Es ist ein datenschutzrechtlicher Supergau: Ein Verwaltungsangestellter der Uni wollte wochenends von zu Hause arbeiten. Dafür stellte er die Datenbank mit den persönlichen Daten der Studenten (Adresse, Matrikelnummer, Alter, Dauer des Studiums etc.) auf einen öffentlich zugänglichen Server der Universität.
Jedem Datenschutzbeauftragten dürfte dies alleine schon ein Grund sein, sich die Haare zu raufen, wie sorglos an der Universität Magdeburg mit den Daten der Studenten umgegangen wird. Dass die zuständigen Angestellten darüber hinaus sich nicht mal bewußt sind, dass sie mit solchen Handlungen gegen fundamentale Grundsätze des Datenschutzes verstoßen ist umso schlimmer.
Nachdem die Daten 10 Tage auf dem Server lagen und von Suchmaschinen indiziert wurden, merkte die Universität den Fehler. Es folgte katastrophales Informationsmanagement, mit einer Entschuldigung und der fadenscheinigen Ausrede, den Datenschutz dadurch zu verbessern, dass künftig bei Aushängen (!) keine Angaben zur Person gemacht werden.
Als Student dieser Universität würde ich schier ausrasten, ob der Unfähigkeit und Uneinsichtigkeit der Leitung der Universität. Was haben Angaben in Aushängen mit dem Fehler und vorsätzlich rechtswidrigen Umgang der persönlichen Daten der Studenten durch einen Verwaltungsangestellten im Internet zu tun? Passend zum 40. Geburtstag der Studentenrevolution wäre hier ein guter Zeitpunkt wieder auf die Straße zu gehen. Doch, wie man von Studenten aus Magdeburg hört, scheint der Studentenrat eher gelassen die ganze Angelegenheit anzugehen.
Rechtliche Schritte – sowohl arbeitsrechtlich seitens der Universität gegenüber dem Angestellten, als auch Unterlassens- oder Schadensersatzansprüche von den Studenten – scheinen derzeit kein Thema zu sein. Guten Morgen, Magdeburg!
7 Kommentare
Moin,
wie mir beim lesen des Artikels aufgefallen ist hat der Schreiber keine Ahnung von Hochschulen, und deren regulären Arbeitsabläufen. Des Weiteren wird ein Vorgehen was von Studentenseite verlangt worden ist um die Anonymität wiederherzustrellen als Unwichtig und Nutzlos dargestellt.
Sorry aber wenn ihr soetwas schreibt, solltet ihr sicher sein das es korrekt und richtig und vollständig ist!!!
Das was der Studierendenrat fordert ist Selbstverständliches im Umgang mit persönlichen Daten. Das MUSS die Universität so oder so einhalten/umsetzen. Es hat allerdings überhaupt nichts mit der Aufklärung des Falles zu tun. Etwa, wem waren die Daten zugänglich, was für Zugriffe sind erfolgt etc.
Ich bin Student an der OvGU und kann mich dem Autor so nicht anschliessen.
Erstmal ist es nicht die Universitaet, die den Datenschutz mit Fuessen tritt – der Vorfall wird sehr ernst genommen – sondern ein Mitarbeiter, der einen groben Fehler begangen hat.
Als der Vorfall bekannt wurde, sind umgehend Massnahmen zur Schadensregulierung eingeleitet worden. Seit dem wird daran gearbeitet, wie solche Vorfaelle in Zukunft verhindert werden und wie sich der eingetretene Schaden begrenzen laesst.
Im uebrigen wurden ueber die Matrikelnummer hinaus auch bei bisherigen Aushaengen keine Angaben zur Person gemacht. Die derzeitige Massnahme ist, _ueberhaupt keine_ Aushaenge zu machen, bis ein neues Anonymisierungsverfahren gefunden ist.
Wie in vielen anderen Unternehmen und oeffentlichen Verwaltungen auch, gibt es an der OvGU in Bezug auf den Datenschutz Verbesserungsmoeglichkeiten. Aber um einen solchen Sumpf, wie er hier beschrieben wird, handelt es sich nicht.
Die Darstellung erweckt den Eindruck eines fanatischen Versuchs, ueber Datenschutzmaengel zu berichten. Wie Micha schon schrieb: Wer so etwas verfasst, sollte sich _sehr sicher_ sein. Und wenn das hier der Fall ist, wurde schlecht recherchiert!
Ja, aber Hallo! 40 000 Datensätze sind veröffentlicht! Persönliche Daten! Und die Uni beschwichtigt wiegelt ab! Bis auf eine dünne Mail des Rektors an die Studierenden ist nichts passiert.
Ist es denn so schwer, konkret mitzuteilen, welche Daten in der DB standen und wer betroffen ist? Nicht der Presse, sondern den Betroffenen natürlich.
Außerdem sind die Logs auszuwerten und wieder ist den Betroffenen mitzuteilen, wieviele verschiedene Zugriffe auf den Server erfolgten.
Der Stura ist in der Tat zu brav!
Zum Thema Schadenersatz: Wie kann man den Schaden denn messen? Auf welcher rechtlichen Grundlagen kann der — zweifelslos entstandene — Schaden ersetzt werden? Würde man hier nicht rechtliches Neuland betreten?
Eigentlich hätten die Daten so gesichert sein müssen, dass der Verwaltungsangestellte nicht einfach die kompletten Datensätze von 40.000 Studenten einfach mal so hemmungslos kopieren kann. Alleine das ist ein Unding.
Das Bundesdatenschutzgesetz sieht in § 7 BDSG und § 8 BDSG eigene Schadensersatzansprüche vor. Ich habe leider gerade keinen BDSG Kommentar zur Hand, wegen des erforderlichen Schadens. Aber völlig abwegig erscheint mir ein Anspruch nicht (Vorallem sollten die Voraussetzungen von § 8 BDSG vorliegen, wäre ein “Schmerzensgeld” nach § 8 Abs. 2 BDSG ggf. möglich)
> Ja, aber Hallo! 40 000 Datensätze sind veröffentlicht! Persönliche Daten! Und die Uni beschwichtigt wiegelt ab! Bis auf eine dünne Mail des Rektors an die Studierenden ist nichts passiert.
Genau das ist eben falsch. Weder wird der Umstand abgestritten, noch tatenlos dagesessen.
Welche Daten in der DB standen, ist der PM des StuRas zu entnehmen. Der Rektor hat mitgeteilt, was er wusste – die Uni ist (wie alle anderen staatlichen Unis auch) eine oeffentliche Verwaltung und arbeitet halt auch so.
> Der Stura ist in der Tat zu brav!
Was soll er denn tun? Rebellieren? Randalieren? Auf die Barrikaden gehen? Um zu erreichen, dass der Rektor die Studentenschaft in die Vorgaenge einbezieht und informiert? Hat er doch bereits. Es gibt Gespraeche mit der Unileitung, wir haben einen studentischen Vertreter in der Runde, die jetzt konkret ueberlegt, wie weitergemacht wird.
Dass hier besonnen gehandelt wird, sollte nicht als Untaetigkeit gewertet werden!
“Welche Daten in der DB standen, ist der PM des StuRas zu entnehmen.”
Da steht erstens eine Einschränkung und zweitens ein ‘etc’ — es bleiben also Fragen offen.
Auch ist nicht klar, wessen Daten betroffen sind. Vor allem für Ehemalige dürfte das interessant sein — Bin ich einer der 40 000 oder nicht? Zugegeben, das zu ermitteln dauert seine Zeit.
Und warum nur eine “PM”? Warum nicht wieder eine Mail an die Studenten?
Und dann noch die Auswertung der Serverlogs.