Hiermit informiert der AStA über eine Datenpanne, bei der Daten von Studierenden und externen Personen wahrscheinlich Unbefugten zugänglich gemacht wurden:

Was ist passiert?

Mehrere Dateien, die Informationen zu internen Finanzdaten der verfassten Studierendenschaft der Universität Rostock aus den Jahren 2020 und 2021 enthalten, waren für vier Monate hochschulöffentlich in der StudiCloud, der Cloud für studentische Gremien der Universität Rostock, verfügbar.
Die Ursache für dieses Ereignis und seine späte Entdeckung liegt in der Freigabestruktur von Dokumenten in der StudiCloud begründet. Es ist oft nicht möglich, genau zu sehen, wer auf welche Dokumente Zugriff besitzt. Daher wurde nicht bemerkt, dass die oben genannten Dokumente der Hochschulöffentlichkeit verfügbar waren.

Wann ist es passiert?

Der Vorfall wurde in der Nacht vom 20.03. zum 21.03.2024 bemerkt. Die Dokumente waren seit November 2023 hochschulöffentlich.

Welche Daten sind betroffen?

Im Detail enthalten die Dateien die folgenden personenbezogenen Daten:

• Zeitpunkt der Überweisung
• Name und Vorname
• Zahlungsbetreff
• Überweisungsbetrag
• in drei Fällen IBAN und BIC
• in drei Fällen Unterschriften
• Wer hat die Daten erhalten?

Auf die StudiCloud können alle Personen zugreifen, die einen entsprechenden Account bei der Universität Rostock besitzen. Wer tatsächlich auf die Dokumente zugegriffen hat, kann nicht mehr nachgewiesen werden, da die Log-Daten der StudiCloud nicht weit genug zurück reichen.

Welche Maßnahmen wurden bereits getroffen, um den Schaden zu begrenzen?

Der Unterordner, in dem sich die Dokumente befanden, wurde gelöscht.

Es wird hinsichtlich der Freigabe von Dokumenten in der StudiCloud noch einmal sensibilisiert.
Vor allem wird an einem besseren Konzept zur Aufarbeitung von Datenschutzvorfällen gearbeitet, mithilfe dessen die Umsetzung von Maßnahmen und die Kommunikation bei Datenschutzvorfällen verbessert werden soll.

Demnächst sollen die Einstellungen der StudiCloud zur Freigabe von Dokumenten überarbeitet werden, um die Öffentlichkeitseinstellungen übersichtlicher zu gestalten. Hiermit soll erzielt werden, dass solche Fehler im besten Fall ganz vermieden, aber zumindest frühzeitig erkannt werden können.

Es ist geplant, auch alle anderen Dokumente in der StudiCloud zeitnah auf ihre Öffentlichkeit zu überprüfen. Es ist jedoch nicht davon auszugehen, dass im Zusammenhang mit diesem Vorfall noch weitere Dokumente hochschulöffentlich verfügbar sind, da der entsprechende Ordner vollständig gelöscht wurde.