Ziel verfolgt die neue EU-Datenschutzgrundverordnung?
Ein Ziel, das uns alle betrifft: Mit der Datenschutzgrundverordnung (DSGVO) erhalten natürliche Personen eine bessere Kontrolle über ihre Daten zurück. Sie schützt explizit die Grundrechte und Grundfreiheiten von Personen. Natürliche Personen das sind wir alle – jeder einzelne von uns. Die DSGVO gilt einheitlich im gesamten Europäischen Raum und regelt (und erleichtert) den freien Datenfluss innerhalb der EU. Daten sind die Währung des digitalen Zeitalters. Oder wie es im Dokumentarfilm „Democracy“ heißt: „Daten sind das neue Öl. Und wenn Daten das neue Öl sind, dann ist Datenschutz der neue Umweltschutz.“ Was im Internet vermeintlich kostenlos angeboten wird (sei es eine App oder ein Service), kostet doch etwas – nämlich unsere Daten. Dass diese Daten wertvoll sind, zeigen u.a. der aktuelle Facebook-Skandal oder der Vorschlag des Städtebundes, dass Kommunen die Daten ihrer Bürger „verkaufen“ sollen.

Inwieweit ist die Universität Erfurt davon betroffen?
An der Universität werden fast in allen Bereichen personenbezogene Daten u.a. Beschäftigtendaten, Studierendendaten oder Forschungsdaten verarbeitet. Ohne diese Daten kann die Universität ihre Aufgaben nicht erfüllen. Mit diesen Daten muss entsprechend umsichtig und respektvoll umgegangen werden und die Universität ist verpflichtet, den Umgang entsprechend sicher zu gestalten. Das war bisher auch schon so. Neu ist, dass vor der Datenerhebung die Personen umfassend informiert werden müssen. Die Einwilligung in die Datenverarbeitung muss freiwillig (und informiert) erfolgen. Die Personen haben außerdem weitere Rechte auf Auskunft, auf Berichtigung, auf Löschung und können auch der weiteren Verwendung ihrer Daten widersprechen. Neu ist auch, dass die Universität verpflichtet ist, jede Verarbeitungstätigkeit umfassender als bisher zu dokumentieren.

Können Sie kurz die Grundprinzipien der neuen DSGVO erläutern?
Die DSGVO baut auf den bisher geltenden Datenschutzprinzipien auf. Die Grundprinzipien wie Datensparsamkeit, Zweckbindung gelten auch weiterhin. Die Grundlage jeder Verarbeitung ist entweder ein Gesetz, eine Vorschrift oder eine Einwilligung. Daten dürfen nur für einen bestimmten Zweck erhoben werden und auch nur die, die zur Erfüllung dieses Zwecks benötigt werden. Das Verfahren muss für die betroffene Person transparent sein (d.h. sie muss vorab umfassend informiert werden über Zweck, Dauer der Verarbeitung und ihre Rechte). Die Daten müssen aktuell sein und die Vertraulichkeit der Daten muss sichergestellt sein. Die verarbeitende Stelle ist rechenschaftspflichtig. Für mich habe ich es kurz so zusammengefasst: „Behandle die Daten anderer stets so, wie du deine eigenen Daten behandelt sehen möchtest.“

Klingt nach sehr viel mehr Arbeit und sehr viel weniger Freiheit im Unialltag…
Bis alles DSGVO-konform läuft, wird es sicher einen sehr großen Arbeitsaufwand bedeuten. Manche Arbeitsabläufe (wie Risikoabwägung, Datenschutzfolgenabschätzung, Pannenmanagement) müssen erst definiert und gefunden werden und manche Zuständigkeiten geklärt werden. Die Dokumentation der Vorgänge muss erstellt werden. Die Universität darf aber im Grunde nicht mehr oder weniger, als sie bis jetzt auch schon beim Umgang mit personenbezogenen Daten darf. Für die Wissenschaft gab und gibt es auch weiterhin das sogenannte „Wissenschaftsprivileg“. Die Verarbeitung personenbezogener Daten für wissenschaftliche oder statistische Zwecke wird damit ermöglicht. Doch auch die wissenschaftliche Forschung muss die in der DSGVO festgelegten Rechte der Probanden weiterhin durch geeignete Maßnahmen garantieren. Man muss deshalb „Freiheit“ aus der Sicht aller Betroffenen betrachten: als Zugewinn an Freiheit. Datenschutz geht uns alle an und von einem guten Datenschutz profitieren wir alle.

Aber nur die wenigsten Uni-Angehörigen sind Juristen. Wo bekomme ich Hilfe, wenn ich in Datenschutzfragen unsicher bin?
Juristen mögen die Gesetze verfassen, aber gelebt oder ausgeübt werden sie von Institutionen und Bürgern. Daher gibt es viele Informationen in allgemein verständlicher Sprache zum Umgang mit personenbezogenen Daten und Tipps, wie mit simplen Handlungen – z.B. Windowstaste + L aktiviert den Sperrbildschirm – ein mehr an Datenschutz erreicht werden kann. Verweisen möchte ich hier auf die fünfteilige Videoserie von Alexander Lehmann, der sehr verständlich erklärt, wie jeder einzelne seine Daten (und auch die anderer) besser schützen kann. Zu meinen Hauptaufgaben als Datenschutzbeauftragte gehört die Beratung in allen Fragen rund um den Datenschutz – nicht nur der Hochschulleitung, ich berate bei Bedarf auch alle übrigen Uni-Angehörigen. Auf der Datenschutzwebseite der Uni werden sowohl einführende Informationen als auch weiterführende Links (beispielsweise zu den Kurzpapieren der datenschutzrechtlichen Aufsichtsbehörden, aber auch zu datenschutzrelevanten Dienstvereinbarungen und Dienstanweisungen) kommuniziert. Ich kann alle nur ermutigen, sich zumindest in Grundzügen über die neuen Regelungen und über die eigenen Rechte zu informieren.