Öffentliche Bekanntmachung nach Art. 34 Abs. 3 lit. c ) Datenschutz-Grundverordnung:

Öffentliche Bekanntmachung nach Art. 34 Abs. 3 lit. c ) Datenschutz-Grundverordnung: 

Verletzung des Schutzes von personenbezogenen Daten

Die Universität der Künste Berlin verwendet seit dem Jahr 2005 IT-Module der 

HIS Hochschul-Informations-System eG, Goseriede 9, 30159 Hannover 

zur Verwaltung der Studierendendaten und zur Verwaltung der Studienabläufe. 

Bedingt durch eine fehlerhafte Programmierung durch HIS wäre es in der Vergangenheit theoretisch möglich gewesen, mittels bestimmter URLs auf personenbezogene Daten von Studentinnen oder Studenten oder von Mitarbeiterinnen und Mitarbeitern der Universität der Künste Berlin zuzugreifen, ohne dass systemseitig eine Prüfung der Zugangsberechtigung erfolgt wäre. 

Laut Informationen von HIS bestand die Lücke seit dem Jahre 2011, so wäre es seit 2011 möglich gewesen, auf personenbezogene Daten vorangegangener Jahre zuzugreifen. 

Betroffen sind folgende Datenarten:

  • Nachname, Vorname, Matrikelnummer, Rückmeldestatus, Semester, Geburtsdatum, Straße, Postleitzahl und Ort aller Studentinnen und Studenten sowie Titel, akademischer Grad, Name und Vorname;
  • Titel, akademischer Grad, Vorname und Nachname von Mitarbeitern der Universität der Künste.

Es sind keine besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO) betroffen. 

Es hätten bei einem tatsächlich erfolgten Zugriff auf die o. g. Datenarten keine Daten geändert werden können. 

Theoretisch sind die genannten Datenarten der Studierenden und Lehrenden seit dem Wintersemester 1994/95 und von Bewerberinnen und Bewerbern seit dem Wintersemester 2005 betroffen. 

Aus heutiger Sicht lässt sich ein tatsächlich erfolgter Zugriff auf die Daten weder nachweisen noch ausschließen. Es ist jedoch überwiegend wahrscheinlich, dass die oben beschriebene Verletzung des Schutzes personenbezogener Daten tatsächlich ohne Folgen geblieben ist. Denn ein Zugriff auf die o. g. Daten wäre lediglich mittels zweier Links mit einer langen, kryptischen Folge von Zeichen möglich gewesen. Diese waren an keiner Stelle publiziert oder bekannt und wurden auch in der täglichen Verwaltungsarbeit oder in der Systempflege nicht verwendet. Es hätte hoher krimineller Energie bedurft, um sich diese Abfolge von Zahlen, Buchstaben und Sonderzeichen zu beschaffen. Eine Erschließung der Zeichenfolge durch eigene intellektuelle Leistung ist nicht vorstellbar. 

Die Universität der Künste Berlin hat, nachdem ihr der Vorfall bekannt wurde, die Server abgeschaltet und den Hotfix des Herstellers installiert. Damit ist diese theoretische Sicherheitslücke geschlossen worden. 

Eine Meldung an den Landesdatenschutzbeauftragten von Berlin ist erfolgt.

Bei weiteren Rückfragen bitten wir Sie, sich an unsere Datenschutzbeauftragten Axel Mütze unter ds_ @intra.udk-berlin.de zu wenden.

Wir bedauern diesen Vorfall sehr, weisen aber an dieser Stelle darauf hin, dass er nicht durch die Universität der Künste verschuldet war, vielmehr handelte es sich um eine Sicherheitslücke im HIS-System.

 

Die Hochschulleitung der Universität der Künste Berlin

23. März 2020