Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Datenschützer an Unis: "Wir sind zahnlose Papiertiger"

Von

Wenn Dilettanten Namenslisten streuen und Massenmails verschicken, leidet der Datenschutz an Hochschulen. Trotz etlicher Pannen handeln die Beauftragten erst, wenn Lecks öffentlich bekannt werden - denn im Uni-Dschungel fehlen ihnen die Kontrollmöglichkeiten.

Deutsche Hochschulen haben ein Datenschutzproblem. Immer wieder schlampen sie mit den Daten ihrer Studenten, stellen sie öffentlich ins Netz. So entblößte kürzlich die Uni Göttingen Vor- und Zunamen von 26.000 Studenten. Im Mai stellte die Uni Magdeburg gar die vollen Namen mitsamt Geburtsdaten und Anschriften von über 40.000 Studenten auf einen öffentlichen Server – und bot damit Spammern und Internetbetrügern ein gefundenes Fressen.

Mit solchen Adress-Sätzen können sie individualisierte Lock-E-Mails verschicken. Betreff zum Beispiel: "Wichtige Nachricht von ihrer Uni". Als Dreingabe im Anhang: ein Virus.

Aufgeschreckt von den Zuständen andernorts berichteten SPIEGEL-ONLINE-Leser von Problemen an ihrer Hochschule:

  • So gibt ein Webdienst der FH Regensburg die Namen hunderter Studenten preis. Jedermann kann daraus die E-Mail-Adressen der Studenten rekonstruieren. Diese Seite ist nach wie vor frei zugänglich.

  • Eine Uni-Angestellte in Göttingen hatte die E-Mail-Adressen von Hunderten von Jurastudenten verbreitet, wie die Betroffenen an der Fakultät SPIEGEL ONLINE bestätigten. In solchen Fällen würde es schon helfen, das Feld für die Blindkopie (BCC) zu verwenden - anstatt allen Empfängern alle Mailadressen mitzuliefern.

  • Mitarbeitern des Prüfungsamts der Uni Göttingen war es bis Mitte Juli möglich, die Passwörter der Studenten im Klartext einzusehen – Passwörter, mit denen sich Studenten vielleicht auch bei anderen Netz-Diensten einloggen. Auf Nachfrage des Asta bestätigte die Universität diesen Fall.

Für sich genommen sind das sicher keine Skandale - aber Symptome eines kränkelnden Systems. Datendiebe können solche Sicherheitslücken leicht missbrauchen. Doch denen, die das Problem lösen sollen, sind nach eigener Aussage die Hände gebunden: Die Datenschutzbeauftragten sehen sich schlecht ausgestattet und überlastet, sie haben an den Hochschulen nur wenig zu melden.

Anti-"Überwachungsstaat"-Demo (2007 in Berlin): Wer die Daten kapert, ist vielen egal
AP

Anti-"Überwachungsstaat"-Demo (2007 in Berlin): Wer die Daten kapert, ist vielen egal

Wie steht es um die Datensicherheit an den Unis? "Wahrscheinlich schlecht", sagt Ingrid Pahlen-Brandt. Als Datenschutzbeauftragte der FU Berlin erlebt sie die Herausforderung, eine Uni praktisch im Alleingang zu kontrollieren, samt all ihrer Abteilungen als "quasi feudal regierte Königreiche". "Unmöglich", klagt sie.

Anfang Oktober rief Pahlen-Brandt Leidensgenossen aus ganz Deutschland zusammen, um über den Stand des Datenschutzes an deutschen Hochschulen zu diskutieren. Die traurige Einsicht der Teilnehmer laut Pahlen-Brandt: "Wir sind zahnlose Papiertiger."

Fällt ihnen eine Panne auf, sind die Datenschützer auf den guten Willen der Verursacher angewiesen. Kommt es hart auf hart, bleibt ihnen nur zu petzen: "Dann alarmiere ich den Landesdatenschutzbeauftragten." Dass das hilft, bezweifelt Pahlen-Brandt. Sie wünscht sich eine wichtigere Rolle für den Hochschul-Datenschutz und fordert einen Daten-TÜV, "bevor die IT die Menschen an die Wand fährt". Nur wer Datenschutz nachweislich einhalten kann, soll Daten auch verarbeiten dürfen.

Datenschützer beklagen Unkenntnis der Mitarbeiter

Fragt man Werner Heun, den obersten Datenschutzbeauftragten der Uni Göttingen, nach den grassierenden Datenpannen, sagt er, Mängel würden nach ihrem Bekanntwerden natürlich behoben. Und was ist mit Abwehrmaßnahmen? "Wir haben die Auflage, unsere Bürotüren abzuschließen, wenn wir den laufenden Rechner allein lassen", sagt Heun - und zeigt Nachsicht mit unvorsichtigen Uni-Kollegen: Wer verschließe schon sein Büro, wenn er mal eben auf die Toilette muss? Und überhaupt: Wie soll er mit zwei Hilfskräften eine ganze Uni kontrollieren?

"Ich habe nur sehr begrenzte Kontrollmöglichkeiten", gesteht Heun eine gewisse Ohnmacht ein. Aber es sei ja auch nicht so, dass er von Bedenkenträgern überrannt werde. Meist müsse er den Uni-Mitarbeitern die einfachsten Dinge erklären: Darf ich diese Daten verwenden? Wem darf ich diese Daten weitergeben?

Auch sein Kollege Hans Buberger von der FH Regensburg schiebt den schwarzen Peter Hochschul-Mitarbeitern zu, die sich nicht für ihn und seine Anliegen interessieren. Dass selbst triviale Vorgänge eine kleine Datenschutz-Katastrophe bedeuten können, das verstehe leider noch immer nicht jeder, bemängelt Buberger. "Immer wieder" gebe er Seminare zur Datensicherheit, doch die Resonanz sei "nicht befriedigend".

Persönliche Details? Mir doch egal

Immerhin gibt es mit Buberger einen eigenen Datenschutzbeauftragten an der Fachhochschule im bayrischen Regensburg - während etwa die Universität Hamburg mit 35.000 Studenten ganz auf einen Daten-Kommissar verzichtet. Eva-Verena Scheffler, Mitarbeiterin des Hamburgischen Datenschutzbeauftragten, wiegelt ab. Mal eben einen Datenschutzbeauftragten aus dem Boden stampfen, das gehe eben nicht. Dafür seien die relevanten Bereiche viel zu komplex und vielfältig. Laut Scheffler gibt es an der Uni Hamburg, die auf ihre online-basierte Studentenverwaltung namens STiNE große Stücke hält, keine Beauftragten, weil die Stelle vorgesehen, aber nicht vorgeschrieben sei.

Doch Datenschutz beginnt auch bei den Studenten. Sie können die Sicherheitslücken publik machen und Aufklärungsarbeit an ihrer Uni leisten. So gibt es an der Pannen-Uni Göttingen einen zweiten Datenschutzbeauftragten neben Werner Heun: Das Studentenparlament setzt Arne Gerdes als studentischen Beauftragten ein. Er kennt die Sorgen der Studenten und fungiert als Vertrauensperson und zweite Kontrollinstanz.

Gerdes soll nicht nur Dozenten und Verwaltung kontrollieren, sondern auch seine Kommilitonen informieren. Denn auch bei den Studenten ist es mit dem Datenbewusstsein oft nicht weit her: In den sozialen Netzwerken wie StudiVZ oder Facebook werfen sie ungeniert mit ihren persönlichen Daten um sich - und können im Nachhinein gar nicht mehr feststellen, auf welchem Weg die Daten öffentlich wurden und warum Spam die Mailbox überflutet.

Diesen Artikel...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
Datenschutz: Ist das Thema den Unis schnurz?