15.1. Studierendendaten im Internet

Große, zentrale Datensammlungen rufen bei Datenschützern häufig Skepsis hervor. Je größer die Sammlung, desto größer die Begehrlichkeiten und die Gefahr von Beeinträchtigungen durch zweckändernde Verwendungen, unberechtigte Zugriffe, technische Pannen usw. Solcherart geäußerte Befürchtungen werden jedoch in Gesetzgebungsverfahren häufig belächelt, da man ja Zweckbindungen im Gesetz festschreiben und die erforderlichen technischen Maßnahmen zur Sicherung der Daten treffen könne. Wasser auf die Mühlen der Datenschützer war daher die Einstellung von Datensätzen von über 40.000 Studierenden auf einen mit dem Internet verbundenen Webserver durch die Otto-von-Guericke-Universität in Magdeburg.

Das Hochschul-Informations-System der Universität nutzte eine zentrale Datenbank zur Verwaltung der Bewerbungs-, Studierenden- und Prüfungsdaten.
Der Server des Hochschul-Informations-Systems befand sich in einem eigenständigen, von außen nicht zugänglichen Netz. Es bestand daher zu keinem Zeitpunkt die Möglichkeit, von außen auf einen Server der Universität, auf dem interne studentische Daten gespeichert waren, zuzugreifen.
Die Speicherung auf einem öffentlich zugänglichen Server erfolgte durch einen Mitarbeiter der Abteilung Datenverarbeitung der Verwaltung, der insoweit Administratorenrechte hatte. Einpflegearbeiten sollten durch Schaffung und Nutzung eines Programms automatisiert werden. Ein solches Programm muss während der Programmierung angepasst und getestet werden, um anschließend die gewünschte Aufgabe automatisch und fehlerfrei ausführen zu können.

Um die Arbeit schneller von zu Hause aus am Wochenende vollenden zu können, wurden die Daten über einen öffentlich zugänglichen Webserver transferiert. Der verantwortliche Mitarbeiter hatte jedoch die auf den Webserver hochgeladenen Daten nicht sofort gelöscht.

Betroffen war die Stammdatenbank zu den Studierenden. Sie enthielt neben Daten zu den aktiven ca. 13.000 Studenten auch Daten zu Ehemaligen. Insgesamt waren durch die Speicherung auf dem Webserver Daten von 42.861 Studentinnen und Studenten öffentlich zugänglich. Die Stammdatenbank umfasst 153 Datenfelder, von denen 113 belegt waren. Inhaltlich waren u. a. Angaben zu Namen, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Postanschrift, Beurlaubungsgrund, Hochschulzugangsberechtigung und Note der Zugangsberechtigung sowie Berufsabschluss umfasst.

Neben der Studierendenstammdatenbank waren im Internet weitere Tabellen zugänglich. Eine Tabelle mit privaten und universitären E-Mail-Adressen war ebenso verfügbar wie eine Identifikationstabelle zu Zuordnungszwecken (Identitätsnummer, Rolle, Verbindungsnummer) zu 59.902 Personen.

Die Fehlleistung führte dazu, dass Internet-Suchmaschinen den Server durchsucht und die darauf befindlichen Dateien gefunden, gespeichert und veröffentlicht haben. Somit bestand die Möglichkeit, auf die Daten u. a. über Google zuzugreifen. Innerhalb von 9 Tagen wurden 15 Zugriffe von Suchmaschinen registriert. Weiterhin fanden 220 anderweitige Zugriffe statt. Sie kamen aus dem Bereich der Universität, aber auch aus den Netzwerken privater Anbieter. Die Zugriffe erfolgten zum Teil auf einzelne Dateien, zum Teil auf alle.

Auch wenn es praktisch erscheinen mag, mit Echtdaten zu arbeiten, ist es beim Entwickeln von Anwendungen, die personenbezogene Daten verarbeiten sollen, wichtig, Tests und Probeläufe mit Testdaten durchzuführen. Gerade dies gibt auch die Gelegenheit, Testfehler und Extremfälle in die Daten einzuarbeiten und die Software somit robuster zu gestalten.
Daten, die einmal in das Internet gelangen, sind nicht mehr rückholbar. In diesem Fall war dank der schnellen Reaktion der Betroffenen selbst die Zahl der Zugriffe noch überschaubar. Dennoch kann nicht ausgeschlossen werden, dass die Daten auf irgendeiner lokalen Festplatte "gesammelt" wurden und zu einem späteren Zeitpunkt genutzt werden.

Die Universität ist für die Daten der Studenten in den Studierendendatenbanken verantwortliche Stelle nach § 2 Abs. 8 DSG-LSA. Die Verpflichtung der Studenten zur Angabe der erforderlichen Daten gegenüber der Universität ergibt sich aus § 119 Hochschulgesetz (HSG LSA). Die Universität erhebt, verarbeitet bzw. nutzt die Daten zur Erfüllung der Aufgaben des HSG LSA. Rechtsgrundlage hierfür sind mangels spezifischer Regelungen im Hochschulrecht (die Hochschuldatenverordnung ist durch Gesetz vom 18.11.2005 aufgehoben) die Vorschriften des DSG-LSA.

Durch die unverschlüsselte Ablage der Datenbanken auf dem Webserver erfolgte eine Übermittlung der betreffenden Daten. Übermitteln ist das Bekanntgeben an einen Dritten durch Weitergabe (vgl. § 2 Abs. 5 Satz 2 Nr. 3 a) aa) DSG-LSA). Dritter als Person außerhalb der Verantwortlichen Stelle (vgl. § 2 Abs. 9 DSG-LSA) war hier zunächst schon der Serverbetreiber, der auch die Möglichkeit der Kenntnisnahme hatte. Weiterhin erfolgt eine Übermittlung auch dadurch, dass Dritten die Daten bekannt gegeben wurden, indem sie zur Einsicht bereit gehalten wurden und die Dritten Einsicht nahmen (§ 2 Abs. 5 Satz 2 Nr. 3 a) bb) DSG-LSA).

Eine Rechtsgrundlage für die Datenübermittlung war nicht gegeben. § 12 Abs. 1 Nr. 1 DSG-LSA griff nicht ein, da die Übermittlung nicht zur Erfüllung der in der Zuständigkeit der Universität liegenden Aufgaben erforderlich war. Die Übermittlung an den Serverbetreiber zur Erledigung der Verwaltungsaufgaben der Programmentwicklung für die Einpflegearbeiten war unzulässig. Bereits der Rückweg der Daten zeigte, dass auch ein USB-Stick für den Transport hätte gewählt werden können, ohne Dritten die Möglichkeit der Kenntnisnahme zu verschaffen. Zudem wäre eine datenschutzgerechte Übermittlung auch durch verschlüsselte Versendung über den Server denkbar gewesen.

Besonders gravierend war, dass das Bereithalten der Daten (§ 2 Abs. 5 Nr. 3 a) bb) DSG-LSA) auf einem im Internet zugänglichen Server zu unzulässigen Übermittlungen an nicht in § 13 Abs. 1 DSG-LSA genannte Stellen im Ausland führen konnte.

Der Verstoß gegen datenschutzrechtliche Vorschriften war schon wegen der großen Zahl Betroffener erheblich. Es sind umfängliche Daten zu Studierenden der Öffentlichkeit preisgegeben worden, die zum Teil präzise Darstellungen der beruflichen Vita beinhalten. Die unbekannten Zugriffe und daraus folgende Verwendungen bleiben offen.
Der Umfang der Daten, die eine Universität zur Erfüllung ihrer Aufgaben verarbeiten muss, ist sehr groß. Die Studierenden sind zur Angabe verpflichtet und müssen darauf vertrauen dürfen, dass nur befugter und zweckgebundener Zugang zu ihren Daten erfolgt. Die gesetzlichen Verarbeitungsvorschriften und die erforderlichen Maßnahmen der technischen und organisatorischen Datensicherheit (§ 6 DSG-LSA) sind einzuhalten. Der Umgang mit den Daten erfordert daher eine erhebliche Sensibilität. Diese fehlte hier völlig. Nicht nur die Nachlässigkeit, sondern auch das versehentliche Unterlassen der Löschung, ist bedenklich. Schon der ungeschützte Transfer machte deutlich, dass im konkreten Fall in der für die Datenverarbeitung verantwortlichen Stelle der Universität ein entsprechendes Defizit bestand.

Die Universität hat diverse Maßnahmen ergriffen, um die Folgen der Zugänglichmachung zu begrenzen. Die Daten auf dem öffentlich zugänglichen Server wurden gelöscht.
Die Universität informierte die Betroffenen, soweit möglich, über eine E-Mail des Rektors, dann in einer Pressemitteilung. Eine auf der Homepage der Universität veröffentlichte Information unterrichtete dann detaillierter über den Vorgang und die getroffenen Maßnahmen.
Eventuell noch vorhandene Zugriffsmöglichkeiten wurden geprüft.

Von einer förmlichen Beanstandung konnte jedoch abgesehen werden (§ 24 Abs. 3 DSG-LSA).
Die Universität hatte die nötigen Maßnahmen umgehend getroffen und die Löschung der Daten im Netz bewirkt. Eine erkannte Gefahrenquelle weiterer Datenverwendungen wurde unterbunden. Den Transparenzerfordernissen wurde, wenn auch zögerlich, Rechnung getragen. Eine Beanstandung hätte daher keine über die getroffene Feststellung eines gravierenden Datenschutzverstoßes hinausgehende Wirkung gehabt.