Bericht der Kontrolle der Universität Zürich: Auswertung von Telefon- und E-Mail-Verkehrsdaten war rechtswidrig

07.07.2014 - Medienmitteilung

Zurück zu Medienmitteilungen

Der Datenschutzbeauftragte des Kantons Zürich hat heute seinen Bericht der Kontrolle der Universität Zürich veröffentlicht. Darin stellt er fest, dass die Auswertungen von Telefon- und E-Mail-Verkehrsdaten der Angehörigen der Universität rechtswidrig waren. Der Herausgabe der ausgewerteten Daten an die Strafverfolgungsbehörden standen überwiegende private Interessen der betroffenen Personen entgegen. Die Universität hat Massnahmen zu treffen, um die gesetzeskonforme Datenbearbeitung und Datenbekanntgabe sicherzustellen.

Die Universität Zürich erstattete im September 2012 Strafanzeige wegen Verdachts der Amtsgeheimnisverletzung, nachdem in den Medien Berichte betreffend das Medizinhistorische Institut und Museum der Universität veröffentlicht worden waren. Im Herbst 2013 wurde bekannt, dass die Universität der Staatsanwaltschaft verschiedene Daten von Angehörigen der Universität sowie von Dritten herausgegeben hatte und dazu eine unbekannte Menge an Telefon- und E-Mail-Daten auf bestimmte Kontakte hin überprüft worden waren.

Der Datenschutzbeauftragte leitete darauf bei der Universität eine Kontrolle ein, um die Rechtmässigkeit dieser Datenbearbeitungen zu prüfen.

Die Kontrolle ergab, dass die Universität unrechtmässig Telefon- und E-Mail-Verkehrsdaten ihrer Mitarbeitenden und Studierenden sowie von Mitarbeitenden externer Stellen und assoziierter Institute ausgewertet hatte. Aufgrund der Ergebnisse wurden Daten von Personen, die Verbindungen mit bestimmten Telefonnummern hatten oder E-Mails an bestimmte E-Mail-Adressen oder -Domains sandten, an die Staatsanwaltschaft herausgegeben.

Für die Auswertungen verfügt die Universität über keine Rechtsgrundlagen, und die Auswertungen waren auch nicht verhältnismässig. Die Weitergaben der Daten an die Staatsanwaltschaft erfolgten zwar gestützt auf Bestimmungen über die strafprozessuale Rechtshilfe, verletzten jedoch – da die Daten unrechtmässig beschafft worden waren – überwiegende private Interessen der betroffenen Personen und waren deshalb ebenfalls unrechtmässig. Die Universität gab ausserdem einzelne E-Mail-Inhalte, ganze E-Mailboxen, eine Datenbank sowie einzelne Wohnadressen weiter. Die Weitergaben der E-Mail-Inhalte sowie der Datenbank erwiesen sich ebenfalls als unrechtmässig.

Die Ergebnisse der Kontrolle wurden der Universität mitgeteilt. Die Universität wird aufgefordert, Massnahmen zu treffen, dass sich solche Ereignisse nicht wiederholen, sowie die Betroffenen über die vorgenommenen Auswertungen und Datenweitergaben an die Staatsanwaltschaft zu informieren. Über die Umsetzung der Massnahmen ist dem Datenschutzbeauftragten Bericht zu erstatten.

Der Bericht der Kontrolle ist auf der Website des Datenschutzbeauftragten www.datenschutz.ch veröffentlicht.

Zurück zu Medienmitteilungen