RSS-Feed (News)Datenschutz an der Otto-von-Guericke-Universität Magdeburg
Studentenrat und Universitätsleitung der Otto-von-Guericke-Universität erhielten am Sonntag, 18.05.2008, einen Hinweis aus der Studierendenschaft, dass eine Datenbank mit persönlichen Daten von 43.861 Studenten im Internet veröffentlicht wurde.
Am Montag, 19.05.2008, wurden die Daten daraufhin von dem öffentlich zugänglichen Server gelöscht und bis 14:00 aus dem Google-Cache entfernt. Da sie bereits am 09.05.2008 veröffentlicht wurden und über Suchmaschinen auffindbar waren, ist jedoch ungeklärt, wie viele Personen sich die Daten in diesem Zeitraum von zehn Tagen angeeignet haben.
Das Rektorat benachrichtigte die Studierendenschaft am Freitag, 23. Mai 2008, per E-Mail über diesen Vorfall. Der Studentenrat möchte diese Nachricht um die folgenden, dem Rektorat zu jenem Zeitpunkt noch nicht vorliegenden Detailinformationen ergänzen, um die Studierendenschaft als Geschädigte umfassend zu informieren:
Es handelt sich um Datensätze aller aktiven und zahlreicher ehemaliger Studenten.
Die veröffentlichen Daten enthalten die folgenden sensiblen Informationen:
- Namen, Anschrift, Telefonnummer, Herkunft, Geschlecht
- Matrikelnummer, Fakultät,
- Immatrikulationsdatum, ggf. Exmatrikulationsdatum mit codiertem Exmatrikulationsgrund,
- Anzahl von Studien-, Urlaubs- und Praxissemestern,
- Datum, Ort und codierte Art der Hochschulzugangsberechtigung.
Nach bisherigem Kenntnisstand sind Noten der Studierenden nicht betroffen. Weitere Daten sind eher verwaltungstechnisch relevant, z.B. die Gebietskörperschaft des Kfz-Kennzeichnens im Falle eines Parkausweises.
Zu dem Vorfall kam es durch den Fehler eines Mitarbeiters der Universitätsverwaltung. Es handelt sich nicht um einen Angriff auf Informationsstrukturen der Universität durch Externe.
Die Veröffentlichung der genannten Daten verstößt gravierend gegen das Recht auf informationelle Selbstbestimmung der Betroffenen. Aus Sicht des Studentenrates sind die folgenden Schritte daher unbedingt notwendig:
- Die Neuregelung für personenbezogene Bekanntmachungen wie z.B. den Aushang von Noten. Diese dürfen nicht mehr mit ggf. veröffentlichten Matrikelnummern in Verbindung gebracht werden. Alte Bekanntmachungen müssen von Webseiten und Schaukästen entfernt werden.
- Die Erstellung einer umfassenden Liste der veröffentlichten Informationen und Zugriffe auf die veröffentlichte Datenbank.
- Die Schaffung eines technischen und organisatorischen Maßnahmenplans, der einen erneuten Verstoß gegen geltende Datenschutzrichtlinien und –gesetze unterbindet oder einschränkt.
- Die zeitnahe Aufklärung der Studierendenschaft über konkrete Maßnahmen und Konsequenzen.
- Die Stärkung einer „Datenschutzkultur“ an der Universität durch Diskussion, Schulungen und ein ständiges, aktives Datenschutzgremium, das der Universitätsöffentlichkeit kontinuierlich berichtet und sich explizit nicht nur mit dem aktuellen Vorfall befasst.
Der Studentenrat ist sicher, dass in diesen Punkten Konsens mit der Universitätsleitung besteht, und wird die Studierendenschaft über die weiteren Entwicklungen informieren.
Aus gegebenem Anlass fordert er eine offene Diskussion zum Thema Datenschutz an der Universität Magdeburg und ruft alle Studierenden und Mitarbeiter dazu auf, sich an der Diskussion zu beteiligen! Bei Rückfragen steht der Studentenrat unter kontakt@studentenrat.org zu Verfügung.
Am 27. Mai 2008 um 23:55 Uhr
Wäre es nicht eventuell sogar sinnvoll, sämtliche Matrikelnummern komplett zu ersetzen? Ja, es wäre ein sehr großer Aufwand, aber vermutlich die sauberste Lösung. Ansonsten muss jeder halt für die Prüfungsergebnisse ne neue Nummer bekommen, unter der die Ergebnisse veröffentlicht werden, und wo die Zuordnung diesmal nicht ins Internet gestellt wird. Oder jeder Student bekommt einen eigenen Benutzeraccount zu einem System, in dem er seine (und nur seine) Noten einsehen kann. Fragt mal bei Bedarf den Fachbereich Informatik der TU Darmstadt nach dem “Webreg”.
Ich hoffe, dass die Uni von selbst, ohne dass sie gerichtlich dazu gezwungen werden muss, sämtliche aus der Veröffentlichung resultierende Schäden vollständig ausgleicht, so gut es geht. Ich kann mir gut vorstellen, dass Name/Adresse + KFZ-Kennzeichen schon ein sehr interessanter Zusammenhang sind, gefährlicher als die Matrikelnummer.
Am 28. Mai 2008 um 08:35 Uhr
[…] auf die Straße zu gehen. Doch, wie man von Studenten aus Magdeburg hört, scheint der Studentenrat eher gelassen die ganze Angelegenheit […]
Am 28. Mai 2008 um 09:26 Uhr
Wenn man sich nicht auf Jahre die Möglichkeit verbauen will, weiterhin Aushänge in anonymisierter Form nur mit den Matrikelnummern zu machen (was ich immer sehr praktisch fand), wäre das absolut sinnvoll.
Am 28. Mai 2008 um 09:41 Uhr
Zum Eintrag “medien-gerecht”:
Jedenfalls scheint der StuRa das - nicht wegzudiskutierende - Problem sachlich und nicht so hysterisch wie Herr Meister anzugehen.
@ Jan Schejbal/Alexander Dahl:
Ja, der Ersatz ist geplant. Wie das Ganze nachher datenschutzrechtlich wasserdicht gemacht wird, bleibt abzuwarten. Bis dahin bleibt wohl nur der Weg zum Seminarleiter / ins Seminar.
Am 10. Juni 2008 um 13:36 Uhr
Papierlisten mit Noten und Matrikelnummern sind doch das kleinste Problem. Was ist mit Identitätsdiedstahl und anderen Straftaten im Zusammenhang mit persönlichen Daten der Betroffenen?
Aber vor allem wäre ich interessiert an Tendenzen der “Diskussion”, die über die angegebene E-Mail-Adresse des Stura geführt wird. Wird es eine zusammenfassende Darstellung der eingegangenen E-Mails geben?
Am 15. September 2008 um 14:55 Uhr
[…] es ja an meiner Lieblingsuniversität schon mal Probleme mit dem Datenschutz gab, hatte ich heute ein etwas anderes Erlebnis. Für einen mittlerweile in Berlin lebenden Freund […]
Am 1. Oktober 2008 um 08:15 Uhr
Wahrscheinlich kann man diese Daten ganz günstig bei EBAY ersteigern :((
Bye
Am 11. Oktober 2009 um 05:48 Uhr
[…] Stellungnahme des Studentenrats der Uni Magdeburg […]
Am 22. Dezember 2009 um 23:58 Uhr
[…] Pressemitteilung des Studierendenrates […]