2.21.1 Zur Rolle des LfD MV im AK Technik
Auf der 45. Sitzung der Konferenz der Datenschutzbeauftragten des Bundes
und der Länder im Februar 1993 wurde beschlossen, mir den Vorsitz des
Arbeitskreises "Technische und organisatorische Datenschutzfragen"(AK
Technik) zu übertragen. Die Übernahme des Vorsitzes dieses
Arbeitskreises wurde damit begründet, daß auf diese Art und
Weise eine sinnvolle Einbeziehung der neuen Bundesländer in die
gemeinsame Arbeit der Datenschutzbeauftragten des Bundes und der Länder
gefördert wird. Ausdrücklich wurde durch die Konferenz betont,
daß der Arbeitskreis durch den bisherigen Vorsitzenden, den
Bayrischen Landesdatenschutzbeauftragten, sowohl fachlich als auch
organisatorisch sehr gut geleitet wurde.
Im Berichtszeitraum habe ich zwei Sitzungen des Arbeitskreises vorbereitet
und in Schwerin durchgeführt. Neben den fachlichen Zuarbeiten meiner
Dienststelle war die Koordination der Aktivitäten der Kollegen aus
dem technischen Bereich eine wichtige Aufgabe. Im folgenden stelle ich
einige Themen aus der Arbeit des Arbeitskreises näher dar, die auch für
Mecklenburg-Vorpommern von besonderer Bedeutung sind oder in absehbarer
Zeit von Bedeutung sein werden.
Die ständig fortschreitende Miniaturisierung in der Elektronik ermöglichte die stetige Weiterentwicklung der Chipkarte. Dadurch kann sie immer universeller in den verschiedensten Bereichen eingesetzt werden. Besondere Bedeutung bekommt sie für den Bürger dadurch, daß ihr Einsatz, z.B. als Krankenversichertenkarte (s.a. Punkt 2.11.6.), schon jetzt feststeht und in einigen Bundesländern bereits getestet wird. Aber auch die Verwendung der Chipkarte als mögliches Zahlungsmittel im öffentlichen Nahverkehr verdient eine nähere Betrachtung.
Der Arbeitskreis konnte sich auf umfangreiche Vorarbeiten und Recherchen des Hamburgischen Datenschutzbeauftragten und des Bundesbeauftragten für den Datenschutz stützen. Ein datenschutzrechtlich grundsätzliches Problem bei der Verwendung der Chipkarte resultiert daraus, daß nur ein Bruchteil ihrer Leistungsfähigkeit für die geplanten Anwendungen benötigt wird. Man muß sich nur einmal klarmachen, daß die Chipkarte, die die Größe einer Telefonkarte hat, ein kompletter kleiner Computer ist. Nur zu verständlich ist daher das Bedürfnis der Anwender, auch einen Großteil der Leistungsfähigkeit zu nutzen und möglichst viele Informationen auf ihr zu speichern. Aus der Sicht des Datenschutzes ergeben sich dadurch unabsehbare Risiken. Deshalb wurde z.B. bei der Anwendung der Chipkarte als Krankenversichertenkarte festgelegt, daß nur 256 Bytes zur Speicherung von Informationen gemäß § 291 Abs. 2 SGB V verwendet werden dürfen. Selbst bei Chipkarten mit höherer Kapazität dürfen nur diese 256 Byte freigegeben und mit genau definierten Informationen in einem unveränderlichen Format belegt werden. Doch schon hier gibt es Abweichungen zu den getroffenen Festlegungen dahingehend, daß zur Zeit zwei Byte freigelassen werden, deren Verwendungsmöglichkeit nicht definiert ist. Alle Teilnehmer der Sitzung des Arbeitskreises waren sich darin einig, daß so eine Mißbrauchsmöglichkeit geschaffen wird, die nicht toleriert werden kann.
Um einen ausreichenden technischen Sicherheitsstandard zu gewährleisten, wurde vom Bundesbeauftragten für den Datenschutz empfohlen, die kryptografische Versiegelung anzuwenden. Dieser Empfehlung folgten Krankenkassen und Kassenärztliche Bundesvereinigungen jedoch aus Kostengründen nicht. Um dennoch ein Minimum an Sicherheit zu gewährleisten wurde unter anderem festgelegt, daß nur zertifizierte Hard- und Software eingesetzt werden darf, daß jeder Versicherte den Inhalt seiner Karte lesen können muß und daß der nicht benutzte Speicherplatz mit definierten Zeichen zu belegen ist.
Die Verwendung von Chipkarten als Zahlungsmittel im öffentlichen
Nahverkehr wird in anderen Bundesländern bereits getestet. Es ist
schon jetzt absehbar, daß ein solches Zahlungssystem nur durch
Speicherung umfangreicher personenbezogener Daten funktioniert, denn es muß
genau festgehalten werden, wer wann mit welchem Verkehrsmittel welche
Strecke gefahren ist, damit eine ordnungsgemäße und
revisionssichere Abbuchung vom Konto des Karteninhabers erfolgen kann. Es
liegen also genug Informationen vor, um detaillierte Bewegungsprofile
einzelner Bürger erstellen zu können. Noch kritischer wird das
Ganze, wenn Chipkarten (möglicherweise auch EC- und Kreditkarten) als
Universalzahlungsmittel eingesetzt werden. Dann läßt sich möglicherweise
ein ganzer Tagesablauf wie folgt rekonstruieren: um 8.35 Uhr im Supermarkt
eingekauft, 47,40 DM bezahlt; dann mit der Straßenbahn von A
nach B gefahren, 2,80 DM bezahlt; um 9.15 angekommen; im Cafe für
einen Kaffee um 9.45 Uhr 3,50 DM bezahlt usw. Ein sicherer Schritt zum "gläsernen
Menschen" !
Um vor diesen Gefahren zu warnen, hat die Konferenz der
Datenschutzbeauftragten des Bundes und der Länder auf ihrer 46.
Sitzung im Oktober 1993 in Berlin eine entsprechende Entschließung
verabschiedet (siehe Anlage 10).
Die weitere Verbreitung mobiler Sprach- und Datenübertragungsdienste
im privaten - und Behördenbereich macht es notwendig, auf die damit
verbundenen datenschutzrechtlichen Risiken deutlich hinzuweisen.
Einerseits ist die Vertraulichkeit von Gesprächsinhalten nicht in
allen Fällen sichergestellt, andererseits entsteht durch die
Speicherung von zusätzlichen Verbindungsdaten, wie z.B. dem
Aufenthaltsort des Teilnehmers, die Möglichkeit, Bewegungsprofile zu
erstellen.
Der Arbeitskreis Technik hat besonders die datenschutzrechtlichen Fragen
des BOS-Funks (Behörden und Organisationen mit Sicherheitsaufgaben)
untersucht. Um die Aktualität des Themas zu verdeutlichen und die
Notwendigkeit klarzumachen, daß sich der Arbeitskreis intensiv mit
Sicherheitsrisiken des Mobilfunks befaßt, möchte ich einen Fall
aus meiner Kontrolltätigkeit darstellen.
Bei der Kontrolle einer Polizeidirektion, die eigentlich der Überprüfung
der Zugriffsmöglichkeiten auf INPOL-Datenbestände diente, erfuhr
ich, daß Abfragen von Beamten im Außendienst auch mit Hilfe
von BOS-Funkgeräten durchgeführt werden. Der Beamte beauftragt über
Funk die Leitstelle, eine INPOL-Abfrage per Computer zu starten. Das
Ergebnis dieser Anfrage, z.B. Daten eines Kfz-Halters aus dem
ZEVIS-Datenbestand, wird dem Anfragenden über Funk mitgeteilt.
Bei diesem Vorgang wurden gleich mehrere datenschutzrechtliche
Grundprinzipien verletzt. Die Identifikation des Anfragenden erfolgte nur
anhand der Stimme. Die Abfrage selbst wurde nicht protokolliert. Der
Austausch von Informationen mit Hilfe der Funkgeräte erfolgte völlig
ungeschützt, so daß mit handelsüblichen Empfängern
der gesamte Funkverkehr durch Unbefugte abgehört werden konnte.
Ein Fall von vielen anderen, aber er macht deutlich, wie wichtig es ist, schnellstmöglich Schritte zu unternehmen, den BOS-Funk sicher zu machen. Das setzt natürlich voraus, daß der Polizei die dafür erforderlichen Mittel zur Verfügung gestellt werden.
Der Arbeitskreis hat technische Möglichkeiten des Mobilfunks
untersucht, um Empfehlungen geben zu können, wie gerade im Bereich
des BOS-Funks, wo sehr sensible personenbezogene Daten übermittelt
werden, datenschutzrechtlich unbedenklichere Lösungen eingesetzt
werden können. Dabei wurde deutlich, daß alle bisher
verwendeten Techniken, die das Abhören verhindern sollen, im Grunde
genommen untauglich sind. Nur ein Beispiel: Es sind Geräte legal zu
erwerben, die es ermöglichen, mit Hilfe von Invertern verschleierte
Gespräche wieder verständlich zu machen (Invertierdecoder). Als
Empfehlung kann deshalb nur gelten, auch im BOS-Bereich digitale
Mobilfunktechnik einzusetzen, da nur auf dieser Basis eine wirkungsvolle
Verschlüsselung der Gesprächsinhalte möglich ist. Diese
Empfehlung kommt in einer Entschließung der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder zum Ausdruck, die
auf der 46. Sitzung im Oktober 1993 in Berlin verabschiedet wurde (siehe
Anlage 7).
2.21.4 Wartung und Fernwartung
Die ständig zunehmende Komplexität von EDV-Anlagen zur Verarbeitung personenbezogener Daten in Behörden erfordert eine immer umfassendere Wartung dieser Systeme sowohl hard- als auch softwareseitig. Die dafür notwendigen, sehr umfangreichen Kenntnisse sind bei Mitarbeitern dieser Behörden oft nicht vorhanden, so daß Wartungsaufgaben durch externe Dienstleister wahrgenommen werden. Da nicht immer vermieden werden kann, daß diese Dienstleister Kenntnis über personenbezogene Daten erhalten, was im Bereich der Softwarewartung manchmal geradezu notwendig ist, stellt sich die Frage nach der Zulässigkeit der Übertragung von Wartungsaufgaben an externe Dienstleister. Besonders kritisch ist die Situation z.B. im medizinischen Sektor, wo zunehmend sehr komplexe Klinikinformationssysteme in Betrieb genommen werden, die kaum noch von klinikeigenen Technikern gewartet werden können. Wartung in diesem Bereich kann durchaus der Offenbarung von Sozialdaten gleichkommen. Dazu gibt es jedoch in §§ 67 ff SGB X abschließende Regelungen, die Wartung unter diesen Umständen durch externe Dienstleister ausschließen.
Seit einigen Jahren befaßt sich der Arbeitskreis mit diesem Thema.
Um die Zulässigkeit von Wartung und Fernwartung beurteilen zu können,
ist es notwendig, beide Begriffe rechtlich widerspruchsfrei in das
Begriffssystem der Datenschutzgesetze einzuordnen. Dazu wurden durch die
Datenschutzbeauftragten im wesentlichen zwei Standpunkte vertreten:
- Die mögliche Kenntnisnahme von personenbezogenen Daten ist eine
Datenübermittlung.
- Wartung und Fernwartung fallen unter die Auftragsdatenverarbeitung (oder
-nutzung).
Für beide Standpunkte lassen sich in den Datenschutzgesetzen
Argumente finden, die kaum zu widerlegen sind. Das hängt damit
zusammen, daß die Begriffe Datennutzung, Datenverwendung, Datenübermittlung
und Auftragsdatenverarbeitung in den verschiedenen Datenschutzgesetzen
unterschiedlich definiert sind. Darüber hinaus ist eine
unterschiedliche Auslegung der vorhandenen Gesetze offensichtlich möglich.
Angesichts dieser Situation wurde zunächst unter Federführung
des Bayrischen LfD eine Orientierungshilfe verabschiedet, in der ein
Minimum an notwendigen Sicherheitsmaßnahmen bei der Durchführung
von Wartungsaufgaben aus technischer Sicht definiert wurden. Weil damit
aber noch immer keine befriedigende Lösung des Problems erreicht
worden ist, haben sich die Mitglieder des Arbeitskreises darüber
geeinigt, die Konferenz der Datenschutzbeauftragten des Bundes und der Länder
darauf aufmerksam zu machen, daß hier Handlungsbedarf außerhalb
des AK-Technik besteht. Der Arbeitskreis hat den erarbeiteten
Sachstandsbericht gebilligt und der Konferenz als Arbeitsgrundlage zur
Verfügung gestellt.
Auf der 46. Sitzung im Oktober 1993 in Berlin hat sich die Konferenz mit
dem Thema befaßt und mit der weiteren Bearbeitung den LfD
Nordrhein-Westfalen beauftragt.
2.21.5 Lauschangriff - technisch gesehen
Ergänzend zu Punkt 2.4.1. soll an dieser Stelle zum Lauschangriff noch einiges aus technischer Sicht gesagt werden. Eine Beurteilung hinsichtlich der Wirksamkeit des Lauschangriffs ist nur sinnvoll, wenn die technischen Möglichkeiten seiner Realisierung und die entsprechenden Gegenmaßnahmen zur Abwehr bekannt sind.
Es ist erstaunlich, welche Möglichkeiten heute bereits der
interessierte Laie hat, ganz legal Technik zu erwerben, die durchaus
geeignet ist, die Wirksamkeit technischer Mittel zur Ausforschung von Räumen
in Frage zu stellen. So sind z.B. Funkscanner, die zum Aufspüren von
Wanzen verwendet werden können, mit den verschiedensten
Leistungsmerkmalen in allen Preisklassen leicht über
Elektronikversandhäuser zu beschaffen. Welche Möglichkeiten im
Rahmen der Organisierten Kriminalität diesbezüglich bestehen, wo
scheinbar unbegrenzte finanzielle Mittel zur Verfügung stehen und
bestens ausgebildete Fachleute vorhanden sind, läßt sich nur
erahnen. Allein aus öffentlich zugänglicher Literatur und durch
Befragung von Anwendern und Vertreibern von Funktechnik konnte ich mir in
kürzester Zeit einen Überblick über die technischen Möglichkeiten
des Lauschangriffs und der Lauschabwehr verschaffen. Das Ergebnis der
Untersuchung wurde von einem Spezialisten auf dem Gebiet der Lauschabwehr
bestätigt. Ich hatte diesen Spezialisten gebeten, im Rahmen einer
Sitzung des Arbeitskreises Technik über die technischen Möglichkeiten
beider Seiten zu referieren. Aufgrund seiner Erfahrungen schätzte er
die technischen Möglichkeiten zur Durchführung eines effektiven
Lauschangriffes besser ein als die technischen Möglichkeiten zur
Abwehr. Er räumte jedoch auch ein, daß sowohl der Zeitfaktor
als auch die zur Verfügung stehenden finanziellen Mittel eine maßgebliche
Rolle spielen, wenn der Lauschangriff einigermaßen erfolgreich sein
soll, und daß letzten Endes bei jedem Lauschangriff auf die
Ahnungslosigkeit der Belauschten gebaut werden muß.
2.21.6 Datenschutz und Personalcomputer
Der zunehmende Einsatz von Personalcomputern in allen Bereichen der öffentlichen Verwaltung macht die Frage der Realisierung des Datenschutzes an PC sowohl für den Arbeitskreis als auch für meine Kontroll- und Beratungstätigkeit zu einem Dauerthema. Nicht nur bei Kontrollen in meinem Zuständigkeitsbereich muß ich immer wieder feststellen, daß viel zu wenig Möglichkeiten genutzt werden, um auch mit dem PC ordnungsgemäß personenbezogene Daten zu verarbeiten (s.a. Abschnitt 2.16.). Auch im Rahmen des Arbeitskreises wurde von bei Kontrollen festgestellten Mängeln berichtet.
Um kompetent beraten und Lösungen empfehlen zu können, die auf
einem zufriedenstellenden datenschutzrechtlichen Niveau stehen,
informieren sich die Datenschutzbeauftragten ständig über die
Angebotssituation auf dem Markt. Dazu besuchen wir nicht nur Fachmessen
und Weiterbildungsveranstaltungen, sondern laden auch kompetente Fachleute
aus Forschung und Industrie ein, die über ihre Erfahrungen berichten.
Für die 21. Sitzung des Arbeitskreises konnte ich für einen
Fachvortrag den Geschäftsführer einer Firma als Gast gewinnen,
die PC-Sicherheitsprodukte speziell für den Behördenbereich im
Auftrag des Bundesamtes für Sicherheit in der Informationstechnik
(BSI) entwickelt, produziert und vertreibt. Auf diese Art und Weise ist es
auch möglich, Herstellern klarzumachen, welche Forderungen die
Datenschutzbeauftragten an bestimmte Produkte, z. B. aus dem Bereich der
PC-Sicherheit, stellen. Während des Meinungsaustausches wurde
deutlich, daß die Frage der Schutzmöglichkeit von
Protokolldateien dem Systemadministrator gegenüber nach wie vor nicht
zufriedenstellend gelöst ist.
Einigkeit bestand dahingehend, daß ein ausreichender Schutz nur dann
gewährleistet werden kann, wenn Personalcomputer mit einer
entsprechenden Kombination von Hard- und Softwarekomponenten ausgerüstet
werden. Die zunehmende Bedeutung des PC auch im Rahmen von
Client-Server-Konfigurationen erfordert es, daß sich die
Datenschutzbeauftragten weiterhin intensiv mit der Sicherheit der
Verarbeitung personenbezogener Daten mit Hilfe von PC befassen.
Der Interministerielle Ausschuß für Informations- und Telekommunikationstechnik ist für die Koordinierung des Einsatzes von Hard- und Software in den Behörden des Landes verantwortlich. Alle Ressorts entsenden ihre IT-Referenten als ständige und stimmberechtigte Mitglieder in diesen Ausschuß. Das Innenministerium wurde mit der Federführung beauftragt. Daneben werden bei Bedarf IMA-IT-Mitglieder mit beratender Stimme zu Sitzungen hinzugezogen.
Im September 1992 wurde ich darum gebeten, als Mitglied mit beratender
Stimme an den Sitzungen des IMA-IT teilzunehmen. So werde ich sehr frühzeitig
in die Planungs- und Einführungsphase von IT-Lösungen, die
landeseinheitlich eingesetzt werden sollen, einbezogen, um meine
datenschutzrechtlichen Empfehlungen einfließen zu lassen.
Nachfolgend stelle ich einige wichtige Aspekte aus meiner Beratungstätigkeit
im IMA-IT dar.
Zunächst wichtigste Aufgabe des IMA-IT war es, einen
Landesstandard, den IT-Strukturrahmen (ITSR), zu erarbeiten, der für
alle Landesbehörden sowohl verbindliche Festlegungen als auch
Empfehlungen und Hinweise für die Planung, Beschaffung und den
Betrieb informationstechnischer Systeme und Verfahren enthält. Die
Festlegungen bezüglich der Systemarchitektur, fachneutraler
IT-Verfahren sowie interner und externer Vernetzung bekamen verbindlichen
Charakter, während alle organisatorischen Regelungen, zu denen auch
der Abschnitt Datenschutz und Datensicherheit gehört, als
Empfehlungen zu werten sind.
Der Abschnitt Datenschutz und Datensicherheit wurde zunächst durch
die fachlich und organisatorisch begleitende Beratungsfirma erarbeitet und
mir dann mit der Bitte um Stellungnahme vorgelegt. Einem Teil meiner
daraufhin ausgesprochenen Empfehlungen konnte in der endgültigen
Fassung des ITSR gefolgt werden. So wurden Hinweise zu Aufgaben und
Befugnissen des behördlichen Datenschutzbeauftragten und zur Führung
von Dateibeschreibung und Geräteverzeichnis aufgenommen. Auch die
besondere Sensibilität, die bei der automatisierten Verarbeitung
personenbezogener Daten notwendig ist, wurde verdeutlicht.
Nicht gefolgt wurde meinen Empfehlungen, den Abschnitt Datenschutz und
Datensicherheit als verbindlichen Bestandteil des ITSR zu erklären.
Ebenso lehnten es die stimmberechtigten Mitglieder des IMA-IT ab, bei der
Einführung von IT-Verfahren zur Verarbeitung personenbezogener Daten
die Erstellung eines Datenschutzkonzeptes als verbindlich zu erklären.
Auch deshalb werde ich in diesem Rahmen weiterhin die Einführung von
landeseinheitlichen IT-Verfahren mit besonderer Aufmerksamkeit beratend
begleiten, wie ich es in den nachfolgend geschilderten Fällen schon
mit gutem Erfolg getan habe.
2.22.2 Personalinformationssystem
Anfang 1993 beschloß der IMA-IT auf Anforderung der
Personalreferenten der Ressorts zu prüfen, welche Möglichkeiten
für die Einführung eines landeseinheitlichen Personal- und
Stellenbewirtschaftungssystems bestehen würden. Es wurde ein
Arbeitskreis gegründet, an dessen Sitzungen ich teilnehme. Nach einer
genauen Definition der Anforderungen und entsprechenden Marktrecherchen
wurde deutlich, daß eine landeseinheitliche Lösung realisierbar
ist. Schon bei der Definition der Datenfelder des geplanten Systems wurde
meine Empfehlung berücksichtigt, keine Felder zuzulassen, aus denen
erkennbar ist, ob der Betreffende ein Bürger aus den alten oder den
neuen Bundesländern ist. Auch hinsichtlich der Abfrage- und
Recherchemöglichkeiten wurde meinen Hinweisen, nur sehr stark
eingeschränkt freie Abfragesprachen zuzulassen, in der Planung
gefolgt. Die strenge Trennung von Leistungsmerkmalen Beschäftigter
und Personaldaten wurde akzeptiert. Leistungsmerkmale dürfen nicht
mit diesem System erfaßt werden.
Bezüglich der Form der Datenhaltung konnte ich die Forderung der
Personalreferenten unterstützen, Personaldaten dezentral in jedem
einzelnen Ressort zu halten.
Von besonderer Bedeutung war die Frage der Zugriffsrechte. Die von mir
formulierten Forderungen, Zugriffsrechte sehr differenziert entsprechend
der zu bearbeitenden Aufgabe zu vergeben, sollen berücksichtigt
werden. Zur Zeit erfolgt die von mir geforderte Erstellung des
Datenschutz- und Datensicherheitskonzeptes, in dem sich meine Forderungen
und Empfehlungen widerspiegeln sollen.
2.22.3 Landeseinheitliches Schriftgutverwaltungssystem
Schon während der Erarbeitung des ITSR wurde der Wunsch der Organisationsreferenten der Ressorts deutlich, Möglichkeiten der IT-gestützten Schriftgutverwaltung zu untersuchen. Der IMA-IT rief den Arbeitskreis Registratur ins Leben. Ich wurde darum gebeten, an den Sitzungen dieses Arbeitskreises ebenfalls beratend teilzunehmen.
Zunächst wurden von mir Empfehlungen für die zur Zeit gültige "Vorläufige Registraturanordnung" des Innenministeriums ausgesprochen, die als Basis für die Formulierung der Anforderungen an das Schriftgutverwaltungssystem dienen soll. Dort fehlten z.B. Hinweise auf die Einhaltung des Landesdatenschutzgesetzes völlig. Auch bezüglich der Aussonderung und Vernichtung von Schriftgut habe ich Empfehlungen entsprechend der "Orientierungshilfe Schriftgutvernichtung" gegeben (siehe Anlage 12). Noch nicht eindeutig geklärt werden konnte, wie die Abgabe von Schriftgut an das Landeshauptarchiv Mecklenburg-Vorpommern erfolgen soll, da noch immer kein Landesarchivgesetz existiert, das hierzu verbindliche Regelungen enthalten wird. Aus gleichem Grund problematisch war die Definition von Aufbewahrungsfristen, da ohne eine gesetzliche Regelung lediglich Fristen entsprechend der sogenannten verwaltungspraktischen Bedeutung durch die Leiter der jeweiligen Organisationseinheiten festgesetzt werden. Eindeutig wurde von mir für die Realisierung des Schriftgutverwaltungssystems gefordert, daß die Personalregistratur vollkommen getrennt geführt werden muß. Da die Planungs- und Projektierungsphase noch nicht abgeschlossen ist, werde ich hier weiterhin beratend tätig sein, damit sichergestellt ist, daß ein zukünftiges landeseinheitliches Schriftgutverwaltungssystem nur unter ausreichender Berücksichtigung datenschutzrechtlicher Aspekte in Betrieb genommen wird.