Sie sind hier: > Start > Tätigkeitsberichte > 24. TB 2010 > 2. IuK-Technik und Organisation
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.02.2011
2. IuK-Technik und Organisation
2.1. Grundsatzthemen
2.1.1. IT-Grundrecht
Von grundlegender Bedeutung sowohl für den öffentlichen wie auch für den nicht-öffentlichen Bereich war im Berichtszeitraum das Urteil des Bundesverfassungsgerichts zur sog. Online-Durchsuchung (Urteil vom 27.02.2008, 1 BvR 370/07), mit dem Teile des Verfassungsschutzgesetzes Nordrhein-Westfalen für nichtig erklärt wurden. Hervorzuheben ist dabei die Feststellung des Gerichts, dass das allgemeine Persönlichkeitsrecht auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst.
Dabei wurden die verfassungsrechtlichen Grundlagen des Datenschutzes an die technische Entwicklung angepasst und ein sog. "IT-Grundrecht" bzw. "Computer-Grundrecht" vom Bundesverfassungsgericht entwickelt. Dieses Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme ergänzt das bislang schon aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) abgeleitete Recht auf informationelle Selbstbestimmung beim Einsatz informationstechnischer Systeme. Knapp 25 Jahre nach dem Volkszählungsurteil hat das Bundesverfassungsgericht damit den Datenschutz verfassungsrechtlich weiter gestärkt und ihn an die Herausforderungen des elektronischen Zeitalters angepasst. Mit dem IT-Grundrecht wird anerkannt, dass sich auf Personalcomputern und anderen IT-Systemen mit Wissen des Nutzers, aber vor allem auch unbemerkt, eine Vielzahl von persönlichen Informationen und Datenspuren befinden, die besonders zu schützen sind.
Die Datenschutzbeauftragten des Bundes und der Länder haben daher in ihrer Entschließung vom 03./04.04.2008 den Gesetzgeber u.a. dazu aufgefordert, sich aktiv für die Vertraulichkeit und Integrität von IT-Systemen durch Verbesserung der Regelungen zum Schutz der Betroffenen vor einer elektronischen Ausforschung einzusetzen.
Entschließung
75. Konferenz der Datenschutzbeauftragten
des Bundes und der Länder
am 03./04.04.2008 in Berlin
Vorgaben des Bundesverfassungsgerichts bei der Online-Durchsuchung beachten
- Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt, dass das Bundesverfassungsgericht die Regelung zur Online-Durchsuchung im Verfassungsschutzgesetz Nordrhein-Westfalen für nichtig erklärt hat. Hervorzuheben ist die Feststellung des Gerichts, dass das allgemeine Persönlichkeitsrecht auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst. 25 Jahre nach dem Volkszählungsurteil hat das Bundesverfassungsgericht damit den Datenschutz verfassungsrechtlich weiter gestärkt und ihn an die Herausforderungen des elektronischen Zeitalters angepasst.
- Ein solches Grundrecht nimmt auch den Staat in die Verantwortung, sich aktiv für die Vertraulichkeit und Integrität informationstechnischer Systeme einzusetzen. Das Bundesverfassungsgericht verpflichtet den Staat, im Zeitalter der elektronischen Kommunikation Vertraulichkeit zu gewährleisten. Nunmehr ist der Gesetzgeber gehalten, diesen Auftrag konsequent umzusetzen. Dazu müssen die Regelungen, welche die Bürgerinnen und Bürger vor einer "elektronischen Ausforschung" schützen sollen, gemäß den Vorgaben des Gerichts insbesondere im Hinblick auf technische Entwicklungen verbessert werden. Hiermit würde auch ein wesentlicher Beitrag geleistet, Vertrauen in die Sicherheit von E-Government- und E-Commerce-Verfahren herzustellen.
- Die Konferenz unterstützt die Aussagen des Gerichts zum technischen Selbstschutz der Betroffenen. Ihre Möglichkeiten, sich gegen einen unzulässigen Datenzugriff zu schützen, etwa durch den Einsatz von Verschlüsselungsprogrammen, dürfen nicht unterlaufen oder eingeschränkt werden.
- Die Konferenz begrüßt außerdem, dass das Bundesverfassungsgericht das neue Datenschutzgrundrecht mit besonders hohen verfassungsrechtlichen Hürden vor staatlichen Eingriffen schützt. Sie fordert die Gesetzgeber in Bund und Ländern auf, diese Eingriffsvoraussetzungen zu respektieren. Die Konferenz spricht sich in diesem Zusammenhang gegen Online-Durchsuchungen durch die Nachrichtendienste aus.
- Das Bundesverfassungsgericht hat den Gesetzgeber erneut verpflichtet, den unantastbaren Kernbereich privater Lebensgestaltung auch bei Eingriffen in informationstechnische Systeme zu gewährleisten. Unvermeidbar erhobene kernbereichsrelevante Inhalte sind unverzüglich zu löschen. Eine Weitergabe oder Verwertung dieser Inhalte ist auszuschließen.
- Auch wenn Online-Durchsuchungen innerhalb der durch das Bundesverfassungsgericht festgelegten Grenzen verfassungsgemäß sind, fordert die Konferenz die Gesetzgeber auf, die Erforderlichkeit von Online-Durchsuchungsbefugnissen kritisch zu hinterfragen. Sie müssen sich die Frage stellen, ob sie den Sicherheitsbehörden entsprechende Möglichkeiten an die Hand geben wollen. Die Konferenz bezweifelt, dass dieser weiteren Einbuße an Freiheit ein adäquater Gewinn an Sicherheit gegenüber steht.
- Sollten gleichwohl Online-Durchsuchungen gesetzlich zugelassen werden, sind nicht nur die vom Bundesverfassungsgericht aufgestellten verfassungsrechtlichen Hürden zu beachten. Die Konferenz hält für diesen Fall zusätzliche gesetzliche Regelungen für erforderlich. Zu ihnen gehören vor allem folgende Punkte:
- Soweit mit der Vorbereitung und Durchführung von Online-Durchsuchungen der Schutzbereich von Art. 13 GG (Unverletzlichkeit der Wohnung) betroffen ist, bedarf es dafür jedenfalls einer besonderen Rechtsgrundlage.
- Der vom Bundesverfassungsgericht geforderte Richtervorbehalt ist bei Online-Durchsuchungen mindestens so auszugestalten wie bei der akustischen Wohnraumüberwachung. Ergänzend zu einer richterlichen Vorabkontrolle ist eine begleitende Kontrolle durch eine unabhängige Einrichtung vorzuschreiben.
- Gesetzliche Regelungen, welche Online-Durchsuchungen zulassen, sollten befristet werden und eine wissenschaftliche Evaluation der dabei gewonnenen Erkenntnisse und Erfahrungen anordnen.
- Informationstechnische Systeme, die von zeugnisverweigerungsberechtigten Berufsgruppen genutzt werden, sind von heimlichen Online-Durchsuchungen auszunehmen.
- Für die Durchführung von "Quellen-Telekommunikationsüberwachungen", die mit der Infiltration von IT-Systemen einhergehen, sind die gleichen Schutzvorkehrungen zu treffen wie für die Online-Durchsuchung selbst.
- Schließlich sind die Gesetzgeber in Bund und Ländern aufgrund der Ausstrahlungswirkung der Entscheidung des Bundesverfassungsgerichts gehalten, die sicherheitsbehördlichen Eingriffsbefugnisse in Bezug auf informationstechnische Systeme, z.B. bei der Überwachung der Telekommunikation im Internet sowie der Beschlagnahme und Durchsuchung von Speichermedien, grundrechtskonform einzuschränken.
Die Entscheidung des Bundesverfassungsgerichts verpflichtet den Staat, im Zeitalter der elektronischen Kommunikation Vertraulichkeit zu gewährleisten. Nunmehr ist der Gesetzgeber gehalten, diesen Auftrag konsequent umzusetzen. Dazu müssen die Regelungen, welche die Bürgerinnen und Bürger vor einer "elektronischen Ausforschung" schützen sollen, gemäß den Vorgaben des Gerichts insbesondere im Hinblick auf technische Entwicklungen verbessert werden.
Auch die öffentliche Verwaltung ist aufgefordert, bereits jetzt verfügbare und von mir seit langem geforderte Maßnahmen zu ergreifen. Konkret bedeutet dies z.B., dass
- dem Nutzer endlich standardmäßig die Möglichkeit zur vertraulichen, d.h. verschlüsselten, Kommunikation per E-Mail zumindest angeboten wird,
- Formulareingaben standardmäßig verschlüsselt über das Web übertragen und
- auf aktive Komponenten für den Aufruf von Web-Seiten verzichtet werden, weil dafür der Nutzer u.U. seine sonstigen Sicherheitseinstellungen aufheben oder zumindest aufweichen muss.
Will der Nutzer angebotene Schutzmaßnahmen nicht anwenden, so ist dies seine eigene Entscheidung. Er sollte dann aber von der öffentlichen Stelle wenigstens über die möglichen Risiken unterrichtet werden.
Mit einer derartigen Umsetzung der verfassungsrechtlichen Vorgaben würde ein wesentlicher Beitrag geleistet, Vertrauen in die Sicherheit von E-Government-Verfahren herzustellen.
2.1.2. Die neue IuK-Organisation im Bayerischen Behördennetz
Am 19.05.2009 wurde Staatssekretär im Bayerischen Staatsministerium der Finanzen Franz Josef Pschierer zum Beauftragten für Informations- und Kommunikationstechnik der Bayerischen Staatsregierung (CIO Bayern) bestellt.
Der CIO Bayern verfügt über umfassende Befugnisse zur ressortübergreifenden strategischen Steuerung und Koordinierung des IT-Einsatzes in der Staatsverwaltung. Dabei wird er unterstützt durch seine neu gegründete Stabsstelle mit ihren drei Referaten sowie durch den Rat der Ressort-CIOs. Dem Rat der Ressort-CIOs arbeitet die sog. Vorkonferenz der IT-Referenten der Ressorts zu. Beiden Gremien stehe ich als beratendes Mitglied zur Verfügung.
Sowohl mit der CIO-Stabsstelle als auch dem CIO selbst stehe ich überdies in unmittelbarem Kontakt und Informationsaustausch.
Die früher im Staatsministerium des Innern eingerichtete Zentrale IuK-Leitstelle (ZIL) sowie der IuK-Fachausschuss wurden durch die neu gegründete Stabsstelle des CIO ersetzt.
Im Hinblick auf diese neue IuK-Organisationsstruktur bin ich zuversichtlich, dass die durch die Vorgängerstrukturen bereits eingeschlagenen Wege weiter und mit noch mehr Nachdruck als bisher verfolgt werden. Damit betroffen sind auch meine langjährigen Forderungen nach flächendeckenden Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Authentizität innerhalb des Behördennetzes und auch bei der Kommunikation des Bürgers mit der staatlichen Verwaltung.
2.1.3. Übertragung kritischer Funktionalitäten an zentrale Einrichtungen - am Beispiel des Active Directory und der E-Mail-Server
Vermutlich schon solange es IT im größeren Umfang in Unternehmen und Behörden gibt, gibt es immer wieder sich umkehrende Trends, entweder hin zu zentralisierten IT-Ressourcen (Rechenzentren) oder hin zu dezentralisierten Standorten in den einzelnen Bereichen (verteilte Betriebsstätten). Vor allem aus wirtschaftlichen Gründen verspricht gegenwärtig die Reduzierung der Standorte niedrigere Gesamtkosten.
Der Freistaat Bayern ist seit dem Beschluss des Ministerrats vom 29.7.2003, die bisherigen Rechen- und IT-Betriebszentren der Staatsverwaltung organisatorisch in zwei Rechenzentren zusammenzufassen, auf dem Weg der Zentralisierung, der aber noch nicht abgeschlossen ist. Sowohl die Heterogenität der vorhandenen IT-Anwendungen als auch die Heterogenität der Aufgaben der Staatsverwaltung verhindern zum Teil ein schnelles Zusammenwachsen der vorhandenen IT. Dies resultiert auch aus der verfassungsrechtlich zu beachtenden Ressortunabhängigkeit, die jedem Staatsminister zusichert, seinen Geschäftsbereich selbständig und unter eigener Verantwortung gegenüber dem Landtag gemäß den vom Ministerpräsidenten bestimmten Richtlinien der Politik zu führen.
Art. 51 Abs. 1 Verfassung des Freistaates Bayern
Gemäß den vom Ministerpräsidenten bestimmten Richtlinien der Politik führt jeder Staatsminister seinen Geschäftsbereich selbständig und unter eigener Verantwortung gegenüber dem Landtag.
In der Verwaltung des Freistaates Bayern wird überwiegend als Verzeichnisdienst ein Active Directory (AD) verwendet. Allerdings gab es bei der Einführung und der Erweiterung des AD unterschiedliche Ziele und Vorgehensweisen der einzelnen, zum Teil unabhängigen Teilnehmer, so dass es zu einigen Problemen kam, die nun gelöst werden müssen. Bis vor kurzem wurde das AD hauptsächlich dezentral von den einzelnen Teilnehmern, d.h. Behörden, administriert und gepflegt. Bedingt durch die Produkteigenschaften können, wie mir immer wieder versichert wurde, bestimmte Fehler und Nachlässigkeiten einzelner Teilnehmer aber das ganze System in einen potentiell unsicheren Zustand bringen oder sogar zu einem völligen Ausfall führen. Auch ließe sich für Administratoren mit geringeren Rechten nicht generell verhindern, dass diese sich unerlaubt höhere Rechte verschaffen.
Um beide Probleme schnell zu lösen, wurde beschlossen, den Betrieb des AD komplett in die Hände der Rechenzentren zu legen. Unter der Voraussetzung, dass diese keine Fehler machen, lässt sich so verhindern, dass die Verfügbarkeit des Systems reduziert wird. Und unter der Voraussetzung, dass die Administratoren in den Rechenzentren ihre Rechte nicht missbrauchen, kann man auch verhindern, dass unerlaubte Zugriffe stattfinden.
Zentrale IT bringt aber nicht nur Vorteile, sondern hat auch Nachteile. Die Nutzer (und auch der Behördenleiter) können nicht mehr direkt mit den IT-Verantwortlichen und den Administratoren in Kontakt treten, die Reaktionszeiten auf neue oder geänderte Anforderungen können deutlich länger werden. Ebenso führt auch erfahrungsgemäß eine "Entfernung" von den eigenen Daten zu einer Reduzierung des diesbezüglichen Datenschutzbewusstseins. Es entsteht das Gefühl, die eigenen Daten und Anwendungen wären im Rechenzentrum schon sicher aufgehoben und von Problemen wird viel weniger durchdringen. Aber auch im Rechenzentrum lässt aufgrund der zu bewältigenden Datenmassen unter Umständen die Sensibilität für einzelne verarbeitete Daten nach.
Selbst wenn sich das Ausfallrisiko für einzelne, vorher autonom administrierte Teilbereiche durch eine unter Umständen professionellere Administration reduzieren kann, steigt das Ausfallrisiko für das Gesamtsystem etwa durch einen Software- bzw. Administrationsfehler an zentraler Stelle. Tritt ein solcher Schadensfall im zentralen System ein, dann ist davon unter Umständen die gesamte IT des Freistaates Bayern betroffen.
Für einen Angreifer, der versucht, sich Zugriff auf Daten und Systeme zu verschaffen, ist ein Rechenzentrum ein viel attraktiveres Ziel, da er bei einem erfolgreichen Angriff unter Umständen vollen Zugriff auf Daten der gesamten Staatsverwaltung erlangt. Dezentrale Datenbestände bieten unter Umständen mehrere Angriffspunkte, aber ein erfolgreicher Angriff bleibt auf eine deutlich kleinere Teilmenge öffentlicher Stellen beschränkt. Deshalb habe ich auch gefordert, nicht einfach alle Dienste, hier im speziellen das Active Directory, zu zentralisieren und dann zu hoffen, dass sich damit alle Probleme lösen. Geboten ist vielmehr ein Gesamtkonzept, das sicherstellt, dass ein zuverlässiger Betrieb (Datensicherheit) der Systeme und Anwendungen ohne Reduzierung des Datenschutzniveaus möglich ist. Dies ist aber bis heute leider noch nicht geschehen.
Auch wenn mit der Zentralisierung des AD noch nicht begonnen wurde, so ist bereits heute klar, dass in nicht allzu ferner Zukunft auch eine Zentralisierung aller Exchange-Server notwendig werden wird. Denn zumindest in den folgenden Produktversionen wird es nicht mehr möglich sein, die Administration des AD von der der Exchange-Server getrennt zu halten.
Dies wird dazu führen, dass alle Benutzerkonten, alle Postfächer, Kalender etc. von einer zentralen Stelle aus zugreifbar sein werden. Auf den zentralen Rechnern sind die E-Mails in der Regel unverschlüsselt gespeichert, so dass auf dort gespeicherte personenbezogene Daten auch Personen außerhalb der originär hierzu berechtigten Stelle zugreifen können. Auch wird es immer wieder nötig sein, Mitarbeitern externer Firmen im Wartungsfall umfassende Rechte einzuräumen. Es ist zu berücksichtigen, dass auch Dokumente, die besonderen Berufs- und Amtsgeheimnissen unterliegen oder sonstige sensitive oder politisch brisante Informationen enthalten, dadurch potentiell gefährdet wären.
Dass die Gefahr einer Veröffentlichung von geschützten Daten nicht rein theoretischer Natur ist, zeigen Webseiten wie Wikileaks, die sich zum Ziel gesetzt haben, Informationen ohne Autorisierung oder amtliche Genehmigung aufzudecken - trotz intensivster Bemühungen um deren Geheimhaltung. Deshalb muss alles unternommen werden, nicht nur den funktionalen Schadensfall an Systemen und Anwendungen zu vermeiden, sondern auch den Umfang der Daten, die im Schadensfall kompromittiert werden würden, so weit wie möglich zu reduzieren.
Die einzige Möglichkeit, die Administration und den IT-Betrieb außerhalb des eigenen Bereichs zu geben, besteht aus datenschutzrechtlicher Sicht in der sogenannten Datenverarbeitung im Auftrag gemäß Art. 6 BayDSG. Danach entscheidet der potenzielle Auftraggeber unter Berücksichtigung evtl. bestehender bereichsspezifischer Vorschriften über deren generelle Zulässigkeit. Im Falle einer Auftragsdatenverarbeitung bleibt er aber unverändert für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen (Art. 6 Abs. 3 Satz 2 BayDSG). Für einige Behörden oder ggf. ganze Behördenzweige wird eine solche Auftragsvergabe danach aufgrund bereichsspezifischer Vorschriften schwierig bis unmöglich sein.
Deshalb muss jede Behörde genau prüfen, ob und unter welchen Umständen sie
Dienstleistungen, Daten und Verfahren in ein Rechenzentrum verlagern kann. Da jede Behörde verantwortlich bleibt, muss sie über eventuell notwendige Maßnahmen wie Verschlüsselung, die Ausnahme von Diensten von der Zentralisierung, die Kontrolle der Auftragsdatenverarbeitung und die genaue vertragliche Ausgestaltung selbst entscheiden.
Die zwischen den Rechenzentren und den entsprechenden Dienststellen getroffenen Vereinbarungen zur Datenverarbeitung im Auftrag so wie deren technische Umsetzung werde ich zum gegebenen Zeitpunkt überprüfen.
2.1.4. Verschlüsselung im Bayerischen Behördennetz
Immer wieder begegnet mir das Wort vom "sicheren" Bayerischen Behördennetz. In dieser Pauschalität kann das aber nicht einfach so angenommen werden, denn es muss im Gegenzug sofort gefragt werden: Sicher gegen welche Bedrohung? Gegen Angriffe von außen, wenn ja gegen welche Angriffsszenarien, gegen Verfügbarkeitseinschränkungen, gegen Angriffe von innen, wenn ja gegen welche Arten, gegen Vertraulichkeits-, Integritäts- und/oder Authentizitätsverlust bzgl. der darüber übertragenen Daten, ...?
Gegen alle diese Bedrohungsformen sind Maßnahmen getroffen und es sollen weitere ergriffen werden (siehe Nr. 2.1.3). Aber insbesondere hinsichtlich der Vertraulichkeits-, Integritäts- und Authentizitätsaspekte besteht noch immer dringender Handlungsbedarf. Seit meinem 19. Tätigkeitsbericht habe ich immer wieder diese Themenbereiche aufgegriffen und die zügige flächendeckende Einführung geeigneter Verfahren zu Signatur und Verschlüsselung sowie der zugehörigen Infrastruktur angemahnt. Bisher sind wir leider immer noch weit davon entfernt.
Zum Ende 2010 findet nun für das Bayerische Behördennetz (BayKOM 2010) nach erfolgter Ausschreibung ein Wechsel des Providers statt. Teil der Ausschreibung war, dass das bereitgestellte Datennetz einen Grundschutz hinsichtlich der Vertraulichkeit der Kommunikation gewährleisten soll, d.h. zwischen den Endpunkten der angemieteten Leitungen (Edge-Router) soll nach den Maßgaben und unter Kontrolle der staatlichen Verwaltung eine sog. Leitungsverschlüsselung stattfinden. Ich begrüße diesen Ansatz ausdrücklich und gehe davon aus, dass dieser nun auch konsequent angegangen und mit Betriebsaufnahme bereits vollständig umgesetzt ist und dass nicht widrige Umstände erneut zu einer Hintanstellung dieser Sicherheitsmaßnahmen führen.
Gleichzeitig weise ich in aller gebotenen Deutlichkeit darauf hin, dass es sich bei dieser Leitungsverschlüsselung wirklich nur um einen Grundschutz handelt und auch damit keineswegs von BayKOM 2010 als dem sicheren Behördennetz gesprochen werden kann. Damit alleine ist nämlich noch nicht einmal eine durchgängige Vertraulichkeit der übertragenen Information sichergestellt. Ohne weitere Maßnahmen, z.B. Verschlüsselung von E-Mails durch den Absender, werden die übertragenen Daten auf Teilstrecken des Behördennetzes ungeschützt übertragen und insbesondere auf den entsprechenden Servern vor unbefugter Kenntnisnahme ungeschützt gespeichert. Außerdem wird den Ansprüchen auf Integrität und Authentizität der übertragenen Daten ohne zusätzliche Maßnahmen zu der von BayKOM 2010 bereitgestellten Leitungsverschlüsselung in keiner Weise Rechnung getragen. Dafür sind andere technische und organisatorische Maßnahmen erforderlich.
Im Übrigen ist die Kommunikation mit Einrichtungen und Personen außerhalb des Bayerischen Behördennetzes durch die netzseitig bereitgestellte Maßnahme, die sich nur innerhalb des Bayerischen Behördennetzes auswirkt, ebenso wenig geschützt.
2.1.5. Datenschutz in der Wolke - Cloud Computing
Unter dem Begriff "Cloud Computing" verbirgt sich eine Vielzahl unterschiedlicher Technologien, die aber in der Regel bedeuten, dass Verfahren und Daten auf externe, virtuelle Systeme ausgelagert werden.
Bei "Software as a Service" werden die Anwendungen nicht mehr lokal ausgeführt, sondern laufen komplett auf der Infrastruktur des Anbieters. Der Kunde hat hier in aller Regel keine Möglichkeit, die Anwendung zu kontrollieren. Unter "Platform as a Service" versteht man, dass der Anbieter die Kontrolle über das Betriebssystem hat und der Kunde eigene Anwendungen installieren kann. Und schließlich gibt es noch "Infrastructure as a Service". Hier mietet der Kunde nach Bedarf Ressourcen wie Arbeitsspeicher, Datenspeicher und Rechenzeit.
Sofern personenbezogene Daten gespeichert oder verarbeitet werden, kann es sich aus Sicht des Datenschutzes um Fälle der Auftragsdatenverarbeitung handeln. Der Auftraggeber bleibt in solchen Fällen für die Einhaltung des Datenschutzes verantwortlich.
Im Vergleich zur "normalen" Auftragsdatenverarbeitung ist bei Cloud Computing die Überprüfung der Zuverlässigkeit des Anbieters noch wichtiger. Da etwaig vorhandene Sicherheitskonzepte auf Grund der Virtualität weitgehend abstrakt gehalten sind, muss der Kunde darauf vertrauen, dass alle Detailprobleme sicher und korrekt gelöst werden. Ein reines "Vertrauen müssen" ist aus Sicht der IT-Sicherheit jedoch eine schlechte Lösung.
Nach Art. 6 BayDSG sind Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse konkret festzulegen sind. Der Auftraggeber hat sich soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.
Bei den meisten am Markt befindlichen Anbietern für Cloud Dienste ist es für den öffentlichen Auftraggeber schwierig, diese gesetzlichen Anforderungen zu erfüllen. Die hohe Flexibilität und Skalierbarkeit, die ein Ziel von Cloud Computing sind, bedingen, dass eben nicht genau festgelegt ist, wo und wie genau die Daten verarbeitet werden. Beispielsweise können Daten im Arbeitsspeicher, auf Festplatten oder im Extremfall auch auf Bändern gespeichert werden. Der Kunde kann also nicht den Speicherort oder die Speicherart bestimmen, sondern nur, dass er eine gewisse Speicherkapazität mit bestimmten Eigenschaften benötigt.
Viele Cloud Anbieter legen ihr internes Betriebsmodell aus Wettbewerbsgründen nicht offen. Um die Skalierbarkeit auch in Zukunft gewährleisten zu können, gibt es meist keine Aussagen, wo sich die Rechenzentren befinden bzw. wo die Daten der Kunden (im Moment) verarbeitet und gespeichert werden. Sich "von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen", etwa mit einem eigenem Audit vor Ort, ist damit in der Regel unmöglich.
Im Grundsatz ist deshalb öffentlichen Stellen zu empfehlen, bei der Inanspruchnahme von Cloud Diensten äußerste Zurückhaltung walten zu lassen.
2.1.6. Benutzerstatistiken von Internetauftritten
Verständlicherweise möchten viele Betreiber von Internetauftritten ("Homepages") in Erfahrung bringen, wie ihr Internetangebot genutzt wird. Dazu bietet sich an, die Zugriffe auf die einzelnen Seiten selbst zu protokollieren und auszuwerten oder sich einer der vielen zum Teil kostenlosen Dienste zu bedienen.
In früheren Tätigkeitsberichten sowie in meiner Orientierungshilfe "Gestaltung des Internetauftritts" habe ich bereits darauf hingewiesen, dass die Protokollierung von IP-Adressen zu diesem Zweck grundsätzlich nicht zulässig ist, da die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist hier jedoch kein Pseudonym im Sinne des Telemediengesetzes.
Neben einer eigenen Auswertung der Protokolldateien kann man alternativ auch eine Vielzahl von externen Analysediensten benutzen, so dass man so auf eine eigene Protokollierung verzichten kann. Die Speicherung der unter Umständen personenbezogenen Nutzerstatistiken erfolgt dann beim Dienstleister. Verantwortlich für die Speicherung und Auswertung bleibt aber nach wie vor der Betreiber der Webseite, auch wenn die Speicherung nicht unmittelbar bei ihm stattfindet. Die rechtliche Unzulässigkeit im Bezug auf das Telemediengesetz bleibt davon unberührt.
Der Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich vom 26./27.11.2009 "Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten" kommt zu demselben Ergebnis.
Beschluss
der obersten Aufsichtsbehörden für den Datenschutz
im nicht-öffentlichen Bereich
am 26./27.11.2009 in Stralsund
Datenschutzkonforme Ausgestaltung von Analyseverfahren
zur Reichweitenmessung bei Internet-Angeboten
Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:
- Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
- Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
- Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IPAdressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten.
Auch der wohl am häufigsten genutzte Dienst "Google Analytics" verstößt ohne die ausdrückliche Einwilligung der betroffenen Nutzer gegen das Telemediengesetz. Eine andere Sicht kann sich nur dann ergeben, wenn eine von Google angebotene Anonymisierung mittels IP-Maske (anonymizeIP) verwendet wird. Sie verkürzt die IP4-Adresse und erschwert damit die Zuordnung der Analysedaten zu einem bestimmten Nutzer. Doch auch in diesem Fall müssten zahlreiche Voraussetzungen erfüllt sein, damit die Auswertung den Anforderungen des Telemediengesetzes genügt.
Im Laufe des Jahres 2010 unterzog ich die Internetauftritte von allen Ministerien, Fachbehörden, Landratsämtern, Städten und Gemeinden in Bayern einer technischen Untersuchung hinsichtlich der dortigen Verwendung von Google Analytics. Im Schnitt nutzten knapp 10 Prozent davon den Dienst, nur zwei Behörden setzten dabei die Anonymisierung mittels IP-Maske ein.
Ich habe daraufhin die bayerischen Behörden aufgefordert, auf den Einsatz von Google Analytics gänzlich zu verzichten oder zumindest einen Zusatzcode zu verwenden, der die Identität von Webnutzern verschleiert.
2.1.7. Verpflichtung auf das Datengeheimnis und nach dem Verpflichtungsgesetz
Immer wieder erkundigen sich Dienststellenleiter und Datenschutzbeauftragte von bayerischen Behörden und Kommunen bei meiner Geschäftsstelle danach, ob ihre Bediensteten sowohl auf das Datengeheimnis als auch nach dem Verpflichtungsgesetz zu verpflichten sind. Dazu ist Folgendes festzustellen:
Gemäß Art. 5 BayDSG ist es den bei öffentlichen Stellen beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
Die Tätigkeit öffentlicher Stellen besteht zu einem erheblichen Teil aus dem Umgang mit personenbezogenen Daten. Die Regelung des Art. 5 BayDSG hat die Funktion, den bei solchen Stellen tätigen Personen bewusst zu machen, dass dem Schutz vor unzulässigen Beeinträchtigungen des Persönlichkeitsrechts bei der Tätigkeit öffentlicher Stellen ein besonderer Stellenwert zukommt.
Eine bis zur Neufassung des BayDSG vom 23.07.1993 ausdrücklich geforderte Belehrung der Beschäftigten im Sinne einer förmlichen Verpflichtung auf das Datengeheimnis sieht das BayDSG seither nicht mehr vor. In der Gesetzesbegründung zu Art. 5 BayDSG heißt es hierzu: "Die (...) vorgesehene förmliche Verpflichtung auf das Datengeheimnis entfällt künftig nach dem Vorbild von § 5 BDSG. Im öffentlichen Bereich sind förmliche Verpflichtungen auf das Datengeheimnis entbehrlich. Die Mitarbeiter haben aufgrund dienst- oder arbeitsrechtlicher Vorschriften Verschwiegenheit über die ihnen bei ihrer Tätigkeit bekannt gewordenen Angelegenheiten zu wahren. Sie sind entweder als Amtsträger vereidigt oder über ihre Schweigepflicht belehrt oder nach dem Verpflichtungsgesetz auf die gewissenhafte Erfüllung ihrer Obliegenheiten verpflichtet worden".
Eine Verpflichtung nach dem Verpflichtungsgesetz kommt gemäß § 1 Abs. 1 Nr. 1 des Gesetzes über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) hinaus nur für Personen infrage, die bei einer Behörde oder bei einer sonstigen Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt, beschäftigt oder für sie tätig sind, ohne Amtsträger (§ 11 Abs. 1 Nr. 2 des Strafgesetzbuches) zu sein. In diesem Fall ist auch eine Belehrung über das Datengeheimnis dringend zu empfehlen.
Mit Hilfe des Verpflichtungsgesetzes soll bei Personen, die nicht Amtsträger sind, eine den Amtsträgern annähernd vergleichbare strafrechtliche Verantwortlichkeit bei Korruption, Geheimnisverrat und Verwahrungsbruch herbeigeführt werden.
Neben diesen Personen der eigenen öffentlichen Stelle ist insbesondere im Rahmen einer Auftragsdatenverarbeitung darauf zu achten, dass der Auftragnehmer für die auftragsgemäße Verarbeitung personenbezogener Daten nur Personal einsetzt, das auf das Datengeheimnis nach § 5 BDSG und nach dem Verpflichtungsgesetz verpflichtet wurde.
2.2. Prüfungen, Kontrollen und Beratungen
2.2.1. Erkenntnisse
Im Berichtszeitraum 2009/2010 wurde von mir eine ganze Reihe öffentlicher Stellen unter technisch-organisatorischen Datenschutzaspekten geprüft und beraten. Teilweise wurden diese Prüfungen und Beratungen von meinem Technikreferat gemeinsam mit dem zuständigen Rechtsreferat durchgeführt. Besonders hervorzuheben sind folgende Stellen:
- ARGE Nürnberg mit vier Standorten und Zentrale
- Finanzamt München - Servicezentrum
- Kassenärztliche Vereinigung Bayerns (KVB)
- Klinikum Bayreuth
- Klinikum Memmingen
- Klinikum Nürnberg
- Landeshauptstadt München - Ausländeramt im Kreisverwaltungsreferat
- Landeshauptstadt München - Stadtbibliothek
- Landratsamt Bamberg - Veterinäramt
- Landratsamt Bayreuth
- Landratsamt Landshut - Zulassungstelle
- Landratsamt Roth
- Landratsamt Schweinfurt - Veterinäramt
- Psychiatrische Klinik des Universitätsklinikum Würzburg
- Psychiatrische Klinik des Universitätsklinikum Erlangen
- Regierung der Oberpfalz - EU-Dienstleistungsrichtlinie
- Stadt Ansbach - Passamt
- Stadt Fürstenfeldbruck - Passamt
- Stadt Schweinfurt
- Stadtwerke Bayreuth
Generell ist festzustellen, dass alle Stellen bemüht sind, dem Datenschutz grundsätzlich Rechnung zu tragen und die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen und umzusetzen. Gleichwohl zeigen sich nach wie vor vielerorts noch Schwachstellen hinsichtlich der zeitlich und inhaltlich angemessenen Beteiligung und Einbindung des jeweiligen behördlichen Datenschutzbeauftragten. Auch eine große Zahl von Internetauftritten genügt nach wie vor nicht immer vollständig den Anforderungen des Telemediengesetzes, z.B derart, dass keine Möglichkeit zur Verschlüsselung von E-Mails angeboten wird oder dass die Datenschutzerklärung nicht von jeder Seite aus leicht auffindbar und unmittelbar erreichbar ist. Da ist noch einiges Verbesserungspotential gegeben.
Leider musste ich in diesem Berichtszeitraum im technisch-organisatorischen Bereich auch drei Beanstandungen nach Art. 31. Abs. 1 BayDSG aussprechen.
Die erste Beanstandung betraf Staatliche Schulämter einer Stadt und des betreffenden Landkreises. Diese haben mittels unverschlüsseltem Dateianhang an eine E-Mail personenbezogene Daten aller Lehrkräfte aus dem Schulamtsbezirk an alle Schulleiter der Volksschulen in der Stadt und an den Personalratsvorsitzenden der Stadt übermittelt. Bei dem Dateianhang der versandten E-Mail handelte es sich um eine Excel-Mappe bestehend aus drei Tabellenblättern. Beabsichtigt war lediglich der Versand eines dieser drei Tabellenblätter mit personenbezogenen Daten aller zu beurteilenden Lehrkräfte in der Ansparphase der Altersteilzeit im Blockmodell in der Stadt - ohne jeweiliges vorläufiges Beurteilungsprädikat. Das Löschen der beiden überschüssigen Tabellenblätter wurde wegen hohen Zeitdrucks vergessen. In der irrigen Annahme, dass die Excel-Datei nur aus dem einen Tabellenblatt ohne Beurteilungsprädikatseintragungen bestünde, wurde auch keine Verschlüsselung der Datei vorgenommen. Sofort nach Bekanntwerden der Datenübermittlung haben die Staatlichen Schulämter in der Stadt und im Landkreis versucht, die E-Mail automatisch zurückzurufen. Darüber hinaus wurden die Empfänger der E-Mail mittels Telefax auf ihre Dienstpflicht zum Stillschweigen hingewiesen und zum Vernichten der übersandten Listen, d.h. des Dateianhangs der
E-Mail, aufgefordert. Schließlich haben die Staatlichen Schulämter in der Stadt und im Landkreis amtsintern sowie in Besprechungen mit der zuständigen Regierung organisatorische Maßnahmen festgelegt, die die Wiederholung eines solchen Vorfalls verhindern sollen, wie z.B. Anweisungen zum Umgang beim Datenversand, Hinweise zur Optimierung des Büroablaufs und regelmäßig zu wiederholende Belehrungen der Mitarbeiter.
Die Übermittlung der drei Listen aller Lehrkräfte in der Stadt und im Landkreis mit den jeweiligen Beurteilungsmerkmalen an alle Schulleiter der Volksschulen in der Stadt und an den Personalratsvorsitzenden der Stadt war nicht erforderlich, denn für jeden Schulleiter einer Volksschule hätte eine Liste mit den betreffenden Lehrkräften seiner Schule zur Aufgabenerfüllung ausgereicht. Es liegt somit ein schwerwiegender Verstoß gegen Datenschutzbestimmungen vor. Auch die unverschlüsselte Übertragung der personenbezogenen Daten mittels E-Mail über das Internet stellt einen schwerwiegenden Verstoß gegen Datenschutzbestimmungen dar. Ebenso stellt die unterlassene abschließende Kontrolle der E-Mail in Anbetracht der Schutzwürdigkeit der übermittelten Daten einen Verstoß gegen Datenschutzbestimmungen dar.
Die zweite Beanstandung betraf eine Stadt, die die Briefumschläge von schriftlich eingegangenen Briefwahlanträgen, auch soweit sie mit der Absenderadresse versehen waren, seit mehreren Jahren - wohl zuletzt für die Europawahl 2009 - einem Dritten überlassen. Zweck der Überlassung war das dortige Ablösen der Briefmarken von den Umschlägen, deren anschließende Veräußerung an Briefmarkensammler sowie der Verwendung des erzielten Verkaufserlöses für wohltätige Zwecke. Im Februar 2010 wurden mehrere 10.000 derartige Original-Briefumschläge von einer norddeutschen Firma potentiellen Interessenten per E-Mail zum Kauf angeboten. In dem Verkaufsangebot wurde ausdrücklich darauf hingewiesen, dass es sich bei den Adressen um Daten von Briefwählern aus einer bestimmten bayerischen Region handele.
(Brief-)Wahlscheinanträge zählen zu den Wahlunterlagen im Sinne der §§ 89, 90 Bundeswahlordnung (BWO) bzw. §§ 82, 83 Europa-Wahlordnung (EuWO). Die für die Übersendung benutzten Briefumschläge sind als "Teil des Antrags" anzusehen und ebenso zu behandeln. Demnach sind die von den Antragstellern für die Übersendung der (Brief-)Wahlscheinanträge benutzten Umschläge zu den "übrigen Wahlunterlagen" zu zählen. Wahlunterlagen sind nach § 89 Abs. 1 BWO bzw. § 82 Abs. 1 EuWO so zu verwahren, dass sie gegen Einsichtnahme durch Unbefugte geschützt sind. Die Weitergabe der Umschläge zu den eingegangenen Briefwahlanträgen mit den Adressen der Absender an Dritte stellt damit einen Verstoß gegen datenschutzrechtliche Bestimmungen dar. Die Vernichtung von übrigen Wahlunterlagen richtet sich nach § 90 Abs. 3 BWO bzw. § 83 Abs. 1 Satz 1 EuWO, d.h. diese können 60 Tage vor der Wahl vernichtet werden. Auch einer sofortigen datenschutzgerechten Vernichtung steht jedoch nichts entgegen, da diese Umschläge für Wahlzwecke nicht benötigt werden und kein Bedarf für eine weitere Aufbewahrung besteht. Spätestens nach Ablauf von sechs Monaten nach der Wahl sind die Unterlagen gemäß § 90 Abs. 2 BWO bzw. § 83 Abs. 3 EuWO zu vernichten. Die Umschläge zu den Briefwahlanträgen hätten gemäß obigen Bestimmungen und unter Berücksichtigung des Erforderlichkeitsprinzips vernichtet werden können und müssen. Die Übermittlung von personenbezogenen Daten - hier konkret die Eigenschaft Briefwähler i.V.m. mit der Wohnadresse - an Dritte bedarf in jedem Einzelfall einer Rechtsgrundlage oder der Einwilligung des Betroffenen. Im vorliegenden Fall findet sich hierfür weder eine Rechtsgrundlage in der BWO noch in der EuWO noch haben die Betroffenen ihre Einwilligung zur Weitergabe ihrer Adressdaten in Verbindung mit der Eigenschaft Briefwähler erteilt. Die unberechtigte Weitergabe der Information, dass die Adressen auf den Briefumschlägen Briefwählern zuzuordnen sind, stellt somit einen erheblichen Verstoß gegen datenschutzrechtliche Bestimmungen dar.
Wenn auch im Grunde keine böse, sondern eine lobenswerte Absicht hinter der Abgabe der Briefmarken stand, so ist jedoch die praktizierte Art nicht mit den Datenschutzvorschriften vereinbar.
Der dritte Fall betraf ein Internetportal, in dem regional bezogen nach Ärzten z.B. bestimmter Fachrichtungen gesucht werden kann. Bei einem Arzt für Psychotherapie wurden für einen Zeitraum von ca. 14 Tagen neben seinen Kontaktdaten und Sprechzeiten auch Namen seiner Patienten mit zugehörigem zugelassenem Behandlungsumfang angezeigt. Diese Daten stammten aus einer anderen spezifischen Ärztedatenbank und wurden einfach in das Internetportal kopiert. Obwohl die Arztdaten im Internetportal erst nach schriftlicher Einwilligung durch diesen zum Abruf freigeschaltet wurden, unterblieb die Überprüfung der freizuschaltenden Daten bzw. wurde nicht sorgsam genug durchgeführt. Hätte die speichernde Stelle das einschlägige Gebot der Datentrennung beachtet, wäre es nicht zur Veröffentlichung sensibelster Daten gekommen. Die Offenbarung der Patientennamen sowie die mangelhaften technisch-organisatorischen Maßnahmen zur Vermeidung eines solchen Ereignisses stellen einen schwerwiegenden Verstoß gegen Datenschutzvorschriften dar.
Nr. 8 der Anlage zu § 78 a SGB X
Werden Sozialdaten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Sozialdaten oder Kategorien von Sozialdaten geeignet sind,
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Sozialdaten getrennt verarbeitet werden können.
Erfreulich ist, dass die Nachfragen öffentlicher Stellen nach Beratung sowohl postalisch als auch per E-Mail und telefonisch auch in diesem Berichtszeitraum sehr ausgeprägt waren. Gerne komme ich diesen Wünschen nach, ist doch eine Beratung vorab allemal besser als eine Kontrolle hinterher, die dann ggf. einen größeren eigentlich vermeidbaren Änderungsaufwand nach sich zieht. Ich bitte allerdings um Verständnis, dass ich in Anbetracht meiner begrenzten Personalresourcen und der Vielzahl der Anfragen und Eingaben auf einer Vorabbewertung des behördlichen Datenschutzbeauftragten beharren muss und dass auch manche Beratungsleistungen nicht immer in der gewünschten kurzen Zeitspanne erbracht werden können.
Auf wesentliche Projekte und Anfragen gehe ich in den folgenden Abschnitten im Einzelnen ein.
2.2.2. Sparen an der falschen Stelle
Aufgrund der auch im öffentlichen Dienst immer knapper werdenden Haushaltsmittel sind die Behörden dazu angehalten, Einsparungen vorzunehmen. Dass dieses Vorhaben allerdings auch eine unerwünschte Auswirkung haben kann, zeigt folgendes Beispiel:
Als Ergebnis einer europaweiten Ausschreibung wurden die Briefdienstleistungen für die Dienststellen des Freistaates Bayern im Stadtgebiet von Nürnberg an eine Arbeitsgemeinschaft (ARGE) privater Postdienstleister vergeben.
Damit war diese Arbeitsgemeinschaft ab 01.10.2009 für die Briefdienstleistungen für alle Dienststellen des Freistaates Bayern im Stadtgebiet von Nürnberg zuständig, somit auch für die Sendungen des Landesamtes für Finanzen und des Landesamtes für Steuern, die im Rechenzentrum Nord des Landesamtes für Steuern (RZ-Nord) gedruckt und in den Versand gegeben werden.
Bereits Ende des Jahres 2009 mussten jedoch erste Probleme in der Qualität der Zustellung der Briefsendungen der beiden Landesämter festgestellt werden. So wandten sich verschiedene Petenten an meine Dienststelle und beschwerten sich darüber, dass der Datenschutz bei der Zustellung von Schreiben der beiden Landesämter nicht gewährleistet sei. Zum Teil kamen Schreiben dieser Ämter bei den Empfängern nicht an, wurden statt in den Briefkasten lediglich in die Zeitungsrolle gesteckt, waren unverschlossen oder aufgerissen.
Aufgrund dieser Vorfälle, die auch zu Beginn des Jahres 2010 nicht aufhörten, wandte ich mich mehrmals an die beiden Landesämter und forderte sie auf, entsprechende Abhilfemaßnahmen zu ergreifen.
Als Reaktion auf die aufgezeigten Mängel bei der Zustellung - viele Beschwerdeführer wandten sich auch direkt an die beiden Landesämter - wurden bei der Arbeitsgemeinschaft zunächst Bemühungen um eine nachhaltige Verbesserung der Leistungen angemahnt.
Die daraufhin von der ARGE ergriffenen Maßnahmen zeigten zunächst auch Erfolg. Doch im März 2010 traten wieder verstärkt Mängel in der Leistungserbringung auf und der ARGE wurde zur Beseitigung der Mängel eine Frist bis zum 31.05.2010 gesetzt.
Trotz vielfältiger Bemühungen auf Seiten der ARGE konnte jedoch keine nachhaltige Verbesserung der Situation erreicht werden. Aus diesem Grunde und um einen mittlerweile bereits erkennbaren Imageschaden der beiden Landesämter, des Rechenzentrums Nord und insgesamt des Freistaates Bayern entgegenzuwirken, wurde der Vertrag mit der ARGE zum 31.05.2010 gekündigt und diese lediglich noch übergangsweise mit der Postzustellung beauftragt. Zum 01.10.2010 sollte der Briefpostversand durch einen neuen Dienstleister erfolgen.
Ich hoffe, dass ab diesem Zeitpunkt der Datenschutz beim Briefpostversand der beiden Landesämter und des Rechenzentrums Nord wieder gewährleistet ist.
2.2.3. Freiberuflicher Datenschutzbeauftragter
Gemäß Art. 25 Abs. 2 BayDSG haben öffentliche Stellen in Bayern, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu bestellen. Dies stellt immer wieder insbesondere kleinere Behörden und Kommunen vor das Problem, einen geeigneten Mitarbeiter zu finden, der dieses Amt bekleiden soll. Schließlich muss der behördliche Datenschutzbeauftragte über die für seine Tätigkeit erforderliche Sach- und Fachkunde verfügen.
Einen Externen, z.B. einen Freiberufler oder einen Mitarbeiter eines privatwirtschaftlichen Unternehmens, zum behördlichen Datenschutzbeauftragten zu bestellen, scheidet aus, da nur ein Beschäftigter einer öffentlichen Stelle zu deren Datenschutzbeauftragten bestellt werden kann. Ein Freiberufler oder ein Mitarbeiter eines privatwirtschaftlichen Unternehmens ist nicht Beschäftigter einer öffentlichen Stelle und steht in keinem Arbeitsverhältnis zu dieser, sondern hat in der Regel nur einen Dienstleistungsvertrag mit einem Kunden abgeschlossen.
Die Behörden und Gemeinden sind also in jedem Fall grundsätzlich verpflichtet, einen ihrer eigenen Mitarbeiter zum Datenschutzbeauftragten zu bestellen - ergänzend wird auf die Ausführungen bezüglich eines gemeinsamen sowie externen Datenschutzbeauftragten in meinen früheren Tätigkeitsberichten verwiesen (siehe hierzu 21. Tätigkeitsbericht, Nr. 22.1.6, und 23. Tätigkeitsbericht, Nr. 25.6.1). Unbenommen bleibt aber, mit einem Externen einen Beratungsvertrag bezüglich der Gewährleistung des Datenschutzes abzuschließen.
2.2.4. Datenverlust im Krankenhaus
In Krankenhäusern gibt es immer wieder Fälle, bei denen Daten verloren gehen oder Unbefugten zur Kenntnis gelangen. Insbesondere elektronisch verarbeitete Daten sind sehr einfach zu vervielfältigen und zu übermitteln. Zudem sind in Krankenhäusern sehr viele Geräte zur elektronischen Datenverarbeitung vorhanden, so dass die Datenflusskontrolle sehr schwierig ist. Unter anderem erwiesen sich bei Überprüfungen besonders häufig technische und organisatorische Maßnahmen zur Kontrolle der Speicherorte und Schnittstellen als verbesserungsbedürftig:
Inventarisierung
PCs und andere Geräte, auf denen personenbezogene Daten gespeichert werden können, müssen inventarisiert werden. Nur so ist überhaupt feststellbar, ob Geräte abhanden gekommen sind. Zudem muss auch die Beschaffung zentral geregelt werden um sicherzustellen, dass alle Geräte auch wirklich inventarisiert werden und kein "Wildwuchs" an selbst beschafften Geräten entsteht.
Änderung der Rechnerkonfiguration
Eine eigenmächtige Änderung der Rechnerkonfiguration (z.B. Ausbau der Festplatte) muss verboten und soweit möglich technisch verhindert werden. Der Umbau von Rechnern darf nur durch festgelegte Personen erfolgen, die die ausgeführten Aktionen im Inventarverzeichnis entsprechend dokumentieren. Alternativ kann auch eine Software zur Verwaltung der Hardware-Konfiguration eingesetzt werden.
Reduzierung der Speicherorte
Nach Möglichkeit sollte Speicherplatz insbesondere auch für Forschungsdatenbanken zentralisiert im Rechenzentrum des Krankenhauses vorgehalten werden. Die entsprechenden Datenbanken und Server können dann einheitlich gewartet werden. Auf den Arbeitsplatzrechnern sollte die Speicherung personenbezogener medizinischer Daten verboten werden, da sonst nicht mehr kontrolliert werden kann, welche Daten wo abgelegt sind und wer darauf Zugriff erhalten kann.
Richtlinien für örtlich begrenzte Systeme
Neben den zentral bereitgestellten Verfahren wie Krankenhausinformationssysteme, Laborsysteme, Radiologieinformationssysteme etc. gibt es eine Vielzahl örtlich begrenzter Systeme sowohl für die Behandlung der Patienten als auch für die Forschung. Es müssen daher Richtlinien für den Betrieb örtlich begrenzter Systeme festgelegt werden, die u.a. die Einrichtung und Wartung, die Modalitäten für den Datenzugriff und die Sicherheitsmaßnahmen festlegen. Darin sollte auch eine Erforderlichkeitsprüfung bei der Einrichtung neuer Systeme enthalten sein, die vor der Beschaffung neuer Rechner durchgeführt wird, und es sollte auch die Vorgehensweise für die datenschutzrechtliche Freigabe gemäß Art. 26 BayDSG geregelt sein.
Schnittstellen, Laufwerke
USB-Sticks und CDs/DVDs sind eine einfache Möglichkeit, Daten in großen Mengen aus den Systemen des Krankenhauses abzuziehen. Die USB-Schnittstellen und Laufwerke dürfen daher nicht frei nutzbar sein. Sie müssen entweder gesperrt oder per Software kontrolliert werden. Im letzteren Fall muss konfigurierbar und prüfbar sein, wer welche Daten auf ein externes Medium gespeichert hat.
Mobile Geräte
Die Speicherung personenbezogener medizinischer Daten auf mobilen Geräten muss entweder verboten oder eine verschlüsselte Speicherung sichergestellt werden. Sie sollte nur in den wirklich erforderlichen Fällen zulässig sein. Auf privaten Geräten dürfen keinesfalls personenbezogene medizinische Daten gespeichert werden.
E-Mail-Nutzung von außerhalb des Krankenhauses
Der Zugriff auf dienstliche E-Mails von außerhalb, z.B. von zu Hause, muss möglichst restriktiv gehandhabt werden. Er sollte nur im Einzelfall nach einer strengen Prüfung der Erforderlichkeit erlaubt werden. Zudem empfiehlt sich eine Protokollierung und stichprobenartige Kontrolle derartiger Zugriffe. Die Speicherung von E-Mails mit personenbezogenen Daten auf privaten Rechnern muss technisch verhindert werden.
Entsorgung
Die Entsorgung ebenso wie die Beschaffung von Rechnern darf nur nach einem geregelten Verfahren erfolgen. Zu entsorgende Rechner und insbesondere Festplatten sollten zentral gesammelt und entsorgt werden. Eine ungeregelte Entsorgung durch die Mitarbeiter vor Ort kann dazu führen, dass die Geräte einfach weggeworfen werden. Gerade bei Speichermedien wie Festplatten muss jedoch dafür gesorgt werden, dass die Daten entweder zuvor datenschutzgerecht gelöscht werden oder der Datenträger vorab physisch zerstört wird. Erst dann darf eine Weitergabe an einen externen Dienstleister o.ä. stattfinden.
Berechtigungskonzept / Protokollierung
Über ein Berechtigungskonzept muss sichergestellt werden, dass nur die erforderlichen Datenzugriffe auch wirklich stattfinden können. Zudem sollte eine Protokollierung auch der lesenden Zugriffe sowie eine Auswertung der Protokolldaten erfolgen, um den Missbrauch von Zugriffsrechten aufdecken zu können.
Laut einem Vorstandsbeschluss der Kassenärztlichen Bundesvereinigung (KBV) wird die Online-Abrechnung für die Mitglieder der Kassenärztlichen Vereinigung Bayerns (KVB) ab 01.01.2011 Pflicht. Dies bedeutet, dass ab dem 1. Quartal 2011 keine Abrechnungsdaten mehr auf Papier, Diskette, CD etc. eingereicht werden dürfen, sondern über eine Online-Anbindung an die KVB übermittelt werden müssen.
Eine Möglichkeit hierzu ist das KV-Safenet (siehe hierzu 21. Tätigkeitsbericht, Nr. 22.2.3.1), das eine sichere Anbindung von Arztpraxen an die KVB über ein Hardware-VPN bietet. Allerdings fand KV-Safenet nicht die gewünschte starke Verbreitung
- zum einen weil für Ärzte, die nur selten auf Online-Dienste der KVB zugreifen, relativ hohe Kosten entstehen, zum anderen weil viele Ärzte in den Aufbau einer eigenen IT-Infrastruktur in den Praxen investiert haben, so dass erforderliche technische Änderungen daran abgelehnt werden.
Deshalb wurde von der KVB als Alternative KV-Ident entwickelt, das eine sichere Identifikation und Authentifizierung der Benutzer am Online-Portal der KVB bieten soll. Im Gegensatz zum KV-Safenet handelt es sich hierbei nicht um eine "Komplettlösung", die alle Aspekte einer sicheren Anbindung abdeckt, sondern um eine browserbasierte Lösung, für deren sicheren Einsatz zusätzliche Maßnahmen auf den IT-Systemen des Arztes erforderlich sind. KV-Ident ist gedacht für Wenignutzer des Online-Angebots und für Nutzer, die die Absicherung der Rechner gemäß der Vorgaben der Kassenärztlichen Bundesvereinigung zu Datenschutz und Datenverarbeitung selbst sicherstellen können. Sie eignet sich also nicht für Arztpraxen, in denen kein eigenes Know-How zur IT-Sicherheit vorhanden ist.
Zweck von KV-Ident ist es, die Benutzer am Online-Portal der KVB eindeutig zu identifizieren und sodann eine verschlüsselte Übertragung der Daten anzubieten. Der Zugriff erfolgt über den Web-Browser und die darin integrierten Verschlüsselungsmechanismen (SSL), zusätzliche Software wird nicht benötigt. Die Benutzeridentifikation und Authentifizierung erfolgt zweistufig, indem sich der Arzt zunächst mit Benutzerkennung und Passwort bei der KVB einloggt und dann noch eine PIN von einer "Grid-Karte" (Tabelle aus mehreren Spalten und Zeilen ähnlich einem Koordinatensystem, gefüllt mit Buchstaben und Ziffern) abgefragt wird. Erst dann sind die Übermittlung und der Zugriff auf medizinische Daten möglich.
Die Zugangsdaten müssen vom Arzt schriftlich beantragt werden und werden ihm in zwei getrennten Briefen zugestellt: Zunächst erhält er per Post die Benutzerkennung und ein Erstpasswort, das er beim ersten Login ändern muss, anschließend wird die Gridkarte per PostIdent-Verfahren zugestellt, um die Identität des Arztes zu bestätigen. Alle drei Jahre erhält der Arzt automatisch eine neue Grid-Karte.
In den Teilnahmebedingungen sind die Pflichten der teilnehmenden Ärzte geregelt, insbesondere zum Umgang mit den Zugangsdaten und zur Pflicht der Absicherung der eigenen Computer.
Aus Sicht des technisch-organisatorischen Datenschutzes ist die Lösung des KV-Safenet als Hardware-VPN nach wie vor vorzugswürdig. Ich habe KV-Ident jedoch unter der Voraussetzung akzeptiert, dass die Ärzte über die Unterschiede zwischen beiden Verfahren aufgeklärt werden und die Pflicht zur Absicherung der eigenen IT-Systeme deutlich gemacht wird. Es müssen Maßnahmen gemäß dem aktuellen Stand der Technik ergriffen werden, wie z.B. Firewall, Schutz gegen Schadsoftware, regelmäßige Software-Updates, bewusste Nutzung des Internet, Passwortschutz und Bildschirmsperren an den Arbeitsplätzen, um die Praxissysteme gegen Angriffe aus dem Internet zu schützen. Ist der Rechner des Arztes angreifbar, so können die Daten bereits dort, vor der Übertragung an die KVB abgegriffen werden, wodurch die weiteren Sicherheitsmaßnahmen hinfällig werden.
Auf meine Anregung hin wurde mittlerweile unabhängig von der rechtlichen Diskussion ein Datenschutzkonzept für das Verfahren TIZIAN erstellt, das auch die nach Art. 26 Abs. 3 BayDSG erforderliche Beschreibung der technisch-organisatorischen Maßnahmen beinhaltet.
Das Datenschutzkonzept orientiert sich am Vorgehen der IT-Grundschutzkataloge des BSI und betrachtet die gängigen Sicherheitsaspekte. Zudem gibt es gesonderte Konzepte zu einigen aus Datenschutzsicht interessanten Fragestellungen wie ein Berechtigungskonzept, ein Protokollierungskonzept und ein Löschkonzept, die jedoch teilweise noch nicht fertig gestellt sind. Einige der Regelungen, die nun in diesen Konzepten getroffen werden sollen, waren früher im Gesetzesentwurf für TIZIAN enthalten. Ich bedaure, dass diese konkreten Regelungen zu technisch-organisatorischen Fragen entgegen meiner Forderungen in späteren Gesetzentwürfen nicht mehr enthalten sind.
Zu den einzelnen Konzepten lässt sich grundsätzlich Folgendes feststellen:
Das Berechtigungskonzept sieht für gewisse Nutzergruppen die Möglichkeit vor, bayernweit in die Daten der Lebensmittelüberwachungsbehörden Einsicht zu nehmen. Im bisherigen Betrieb wurden diese bayernweiten Zugriffe nicht freigeschaltet, da noch einige Funktionen zur Protokollierung und Protokollauswertung nicht implementiert und mit dem Hauptpersonalrat abgestimmt waren. Aus Datenschutzsicht muss für bayernweite Zugriffe immer die Erforderlichkeit für die jeweilige Benutzergruppe geprüft werden.
Im Löschkonzept müssen möglichst konkrete Formulierungen für die Löschfristen und die Vorgehensweisen zur Löschung von personenbezogenen Daten enthalten sein. Dabei muss sichergestellt werden, dass die Daten nach Fristablauf physikalisch gelöscht und nicht nur ausgelagert oder gesperrt werden.
Im Protokollierungskonzept muss geregelt werden, welche Zugriffe protokolliert werden, wie lange die Aufbewahrungsfristen für Protokolldaten sind und wie und zu welchen Zwecken die Auswertung erfolgen darf. Eine Protokollierung der schreibenden Zugriffe ist vor allem für die Integrität der Daten und die Nachvollziehbarkeit von Änderungen erforderlich. Eine Protokollierung der lesenden Zugriffe wird insbesondere für die Kontrolle der Datenzugriffe benötigt. Nur so ist feststellbar, ob missbräuchliche Zugriffe stattgefunden haben. Gleichzeitig muss jedoch auch festgelegt werden, wie und durch wen die Protokolle ausgewertet werden. Neben einer anlassbezogenen Auswertung sollte auch eine Auswertung in Stichproben erfolgen. Auswertungen dürfen jedoch nur zur Datenschutzkontrolle vorgenommen werden, nicht jedoch zur Verhaltens- und Leistungskontrolle der Mitarbeiter.
Ich werde in diesem Projekt die Entwicklung der technisch-organisatorischen Maßnahmen sowie deren Umsetzung weiterhin begleiten und kritisch beobachten.
2.2.7. Mammographie-Screening
Übersicht
Im Berichtszeitraum habe ich die Zentrale Stelle des Mammographie-Screenings einer rechtlichen und technisch-organisatorischen Prüfung unterzogen, bei der vor allem der Umgang mit den Meldedaten und den Einladungsdaten in der Praxis geprüft werden sollte. Die grundlegenden Abläufe zum Mammographie-Screening und zum Einladungswesen wurden bereits in den Tätigkeitsberichten der vorigen Jahre beschrieben (siehe hierzu 23. Tätigkeitsbericht, Nr. 15.2).
Die Zentrale Stelle des Mammographie-Screenings befindet sich in den Räumen der Kassenärztlichen Vereinigung Bayerns (KVB), ist jedoch technisch, organisatorisch und personell von dieser getrennt. Das gesamte Mammographie-Screening, also auch die Zentrale Stelle, arbeitet mit der von der KVB entwickelten Software MammaSoft. Die Server werden von der IT-Abteilung der KVB als Auftragnehmer im Rechenzentrum der KVB betrieben, es arbeiten jedoch nur die Zentrale Stelle und die Screening-Einheiten damit. Andere Abteilungen der KVB haben keinen Zugriff.
Erzeugung der Einladungslisten
Die Zentrale Stelle erhält quartalsweise die Meldedaten der anspruchsberechtigten Frauen von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) verschlüsselt angeliefert. Dieser Auszug aus den Meldedaten wird in MammaSoft importiert. Da im Einladungswesen dauerhaft keine personenbezogenen Meldedaten gespeichert werden dürfen, werden nach dem Einlesen der Meldedaten aus diesen Pseudonyme erzeugt, der Abgleich mit den Pseudonymen der bereits vorhandenen Einladungsdaten durchgeführt und die Terminplanung für die Screening-Einheiten festgelegt. Dazu kennt die Zentrale Stelle die Kapazitäten und verfügbaren Zeiten aller Screening-Einheiten.
Aus den Terminen werden Terminlisten und Einladungslisten erzeugt, die an einen externen Druckdienstleister weitergegeben werden, mit dem ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen wurde. Zudem werden die Terminlisten und Einladungslisten für die Screening-Einheiten freigeschaltet. Bei meiner Prüfung musste ich feststellen, dass diese Listen auch nach Erledigung der Termine sowohl für die Zentrale Stelle als auch für die Screening-Einheiten noch abrufbar waren. Ich habe die Zentrale Stelle aufgefordert, dies zu ändern, was auch zugesagt wurde.
Ein Zugriff auf medizinische Daten ist für die Zentrale Stelle nicht zulässig und technisch auch nicht möglich.
Call Center
Für Rückfragen von Klientinnen, Terminverschiebungen u.ä. werden das Vermittlungs- und Beratungszentrum der KVB sowie die Gedikom GmbH (Tochterunternehmen der KVB) genutzt. Dazu haben diese Stellen einen eingeschränkten Zugriff auf MammaSoft entsprechend ihren Aufgaben. Für das Mammographie-Screening wurde eine eigene Telefonnummer eingerichtet, so dass die Anrufe von speziell für das Einladungswesen geschulten Mitarbeitern entgegengenommen werden.
KVB als Dienstleister für das Mammographie-Screening in anderen Bundesländern
Die KVB betreibt als technischer Dienstleister für einige andere Bundesländer das Mammographie-Screening. Es liegen daher auch Einladungsdaten und medizinische Daten anderer Bundesländer auf den Servern der KVB. Diese sind aber von den Daten des bayerischen Screenings sowie untereinander getrennt, so dass ein übergreifender Zugriff auf die Daten anderer Bundesländer nicht möglich ist.
Krebsregisterabgleich
Der Abgleich mit den Daten der Krebsregister, der bereits seit längerem in den Krebsfrüherkennungsrichtlinien vorgesehen ist, findet derzeit noch nicht statt, da die entsprechenden landesrechtlichen Regelungen erst im Entstehen sind (siehe hierzu Nr. 7.1).
2.2.8. RFID-Benutzerausweise in der Münchner Stadtbibliothek
Wie schon im 22. Tätigkeitsbericht, Nr. 23.4.5, angekündigt, hat die Münchner Stadtbibliothek auch die Benutzerausweise auf RFID-Technologie umgestellt. Dabei werden die Ausweise mit Chips mit Antenne versehen, die von Lesegeräten der Stadtbibliothek kontaktlos erfasst werden können. Dafür wurde jedem Benutzer eine neue Benutzernummer zugewiesen. Im Gegensatz zu den alten, barcode-basierten Ausweisen wird hierbei keine sprechende Nummer mehr verwendet.
Auf dem RFID-Chip des Benutzerausweises ist neben der 12-stelligen Benutzernummer noch ein Länderkennzeichen für den Standort der Bibliothek sowie das Siegel der Stadtbibliothek gespeichert. Personenbezogene Angaben wie Name oder Adresse sind nicht enthalten. Ich habe daher keine Einwände gegen die Umstellung des Benutzerausweises.
2.2.9. Kennzeichenbasierte Reisezeitmessung auf Autobahnen
Sowohl eine Autobahndirektion als auch eine Universität haben bei mir wegen einer Reisezeitmessung auf Basis von Kennzeichenerfassung, einer modernen Form der Verkehrszählung sowie der Verkehrsüberwachung und Verkehrssteuerung, angefragt. Diese wird sowohl zeitlich befristet für einzelne Straßenabschnitte wie z.B. Ortszufahrten verwendet, als auch zunehmend auf bayerischen Autobahnen zur dynamischen Verkehrssteuerung. Dabei sollen durch Kameras an der Autobahn die Kennzeichen der vorbeifahrenden Fahrzeuge erfasst und damit ermittelt werden, wie lange die Fahrt von einem Messpunkt zum nächsten gedauert hat. Hierzu schicken die Kameras ihre Messwerte üblicherweise an eine zentrale Datenbank, über die die Auswertung erfolgt.
Da es sich bei Kfz-Kennzeichen um ein personenbezogenes oder zumindest personenbeziehbares Datum handelt, kann ein derartiges Vorgehen nur dann zulässig sein, wenn insbesondere eine Reidentifizierung, d.h. Rückführung der gespeicherten Daten auf das Kfz-Kennzeichen und damit den Halter, faktisch unmöglich ist. Zudem darf keine Vollerfassung des Verkehrs stattfinden, d.h. die Erfassung darf sich auch nicht auf alle Fahrspuren auf allen Autobahnen Bayerns erstrecken. Es muss sichergestellt sein, dass sich ein Großteil der Verkehrsteilnehmer unerfasst auf den Autobahnen bewegen kann, um weitere Begehrlichkeiten auf die so erhobenen Daten zu vermeiden. Desweiteren ist die Bildung von langfristigen Bewegungsprofilen zu einzelnen Fahrzeugen zu verhindern, d.h. die einzelnen Fahrzeuge dürfen nicht über mehrere Tage hinweg erkennbar und mit ihren Messwerten verknüpfbar sein.
Dies bedeutet im Einzelnen für die technische Realisierung:
Da die Reidentifizierung des Fahrzeug-Halters verhindert werden muss, dürfen keine Kfz-Kennzeichen in der Datenbank zur Auswertung der Reisezeit gespeichert werden. Die Kennzeichen müssen bereits in der Messstation, also sofort nach ihrer Aufnahme, so transformiert werden, dass daraus das Kennzeichen nicht mehr erkennbar ist und auch nicht wiederhergestellt werden kann, z.B. mittels Einweg-Hash-Funktionen. Das aufgenommene Kennzeichen muss sodann sofort gelöscht werden, so dass es auch direkt in der Messstation nicht mehr ausgelesen werden kann.
Um die Möglichkeit für eine Profilbildung über einzelne Fahrzeuge auszuschließen, muss verhindert werden, dass Messwerte tagesübergreifend einem Fahrzeug zugeordnet werden können. Dies kann z.B. dadurch erreicht werden, dass die Hashwerte nicht dauerhaft in der Datenbank gespeichert werden, sondern nach Zusammenführung der Messwerte und spätestens nach einem Tag gelöscht werden. Dann sind nur noch die ermittelten Reisezeiten in der Datenbank vorhanden.
Eine andere Möglichkeit Profilbildung zu verhindern ist die Erzeugung von täglich anderen Hashwerten aus dem gleichen Kfz-Kennzeichen, z.B. durch ein Hashverfahren mit wechselnden Schlüsseln in der Kamera. So sind die Messwerte ebenfalls für maximal einen Tag einem Fahrzeug zuordenbar. Auch mehrstufige Verfahren, bei denen der Hashwert durch eine laufende Nummer ersetzt wird sind denkbar, wenn sichergestellt ist, dass einem bestimmten Kfz-Kennzeichen damit täglich eine andere Nummer zugeordnet werden würde.
Im Hinblick auf eine bayernweite oder sogar deutschlandweite Ausdehnung der Bereiche mit Reisezeitmessung müssen Maßnahmen ergriffen werden, um eine großflächige Erfassung von Bewegungsprofilen auch an einem Tag zu verhindern. Hierzu könnten beispielsweise verschiedene Regionen unterschiedliche Hashwerte erzeugen und in verschiedenen Datenbanken ausgewertet werden, zwischen denen dann keine Verknüpfung möglich ist.
Zudem müssen für die Messstationen, die Datenbank und die Datenübermittlung die üblichen technischen und organisatorischen Sicherheitsmaßnahmen nach Art. 7 BayDSG angewendet werden.
Die aufgeführten Grundvoraussetzungen gelten auch für die Reisezeitmessung auf Basis anderer Merkmale als dem Kfz-Kennzeichen, allerdings können sich hierbei noch weitere Anforderungen ergeben.
2.2.10. Projekt elektronische Fallakte (eFA) im Städtischen Klinikum München
Basierend auf der eFA-Spezifikation und den bereits im letzten Tätigkeitsbericht dargelegten Anforderungen (siehe hierzu 23. Tätigkeitsbericht, Nr. 25.5.3) wurde für das Darmkrebsprojekt des Städtischen Klinikums München eine eFA nunmehr implementiert. Das Projekt befindet sich mittlerweile im Echtbetrieb. Projektbeteiligte sind auch eine Gruppe von niedergelassenen Ärzten und einige Patienten.
Das Städtische Klinikum München tritt hierbei für die niedergelassenen Ärzte als Provider auf, bei dem alle Daten gespeichert werden, um die 24-stündige Verfügbarkeit der eingestellten Daten zu gewährleisten. Alle Daten der Fallakte werden somit im Krankenhaus gespeichert, allerdings nicht im normalen KIS, sondern in einem eigenen Systembereich. Der Zugriff auf die Daten ist nur über das eFA-Portal und die eFA-Sicherheitsmechanismen möglich.
Für die Einrichtung einer Fallakte muss der behandelnde Arzt zunächst ein Aufklärungsgespräch mit dem Patienten führen. Stimmt der Patient zu, wird eine Fallakte für eine bestimmte Diagnose eingerichtet. Für jede angelegte Fallakte wird automatisch ein Gültigkeitsdatum eingerichtet, so dass eine unbefristete Speicherung von Daten von vornherein verhindert wird. Läuft die Gültigkeitsfrist ab, wird der Arzt systemseitig angefragt, ob die Akte weiter benötigt wird. Die Frist kann dann mit Zustimmung des Patienten verlängert werden.
Bei der Anlage der Fallakte werden zudem die Benutzerberechtigungen festgelegt. Hierzu wird eine Liste von potenziell geeigneten Mitbehandlern angezeigt, aus denen der Arzt zusammen mit dem Patienten die gewünschten Personen / Einrichtungen auswählen kann. Daraus werden automatisch die entsprechenden Zugriffsberechtigungen erzeugt. Zudem wird die Einwilligungserklärung für den Patienten generiert, die automatisch die Liste der ausgewählten Mitbehandler enthält. Nach der Unterschrift des Patienten können medizinische Dokumente in der Akte abgelegt werden und die Mitbehandler erhalten automatisch eine Benachrichtigung, wenn neue Dokumente bzw. eine neue Akte vorliegen.
Damit der Patient den Kreis der Berechtigten spontan erweitern kann (z.B. für eine Zweitmeinung), steht ein Offline-Token zur Verfügung. Mit Übergabe an einen Arzt, der grundsätzlich am eFA-System teilnimmt, kann dieser auf die Fallakte zugreifen. Für die eigentliche Behandlung sollte der Offline-Token jedoch nicht benutzt werden, da der Patient sonst leicht die Übersicht über die berechtigten Personen verliert. Neu hinzugekommene Behandler müssen vielmehr mit Zustimmung des Patienten über die Berechtigungsverwaltung der eFA eingerichtet werden.
Ich begrüße, dass meine Anregungen und Anforderungen aufgegriffen und umgesetzt wurden. Insbesondere mit Blick auf die praktische Nutz- und Handhabbarkeit der Datenschutzmaßnahmen werde ich dieses Projekt auch weiterhin begleiten.
2.2.11. Elektronische Dokumentation und Abrechnung von Notarzteinsätzen ("emDoc")
Seit dem 01.01.2010 erfolgt die Notarzteinsatz-Dokumentation in Bayern (emDoc) online über ein Web-Portal der KVB. Im Rahmen der Diskussion zwischen Notärzten und der Kassenärztlichen Vereinigung Bayerns zu diesem Verfahren habe ich eine rechtliche (siehe hierzu Nr. 8.4) und eine technisch-organisatorische Bewertung vorgenommen.
Der Zugriff auf emDoc durch die Ärzte erfolgt über KV-Safenet oder KV-Ident (siehe hierzu Nr. 2.2.5). Über dieses Portal werden arzt- und patientenbezogen die Dokumentationsbögen zum jeweiligen Einsatz ausgefüllt. Der Arzt kann nach Abschluss der Dokumentation seine eigenen Fälle zu Zwecken der Qualitätssicherung auswerten. Hierzu erhält er anonymisierte Vergleichsdaten von Einsätzen anderer Ärzte.
Die Zugriffe für die anderen am Verfahren beteiligten Stellen werden über ein Berechtigungskonzept realisiert. Übergreifende Zugriffe durch den ÄLRD (ärztlichen Leiter Rettungsdienst) oder auch durch den Fachadministrator bei der KVB erfolgen in der Regel ohne Personenbezug. Der Zugriff auf die Dokumentation mit Arzt- und / oder Patientenbezug darf nur in geregelten Ausnahmefällen, z.B. bei Patientenbeschwerden, mit einer dokumentierten Begründung erfolgen.
Die Daten des Verfahrens sind auf Servern im Rechenzentrum der KVB gespeichert, wobei die Datenbank von anderen Verfahren der KVB getrennt ist. Der technische Betrieb wird von der IT-Abteilung der KVB übernommen. Um sowohl für emDoc als auch für andere Verfahren die Schutzziele der IT-Sicherheit und des technisch-organisatorischen Datenschutzes zu gewährleisten, hat die KVB einen Sicherheitsprozess etabliert, der sowohl die Zuständigkeiten für die IT-Sicherheit und den Datenschutz als auch Vorgehensweisen und Maßnahmen definiert. Sicherheitsuntersuchungen und -konzepte werden auf Basis des BSI-Grundschutzes vorgenommen. Zudem werden jährlich interne und externe Audits der verschiedenen Verfahren durchgeführt, um eine laufende Aktualisierung der implementierten Sicherheitsmaßnahmen zu erreichen.
Für emDoc wurden zwei Sicherheitsaudits durch eine externe Firma durchgeführt. Die KVB hat mitgeteilt, dass alle Mängel dieser Audits behoben wurden. Unter der Voraussetzung, dass die Sicherheit der emDoc-Anwendung auch weiterhin regelmäßig geprüft und entsprechende Aktualisierungen vorgenommen werden, bestehen derzeit keine Bedenken gegen die technische Realisierung von emDoc.
Weitere Voraussetzung für die Sicherheit ist neben den Sicherheitsmaßnahmen auf Seiten der KVB jedoch insbesondere bei der Nutzung von KV-Ident, dass der Zugriff auf emDoc immer in einer geschützten Einsatzumgebung wie z.B. einer Arztpraxis oder einem Krankenhaus erfolgt, wo ein hinreichender IT-Sicherheitsstandard gegeben ist und auch nur ein kontrollierter Zugriff auf das Internet stattfindet. Die Nutzung von PCs im Internet-Café oder von heimischen Privat-PCs, die von verschiedenen Personen zu privaten Zwecken genutzt werden, ist nicht akzeptabel, da hier das Risiko von Schadsoftware etc. besteht.
2.2.12. Fingerabdruckscanner als Zugangskontrollsysteme
Durch einen Presseartikel wurde mir bekannt, dass in einer bayerischen Grundschule ein Fingerabdruckscanner zur Zugangskontrolle eingesetzt werden sollte. Ziel des Systems war, außerhalb der normalen Unterrichtszeiten einen Zugang zum verschlossenen Schulgebäude etwa für Musikschüler zu ermöglichen.
Grundsätzlich kann ein solches System die Sicherheit erhöhen, allerdings wird es in der Regel nur innerhalb eines Gesamtsicherheitskonzeptes für gefährdete Bereiche eingebunden. Die erfassten biometrischen Daten sind dann mit technischen Maßnahmen so zu sichern, dass ein unbefugter Zugriff darauf wirksam unterbunden wird. Die Erstellung eines IT-Sicherheits- und Berechtigungskonzepts ist dafür eine notwendige Maßnahme.
Vor dem Einsatz solcher Systeme ist sehr genau abzuwägen, ob der potentielle Sicherheitsgewinn die Erfassung von biometrischen, personenbezogenen Daten rechtfertigt. Im vorliegenden Fall war dies wohl nicht zutreffend, zumal es sich überwiegend um die biometrischen Daten von Kindern und Jugendlichen handelte und eine Grundschule im Allgemeinen nicht als besonders gefährdeter Bereich betrachtet werden kann. Hinzu kam, dass die Grundschule angeblich auch über nicht gesicherte Zugänge betreten werden konnte.
Auf Grund der Proteste vieler Eltern und der Öffentlichkeit sowie meiner Nachfrage wurde das System nach kurzer Zeit wieder entfernt. Es wurde zugesichert, dass alle bis zu diesem Zeitpunkt erfassten Daten wieder gelöscht wurden.
2.2.13. Auftragsdatenverarbeitung im Bereich Personalverwaltung
Ein Outsourcing im Bereich der Personalverwaltung kann unter bestimmten Voraussetzungen als Auftragsdatenverarbeitung zu werten sein. Allerdings können insoweit jedenfalls nicht ganze Teilbereiche der Personaldatenverarbeitung ausgegliedert werden. Werden die Voraussetzungen beachtet, ist eine solche Auftragsdatenverarbeitung nicht generell ausgeschlossen, selbst wenn hiervon Personalaktendaten (§ 50 Satz 2 Beamtenstatusgesetz) betroffen sind. Wünschenswert ist dies allerdings auch im Hinblick auf die besondere Schutzwürdigkeit von Personalaktendaten nicht. Daher empfehle ich vor jedem Vertragsabschluss gründlich zu prüfen, ob eine derartige Auftragsdatenverarbeitung im Einzelfall wirklich erforderlich und angemessen ist.
Wird an dem Outsourcing festgehalten, bleibt der Auftraggeber für die Einhaltung der Vorschriften des Bayerischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Somit sind auch die Vorschriften des Art. 6 BayDSG zu beachten. Die im zweiten Abschnitt des Bayerischen Datenschutzgesetzes genannten Rechte, zum Beispiel das Auskunftsrecht des Betroffenen, sind dem Auftraggeber gegenüber geltend zu machen (Art. 6 Abs. 1 BayDSG). Nach Art. 6 Abs. 2 BayDSG ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.
Darüber hinaus muss auch bei einer Auftragsdatenverarbeitung gewährleistet sein, dass die personaldatenschutzrechtlichen Vorgaben der Art. 102 ff. Bayerisches Beamtengesetz (BayBG) eingehalten sind. Dies betrifft vor allem die Regelung über den Zugang zu Personalaktendaten in Art. 103 BayBG. Danach dürfen Zugang zu Personalaktendaten nur Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind, und nur soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist.
Es ist deshalb insbesondere sicherzustellen, dass eine Kenntnisnahme und ein Zugriff auf die Personaldaten durch die Mitarbeiter des Auftragnehmers im Hinblick auf die schutzwürdigen Belange der Betroffenen durch Verschlüsselung ausgeschlossen sind. Selbstverständlich muss auch jede Datenübertragung personenbezogener Daten zum bzw. vom Auftragnehmer verschlüsselt erfolgen.
Die von meiner Geschäftsstelle bezüglich einer Auftragsdatenverarbeitung im Bereich der Personalverwaltung beratenen Stellen haben aufgrund dieser Rahmenbedingungen zum Großteil von einem entsprechenden Outsourcing-Vorhaben wieder Abstand genommen.
2.2.14. Einsatz eines elektronischen Türöffnungssystems
Werden bei einen elektronischen Türöffnungssystem personifizierte Tags (dabei handelt es sich um Meta- oder Zusatzinformationen, die einer Datei angefügt werden) verwendet, handelt es sich um eine automatisierte Verarbeitung personenbezogener Daten im Sinne des Bayerisches Datenschutzgesetzes (BayDSG), bei der zumindest personenbeziehbare Daten erhoben und verarbeitet werden. Damit kann festgestellt werden, wer hat wann welchen Türöffnungsmechanismus betätigt. Ob diese Daten dann auch tatsächlich entsprechend genutzt werden (z.B. zur Erstellung von Persönlichkeitsprofilen) oder nur genutzt werden können, ist für die weitere Betrachtung ohne Belang.
Da diese Daten im Regelfall - auch bei einer relativ kurzen Speicherdauer - nicht in so genannten Zwischen- oder Hilfsdateien im Sinne des Art. 4 Abs. 3 BayDSG gespeichert werden, ist das Bayerische Datenschutzgesetz voll anwendbar. Somit ist für dieses Verfahren auch eine datenschutzrechtliche Freigabe gemäß Art. 26 Abs. 1 Satz 1 BayDSG durch die die Daten erhebende Stelle erforderlich.
Für die Überwachung der Einhaltung des Datenschutzes beim Einsatz des elektronischen Türöffnungssystems ist der Datenschutzbeauftragte der dieses System einsetzenden öffentlichen Stelle zuständig.
2.2.15. Übermittlung gaststättenrechtlicher Gestattungen per E-Mail an die örtliche Polizeidienststelle
Bezüglich der häufig von der örtlichen Polizeidienststelle gewünschten Übertragung aller gaststättenrechtlicher Gestattungen sowie aller Veranstaltungsanzeigen durch die Kommune per E-Mail ist aus datenschutzrechtlicher Sicht Folgendes anzumerken:
- Vor dem Hintergrund des zunehmenden Alkoholmissbrauchs hat das Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie mit Rundschreiben vom 16.05.2007 die Bezirksregierungen darauf hingewiesen, dass die Polizei bereits beim Gestattungsantrag zu beteiligen bzw. zu informieren ist.
- Eine rechtliche Beteiligungspflicht wurde in die Gewerbeverordnung aufgenommen (§ 1 Abs. 3 Satz 3 GewV).
- Gemäß § 1 Abs. 7 der Gaststättenverordnung stehen die Überwachungsbefugnisse nach § 22 des Gaststättengesetzes im Zusammenhang mit der Sperrzeit auch den Polizeiinspektionen zu.
Somit ist eine Weitergabe entsprechender Genehmigungen und Anzeigen - auch wenn sie personenbezogene Daten beinhalten - an die örtliche Polizeiinspektion im Grundsatz möglich. Allerdings müssen auch in diesem Falle entsprechende technische und organisatorische Maßnahmen getroffen werden, die erforderlich sind um die Datensicherheit gemäß Art. 7 BayDSG zu gewährleisten. Dies bedeutet, dass bei einer elektronischen Datenübermittlung über das Internet, also per E-Mail, insbesondere die Vertraulichkeit der Daten gewährleistet sein muss, die nur durch eine Verschlüsselung der Daten erreichbar ist. Werden die zu übermittelnden Dokumente als E-Mail-Anhang versandt, so genügt es, wenn nur diese verschlüsselt werden - sofern im E-Mail-Text selbst keine personenbezogenen Daten enthalten sind.
2.2.16. Betrieb eines Internetcafes
Einige Gemeinden und andere öffentliche Stellen (z.B. Jugendzentren) möchten ihren Bürgern (insbesondere Jugendlichen) die Möglichkeit geben, von zentraler Stelle aus im Internet zu surfen. Zu diesem Zweck planen sie, sogenannte Internet-Cafes einrichten. Da sie sich aber darüber unschlüssig sind, welche datenschutzrechtlichen Anforderungen an ein derartiges Internet-Cafe bestehen, wenden sie sich häufig zwecks diesbezüglicher Beratung an mich und meine Dienststelle. Zu dem Vorhaben ist Folgendes zu sagen:
Betreibt eine öffentliche Stelle ein Internetcafé, hat es die dabei geltenden datenschutzrechtlichen, jugendschutzrechtlichen und strafrechtlichen Vorschriften zu beachten. Dabei ist es unerheblich, ob die Nutzung des bereitgestellten Internetzuganges unentgeltlich oder gegen eine Gebühr erfolgt.
Der Betreiber des Internetcafes wird als so genannter Access-Provider zum Diensteanbieter im Sinne des § 2 Nr. 1 Telemediengesetz (TMG), da er den Zugang zur Nutzung von Telemedien vermittelt. Für die fremden Inhalte (auf den von den Nutzern aufgesuchten Web-Seiten), zu denen der Zugang vermittelt wird, ist ein Access-Provider sowohl gemäß Telemediengesetz als auch gemäß Telekommunikationsgesetz (TKG) in der Regel nicht verantwortlich.
Diensteanbieter sind in der Regel auch nicht verpflichtet, die von ihnen übermittelten oder auf den PCs der Nutzer gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Dies bedeutet, dass der Betreiber als diejenige Stelle, die das Abrufen von Internetangeboten ermöglicht, in der Regel nicht für die Tätigkeiten haftet, die der Nutzer ausführt (z.B. Aufsuchen von Seiten mit pornografischen oder extremistischen Inhalten, Herunterladen von Dateien mit pornografischen oder sonstigen jugendgefährdenden Inhalten), außer der Betreiber hat Kenntnis von den entsprechenden Vorgängen und unternimmt nichts dagegen. In diesem Falle haftet der Betreiber für diese Tätigkeiten mit.
Ein Diensteanbieter darf eventuell gespeicherte Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus nur verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Somit müssen personenbezogene Daten, die während der Internetnutzung im Rahmen von systemseitigen Protokollierungen entstehen, spätestens nach Ende der jeweiligen Sitzung gelöscht werden - soweit es sich nicht um Abrechnungsdaten handelt.
Protokollierungen bezüglich der Einhaltung der jugendschutz- und strafrechtlichen Bedingungen sind nur mit Einwilligung der Betroffenen zulässig. Daher sollte in diesem Fall von jedem Internet-Nutzer eine schriftliche Einwilligungserklärung eingeholt werden, die die entsprechenden Nutzungskontrollen erlaubt. In dieser Einwilligungserklärung sind die Formen der Kontrollen ausdrücklich festzulegen. Bei Minderjährigen ist diese Einwilligungserklärung von den Erziehungsberechtigten zu unterschreiben.
Als Fazit ergibt sich, dass der Betrieb eines Internetcafés durch öffentliche Stellen zwar möglich, aber mit zahlreichen Einschränkungen verbunden ist. So ist vor allem zu beachten, dass bei der Nutzung des Internets durch Minderjährige eine visuelle Überwachungspflicht besteht.
2.2.17. Zusammenlegung der EDV-Administration einer Gemeinde und eines Kurbetriebs
In den beiden letzten Jahren haben sich mehrere bayerische Marktgemeinden mit der Frage an mich gewandt, ob gegen eine Zusammenlegung der EDV-Verwaltung ihrer Kommune mit dem örtlichen Kurbetrieb datenschutzrechtliche Bedenken bestehen würden. Ich habe ihnen dazu folgende Auskunft gegeben:
Gegen eine gemeinsame Administration der IT-Anwendungen und -Geräte einer Kommune und ihrer Kurbetriebe ist aus datenschutzrechtlicher Sicht grundsätzlich nichts einzuwenden. Allerdings muss gewährleistet sein, dass alle (wesentlichen) Aktivitäten nicht nur der IT-Benutzer, sondern auch der Systemverwaltung protokolliert werden. Diese Aufzeichnung liegt auch im Interesse einer "ehrlichen" Systemverwaltung, da sie aufgrund der Aufzeichnungen gegebenenfalls nachweisen kann, dass sie nicht verbotenerweise auf Daten zugegriffen, diese gelöscht oder verändert hat, was ihr aufgrund ihrer umfangreichen Zugriffsmöglichkeiten jederzeit möglich wäre. Dazu muss es auch möglich sein, alle Protokollierungen gegen Manipulation (wie Unterdrückung von Nachrichten) und nachträgliche Änderungen (z.B. Löschung von Einträgen) zu schützen.
Diese Protokolle müssen zwar über einen längeren Zeitraum (etwa ein halbes Jahr) aufbewahrt werden, um Verfehlungen gezielt nachgehen zu können. Diese Protokolle brauchen jedoch nicht online verfügbar zu sein - es genügt, diese auf maschinenlesbaren Datenträgern (z.B. Festplatte, Magnetband, DVD, CD, Streamer Tape) aufzubewahren. Nach Ablauf der vorgegebenen Aufbewahrungsdauer, sind alle Protokolldaten
- sofern sie nicht zu anderen Zwecken noch benötigt werden - datenschutzgerecht zu entsorgen.
Die regelmäßige Auswertung der Protokolle stellt eine zusätzliche Arbeitsbelastung für die damit beauftragten Personen dar, ist aber unvermeidbar. Sinn dieser Auswertung ist, Zugriffsverletzungen (Fehlverhalten, Eindring- und Missbrauchsversuche) aufzudecken und Sanktionen ergreifen zu können.
Bei der Auswertung dieser Protokolle muss das Vier-Augen-Prinzip gewährleistet sein, d.h. ein Zugriff auf die Protokolldaten und deren Auswertung darf erst nach gemeinsamer Anmeldung eines Systemverwalters und des behördlichen Datenschutzbeauftragten bzw. eines Mitglieds der Personalvertretung möglich sein. Auch diese Maßnahme soll kein generelles Misstrauen gegenüber der IT-Abteilung bezeugen, sondern in erster Linie dazu dienen, dass sich die Personalvertretung - soweit sie es möchte - davon überzeugen kann, dass die Protokolldaten ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung und zur Sicherstellung eines ordnungsgemäßen Betriebes und nicht für Zwecke der Verhaltens- und Leistungskontrolle verwendet werden. Deshalb müssen die aufgezeichneten Protokolldaten und ihre Auswertung auch für Außenstehende und nicht nur für DV-Fachleute hinreichend aussagekräftig sein.
Falls durch die Zusammenlegung der beiden DV-Abteilungen von Kommune und Kurbetrieb irgendwelche Begehrlichkeiten bezüglich einer erweiterten Zugriffsmöglichkeit der Sachbearbeiter (z.B. Zugriff auf die jeweils anderen Datenbestände) geweckt werden sollten, weise ich die Auskunft suchenden Stellen immer darauf hin, dass auch nach einer erfolgten Zusammenlegung der Grundsatz gilt, dass jeder IT-Berechtigte nur auf die Daten zugreifen darf, die er zur Erfüllung seiner Aufgaben benötigt. Dies schließt im Regelfall eine Zugriffserweiterung aufgrund der Zusammenlegung der IT-Administration aus. Im Übrigen sind im Rahmen der Zugriffsrechtevergabe auch weiterhin einschlägige bereichsspezifische Vorschriften zu beachten. So unterliegen z.B. die besonderen Meldescheine für Beherbungsstätten (Art. 23 und 24 MeldeG) den Nutzungsbeschränkungen nach Art. 26 MeldeG. Der jeweilige behördliche Datenschutzbeauftragte muss natürlich bei der revisionsfähigen Benutzerrechtevergabe beteiligt werden.
2.3. Technische Einzelprobleme
2.3.1. Der Elektronische Personalausweis
Der neue Personalausweis (nPA), der seit dem 01.11.2010 ausgegeben wird, unterscheidet sich sowohl in den äußeren Abmessungen als auch den möglichen Anwendungsgebieten deutlich vom bisherigen Personalausweis. Da dies auch erhebliche Auswirkungen auf die EDV-Verfahren in den ausgebenden Stellen hat, habe ich im Rahmen des Feldtests zur Einführung des nPA mehrere Passämter geprüft.
Der nPA weicht vom alten ID-2 Format (entspricht DIN-A7) ab und hat nun die Größe einer Kredit- bzw. EC-Karte (ID-1 nach ISO/IEC 7810). Im Gegensatz zu den im Zahlungsverkehr üblichen Karten enthält er keinen Magnetstreifen und keinen kontaktbehafteten Chip, sondern einen kontaktlosen Chip mit Antenne - einen sogenannten RFID (Radio-Frequency Identification) Chip, wie er auch bereits im elektronischen Reisepass verwendet wird.
Zusätzlich zur optischen Identifizierung durch Abgleich von Foto und Unterschrift kann der Nachweis der Identität nun auch vollständig elektronisch erfolgen, so dass neue Anwendungsgebiete etwa im elektronischen Warenverkehr z.B. über das Internet möglich werden. Außerdem kann optional eine qualifizierte elektronische Signatur nach dem Signaturgesetz geladen und verwendet werden.
Gespeicherte Daten
Sichtbar auf dem nPA aufgebracht sind neben der Seriennummer und Zugangsnummer das Lichtbild und die Unterschrift des Ausweisinhabers, Name, Vornamen und ggf. Geburtsname, Doktorgrad, Tag und Ort der Geburt, Größe, Augenfarbe, gegenwärtige Anschrift und die Staatsangehörigkeit. Gegenüber dem vorher ausgegebenen Ausweis ist der Ordens-/Künstlername wieder hinzugekommen, nachdem er 2007 entfernt worden war.
Der Umfang der Daten der aufgedruckten maschinenlesbaren Zeile hat sich gegenüber dem alten Ausweisformat nicht geändert. Neben Seriennummer und Prüfziffern enthält diese Name und Vorname, Tag der Geburt sowie Gültigkeitsdauer des Personalausweises.
Der RFID-Chip kann zusätzlich zu den vorgenannten Daten, genau wie der elektronische Reisepass auch, zwei Fingerabdrücke speichern. Diese Speicherung ist aber freiwillig, so dass bei der Beantragung eines neuen Personalausweises der Bürger selbst entscheiden kann, ob seine Fingerabdrücke aufgenommen werden oder nicht. Aus Sicht des Datenschutzes ist diese Wahlfreiheit begrüßenswert.
Im Gegensatz zum Reisepass besteht die Möglichkeit, Daten auf dem Chip zu aktualisieren, so dass etwa bei einem Umzug zusätzlich zum Überkleben der rückseitig aufgedruckten Anschrift auch die digital gespeicherte Anschrift aktualisiert werden kann.
Elektronischer Identitätsnachweis (eID)
Zusätzlich zu diesen klassischen Funktionen eines Personalausweises kann der Chip auch als elektronischer Identitätsnachweis (eID) verwendet werden. Der Ausweisinhaber kann sich beispielsweise mit Hilfe des nPA und eines geeigneten Lesegerätes im Internet gegenüber einer autorisierten Anwendung ausweisen. Ebenso wie die Speicherung der Fingerabdrücke ist die Aktivierung und Verwendung der eID freiwillig. Sie kann auch nachträglich aktiviert oder deaktiviert werden.
Zugriffsschutz
Der nPA soll nicht unbemerkt ausgelesen werden können (etwa im Vorbeigehen). Jeder Abruf von Daten benötigt neben einem Berechtigungszertifikat auch eine PIN, die bei jedem Auslesen eingegeben werden muss. Der Zugriffsschutz unterscheidet zwischen hoheitlichen Funktionen sowie eID- und Signaturfunktionen.
Bei einer hoheitlichen Funktion, also etwa wenn der nPA bei einer Personenkontrolle geprüft wird, muss das Lesegerät mit einem gültigen, hoheitlichen elektronischen Zertifikat ausgestattet sein, um auf die gespeicherten Ausweisdaten zugreifen zu können. Zusätzlich muss die auf dem Ausweis aufgedruckte Zugriffsnummer eingegeben oder automatisch eingelesen werden. Erst danach kann auf die biometrischen und identifizierenden Daten des nPA zugegriffen werden. Ein Zugriff auf die eID- und Signaturfunktionen ist jedoch auch mit einem hoheitlichen Zertifikat nicht möglich. Die aufgedruckte Zugriffsnummer soll verhindern, dass der nPA "im Vorbeigehen" automatisch ausgelesen wird, da in diesem Fall die Zugriffsnummer nicht bekannt wäre und ein Verbindungsaufbau somit unmöglich ist.
Jede Anwendung, die den nPA zur elektronischen Identifizierung (eID-Funktion) verwenden möchte, benötigt ein Zertifikat des Bundesverwaltungsamts. Über dieses wird für jede Anwendung festgelegt, welche Daten sie vom nPA auslesen darf und kann. Der Chip verhindert ein unberechtigtes Auslesen, so dass beispielsweise bei einer reinen Altersverifikation das Auslesen der Anschrift unmöglich ist.
Um die eID nutzen zu können, benötigt der Inhaber eine PIN, die er bei oder vor der Ausgabe des nPA erhält. Bei jeder Identitätsfeststellung muss diese PIN vom Inhaber eingegeben werden. Die eID ist eine komplexe Funktion, die eine Vielzahl von Möglichkeiten bietet, bestimmte Daten einer Anwendung zur Verfügung zu stellen. Es ist auch möglich, Pseudonyme zu bilden, so dass zwei unterschiedliche Anwendungen, bei denen sich der nPA identifiziert hat, nicht erkennen können, dass es sich um die gleiche Person handelt. Ein Zugriff auf das Foto, die Unterschrift oder die Fingerabdrücke ist über die Zertifikate für die eID generell nicht möglich.
Sicherheit des Gesamtsystems
Auch wenn aus Sicht des Datenschutzes die Verwendung von RFID-Chips grundsätzlich bedenklich ist, so wurde für den nPA eine Vielzahl von Sicherheitsmaßnahmen entwickelt, die für den Chip eine ausreichende Sicherheit gewährleisten können sollten. Auch wenn der nPA an sich nicht in meinen originären Aufgabenbereich fällt, so habe ich die Entwicklung im Rahmen des Arbeitskreises Technische und organisatorische Datenschutzfragen der Datenschutzbeauftragten des Bundes und der Länder der Datenschutzkonferenz und in Treffen mit dem Bundesministerium des Inneren mit begleitet.
Die Sicherheit des Ausweises allein reicht aber nicht aus, um den Datenschutz zu gewährleisten. Aus meiner Sicht sind auch die Systeme, die auf den Ausweis elektronisch zugreifen und die Daten weiterverarbeiten, kritisch zu sehen.
Bei der Verwendung der eID Funktion ist dies in der Regel der PC des Nutzers mit angeschlossenem Lesegerät, der den bekannten Angriffsszenarien wie Viren und Spyware ausgesetzt ist. Ein sicherer PC ist Grundvoraussetzung für einen sicheren Einsatz der eID Funktion über das Internet.
Darüber hinaus muss sichergestellt werden, dass personenbezogene Daten, die mit eID-Zertifikaten ausgelesen wurden, auch nur zweckgebunden genutzt und nicht etwa unberechtigt an Dritte weitergeben werden. Die Kontrolle darüber obliegt dem Bundesverwaltungsamt als ausgebender Stelle für die Berechtigungszertifikate und den jeweils zuständigen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich.
Bei der Beantragung, Änderung und Sperrung der Ausweise müssen alle gesetzlichen Vorgaben beachtet werden. Deshalb habe ich den in einigen Städten und Gemeinden vorab durchgeführten Feldversuch mit mehreren Prüfungen begleitet. Das Hauptaugenmerk lag hier auf den in den Behörden eingesetzten Software- und Hardwarekomponenten. Speziell bei der Verarbeitung und Speicherung der biometrischen Daten ist sicherzustellen, dass diese nur innerhalb der erlaubten Fristen außerhalb des Ausweises gespeichert werden. Spätestens nach der Aushändigung des Ausweises sind die Fingerabdrücke zu löschen.
Bei der Prüfung der bisher verwendeten Software für den elektronischen Reisepass hatten wir bereits festgestellt, dass bei einigen Softwareprodukten die Fingerabdrücke etwa auf Sicherungsbändern länger gespeichert blieben, als erlaubt (siehe hierzu 23. Tätigkeitsbericht, Nr. 25.4.8). Deshalb habe ich bei den Prüfungen der Feldtestinstallationen die Softwarehersteller darauf hingewiesen, dass mit der Einführung des nPA die biometrischen Fingerabdruckdaten von der regulär stattfindenden sonstigen Datensicherung ausgenommen werden müssen. Dies wurde zugesichert und ich werde in nächster Zeit stichprobenartig Nachprüfungen vornehmen.
Besonders wichtig ist aus meiner Sicht auch, dass das Personal in den ausgebenden Stellen die Antragssteller auf die neuen Funktionen des nPA und die Möglichkeit, Fingerabdrücke nicht abzugeben und die eID ausschalten zu lassen, ausführlich und verständlich hinweist. Den Antragsstellern muss klar mitgeteilt werden, dass die eID-Funktion nicht für die hoheitliche Verwendung des Ausweises als Identifizierungsmerkmal benötigt wird und dass sie keinerlei Nachteile zu befürchten haben, wenn sie der Speicherung der Fingerabdrücke nicht zustimmen. Auch dies werde ich in Zukunft in meine Prüfungen mit einbeziehen.
Aus meiner Sicht bedenklich sind die bei den Ausweisbehörden eingesetzten Lese- und Schreibgeräte - zumindest bei den von mir geprüften Behörden. Zum einen war bei einer Änderung der PIN durch den Antragsteller nicht sichergestellt, dass Dritte die Eingabe nicht beobachten können, da kein Sichtschutz der Eingabe wie etwa bei EC-Automaten vorhanden ist. Alle Daten, die auf dem nPA Chip gespeichert sind, können nur am Sachbearbeiterbildschirm angezeigt werden. Ein Standalone-Leserät, das wie beim elektronischen Reisepass sicherstellt, dass die im Chip gespeicherten Daten angezeigt werden können, ist für den nPA nicht vorgesehen. Auch haben Ausweisinhaber und ausstellende Behörde keine Möglichkeit, die Korrektheit der gespeicherten Fingerabdrücke zu prüfen. Sollten durch ein Versehen oder einen Softwarefehler falsche Fingerabdruckdaten auf den Chip gelangen, so wird dies unter Umständen erst Jahre später
- etwa bei einer polizeilichen Kontrolle - auffallen. Bei diesen Lese- und Schreibgeräten besteht meiner Meinung nach erheblicher Nachbesserungsbedarf.
2.3.2. Deutschland Online KFZ - Kfz-Zulassung über das Internet
Deutschland Online ist die nationale E-Government-Strategie von Bund, Ländern und Kommunen für eine moderne öffentliche Verwaltung. Ein Projektbereich dieser Initiative ist der Bereich Kfz-Wesen, da dies einer der häufigsten Fälle ist, bei denen die Bürger mit Behörden im direkten Kontakt stehen. Zukünftig sollen die mit einer Fahrzeugregistrierung verbundenen Abläufe (z.B. An-, Um-, Abmeldung) möglichst durchgängig elektronisch abgewickelt werden können.
Viele Landratsämter und Städte in Bayern bieten bereits heute die Möglichkeit, Wunschkennzeichen über das Internet zu reservieren. Bei einigen Zulassungsstellen können zudem bereits vorab alle zur An-, Um- oder Abmeldung benötigten Angaben über das Internet erfasst und an die Zulassungsstelle geschickt werden. Zudem kann ein Termin vereinbart werden, an dem dann die restlichen erforderlichen Schritte durchgeführt werden. Eine vollständig elektronische Beantragung ist allerdings erst möglich, wenn der Bürger ein elektronisches Ausweisdokument besitzt, mit dem er sich im Internet eindeutig ausweisen und rechtskräftig elektronisch unterschreiben kann. Dies soll zukünftig durch den elektronischen Personalausweis (siehe hierzu Nr. 2.3.1) ermöglicht werden. Für eine vollständig elektronische Abwicklung der Vorgänge müssen zudem alle benötigten Dokumente in rechtsgültiger elektronischer Form vorliegen. Die Nummernschilder können dem Bürger durch einen Hol- und Bringdienst übergeben werden, so dass der Behördengang für ihn völlig entfällt. Elektronische Nummernschilder o.ä., so dass auch dieser Medienbruch entfällt, werden allerdings wohl erst in ferner Zukunft realisierbar sein.
Wenn auf den Webseiten von Gemeinden und Landratsämtern nicht nur Informationen, sondern auch E-Government-Anwendungen angeboten werden, dann steigt auch der technische Aufwand, der betrieben werden muss, um die Webseite und Abläufe gegen unbefugte Kenntnisnahme, Manipulation, Datenverlust etc. zu schützen. Für eine vollständige Online-Zulassung werden umfangreiche und sensible Daten zum Fahrzeug und zum Bürger benötigt, wie z.B. Name, Adresse, Fahrzeugtyp, Bankverbindung, Angaben zur Versicherung.
Da die Dienste für den Bürger über das Internet erreichbar sein sollen, müssen IT-Systeme, die bisher ohne Verbindung zum Internet betrieben wurden, an das Internet angebunden werden. Hierzu müssen Schutzmaßnahmen nach dem Stand der Technik ergriffen werden, wie Firewall, Intrusion Detection / Prevention Systems, Virenscanner etc, um gegen die Bandbreite der aktuell verfügbaren Angriffe geschützt zu sein. Zudem muss sich der Server, bei dem der Bürger seine Daten eingeben soll, durch ein Zertifikat ausweisen. Der Bürger muss sicher sein, dass er seine Daten auch wirklich beim Server der Behörde eingibt.
Des Weiteren ist zwingend eine verschlüsselte Verbindung erforderlich, da ansonsten die sensiblen Daten des Bürgers ungeschützt über das Internet übertragen werden. Diese Verbindung sollte so ausgestaltet werden, dass der Benutzer selbst überprüfen kann, ob tatsächlich eine verschlüsselte Verbindung besteht, z.B. über die Funktionen aktueller Browser.
Damit auch die Behörde sicher sein kann, dass sie mit dem richtigen Bürger kommuniziert, muss ein sicheres Verfahren zur Identifikation und Authentifikation des Benutzers vorhanden sein. Dies wird in Zukunft wahrscheinlich vor allem der elektronische Personalausweis sein.
Zudem muss der Bürger sich darüber im Klaren sein, dass wie beispielsweise beim Online-Banking auch, seine Daten nur geschützt sind, wenn er selbst seinen PC gegen Angriffe wie Trojaner, Keylogger etc. schützt. Sind die eingegebenen Daten bereits am lokalen PC abgreifbar, bieten die Schutzmaßnahmen der Behörde keine Sicherheit. Deswegen sollte die Nutzung des elektronischen Angebots nicht verpflichtend werden, sondern immer als Alternative auch der Weg zur Zulassungsstelle möglich sein.
2.3.3. Intelligente Stromzähler - Smart Meter
Auch wenn das Thema Smart Meter vorwiegend in den Zuständigkeitsbereich der Aufsichtsbehörden für den nicht-öffentlichen Bereich fällt, hat sich der Arbeitskreis Technische und organisatorische Datenschutzfragen der Datenschutzbeauftragten des Bundes und der Länder in Zusammenarbeit mit dem Düsseldorfer Kreis als Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich mit diesem Thema beschäftigt. Das Thema fällt nur dann in meinen Zuständigkeitsbereich, wenn kommunale Versorgungswerke, die insbesondere Aufgaben der Daseinsvorsorge wahrnehmen, Smart Meter einsetzen.
Seit Januar 2010 sind Energieversorgungsunternehmen nach dem Energiewirtschaftsgesetz (EnWG) verpflichtet, ihren Kunden Messeinrichtungen anzubieten, die den tatsächlichen Energieverbrauch und die tatsächliche Nutzungszeit widerspiegeln. Für Neubauten ist der Einbau derartiger "Intelligenter Stromzähler" oder "Smart Meter" verpflichtend.
Gegenüber den bisherigen Stromzählern soll bei der neuen Generation zusätzlich zum aktuellen und zum Gesamtverbrauch seit Herstellung des Zählers auch etwa der Verbrauch der letzten 24 Stunden, der letzten Woche und des letzten Monats angezeigt werden. Es ist aber auch denkbar, den Verbrauch in sehr kurzen Zeitabständen (im Minutenbereich) zu messen und diesen dann unmittelbar elektronisch an das Versorgungsunternehmen zu übermitteln.
Grundsätzlich sind derartige Verbrauchswerte von privat genutzten Immobilien personenbezogene Daten, da sie unter Umständen Rückschlüsse über die Lebensgewohnheiten der dort wohnenden Personen ermöglichen - etwa ob die Bewohner im Urlaub sind oder wann sie morgens das Haus verlassen. Ein Rückschluss darauf, welches Gerät jeweils eingeschaltet ist, ist dabei jedoch nicht möglich.
Aus technisch-organisatorischer Sicht des Datenschutzes ist es wichtig, dass kein unbefugter Dritter auf diese Verbrauchswerte zugreifen kann, etwa in dem er die Daten fremder Zähler in einem Gemeinschaftszählerraum eines Mietshauses ausliest. Hierfür sind vom Betreiber der Zähler geeignete Maßnahmen zu treffen, um die Verbrauchsdaten gegen unbefugtes Auslesen ausreichend zu schützen.
Auch bei intelligenten Stromzählern ist das Prinzip der Datenvermeidung und Datensparsamkeit zu beachten. Der Kunde muss weiterhin die Hoheit über seine Daten haben und die Verarbeitung dieser muss für ihn so transparent wie möglich sein. Ablesezeitpunkte, Ableseintervalle und Übertragungswege müssen daher mit ihm vertraglich vereinbart werden.
Sollen weitere als die abrechnungsrelevanten Daten an den Energieversorger übermittelt werden, so erfordert dies das Einverständnis der Betroffenen.
Soll zusätzlich oder anstatt der optischen Ablesung eine elektronische Auslesung und Übertragung der Daten erfolgen, so ist diese gegebenenfalls mit kryptographischen Verfahren abzusichern.
Wünschenswert aus Sicht des Datenschutzes wäre, dass keine nicht abrechnungsrelevanten Daten erfasst werden, solange dies der Kunde nicht explizit wünscht. Wünscht der Kunde es aber, so sollten die Daten soweit wie möglich in der Hand des Kunden bleiben, in dem sie etwa direkt auf eine lokale Anzeigeeinrichtung (PC etc.) übertragen und nicht zentral beim Energieversorger gespeichert werden.
Vor diesem Hintergrund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in ihrer Sitzung am 03./04.11.2010 nachfolgende Entschließung gefasst:
Entschließung
80. Konferenz der Datenschutzbeauftragten
des Bundes und der Länder
am 03./04.11.2010 in Freiburg
Datenschutz bei der digitalen Messung und
Steuerung des Energieverbrauchs
Das Energiewirtschaftsgesetz legt fest, dass seit Anfang des Jahres 2010 digitale Zähler in Häuser und Wohnungen eingebaut werden müssen, die den tatsächlichen Energieverbrauch (z.B. Strom und Gas) und die tatsächliche Nutzungszeit messen (Smart Metering). Damit sollen Verbraucher ihren Energieverbrauch künftig besser kontrollieren und steuern können und zur Verbesserung der Energieeffizienz beitragen.
Digitale Zähler ermöglichen die sekundengenaue Erfassung des Verbrauchs. Bei diesen Informationen handelt es sich um personenbezogene Daten, mit denen detaillierte Nutzungsprofile erstellt werden können. Viele Handlungen des täglichen Lebens in der Wohnung führen zumindest mittelbar zum Verbrauch von Energie. In der Nutzung dieser Ressourcen spiegeln sich somit Tagesabläufe wider. Die detaillierte Erfassung des Verbrauchs birgt daher ein hohes Ausforschungspotenzial bezüglich der Lebensgewohnheiten der Betroffenen in sich. Dies gilt in besonderem Maße, wenn neben dem Gesamtverbrauch im häuslichen Bereich auch der Verbrauch einzelner Endgeräte erfasst wird. Zusätzliche Risiken entstehen, wenn die digitalen Zähler zu Steuerungszentralen für im Haushalt betriebene Geräte ausgebaut werden.
Die detaillierte Erfassung des Energieverbrauchs kann zu tiefgreifenden Verletzungen der Persönlichkeitsrechte der Betroffenen führen und sowohl das Recht auf informationelle Selbstbestimmung als auch die verfassungsrechtlich garantierte Unverletzlichkeit der Wohnung beeinträchtigen. Durch die langfristige Aufzeichnung, die Verknüpfungsmöglichkeiten derartiger Verbrauchsprofile mit anderen Daten und ein Auslesen der Daten per Fernzugriff sind weitere Gefährdungen der Privatsphäre der Betroffenen zu befürchten.
Eine effiziente Energiedistribution und -nutzung darf nicht mit datenschutzrechtlichen Beeinträchtigungen einhergehen. Die zur Einführung digitaler Zähler bisher erlassenen Rechtsnormen im Energiewirtschaftsgesetz schützen die Privatsphäre der Betroffenen jedoch nur unzureichend.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert daher eine gesetzliche Regelung für die Erhebung, Verarbeitung und Nutzung der durch digitale Zähler erhobenen Verbrauchsinformationen. Eine solche Regelung muss die schutzwürdigen Interessen der Betroffenen berücksichtigen und eine strikte Zweckbindung der erhobenen personenbezogenen Daten vorschreiben. Die Regelung muss zudem sicherstellen, dass die Prinzipien der Transparenz der Datenverarbeitung beachtet und die Betroffenenrechte gewahrt werden.
Die Gewährleistung des Datenschutzes muss dabei bereits bei der Konzeption und Gestaltung der Infrastruktur zur Energiemessung und der technischen Einrichtungen erfolgen. Dies gilt insbesondere für den Grundsatz der Datenvermeidung und für die Datensouveränität der Betroffenen. So ist sicherzustellen, dass detaillierte Verbrauchswerte von Endgeräten unter ausschließlicher Kontrolle der Betroffenen verarbeitet und nicht mit direktem oder indirektem Personenbezug an Dritte übermittelt werden. Die Inanspruchnahme von umweltschonenden und kostengünstigen Tarifen darf nicht davon abhängig gemacht werden, dass Betroffene personenbezogene Nutzungsprofile offenbaren.
Für digitale Zähler und intelligente Verteil- bzw. Verarbeitungsnetze (Smart Grids) sind technische und organisatorische Maßnahmen nach dem jeweils aktuellen Stand der Technik zu schaffen, die insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Transparenz bei der Verarbeitung aller Energieverbrauchs-, Steuerungs- und sonstigen Daten sicherstellen. Hierzu gehört auch die Verschlüsselung personenbezogener Verbrauchsdaten. Die Anforderungen an den technischen Datenschutz und die IT-Sicherheit sind durch verbindliche Standards festzuschreiben, die der Sensitivität der Daten und den zu erwartenden Missbrauchsrisiken Rechnung tragen. Für die Datenverarbeitungssysteme ist zudem ein integriertes Datenschutz- und Sicherheitsmanagementsystem aufzubauen.
2.3.4. Fundsachen mit digitalen Inhalten
In kommunalen Fundbüros werden vermehrt Fundsachen abgegeben, die digitale Speichermedien enthalten, wie beispielsweise Laptops, Mobiltelefone und Kameras. Sollte der Eigentümer die Fundsachen nicht innerhalb von sechs Monaten abholen, so kann der Finder nach § 973 I Bürgerliches Gesetzbuch (BGB) Eigentum am Fund beanspruchen. Verzichtet er darauf, so darf das Fundbüro die Fundsache versteigern. Aus datenschutzrechtlicher Sicht kann sich dies aber nicht auf die potentiell auf den Fundsachen digital gespeicherten Inhalte beziehen.
Daher sind vor einer Herausgabe dieser Gegenstände an Dritte die Daten durch das Fundbüro sicher zu löschen. Ich weise darauf hin, dass die Betätigung einfacher "Löschfunktionen" etwa einer Speicherkarte oder Festplatte unter Umständen sehr leicht wieder rückgängig gemacht werden kann. Sie ist ggf. nicht als Löschung im Sinne des Art. 4 Abs. 6 Nr. 5 BayDSG anzusehen. Geräte oder Datenträger, bei denen der Verdacht besteht, dass sie personenbezogene Daten erhalten, und bei denen eine Löschung nicht oder nicht mit angemessenem Aufwand erfolgen kann, sind datenschutzgerecht zu entsorgen.
2.3.5. Beleg- und E-Mail-Archivierung
Viele Behörden stellt die stetig wachsende Flut von aufzubewahrenden Dokumenten vor große Probleme, belegen diese Dateien doch immer mehr Speicherplatz, was wiederum entsprechende Kosten für eine Hardware-Erweiterung verursacht. Dieses Speicherproblem wird in der Zukunft eher noch relevanter werden, da es auch im eigenen Interesse immer notwendiger wird, beispielsweise auch E-Mails langfristig aufzubewahren. Dies dient auch der Beweiskraft bei Rechtsstreitigkeiten, da häufig nur mit Hilfe gespeicherter elektronischer Dokumente ein bestimmter Sachverhalt nachgewiesen werden kann.
Grundsätzlich ist zu unterscheiden zwischen einer Langzeitaufbewahrung, um spezifischen gesetzlichen Forderungen wie z.B. den Grundsätzen ordnungsgemäßer Buchführung (GOBS), dem Gesetz zur Kontrolle und Transparenz im Geschäftsverkehr (KonTraG) sowie dem Handelsgesetzbuch (HGB) Rechnung zu tragen, und einer Archivierung im Sinne des Bayerischen Archivgesetzes (BayArchivG) vom 22.12.1989.
Für die Archivierung im Sinne des BayArchivG sind im Bereich der staatlichen Verwaltung zentrale Bemühungen in Zusammenarbeit mit dem Bayerischen Staatsarchiv im Gange. An dieser Stelle soll daher nur auf die Langzeitaufbewahrung eingegangen werden.
Es ist wichtig und sinnvoll, wichtige Unterlagen und Dokumente zentral und zugriffssicher im Rahmen der Zulässigkeit und Erforderlichkeit längerfristig aufbewahren zu können. Dabei kommt den elektronischen Dokumenten zunehmend größere Bedeutung zu, wobei bei diesen insbesondere auch gewährleistet sein muss, dass deren Integrität, Vertraulichkeit und Authentizität über den gesamten Zeitraum der Aufbewahrung erhalten bleibt.
Konkrete Produktbewertungen bzw. Produktempfehlungen kann ich aus rechtlichen Gründen nicht abgeben. Allerdings seien hier datenschutzrelevante Kriterien für die Auswahl eines Produktes genannt:
Bei der Langzeitaufbewahrung von Dokumenten mit personenbezogenen Daten sind die Grundsätze der Verhältnismäßigkeit, der Zweckmäßigkeit und der Datensparsamkeit zu beachten. Somit dürfen nur die Daten archiviert werden, die unbedingt benötigt werden und solange es der dienstliche Zweck erfordert. Die anderen personenbezogenen Unterlagen, deren Kenntnis zur Aufgabenerfüllung nicht mehr benötigt werden, sind datenschutzgerecht zu löschen bzw. zu vernichten. Dabei sind auch eventuelle Löschungspflichten zu beachten. So ist bei der Produktauswahl darauf achten, dass das gewählte System diese Möglichkeiten anbietet.
Während der gesamten Aufbewahrungsdauer muss auch die Vertraulichkeit der Dokumente gewährleistet sein. Dazu sind unter Umständen entsprechende Verschlüsselungsroutinen einzusetzen (z.B. zum Schutz von Personalunterlagen gegen eine unbefugte Kenntnisnahme).
Außerdem sollte mit Hilfe einer revisionsfähigen Zugriffsrechtevergabe gewährleistet werden, dass nur dazu Berechtigte auf die Dokumente zugreifen können. Dies erhöht gleichzeitig den Veränderungsschutz.
Zur Gewährleistung der Integrität und Authentizität der Dokumente bietet sich der Einsatz der elektronischen Signatur an. Durch die elektronische Signatur kann zwar keine Datenveränderung verhindert werden, andererseits kann aber an Hand der Überprüfung der Signatur festgestellt werden, ob die Daten verändert wurden.
Erfolgt eine Aufbewahrung auch zum Zwecke der Beweissicherung, sollte eine qualifizierte elektronische Signatur (nach Signaturgesetz - SigG) zum Einsatz kommen, da derart signierte Dokumente eine höhere Beweiskraft besitzen und die Verkehrsfähigkeit dieser Dokumente gewährleistet ist.
Mit einem Langzeitspeichersystem müssen zudem die Rechte der Betroffenen - insbesondere bezüglich ihres Auskunftsanspruchs - sichergestellt werden können.
Umfasst die Langzeitaufbewahrung auch E-Mails und gestattet eine Behörde den Mitarbeitern die private E-Mail-Nutzung oder duldet sie, ist sie ihren Bediensteten gegenüber Telemedien- bzw. Teledienste-Anbieter und zur Wahrung des Fernmeldegeheimnisses gemäß § 88 TKG verpflichtet. Somit ist bei einer gestatteten Privatnutzung für die revisionsfähige E-Mail-Langzeitaufbewahrung neben einer entsprechenden Vereinbarung mit der Beschäftigtenvertretung auch das schriftliche Einverständnis aller betroffenen Mitarbeiter einzuholen.
Verweigert ein Bediensteter sein Einverständnis, wird ihm im Regelfall die Privatnutzung des dienstlichen E-Mail-Accounts untersagt. Dann gelten alle E-Mails als Teil der dienstlichen Korrespondenz und sie dürfen regelmäßig langzeitaufbewahrt werden.
Gelegentlich stellt eine Behörde auch jedem Mitarbeiter sowohl einen dienstlichen als auch einen privaten Account zur Verfügung. Langzeitaufbewahrt werden dann nur die (dienstlichen) E-Mails, die sich im dienstlichen Account befinden.
2.3.6. Unterarbeitgruppe Krankenhausinformationssysteme
Die Datenverarbeitung in Krankenhäusern entwickelt sich zunehmend hin zu einer elektronischen Datenverarbeitung. Zusätzlich ändern sich auch die Organisationsstrukturen und Prozessabläufe in Richtung einer flexibleren und interdisziplinären Behandlung, bei der eine Vielzahl von Behandlern aus unterschiedlichen Bereichen auf die Daten eines Patienten zugreifen muss. Die neuen Strukturen und Anforderungen sind in heutigen Krankenhausinformationssystemen (KIS) nur unzureichend umgesetzt und führen in der Praxis bei Datenschutzprüfungen immer wieder zu Diskrepanzen zwischen dem, was rechtlich erforderlich wäre und dem, was technisch mit vertretbarem Aufwand möglich ist.
So habe ich z.B. immer wieder festgestellt, dass Zugriffsrechte aus dem Blickwinkel des Erforderlichkeitsprinzips und der ärztlichen Schweigepflicht technisch bedingt zu umfassend und unflexibel vergeben werden. Im Extremfall führt dies dazu, dass alle Ärzte eines Krankenhauses Zugriff auf alle Patientendaten haben. Es ist zwar nur ein kleiner Teil der Ärzte wirklich Behandler, aber um flexibel Vertretungen, Notfälle, Konsile oder auch interdisziplinäre Behandlungspfade abzubilden, erhalten schlichtweg alle Ärzte Zugriff.
Eine Protokollierung und Auswertung lesender Zugriffe, um Missbräuche überhaupt aufdecken zu können, findet in vielen Fällen nicht statt oder wird durch das KIS erst gar nicht angeboten. Auch fehlen häufig entsprechende Tools, die eine effiziente Auswertung von Protokolldaten ermöglichen.
Des Weiteren ist es häufig der Fall, dass die Patientendaten auch Jahre nach der Entlassung des Patienten für die ehemaligen Behandler online noch abrufbar sind, obwohl dies längst nicht mehr erforderlich ist. Eine Sperrung von Daten nach der Entlassung des Patienten ist nicht in allen Häusern umgesetzt. Häufig gibt es zudem kein Konzept, wie die Patientendaten oder zumindest einzelne Behandlungsfälle nach Ablauf der Aufbewahrungsfristen gelöscht werden. Viele KIS sehen diese Möglichkeit nicht oder nur unzureichend vor.
Zudem stehen in vielen Fällen auch bei einer Wiederaufnahme eines Patienten die Daten aus früheren Krankenhausaufenthalten ohne weiteres zur Verfügung. Eine Information des Patienten hierüber sowie die Möglichkeit, auf Wunsch des Patienten den Zugriff auf Vorbehandlungsdaten, z.B. bei Erkrankungen, die dem Ansehen schaden, einzuschränken, ist häufig nicht vorgesehen.
Vor diesem Hintergrund wurde im Jahr 2009 von den Arbeitskreisen Technische und organisatorische Datenschutzfragen sowie Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten des Bundes und der Länder eine Unterarbeitsgruppe zum Thema Krankenhausinformationssysteme (UAG KIS) unter der Federführung Berlins eingerichtet, in der ich Mitglied bin. Darüber hinaus sind Vertreter des Düsseldorfer Kreises sowie der Kirchen beteiligt. Neben den Treffen in Berlin habe ich auch die behördlichen Datenschutzbeauftragten großer bayerischer Krankenhäuser zu einem Meinungsaustausch eingeladen, um die Anforderungen zu diskutieren. Ziel der Arbeitsgruppe ist, in Form einer Orientierungshilfe bundesweit einheitliche Anforderungen an KIS zu formulieren.
Die in Arbeit befindliche Orientierungshilfe besteht aus zwei Teilen: Im ersten Teil sollen die rechtlichen Anforderungen definiert werden. Da heute nicht alle diese Forderungen in den KIS abgebildet oder nur mit großem Aufwand umsetzbar sind sollen im zweiten Teil der Orientierungshilfe die daraus abgeleiteten technischen Anforderungen formuliert und mit Experten und Herstellern diskutiert werden, um deren Realisierung zu erreichen.
Diese derzeit noch in Arbeit befindlichen Vorgaben werden nach ihrer Veröffentlichung unter Berücksichtigung landesrechtlicher Besonderheiten den Rahmen meiner Prüfungen und Beratungen in Bayern bilden. Sie werden die Aussagen zu KIS in früheren Tätigkeitsberichten (siehe hierzu 18. Tätigkeitsbericht 1998, Nr. 3.3.2) oder der Orientierungshilfe "Technisch-organisatorische Forderungen an ein benutzer- und datenschutzfreundliches Patientenverwaltungssystem bzw. Krankenhausinformationssystem (KIS)", konkretisieren bzw. an die Gegebenheiten moderner Krankenhausorganisationen anpassen.
Entschließung
78. Konferenz der Datenschutzbeauftragten
des Bundes und der Länder
am 08./09.10.2009 in Berlin
Krankenhausinformationssysteme datenschutzgerecht gestalten!
- Krankenhausinformationssysteme sind heute zu unverzichtbaren Hilfsmitteln ärztlicher Behandlung in Krankenhäusern geworden. Ein Abruf der darin elektronisch gespeicherten Patientendaten ist jederzeit, ortsungebunden und sekundenschnell möglich und bietet damit die Grundlage für effiziente Behandlungsentscheidungen. Diesen Vorteilen stehen allerdings erhebliche Datenschutzrisiken gegenüber. Die Möglichkeiten für Klinikpersonal, Behandlungsdaten von Bekannten, Kolleginnen und Kollegen oder Prominenten einzusehen und privat zu nutzen, sind groß. Prüfungen der Datenschutzaufsichtsbehörden und bekannt gewordene Missbrauchsfälle belegen dies.
- Das Datenschutzrecht und die ärztliche Schweigepflicht gebieten, dass ein Zugriff auf die Daten von Kranken grundsätzlich nur denjenigen Krankenhausbeschäftigten möglich sein darf, die diese Kranken behandeln oder die Behandlung verwaltungsmäßig abwickeln.
- Die Konferenz der Datenschutzbeauftragten fordert daher die datenschutzkonforme Gestaltung der internen Abläufe und der Erteilung von Zugriffsrechten in der Informationstechnik von Krankenhäusern.
- Darüber hinaus fordert die Konferenz, dass Patienten nachvollziehen können, wer auf ihre Daten tatsächlich zugegriffen hat. Das ist Teil des Menschenrechts auf Achtung des Privatlebens nach Art. 8 der Europäischen Menschenrechtskonvention, wie der Europäische Gerichtshof für Menschenrechte klargestellt hat. Durch Protokollierung ist zu gewährleisten, dass eine nachträgliche Überprüfung der Zugriffe auf ihre Zulässigkeit möglich ist. Die Systeme müssen behandlungs- und patientenbezogen den technischen Zugriff gemäß den rechtlichen Befugnissen ermöglichen.
- Die Krankenhäuser sind in der Pflicht, datenschutzgerechte Systeme einzusetzen. Die Software-Hersteller sind gehalten, entsprechende Systeme anzubieten.