Forschung
Die Zahl der im Zusammenhang mit § 67 Abs. 6 des SchulG zur Prüfung eingereichten Vorhaben ist nochmals deutlich angestiegen.
Wurden dem LfDI in den Jahren 2008/2009 noch nur gut 100 Vorhaben vorgelegt, waren es im aktuellen Berichtszeitraum 2014/2015 annähernd 300 an der Zahl! Wie bereits berichtet, führt dies zu Einschnitten in anderen Tätigkeitsfeldern. Überhaupt ist die Prüfung in diesem Umfang u.a. nur noch deswegen zu handhaben, weil die Studierenden, Wissenschaftlerinnen und Wissenschaftler und Forschungsinstitute kooperieren und die datenschutzrechtlichen Anmerkungen grundsätzlich aufgreifen.
Dies lässt sich trotz fehlender Vorort-Prüfungen auch daran festmachen, dass nur ganz ausnahmsweise einmal auf eine Eingabe z.B. eines Elternteiles hin ein Forschungsvorhaben daraufhin zu prüfen war, ob bei der Durchführung gegen datenschutzrechtliche Vorgaben verstoßen wurde.
Jedenfalls sollte in Zeiten der zunehmenden Digitalisierung von öffentlichen Stellen z.B. mehr Zeit von den vorhandenen Personalressourcen zur datenschutzrechtlichen Begleitung der Einführung weiterer zeit- und ortsunabhängiger Verwaltungsdienste (eGovernment) eingesetzt werden können.
Leider konnte die mit der Aufsichts- und Dienstleistungsdirektion Trier als Schulbehörde und dem Wissenschaftsministerium abgestimmte Verfahrensänderung, die den LfDI in diesem Zusammenhang entlasten soll, noch immer nicht in die Praxis umgesetzt werden. Dies ist aber nach Absprache mit dem Ministerium für das Schuljahr 2016/2017 zugesagt.
Zunehmende Themenvielfalt der Anfragen aus dem Hochschulbereich
Beschränkten sich die Eingaben und Anfragen bisher praktisch ausschließlich auf das Thema „Nachweis der Prüfungsunfähigkeit und Anforderungen an ein ärztliches Attest“, waren im Berichtszeitraum vielfältige Fragestellungen aus dem Bereich des allgemeinen Datenschutzrechts zu beantworten, was den Schluss nahelegt, dass man sich auch in diesem Umfeld zunehmend mit dem Thema Datenschutz auseinandersetzt.
So warf das Präsidium eines Studierendenparlaments die Frage auf, ob die Studierendenschaft einen Datenschutzbeauftragten bestellen muss oder ob für die Bearbeitung von Anfragen mit datenschutzrechtlichem Bezug aus dem Bereich der Studierendenschaft die oder der behördliche Datenschutzbeauftragte der Universität zuständig ist. Hierzu ist zunächst festzuhalten, dass die Studierendenschaft eine rechtsfähige Körperschaft des öffentlichen Rechts ist (§ 108 Abs. 2 HochSchG). Somit ist gemäß § 2 Abs. 1 S. 1 LDSG das Landesdatenschutzgesetz auf das Handeln der Studierendenschaft anwendbar. Als öffentliche Stelle hätten Studierendenschaften also bei Vorliegen der Voraussetzungen nach § 11 Abs. 1 S. 1 LDSG behördliche Datenschutzbeauftragte zu bestellen. Gemäß § 11 Abs. 1 S. 4 LDSG ist es aber auch nicht ausgeschlossen, dass die oder der behördliche Datenschutzbeauftragte der Universität diese Aufgabe in Personalunion sowohl für den allgemeinen Verwaltungsbereich der Universität wie auch für die Studierendenschaft übernimmt.
Ein Allgemeiner Studierendenausschuss (AStA) als die hochschulweite Interessenvertretung der Studierenden problematisierte, ob zur Prüfung eines Härtefallantrages durch das Prüfungsamt die Vorlage eines Totenscheines gefordert werden kann. Die Antragstellenden müssen die von ihnen geltend gemachten Gründe für die Wiederholung eines Prüfungstermins oder für den Rücktritt nach Beginn einer Prüfung regelmäßig gegenüber dem Prüfungsamt glaubhaft machen. Im Einzelfall kann daher die Vorlage des Totenscheines verstorbener Angehöriger zur Aufgabenerledigung des Prüfungsamtes erforderlich sein. Gegebenenfalls wäre die Vorlage einer beglaubigten Kopie, auf der außer dem Namen der Verstorbenen und dem Sterbetag alle anderen Angaben geschwärzt sind, zur Glaubhaftmachung ausreichend.
Ein AStA thematisierte, dass eine Beratungsstelle zum Zweck des Nachweises durchgeführter Beratungen für die Abrechnung mit einer anderen Stelle den Namen und die Matrikelnummer der die Leistungen in Anspruch nehmenden Studierenden sowie den Termin auf der Grundlage einer Einwilligung erhebt und übermittelt. Hier konnte der LfDI gemeinsam mit dem behördlichen Datenschutzbeauftragten eine pseudonymisierte Vorgehensweise abstimmen, die allen Seiten gerecht wird.
Sonstiges
Im Datenschutzbericht 2012/2013 wurde über das Anliegen der Leitungen verschiedener namhafter Forschungsinstitute informiert, eine Verfahrensabrede zur datenschutzrechtlichen Prüfung bundeslandübergreifender Schulleistungsuntersuchungen (z.B. PISA) zu treffen, mit der eine Erleichterung und Entbürokratisierung von Abläufen sowohl in den Aufsichtsbehörden als auch in den Forschungsinstituten einhergehen soll.
Dieses Anliegen wurde im Dezember 2015 in der Arbeitsgruppe „Datenschutz und Schule“ der Datenschutzkonferenz beraten und die Einrichtung einer Unterarbeitsgruppe beschlossen, in deren Arbeit sich der LfDI einbringen wird.
Die Unterarbeitsgruppe soll sich mit einem zukünftigen Verfahren zur Prüfung solcher länderübergreifender Untersuchungen beschäftigen. Als weitere Aufgaben kommen die Entwicklung eines Grundkonzepts sowie von Positionen zu grundlegenden Fragen, die sich bei der Durchführung eines Forschungsvorhabens stellen, in Betracht.
Nach den Universitäten Mainz und Trier werden weitere rheinland-pfälzische Hochschulen vorhandene Anwendungen durch integrierte Campusmanagementsysteme ablösen, die aus den Modulen Studierendenverwaltung, Prüfungsverwaltung und Studienmanagement bestehen.
Dem geäußerten Beratungsbedarf, z.B. im Hinblick auf die Umsetzung eines geeigneten Rollen- und Berechtigungskonzepts oder Konzepten für die Protokollierung von Zugriffen oder zur Löschung nicht mehr zur Aufgabenerfüllung erforderlicher Daten, wird der LfDI entsprechend seinem gesetzlichen Auftrag nachkommen.
Schutz von Patientendaten in der Universitätsmedizin Mainz
Die besondere Situation der Universitätsmedizin Mainz ist dadurch gekennzeichnet, dass diese einerseits Klinikum mit einer großen Zahl von Fachkliniken ist und andererseits Fachbereich der Johannes Gutenberg-Universität. Dies führt dazu, dass Krankenversorgung, Forschung und Lehre eng miteinander verbunden sind, eine strikte Trennung häufig nur bedingt möglich ist und sich vielfältige und teils gegenläufige Anforderungen ergeben. Unbestreitbar und unbestritten steht dabei eine optimale Patientenversorgung und das Patientenwohl im Vordergrund. Mit Blick auf die grundgesetzlich garantierte Forschungsfreiheit ist aus Sicht des LfDI auch anzuerkennen, dass deren Belange grundsätzlich gleichwertig mit den Anforderungen des Datenschutzes berücksichtigt werden müssen.
Um dem angemessen entsprechen zu können, bedarf es einer IT-Struktur, welche die für die jeweilige Aufgabenerfüllung benötigten Daten bereitstellt, gleichzeitig jedoch gewährleistet, dass Patientendaten vor unbefugter oder unnötiger Kenntnisnahme geschützt sind. Die angemessene Berücksichtigung beider Seiten erfordert verbindliche Regelungen und technisch unterlegte Verfahrensweisen für den Zugriff auf Patientendaten und den Datenaustausch zwischen den Bereichen Klinische Versorgung und Forschung und Lehre.
Hierzu hatte der LfDI Empfehlungen ausgesprochen. Diese zielen auf die Einrichtung separater Netzsegmente für die Bereiche Klinische Versorgung, Lehre und Forschung sowie die Einführung geeigneter Schutzmaßnahmen. Neben einer solchen Aufteilung des Netzes sollte eine Rollen- und Berechtigungskonzeption vorgesehen werden, die netzweit die Voraussetzungen und Verfahrensweisen für interne und externe Zugriffe auf die in den verschiedenen Netzsegmenten angesiedelten Daten, Systeme und Verfahren festlegt. Notwendige Voraussetzung hierfür ist ein Sicherheits- und Datenschutzkonzept, welches grundlegende Vorgaben zur IT-Infrastruktur der Universitätsmedizin macht, Sicherheitsleitlinien für den Zugang zu IT-Systemen und Anwendungen und für den Datenaustausch formuliert und Verantwortlichkeiten beschreibt.
Derzeit sind an der Universitätsmedizin zwar vereinzelt entsprechende Ansätze vorhanden, diese sind jedoch auf Teilbereiche beschränkt und nicht in ein Gesamtkonzept eingebunden; sie sollten jedoch flächendeckend und verbindlich umgesetzt werden. Trotz langjähriger Vorarbeiten wurde ein hierfür notwendiges Gesamtkonzept bislang nicht verabschiedet. Es ist bislang nicht erkennbar, dass sich hinsichtlich eines übergreifenden Konzepts Fortschritte ergeben hätten.
Angesichts vorliegender Konzeptentwürfe geht es aus Sicht des LfDI dabei weniger um die Frage, welche Maßnahmen im Rahmen einer Neukonzeption zu ergreifen wären, sondern vielmehr darum, dass vom Klinikvorstand verbindliche Vorgaben formuliert werden, aus denen sich notwendige technische Maßnahmen und Verfahrensregelungen ableiten lassen. Der LfDI verkennt dabei nicht die Schwierigkeiten, für eine Einrichtung in der Größe und mit den Aufgaben der Universitätsmedizin IT-Strukturen zu betreiben, die den unterschiedlichen Anforderungen gerecht werden. Auch ist er sich der personellen und finanziellen Rahmenbedingungen bewusst, die dazu führen können, dass notwendige Maßnahmen nicht kurzfristig zum Abschluss gebracht werden können.
Die Einhaltung gesetzlicher Anforderungen darf jedoch nicht von finanziellen Erwägungen abhängig gemacht werden, zumal dann, wenn, wie vorliegend, besonders sensible personenbezogene Daten betroffen sind. Zuzugestehen ist, dass unter Umständen nicht alle im Rahmen einer Neustrukturierung erforderlichen Maßnahmen kurzfristig umzusetzen sind und notwendige Vorhaben ggf. zeitlich und finanziell aufgeteilt werden müssen. Voraussetzung dafür ist jedoch eine Planung, die vordringliche Maßnahmen priorisiert und erkennen lässt, in welchen Schritten die Neustrukturierung vorgenommen werden soll.
Das Fehlen eines verbindlichen, vom Vorstand verabschiedeten Konzepts für die Neustrukturierung der IT der Universitätsmedizin stellt einen grundlegenden und mittlerweile dauerhaften Mangel dar. Es ist nicht hinnehmbar, dass für einen derart bedeutenden IT-Verbund wie die Universitätsmedizin keine verbindlichen Leitlinien und kein allgemeines Sicherheits- und Datenschutzkonzept existieren.
Trotz mehrfacher konzeptioneller Ansätze steht eine entsprechende Leitlinie nach wie vor aus. Hier sieht der LfDI dringenden Handlungsbedarf.