Das Studentenleben — während die einen denken, es sei von Partys gesäumt und sorgenfrei, werden die anderen von Prüfungen, Praktika, Hausarbeiten oder ähnlichem überschwemmt. Wie das Studium auch aussieht, dankbar ist der „herkömmliche Student“ für jede Hilfe, die ihm besonders als „Ersti“ (Student des ersten Semesters) zu Teil wird. Der Wald der unterschiedlichen Systeme, bei denen eine Anmeldung für das Studium erforderlich ist (z.B. für die Eintragung in notwendige Kurse) ist schier unergründlich und kann einen in den Wahnsinn treiben. Retter in der Not soll die Applikation (App) UniNow sein, die es möglich machen soll, unter einer Benutzeroberfläche auf alle relevanten Systeme für das Studium zugreifen zu können.
Erhältlich ist die App sowohl in Apples AppStore (iOS) als auch in Googles PlayStore (Android).
Wie sicher ein solches System tatsächlich ist und wie dieses mit den eingegebenen Daten umgeht, ist dem Studenten meist nicht klar, und so begibt er sich in eine möglicherweise datenschutzrechtlich bedenkliche Situation. Besonders heikel wird es dann, wenn der Student sich neben seinem Studium in einem Arbeits- oder Praktikumsverhältnis mit einem öffentlichen oder nichtöffentlichen Unternehmen befindet und bei der Nutzung einer solchen App empfindliche Daten bezüglich des Unternehmens versehentlich in Umlauf geraten können.
Was ist UniNow und wer steckt dahinter?
UniNow ist eine kostenlose App, die es Studenten ermöglichen soll, einen besseren Überblick über studentische Bedürfnisse/Themen zu erlangen. So ist es damit unter anderem möglich den Stundenplan, Notenspiegel, Prüfungsergebnisse und Mensaplan einzusehen und auch die Ausleihfrist von Büchern in der Bibliothek zu verlängern, ohne dabei die entsprechenden Plattformen einzeln aufrufen zu müssen, da die App eine einzelne Plattform bildet, über die alle Funktionen abgerufen werden können. Entwickelt wurde dieses App von den Informatikern S. Wegener und T. Steeweg, die mit einem Startup anfingen, welches unterdessen zur UniNow GmbH herangereift ist.
Datenschutzrechtliche Bedenken bei der Nutzung von UniNow
Mit dem Aufkommen der UniNow App warnten viele Universitäten (z.B. die Universitäten Heidelberg, Mainz) ihre Studenten vor dessen Nutzung. Die Studenten würden durch die App verleitet, ihre Zugangsdaten zu den verschiedenen Plattformen preiszugeben, um alle Funktionen der App nutzen zu können.
Diese Daten sind unter anderem:
- Der Name der Hochschule
- Name und Vorname des Studenten
- Studienfächer
- Vorlesungen
- Prüfungen und Noten
- Zugangsdaten zu Onlineportalen (z.B. Opal)
- Zugangsdaten für die Nutzung des Hochschul-E-Mail- Accounts
Diese Daten kann der App-Betreiber dafür nutzen, sich Zugang zu den entsprechenden Plattformen zu beschaffen, um dem Nutzer die Daten (z.B. Prüfungsergebnisse) über die App sichtbar zu machen oder gewünschte Funktionen auszuführen, wie das Anmelden zu oder Abmelden von einer Prüfung. Wie die Verarbeitung der Daten vor dem Zugang Dritter geschützt wird, ist jedoch nicht genau bekannt. Unter anderem wurde aufgedeckt, dass in vorläufigen Versionen der App die Daten als Fließtext übermittelt wurden, was unbefugten Dritten beim Eindringen in das System einen einfachen Datenzugang ermöglicht. Weiterhin stellt ein solches System aufgrund der möglichen Weiterleitung universitätsinterner Zugangsdaten gegebenenfalls ein Risiko für das Uninetzwerk dar und kann daher sogar gegen einige Universitätsordnungen (respektive Ordnung einer sonstigen Hochschule) verstoßen. Sollte das Universitätssystem durch die App geschädigt werden, könnte möglicherweise ein Haftungsanspruch gegenüber dem jeweiligen Nutzer (Student/-in) drohen, wenn diese vorsätzlich oder grob fahrlässig die Warnung der Universität bezüglich der App ignorierten.
Danke für deine Daten, die sind bestimmt etwas wert – Vorurteil oder Realität?
Ebenso kritisch beäugt wurde die Finanzierung des Projektes UniNow, welches als Startup anfing und verlauten ließ, die Entwicklung der App durch freiwillige Hilfen voranzubringen. Eine Finanzierung der App mithilfe von Werbung wurde abgelehnt, trotzdem ist die App kostenfrei. Wie genau sich das Unternehmen finanziert, ist ungewiss. Daher lag der Schluss nahe, dass UniNow sich durch den Verkauf von Nutzerdaten finanzieren könnte, was auch von einigen Universitäten vermutet wurde. Das UniNow-Team dementiert diese Vermutung jedoch auf deren Internetseite. Darin steht: „Weiterhin haben vereinzelt Hochschulen in Veröffentlichungen gewarnt, dass die UniNow GmbH personenbezogene Daten der Studenten weitergeben oder verkaufen könnte – Dies ist selbstverständlich nicht der Fall. Die UniNow GmbH speichert zudem auch keine personenbezogenen Daten persistent auf ihren Servern.“ Inwieweit die Aussage stimmt, kann nicht vollends ermittelt werden.
Zusammenarbeit mit Hochschulen
Seitdem die Hochschulen vor der Nutzung von UniNow gewarnt haben, ist eine lange Zeit vergangen, in der die Betreiber der App nicht tatenlos war. So erklärten diese am 27. Oktober 2016 auf ihrer Internetseite: „Aus Gesprächen mit Hochschulvertretern wurde ein Lösungsweg entwickelt, damit die Zugangsdaten nicht an die Uninow GmbH übertragen werden müssen.“
UniNow 2.0 – Mehr Sicherheit durch das Update?
Mit dem Update möchte der App-Betreiber die Bedenken über die App zerstreuen. Nach den Angaben des UniNow-Teams haben diese mithilfe einiger Hochschulvertreter einen Lösungsweg entwickelt, der eine Übertragung der Zugangsdaten an UniNow unnötig macht, da die Daten auf dem Handy abgespeichert werden. Die Version 2.0 soll dabei, wie die eigentliche App, für Android und iOS Geräte verfügbar sein. Dies unterbindet zwar (nach der Vorstellung) die Gefahr, dass gegen die Universitätsordnung verstoßen werden könnte, jedoch bestehen andere datenschutzrechtliche Bedenken weiter, nur wird dies auf den Nutzer umgeleitet. Mit der Pflicht zur Anmeldung an mehreren Plattformen wird die Bündelung von Daten vermieden. Tritt der Fall ein, dass unberechtigte Dritte Zugang zu den Daten erlangen, ist nur ein Bruchteil dessen betroffen, was bei Verwendung eines Systems, das alle Daten auf einem Medium (hier Handy des Nutzers) speichert, betroffen wäre.
Datenschutz und UniNow – „Brautschau“ für Unternehmen
Bedenklich erscheint ebenso die neue Funktion von UniNow, die Unternehmen die Möglichkeit gibt, Studenten zu kontaktieren und somit mögliche Arbeitnehmer zu akquirieren. Dabei ist darauf zu achten, dass ein Auslassen der Zustimmungseinholung der Nutzer gegen die gesetzlichen Reglementarien verstößt, da es sich hierbei nicht um eine sogenannte Auftragsdatenverarbeitung (ADV) nach § 11 BDSG handelt. Diese Funktion stellt ebenso wenig eine Notwenigkeit dar, weil der Nutzer keine Datenübermittlung zur Kontaktierung von Unternehmen allgemein wünscht, sondern lediglich die Zentralisierung relevanter Informationen für sein Studium, was somit keine Umgehung des Zustimmungsvorbehalts des Nutzers nach § 14 BDSG darstellt.
Alternativen zu UniNow
Viele Universitäten stellen eigene Apps zur Verfügung, die den Funktionen von UniNow ähneln, jedoch eine sicherere Möglichkeit darstellen, aufgrund der konkreten Zuweisung zur Uni, welche nicht wie ein Unternehmen profitorientiert handelt. Weiterhin setzen die Universitäten derzeit auf die Zentralisierung der Plattformen, die von den Fakultäten genutzt werden. Es ist daher möglich, dass in Zukunft die Nutzung der UniNow-App irrelevant wird. Studenten, die bereits mit einem Unternehmen im Arbeitsverhältnis oder in einem Praktikumsverhältnis stehen, sollten diese Alternativen nutzen oder ganz auf UniNow verzichten, da ein erhöhtes Risiko besteht, sofern unberechtigte Dritte auf die App Zugriff haben. Falls Mitarbeiter die UniNow-App nutzen, sollte diese darauf hingewiesen werden die neuste Version zu nutzen und die Zugriffe der App auf sämtliche Informationen, wie zum Beispiel die Kontakte, die sich auf dem Smartphone befinden, zu unterbinden. Wird der Zugriff auf Kontakte, respektive die Telefonnummern, erlaubt, so handelt es sich bereits um eine Übermittlung personenbezogener Daten, die einer Rechtsgrundlage oder der informierten Einwilligung der Betroffenen bedarf, sofern die Verantwortlichkeit der betroffenen Datensätze bei einer nicht öffentlichen Stelle (z. B. Unternehmen) oder einer öffentlichen Stelle (z. B. Behörde oder öffentliche Hochschule) liegt. Eine Aufklärung der Mitarbeiter über solche Risiken, kann mithilfe einer Datenschutz-Schulung durch den Datenschutzbeauftragten erfolgen. Eine solche Schulung sorgt insbesondere dafür, dass der Arbeitgeber seiner Pflicht zur Aufklärung und Verhinderung von Risiken nachkommt.