Bereits vor der DSGVO entwickelten die Fachhochschulen in Österreich ein gemeinsames Konzept zum Datenschutzmanagement. Die Umsetzung erfolgte jedoch in jeder Hochschule autonom. Die DSGVO verlangte nach einer Revision der Datenschutzprozesse – eine Herausforderung, die sämtliche FHs in ähnlicher Weise zu bewältigen hatten. Die Implementierung einer einheitlichen Softwarelösung ist daher schlüssig.
Gemeinsam mehr erreichen
Die Österreichische Fachhochschul-Konferenz versteht sich landesweit als Sprachrohr aller Fachhochschulen. Als Dachorganisation vertritt sie die Interessen ihrer Mitglieder in Öffentlichkeit und Politik. Ein weiteres Ziel: Die Vereinheitlichung von Standards und Förderung von Transparenz im Hochschulsektor. Im Datenschutz erreicht die Österreichische Fachhochschul-Konferenz dieses Ziel durch den Einsatz von otris privacy.
EU-DSGVO
Seit Mai 2018 ist die DSGVO EU-weit einheitlich anzuwenden. Das stellte nicht nur viele Unternehmen, sondern auch öffentliche Organisationen vor Herausforderungen. Ein DSGVO-konformes Datenschutzmanagement verlangt eine Dokumentation und Überprüfung aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Zusätzlich müssen Unternehmen und Organisationen abgleichen, ob die bestehenden Datenschutz-Maßnahmen der neuen Verordnung entsprechen.
Gleiche Herausforderungen, gleiche Lösung
„Datenschutz war für uns schon vor Inkrafttreten der DSGVO ein wichtiges Anliegen. Die in der Fachhochschul-Konferenz organisierten FHs entwickelten daher ein gemeinsames Datenschutz-Konzept. Die Umsetzung erfolgte jedoch individuell mit unterschiedlichen Prozessen und Dokumentationslösungen“, erläutert Dr. Ralf Mitteregger, Abteilungsleiter Information Services der Fachhochschule Salzburg GmbH. „Die neue Gesetzeslage verlangte eine Revision unseres Datenschutz-Systems. Nicht nur wir an der FH Salzburg, sondern alle FHs standen vor einer fast deckungsgleichen Aufgabe. Auch wenn die einzelnen FHs eigenständige Rechtsträger sind – strukturell gibt es viele Gemeinsamkeiten.“ Als Dachorganisation entschied die Österreichische Fachhochschul-Konferenz daher, ein zentrales Softwaresystem einzuführen, um die operative Umsetzung des Datenschutzkonzeptes zu vereinheitlichen. „Da die Herausforderungen für alle FHs ähnlich sind, liegt es auf der Hand, hochschulübergreifend die gleiche Lösung zu implementieren“, beschreibt Ingo Prepeluh, stellvertretender Generalsekretär der Österreichischen Fachhochschul-Konferenz, die Intention hinter der Anschaffung von otris privacy.
Hauptziele
Hochschulen verwalten Daten über Angestellte, freie Mitarbeiter und Studierende. Hinzu kommt ein großer Bestand personenbezogener Daten aus der operativen Arbeit – von wissenschaftlichen Projekten bis hin zum Tagesgeschäft. Mit otris privacy stellt die Österreichische Fachhochschul-Konferenz ihren Mitgliedshochschulen ein einfaches System zur Dokumentation und Prüfung der internen Datenschutzprozesse zur Verfügung. Die Grundkonfiguration der mandantenfähigen Software ist für alle FHs einheitlich. Diese Vereinheitlichung ist gleichzeitig eine Vereinfachung der komplexen Aufgaben im Datenschutz. „Die FHs, die otris privacy nutzen, müssen den prozessualen Ablauf des DSGVO-konformen Datenschutzes nicht selbst entwickeln. Das gibt das System vor“, erläutert Ingo Prepeluh. Die otris-Consultants konfigurierten das System in Zusammenarbeit mit den Datenschutz-Verantwortlichen so, dass es die Hauptanforderungen aller FHs abdeckt. Vor dem Roll-Out in der einzelnen FH müssen dann nur noch Kleinigkeiten, wie die Nutzerrechte, individualisiert werden.
Transparenz durch Zentralisierung
Die Einführung des Datenschutzsystems hat einen weiteren Vorteil: Sämtliche relevanten Daten und Dokumentationen liegen nun in einer zentralen Datenbank. Die verantwortlichen Mitarbeiter im Datenschutz greifen somit auf einen einheitlichen, aktuellen Datenstand zu. Unterschiedliche Versionen, Probleme beim gemeinsamen Arbeiten an Dokumenten oder Dateninkonsistenz gehören der Vergangenheit an.
Operative Arbeit
otris privacy vereinfacht die Datenschutzarbeit in ganz unterschiedlichen Bereichen. Dr. Ralf Mitteregger gibt einen Einblick: „Die Pflege der Dokumentationen zur Datenverarbeitung und Auftragsdatenverarbeitung, das Risikomanagement, das Management der Betroffenenrechte oder die Erstellung von Datenfolgeabschätzungen – otris privacy nutzen wir für das gesamte Spektrum an Arbeit, die im Datenschutz anfällt.“ Dass die Verantwortlichen in den FHs diese Arbeit auf gleiche oder ähnliche Weise mit demselben System erledigen, erzeugt Synergien und erleichtert die Unterstützung bei Fragen. Können Fragen intern nicht geklärt werden oder ergeben sich ergänzende Anforderungen aus dem laufenden Betrieb, hilft der otris-Support. „Struktur und Organisation sind in einer Hochschule anders aufgebaut als in einem Konzern. Die Anpassbarkeit der Software und auch die Kompetenz der otris-Mitarbeiter haben uns geholfen, otris privacy an unseren Bedarf zu adaptieren“, fasst Ingo Prepeluh zusammen.
Fazit
Einfacher durch Einheitlichkeit – so könnte man die Umstellung auf otris privacy auf den Punkt bringen. Die Erfüllung aller DSGVO-Vorgaben ist für Fachhochschulen – wie für andere Organisationen, in denen viele datenschutzrelevante Prozesse anfallen – komplex und aufwendig. Mit der Umstellung auf ein zentrales Datenschutzsystem stellt die Österreichische Fachhochschul-Konferenz seinen Mitgliedern eine praxisnahe Unterstützung zur Seite. Die vorkonfigurierten Strukturen des Systems nehmen den Datenschutzverantwortlichen viel von der Arbeit ab, die in selbstentwickelten Systemen anfiel. Dadurch bleiben mehr Ressourcen für die eigentliche Aufgabe: Die Identifikation und Dokumentation datenschutzrelevanter Prozesse, ihre Bewertung sowie die Initiierung und Überwachung geeigneter Maßnahmen.