IDMS und Datenschutz Juristische Hürden und deren Überwindung Bonn, den 21. Juni 2011 Erstellt von: Stephan Wagner

2

•  Multimedia Kontor Hamburg •  Ausgangslage •  Projektkontext und Rahmenbedingungen •  eCampus IDMS •  Problemstellung •  Novellierung •  Folgen der Novellierung •  Zusammenfassung •  Fragen

Agenda

3

Multimedia Kontor Hamburg

•  Gründung des MMKH Ende 2002

•  Zentrale Service- und Beratungsstelle der sechs öffentlichen Hamburger Hochschulen

•  MMKH beschäftigt derzeit ca. 13 Mitarbeiter

•  Zentrale Geschäftsfelder des MMKH –  eLearning (Beratung, Support, Veranstaltungen) –  eCampus (Koordination, Support, Transfer)

Das MMKH ist ein Unternehmen der Hamburger Hochschulen:

4

Ausgangslage

Stark zunehmende Verwaltungsaufwendungen

Ausgangs- bzw. Problemlage: •  Steigende Zahl und Vielfalt an IT-Systemen •  Wachsende Komplexität von administrativen Prozessen

•  Zunehmende Notwendigkeit zur Vernetzung von Hochschulen

•  Ansteigende Mobilität auf Seiten der Studierenden

Auswirkungen:

•  Redundante Datenhaltung

•  Lange Wartezeiten bei der Vergabe von Zugangsdaten

•  Steigende Sicherheitsrisiken

5

Projektkontext und Rahmenbedingungen Übersicht zu eCampus

6

eCampus IDMS Zielsetzung

Konsolidierung hochschulübergreifender Identitäten

•  Effiziente hochschulübergreifende Ressourcenallokation •  Abstellung redundanter Datenspeicherung •  Etablierung hochschulübergreifender Services •  Schaffung von eindeutigen elektronischen Identitäten •  Vermeidung von Mehrfachkennungen und Mehrfachverwaltung •  Senkung des Verwaltungsaufwandes und Steigerung der Sicherheit •  Durchgängige Prozessabwicklung •  Leichtere Integration von Anwendungen und Dienstleistungen

7

eCampus IDMS Architektur

!

8

Problemstellung

9

•  § 111 HmbHG enthält keine materiell-rechtliche Rechtsgrundlage •  Keine datenschutzrechtliche Freigabe zu konstruieren •  Betrachtung nur von einzelnen Hochschulen •  KEIN hochschulübergreifender Kontext

§ 111 HmbHG (Personenbezogene Daten) „Die Hochschulen dürfen … diejenigen personenbezogenen Daten

erheben und verarbeiten, die … erforderlich sind. ...“ Jedoch nur singulär betrachtet und nicht hochschulübergreifend!

Problemstellung Fehlende Rechtsgrundlage

10

•  § 111 HmbHG erteilt ausschließlich die Freigabe zur Etablierung von lokalen IDM-Systemen

•  Mithin besteht keine Möglichkeit einer hochschulübergreifenden Konsolidierung der Identitäten

•  Folgen für das Gesamt-Projekt: Die Umsetzung wäre nicht mehr zu gewährleisten!

Kompletter Stopp aller Aktivitäten! Eingebrachte Ressourcen wären verloren!

Problemstellung Darstellung der Problematik und mögliche Folgen

11

Novellierung des HmbHG

Erste Bewertung des Projektvorhabens Stellungnahme: Datenschutzrechtliche Freigabe zwingend erforderlich

Interne Bewertung des Datenschutzes innerhalb des Projektes

Prüfung der Stellungnahme Maßnahme: Vorarbeiten zur Novellierung des HmbHG

Anfertigung der Drucksachen zur Novellierung des HmbHG

Stellungnahme und Freigabe

Einreichung der Drucksachen in den Hamburger Senat Maßnahme: Entscheidung über die Novellierung und Weitergabe an die Bürgerschaft

Einreichung der Drucksachen in die Hamburger Bürgerschaft Maßnahme: Endgültige Entscheidung zur Novellierung und Weitergabe an die Justizbehörde

Veröffentlichung der Gesetzesänderung im Hamburgischen Gesetz- und Verordnungsblatt (HmbGVBl Nr. 42 Seite 605)

HmbBfDI Finanzbehörde Justizbehörde BWF

Senat

Bürgerschaft

HmbGVBl

BWF MMKH

eCampus-Projekt

HmbBfDI

eCampus-Projekt

Tätigkeit

Organisation

12

•  (1 - 3) Gleichgeblieben •  (4) Die Hochschulen und die Staats- und Universitätsbibliothek

dürfen personenbezogene Daten ihrer Mitglieder, Angehörigen, Nutzerinnen und Nutzer im automatisierten Verfahren zusammenführen, soweit dies erforderlich ist zur Erstellung einer einheitlichen Benutzerkennung für von ihnen betriebene automatisierte Verfahren, Aktualisierung von Kommunikations- und Statusangaben sowie Einrichtung eines Kontos für elektronische Post.

•  Zu diesen Zwecken können sie eine gemeinsame automatisierte Datei einrichten. Eine Nutzung der Daten zu anderen Zwecken ist ausgeschlossen.

•  (5 – 6) ...

Novellierung des HmbHG § 111 HmbHG (Personenbezogene Daten)

13

•  Notwendigkeit einer gesonderten Befugnisnorm •  Verfahrensgrenzen sind normenklar abzugrenzen •  Verantwortlichkeiten hinreichend zu bestimmen •  Etablierung einer gemeinsamen Daten •  Ermächtigung im Sinne des § 11 a HmbDSG ist nicht erforderlich

•  Für alle Beteiligten ein einheitliches und hinreichend sicheres Verfahren zu etablieren!

Novellierung des HmbHG Datenschutzrechtliche Anforderungen

14

Folgen der Novellierung

15

•  Frühzeitige Einbindung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

•  Führen von Vorgespräche mit allen beteiligten Organisationseinheiten

•  Rechtzeitige Berücksichtigung rechtlicher Rahmenbedingungen •  Iterative, projektbegleitende Abstimmungsprozesse mit den

Hamburger Datenschützern

Zusammenfassung

Fragen?!

16

Vielen Dank für Ihre Aufmerksamkeit Stephan Wagner eCampus Identity Management Betrieblicher Datenschutzbeauftragter Kunst- und Mediencampus Hamburg Finkenau 31 22081 Hamburg s.wagner@mmkh.de www.mmkh.de