„Datenschützer*innen sind häufig genug als Einzelkämpfer*innen unterwegs“
Dr. Mattis Neiling
Gründer des Netzwerks Hochschuldatenschutz
Sie haben im Juni 2025 das „deutschlandweite Netzwerk Hochschuldatenschutz“ gegründet – Wer organisiert sich darin?
Im Netzwerk finden Beschäftigte öffentlicher Hochschulen zusammen, die sich tagtäglich mit den Herausforderungen des Datenschutzes auseinandersetzen und zwar sowohl behördliche Datenschutzbeauftragte als auch Datenschutzkoordinator*innen.
Welche Motivation gab es zu Beginn und welche Lücken sollten damit geschlossen werden?
Die Idee, das Netzwerk zu gründen, entstand für mich aus meiner eigenen Arbeit heraus. Mir war schon immer die Vernetzung wichtig – Konferenzen besuchen, Vorträge hören, Kolleginnen und Kollegen kennenlernen. Dabei habe ich regelmäßig Hochschuldatenschützer*innen getroffen, die mir von ihren Problemen erzählt haben.
Viele wurden an der Hochschule einfach „auf den Posten gesetzt“. Plötzlich sollten sie Verträge prüfen, mit dem Rechenzentrum sprechen, technische Fragen einschätzen – und waren damit oft allein. Kolleginnen und Kollegen aus dem juristischen Bereich benötigen häufig bei technischen Fragen Unterstützung und umgekehrt tun sich Informatiker mit kniffligen rechtlichen Fragen schwer.
Häufig hat der Datenschutz an den Hochschulen personell sehr knappe Ressourcen – viele sind Einzelkämpfer*innen und haben noch weitere Aufgaben. Insofern ist der TU Berlin hoch anzurechnen, dass wir in 2020 ein interdisziplinäres Team von drei Personen aufbauen konnten und dass jetzt, nach dem Weggang eines Kollegen trotz der Sparmaßnahmen des Senats eine Neuaufstellung des behördlichen Datenschutzes mit einer externen Kanzlei möglich ist. Ich bleibe weiterhin stellvertretender behördlicher Datenschutzbeauftragter und stehe als Ansprechpartner für Datenschutzfragen vor Ort zur Verfügung.
Das Ziel des Netzwerks Hochschuldatenschutz ist es, Beschäftigte öffentlicher Hochschulen, die sich tagtäglich mit den Herausforderungen des Datenschutzes auseinandersetzen und vernetzen wollen, zusammen zu bringen und Wissen zu teilen, um Synergieeffekte zu erzielen – nicht zuletzt sind Datenschützer*innen häufig genug als Einzelkämpfer*innen unterwegs.
Welches sind aktuell die übergreifenden Themen, die die Beschäftigten beim Thema Datenschutz bewegen?
In meinen Gesprächen – sowohl mit Koordinator*innen als auch mit Datenschutzbeauftragten – wurde sehr deutlich, dass viele mit den Anforderungen, die an sie gestellt werden, schlicht überfordert sind. Das betrifft sowohl die schiere Menge der Aufgaben als auch die notwendige fachliche Tiefe.
Ein Beispiel: Sobald etwa eine Hochschule Microsoft 365 einführen möchte, geraten Datenschützer*innen an ihre Grenzen: Die Tragweite eines solchen Projekts ist kaum zu überblicken, allein die juristischen Fragestellungen sind komplex. Die technischen Herausforderungen kommen noch dazu – etwa sicherzustellen, dass keine Daten Dritten offengelegt werden und zu vermeiden, dass innerhalb der Hochschule Dokumente versehentlich für Personen freigegeben werden, die keinen Zugriff haben sollten. Generell sind Rechte- und Rollenkonzepte extrem aufwendig, was wir z.B. aus dem SAP-Kontext wissen. Kurz gesagt: Einzelne Personen können die Datenschutzkonformität bei solchen Vorhaben kaum überblicken, steuern oder überwachen. Ein interdisziplinäres Arbeiten ist deshalb auch im Datenschutz nicht nur sinnvoll, sondern eigentlich zwingend notwendig.
Auch vor dem Hintergrund der Politik des amerikanischen Präsidenten: Die Problematik des Zugriffs amerikanischer Sicherheitsbehörden ist höchst aktuell. Zwar gibt es den Angemessenheitsbeschluss der EU Kommission und in Vertragsdokumenten ist es scheinbar gelöst – letztlich ist das aber nur Augenwischerei: „Compliance-Theater“, wie ein Kollege im Netzwerk äußerte. Faktisch bestehen die Herausgabeverpflichtungen dank US-Gesetzen wie FISA und dem Cloud-Act, so dass der Einsatz US-amerikanischer Cloud-Dienste nicht nur aus Datenschutzsicht höchst bedenklich ist.
Die zentrale Erkenntnis war daher: Bei großen, hochschulübergreifenden Themen brauchen wir gemeinsame Lösungen und Austausch. Das gilt nicht nur für Microsoft 365, sondern ebenso für KI-Tools, die inzwischen überall eingesetzt werden. Etwa die Frage wie man Prüfungsformate so gestaltet, dass der Einsatz von Systemen wie ChatGPT entweder ausgeschlossen oder sinnvoll integriert werden kann.
Und diese Herausforderungen betreffen nicht einzelne Einrichtungen, sondern alle Hochschulen gleichermaßen.
Gibt es tatsächlich bisher keinen bundesweiten Austausch zu den Themen?
Der entscheidende Punkt, warum ein bundesweites Netzwerk so sinnvoll ist, liegt im Föderalismus. Datenschutz – genau wie das Hochschulwesen insgesamt – ist Ländersache. Das bedeutet: Jede Frage rund um Datenschutz wird auf Ebene der Bundesländer geregelt. Und in der Pandemie haben wir sehr deutlich gespürt, wie stark uns dieser Föderalismus ausbremsen kann. Jedes Bundesland hat beispielsweise unterschiedliche, teils stark voneinander abweichende Regelungen zu elektronischen Prüfungen entwickelt – und das führte in der überregionalen Zusammenarbeit teilweise schlicht zu Chaos. Man fragte sich dann: Warum macht Berlin das komplett anders als das Saarland, NRW oder Bayern, obwohl doch überall die gleichen Aufgaben gelöst werden müssen?
Diese Unterschiede erschweren auch die Zusammenarbeit in geförderten Kooperationsprojekten. Schon die Frage, welches Videokonferenztool man nutzt, kann zur Grundsatzdiskussion werden – verbunden mit der Hoffnung, dass das jeweils verantwortliche Rechenzentrum Datenschutz- und Informationssicherheitsaspekte wirklich sauber mitgedacht hat.
In Berlin funktioniert der Austausch durch die Berlin-University-Alliance zwar sehr gut, und wir arbeiten auch eng mit Brandenburg zusammen – völlig logisch, denn die wissenschaftliche Zusammenarbeit geht längst über Landesgrenzen hinweg. Brandenburgische Hochschulen kooperieren mit Berliner Einrichtungen, gemeinsame Studiengänge gibt es auch. Die Realität ist also längst bundeslandübergreifend – und der Datenschutz muss es dann auch sein.
Wie waren die Reaktionen auf die Gründung des Netzwerks?
Viele Kolleginnen und Kollegen hatten ohnehin schon im bilateralen Austausch signalisiert, dass sie sich ein strukturierteres, bundesweites Netzwerk wünschen. Und das hat sich sofort gezeigt: Innerhalb von anderthalb Wochen hatten wir bereits 30 Mitglieder. Für den Start war das wirklich eine Hausnummer. Und es spricht sich herum: Die regionale Vernetzung der Datenschützer*innen auf Bundeslandebene funktionieren gut, wenn die Information dort ankommt, gibt es viele neue Anmeldungen.
Inzwischen sind wir bei mehr als 100 Mitgliedern und ich gehe davon aus, dass wir bald die 150 erreichen werden. Das liegt auch daran, dass wir das Netzwerk auf der großen Datenschutzkonferenz des DFN vorstellten – ein idealer Ort, weil dort genau unser Zielgruppe vertreten ist: Datenschützer*innen aus Hochschulen und Forschungseinrichtungen. Dort konnten wir genau die Menschen erreichen, die von dem Netzwerk direkt profitieren. Bei den vielen Datenschutzkonferenzen kommt ein großer Teil der Teilnehmer*innen von Kanzleien und aus dem Unternehmensumfeld oder der öffentlichen Verwaltung – Hochschuldatenschutz spielt dort eine untergeordnete Rolle.
Die positive Resonanz zeigt sich auch inhaltlich: Schon ganz konkret im Austausch zu Microsoft 365 und anderen Cloud-Diensten hat sich das Netzwerk als extrem hilfreich erwiesen. Einige Hochschulen setzen solche Dienste seit Jahren ein, andere stecken mitten in der Einführung – und dieser Erfahrungstransfer ist für alle enorm wertvoll. Allein die Möglichkeit zu fragen: „Wie habt ihr das damals gelöst?“ hat bei vielen sofort einen spürbaren Nutzen erzeugt. Oder Plagiatserkennung: In Thüringen gibt es da positive Erfahrungen mit einer Ausschreibung, so dass die dortige Lösung auch von anderen Hochschulen geprüft wird.
Wie ist der Austausch organisiert? Wie laufen die Treffen ab und wie häufig finden sie statt?
Das Netzwerk ist niedrigschwellig organisiert und mit wenig Aufwand für uns Netzwerker*innen. Da wir über ganz Deutschland verteilt sind, ist die Mailingliste zentral. Jede*r kann dort an alle schreiben.
Wir haben vierteljährlich virtuelle zweistündige Treffen vereinbart – für diese nutzen wir BigBlueButton. Zusätzliche finden virtuelle Termine einzelner Arbeitsgruppen statt, z.B. zu Matrix und MS365.
Im Juni 2026 findet unser erstes Präsenztreffen statt – dank der Unterstützung des Berufsverbands der Datenschutzbeauftragten BvD e.V. haben wir Räumlichkeiten & Catering am Rande des BvD-Datenschutztags in Frankfurt/Main.
Schauen wir auf die kommenden Jahre: Welche Datenschutzthemen werden für Hochschulen besonders wichtig – gerade angesichts knapper Ressourcen? Und welche Unterstützung erhoffen Sie sich vom Netzwerk?
Ich sehe drei große Schwerpunkte.
- Erstens: Sensibilisierung und Schulung.
Wir müssen Beschäftigte kontinuierlich befähigen, datenschutzkonform zu arbeiten – praxisnah, niedrigschwellig und wiederkehrend. Im Netzwerk wollen wir dafür Materialien teilen oder gemeinsam entwickeln, etwa kurze Lernsnacks oder modular einsetzbare Online-Formate, die jede Hochschule adaptieren kann. - Zweitens: Digitale Souveränität. Hochschulen sind verletzlich.
Wir haben es 2021 beim Hack erlebt. Zu digitaler Souveränität gehört, die Resilienz zu erhöhen und die Angreifbarkeit zu verringern. Hochschulen – besonders technische Universitäten – sollten aktiv dazu beitragen, Abhängigkeiten von einzelnen großen Anbietern zu verringern und Open-Source-Lösungen zu stärken. Das wirkt nicht nur nach innen, sondern auch in die Gesellschaft. Dazu gehört auch, Studierende früh einzubeziehen, denn sie gestalten die digitale Welt von morgen. Daher trage ich Datenschutzthemen auch in die Lehre. - Drittens: Digitalisierung und neue Technologien.
KI und Learning Analytics bieten Chancen, etwa um Studierende besser zu unterstützen. Zudem brauchen wir klare Leitplanken für einen verantwortungsvollen Einsatz. In der Verwaltungsdigitalisierung stehen große Aufgaben an. Hier kann das Netzwerk helfen, Erfahrungen zu bündeln und gute Lösungen gemeinsam zu entwickeln.
Wie sieht Ihre Vision für das Netzwerk Hochschuldatenschutz in fünf bis zehn Jahren aus? Was wäre der Idealzustand.
Ich wünsche mir ein Netzwerk, das in bundeslandübergreifenden Arbeitsgruppen an konkreten Themen arbeitet und dessen Expertise weit über Deutschland hinaus ausstrahlt.
Gleichzeitig soll es im Alltag ein verlässlicher Anlaufpunkt sein: Man stellt eine Frage zu einer Software oder Verarbeitungstätigkeit– und bekommt schnell qualifizierte Rückmeldungen.
Wenn in Zukunft die meisten öffentlichen deutschen Hochschulen vertreten wären, also wir 200 bis 500 Mitglieder wären, hätten wir eine kritische Masse, um nach außen und nach innen zu wirken. Die Interessen der Datenschützer*innen sind ähnlich gelagert und Synergien lassen sich erzielen, wenn wir uns eng verzahnen, uns austauschen und gemeinsam Wissen aufbauen, um den Datenschutz in der Hochschulpraxis voranzubringen, damit alle davon profitieren.
Weitere Informationen