Mehr als 350.000 Personen studieren an Österreichs Universitäten und Fachhochschulen. Dort hinterlassen sie Spuren: Name, Alter und Studienrichtung gehören noch zur harmlosen Sorte. Wenn es aber um Noten, Anträge auf Stipendien und andere heikle Daten geht, wird der Schutz dieser
Informationen erst richtig relevant.
Bis zu einem gewissen Grad sei die Uni sogar verpflichtet, Aufzeichnungen von Studierenden zu haben, betont Cornelia Blum, Sprecherin der Universität Wien. "Das sieht das Universitätsgesetz so vor." So müssen beispielsweise Prüfungsdaten 80 Jahre lang aufbewahrt werden. Um manche Daten von Studierenden kümmern sich auch andere Behörden. Ein Beispiel sind Informationen zu Studienbeihilfen.
Daten zu Studienbeihilfe
Um ein solches Stipendium zu bekommen, muss man das Einkommen der Eltern angeben. Die Voraussetzungen werden von der Studienbeihilfenbehörde geprüft und gelangen nie direkt an die Universität. Die Hochschule weiß zwar, dass jemand Studienbeihilfe bezieht, kennt aber den genauen Hintergrund nicht. Jene Daten, die an der Universität liegen, werden nur in ganz bestimmten Ausnahmefällen weitergegeben. "Hier sind die Auflagen extrem hoch", sagt Blum. Eine dieser gesetzlich geregelten Ausnahmen betrifft etwa die Österreichische Hochschülerschaft (ÖH). Zur Erstellung des Wählerregisters für die ÖH-Wahlen geben die Universitäten Studentendaten an die Studentenvertreter weiter.
Unternehmen und Eltern fordern Zugriff auf die Daten
Begehrt wären diese Daten aber auch noch in ganz anderen Bereichen. Allen voran haben Arbeitgeber Interesse an den Studienleistungen ihrer Bewerber. Ebenso versuchen besorgte Eltern, den Unis Informationen über ihre studierenden Kinder zu entlocken. In Deutschland ist das Problem weitverbreitet. Mancherorts sei die Antragsflut so groß, dass eigene Mitarbeiter damit beschäftigt werden könnten, berichten deutsche Medien. An der Universität Wien kennt man solche Anfragen ebenfalls. Ob Personalabteilungen von Unternehmen oder
besorgte Eltern - "das kam alles schon vor", sagt Cornelia Blum. Dabei gelte aber seit jeher das bestehende Datenschutzgesetz, wonach die Universität keinerlei Studentendaten weitergeben dürfe.
Schutz vor Häckern
Wie aber schützt man sich gegen Hackerangriffe? Der erste Schritt sind die technischen Rahmenbedingungen. "Unsere Systeme entsprechen dem neuesten Stand der Technik. Die Daten der Studierenden liegen nicht einfach irgendwo auf irgendwelchen Rechnern herum", bekräftigt Blum.
Das Silicon Valley kann an den Hochschulen aber präsenter sein, als man denkt, wie ein Beispiel aus Salzburg zeigt. Dort stand vor wenigen Jahren die Paris-Lodron-Universität wegen ihres E-Mail-Systems in der Kritik. Das stammt nämlich von Google. Alle Lehrenden und Studierenden haben Gmail-Adressen. Im Jahr 2014 bekam die Uni dafür sogar den Negativpreis "Big Brother Award" für den schlechtesten Datenschutz in Österreich verliehen. Das Kuriose daran: Die E-Mail-Adressen wurden von den Studierenden selbst gefordert, nämlich im Rahmen der Protestbewegung "Uni brennt". "Die Studentenvertreter wollten mehr Speicherkapazität in den Postfächern", erklärt Florin Guma, Chef der Informatikabteilung. An der Situation hat sich bis heute nichts geändert. Guma betont aber: "Wer sich vor dem ,großen Bruder' fürchtet, muss sich
Gegenmaßnahmen überlegen." Das habe die Universität von Anfang an getan, sagt er. Prüfungsergebnisse beispielsweise werden nicht mehr per E-Mail ausgeschickt. Außerdem habe Google keinen Zugriff auf den Benutzernamen und das Passwort der Studierenden, weil die Anmeldung über eine andere Plattform stattfinde.
Oft nützt aber auch die beste Software nichts - zum Beispiel dann, wenn der Faktor Mensch unterschätzt wird. Welche Folgen der nachlässige Umgang mit Passwörtern haben kann, musste vor einigen Jahren die Karl-Franzens-Universität in Graz erfahren. Dateien im Umfang von 47 Gigabyte sind zwischen 2011 und 2013 vom Account einer Professorin gestohlen worden - und zwar
direkt von einem Rechner am Campus. Der Angriff erfolgte also aus den eigenen Reihen und ohne besonderen Aufwand: Der Täter hatte sich mit dem korrekten Passwort angemeldet.
Der richtige Umgang mit Daten
Die Uni Graz hat aus dem Vorfall gelernt. Nicht nur im Rahmen der Vorbereitungen auf die EU-weite Datenschutz-Grundverordnung (DSGVO) hat die Universität ihre Mitarbeiter regelmäßig geschult und mit Kampagnen darauf aufmerksam gemacht, wie wichtig der sorgsame Umgang mit Daten ist. "Weil die Menge an personenbezogenen Daten an einer Universität naturgemäß sehr hoch ist, nimmt der Schutz der Studierenden einen hohen Stellenwert ein", sagt Birgit Strauß-Koscher, die Datenschutzbeauftragte der Universität Graz. Ins gleiche Horn stößt man an der Universität Wien. Die DSGVO habe man hier zum Anlass genommen, um vor allem die Lehrkräfte für das Thema zu sensibilisieren. "Es gibt neue Informationen und Richtlinien für Lehrende, ebenso wie E-Learning-Angebote und Videos zum Thema Datenschutz", sagt Sprecherin Cornelia Blum. Eigentlich bräuchten sich die Universitäten vor dem Datenschutzgesetz aber gar nicht zu fürchten, denn: In der österreichischen Variante der DSGVO sind öffentliche Universitäten von Geldstrafen befreit. Möglich ist das durch eine Öffnungsklausel in der EU-Verordnung, die den Mitgliedsstaaten das Recht einräumt zu entscheiden, "ob und in welchem Umfang gegen Behörden und öffentliche Stellen (...) Geldbußen verhängt werden können", wie es in der DSGVO wörtlich heißt. Österreich hat von dieser Klausel Gebrauch gemacht. Die Universitäten wollen sich deshalb aber nicht einfach zurücklehnen und nichts tun, wie Blum betont. Universitäten seien gleichermaßen an die gesetzlichen Vorgaben gebunden, sagt sie: "Wir nehmen den Datenschutz daher entsprechend ernst."