Ein Kaffee mit… Bernhard C. Witt
Datenschutzbeauftragter im Interview [07.12.18]
Bernhard C. Witt ist seit 1. Oktober Datenschutzbeauftragter der Uni Hohenheim. Bild: Uni Hohenheim | Leonhardmair
Mit der neuen europäischen Datenschutz-Grundverordnung (DSGVO) erhält der Datenschutz auch an der Uni mehr Gewicht. U.a. muss sie einen unabhängigen Datenschutzbeauftragen bestellen, der überwacht, ob gesetzliche Bestimmungen im Alltag eingehalten werden. Zu den weiteren Aufgaben des Datenschutzbeauftragten gehört die Schulung, Beratung und Sensibilisierung von Beschäftigten. Die Uni Hohenheim setzt dabei seit 1. Oktober auf einen externen Experten, der mit den Besonderheiten des Uni-Kosmos gut vertraut ist. Der Online-Kurier hat Bernhard C. Witt zum Interview getroffen.
-
Guten Tag Herr Witt, willkommen in unserem Besprechungsraum. Normalerweise besuche ich meisten meine Interview-Partnern. Sie haben gar kein eigenes Büro in Hohenheim?
Nein, das würde sich nicht lohnen. Als Consultant für Datenschutz bin ich in unterschiedlichen Funktionen für mehrere Unternehmen und Hochschulen tätig. Den Großteil meines monatlichen Deputats für die Uni Hohenheim erledige von meinem Büro in Ulm aus.
In der Anfangszeit bin ich etwas häufiger hier vor Ort, derzeit ca. zweimal pro Monat. Dann finden meistens jedoch größere Gesprächsrunden statt. Dafür nutzten wir den grünen Saal. Oder ich komme direkt zu den jeweiligen Einrichtungen.
Die Uni Hohenheim hat im Oktober auch eine neue Stabsstelle zum Thema Datenschutz eingerichtet. Worin genau besteht der Unterschied zwischen Ihrer Arbeit und der Arbeit der Stabsstelle?
Aufgabe der Stabsstelle ist es, Uni-Einrichtungen auf der Arbeitsebene zu unterstützen, die Datenschutzbestimmungen einzuhalten. Die Stabsstelle ist Teil der Univerwaltung, unterliegt also den Weisungen der Kanzlerin.
Für mich als Datenschutzbeauftragter gilt das nicht. Kraft Gesetz übe ich eine unabhängige Kontrollfunktion aus. Ich fungiere dabei als Anwalt von Betroffenen. Das heißt also: Jeder, der den Verdacht hat, dass die Uni unsachgemäß mit seinen personenbezogenen Daten umgeht, kann sich an mich wenden und ich werde der Angelegenheit zeitnah nachgehen.
Auch wenn es z.B. zu einem Datenleck kommt, bin ich erster Ansprechpartner für Beschäftigte und trage ggfs. Sorge, dass binnen der vorgeschriebenen 72-Stunden-Frist eine Meldung an den Landesdatenschutzbeauftragen erfolgt.
Die Uni Hohenheim hat sich bewusst dafür entschieden, eine externe Person für die Aufgabe des Datenschutzbeauftragten zu suchen, um mögliche Interessensgeflechte auszuschließen. Die Uni-Leitung sagte mir, dass sie sich größtmögliche Unabhängigkeit erhofft. Und das ist nun auch das, was sie von mir bekommt.
Gibt es auch Berührungspunkte mit der Stabsstelle?
Natürlich. Wir arbeiten in vielen Punkten eng zusammen. Eine Überlappung unseres Aufgabenbereichs gibt es z.B. beim Thema Beratung, Schulung und Sensibilisierung von Beschäftigten. Im Wesentlichen wird dieses Feld durch die Stabsstelle abgedeckt. Aber Mitarbeiter können sich auch jeder Zeit direkt mit Fragen an mich wenden und ich kann auf Anfrage z.B. auch eine Schulung in einer Abteilung durchführen.
Vor allem aber bringe ich in der Stabsstelle meine Expertise ein. Ich berate z.B., welche Bereiche bzw. Prozesse zuerst in Angriff genommen werden sollten, um die Uni in Sachen Datenschutz fit zu machen.
Ihre E-Mail Signatur liest sich ziemlich beeindruckend: Sie sind nicht nur geprüfter Datenschutzbeauftragter, sondern u.a. auch Autor mehrerer Fachpublikationen und Lehrbeauftragter. Das Beratungsunternehmen IT.Sec ist Mitglied des nationalen Expertenkreis Cybersecurity / IT-Forensik des Bundesamts für Sicherheit in der Informationstechnik.
Nun sind Unis ja im Vergleich zu Unternehmen doch Einrichtungen mit zahlreichen Besonderheiten. Wie gut kennen Sie speziell diesen Uni-Kosmos?
Ich bin sehr gut damit vertraut. Bereits meine Diplomarbeit habe ich 2002 zum Thema Datenschutz an Hochschulen verfasst. Es handelte sich damals um die erste wissenschaftliche Arbeit über das Thema und ich habe sie im Anschluss auch als Buch veröffentlicht.
Tatsächlich sind Universitäten aus Perspektive des Datenschutzes ein sehr spannendes Feld. Denn es werden ja sehr unterschiedliche Arten von personenbezogenen Daten verarbeitet. Neben Beschäftigten- und Studierendendaten z.B. auch personenbezogenen Daten, die zu wissenschaftlichen Zwecken erhoben werden. Gleichzeitig gibt es die Sondersituation der Satzungsautonomie. Aufgrund der Wissenschaftsfreiheit ist die Uni berechtigt, Gesetzeslücken bzw. rechtliche Interpretationsspielräume selbst zu füllen und somit quasi eigenes Recht zu schaffen. Hinzukommt, dass Universitäten, anders als ein Unternehmen, in vielen Bereichen dezentral organisiert sind.
Beruflich hatte ich inzwischen in ganz unterschiedlichen Rollen mit Universitäten zu tun. Vor meiner Beschäftigung bei IT.Sec habe u.a. an der Uni Ulm in der zentralen Verwaltung gearbeitet und bin nun als Lehrbeauftragter dort tätig. Als externer Consultant für Datenschutz habe ich in den letzten Jahren neben Unternehmen stets auch Hochschulen betreut, u.a. auch ein landesweites Hochschul-Vernetzungsprojekt.
Man kann also sagen, ich kenne Unis von innen, von außen und von der Seite. Seit die DSGVO in Kraft getreten ist, steigt die Nachfrage seitens der Hochschulen übrigens stark an. In diesem Jahr nimmt das Hochschul-Segment erstmals ein knappes Drittel meiner Beratungstätigkeit ein.
Stichwort DSGVO: Können Sie nochmal kurze Zusammenfassung geben, was das für die Uni bedeutet?
Zunächst vielleicht ein paar allgemeine Worte zur DSGVO. Ein Anlass für die Reform war ja der Befund, dass die Datenschutzrichtlinien der EU-Staaten aktuellen technischen Entwicklungen hinterherhinken. Zugleich wollte der europäische Gesetzgeber die Gelegenheit nutzen, die nationalen Gesetzgebungen, die sich z.T. stark unterschieden, zu harmonisieren. Und auch dem Persönlichkeitsrecht sollte in diesem Zug mehr Gewicht verliehen werden.
Unterschiedliche Datenschutzregelungen gab es in der Vergangenheit aber nicht nur in den einzelnen Ländern. Auch innerhalb Deutschlands galten z.B. für Behörden andere Richtlinien als für Unternehmen, Beschäftigtendaten unterlagen anderen Bestimmungen als Daten von Studierenden etc.
Die DSGVO macht mit diesem Wirrwarr Schluss: Wir haben jetzt einheitliche Regeln in der EU egal wo, zu welchem Zweck und in welchem Kontext Daten verarbeitet werden. Das schafft Rechtssicherheit. Man weiß, woran man ist. Aus meiner Sicht ist das durchaus ein großer Wurf.
Eine wichtige inhaltliche Neuerung, der sich die Universität nun stellen muss, ist die sogenannte Rechenschaftspflicht.
Was hat es damit auf sich?
Alle Einrichtung, die personenbezogen Daten verarbeiten, müssen jeder Zeit in der Lage sein, nachzuweisen, dass sie sich dabei datenschutzkonform verhalten. Vorher war es genau andersherum: Betroffene mussten Verstöße anprangern und Indizien dafür vorlegen.
Mit der neuen Rechenschaftspflicht gehen eine ganze Menge an Dokumentationsaufgaben einher. Eine erste Bestandsaufnahme hat ergeben, dass es an der Uni Hohenheim – wie an vielen Einrichtungen und Unternehmen – noch eine Menge zu tun gibt, um den gesetzlichen Ansprüchen zu genügen. Dieses Projekt gilt es nun beherzt anzugreifen.
Wie geht die Uni dabei vor?
Ein Schwerpunkt meiner Tätigkeit liegt darin, wichtige Prozesse zu identifizieren und dafür in Zusammenarbeit mit der Stabstelle Datenschutz einheitliche Standardverfahren zu entwickeln.
Nehmen wir ein Beispiel aus dem Bereich Lehre an der Uni Ulm: Viele Übungen funktionieren dort nach dem Prinzip, dass sich Studierende einen Notenbonus erwerben können, wenn sie eine regelmäßige Anwesenheit nachweisen. Es werden also personenbezogenen Daten erhoben.
Wenn jeder Lehrstuhl dafür nun selbst ein neues Verfahrensverzeichnis entwickeln müsste, wären viele Personen an der Uni parallel damit beschäftigt, die mehr oder weniger gleiche Arbeit zu verrichten. Ein Standard-Verfahrensverzeichnis, das nur noch an die jeweiligen individuellen Besonderheiten der Lehrveranstaltungen angepasst werden muss, kann hier viel Mühe ersparen.
Personenbezogene Daten spielen bei einer Vielzahl von Vorgängen eine Rolle. Die Stabsstelle Datenschutz dürfte also alle Hände voll zu tun haben.
Das kann man so sagen. Man muss deshalb Prioritäten setzten. Als Datenschutzbeauftragter bin ich dabei sozusagen als Guide unterwegs. Ich schaue mir die einzelnen Bereiche an und treffe eine Abschätzung: Wie sensibel sind die Daten? Und wie groß ist das jeweilige Risiko für die Rechte und Freiheiten von Betroffenen?
An der Prüfungsverwaltung oder dem Identitätsmanagement hängt für die Betroffenen natürlich deutlich mehr als z.B. an einer Kaffeestrichliste im Büro, auch wenn hier grundsätzlich auch personenbezogene Verhaltensdaten und monetäre Angaben erfasst werden.
Bei allen Prozessen, die neu eingeführt werden, müssen die Datenschutz-Aspekte übrigens grundsätzlich vorab geklärt werden.
Ihre Aufgabe als Datenschutzbeauftragter ist es, auf Verstöße zu achten und diese ggfs. zu melden. Nach der ersten Bestandsaufnahme sagen Sie, dass die Uni in vielen Bereichen noch weit entfernt davon ist, den Bestimmungen gerecht zu werden. Wie gehen Sie damit um? Kann es passieren, dass Sie morgen in meinem Büro stehen und meinen PC durchleuchten?
Prinzipiell ist der Datenschutzbeauftragte zu solchen Kontrollen vor Ort berechtigt. Zum jetzigen Zeitpunkt halte ich das aber nicht für sinnvoll. Es sei denn eine Abteilung würde die Kooperation mit mir komplett verweigern. Das ist bisher jedoch nicht der Fall.
Im Gegenteil. Ich nehme in Hohenheim zwar viel Ächzen und Stöhnen wahr, aber auch eine große Bereitschaft das Thema anzupacken. Und ich habe den Eindruck, dass viele Einrichtungen meine Rückmeldung und damit verbundene Klarheit schätzen.
Man kann sagen, dass sich die Uni in einer Phase des Lernens befindet. Solange ich den Eindruck habe, das Mindset stimmt, halte ich umfassende Kontrollen nicht für notwendig. In ein paar Jahren, wenn Standardverfahren etabliert sind und Beschäftigte weiter für das Thema sensibilisiert wurden, können aber auch routinemäßige Kontrollen auf dem Programm stehen.
Nun handelt es sich bei der DSGVO ja um geltendes Recht. Verstöße werden mit bis zu 20 Mio. € geahndet. Sollte es zu einer Klage kommen wird sich die Uni schwer auf eine Schonfrist berufen können, oder?
Das ist richtig. Als öffentliche Einrichtung hat die Universität bei Verstößen allerdings nicht mit Geldbußen zu rechnen, allenfalls mit Sanktionen. Die DSGVO enthält eine entsprechende Öffnungsklausel, die die Landesgesetzgebungen auch genutzt haben. Letztendlich wäre es ja auch nur ein Wirtschaften von einer Tasche in die andere, wenn Landesbehörde A Landesbehörde B einen Bußgeldbescheid ausstellt.
Die Sonderstellung lässt sich durchaus begründen: Behörden haben ja von vorneherein einen streng vorgegebenen Handlungsspielraum. Sie dürfen grundsätzlich nur das machen, was ihnen per Gesetz ausdrücklich erlaubt ist. Unternehmen haben hingegen die große Freiheit, alles zu tun, was gesetzlich nicht verboten ist, um Gewinn zu erzielen. Demgegenüber steht dafür allerdings auch eine umfassende Verantwortung bei Verstößen.
Das heißt, einzelne Uni-Mitarbeiter müssen keine Sorge vor Geldstrafen haben?
Bislang haben wir nur über Verstöße gesprochen, die versehentlich, aus Unkenntnis oder Fahrlässigkeit heraus geschehen. Diese sind im Uni-Kontext nicht mit Bußgeldern belegt, richtig. Anders sieht es aus, wenn Regeln vorsätzlich gebrochen werden, um sich zu bereichern oder anderen zu schädigen. Dann sind wir im Bereich des Strafrechts – und natürlich sind davon auch Uni-Mitarbeiter nicht ausgenommen.
Schwierig kann es auch dann werden, wenn man versucht grobe Fehler oder Datenpannen zu verschleiern. Beschäftigte sind verpflichtet, in solchen Fällen sofort tätig zu werden und mich zu kontaktieren. Niemandem wird dafür übrigens der Kopf abgerissen. Wer zu Fehlern steht und eine klare Kante zeigt, muss weder ein Bußgeld befürchten, noch in Sack und Asche gehen. Melden befreit!
Sie haben davon gesprochen, dass beim Thema Datenschutz die richtige Einstellung entscheidend ist. Haben Sie in diesem Sinn zum Abschluss noch ein paar allgemeine Worte für die Beschäftigten?
Im Grunde gilt beim Datenschutz das gleiche wie im Leben: Man sollte sich gedanklich immer auch an die Stelle seines Gegenübers versetzen. In diesem Fall also an die Stelle der Personen, deren Daten man verarbeitet. Was würde ich mir an ihrer Stelle von der Universität erwarten? Der klassische kategorische Imperativ.
Das gleiche Prinzip lässt sich übrigens auch auf die Dokumentationsaufgaben anwenden. Wenn es darum geht, ein Verfahrensverzeichnis zu erstellen, sollte man sich am besten in die Position eines neuen Mitarbeiters versetzen: Welche Dokumentationen und Tätigkeitsbeschreibungen würde ich mir wünschen, damit ich die jeweilige Aufgabe bewältigen kann?
Wenn man sowohl beim Umgang mit Daten wie bei der Dokumentation mit dieser Haltung vorgeht, ist man auf jeden Fall auf einem guten Weg.
Vielen Dank für das Gespräch!
Interview: Leonhardmair