Datenleck bei BIFIE – Ein Fall für den Datenschutzbeauftragten

Aktuellen Medienberichten zufolge sind also dem BIFIE (Bundesinstitut für Bildungsforschung, Innovation und Entwicklung des österreichischen Schulwesens) mehr als 1.8 Gigabyte an Daten abhanden gekommen und auf einem rumänischen Server aufgetaucht, von dem sie mittlerweile auch schon wieder verschwunden zu sein scheinen. Völlig unklar ist zum heutigen Zeitpunkt, für wie lange die Daten ungeschützt im Internet verfügbar waren und wer aller eine Kopie der Daten bezogen haben könnte.

Rätselraten beim Auftraggeber und Dienstleister

Wie es scheint, herrscht sowohl beim zuständigen Ministerium als auch beim technischen Dienstleister noch weitgehend Unklarheit darüber, wie die vertraulichen Testergebnisse der informellen Kompetenzmessung (IKM) von 400.000 Schülern sowie die E-Mail Adressen von 37.000 Lehrern ungeschützt ins Internet gelangen konnten. Etwas Licht in das datenschutzrechtliche Desaster bringt ein Artikel der Website heise Security, dem zu entnehmen ist, dass das BIFIE die Datenverarbeitung zur Firma Kapsch BusinessCom ausgelagert hat, die wiederum eine rumänische Tochterfirma am Projekt beteiligte. Ob der Server auf dem die Daten zu finden waren, dem Einflußbereich des Dienstleisters bzw dessen rumänischer Tochterfima zuzuordnen war, ist dem Artikel nicht zu entnehmen.

Mögliche Ursachen des Datenlecks

Bei der Suche nach den möglichen Ursachen des Datenlecks erscheinen verschiedenste Szenarien denkmöglich zu sein. Eine gewisse Sorglosigkeit beim Umgang mit den Daten, fehlende Datenschutzmassnahmen bei der Speicherung oder Übertragung der Daten oder krimineller Datenklau durch intere oder externe Personen gehören zu den wahrscheinlichsten Ursachen für das Datenleck. Interessant ist in diesem Zusammenhang, dass der Zugang zu den Rückmeldungen zur Standardüberprüfung 2013, dh die Abrufmöglichkeit der Testergebnisse für Schulleiter, Lehrer und Schüler, im Internet noch immer möglich ist espanalibido.com. Scheint es doch angebracht zu sein, vor einer endgültigen Klärung der Datenleckursache, die denkbare Möglichkeit eines Datenklaus über die Website, schon im Ansatz zu unterbinden.

Ermittlungsansätze zur Aufklärung

In Hinblick auf die Klärung der Ursachen und Verantwortlichen für das Datenleck erscheint die Ausfindigmachung der Betreiber des rumänischen Servers sowie die Auswertung der Zugriffe auf den zentralen Datenbestand der IKM vorrangig zu sein. Zu beantworten wären im Zusammenhang mit dem Datenleck ua Fragen, wie

  • Wer war im Besitz der Daten?
  • Wo waren die Daten gespeichert?
  • Wer hatte Zugang zu den gesamten Daten?
  • Wann und Wie wurden die Daten entwendet?
  • Wer hat die Daten eventuell heruntergeladen?
  • Welche Datenschutzmassnahmen waren aktiv?
  • Gab es eine Dienstleistervereinbarung im Sinne des DSG 2000?

Kein Datenschutzbeauftragter vorgesehen?

Offen bleibt auch die Antwort auf die Frage, ob für das IKM kein Datenschutzbeauftragter vorgesehen war.  Die Antwort ist wohl „Nein“. Zumindest findet man auf der Website des BIFIE bei der Suche nach dem Begriff „Datenschutzbeauftragter“ keinen einzige Seite, welche einen diesbezüglichen Hinweis liefern würde. Klar ist aber auch, dass es im DSG 2000 keine datenschutzrechtlichen Bestimmungen gibt, die einen Datenschutzbeauftragten für ein derartiges Projekt zwingend erforderlich machen. Gerade in Hinblick auf die Größe des Projektes und der sensiblen Natur der verarbeiteten Daten, wäre aber die Einrichtung und Mitwirkung eines Datenschutzbeauftragten durchaus sinnvoll gewesen.

Links

Autor: Horst Greifeneder