Zur Person: Harald Eul, Datenschutzbeauftragter des STUDIERENDENWERKS, unterstützte die Mitarbeiterinnen und Mitarbeitern aus allen Abteilungen in den vergangenen zwei Jahren intensiv dabei, die Anforderungen der neuen DSGVO umzusetzen.
Was waren die größten Veränderungen?
Die große Unruhe bei zahlreichen Unternehmen, Behörden und Vereinen war im Wesentlichen verursacht durch die erhebliche Steigerung des Bußgeldrahmens bei Gesetzesverstößen. Die Summe von 20 Mio. € war in aller Munde. Und bei hohem, weltweitem Jahresumsatz kann das Bußgeld sogar mehrere hundert Millionen Euro ausmachen. Damit rückte das Thema Datenschutz stärker in das Bewusstsein der Menschen und Akteure.
Darüber hinaus ergeben sich aus der DSGVO vier wesentliche Veränderungen gegenüber dem vorherigen Recht: Die DSGVO gilt EU-weit und bei grenzüberschreitenden Aktivitäten sind nicht mehr unterschiedliche Gesetze zu beachten (von geringfügigen Besonderheiten einmal abgesehen).Die Rechte des Bürgers, des Verbrauchers und der Beschäftigten sind deutlich gestärkt worden. So zwingt der Gesetzgeber zu einer höheren Transparenz, wie mit den Daten der Menschen umgegangen wird.Gleichzeitig wurden insbesondere die Rechte auf Auskunft, Löschung und Widerspruch stärker reglementiert.
Im Hinblick auf insbesondere soziale Netzwerke wurde das Recht auf Datenübertragbarkeit neu eingeführt. Die Daten verarbeitenden bzw. nutzenden Stellen sind jetzt verpflichtet, konsequenter als bisher angemessene Datensicherheitsmaßnahmen umzusetzen. Dadurch wird mittelfristig ein besserer Schutz der personenbezogenen Daten gewährleistet. Datenmissbrauch, Datendiebstahl und Datenmanipulationen sollen dadurch stärker eingedämmt werden. Die verarbeitenden Stellen sind nunmehr gehalten, die gesetzlichen Anforderungen nicht nur umzusetzen, sondern auch risikoorientiert zu systematisieren und zu dokumentieren. Ziel ist es dabei, dass die Datenschutzaufsichtsbehörden leichter als in der Vergangenheit die Einhaltung der gesetzlichen Vorschriften in der Wirtschaft und bei der öffentlichen Verwaltung kontrollieren können.
Was bedeuten diese Neuerungen für uns als STUDIERENDENWERK?
Um den neuen Anforderungen der DSGVO zu entsprechen, musste auch das STUDIERENDENWERK eine Vielzahl von Maßnahmen umsetzen. Davon waren alle Fachbereiche betroffen. Denn das STUDIERENDENWERK verarbeitet eine große Anzahl von personenbezogenen Daten der Studierenden. Sämtliche unserer Dienstleistungen sind betroffen: Studienfinanzierung, Wohnen, Gastronomie, Kinderbetreuung und natürlich unsere Webauftritte sowie die eigene Personalverwaltung. Obwohl der Gesetzgeber eine zweijährige Übergangsfrist vorgesehen hatte, war die Zeit knapp, um allen Anforderungen zu genügen.
Als Datenschutzbeauftragter möchte ich mich bei allen Mitarbeiterinnen und Mitarbeitern des STUDIERENDENWERKS bedanken, dass sie sich neben ihrer eigentlichen Aufgabe für die zeitgerechte Umsetzung der erforderlichen Maßnahmen über viele Monate hinweg engagiert haben. Ende Mai 2018 konnten wir feststellen: Ziel erreicht!
In der Presse wurde häufig über Irrtümer im Zusammenhang mit dem neuen Recht berichtet. Welche sind das?
Wie bei jedem neuen Gesetz entsteht für eine gewisse Zeit eine Verunsicherung. Und in Ermangelung von entsprechender Kommentarliteratur bzw. Rechtsprechung kommt es zu unterschiedlichen Interpretationen der gesetzlichen Regelungen. Dies führte zu manchen, zum Teil recht kuriosen und medienwirksamen Irrtümern. So wurden millionenfach Newsletter-Empfänger - in den meisten Fällen unnötig - zu einer erneuten Einwilligung aufgefordert.
Das bekannteste Beispiel ist wohl, dass die größte österreichische Wohnungsbaugesellschaft damit begonnen hatte, rund 200.000 Klingelschilder an den Mietwohnhäusern zu entfernen. Angeblich würde die DSGVO die Preisgabe des Namens auf den Klingelschildern nicht mehr erlauben. Die bereits begonnene Demontage wurde dann nach wenigen Tagen doch gestoppt. Auf Unverständnis in der Öffentlichkeit stieß verständlicherweise die Schwärzung von Fotos, auf denen Kita-Kinder abgebildet waren. Dabei war es immer schon so, dass die Veröffentlichung von Fotos von Kindern der Zustimmung der Eltern bedürfen.
Die Aufzählung der Irrtümer ließe sich beliebig fortsetzen. Und ich erwarte, dass es noch einige Jahre braucht, bis alle Fragestellungen weitgehend geklärt sind. Es dauert halt seine Zeit, bis sich die erforderlichen Prozesse eingespielt haben.
Welche Tipps haben Sie als Datenschutzexperte für einen sensiblen Umgang mit Daten?
Auch wenn das Datenschutzrecht für viele als unüberschaubar und kompliziert empfunden wird, genügen eigentlich zwei Grundsätze, die beachtet werden sollten:
1. Setze bei der Verarbeitung und Nutzung personenbezogener Daten deinen gesunden Menschenverstand ein!
2. Behandle die Daten anderer Menschen so, wie du auch deine Daten behandelt haben möchtest.
Neben dem Schutz der Daten anderer zeigen die Datenskandale allein des Jahres 2018, wie wichtig es ist, die eigenen Daten zu schützen. Das beginnt mit einem bewussten Umgang mit den Daten, die man im Rahmen sozialer Netzwerke (z.B. Facebook, Instagram, Twitter, WhatsApp) kommuniziert. Hier noch mal zur Warnung: Das Internet vergisst nichts! Man sollte also immer überlegen, bevor man Daten in soziale Netzwerke einstellt, ob man diese Information auch in fünf oder zehn Jahren noch im Internet sehen möchte.
Ein weiterer Aspekt zum Schutz der eigenen Daten ist die Sicherheit des Passwortes. Hierzu gibt es inzwischen eine Vielzahl von Empfehlungen, die man sich einmal anschauen sollte. Ja, ich weiß, dass einiges unbequem ist. Aber vorbeugen ist besser, als Opfer von Hackern, Erpressern oder einer Bloßstellung in der Öffentlichkeit zu werden.