Datenschutz in Praxis und Lehre – (Aus einem Interview)

„In Dortmund war ich Prorektor für das Ressort Infrastruktur und Medien, das Aufgabenfeld reichte da vom Aufbau der IT-Infrastruktur bis hin zur Koordination der Zusammenarbeit zwischen Medienzentrum, Bibliothek und Rechenzentrum. Dabei hat sich gezeigt, dass Datenschutzfragen bei der Erneuerung der IT-Infrastruktur immer wieder wichtig sind. Auch in meinem Fachgebiet – ich habe in Dortmund das Fach Informatik und Gesellschaft vertreten – ging es u.a. um Datenschutz: Wir haben die Frage: „Welchen Einfluss hat der Einsatz von Informationstechnik auf die Gesellschaft?“ am Beispiel der Arbeitswelt vertieft. Ich habe z. B. eine Vorlesung „Datenschutz für Informatiker“ gehalten.

Eine vollständige Auflistung meiner Tätigkeiten

Unsere Aufgaben

Wir haben zunächst einmal Aufgaben, bei denen der Datenschutzbeauftragte reagieren muss. Er muss zur Verfügung stehen, wenn jemand ein Datenschutzproblem hat, hier an der Ruhr-Universität. Dann haben wir landesweit und auch hier im Hause viele EDV-Verfahren, die im Stadium der Einführung sind, bei denen personenbezogene Daten verarbeitet werden. Für sie muss eine sog. Vorabkontrolle erstellt werden. D.h. man muss fragen, ob die Technik und das organisatorische Verfahren so gestaltet sind, dass der Datenschutz eingehalten wird: Gibt es z. B. Risiken, dass etwa jemand von außen Zugriff hat oder dass jemand Daten unbemerkt verändern kann oder dass Daten verloren gehen können? Falls Probleme erkannt werden, muss Abhilfe geschaffen werden. Nur nach einem positiven Votum des Datenschutzbeauftragten können diese Verfahren dann eingeführt werden oder vom Probebetrieb in den regulären Betrieb übergehen.

Wir beraten des Rektorat im Vorfeld bei der Planung neuer Infrastruktur, wir sensibilisieren die Mitarbeiter für Datenschutzfragen – z. B. ist den wenigsten bewusst, dass bestimmte Datenschutzvorschriften zu beachten sind, wenn sie Teilnehmerlisten in ihren Laptops führen, z.B. mit den Noten der Teilnehmer. Gegebenenfalls müssen dann z. B. Verschlüsselungstechniken zum Einsatz kommen. Auch darüber informieren wir. Im Zweifel soll der Datenschutzbeauftragte auch hingehen und sagen können: „Ich möchte jetzt mal diese Maschine sehen.“

Es ist ein Verfahrensverzeichnis zu führen, damit man weiß, wo was an Daten erhoben und wie es verarbeitet wird. Kurz: Wir müssen ein ganzes Konzept – auch mit externer Hilfe – entwickeln, um diesen Zielen gerecht zu werden.

Ein weiteres Tätigkeitsfeld sind Schulungen: Alle Mitarbeiter der RUB müssen entsprechend ihrer Aufgaben über den Datenschutz informiert sein. Das kann per Schnelleinstieg mit einer Broschüre oder einem online-Leitfaden passieren, und bei Bedarf über Vertiefungsmöglichkeiten, z. B. über Kurse oder persönliche Beratung. Wir müssen die Leute sensibilisieren für das Thema, so dass sie sich aus Überzeugung damit beschäftigen, und wir möchten, dass sie Augenmaß entwickeln. Im Hintergrund einer Risikoabschätzung steht immer die Frage „Wie sieht ein realistisches Angreiferszenario aus? Welches Gefährdungsrisiko muss jemand erwarten? Wie lässt sich darauf angemessen reagieren?“

(aus einem Interview: Abgedruckt in rubbits Nr. 14, 11/2004.)

Veröffentlichungen

Meine Veröffentlichungen finden Sie hier