Sehr geehrte Damen und Herren,
Sie haben in den letzten Jahren am MATHEON-Adventskalender teilgenommen und im Rahmen der Anmeldung Ihre E-Mail-Adresse und, falls Sie an dem Gewinnspiel teilgenommen haben, die folgenden Daten angegeben:
- Name, Geschlecht, Adresse, Telefonnummer, Status (Schüler/Erwachsener), woher Sie den Mathekalender kennen
- Für Schüler: Klassenstufe, Name und Adresse der Schule
- Für Erwachsene: Abschluss, Titel und Beruf
Außerdem wurden die IP-Adresse, der Host (z.B. "beispiel.inf.fu-berlin.de" oder "beispiel.di0.t-ipconnect"), der Browser (user agent) und natürlich die Ergebnisse bzw. abgegebenen Antworten bei dem Mathekalender gespeichert.
Am 19.10. haben wir alle alten Benutzerdaten aus der Mathekalender-Datenbank gelöscht und davor ein Backup gemacht, um die Datenbank wiederherstellen zu können, falls bei dem Löschen etwas schiefgehen sollte. Die Funktionsfähigkeit des Backups haben wir auf einem Server der TU Berlin getestet. Am 19.11. fiel uns auf, dass die Ordner auch auf anderem Wege als vorgesehen erreicht werden konnten und dadurch der Datenbank-Export aus dem Internet frei zugänglich war. Den Zugriff auf diese Ordner haben wir sofort gesperrt und die Dateien vom Server gelöscht.
Ihre Daten sind inzwischen – soweit Sie sich nicht für den aktuellen Mathe-Kalender registriert haben – in Umsetzung der Anforderungen der DSGVO auf sämtlichen Servern gelöscht, lediglich Ihre E-Mail-Adressen haben wir zum Zweck dieser Kommunikation aufgehoben, werden sie aber nach einer Antwortfrist von 14 Tagen auch löschen.
Falls Sie vor 2009 an dem Mathekalender teilgenommen haben, war Ihr Passwort im Klartext gespeichert. Sie sollten die Passwörter von anderen Accounts, wo Sie das gleiche oder ein ähnliches Passwort eingestellt haben, unbedingt ändern. Ab 2009 wurden die Passwörter lediglich gehashed gespeichert, d.h. sie waren für einen potentiell die Datenbank Auslesenden nicht rekonstruierbar. Wir würden Ihnen dennoch empfehlen, die Passwörter von anderen Accounts zu ändern, falls sie gleich oder ähnlich zu dem Mathekalender-Passwort sind.
Wir gehen davon aus, dass kein Zugriff von außen erfolgt ist, können es aber nicht ausschließen. In den letzten 15 Tagen hat nach unseren Log-Files niemand auf die Dateien zugegriffen, es könnte also höchstens davor Zugriffe gegeben haben. Ein Nutzer hat uns Bescheid gegeben, dass er auf eine E-Mail-Adresse, die er nur für den Mathekalender benutzt hat, Spam erhalten hat. Da wir allerdings auf nicht-öffentliche E-Mail-Adressen, die nichts mit dem Datenleck zu tun haben, auch solchen Spam bekommen haben, gehen wir davon aus, dass diese Spam-Mails kein Zeichen für unberechtigten Zugriff auf die Datenbank waren.
Seit der diesjährigen Runde sind die meisten Daten nicht mehr verpflichtend, um am Gewinnspiel teilzunehmen. Außerdem führen wir dieses Jahr ein, dass nach der Bestimmung der Gewinner und Erstellung der Urkunden die persönlichen Daten gelöscht werden und nur noch anonymisierte Daten für statistische Zwecke gespeichert werden. Wegen des Vorfalls überdenken wir nun unser Konzept, was das Testen der Webseite betrifft. Wir planen, in Zukunft die Tests lokal (also auf dem eigenen Rechner) durchzuführen und dabei Benutzerdaten möglichst von der Synchronisation zwischen Live-Server und Test-Server auszuschließen.
Es tut uns sehr leid, dass wir Ihre Daten nicht mit der gebührenden Sorgfalt behandelt haben. Die behördliche Datenschutzbeauftragte der TU Berlin, Frau Hiller, datenschutzbeauftragte@tu-berlin.de, ist in den Vorgang eingebunden. Wir sprechen unser Vorgehen in dieser Sache aber auch den künftigen Umgang mit den uns überlassenen personenbezogenen Daten mit ihr ab. Bitte wenden Sie sich bei Nachfragen an sie. Den Berliner Datenschutzbeauftragten haben wir ebenfalls in Kenntnis gesetzt.
Mit freundlichen Grüßen
Ihr Mathekalender-Team