Gläserner Student Die Hüter der heiklen Daten
Eindruck bei seinen Zuhörern schindet Heinrich Schullerer gern mit persönlich gehaltenen E-Mails der Bundeskanzlerin. Noch mehr staunt das Publikum, wenn der Datenschützer die überzeugend adressierten Merkel-Mails dann als dreiste Fälschung entlarvt. "Ich will zeigen, wie leicht es ist, so etwas nachzumachen", sagt Schullerer. Er ist der oberste Datenschützer der Universitäten Baden-Württembergs. Der Trick mit der falschen Kanzlerpost soll Sekretärinnen und Mitarbeiter aufrütteln, die an Hochschulen millionenfach vertrauliche Daten hüten.
Das Wissen über Studenten, Absolventen und Forscher ist ein Schatz, den zu verteidigen immer schwerer wird. "Mehr als 35 Stellen fragen heute regelmäßig an", sagt Schullerer, "vom Alumni-Verein bis zum Verfassungsschutz." Gerade Ermittlungsbehörden wendeten sich mehr als früher an die Hochschulen. "Oft per Mail", stellt Schullerer fest - was eine Antwort schon wegen möglicher Fälschungen verbiete.
Neben echten oder vermeintlichen Fahndern gehören auch Arbeitgeber, die Bewerber durchleuchten, zu den Neugierigen. "Screening-Anfragen nehmen zu", sagt der Datenschützer. Bei den Uni-Verwaltern melden sich am Telefon mitunter sogar ungeduldige Väter oder weinende Mütter, die nach dem Studienfortschritten des von ihnen finanzierten Sprösslings fragen.
An mancher Hochschule lastet die Anfrageflut eine Halbtagskraft aus. Die von Schullerer geleitete Zentrale Datenschutzstelle der baden-württembergischen Universitäten (Zendas) in Stuttgart ist darum fünf Jahre nach ihrer Gründung ein deutschlandweiter Ratgeber. Sieben Mitarbeiter helfen 43 Hochschulen aus fünf Bundesländern. Jährlich absolvieren sie 300 Termine, beantworten 500 Anfragen, geben auf 775 Internetseiten Tipps. Zendas hilft mit Infobriefen, Seminaren sowie Systemen zur Datenverschlüsselung und einem Passwortgenerator.
Unis posaunen heikle Daten oft unbedacht aus
Schullerer ließ Juristen und Informatiker ein Programm schreiben, dass nach Eingabe des Absenders der Anfrage ausspuckt, ob eine Antwort zulässig ist. "Keine Auskunft" heißt es da für Eltern volljähriger Kinder ebenso wie für faule Krankenkassen, die sich Anfragen bei Studenten sparen und alle Daten flink bei der Uni abgreifen wollen. "Doch es gilt der Grundsatz der Direkterhebung", sagt Schullerer. Heißt: So viel wie möglich soll über den Betroffenen laufen, so wenig wie möglich an ihm vorbei. "Datenschutz ist eine Verbotsnorm", predigt Schullerer, "man braucht darum immer eine Erlaubnis in Form einer Rechtsvorschrift oder Einwilligung."
Oft pusten die Hochschulen allerdings selbst heikle Daten ungefragt und unbedacht in die Welt. Da werden vertrauliche Berufungsunterlagen per E-Mail unverschlüsselt herumgeschickt - für Profis lesbar wie eine Postkarte. Zendas-Mitarbeiter rekonstruierten auch über Suchmaschinen in wenigen Minuten den Studienverlauf von Studenten. Keine große Herausforderung: Lehrstühle stellen oft Prüfungsnoten mitsamt Matrikel-Nummer ins Internet. Ein nett gemeinter Service, der für Studenten leicht zum Bumerang wird. Anderswo findet sich der Name zur Nummer, häufig steht sie auf Belegen für mögliche Arbeitgeber. Der kann mit wenigen Mausklicks sehen, wer schlechte Noten verschwieg.
Das Löschen der Daten hilft wenig. Internetarchive vergessen nie. Schullerer warnt Hochschulen, abgelehnte Bewerber könnten auf Schadensersatz klagen. Tipp: Für jede Note ein neues Pseudonym ausgeben - dann führt die Internetsuche nicht zur Profilbildung.
Darf der Vorname ans Türschild?
Zu ähnlicher Vorsicht raten die Datenschützer bei der Professoren-Evaluation durch Studenten. Gibt es Einträge mit Handschrift, dürfe der Dozent diese nicht mehr selbst auswerten, sagt Schullerer. Zu groß sei die Gefahr, dass das Schriftbild den Studenten aus der in den Hochschulgesetzen garantierten Anonymität reißt. "Es gibt Beispiele, wo massiv Druck auf Hochschüler ausgeübt wurde", berichtet er.
Auch in der analogen Welt raten sie zur Vorsicht. Strenger als mancher Landesdatenschutzbeauftragte empfehlen die Experten sogar: Grundsätzlich gehören nicht einmal Vornamen auf die Türschilder im Uni-Flur. So räsoniert Zendas in einem zweiseitigen Papier über Fürsorgepflicht des Arbeitgebers, Rechtsgrundlagen, Widerspruchsrechte. Das wirkt zunächst sehr akademisch abstrus, weil die Hochschulen selbst ja fast alle Mitarbeiter im Internet listen - inklusive Namen, Titel, Funktion, Arbeitsort, Telefon und E-Mail-Adresse.
Andererseits nennen die Datenschützer auch konkrete Beispiele, wann die Nennung des Vornamens doch Nachteile haben könnte: Weil sie dann auch in ihrem privaten Umfeld leicht zu identifizieren seien, könnten gerade weibliche Angestellte Opfer von Belästigungen werden. Oder auch Wissenschaftler, die mit Tierversuchen arbeiten.
Schullerer und seine Kollegen sind jedenfalls überzeugt: Im Informations-Zeitalter gibt es keine belanglosen Daten mehr - niemand solle mehr Informationen preisgeben als unbedingt nötig.