Die Corona-Pandemie erzwang eine abrupte Umstellung aufs Home-Office. Was vorher Face-to-Face besprochen wurde, musste sich in den digitalen Raum verlagern. Schnell wurden praktische Dienste und Tools wie Microsoft Teams, Slack oder Zoom zur Abstimmung mit den Kollegen eingesetzt. Was hierbei schnell vergessen wird: DSGVO-Konformität!
Was im Privaten gerne mal großzügig übersehen wird, ist bei der Arbeit, nicht nur an Hochschulen, stets zu berücksichtigen: Ist der digitale Dienst und das verwendete Tool auch Datenschutz konform gemäß der Datenschutzgrundverordnung? Und welche Datenschutzbestimmungen gelten für Hochschulen und Ihre Angehörigen im Besonderen?
Die gute Nachricht dabei ist: Viele Anbieter – darunter viele US-amerikanische – haben sich seit Inkrafttreten der DSGVO auf die Anforderungen eingerichtet und ihre Dienste entsprechend angepasst. Und dennoch muss vor der Verwendung von neuen Anbieter ein erster Datenschutz-Check vorgenommen werden.
Disclaimer: Dieser Artikel soll eine Orientierung im Umgang mit Datenschutzanforderungen bieten. Die Informationen erheben keinen Anspruch auf Vollständigkeit. Eine individuelle, fallbezogene Prüfung sowie das Einholen einer fundierten, juristischen Beurteilung ist daher unabdingbar.
Vor dem Einsatz neuer Tools
Bevor ein Tool eingesetzt werden soll, ist es ratsam sich mit den Kolleg:innen aus der IT in Verbindung zu setzen. Vielleicht gibt es bereits Alternativen zu Funktionen die in anderen Diensten bereits vorhanden sind oder einfach zu integrieren sind. Eventuell befinden sich die Kolleg:innen bereits in Verhandlungen mit Anbietern. Denn wenn ein Dienst im Arbeitskontext angewendet werden soll, dann muss in der Regel ein Auftragsverarbeitungsvertrag (AVV) mit dem entsprechenden Anbieter abgeschlossen werden.
Darüber hinaus bestehen noch weitere Formen der Datenverarbeitung, die zum Tragen kommen können. Ein erster positiver Hinweis auf eine mögliche Erfüllung der Datenschutzanforderungen kann sein, wenn der Anbieter aus der Europäischen Union kommt und damit die Datenspeicherung in der EU oder Deutschland gewährleistet oder wenn der betreffende US-Anbieter sich dem EU-US-Privacy Shield-Abkommen angeschlossen hat.
Ein AVV mit einem Dienstleister muss im Vorfeld mit dem Datenschutzbeauftragten oder alternativ mit der Rechtsabteilung geprüft und gegebenenfalls individuell verhandelt werden, damit er den besonderen Datenschutzanforderungen, die für Hochschulen zum Teil gelten, entspricht.
Manche Problematiken des Datenschutzes lassen sich zum Teil umgehen, indem man sich für Open Source-Software entscheidet. Diese kann auf hochschuleigenen Servern betrieben werden. Doch auch hier gilt es zu prüfen, ob eventuell integrierte Dienste oder Plug-Ins von Drittanbieter ebenfalls den Datenschutzanforderungen entsprechen. Hinzukommt, dass die Sicherheit des Servers durch die IT in Form regelmäßiger Updates und einer Firewall sichergestellt sein muss. Hinzukommt, dass die Software aus Sicherheitsgründen auf das Universitätsnetz beschränkt sein kann.
Vor einer Anfrage beim internen Datenschutzbeauftragten, hilft eine kurze Vorprüfung und Dokumentation des Dienstes, um einschätzen zu können in welchem Umfang dieser die Anforderungen des Datenschutzes erfüllt. Details lassen sich vor der Schließung eines AVV mit dem Dienstleister klären und gegebenenfalls nachverhandeln.
Für diesen Abstimmungsprozess muss in der Projektplanung viel Zeit eingeplant werden, nicht selten kann eine Abstimmung zu einem AVV 6 Monate und mehr beanspruchen, ehe man mit der Testphase beginnen kann.
Checkliste
Wichtig ist, dass zur Erstellung einer Entscheidungsgrundlage möglichst alle Informationen im Vorfeld bekannt sind, da fehlende Informationen den Entscheidungsprozess zu einem späteren Zeitpunkt jederzeit gefährden können. Die folgenden Punkte sollen in der Vorbereitung der Bewertung des Datenschutzniveaus helfen.
1. Beschreibung der Anforderungen
- Beschreibung der benötigten Funktionen der Aufgaben
- Welcher Anbieter bietet die datenschutzfreundlichsten Service
- Gibt es Alternativen, die sparsamer bei der Erhebung von Daten sind?
- Begründung warum diese(r) Anbieter ausgewählt wurden
Gut im Vorfeld zu wissen: - Was sind die Alternativen, falls eine Prüfung negativ verläuft?
- Sind benötigte Funktionen eventuell über bereits eingesetzte Software abgebildet?
- Gibt es alternative Tools und Ressourcen, die einen Betrieb auf eigenen Servern ermöglichen?
2. Beschreibung der Software sowie Beschreibung des Einsatzes
- Beschreibung des Einsatzes der Software oder des Dienst. Was soll die Software leisten? Beschreibung der Szenarien sowie Abgrenzung zu anderen Einsatzzwecken.
- Beschreibung der grundlegenden Funktionen der Software.
3. Erhobene und verarbeitete Daten
- Zweck der Datenerhebung und Verarbeitung
- Welche Daten fallen an und sollen verarbeitet werden?
- Wenn bekannt, sollten möglichst alle bei der Nutzung des Dienstes anfallenden und verarbeitenden Daten benannt und beschrieben werden.
4. Technische Details
- Hier sind alle verfügbaren Informationen relevant, die der Anbieter zur Verfügung stellt. Diese finden sich entweder in den AGBs, den technischen Spezifikationen oder in den Hinweisen zum Datenschutz. Dort sind zumeist die eingesetzten Dienste von Drittanbietern aufgeführt.
- Manche Anbieter veröffentlichen umfassend ihre Informationen zu den Technisch-Operativen-Maßnahmen (TOMs) oder senden diese auf Anfrage mit dem Standard-AVV zu.
Ihr wollt noch mehr zum Thema Datenschutz erfahren? Infos zu der Bewertung des Datenschutzniveaus mit dem Standard Datenschutz-Modell anhand dessen sieben Gewährleistungszielen findet Ihr hier.
