Alle Texte auf diesem Blog stehen unter einer Creative Commons Namensnennung-Nicht-kommerziell-Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.
Vom Umgang mit persönlichen Daten an deutschen Hochschulen
Kein Thema fällt in der Hochschulpolitik so leicht unter den Tisch wie der Datenschutz. Es ist ein unübersichtliches und unbequemes Thema, denn die Gesetze und Regelungen sind viele, die Fachkenntnis über die betroffenen Systeme meist gering und die Durchsetzung ist langweilig und arbeitsintensiv.
Als Datenschutz bezeichnet man üblicherweise den Schutz personenbezogener Informationen vor dem unerlaubten Zugriff durch Dritte. Üblicherweise geben wir im Alltag ständig unsere Daten weiter, sei es an der Mensakasse oder bei den Prüfungsanmeldungen. Früher wurden diese Daten abgeheftet oder gar nicht erst erhoben und in der Regel nicht mehr verwertet, außer es kam jemand mit einer konkreten Anfrage auf die Datenschutzbeauftragten zu. Mit großflächigem Einsatz von Computern, Chipkarten und Verwaltungssystemen sind die Möglichkeiten der Datenverwertung sehr viel größer geworden.
Heute ist es nicht mehr schlimm, wenn eine Schlüsselkarte verloren geht, da die Verwaltung diese schnell sperren und eine neue Karte herausgeben kann. Es ist auch unkomplizierter für die einzelnen Studierenden, mit einer einzigen Chipkarte die Kopien, Mensageld und das ausleihen zu verwalten. Aber diese Einfachheit birgt ein Risiko, das nicht unterschätzt werden sollte. Diese Daten können auch dazu benutzt werden, um finanziellen Schaden zu verursachen oder personenbezogene Daten wie z.B. Noten zu verändern.
Um die Daten, die in solchen Prozessen verarbeitet werden, zu schützen, hat die Deutschland ein Bundesdatenschutzgesetz und jeweils Ländergesetze, welche den Umgang mit personenbezogenen Informationen an öffentlichen Einrichtungen regeln. Jedes Amt, jede Universität und sogar Unternehmen die von der Bundesregierung beauftragt werden haben die Verpflichtung, die Umsetzung dieses Gesetzes zu garantieren. Jede Universität benötigt nach diesen üblicherweise einen Datenschutzbeauftragen, der diese Umsetzung überwacht.
Hierbei kommen wir allerdings zu dem ersten konkreten Problem, welches in fast jeder Universität zu finden ist: Die Datenschutzbeauftragten, welche für diese Arbeit nur 5 bis 50% ihrer Zeit aufwenden dürfen, können meist nur Datenlecks stopfen und geschehene Verletzungen des Rechtes auf informationelle Selbstbestimmung publik machen. Dass sie keine rechtliche Handhabe gibt es nicht. Eine wirkliche Kontrolle kann, gegeben durch die technische Umsetzung des Prozesses, nur von wirklich technisch versierten Angestellten erfolgen, sonst bleibt jeder Datenschutz an Universitäten reines Flickwerk. So ist auch die derzeitige Situation geprägt von der ständigen Möglichkeit einer Manipulation oder dem Missbrauch durch Dritte. Immer wieder werden Datenschutzlecks an Universitäten öffentlich gemacht.
Eine kleine Kostprobe von Situationen, die wirklich passierten:
Auf die Terminals zum Kauf von Theaterkarten, Universtätsmerchandise und der Zahlung des Semesterbeitrages konnten auf einer mir sehr gut bekannten Universität per Ferneinwahl zugegriffen werden. Dort konnte man im Klartext die Daten von Nutzern sehen, herunterladen und sogar verändern.1
Auf einer anderen Universität konnte die Sekretärin eines Dozenten die Noten von allen Universitätsstudenten mit ihren Namen einsehen und wusste sogar die Passwörter der Professoren, da diese unverschlüsselt zugreifbar waren.2
Gottseidank wurde in keinem Beispiel nachweislich Einfluss auf Noten genommen oder wurden Daten an andere verkauft. Aber man kann davon ausgehen dass, falls jemand schadhafte Absichten verfolgt, er diese so umsetzen und verschleiern kann, dass niemand nachvollziehen kann, ob überhaupt etwas passiert ist.
Die Zukunft sieht nicht besser aus. In der nächsten Zeit planen etliche Universitäten, Verwaltungssoftware einzusetzen, bei der unabhängige Datenschützer nicht nachvollziehen können, wie personenbezogene Daten vor dem unautorisierten Zugriff geschützt werden. Trotz dass die beauftragten Firmen Anfragen, wer die Daten überprüft, nicht beantworteten, scheinen die Universitäten an solchen all-in-one-Lösungen festzuhalten.
Hoffnung gibt es trotzdem: Nachdem gravierende Datenlecks öffentlich wurden, hat die Universität Göttingen der Einrichtung eines studentischen Datenschutzbeauftragten zugestimmt, der den bisherigen Prozess in Kooperation mit den Angestellten beleuchten soll.
