Ägypten: Daten von Zehntausenden Schülern standen offen im Netz
In Ägypten waren sensible persönliche Daten von mehr als 72.000 Schülerinnen und Schülern monatelang öffentlich zugänglich. Das berichtete die Menschenrechtsorganisation Human Rights Watch (HRW) am Mittwoch. Die Organisation kritisiert, die Betroffenen seien durch das Datenleck unter anderem dem Risiko von Identitätsdiebstahl ausgesetzt.
Wie HRW berichtet, enthielten die zugänglichen Datensätze Namen, Anschriften, E-Mail-Adressen und Telefonnummern der Schülerinnen und Schüler. Auch ihr Geschlecht sei vermerkt gewesen, ebenso wie Angaben zu der Schule und Jahrgangsstufe, die sie besuchten. Außerdem seien Fotos der Kinder sowie Kopien ihrer Pässe oder Personalausweise zugänglich gewesen. Bei 110 Schülern sei zudem vermerkt gewesen, dass sie eine Art von Behinderung haben.
Die Betroffenen hatten den “Egyptian Scholastic Test” abgelegt. Universitäten verlangen diesen Test von Schülerinnen und Schülern, die in Ägypten nach einem englischsprachigen Lehrplan unterrichtet werden. Nach Angaben von HRW waren Schüler von dem Datenleck betroffen, die sich zwischen September 2020 und Dezember 2022 für den Test angemeldet hatten. Sie sollen aus allen 27 ägyptischen Gouvernements kommen; ein kleiner Teil stamme zudem aus anderen Ländern.
Daten inzwischen offline
Mindestens acht Monate lang seien die Daten ohne Zugangsbeschränkung auf einem Server des Amazon-Cloud-Speicherdienstes AWS gespeichert gewesen. Dem Bericht zufolge wurde die Datenbank am 15. März offline genommen, nachdem HRW-Mitarbeiter den Anbieter darüber informiert hatten, dass Daten von Kindern frei zugänglich waren.
Auch für welche Universitäten sich die Schüler beworben hatten, ließ sich demnach einsehen. Außerdem waren ihre Testergebnisse öffentlich und die Angabe, ob sie ihre Testgebühren bezahlt hatten. Teils seien sogar detaillierte Vermerke zu einzelnen Schülern einsehbar gewesen, beispielsweise “hört nicht auf zu reden, wir haben ihn oft verwarnt und er hat oft versucht zu schummeln”.
Laut HRW hatte das ägyptische Bildungsministerium den Test im September 2020 ins Leben gerufen, nachdem der Vorgängertest eingestellt wurde. Seit Anfang 2022 werde der Test vom britischen Unternehmen Academic Assessment durchgeführt. In der ungeschützten Datenbank seien sowohl Daten von Schülern enthalten gewesen, die von der Regierung gesammelt wurden als auch von Academic Assessment.
Die Menschenrechtsorganisation wirft den Beteiligten vor, die Privatsphäre der Kinder verletzt zu haben. Hye Jung Han von HRW kommentierte: “Die ägyptische Regierung und Academic Assessment haben die Kinder ernsthaften Gefahren ausgesetzt. Monatelang konnte jeder mit einer Internetverbindung herausfinden, wer diese Kinder sind, wo sie leben und zur Schule gehen und wie man sie direkt kontaktieren kann.” Die Organisation warnt, die Daten könnten beispielsweise für Identitätsdiebstahl oder Erpressungen missbraucht werden.
Unklar ist laut HRW, wann genau und warum die Regierung den Test inklusive der Daten von Kindern an das britische Unternehmen abgegeben hat. Unklar sei auch, warum sehr persönliche Angaben wie etwa zu Behinderungen enthalten gewesen sind – denn diese seien für die Durchführung des Tests nicht notwendig. Weder die Regierung noch Academic Assessment hätten auf Fragen von HRW geantwortet – das Unternehmen habe lediglich versichert, den Vorfall ernst zu nehmen und untersuchen zu wollen. Das Bildungsministerium habe auf Hinweise zu dem Datenleck hingegen nicht reagiert.
HRW fordert Einrichtung von Datenschutzbehörde
Aus Sicht von HRW haben die Regierung und das Unternehmen in dem Fall auch gegen die Datenschutzgesetze von Ägypten und Großbritannien verstoßen – demnach müssten personenbezogene Daten geschützt und betroffene Personen im Falle eines Datenlecks informiert werden. Die ägyptische Regierung habe die Kinder aber offenbar auch nicht über die Weitergabe ihrer Daten informiert, sodass sie nicht widersprechen konnten.
Laut HRW garantiert die ägyptische Verfassung das Recht auf Privatsphäre. Im Datenschutzgesetz aus dem Jahr 2020 sei außerdem festgelegt, dass Daten von Kindern besonders schützenswert sind. Allerdings kritisiert die Organisation, dass keine staatliche Stelle existiert, die das Gesetz durchsetzen könnte: Die laut Gesetz vorgesehene Datenschutzbehörde sei bisher noch nicht eingerichtet worden.
Die Organisation fordert die ägyptische Regierung auf, umfassende Vorschriften zum Schutz von Kinderdaten festzulegen. Außerdem müsse die Datenschutzbehörde “dringend” eingerichtet und mit Ressourcen ausgestattet werden, um den Datenschutz für alle zu garantieren. “Die ägyptische Regierung muss damit beginnen, Kinder und ihre Daten zu schützen und alle Akteure gesetzlich dazu verpflichten, dasselbe zu tun”, forderte Han.
In der Vergangenheit hat Human Rights Watch wiederholt kritisiert, Regierungen gefährdeten den Kinder-Datenschutz im Zusammenhang mit Bildungsangeboten. Anfang des Jahres hatte die Organisation beispielsweise berichtet, dass in Indien die Daten von Hunderttausenden Schülerinnen und Schülern mehr als ein Jahr lang öffentlich zugänglich waren. (js)