Datenschutz in der Weiterbildung

07Feb10

Vor ein paar Tagen flatterte eine E-Mail in mein Postfach – von einer Weiterbildungseinrichtung, bei der ich an einer Veranstaltung teilnehmen wollte.

Die Anmeldesite hatte wohl ein Sicherheitsproblem, so dass eine ganze Menge Datensätze in fremde Hände gelangt ist – Namen, Anschriften, manchmal auch Geburtsdaten und Bankverbindungen. Prima – vor allem dass ich mich nicht über diese Seite angemeldet hatte.

Die Tatsache, dass die Betroffenen informiert wurden, stimmt positiv. Diese Information ist seit den letzten Verschärfungen im Bundesdatenschutzgesetz Pflicht. Neben den Betroffenen ist übrigens auch die jeweilige Aufsichtsbehörde über Vorfälle zu informieren, bei denen unbefugt Dritte in Besitz personenbezogener Daten kommen. Sei es, dass es aus Gesetzestreue oder einfach aus Ehrlichkeit gegenüber den Kunden geschah – diese Offenheit ist positiv. Schade für die Einrichtung ist natürlich der entstandene Schaden: einmal der Aufwand zur Information und der in gewissem Maße immer damit einhergehende Vertrauensverlust – zum anderen der Aufwand zur Reparatur der Schwachstelle. Die Anmeldeseite ist vom Netz, es musste ein anderer Anmeldeprozess angeboten werden, eine neue sichere Lösung muss entwickelt werden.

Wohl dem, der das Thema Datenschutz schon vor einer solchen Panne im Bewusstsein hat. Zum einen steigt dadurch natürlich die Chance, Fehler zu vermeiden. Zum anderen sollten dann bereits Aktionspläne für realistische Krisenszenarien entwickelt worden sein – zum Beispiel der Informationsprozess der Betroffenen und der Behörden. Wäre ein solches Szenario in meinem Beispiel vorhanden gewesen, hätte vielleicht vermieden werden können, dass alle Kunden informiert werden. Dies ist wahrscheinlich geschehen, denn ich war eigentlich gar nicht von der Online-Anmeldung betroffen. Wäre klar, welche Daten über welchen Prozess erhoben und genutzt werden, müsste man nur die informieren, deren Daten durch den fehlerhaften Prozess gelaufen sind. Alle nicht Betroffenen hätten dann gar nicht aufgeschreckt werden müssen. Vielleicht hat die breite Information auch eine Fülle von Anrufen vermeintlich Betroffener zur Folge, die auch wieder Zeit und Energie kosten – und sei es nur zur Beantwortung der Frage, ob man denn auch zu den Betroffenen gehöre.

Die ganze Geschichte ist nur ein weiterer von vielen Fällen rund um unsichere Websites. Doch der Anmeldeprozess ist bei Weiterbildnern ja nur ein Prozess mit personenbezogenen Daten – und sicher nicht mal der sensibelste. Man denke an massenhafte Erhebung ganzer Lebensläufe zur Prüfung von Zulassungsvoraussetzungen, die Dokumentation von Prüfungsergebnissen oder Kompetenzprofilings. Sind diese Systeme (Software, aber auch der Aktenschrank) denn überall so geschützt, dass nur der Zugriff auf die Daten hat, der das wirklich braucht (offene Schränke sind bei Organisationen mit viel Publikumsverkehr immer eine interessante Herausforderung)?

Wie sind Ihre Erfahrungen mit Datenschutz in Weiterbildungseinrichtungen? Sind Sie als Mitarbeiter einer solchen Einrichtung im Datenschutz unterwiesen worden? Werden nur Daten erhoben, die wirklich nötig sind? Haben darauf nur die Zugriff, die diesen brauchen?

Keine Einrichtungsnamen, aber Erfahrungen würden mich sehr interessieren. Hinterlassen Sie doch einfach Ihren Kommentar!

Einsortiert unter:Datenschutz, Management   |  1 Kommentar
Tags:Datenschutz, internet, Weiterbildung