Beratung der Hochschule für Musik und Darstellende Kunst in Frankfurt am Main

5.6.2
Beratung der Hochschule für Musik und Darstellende Kunst in Frankfurt am Main
Es kann nicht Aufgabe von Entwicklern und Verkäufern von Verwaltungsprogrammen sein, in dieser Rolle gleichzeitig auch eine Vorabkontrolle zu fertigen für die Behörde, die das Programm einsetzen will.

Die Hochschule für Musik und Darstellende Kunst bat mich um datenschutzrechtliche Beratung im Zusammenhang mit der Einführung eines so genannten Informations- und Kommunikationsservers. Dieser soll dem internen und externen Dokumenten- und Datenaustausch folgender Benutzergruppen in der Hochschule dienen:

– zentrale Verwaltung
– Fachbereichsverwaltung
– Hochschullehrer
– Lehrbeauftragte
– Studierende.

Mit der Aufgabe, die Einrichtung einer solchen Kommunikationsplattform zu planen und vorzubereiten, hat die Hochschule ein Unternehmen beauftragt.

Bislang gab es nur ein internes Rechnernetz, jedoch ohne einen Zentralserver, auf dem entsprechend einem gemeinsamen, allgemein gültigen Aktenplan Dokumente und Informationen abgelegt werden konnten. Auch fehlte damit eine zentrale Steuerung der Software-Updates einschließlich der Sicherheitsprogramme und Datensicherungen.

Unter dem Gesichtspunkt der Datensicherheit war die Einrichtung zentraler E-Mail und Dateiserver zu begrüßen, die die zentrale Verwaltung von Benutzerprofilen und eine entsprechende Datensicherung ermöglichen.

Beim Einsatz dieser neuen Software werden auch unterschiedliche personenbezogene Daten verarbeitet. Neben den persönlichen Daten der Systemnutzer wie persönliche Notizen, Termine und E-Mails sind auch zahlreiche Inhalte mit Personenbezug vorgesehen.

Vor Einführung des Systems war daher die Anfertigung einer Vorabkontrolle nach § 7 Abs. 6 HDSG durchzuführen.

§ 7 Abs. 6 HDSG

Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.

Den mir vorgelegten ersten Entwurf der Vorabkontrolle hatte der Auftragnehmer erstellt, der die Kommunikationsplattform planen und vorbereiten sollte. Dieses Verfahren ist nicht akzeptabel. Die Vorabkontrolle nach § 7 Abs. 6 HDSG ist von der für den Einsatz des Verfahrens verantwortlichen Stelle durchzuführen. Das bleibt die Hochschule als Auftraggeber auch dann, wenn sie sich für die Konzeption oder sogar für den Betrieb des Verfahrens eines Auftragnehmers bedient. Die Vorabkontrolle soll gerade die datenschutzrechtlichen Schwächen und Risiken sowie die technischen und organisatorischen Maßnahmen zur Vermeidung solcher Risiken aufzeigen und auf dieser Basis bewerten, ob Gefahren für den Datenschutz durch den Einsatz des Verfahrens bestehen. Der Auftragnehmer hat das wirtschaftliche Interesse, seine Dienstleistungen und die von ihm vorgeschlagenen Produkte im guten Licht erscheinen zu lassen. Führt er die Vorabkontrolle durch, besteht eine klare Interessenkollision.

Ich habe der Hochschule meine Bedenken mitgeteilt und sie auf

die Notwendigkeit ergänzender Darstellungen und eigener Bewertungen in der Vorabkontrolle hingewiesen. Die letzte Fassung der Vorabkontrolle, in der auch meine inhaltliche Kritik an der Vorversion Berücksichtigung fand, wurde daher von der Verwaltungsleitung der Hochschule selber konzipiert und verantwortet, bevor sie vom internen Datenschutzbeauftragten abschließend geprüft wurde.

zurück, weiter, Inhalt 33. TB, Sachwortverzeichnis zum 33. TB, Register der Rechtsvorschriften