Digital People: Folge 10: Ass. jur. Marina Bitmann
Ass. jur. Marina Bitmann ist seit 2013 die Datenschutzbeauftragte am KIT. Ihre Aufgabe ist es, das KIT bei der Ausführung des Landesdatenschutzgesetzes sowie anderer Rechtsvorschriften über den Datenschutz zu unterstützen.
1. Was sind typische Aufgabenstellungen, die Ihnen tagtäglich/regelmäßig begegnen?
Die Stabstelle Datenschutz (DSB) übernimmt sowohl die Aufgaben der/des Datenschutzbeauftragten als auch die Aufgaben auf dem Gebiet des operativen Datenschutzes. Seit der Geltung der EU-Datenschutz-Grundverordnung (DS-GVO) bekommen wir regelmäßig Anfragen hinsichtlich der Erstellung von s.g. „Datenschutzerklärungen“, die das Recht der betroffenen Personen auf Information gem. Art 13 DS-GVO sicherstellen sollen. Leider wird dabei nicht mitberücksichtigt, dass wir nicht auf eine vorbereitete Datenschutzerklärung zurückgreifen können. Die Anforderungen der DS-GVO verlangen eine detaillierte Aufklärung über die konkrete Datenverarbeitung und nicht – zumindest nicht ausschließlich – einen vordefinierten juristischen Text, den die betroffene Person im Zweifel nicht versteht. Daher sind Datenschutzerklärungen in den meisten Fällen sehr aufwendig zu erstellen, da dabei neben den juristischen Angaben die konkrete Datenverarbeitung sehr genau nachvollzogen und beschrieben werden muss. Die DS-GVO hat das Bewusstsein für den Datenschutz sehr gestärkt. DSB wird verstärkt sowohl für die Beratung bei der datenschutzrechtlichen Gestaltung von Forschungsprojekten und/oder -studien hinzugezogen. Nicht nur bei Forschungskooperationen und Auftragsforschung, sondern auch bei der Beauftragung von Dienstleistern prüfen und beraten wir hinsichtlich der Vertragsgestaltung, insbesondere bei Auftragsverarbeiterverträgen gemäß Art. 28 DS-GVO sowie Joint-Controller-Verträgen gem. Art. 26 DS-GVO. Aber auch Fragen, wie: „Dürfen wir Tool XY nutzen?“ oder „Dürfen wir Anfragen von der XY-Behörde beantworten?“ gehören zu unserem Tagesgeschäft. Des Weiteren sind wir Anlaufstelle für Anfragen der Aufsichtsbehörden oder auch Beschwerden der betroffenen Personen und helfen bei der Vermeidung von Datenpannen in enger Zusammenarbeit mit den IT-Spezialisten des KIT zur Wahrung der Betroffenenrechte.
2. Aufgrund der Corona-Krise blicken wir auf das erste Online-Semester am KIT zurück. Welche Maßnahmen mussten ergriffen werden, um ein datenschutzkonformes Online-Semester zu gewährleisten? Wo lagen die Herausforderungen?
Die Herausforderungen waren sowohl juristischer als auch tatsächlicher Natur. Zunächst ist festzustellen, dass gerade in Baden-Württemberg die datenschutzrechtliche Lage hinsichtlich der Verarbeitung von Bild- und Tondaten der Studierenden nicht geklärt ist. Auf eine klare gesetzliche Regelung drängt das KIT seit Beginn der Pandemie. Wir hoffen sehr, dass eine solche zeitnah in das Landehochschulgesetz BW aufgenommen werden wird. Des Weiteren war das KIT vor die Herausforderung gestellt, Videokonferenzdienste anzubieten, die vor dem Hintergrund der Größe der Universität skalieren und dennoch datenschutzkonform angeboten werden können. Unabhängig von der Frage der Bild- und Tondatenverarbeitung stellte sich dabei die Frage der Datenübermittlung in Drittstaaten. Auf Anbieter im europäischen Inland konnte aus Gründen der Skalierung und Kompatibilität nicht zurückgegriffen werden. Daher mussten Dienste eingeführt werden, deren Anbieter einen Sitz in den USA hatten. Insoweit musste unter einem erheblichen Zeitdruck das Beste für die Rechte der betroffenen Personen erreicht werden. Es wurden Auftragsverarbeiterverträge verhandelt sowie die erforderlichen Datenschutzerklärungen erstellt. Die Tools wurden entsprechend konfiguriert, so dass der Eingriff in die Rechte der betroffenen Personen auf das Mindestmaß beschränkt wurde. Im Wintersemester werden am KIT zusätzlich weitere Tools zur Verfügung gestellt, die lokal am SCC betrieben werden und die abhängig vom Risiko für Rechte der betroffenen Personen eingesetzt werden können.
3. Im Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) verpflichtend in Kraft. Das Datenschutzteam des KIT (DSB) erarbeitete darum in Zusammenarbeit mit dem ZML ein Datenschutzmodul, das auf ILIAS bereitgestellt wird. Was soll dieses Modul leisten?
Das Modul ermöglicht zunächst, dass alle Beschäftigten des KIT flächendeckend mit geltenden datenschutzrechtlichen Anforderungen vertraut gemacht werden, was in Präsenz nicht realisierbar wäre. Das Modul ermöglicht weiterhin eine erste Sensibilisierung der Beschäftigten im Hinblick auf die Verarbeitung von personenbezogenen Daten im dienstlichen Kontext. Es ersetzt allerdings nicht eine Auseinandersetzung mit dem speziell für das jeweilige Aufgabengebiet geltende Datenschutzrecht, sofern dabei eine intensive Verarbeitung von personenbezogenen Daten stattfindet. Ein großer Vorteil des E-Learning-Moduls ist, dass es genau auf die Prozesse des KIT zugeschnitten ist.
4. Welche Fragen möchten Sie als Datenschutzbeauftragte am KIT nicht mehr hören?
Zum Beispiel: Ist eine Matrikelnummer ein personenbezogenes Datum? Kann ich die Noten einer Klausur mittels Aushang am schwarzen Brett unter Angabe der Matrikelnummer bekanntgeben? Im Großen und Ganzen sind allerdings die meisten Fragen berechtigt und ich bin eher dafür, dass einmal zu viel als zu wenig gefragt wird.
5. Zum Schluss noch eine „persönliche“ Frage – zur Digitalisierung Ihres Alltags: Welche Webanwendungen finden Sie bereichernd, wenn Sie im Netz – beruflich oder privat – unterwegs sind?
Als Beschäftigte des KIT finde ich das Employee-Self-Service, das durch das SCC bereitgestellt wird, sehr nützlich. Innerhalb von DSB werden alle derzeit möglichen Abwesenheitsanträge nur noch online gestellt und der Mehrwert wird als sehr hoch eingeschätzt.
Privat bin ich kein Fan von Social-Media-Diensten. Ich muss allerdings anerkennen, dass gerade die Messenger-Dienste die Kommunikation im privaten Leben einfacher machen können. In letzter Zeit konnte ich eine generelle Bewusstseinsumkehr bei der Nutzung von Online-Diensten beobachten. Zum Beispiel werden jetzt viel mehr datenschutzkonformere Dienste, wie Threema genutzt, als noch vor einigen Jahren, als noch alle auf WhatsApp gesetzt haben. Privatsphäre scheint keine leere Wortfloskel mehr zu sein. Ich hoffe sehr, dass sich dieser „Trend“ fortsetzt.
(NL03/2020)