DSGVO – Ein risikoorientierter Umsetzungsansatz für Hochschulen

• Die neue Datenschutzgrundverordnung der Europäischen Union (DSGVO / engl. GDPR) wurde per 25.5.2018 eingeführt. Die DSGVO findet auch auf Organisationen mit Sitz in der Schweiz Anwendung, wenn sie Dienstleistungen an Personen mit Wohnsitz in der EU anbieten.
• Es gilt dementsprechend zu prüfen, inwiefern die neuen gesetzlichen Bestimmungen von der heutigen Architektur (Organisation, Prozesse, IT-Systeme) abgedeckt werden.
• Wie bei jeder Gesetzesrevision bestehen auch bei der DSGVO Unsicherheiten bezüglich der Umsetzung. Die neuen gesetzlichen Vorschriften werden erst durch die Praxis der Datenschutzbehörden genauere Konturen gewinnen. In dieser Situation ist es sinnvoll, sich in einem ersten Schritt auf die wesentlichen Risiken zu konzentrieren, die aus einer allenfalls fehlenden Datenschutz-Compliance resultieren können.

• Der Datenschutz bezieht sich auf Personendaten. Welche Daten sich jedoch alle dieser Kategorie zuordnen lassen, ist nicht eindeutig definiert und bestimmt.
• Es braucht einen Rechtfertigungsgrund zur Datenbearbeitung:
  • Gesetzliche Grundlage
  • Überwiegendes öffentliches oder privates Interesse
  • Einwilligung durch den Nutzer/Kunden

• Die Transparenz und Zweckbindung der Datennutzung ist notwendig: welche Daten werden wofür angewandt/analysiert.

Im primären Fokus der EU-DSGVO stehen die Personendaten von Kunden. Im Falle der Hochschulen sind dies hauptsächlich die Studierenden. Personendaten in Forschungsprojekten sind grundsätzlich zu sichern. In den meisten Fällen bestehen hierzu bereits Prozesse und Ethikkommissionen, um persönliche Daten entsprechend sensitiv zu bearbeiten. Die Daten der Mitarbeitenden sind von der EU-DSGVO ebenfalls betroffen. In den meisten Fällen werden diesbezüglich bereits alle Grundsätze erfüllt, da die Pflege und der Zugang zu diesen Daten seit je her sensitiv ist.

Der Fokus einer Analyse liegt somit auf den persönlichen Daten der Studierenden, welche über den gesamten Lebenszyklus erhoben und erfasst werden:

• Interesse an einem Studium/Weiterbildung: Fokus auf Marketing- und Tragetingtools und -prozesse
• Immatrikulation / Anmeldung: Studierendenverwaltungssysteme und -prozesse
• Lehr-/Lernprozess: Lernplattformen und -prozesse
• Leistungsprüfungen: Lernplattformen, Studierendenverwaltungssysteme und -prozesse
• Zertifizierung/Abschluss: Studierendenverwaltungssysteme und -prozesse
• Alumni: Marketing- und Tragetingtools und -prozesse

Grundsätzlich sind Hochschulen im Rahmen der DSGVO zu folgenden Themen verpflichtet:

• Eine/n Datenschutzbeauftragten zu ernennen und gegen aussen zu publizieren, wie Datenschutzthemen bei dieser Person adressiert werden können.
• Eine Datenschutzvereinbarung zu publizieren, welche die Zweckbindung der Daten beschreibt.
• Dokumentation aller Personendatenverarbeitungsprozesse  (Beschreibung des Prozesses, angewandte Personendaten, Verwendungszweck, Sicherung etc.), Einführung von ISO 27001 als Alternative.
• Sicherung der Informationssicherheit (hauptsächlich der IT-Systeme): Schutz der Systeme / Datenbanken, Zugriffsrechte, DSGVO-konforme Verträge mit Supporteinheiten und Software-Lieferanten.
• Eine Datenverarbeitung auf Servern ausserhalb der EU benötigt ein „Transborder Data Flow Agreement“.