Universität Zürich will den Datenschutz verbessern

Die Universität Zürich will einen Datenschutzdelegierten einsetzen, der künftig für den gesetzes- und reglementskonformen Umgang mit personenbezogenen Daten sorgen soll. Zudem wird sie Richtlinien für den Umgang mit personenbezogenen und anderen Daten erlassen. Die UZH bedauert, dass sie die Verhältnismässigkeit der Herausgabe von Telefon- und E-Mail-Verkehrsdaten anlässlich eines Strafverfahrens wegen Amtsgeheimnisverletzung nicht sorgfältiger geprüft hat. Sie entschuldigt sich dafür bei ihren Studierenden, Mitarbeitenden und den Betroffenen externer Institutionen.

Die Universität Zürich hat den heute vorgestellten Bericht des kantonalen Datenschutzbeauftragten über die Datenbekanntgabe an die Staatsanwaltschaft des Kantons Zürich zur Kenntnis genommen. Nach dessen Einschätzung verstiessen die Bearbeitung von Telefon- und E-Mail-Verkehrsdaten, die Herausgabe dieser Verkehrsdaten, die Herausgabe von Inhalten von E-Mails sowie der Datenbank «Akademische Berichte» samt deren Zugriffslogs gegen das Informations- und Datenschutzgesetz (IDG). Die Universität Zürich hatte diese Daten im Rahmen des Strafverfahrens wegen Amtsgeheimnisverletzung auf Ersuchen der Staatsanwaltschaft des Kantons Zürich in den Jahren 2012 und 2013 geliefert. Die UZH hatte dabei die gesetzliche Mitwirkungspflicht bei der Strafverfolgung höher gewichtet als die Bestimmungen des Informations- und Datenschutzgesetzes. Im Gegensatz zum Datenschutzdelegierten kommt auch das ebenfalls heute veröffentlichte Rechtsgutachten, das der Universitätsrat in Auftrag gegeben hatte, zum Schluss, dass die Aufforderung der Staatsanwaltschaft für die UZH verbindlich war und stützt damit die Universität. Ob die Bearbeitung und Herausgabe dieser Daten deshalb tatsächlich rechtswidrig waren, wird das Bezirksgericht im Laufe des Strafverfahrens klären müssen.

Für die Universitätsleitung steht aber ausser Zweifel fest, dass die Universität sensibler mit Personendaten hätte umgehen und die Verhältnismässigkeit der Datenherausgabe sorgfältiger hätte prüfen müssen. Für diese Fehleinschätzung entschuldigt sie sich in aller Form bei ihren Studierenden, den Mitarbeitenden und den betroffenen externen Stellen und assoziierten Instituten.

Damit sich ein solcher Vorgang nicht wiederholt, hat die Universitätsleitung sofort nachdem die Herausgabe der Daten im November 2013 bekannt wurde, reagiert und eine Arbeitsgruppe Datenschutz eingesetzt. Diese Arbeitsgruppe hat als Sofortmassnahme provisorische Richtlinien für den Umgang mit Daten an der UZH ausgearbeitet, die umgehend in Kraft gesetzt wurden. Inzwischen hat die Arbeitsgruppe umfassende Richtlinien vorgelegt, die universitätsintern bis Ende November in eine Vernehmlassung geschickt werden. Zentraler Punkt der Richtlinien ist die Schaffung einer Stelle eines oder einer Datenschutzdelegierten. Dieser oder diese soll für einen gesetzes- und regelkonformen Umgang mit Personendaten an der UZH sorgen. Die Universitätsleitung hat am 2. Juli 2014 entschieden, dass die Stelle so schnell als möglich ausgeschrieben wird. Zudem wird untersucht, ob zusätzliche Rechtsgrundlagen für nicht personenbezogene Daten, den Einsatz von Informatikmitteln und die Geheimhaltung erarbeitet werden müssen.