Wien - Beim jüngst bekannt gewordenen Datenleck bei Schülertests verwehrt sich Matthias Schmidl, Vize-Chef der Datenschutzbehörde, vorerst dagegen, von einem Datenskandal zu sprechen: "Es kann etwas dran sein, es kann sich aber auch als ein reiner Sturm im Wasserglas herausstellen", sagt er gegenüber der APA. Derzeit könne man nämlich noch nicht sagen, ob überhaupt als sensibel einzustufende Daten abrufbar waren.
Er verwies in diesem Zusammenhang auf den angeblichen Skandal um Gesundheitsdaten im vergangenen Sommer, als angeblich Ärzte unzulässiger Weise personenbezogene Daten an ein Unternehmen übermittelt haben sollen. "Die Datenschutzkommission hat Ende des letzten Jahres das Verfahren eingestellt, weil kein Substrat da war, es konnte kein Abweichen vom rechtmäßigen Zustand festgestellt werden", so Schmidl am Donnerstag.
Manche Daten mögen vielleicht aus der persönlichen Sicht sensibel sein, es müsse sich deshalb aber nicht um sensible Daten im Sinne des Datenschutzgesetzes handeln. Allerdings sei ihm klar, dass die politische Bewertung eines Falles wie des aktuellen um die Schülerdaten anders aussehe als die rechtliche Beurteilung.
Untersuchung der Datenschutzkommission dauert noch
Als "sensibel" gelten laut Datenschutzgesetz Daten mit Aussagen über rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben einer Person. Alle anderen Daten gelten demnach als "nicht-sensibel". Aber: "Auch nicht-sensible Daten können in einem Kontext und einer gewissen Konstellation durchaus zu sensiblen Daten werden", sagt Schmidl. Wenn bei einem Test etwa auch die Gesundheit eine Rolle spielt, kann es sich dennoch um sensible Daten handeln. Bei den 37.000 E-Mail-Adressen von Lehrern, die abrufbar waren, handelt es sich grundsätzlich nicht um sensible Daten. Wenn sich aber durch den Namen etwa die Nationalität herleiten lässt, kann er zu einem sensiblen Datum werden.
Die Aufklärungsarbeit der Datenschutzkommission wird jedenfalls noch einige Zeit in Anspruch nehmen: Man habe gerade erst mit den Ermittlungen begonnen und wisse noch nicht einmal, welche konkreten Daten überhaupt auf dem Server gelegen sind. Bis zu einem endgültigen Ergebnis wird es laut Schmidl noch Monate dauern. (APA, 27.2.2014)