27. Tätigkeitsbericht (2005)
4.8 | Wissenschaft und Bildung
4.8.1 | Fachhochschulen – Prüfungen im Doppelpack
Zwei Institutionen mit identischer Aufgabenstellung, nahezu gleiche Sicherheitsprobleme bei der personenbezogenen Datenverarbeitung, völlig unterschiedliche Abarbeitung der Prüfungsergebnisse – auch auf diese Weise zeigt sich die Datenschutzrealität.
Wenn Institutionen gleiche Aufgabenstellungen haben, müsste auch die Ausgestaltung der Datenverarbeitungsprozesse in etwa gleich sein. Die technischen und organisatorischen Maßnahmen zur Datensicherheit müssten ein einheitliches Niveau aufweisen. Bei zwei zeitgleich durchgeführten Prüfungen in den Fachhochschulen Lübeck und Flensburg haben wir im abgelaufenen Berichtszeitraum die Probe aufs Exempel gemacht.
Zunächst waren wir überrascht über die durchaus unterschiedlichen technischen und organisatorischen Lösungen im Bereich der Verarbeitung der personenbezogenen Studenten- und Mitarbeiterdaten. Die sicherheitstechnischen Schwachstellen waren dagegen nahezu identisch und hielten sich zudem in dem Rahmen, den wir bei vielen Landes- und Kommunalbehörden zu kritisieren haben:
- Die Dokumentationen und Dienstanweisungen waren unvollständig,
- es fehlten Sicherheitskonzepte und Risikoanalysen,
- die Passwortgestaltung war nicht ausreichend,
- die Löschungsregelungen waren unzureichend,
- nicht alle Datenbestände waren den jeweils Verantwortlichen zugänglich und
- Personalunterlagen wurden teilweise nicht verschlossen verwahrt.
Große Unterschiede zwischen den beiden Fachhochschulen ergaben sich jedoch zu unserer Überraschung bei der Abarbeitung der jeweiligen Prüfungsberichte und der Umsetzung unserer Verbesserungsvorschläge. Während die Fachhochschule Flensburg uns zeitnah eine Stellungnahme übersandte und darin die Abstellung der Mängel meldete bzw. entsprechende Maßnahmen ankündigte, reagierte die Fachhochschule Lübeck völlig anders. In ihrer Stellungnahme wurde sowohl die korrekte Darstellung der Verfahrensweisen bestritten als auch den sicherheitstechnischen Bewertungen widersprochen. Doch waren die schriftlichen Ausführungen in sich voller Widersprüche. Diese aufzuklären ist uns trotz einiger Mühen bislang nicht gelungen. Den vorläufigen "Höhepunkt" eines sehr zähen Schriftwechsels bildet die Aussage, bestimmte Unterlagen unterlägen dem Datenschutz und könnten uns daher nicht vorgelegt werden.
Wir haben die Erörterungen an dieser Stelle zunächst abgebrochen und der Fachhochschule mitgeteilt, dass unter solchen Umständen mit einem Konsens nicht zu rechnen sein dürfte. Es liegt an der Fachhochschule, die offenen Fragen umfassend zu beantworten und ihrerseits konstruktiv zur Aufklärung der Sachverhalte beizutragen.
Was ist zu tun?
Die Fachhochschule Flensburg sollte den eingeschlagenen Weg zur Optimierung der sicherheitstechnischen Maßnahmen konsequent fortsetzen und den dann erreichten Standard halten. Die Fachhochschule Lübeck muss ihre Datenschutzpraxis ändern.
4.8.2 | CAU startet Datenschutzmanagement
Ausgelöst durch frühere Missstände beim Datenschutz hat das Rektorat der Christian-Albrechts-Universität zu Kiel eine Arbeitsgruppe "Datenschutz" gegründet, deren Ziel es ist, den Datenschutz innerhalb der Organisationsstrukturen zu verbessern.
Aufgrund der komplizierten Strukturen einer Hochschule mit Instituten, Fakultäten und einer traditionellen Selbstständigkeit der einzelnen Einrichtungen und der Freiheit von Forschung und Lehre ist dieses Unterfangen nicht einfach; die Universität wird hierbei vom ULD tatkräftig unterstützt. Erste Maßnahme war die Herausgabe von Hinweisen zur Gewährleistung des Datenschutzes für alle Bereiche der Universität. Darin wird erstmals verbindlich und nachvollziehbar festgelegt, wer für die Datenverarbeitung innerhalb der Hochschule verantwortlich ist. Weiterhin werden besondere Verhaltensregeln im Umgang mit personenbezogenen Daten aufgestellt.
Das ULD begrüßt diese Initiative ausdrücklich, die – sofern sie konsequent weiterverfolgt wird – in ein echtes Datenschutzmanagement münden kann und damit die personenbezogene Datenverarbeitung innerhalb der Hochschule deutlich verbessert.
Was ist zu tun?
Die Arbeit der Arbeitsgruppe "Datenschutz" sollte kontinuierlich fortgeführt werden und in ein langfristiges Datenschutzmanagement einmünden.
4.8.3 | Laufabzeichen im Sportunterricht? Eine noch bessere Sache mit Datenschutz!
Jährlich findet an schleswig-holsteinischen Schulen ein so genannter Lauftag statt. Hauptsponsor dieses sportlichen Ereignisses mit mehr als 85.000 Teilnehmerinnen und Teilnehmern ist die AOK Schleswig-Holstein. Als "Gegenleistung" für ihr finanzielles und personelles Engagement will diese die Daten von Schülern mit Billigung des Bildungsministeriums auch für Werbezwecke nutzen.
Die AOK des Landes wurde in der Vergangenheit hinsichtlich ihrer Datenerhebungspraxis bei Schülerinnen und Schülern für Werbezwecke von uns kritisiert. Dies mag der Grund dafür gewesen sein, dass sie dieses Mal den Dialog mit dem ULD vor Beginn ihrer Aktion suchte. Gemeinsam fanden wir eine Lösung, die für alle Beteiligten (Schule, Lehrer, Eltern und Schüler) eine größere Transparenz beim Umgang mit den für den Lauftag genutzten Daten brachte. Die Schülerinnen und Schüler werden auf den Teilnahmebögen explizit um ihre Einwilligung in die Datennutzung für Werbezwecke gebeten. Die Schulen wurden aufgefordert dafür Sorge zu tragen, dass den Schülern dieses Vorgehen in verständlicher Weise vermittelt wird. Darüber hinaus sollte sichergestellt werden, dass die Eltern zeitnah informiert werden, um ihnen die Möglichkeit zu geben, die Entscheidung ihrer Kinder zu beeinflussen oder gar zu revidieren.
Die AOK nimmt in ihre Datenbank für Werbezwecke nur Schülerinnen und Schüler auf, die bereits 15 Jahre alt sind und der Speicherung zugestimmt haben. Ab diesem Alter kann davon ausgegangen werden, dass die Betroffenen hinsichtlich der Bedeutung und der Folgen der Einverständniserklärung genügend einsichtsfähig sind. Die Daten aller anderen Veranstaltungsteilnehmer werden nur zur Abwicklung der Verteilung der von der AOK ausgelobten Preise verwendet. Die AOK stellt darüber hinaus sicher, dass die Daten von Betroffenen sofort gelöscht werden, wenn von Eltern oder Schülerinnen und Schülern nachträglich Einwände gegen die Datenverarbeitung für Werbezwecke erfolgen. Rückfragen besorgter Eltern und kritische Anmerkungen von Schulleitern zeigten uns trotz des datenschutzfreundlichen Grundkonzeptes, dass noch ein weiterer Verbesserungsbedarf besteht. Die AOK zeigte sich aufgeschlossen.
Was ist zu tun?
Bei einer künftigen Organisation des Lauftages sollten weitere datenschutzrechtliche Verbesserungen angestrebt werden.
4.8.4 | Schulverwaltungsrechner gehen online
Nach längerem Stillstand treibt das Bildungsministerium die Anbindung der Schulverwaltungsrechner an das Landesnetz voran, sodass hierüber auch eine sichere Internetkommunikation möglich wird.
Um den Schulen untereinander und mit den Schulaufsichtsbehörden und dem Bildungsministerium eine sichere Kommunikation sowie einen geschützten Zugang zum Internet zu ermöglichen, unterbreiteten wir im Jahre 2001 Vorschläge zur sicheren Anbindung der Schulverwaltungsrechner an das Datennetz des Landes. Lange hat sich nichts getan (26. TB, Tz. 4.8.1). Nun wird damit begonnen, unseren Vorschlag umzusetzen. In Kooperation mit den Schulträgern macht sich das Land daran, den Schulverwaltungen den Weg zur elektronischen Kommunikation zu ebnen. Wir beteiligen uns in Form von Beratung und durch Unterstützung beim Erstellen der technischen Konzepte sowie bei der organisatorischen Umsetzung innerhalb der Schulen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |