IDMS und Datenschutz Juristische Hürden und deren Überwindung Bonn, den 21. Juni 2011 Erstellt von: Stephan Wagner
Agenda Multimedia Kontor Hamburg Ausgangslage Projektkontext und Rahmenbedingungen ecampus IDMS Problemstellung Novellierung Folgen der Novellierung Zusammenfassung Fragen 2
Multimedia Kontor Hamburg Das MMKH ist ein Unternehmen der Hamburger Hochschulen: Gründung des MMKH Ende 2002 Zentrale Service- und Beratungsstelle der sechs öffentlichen Hamburger Hochschulen MMKH beschäftigt derzeit ca. 13 Mitarbeiter Zentrale Geschäftsfelder des MMKH elearning (Beratung, Support, Veranstaltungen) ecampus (Koordination, Support, Transfer) 3
Ausgangslage Ausgangs- bzw. Problemlage: Steigende Zahl und Vielfalt an IT-Systemen Wachsende Komplexität von administrativen Prozessen Zunehmende Notwendigkeit zur Vernetzung von Hochschulen Ansteigende Mobilität auf Seiten der Studierenden Auswirkungen: Redundante Datenhaltung Lange Wartezeiten bei der Vergabe von Zugangsdaten Steigende Sicherheitsrisiken Stark zunehmende Verwaltungsaufwendungen 4
Projektkontext und Rahmenbedingungen Übersicht zu ecampus 5
ecampus IDMS Zielsetzung Effiziente hochschulübergreifende Ressourcenallokation Abstellung redundanter Datenspeicherung Etablierung hochschulübergreifender Services Schaffung von eindeutigen elektronischen Identitäten Vermeidung von Mehrfachkennungen und Mehrfachverwaltung Senkung des Verwaltungsaufwandes und Steigerung der Sicherheit Durchgängige Prozessabwicklung Leichtere Integration von Anwendungen und Dienstleistungen Konsolidierung hochschulübergreifender Identitäten 6
ecampus IDMS Architektur! 7
Problemstellung 8
Problemstellung Fehlende Rechtsgrundlage 111 HmbHG enthält keine materiell-rechtliche Rechtsgrundlage Keine datenschutzrechtliche Freigabe zu konstruieren Betrachtung nur von einzelnen Hochschulen KEIN hochschulübergreifender Kontext 111 HmbHG (Personenbezogene Daten) Die Hochschulen dürfen diejenigen personenbezogenen Daten erheben und verarbeiten, die erforderlich sind.... Jedoch nur singulär betrachtet und nicht hochschulübergreifend! 9
Problemstellung Darstellung der Problematik und mögliche Folgen 111 HmbHG erteilt ausschließlich die Freigabe zur Etablierung von lokalen IDM-Systemen Mithin besteht keine Möglichkeit einer hochschulübergreifenden Konsolidierung der Identitäten Folgen für das Gesamt-Projekt: Die Umsetzung wäre nicht mehr zu gewährleisten! Kompletter Stopp aller Aktivitäten! Eingebrachte Ressourcen wären verloren! 10
Novellierung des HmbHG Interne Bewertung des Datenschutzes innerhalb des Projektes ecampus-projekt Erste Bewertung des Projektvorhabens Stellungnahme: Datenschutzrechtliche Freigabe zwingend erforderlich HmbBfDI Prüfung der Stellungnahme Maßnahme: Vorarbeiten zur Novellierung des HmbHG ecampus-projekt Anfertigung der Drucksachen zur Novellierung des HmbHG BWF MMKH Stellungnahme und Freigabe HmbBfDI Finanzbehörde Justizbehörde BWF Einreichung der Drucksachen in den Hamburger Senat Maßnahme: Entscheidung über die Novellierung und Weitergabe an die Bürgerschaft Senat Tätigkeit Organisation Einreichung der Drucksachen in die Hamburger Bürgerschaft Maßnahme: Endgültige Entscheidung zur Novellierung und Weitergabe an die Justizbehörde Bürgerschaft Veröffentlichung der Gesetzesänderung im Hamburgischen Gesetz- und Verordnungsblatt (HmbGVBl Nr. 42 Seite 605) HmbGVBl 11
Novellierung des HmbHG 111 HmbHG (Personenbezogene Daten) (1-3) Gleichgeblieben (4) Die Hochschulen und die Staats- und Universitätsbibliothek dürfen personenbezogene Daten ihrer Mitglieder, Angehörigen, Nutzerinnen und Nutzer im automatisierten Verfahren zusammenführen, soweit dies erforderlich ist zur Erstellung einer einheitlichen Benutzerkennung für von ihnen betriebene automatisierte Verfahren, Aktualisierung von Kommunikations- und Statusangaben sowie Einrichtung eines Kontos für elektronische Post. Zu diesen Zwecken können sie eine gemeinsame automatisierte Datei einrichten. Eine Nutzung der Daten zu anderen Zwecken ist ausgeschlossen. (5 6)... 12
Novellierung des HmbHG Datenschutzrechtliche Anforderungen Notwendigkeit einer gesonderten Befugnisnorm Verfahrensgrenzen sind normenklar abzugrenzen Verantwortlichkeiten hinreichend zu bestimmen Etablierung einer gemeinsamen Daten Ermächtigung im Sinne des 11 a HmbDSG ist nicht erforderlich Für alle Beteiligten ein einheitliches und hinreichend sicheres Verfahren zu etablieren! 13
Folgen der Novellierung 14
Zusammenfassung Frühzeitige Einbindung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Führen von Vorgespräche mit allen beteiligten Organisationseinheiten Rechtzeitige Berücksichtigung rechtlicher Rahmenbedingungen Iterative, projektbegleitende Abstimmungsprozesse mit den Hamburger Datenschützern 15
Fragen?! Vielen Dank für Ihre Aufmerksamkeit Stephan Wagner ecampus Identity Management Betrieblicher Datenschutzbeauftragter Kunst- und Mediencampus Hamburg Finkenau 31 22081 Hamburg s.wagner@mmkh.de www.mmkh.de 16