Datenverlust an deutschen Hochschulen: Vorgehensweise diskutieren


#1

Hallo,

wie würdet ihr das Thema “Datenverlust an deutschen Hochschulen” angehen? Aus meiner Sicht gibt es verschiedene Bereiche, die man anfragen könnte:

  1. E-Mail-Server
  2. Lernplattform (so was wie “Powered by ILIAS”)
  3. Prüfungsanmeldungs- und Notensystem

Alle 3 Bereiche sind relevant: Der E-Mail-Server und die Lernplattform können für Abgaben zu Entwürfen/Ausarbeitungen verwendet werden. Das Prüfungsanmeldesystem führt natürlich bei Datenverlust zu fehlenden Modulan-/-abmeldungen und zu fehlenden Noten.

Die Frage ist, inwiefern man vorgehen muss, um entsprechende Datenverluste zu erfragen:

  1. Wer ist überhaupt zuständig/hat am ehesten die Infos?
  2. Woraus ergeben sich die Infos, also aus welchen Akten/Informationen?
  3. Sollte man vielleicht die Hersteller der entsprechenden Systeme um Auskunft bitten, sofern die im richtigen Bundesland sitzen und staatlich betrieben werden?

Zu 2.: Man könnte natürlich Logs vom System anfordern, aber das ist vermutlich zu viel und zu roh. Andererseits weiß ich nicht, ob es über so was Prozesse gibt: Wer wird bei so was informiert? Wo wird das festgehalten? Zu berücksichtigen sind hierbei das Thema hohe Kosten/Gebühren und eine Vielzahl an Behörden.

Ich hatte auf Twitter, nach eigenen schmerzlichen Erfahrungen, mich kurz erkundigt und scheinbar gibt es Bedarf bei dem Thema an verschiedenen Hochschulen.

Wäre hier die Nutzung des Presse-/Medienrechts hinsichtlich Auskünften aus eurer Sicht zielführender?

Ich würde mich freuen, wenn wir das mal diskutieren und ggf. einen guten Plan ausarbeiten. Schließlich haben wir hier viele kluge Köpfe!

Viele Grüße
Clemens


#2

Moin Clemens,

Hochschulen sind Körperschaften des öffentlichen Rechts. Daher sind Hochschulen anfragbar, aber nicht in allen Ländern. In Hamburg ist z.B. die Forschung ausgenommen, die hier ja nicht von Relevanz ist, in Bremen gibt es keine Ausnahme für Hochschulen, in Baden-Würtenberg sind Hochschulen komplett ausgenommen. (Quelle: transparenzranking.de) Aber vlt. gibt es in den Hochschulgesetzen noch Regeln zu Anfragsmöglichkeiten. Das weiß ich nicht aus dem Kopf.
Die Aufsichtsbehörde sind die Ministerien für Wissenschaft. Bei größeren Datenverlusten gehe ich davon aus, dass die auch mindestens informiert werden, idealerweise aber auch weitere Informationen haben.
Bzgl. den Kosten: Wenn du an die Ministerien eine größere Anfrage stellst, dann kannst du - denke ich - mit nicht gerade geringen Kosten rechnen. Vor allem, da es wahrscheinlich umfangreiche Informationen sein werden. Wenn du sie an alle Hochschulen stellst, dann werden es gerne mehrere hundert Anfragen, die nicht einfach zu managen werden. Dafür könnte aber FragDenStaat + interessant sein, da es so übersichtlicher ist. (Hätte ich auch gerne :stuck_out_tongue_winking_eye:)

Ich versuche mich auch mal mit den anderen Themen auseinanderzusetzen und melde mich dann wieder, wenn ich weiteres habe.

~ Jasper

Kleiner Nachtrag:
Es werden natürlich noch nicht alle Hochschulen im System sein. Die müsstest du (oder mit anderen zusammen) alle eintragen lassen.


#3

Moin Jasper,

mir geht es auch darum, welche Stelle/Abteilung in der Hochschule das wissen könnte. Denn die Person, die IFG-Anfragen bearbeiten muss, wird ggf. gar nicht wissen, wer zu fragen ist und macht so deutlich mehr Aufwand, als nötig wäre.

Generell würde ich nicht alle Hochschulen anfragen, sondern erst zwei oder drei und dann nach bestimmten Kriterien aussuchen (z. B. ob es solche Vorkommnisse in der Vergangenheit gab). Dein Hinweis zu Bundesländern, wo das gar nicht anfragbar ist, ist gut! Ebenso der Hinweis zu Auskünften via Hochschulgesetz.

Dass Hochschulen im System fehlen, empfinde ich noch als kleinstes Problem :slight_smile:. Auf das Massenanfragen-Tool habe ich als Moderator Zugriff, wobei das erst zum Einsatz kommt, wenn die Anfragen wohl überlegt und erprobt sind, damit da keine nutzlosen Antworten zurückkommen und die Behörden es möglichst einfach haben.

Danke für deinen Beitrag!

Viele Grüße
Clemens


#4

Da würde ich - ganz pragmatisch - auf die IT verweisen. Ich denke mal, dass die die besten Ansprechpartner sind, da diese im Zweifel den Verlust in der Zukunft verhindern müssen.

Guut. Alles andere wäre auch etwas seeehr viel. Bei Wikipedia sind schon 429 Hochschulen aufgelistet. Das wäre vlt. etwas viel auf einmal.:joy:

Ahh. Stimmt. Da war etwas. Du warst Moderator. Deswegen kommt mir dein Name so bekannt vor^^.


#5

Zeitgleich sind es die Personen, die am Ehesten eine falsche oder unsaubere Antwort geben können und einem Interessenkonflikt unterliegen, da sie selbst verantwortlich dafür sind. Da denken andere Stellen ggf. weniger kritisch drüber nach, wobei andere Stellen die Infos auch nur aus der IT-Abteilung haben und man einer Behörde prinzipiell gesetzeskonformes Handeln zutrauen muss/können muss.

Die Frage wäre dann auch, welche Infos zum jeweiligen Ausfall interessant sind:

  • wie lange ging der Ausfall?
  • was genau ging verloren?
  • warum ging es verloren (fehlende Backups/Backupstrategie, kein Geld für Backup-Speicher, Unwissenheit über Risiko/richtige Absicherung, …)?
  • wer/wie viele sind davon betroffen betroffen?
  • welcher Schaden ist am Ende entstanden (in Euros oder individuelle Folgen daraus)?
  • was hat man daraus für die Zukunft gelernt?

Ich habe das Gefühl, das wird keine leichte Sache, schon weil der Umfang der möglichen, interessanten Informationen so variabel ist und das in quasi jeder Konstellation teuer werden kann/wird.


#6

Allerdings sind das die Personen, denen ich am ehesten eine kompetente Antwort zutrauen würde. Bei einem größeren Datenverlust wird das aber auch - schätze ich mal - an die Ministerien weitergeleitet. Eventuell haben die Bereichte etc. Die solltest du ganz bekommen können.


#7

Ich habe nun probeweise folgende Information angefragt:

https://fragdenstaat.de/anfrage/amtliche-informationen-zu-datenverlusten-an-bremer-hochschulen/#nachricht-387034

Mal sehen, was ich erhalte.


#8

Falls hierzu nichts vorhanden ist, kann man beim betrieblichen Datenschutzbeauftragten der Hochschule zum Beispiel nach einer Risikobewertung zum Datenverlust und einem Maßnahmenkatalog für das jeweilige Produkt fragen. Diese müssten nämlich nach § 64 Abs. 3 S. 1 Nr. 9 bis 11 und 13 BDSG vorliegen und können möglicherweise nach dem entsprechenden Landes-IFG angefragt werden. (Stichwort: Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Verfügbarkeit)