uk-online könnte das einheitliche Datenerfassungssystem der Universität Köln werden. Für die philtrat sprach Beate Schulz mit Alexander May, dem Datenschutzbeauftragten der Universität, über datenschutzrechtliche Probleme.
In Zukunft könnte uk-online uniweit als Datenverarbeitungssystem eingesetzt werden. Welche Rolle spielen Sie als Datenschutzbeauftragter in diesem Prozess?
An der Entscheidung, welches System eingeführt wird, bin ich nicht beteiligt. Als Datenschutzbeauftragter bin ich nur in beratender Funktion tätig. Ich kann darauf achten, dass die Technik datenschutzgerecht umgesetzt wird, mehr nicht. Wenn klar ist, welches System eingeführt wird, dann wird es auch einer genauen Überprüfung unterzogen, an der ich beteiligt bin.
Welche Anforderungen stellt das Datenschutzrecht?
Laut Gesetz sind Maßnahmen zu treffen zum Schutz des Rechts auf informationelle Selbstbestimmung, die gewährleisten, dass die Daten vertraulich verarbeitet werden. Das ganze Verfahren muss transparent sein. Man muss immer nachvollziehen können, wer wann welche Daten bearbeitet hat. Außerdem dürfen keine überholten Daten verwendet werden und sie müssen für die zur Einsicht berechtigten Personen durchgängig verfügbar sein. Und natürlich dürfen nur authentische Daten verwendet werden, soll heißen, die Daten müssen von der betroffenen Person angegeben und dürfen nicht von Dritten eingeholt werden.
Haben Sie Beschwerden über Sicherheitslücken und Datenschutzverstöße in uk-online erhalten?
Sicherheitsvorfälle sind mir seit ich hier bin nicht genannt worden. Ich habe aber gehört, dass es welche gegeben hat. Wobei ich dazu sagen muss, dass ich auch erst seit Oktober letzten Jahres hier bin und die Stelle längere Zeit vakant war.
Wie kann man sich gegen Datenschutzverstöße wehren?
Wenn es Vorfälle gibt, sollte man sich zunächst an die Systemtechniker wenden, die das Problem beheben müssen. Wenn das nicht erfolgt, dann sollte man sich bei mir melden, dafür bin ich da. Ich muss nachforschen, was an dem Vorwurf dran ist und über die Verwaltung dafür sorgen, dass der Fehler abgestellt wird.
Gilt für uk-online nicht auch der Grundsatz der Datensparsamkeit?
Grundsätzlich hängt die Erfassung der Daten mit der Erforderlichkeit der Datenverarbeitung zusammen. Im System gibt es verschiedene Hierarchieebenen, wie Geschäftszimmer, Dozenten, Studenten, die verschiedene Aufgaben haben. Man muss prüfen, wer welche Daten braucht und ob die Verarbeitung erforderlich ist. Entsprechend müssen für alle Ebenen verschiedene Rechte eingerichtet sein, so dass jede Ebene nur auf die Daten zugreifen kann, die sie angehen.
»Erforderlichkeit« ist aber ein dehnbarer Begriff
»Erforderlichkeit« bedeutet, dass das Wegfallen der jeweiligen Anwendung eine nicht unerhebliche Beeinträchtigung des Arbeitsflusses zur Folge haben muss. Ich frage immer: Wenn das Ganze wegfallen würde, was sind die Konsequenzen? Müsst ihr neue Leute einstellen oder braucht ihr einfach ein bisschen länger? Wenn ich zu dem Ergebnis komme, die Datenerfassung ist in dem Fall vielleicht nützlich, aber nicht mehr erforderlich, braucht man mindestens eine zusätzliche individuelle Einverständniserklärung aller betroffenen Personen.