Zur Zeit werden bei uns Ausstellungsobjekte katalogisiert. Die Datensätze enthalten den Namen der hierfür verantwortlichen Person. Das ganze wäre kein Problem wäre man nicht auf die Idee gekommen die Software einer anderen Forschungseinrichtung in Deutschland zu verwenden und gleich die Daten für den Probebetrieb auf den Servern des anderen Forschungsinstituts zu speichern. Unsere IT ist dann zu dem Schluss gekommen, dass hier die Datenschutzbeauftragten gefragt werden müssen, weil es sich um personenbezogene Daten handelt.
Insgesamt würde ich das als gemeinschaftliche Datenverarbeitung klassifizieren, wobei Daten aus meiner Sicht einen relativ “geringem Schutzstatus” haben. Dass die Personen bei uns arbeiten ist öffentlich einsehbar.
Es wird aber immer wieder darauf hingewiesen, dass Auftragsverarbeitung und gemeinsame Verarbeitung einen schriftlichen Vertrag bedingen in dem Aufbewahrungsfristen, etc. festgelegt werden.
Bisher fehlt mir das richtige Argument um zu sagen, dass diese Art der Verarbeitung von relativ unsensiblen Daten keine weitere Behandlung braucht. Der Fall mag fast schon lächerlich sein, aber wenn hier eine schriftliche Vereinbarung unumgänglich ist, dann müsste man diesen Sachverhalt akzeptieren.
Im Zuge dieser Sache ist mir aufgefallen. Unsere Wissenschaftler haben Kooperationen auf der ganzen Welt. USA, China, etc. Gemeinsame Projektdaten beinhalten die Namen und Emailadressen der betroffenen Personen. I.A. werden solche Kooperationen mündlich geschlossen und für die Frage ob die Namen der Personen auch in 20 Jahren noch in den Dateien stehen, interessiert sich niemand. Für manche Projekte gelten Aufbewahrungsfristen von 10 Jahren, die alle Kooperationspartner einhalten müssen. Werden die Daten publiziert, sind die Namen in “dieser Komposition” sowieso öffentlich. Wann und ob das passiert und wer bis dahin ausscheidet, weiß man aber nicht im Voraus. Gibt es hier ein einfaches Argument, welches ich übersehen habe, so dass das alles kein Problem ist?
Die Begriffe, wenig sensible Daten vs sensible Daten wurden ja gestrichen. Es ist zumindest am Anfang des Projekts im Interesse der Beteiligten, dass der Beitrag honoriert wird.
Vielleicht kennt jemand ein einfaches Argument, warum das alles kein Problem ist, oder warum es ein Problem sein könnte, welches ich gerade nicht sehe.