Aufgrund zahlreicher Anfragen zur Datenpanne an der Otto- von- Guericke- Universität werden nachfolgend Informationen zum Sachverhalt sowie zu den eingeleiteten Maßnahmen zur Wiederherstellung der Datensicherheit gegeben.
Pressemitteilungen
Pressemitteilung der Otto-von-Guericke-Universität Magdeburg vom 29.05.2008
Pressemitteilung des Studentenrats vom 27.05.2008
Informationen und Hinweise
1. Wer ist von der Veröffentlichung betroffen?
Die zurzeit immatrikulierten Studierenden sowie die seit 1992 exmatrikulierten Studierenden.
2. Welche Daten wurden veröffentlicht?
Bei den Daten handelt es sich um personenbezogene Daten der Studierenden, die seitens der Universität zur Studierendenverwaltung benötigt werden und bei der Immatrikulation erhoben wurden. Dies sind insbesondere:
Matrikelnummer, Name, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Geschlecht, Staatsangehörigkeit, Anschrift, Heimatkreis der Anschrift, Emailadressen, Telefonnummern,
Art, Datum, Note und Landkreis der Hochschulzugangsberechtigung, Immatrikulationsdatum, Status des Studierenden, aktuelles Semester, Datum der letzten Rückmeldung, Hochschulsemester, Urlaubssemester, Praxissemester, Exmatrikulationsdatum, Exmatrikulationsgrund (codiert),
Ist- und Sollgebühren des vorletzten, aktuellen und nächsten Semesters,
Art, Erstsemester und Landkreis der Ersthochschule,
Benutzername vom Rechenzentrum
Entgegen anfänglicher Vermutungen sind weder Bankdaten, Kontoinformationen noch KFZ-Kennzeichen betroffen.
3. Warum gibt die Universität nicht vollständig die Art der veröffentlichten Daten an?
Die Universität steht betreffs der Auswirkungen der Datenpanne im Spannungsfeld zwischen dem nach Datenschutzgesetz des Landes Sachsen-Anhalt bestehendem Informationsanspruch jedes Einzelnen zu den zu seiner Person gespeicherten Daten und dem Recht auf Schutz der personenbezogenen Daten eines jeden Betroffenen gegenüber unbefugten Dritten. Die Universität darf also nicht durch eine vollständige Benennung der einzusehenden Daten der Öffentlichkeit gegenüber indirekt zu einer Weiterverbreitung von sensiblen Daten beitragen. Dennoch wird den direkt Betroffenen auf Antrag Auskunft über die zu ihrer Person gespeicherten Daten nach Pkt. 4. erteilt.
4. Wie und wo erfahre ich bei Bedarf, welche Daten konkret von mir veröffentlicht wurden?
Sofern Sie eine detaillierte Aufstellung der von Ihnen veröffentlichten Daten wünschen, können Sie sich an das Dezernat Allgemeine Angelegenheiten der Universität unter der in Pkt.8 genannten Anschrift wenden. Zur Übergabe eines entsprechenden Datensatzes wäre Ihr persönliches Erscheinen mit einem Nachweis über Ihre Identität (z.B. durch Vorlage des Personalausweises) notwendig.
5. Zeitraum der Veröffentlichung
Die Daten befanden sich vom 09.05.08 bis 19.05.08 im Internet. Der tatsächliche Zugriff beschränkt sich auf drei Tage.
6. Ist das Datennetz der Universität noch sicher?
Die Datenpanne hat nichts mit der IP-Infrastruktur der Otto-von-Guericke-Universität und der damit zusammenhängenden Sicherheitsstruktur zu tun. Es bestand zu keinem Zeitpunkt die Möglichkeit auf einen Server der Universität, auf den diese Daten gespeichert sind, zuzugreifen.
7. Welche Schritte hat die Universität zur Wiederherstellung der Datensicherheit sowie zur Abwendung von Gefahren aus einer möglichen missbräuchlichen Verwendung der personenbezogenen Daten eingeleitet?
- Nach bekannt werden des Vorfalls am Montag, den 19.05.2008, wurden die Daten unverzüglich von dem öffentlich zugänglichen Server gelöscht.
- In mehreren Zusammenkünften des Kanzlers mit dem Datenschutzbeauftragten der Universität, den zuständigen Dezernenten und Abteilungsleitern, wurde über sofort zu ergreifende Maßnahmen beraten. Es wurden Festlegungen zur Ermittlung eventuell noch vorhandener Zugriffsmöglichkeiten sowie Maßnahmen zur Löschung entsprechender Daten getroffen. Die Veröffentlichung von Prüfungsergebnissen mittels Matrikel-Nr. wurde untersagt.
- Der Rektor informierte die Studierenden am 23.05.2008 über den universitären Email Verteiler über den Vorfall.
- In einer Beratung des Kanzlers am 26.05.2008 wurden grundlegende Festlegungen zur Installation eines abgeänderten Verfahrens zur Veröffentlichung von Prüfungsergebnissen durch die Vergabe einer neuen Identifikationsnummer (Prüfungsaushangnummer) getroffen. Es wurde die Bildung einer Arbeitsgruppe Datenschutz unter Einbeziehung von Vertretern des Studentenrates beschlossen.
- Am 27.05.2008 wurden die Fakultäten und ihre Prüfungsämter zur Verhinderung möglichen Datenmissbrauchs aus der Veröffentlichung von Prüfungsergebnissen angewiesen, alle auf die Matrikel-Nr. bezogenen Aushänge zu entfernen sowie entsprechende Online-Veröffentlichungen auf Servern zu löschen. Es wurde die Festlegung getroffen, eine Stellungnahme zum Gesamtsachverhalt an den Landesbeauftragten für den Datenschutz Sachsen-Anhalt vorzubereiten.
- Da nicht alle Studierenden und insbesondere die exmatrikulierten Studierenden durch den universitären Email-Verteiler erreicht werden konnten, wurde im Anschluss an die Pressemitteilung des Studentenrates vom 27.05.2008 in einer weiteren Pressemitteilung durch die Universität vom 29.05.2008 über den Vorfall informiert und über eingeleitete Maßnahmen berichtet.
- In einer Zusammenkunft der Arbeitsgruppe Datenschutz am Montag, den 02.06.2008, wurde unter Leitung des Kanzlers und Einbeziehung von Experten der Fakultät für Informatik sowie von Vertretern des Studentenrates über weitere Maßnahmen beraten.
- Am 03.06.2008 wurde dem Landesbeauftragten für den Datenschutz Sachsen-Anhalt ein Bericht übersandt.
- Am 06.06.2008 fand eine Zusammenkunft des Kanzlers mit dem Landesbeauftragten für den Datenschutz Sachsen-Anhalt statt.
- Die Arbeitsgruppe Datenschutz tagte am 09.06.2008 unter Einbeziehung von Vertretern von drei Prüfungsämtern zur Beratung über die künftige Verfahrensweise zur Veröffentlichung von Prüfungsergebnissen.
- Am 16.06.2008 wurde unter Leitung des Kanzlers mit allen Prüfungsämtern der Universität über die künftige Verfahrensweise zur Veröffentlichung von Ergebnislisten beraten. In den nächsten Tagen erfolgt eine den konkreten Bedingungen der jeweiligen Fakultät entsprechende Abstimmung der Prüfungsämter mit der Abteilung Datenverarbeitung.
8. An wen wende ich mich für weitere Informationen?
Email: k5@ovgu.de
Postanschrift: Otto-von-Guericke-Universität Magdeburg
Dezernat Allgemeine Angelegenheiten
Universitätsplatz 2
D-39106 Magdeburg