Muss die Uni jetzt mit Auflagen oder einer Abstrafung durch die zuständige Datenschutzbehörde rechnen? Bei der zuständigen Behörde sieht man dafür keinen Anlass. „Die Meldungen der HHU erfolgten fristgerecht bzw. es wurde eine verzögerte Meldung nachvollziehbar begründet“, sagt ein Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit. Und weiter: „Der Sachverhalt wurde vom Verantwortlichen angemessen untersucht und es wurden angemessene und geeignete Maßnahmen getroffen, um die Datenpanne zu beheben und die Folgen für die betroffenen Personen abzumildern.“ Die betroffenen Personen wurden demnach benachrichtigt. Weiterhin seien die Sicherheit der Systeme des Verantwortlichen verbessert und Nutzerinnen und Nutzer „gezielt sensibilisiert und geschult worden“, um einen solchen Vorfall künftig zu verhindern.

Die Datenschutzbehörde wird vor Ort nicht eingreifen. „Bislang haben wir es nicht für erforderlich erachtet, aufsichtsbehördliche Maßnahmen gegenüber der HHU zu ergreifen oder eine Kontrolle bei der HHU vor Ort durchzuführen“, sagt der Sprecher. Zur Begründung heißt es, dass die gemeldeten Datenpannen unterschiedliche Aspekte der IT-Sicherheit (unsichere Konfiguration von Systemen, Erhalt einer E-Mail mit Schadsoftware, Datenpanne bei einem ehemaligen Dienstleister) betrafen und „im Zusammenhang keinen systematischen Mangel der IT-Sicherheit erkennen“ ließen. Hochschulen werden bundesweit immer wieder Opfer von Cyberangriffen. „Durch die heterogen gewachsene IT-Infrastruktur an Universitäten und Hochschulen stehen diese vor großen Herausforderungen diese zu modernisieren und ein einheitliches IT-Sicherheitsmanagement einzuführen, um den aktuellen Cybersicherheitsbedrohungen gewachsen zu sein“, sagt der Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit.