Was Hänschen nicht lernt

 … lernt Hans nimmermehr. Im Informationszeitalter sollte diese Redensart vielleicht “Was StudiVZ nicht leistet, leisten die Universitäten” lauten. Dass an den deutschen Universitäten auch in punkto Datenschutz einiges im Argen liegt, ist nicht neu. Wenn aber die universitären Datenschützer sich selbst als “zahnlose Papiertiger” bezeichnen, weiß man: Es ist fünf vor zwölf. Insofern lohnt ein Blick auf die Geschehnisse.

Datenschutzpannen an Hochschulen nehmen die Öffentlichkeit bzw. die Betroffenen erstaunlich gelassen hin. So stand beispielsweise im Mai eine Datenbank mit denDaten von rund 44000 Studenten der Magdeburger Uni frei zugänglich im Netz. Ein Eldorado für Spammer, Betrüger und andere zwielichtige Zeitgenossen: Hier gab es gratis Name, Anschrift, Telefonnummer, Geburtsdatum, Herkunft und Angaben zum Studium mitsamt Matrikelnummer. Warum? Weil ein Verwaltungsangestellter zu Hause arbeiten wollte und deshalb die Daten in einer Datenbank auf einem öffentlich erreichbaren Server ablegte. Wäre es dabei geblieben, könnte man sagen: Schön, die Daten waren kurzfristig zugänglich … Allerdings weiß man ja: Der Teufel ist ein Eichhörnchen und auch kurze Zeit zugängliche Daten kann man missbrauchen. Doch damit nicht genug, denn der Mensch neigt zu Schusseligkeit – auch besagter Verwaltungsangestellter: Der vergaß nämlich, die Daten auf dem Server wieder zu löschen. Mit dem Ergebnis, dass die Studentendaten 10 Tage frei zugänglich waren.

Sicher, als das Kind in den Brunnen gefallen war, übte man sich in Krisenmanagement, gab sich geknickt, entschuldigte sich wortreich und gelobte Besserung. Zu diesem Befreiungsschlag gehörte auch ein Rundschreiben an die Studenten, darin folgender Satz: “Damit der Datenschutz trotz dieses Vorkommnisses gewährt bleibt, haben wir als Sofortmaßnahme beschlossen, dass Angaben zu Ihrer Person vorerst nicht mehr per Aushang (z. B. in Prüfungsämtern) bekannt gegeben werden.” Oho. Zum einen: Wie kann etwas gewahrt bleiben, das bereits verletzt ist? Und zum anderen: Glaubt die hehre Weisheit wirklich, dass Spammer und Internetbetrüger quasi wissenschaftlich arbeiten und im Netz gefundene Datensätze an Schwarzen Brettern in der Uni verifizieren?!

Anfang Oktober musste dann die Universität Göttingen ein Datenleck eingestehen: Hier war eine Datenbank mit vollständigen Namen von ca. 26000 Studenten auslesbar. Und weil Universitäten zumeist nach recht einfachem Muster E-Mail-Adressen vergeben, waren auch die Mailadressen ableitbar. Das Sahnehäubchen bei dieser Panne war eine Lücke im Prüfungsmeldesystem. Und wer hats gemerkt? Unter anderem Blogger, die dem studentischen Datenschutzbeauftragten das Mailfach einrannten. Den Hackern gemäß soll das Loch übrigens nach letztem Stand nicht dicht sein – allerdings ist das wohl auch gar nicht ernsthaft geplant …

Ein Gutes hatten die Pannen aber: Nachdem Leser von den Pannen erfuhren, haben sie bei Spiegel online “gepetzt”. Heraus kamen mindestens drei weitere Zwischenfälle:

Göttingen zum Zweiten: Eine Uni-Angestellte verbreitete die E-Mail-Adressen hunderter Jurastudenten. Wie? Via CC im Empfängerfeld – offenbar eine recht verbreitete, nichtsdestotrotz aber peinliche Angewohnheit.
Göttingen zum Dritten: Mitarbeiter des Prüfungsamts konnten studentische Passwörter im Klartext einsehen. Wenn die Studenten diese auch bei anderen Diensten verwenden: selber schuld … Aber Passwörter unverschlüsselt speichern?!
Und zum Abschluss die FH Regensburg: Hier nennt eine frei zugängliche Seite Namen von hunderten Studenten. Selbstverständlich lassen sich auch hier die Mailadressen der Betroffenen problemlos ableiten. Kleine Peinlichkeit am Rande? Die Universität Regensburg beschäftigt einen Professor für Management der Informationssicherheit. Er ist zudem Bundesvorsitzender des Berufsverbandes der Datenschutzbeauftragten Deutschlands e. V. – vielleicht hätte man sich mal an den Kollegen wenden sollen?!

Gravierende Probleme? Da kann man getrennter Meinung sein. Allein mit den Kontaktdaten lassen sich via Rundmail Viren verbreiten, vielleicht getarnt als Datei zur Studienevaluation. Mit zusätzlichen Informationen über den Studiengang, Matrikelnummer etc. kann man noch gezielter vorgehen. Problem erkannt, Gefahr gebannt? Leider nein, denn mit dem Datenschutz ist es ein bisschen wie in der Medizin: Nur wenige Krankheitsbilder führen zum sofortigen Dahinscheiden des Patienten. Die meisten haben einen eher schleppenden Verlauf. Und selbst wenn ein kränkelnder Patient identifiziert ist, kann von garantierter Genesung nicht die Rede sein: Ist die Therapie zu teuer, steuert der Patient dem sicheren Tod entgegen. Und schlecht ausgestattete oder überlastete Universitäts-Datenschutzbeauftragte, denen man zudem nicht zuhört, gleichen einem Chirurgen ohne Skalpell.

So ist es kein Wunder, dass Ingrid Pahlen-Brandt, Datenschutzbeauftragte der FU Berlin, die Datensicherheit an den Universitäten als “Wahrscheinlich schlecht” bezeichnet. Der mit akademischen Strukturen vertraute Leser wird diese Einschätzung einzuordnen wissen und ahnen, dass Uni-DSBs gegen Windmühlen kämpfen: Denn akademische Würden verleiten manche dazu, sich wie Duodezfürsten zu benehmen. Oder sich wie Kleinkinder statt um Eimerchen und Schäufelchen um Räume und studentische Hilfskräfte zu balgen. Steht dieser Horde ein einzelner Datenschützer gegenüber, gerät er leicht unter die Räder.

Deshalb kann der Uni-Datenschützer im Schadensfall nur hoffen, dass die Verursacher sich einsichtig zeigen. Andernfalls kann er wie ein I-Dötzchen zum Landesdatenschutzbeauftragten rennen: Herr Lehrer, ich weiß was … Praxistaugliche Problemlösungen bedeuteten sicherlich auch, dass die universitäre Elite ihr hohes Ross verlässt und sich von einem Datenschutzbeauftragten etwas sagen lässt. Schwieriges Unterfangen. Das hat auch Werner Heun, der DSB der gebeutelten Georg-August-Universität Göttingen festgestellt: Universitärer Datenschutz beschränkt sich auf “Löcherstopfen”. Erkannte Mängel werden behoben – aber aktive Sicherheitsmaßnahmen? Nix da. Gut, nichts ist übertrieben: Wenn ein Rechner läuft sollen geschlossene Bürotüren für Sicherheit sorgen. Nur wenn der Rechner läuft? Und nur beim Büro des DSB und seiner Hilfskräfte? Ist das nicht ein bisschen wenig? Aber andererseits: Ist denn mehr möglich? Wie soll ein Datenschützer mit zwei – womöglich teilzeitbeschäftigten – Hilfskräften eine ganze Universität “bewachen”? Allein die Zahl der Studierenden liegt oft im höheren fünfstelligen Bereich, von der Zahl der Angestellten ganz zu schweigen. Und hier wird ein ganz anderes Problem ersichtlich: Gerade in vergleichsweise kleinen Städten sind die Universitäten oft der größte Arbeitgeber am Ort. Klar, dass ein Datenschutzbeauftragter einen schweren Stand hat, wenn er das Gros der Arbeitsplätze gefährdet.

Aber ein schwerer Stand ist das eine. Das andere ist die Tatsache, dass nicht einmal jede Hochschule überhaupt einen Datenschutzbeauftragten hat. Dabei wäre das bei den immensen Datenbergen, die Universitäten verwalten, nötig: Neben den Adressdaten der Studenten und Angestellten tummeln sich auf Universitätskarten Ausleihdaten der Bibliotheken, Zugangsberechtigungen, Ernährungsgewohnheiten … Nicht zu vergessen die Ergebnisse verschiedener Studien, die auf Uni-Rechnern schlummern. Und wenn Probandendaten aus der Medizin oder Psychologie in der Wirtschaft nicht reißenden Absatz fänden, wäre das schon fast verwunderlich. Außerdem: Woher soll ein probandendatenverwaltender Sportstudent wissen, ob und welche Daten er verwenden oder wem weitergeben darf?

Woher? Aus Seminaren zum Datenschutz, die universitäre DSBs geben – zu denen aber kaum jemand erscheint. Das liegt zum einen wohl daran, dass solche Angebote nicht jedem offenstehen und von den Universitäten kaum beworben werden. Zum anderen ist die Sensibilität für Datenschutzfragen auch bei (vermeintlich?) Hochgebildeten unterentwickelt. Das beweist ein Teil der Klientel nachdrücklich auf StudiVZ u. Ä. Unvorsichtiger Universitätsbediensteter bedarf es da gar nicht mehr. Die gebeutelte Göttinger Uni hat deshalb neben Werner Heun einen studentischen DSB berufen, der nicht nur die Dozenten und die Verwaltung kontrollieren, sondern auch seine Kommilitonen aufklären soll. Ob das Studenten, die im Schnellwaschgang durch ihr Studium schleudern, für Datenschutzfragen ihrer Alma Mater sensibilisiert? Man weiß es nicht. Aber bekanntlich bestätigen Ausnahmen die Regel und insofern gibt es Licht am Ende des Tunnels: Der u-asta der Universität Freiburg ruft – nicht nur Studenten – zu einem ehrgeizigen Projekt auf: Alle in der Stadt gesichtetenÜberwachungskameras sollen im OpenStreetMap-Projekt verzeichnet werden.

Vor diesem Hintergrund stimmt die eingangs erwähnte Einsicht der Hochschul-Datenschutzbeauftragten, “zahnlose Papiertiger” zu sein, schon fast freudig, denn: Einsicht ist der erste Weg zur Besserung …