In einer datengesteuerten Welt steht der Datenschutz im Zentrum zahlreicher Diskussionen und Herausforderungen - und Universitäten sind da keine Ausnahme. Nadine Probst, Datenschutzkoordinatorin an der Universität Graz, bietet Einblicke in die Schwierigkeiten und Strategien im Umgang mit diesem kritischen Thema.
Hochschulen und Universitäten zählen zu den Institutionen, in denen besonders viele Daten anfallen. Die Einrichtungen speichern und verarbeiten eine Vielzahl von personenbezogenen Daten, darunter Daten von Studierenden, Mitarbeitenden, Forschenden, aber manchmal auch von Probanden, Testpersonen oder Patienten. Diese Daten können sensible Informationen beinhalten, wie persönliche Identifikationsinformationen, Bildungsverläufe, Gesundheitsinformationen, Finanzdaten und Forschungsdaten. Schon die Menge an Daten macht deutlich: Datenschutz und Datensicherheit an Universitäten muss eine besondere Priorität genießen.
Die Datenschutz-Grundverordnung (DSGVO), die vor über fünf Jahren in Kraft getreten ist, ist auch heute noch eine Herausforderung für Universitäten. Mit der Verordnung kamen neue Regeln ins europäische Datenschutzrecht, die auch umfangreiche Dokumentationspflichten mit sich brachten. „Ohne ein umfassendes Datenschutzmanagement geht es deshalb nicht“, sagt Nadine Probst, die den Datenschutz an der Universität Graz koordiniert.
Doch Universitäten sind komplexe Einrichtungen mit unterschiedlichen Interessen und einer breiten Palette von Aufgaben. „Mit ihrer dezentralen Struktur, die aus mehreren Fakultäten und unzähligen Instituten besteht, sind Entscheidungsprozesse komplizierter und erfordern oftmals intensive Diskussionen“, sagt Probst.
Daher könne nicht einfach eine Top-Down-Strategie verfolgt werden. Es sei wichtig, die verschiedenen Interessengruppen an der Universität, einschließlich des wissenschaftlichen Bereichs, der Betriebsräte und der Studierendenvertretung, in wesentliche Maßnahmen einzubeziehen und ihre Belange zu berücksichtigen.
Aufbau einer Datenschutzkultur
„Inzwischen sind bei uns an der Universität Graz ein Datenschutzmanagement und eine Datenschutzkultur aufgebaut“, sagt Probst. „Wir haben Handlungsanweisungen festgelegt, es gibt Checklisten, Prozesse für Betroffenenrechte, aber auch Abläufe bei Datenschutzverletzungen.“ Datenschutz sei aber kein Projekt mit einem Anfang und einem Ende, sondern ein kontinuierlicher Prozess, bei dem es gelte, sich immer weiter zu verbessern. Nun gehe es darum, diese Maßnahmen regelmäßig zu evaluieren und anzupassen sowie neue Anwendungen zu prüfen.
Aufgrund ihrer Forschungstätigkeiten und der Menge und Art der gespeicherten Daten sowie ihrer dezentralen Strukturen sind Universitäten attraktive Ziele für Kriminelle. „Cyberangriffe auf Universitäten sind leider keine Seltenheit mehr“, sagt Probst. Im Falle einer Datenschutzverletzung seien strenge Melde- und Benachrichtigungsfristen einzuhalten. „Deshalb sind klar definierte Prozesse und Musterformulare unerlässlich.“
In Bezug auf die Zukunft beobachtet Probst die Verhandlungen zu einem neuen Datenschutzrahmen zwischen der EU und den USA, der Rechtssicherheit für den Datenverkehr schaffen soll. Themen wie voranschreitende Digitalisierung und der Einsatz von KI sind ebenfalls auf dem Radar. „Die Universität hat auf der einen Seite eine Vorbildfunktion. Auf der anderen Seite soll auch eine Spielwiese geschaffen werden, auf der genau solche neuen Techniken ausprobiert und getestet werden können“, sagt Probst. Universitäten müssten in dieser Hinsicht ein Gleichgewicht zwischen Datenschutz und Forschungsfreiheit finden.
Datenschutz und Innovation im Gleichgewicht
Mit verschiedenen Ausnahmeregelungen privilegiert die DSGVO die Forschung. Begünstigt ist sie etwa bei der Speicherbegrenzung. In der Regel fordert die DSGVO, dass personenbezogene Daten in einer Form gespeichert werden, die das Indentifizieren der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Für die wissenschaftliche Forschung gibt es hingegen Ausnahmen. Diese ermöglichen eine längere Speicherung der Daten, vorausgesetzt, bestimmte Schutzmaßnahmen werden getroffen. Auch die Weiterverarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke gilt stets als vereinbar mit den ursprünglichen Zwecken.
Die Privilegien schaffen einen Raum für Forschung. Sie setzen aber auch voraus, dass die Universitäten sorgfältige Überlegungen anstellen und Vorkehrungen treffen, um den Datenschutz zu gewährleisten. Wie mit personenbezogenen Daten gearbeitet werden kann und vor allem welche Schutzmaßnahmen jeweils im Konkreten ergriffen werden sollten, bleibt letztendlich Bestandteil einer Risikoerwägung.
Schulung als Schlüssel zum Datenschutz
In jeder Fakultät und in allen Verwaltungsabteilungen der Universität Graz gibt es Zuständige für den Datenschutz. „Diese sind vor Ort unsere Ansprechpartner*innen und werden auch noch einmal gesondert geschult“, sagt Probst. Die Erfahrung zeige, dass die Akzeptanz von Vorgaben oftmals größer ist, wenn die Botschaft direkt von einer Kollegin oder einem Kollegen vermittelt wird. Die Schulung der Mitarbeiter*innen ist ein zentraler Bestandteil des Datenschutzmanagements der Universität Graz. Jede Person muss eine Datenschutz-Grundschulung durchlaufen, die Fragen klärt wie: Was sind personenbezogene Daten? Wie erkenne ich einen Datenschutzvorfall? Darüber hinaus gibt es sowohl themenbezogene als auch personenbezogene Fokus-Schulungen, die dazu beitragen, Bewusstsein zu schaffen sowie Unsicherheiten und Ängste bei der Verarbeitung personenbezogener Daten abzubauen. „Die besten Richtlinien helfen nichts, wenn die Mitarbeiter*innen nicht mitziehen“, bemerkt Probst.
Henning Zander
