Ich habe bei Dennis einen Artikel über den Datenschutz-Skandal an der Otto-von-Guericke-Universität Magdeburg gelesen. Da ich mich seit einiger Zeit auch mit Datenschutz beschäftige, genauer gesagt mit Datenschutz an der Uni Bielefeld und deren Einrichtungen, möchte ich gerne meine Meinung dazu schreiben.

In Bielefeld wird im Moment sehr viel für den Datenschutz getan. Es wird von Seiten der Universität die Dringlichkeit und die Wichtigkeit der Durchsetzung von Datenschutzstrategien seit einiger Zeit erkannt, jedoch ist die schwierigste Aufgabe von Michael Sundermeyer, dem IT-Sicherheitsbeauftragter der Uni, allen Mitarbeitern eine Richtlinie an die Hand zu geben, die von diesen auch problemlos verstanden, akzeptiert und umgesetzt werden kann. Das sind drei wichtige Punkte auf die ich jetzt näher eingehen möchte.

1. Das Verständnis

Jeder Mitarbeiter der Universität muss sich im klaren sein, dass es bei Unbedachtheit zu schwerwiegenden Ausfällen in der Datenschutzstrategie kommen kann. Es sind dann die eigenen persönlichen Daten gefährdet, oder wie am Beispiel Magdeburg, die Daten Tausender Studenten. Beides ist schon vom Gesetzt her nicht hinnehmbar. Leider werden diese Datenschutzprobleme nicht immer sofort erkannt. Der Mitarbeiter in Magdeburg wird sich wahrscheinlich gedacht haben, das ja keiner die URL der Datenbank kennt, auch wenn es ein öffentlicher Server war, auf dem das Dokument lag. Ich möchte noch einen Schritt weiter gehen, wenn ich behaupte, dass der Mitarbeiter den öffentlichen Server als Angebot gesehen hat, die Daten von zu Hause aus bearbeiten zu können. Das hunderte von Suchmaschinen Zugriff auf die Daten haben könnten, war dem Mitarbeiter in Magdeburg bestimmt nicht bewusst. Das Ziel einer guten Datenschutzrichtlinie muss es sein, den Mitarbeiter im Umgang mit Personen,- oder Projektdaten zu sensibilisieren. Nicht selten entsteht ein erheblicher wirtschaftlicher Schaden oder das Images geht wieder fünf Treppenstufen in den Keller.

2. Die Akzeptanz

Jeder Angehöriger der Uni muss erkennen können, dass es allen Vorteile bringt, wenn man die Datenschutzstrategie mit trägt. Bei einem Treffen mit Herrn Sundermeyer ist sehr deutlich geworden, dass Datenschutz nicht allein durch Verbote funktioniert. Jedoch ist klar, dass auch nicht alles geduldet werden kann. Diese schmale Gratwanderung fängt zum Beispiel schon mit dem einfachsten Grundrecht (dieser Begriff wird so in der Benutzerverwaltung der Universität verwendet), der E-Mail-Adresse an. Natürlich ist es schön, wenn jeder Mitarbeiter die Uni-E-Mail-Adresse verwendet, bei denen liegt ja auch nicht das Problem. Vielmehr bei den Studenten und Gästen der Uni. Kann man zum Beispiel von einer Studentischen Hilfskraft erwarten, die nur drei Monate im Universitären Umfeld Bielefelds arbeitet, von der eigenen E-Mail-Adresse Abstand zu nehmen? Oder andersrum: Wenn ich als Student, sei es als angestellte Hilfskraft oder nicht, jahrelang meine Uni-E-Mail-Adresse verwende, und dann die Uni verlasse, wieso kann ich diese dann nicht mitnehmen? Erst soll ich mich mit der Uni und deren Services identifizieren und nun soll nach dem Studium von heute auf morgen Schluss sein?

Zur Zeit ist es in Bielefeld in der Tat so, dass der E-Mail-Service der Uni einem geschlossenen Benutzerkreis zur Verfügung gestellt wird und dadurch andere gesetzliche Bestimmungen gelten. Die mehrere Vorteile für die Betreiber als auch für die Benutzer haben.

Dieses Beispiel lässt erahnen, mit welchen Problemen sich Herr Sundermeyer herumzuärgern hat.

Er hat mir erzählt, dass es in einer Einrichtung der Uni, ich weiß leider nicht mehr welche es ist, ein Professor es geschafft habe, dass alle seine Mitarbeiter nur noch die Uni-E-Mail-Adresse zur internen Kommunikation verwenden. Jeder weiß selbst, dass die E-Mail-Adresse “sexyhexy123@xxx.de” nicht wirklich professionell ist, und nicht unbedingt für offizielle Anfragen an Professoren genutzt werden sollte.

3. Die (einfache) Umsetzung

Der dritte und nicht minder wichtigere Punkt, ist die Schaffung der nötigen Voraussetzungen, die für die Umsetzbarkeit des Datenschutz wichtig sind. Soll man zum Beispiel die USB-Sticks, die USB-Festplatten und/oder CDs/DVDs in die Schublade des Schreibtisches einschließen, wenn man sich länger vom Arbeitsplatz  entfernt, so muss man auch abschließbare Schubladen am Schreibtisch besitzen, oder zumindest einen abschließbaren Schrank im Büro. Wir alle wissen, ohne jetzt jemanden was unterstellen zu wollen, dass zumindest die Putzkolonne einen Schlüssel zu allen Büros hat. Viele Mitarbeiter schließen ja noch nicht mal das eigene Büro ab, wenn sie zur Toilette gehen, oder sich was aus der Mensa oder Cafeteria besorgen. Wie oft habe ich schon angebrachte Zettel gelesen, auf dem steht, dass wieder Notebooks und Geldbörsen aus den Büros verschwunden sind. Diese Hinweise lese ich immer voller Unverständnis. Unverständnis dem Dieb gegenüber und Unverständnis den Mitarbeitern gegenüber, die dien Diebstahl durch ihr sorgloses Verhalten erst ermöglicht haben.

Ein weiteres Beispiel ist die sinnvolle Vergabe von Passwörtern. Wenn Mitarbeiter ein möglichst sicheres Passwort wählen sollen, muss auch von Seitens des HRZ die Möglichkeit dazu gegeben werden. Dank meiner täglichen Arbeit im 1st-Level-Support habe ich schnell den Haken an diesem Wunsch entdeckt. Leider ist es zur Zeit nicht möglich, ein Passwort für das Login auf Uni-Rechnern mit mehr als acht Zeichen zu erstellen. Es funktionieren noch nicht einmal alle Sonderzeichen, geschweige denn Umlaute. Da muss das HRZ meiner Meinung nach endlich mal nachbessern!

Die Realität

In der Realität sieht es zur Zeit in Bielefeld, trotz noch vorhandener, kleinerer Mängel, gar nicht so schlecht aus. Ein sehr fähiger und bemühter IT-Sicherheitsbeauftragter, der einiges auf die Beine stellt. Neben der üblichen, koordinierten Aktenvernichtung durch die Abfallwirtschaft der Uni und der Möglichkeit CDs/DVDs, einzelne Festplatten und elektronische Kleingeräte wie Handys, PDAs USB-Sticks etc. beim Dispatching im HRZ abgeben zu können, ist ein weiterer Dienst ins Leben gerufen worden.

Hat man einen PC und deren Peripheriegeräte im Büro stehen, welchen man entsorgen möchte/muss, so kann man dieses über ein Eingabeformular in Auftrag geben. So wird der PC (oder auch Notebook) und, je nach dem, auch Maus, Tastatur, Monitor und Drucker von einer externen Firma, die ihre Büros jedoch in der Uni haben, abgeholt und einer sicheren Entsorgung zugeführt. So wird vermieden, dass die PCs oder Notebooks einfach in Containern landen, die häufig von “Jägern und Sammlern geplündert” werden.

Im IKG haben wir eine eigene Datenschutzrichtline entwickelt, die etwas tiefer in den Alltag unserer Mitarbeiter am Institut eingeht, die also quasi auf unsere Bedürfnisse besonders gut zugeschnitten ist. Bei der Erstellung unserer Richtline wurden wir wiederum vom IT-Sicherheitsbeauftragen unterstützt. Im Rahmen einer kleinen “Datenschutz-Besprechung” mit Herrn Sundermeyer hat er und haben wir jeweils unsere Anmerkungen zu den Entwürfen unserer Richtlinien besprochen. Das war ein sehr fruchtbares Treffen, sodass wir im IKG schon eine fertige Datenschutzrichtline in Kraft haben. Aber auch Herr Sundermeyer hat ein sehr guten Entwurf hingelegt, daher habe ich den Eindruck, die Universität Bielefeld geht in Sachen Datenschutz den richtigen Weg.