Spätestens seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) halten die Data Protection Officers (DPOs) Einzug in die schweizerischen Forschungsanstalten. Die nachhaltige Akzeptanz und die Generierung eines Mehrwertes für die Forschenden gestaltet sich jedoch schwierig. Doch mit etwas Feingefühl machen sich DPOs äusserst wertvoll und unentbehrlich – aber wie?
Neben den kantonalen und der nationalen Datenschutzgesetzgebung müssen Unternehmen in der Schweiz der europäischen Datenschutzgrundverordnung (DSGVO) folgen, sofern sie Personendaten im Rahmen von Tätigkeiten einer Niederlassung oder einer Auftragsdatenbearbeitung verarbeiten (Art. 1-4 DSGVO). Die DSGVO regelt weiterhin die Ernennung eines Datenschutzbeauftragten (engl.: Data Protection Officer, kurz DPO; Art. 37 Abs. 1). Somit müssen auch Forschungsanstalten in der Schweiz einen DPO einsetzen, wenn
- sie nach Art. 2 DSGVO (sachlicher Anwendungsbereich) sowie
- nach Art. 3 DSGVO (räumlicher Anwendungsbereich) personenbezogene Daten verarbeiten und
- sie nach Art. 37 DSGVO einen DPO ernennen müssen
Wie trifft das nun die Forschungsanstalten im Land?
Forschung kennt bekanntlich keine Landesgrenzen. Forschungsnetzwerke leben von ihrer Internationalität und Interdisziplinarität. Besonders für junge Forschende sind neben den Förderungen des Schweizerischen Nationalfonds (SNF) sowie internationaler Stiftungen und Geldgeber die prestigeträchtigen Grants der Europäischen Kommission (ERC Grants) von grösster Bedeutung.
Die DSGVO findet dabei auf verschiedenste Weise Anwendung, etwa, wenn Geldgeber die Einhaltung der DSGVO voraussetzen, oder Projekte durch die Verarbeitung personenbezogener Daten aus der EU per se unter die DSGVO fallen und die Ernennung eines DPO Pflicht wird.
Solche Funktionen, die durch regulatorische Vorgaben Forschende einschränken oder durch Formalitäten Mehraufwand generieren, werden jedoch oft als Belastung wahrgenommen. Als Funktionen, die den wissenschaftlichen Geist durch zusätzliche Formalitäten in seiner Freiheit und Kreativität berauben. Wie kann man also dieser Wahrnehmung entgegenwirken und sich für eine Forschungsanstalt wertvoll machen?
Was sollte ein DPO mitbringen?
Fachkenntnisse – logisch, oder? Wer sich als DPO durchsetzen möchte, muss gerade dort, wo Datenschutz als Hürde empfunden wird, dessen Wichtigkeit verdeutlichen und mit Fachwissen weiterhelfen: der DPO als Wissensvermittler und analoges Datenschutz-Wikipedia.
Zentral ist das Wie. Statt Forschende mit unzähligen Formularen, Informationen und e-Learnings zu überhäufen und sich als Papiertiger zu positionieren, sollte bei Einführung der Position der persönliche Kontakt zu den Forschenden im Fokus stehen.
Präsens zeigen – ein Schlüssel zur Akzeptanz im Unternehmen. Präsens auf allen Hierarchiestufen in Formen, die dem Zielpublikum angepasst sind; öfter mal kleine Inputs in Form von 8-Minute-Slots bewirken häufig mehr als ein ganzer Dschungel an gut gemeinten Formularen. Am Ende macht es dort die gesunde Mischung.
Ein Papiertiger, der nur wenig präsent ist, wird im Unternehmen nur wenig bewirken können. Denn wer nicht präsent ist und sich nicht kommunikativ zeigt, gerät in Vergessenheit. Ein Influencer, der von Meeting von Meeting hüpft, aber inhaltlich nur wenig bietet, wird jedoch genauso schnell von der Bildfläche und aus dem Arbeitsalltag verschwinden.
Ein DPO kann sich nachhaltig im Unternehmen positionieren, wenn es ihm gelingt ein Netzwerk von Schlüsselpersonen um sich aufzubauen (Führungspositionen sowie Fachspezialisten), und dennoch den regelmässigen Austausch mit allen Hierarchiestufen zu pflegen. Durch ein gewisses Mass an Kommunikations- und Sozialkompetenz, Schaffen von Vertrauen und Vermittlung von Wissen gelingt es dem DPO sich in den Arbeitsalltag der Forschenden zu integrieren und einen Mehrwert für die Institution zu schaffen.
Weiterführende Links:
Links zur DSGVO:
https://dsgvo-gesetz.de/kapitel-1/
https://dsgvo-gesetz.de/art-37-dsgvo/
Link zum Swiss TPH
