[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 23.01.2013

2. IuK-Technik (IKT) und Organisation

2.1. Grundsatzthemen

2.1.1. IPv6

Auch wenn das Internet Protocol Version 6 (IPv6) bereits vor mehr als 20 Jahren standardisiert wurde, ist der Anteil des "neuen" Protokolls am gesamten Internetverkehr immer noch sehr gering. Es finden sich aber immer mehr Zugangs- und Diensteanbieter, die IPv6 unterstützen und somit erstmals im Produktivbetrieb auch den Endkunden zur Verfügung stellen.

Im Bezug auf den Datenschutz ist bei IPv6 vor allem die deutlich längere IP-Adresse gegenüber dem IPv4-Adressraum genauer zu betrachten. IPv6 bietet eine enorme Vervielfachung der Anzahl von möglichen Adressen, die es - bildlich gesprochen - ermöglichen würde, jedes Sandkorn der Erde mit mehreren Adressen zu versorgen.

Jede IPv6-Adresse besteht grundsätzlich aus zwei Teilen, einem "Präfix", das das jeweilige Netzsegment kennzeichnet und einem gerätespezifischen Anteil ("Interface Identifier"), der das jeweilige Gerät innerhalb des Netzwerks adressiert.

Neu gegenüber IPv4 ist, dass nicht nur die ganze IPv6-Adresse ein Gerät und damit potentiell auch eine Person identifizierbar machen kann, sondern dass unter Umständen auch schon das Präfix oder der Interface Identifier allein ausreicht, um einen Personenbezug herzustellen.

Das Präfix kann dabei zumindest der Provider analog zur IP-Adresse bei IPv4 seinem Kunden zuordnen. Es gibt aber auch viele Endgeräte, die einen weltweit eindeutigen Interface Identifier benutzen, so dass sie, egal über welchen Provider - also mit wechselndem Präfix - sie das Internet nutzen, immer wiedererkannt werden könnten.

Daraus ergibt sich, dass beim IPv6-Einsatz Maßnahmen für beide Adressbestandteile zu treffen sind, um den Datenschutz zu gewährleisten.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat deshalb in ihrer 82. Konferenz gefordert, bereits mit der Einführung von IPv6 Datenschutz in das Netz einzubauen:

Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.09.2011

Einführung von IPv6 steht bevor: Datenschutz ins Netz einbauen!

Viele Betreiber und Anwender stellen in diesen Monaten ihre Netzwerktechnik auf das Internet-Protokoll Version 6 (IPv6) um. Grundsätzlich darf es mit einer Migration von IPv4 zu IPv6 nicht zu einer Verschlechterung der technischen Rahmenbedingungen zur Ausgestaltung von Privacy kommen. Neuen Herausforderungen muss mit wirksamen Konzepten begegnet werden.

IPv6 stellt eine nahezu unbegrenzte Anzahl von statischen IP-Adressen zur Verfügung, die eine dynamische Vergabe von IP-Adressen, wie sie zur Zeit bei Endkunden gängig ist, aus technischer Sicht nicht mehr erforderlich macht. Aber durch die Vergabe statischer Adressen erhöht sich das Risiko, dass Internetnutzende identifiziert und ihre Aktivitäten auf einfache Weise webseitenübergreifend zu individuellen Profilen zusammen geführt werden können. Sowohl der von den Internet-Providern bereitgestellte Adressanteil (Präfix) als auch gerätespezifische Anteile in den IPv6-Adressen machen eine dauerhafte Identifizierung möglich. Die Zuordnung einer IP-Adresse zu einer bestimmten Person bedarf nicht zwingend einer Beteiligung des Zugangsanbieters. Mit Hilfe von Zusatzinformationen, die dem Betreiber eines Internet-Angebots vorliegen oder ihm offenstehen, beispielsweise Identifikationskonten von Online-Shops oder Sozialen Netzen, ist eine eindeutige Zuordnung von Nutzern möglich. Die vereinfachten Möglichkeiten zur Profilbildung und Zusammenführung von Profilen erhöhen zudem das Risiko und verstärken die Auswirkungen krimineller Handlungen. Mit Blick darauf, dass sich ein Identifikationsrisiko aus beiden Teilen der neuen Adressen ergeben kann, sind Maßnahmen in unterschiedlichen Bereichen erforderlich.

Die Datenschutzbeauftragten des Bundes und der Länder fordern, bei der Umstellung auf IPv6 Datenschutz und IT-Sicherheit zu gewährleisten. Anbieter von Internetzugängen und Diensten sowie Hersteller von Hard- und Software-Lösungen sollten ihre Produkte datenschutzgerecht gestalten (privacy by design) und dementsprechende Voreinstellungen wählen (privacy by default). Internetnutzenden sollten bei der Beschaffung von Hard- und Software sowie beim Abschluss von Verträgen auf diese Aspekte besonders achten.

  • Access Provider sollten Kundinnen und Kunden statische und dynamische Adressen ohne Aufpreis zuweisen. Auf Kundenwunsch sollten statische Adressen gewechselt werden können.
  • Kundinnen und Kunden sollten mit nutzerfreundlichen Bedienelementen bei der Auswahl der Adressen für jeden von ihnen genutzten Dienst unterstützt werden.
  • Hard- und Softwarehersteller sollten die "Privacy Extensions" unterstützen und standardmäßig einschalten (privacy by default), um die Wiedererkennung von Nutzenden anhand von Hardwareadressen zu erschweren.
  • Die Hard- und Softwarehersteller sollten Lösungen für dezentrale Kommunikationsdienste (peer to peer) in Kundensystemen entwickeln, die den Verzicht auf zentrale Plattformen und Portale ermöglichen. Sie sollten interessierten Dritten die Entwicklung solcher Dienste gestatten.
  • Content Provider dürfen zur Reichweitenmessung nur die ersten 4 Bytes der IPv6-Adresse heranziehen und müssen den Rest der Adresse löschen, denn eine Analyse von Nutzungsdaten ist nach Ansicht der Datenschutzaufsichtsbehörden nur auf der Grundlage anonymisierter IP-Adressen zulässig. Die ersten 4 Bytes sind für eine Geolokalisierung ausreichend.
  • Zugangsanbieter und Betreiber von Internetangeboten sollten nicht protokollierende Proxy-Server einsetzen und die Voraussetzungen schaffen, dass ein Internetzugang oder die Nutzung von im Internet bereitgestellten Inhalten in anonymer Form möglich ist (Anonymisierungsdienste).
  • Hersteller und Anbieter von Betriebssystemen und vorkonfigurierten Geräten (wie PCs, Smartphones und Routern) sollten ihre Anstrengungen bei der Pflege und Weiterentwicklung ihrer Produkte intensivieren und regelmäßig Fehler bereinigte Versionen ihrer IPv6-fähigen Software anbieten.
  • Angesichts häufig mangelnder Reife von IPv6-fähigen Produkten ist Anwendern vom Einsatz von IPv6 innerhalb von lokalen Netzen noch abzuraten, wenn dort sensible personenbezogene Daten verarbeitet werden sollen und funktionsfähige Filtereinrichtungen weder zentral noch auf den einzelnen Rechnern im LAN vorhanden und aktiviert sind.
  • Eigentümerinnen und Eigentümer von IP-Adressen dürfen nur auf Wunsch in das weltweite, stark zentralisierte "Internet-Telefonbuch" whois aufgenommen werden. Die Bundesregierung wird aufgefordert, sich für eine datenschutzfreundliche Gestaltung des whois-Dienstes einzusetzen, dahingehend, dass die Internet-Verwaltung ICANN den whois-Dienst künftig als verteilte Datenbank gestaltet, so dass die Daten der Eigentümerinnen und Eigentümer jeweils durch lokale Dienstleister oder Selbstverwaltungsgremien gespeichert, gepflegt und von ihnen nach Maßgabe des lokalen Rechts an Dritte übermittelt werden.

Die Datenschutzbeauftragten des Bundes und der Länder werden die Einführung von IPv6 wachsam beobachten und bieten allen Akteuren ihre Unterstützung an.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in ihrer 84. Konferenz am 07./08.11.2012 mit der Orientierungshilfe "Datenschutz bei Ipv6 - Hinweise für Hersteller und Provider im Privatkundengeschäft" diese Hinweise präzisiert.

Behörden, die im internen Netz IPv6 einsetzen, müssen darauf achten, nur Endgeräte mit aktivierten "Privacy Extensions" einzusetzen, da diese unterschiedliche Interface Identifier für die einzelnen Verbindungen generieren und somit ein spezielles Gerät nicht mehr zu erkennen geben. Sollte auch im IPv6-Netz ein Web-Proxy zum Einsatz kommen, sollte dieser zumindest den Interface Identifier gegenüber dem Internet verbergen.

Im Bezug auf die Netzwerksicherheit ist zu beachten, dass es immer noch viele Sicherheitsprodukte (Firewalls etc.) gibt, die im IPv6-Bereich nicht die gleiche Sicherheit und Zuverlässigkeit bieten, wie in bereits sehr lange bewährten IPv4-Umgebungen.

Sobald öffentliche Stellen ihren Internetauftritt "IPv6-tauglich" machen, müssen sie dies bei der Protokollierung der Webzugriffe und gegebenenfalls daraus generierten Statistiken beachten. Bei der Protokollierung von IPv6-Datenverkehr reicht es nicht mehr aus, das letzte Segment wie bei IPv4 zu löschen (siehe hierzu 23. Tätigkeitsbericht, Nr. 25.2), sondern es ist notwendig, alle Adressbestandteile außer den ersten vier Bytes zu löschen, um einen möglichen Personenbezug zu vermeiden.

Diese datenschutzrechtlichen Maßstäbe sind bei einer in Zukunft stattfindenden Umstellung der Internetauftritte von Beginn an zu beachten.

2.1.2. Externe Zugriffe auf dienstliche E-Mails

Aktuelle Versionen von Microsoft Exchange ermöglichen es, über Outlook Web Access / Outlook Web App (OWA) Mitarbeitern von überall Zugang zu ihrem dienstlichen Postfach zu eröffnen. Hierzu ist im einfachsten Fall nur ein Webbrowser nötig, der Zugriff kann von jedem beliebigen Internetrechner erfolgen. Darin liegt jedoch auch die Gefahr aus Sicht des Datenschutzes: In vielen Fällen muss davon ausgegangen werden, dass in den E-Mail-Postfächern auch schützenswerte personenbezogene Daten abgelegt sind. Ein Zugriff von einem beliebigen Rechner aus, also auch von ungesicherten Umgebungen wie Internet-Cafés, Privatrechnern oder mobilen Geräten wie Smartphones erhöht das Risiko einer unbefugten Kenntnisnahme oder des Verlusts von Daten deutlich. So könnten beispielsweise Trojaner oder Keylogger die Dateneingaben erfassen oder auf dem Privatgerät gespeicherte E-Mails oder Anhänge für weitere Nutzer des Rechners (z.B. Familienmitglieder) einsehbar sein.

Bei mobilen Geräten wie Smartphones ist das Risiko eines Geräteverlusts relativ hoch, so dass zusätzlich die Gefahr besteht, dass der Finder Einsicht in die gespeicherten Daten nehmen kann. Zudem besteht derzeit die Problematik, dass die technische Entwicklung im Bereich der IT-Sicherheit hinter dem Stand für Notebooks und PCs hinterherhinkt, so dass derzeit nicht alle Anforderungen zur sicheren Anbindung an die dienstliche Infrastruktur erfüllt werden können (siehe Nr. 2.1.3).

Für eine Freischaltung des externen Zugriffs auf dienstliche E-Mails sind daher einige Vorabprüfungen und sodann geeignete technisch-organisatorische Maßnahmen erforderlich:

In einem ersten Schritt muss geprüft werden, welchen Schutzbedarf die abrufbaren Daten besitzen. Sind potentiell Daten mit hohem oder sehr hohem Schutzbedarf (z.B. medizinische Daten, Personaldaten, Sozialdaten) in den E-Mails enthalten, ist ein Zugriff auf den E-Mail-Server von außerhalb kritisch zu bewerten. Insbesondere zu beachten sind gesetzliche Sonderregelungen zu bestimmten Datentypen wie z.B. Sozialdaten oder medizinischen Daten eines Krankenhauses, die den Regelungen des Art. 27 Bayerisches Krankenhausgesetz (BayKrG) unterliegen. Unzulässig ist der Zugriff auf Daten mit hohem oder sehr hohem Schutzbedarf insbesondere von Privatgeräten oder öffentlich zugänglichen Geräten (Internet-Café), da diese nicht der Hoheit des Dienstherrn unterliegen.

Des Weiteren muss geprüft werden, ob der externe Zugriff auf dienstliche E-Mails tatsächlich erforderlich ist. Eine pauschale Freischaltung für alle Mitarbeiter ist nicht akzeptabel, es sei denn es kann ausgeschlossen werden, dass in den E-Mails personenbezogene Daten enthalten sein können. Andernfalls müssen Festlegungen getroffen werden, welcher Personenkreis überhaupt für einen externen Zugriff in Frage kommt und mit welchem Verfahren ein externer Zugriff beantragt werden kann. Die Genehmigung sollte ebenso wie die Pflichten des Mitarbeiters schriftlich dokumentiert werden, um das Missbrauchsrisiko gering zu halten.

Sollten die rechtlichen Vorprüfungen ergeben haben, dass ein Zugriff für bestimmte Benutzergruppen zulässig ist, sind gewisse technisch-organisatorische Mindestanforderungen zu erfüllen. Für den Zugriff auf das Portal des E-Mail-Servers ist eine Benutzeridentifikation und -authentifikation erforderlich. Bei normalem Schutzbedarf ist die Verwendung von Benutzerkennung und hinreichend komplexem Passwort ausreichend, wenn der Zugang nach einer gewissen Anzahl von Fehlversuchen gesperrt wird. Bei sensiblen Daten ist eine 2-Faktor-Authentifizierung z.B. mit Chipkarte, RSA-Token etc. vorzusehen.

Da für den Zugriff in der Regel das Internet verwendet wird, ist eine Transportverschlüsselung erforderlich. Hierzu kommen in der Regel virtuelle private Netzwerke (VPN) zum Einsatz. Zudem sollte geprüft werden, ob wirklich ein Zugang von beliebigen Rechnern aus nötig ist oder ob nur bestimmte, vorher bekanntgegebene Rechner zum Verbindungsaufbau zugelassen werden.

Zudem dürfen bei Daten mit hohem oder sehr hohem Schutzbedarf die Daten nicht unverschlüsselt auf dem Gerät des Benutzers abgelegt werden. Es muss daher auf dem Gerät des Benutzers entweder entsprechende Verschlüsselungssoftware installiert oder auf dem E-Mail-Server ein ausschließlicher Read-Only-Zugriff eingestellt werden.

Zusätzlich zu den technischen Maßnahmen müssen organisatorische Maßnahmen und Regelungen getroffen werden, die den Benutzer auf die Einhaltung gewisser Mindestanforderungen im sicheren Umgang mit dem E-Mail-Zugriff verpflichten. Hierzu gehört das Verbot, Familienmitgliedern oder anderen Personen Einsicht in die Daten zu gewähren, die Nutzung des Online-Zugriffs auf E-Mails nur auf Geräten mit Virenschutz, eine begrenzte Gültigkeit der Nutzungsberechtigung etc.

2.1.3. Mobile Geräte

In vielen Bereichen ist es üblich, dass Mitarbeiter von unterwegs auf dienstliche Daten zugreifen können. Klassischerweise kamen hierbei Notebooks zum Einsatz. Mit der zunehmenden Verbreitung von Smartphones und Tablet-PCs im privaten Umfeld steigt der Bedarf der Mitarbeiter, solche Geräte auch im dienstlichen Umfeld zu nutzen. Dabei stellt sich zum einen die Problematik, dienstliche Smartphones und Tablet-PCs gemäß den Wünschen der Anwender zur Verfügung zu stellen. Zum anderen ist jedoch auch der Trend zu beobachten, Privatgeräte der Mitarbeiter für den Zugriff auf dienstliche Daten zu nutzen (Bring Your Own Device, BYOD). Daraus ergibt sich eine Vielzahl von datenschutzrechtlichen Herausforderungen.

Eignung von Smartphones und Tablet-PCs als Dienstgeräte

Smartphones und Tablet-PCs wie iPhone, iPad, Android-Geräte haben ihren Ursprung im Consumerbereich und sind mit umfangreichen Möglichkeiten zu einer schnellen Orientierung vor Ort, Auffinden von Informationen, Social Networking ausgestattet. Die Sicherheit der Daten, eine sichere Einbindung in Unternehmensnetze oder Datenschutz generell sind bei der Konzipierung ganz offenkundig nicht die oberste Priorität. Beim Einsatz derartiger Geräte für dienstliche Zwecke ist daher z.B. zu beachten, dass umfassende Möglichkeiten zur Ortung von Mitarbeitern oder zur Bildung von Bewegungsprofilen vorhanden sein können. Zum anderen haben häufig die Betriebssystem- und Apps-Hersteller die Möglichkeit, auf das Smartphone zuzugreifen, um z.B. Apps zu löschen. Neben den Gefahren eines Zugriffs durch Hacker stellt sich damit die Frage, wie eventuell auf dem Smartphone gespeicherte personenbezogene Daten oder Zugangsdaten zu Systemen einer öffentlichen Stelle dagegen geschützt werden können. Die Verwendung von Smartphones und Tablet-PCs verlangt daher umfassende Sicherheitsmaßnahmen.

Bei einem Einsatz von Smartphones und Tablet-PCs in bayerischen öffentlichen Stellen muss zudem geprüft werden, ob die gewählten Geräte den Anforderungen der IKT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung genügen. Insbesondere relevant für mobile Geräte sind die Richtlinie "IT-Standards für die bayerische Staatsverwaltung - Verschlüsselung mobiler Endgeräte und Datenträger (BayITS-19)", die Vorgaben zur verschlüsselten Datenspeicherung auf mobilen Geräten macht, sowie die Richtlinie "IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung - Einsatz mobiler Geräte (BayITSiR-07)", in der die erforderlichen Sicherheitsmaßnahmen für die Anbindung mobiler Geräte an das Bayerische Behördennetz formuliert sind.

Anforderungen an dienstlich bereitgestellte Smartphones und Tablet-PCs

Möchte der Dienstherr seinen Mitarbeitern Smartphones oder Tablet-PCs zum Zugriff auf dienstliche Daten zur Verfügung stellen, müssen umfassende Sicherheitsmaßnahmen ergriffen werden. Im einfachsten Fall dient das mobile Gerät nur als Zugangspunkt zu den Servern der öffentlichen Stelle, d.h. es erfolgt ein Remote-Zugriff auf den Server und die nötigen Tätigkeiten werden dort ausgeführt. Auf dem mobilen Gerät werden keine Daten abgelegt. Eine solche Lösung ist insbesondere für Daten mit besonderem Schutzbedarf wie Personaldaten oder medizinische Daten von Interesse.

Leider sind die technischen Entwicklungen zu Sicherheitsfragen im Bereich von Smartphones noch nicht so fortgeschritten. Virtualisierungslösungen, wie sie für den Remote-Zugriff und die Trennung der Verarbeitungsumgebungen im Bereich der PCs und Notebooks möglich sind, existieren daher noch nicht im benötigten Umfang. Deswegen ist es häufig nötig, dass Daten auf dem Smartphone abgelegt werden, z.B. bei der E-Mail-Synchronisation. Dann sind folgende Maßnahmen erforderlich:

  • Der Zugriff auf das Gerät muss mittels eines ausreichend sicheren Passworts / PIN abgesichert werden, wobei nach einer mehrmaligen Falscheingabe der PIN eine automatisch vollständige Löschung der auf dem Gerät gespeicherten Daten erfolgen sollte.
  • Es muss Regelungen geben, ob das Dienstgerät auch für private Zwecke genutzt werden darf und wie dann verhindert wird, dass dienstliche personenbezogene Daten in als privat eingestufte Online-Dienste (wie Facebook, Twitter oder Google Mail) kopiert und damit verschickt werden können und dass privat installierte Apps auf dienstliche Daten zugreifen können. Es sollte daher festgelegt werden, welche Anwendungen auf dem Gerät installiert und genutzt werden dürfen.
  • Werden dienstliche personenbezogene Daten auf dem Gerät (temporär) gespeichert, z.B. im Rahmen einer E-Mail-Synchronisation, so ist eine Verschlüsselung erforderlich.
  • Zur weiteren Erhöhung der Sicherheit bei Verlust oder Diebstahl des Geräts sollte für die IT-Abteilung die Möglichkeit bestehen, sämtliche dienstlichen personenbezogenen Daten vom Smartphone oder Tablet-PC aus der Ferne zu löschen.
  • Es muss die für das jeweilige Gerät verfügbare Sicherheitssoftware (Virenschutz etc.) installiert sein.
  • Es müssen Maßnahmen ergriffen werden, dass ein durch Viren, Trojaner oder einen Hackerangriff kompromittiertes Gerät keine Bedrohung für die gesamte IT-Infrastruktur der öffentlichen Stelle wird. Deshalb sollten die Sicherheitseinstellungen möglichst zentral konfiguriert und verteilt werden.
  • Es muss geregelt sein, wie die Entsorgung der Geräte erfolgt, so dass sichergestellt ist, dass darauf keine personenbezogenen Daten mehr gespeichert sind.

Solange diese Anforderungen nicht erfüllt werden, ist von einer Verwendung dienstlich bereit gestellter Smartphones und Tablet-PCs abzusehen.

Verwendung von Privatgeräten

Eine Nutzung privater Geräte für den Zugriff auf dienstliche IT-Systeme macht personenbezogene Daten der öffentlichen Stelle auf Geräten zugänglich, die nicht ihrer vollen Kontrolle unterliegen. Dies wirft eine Vielzahl ungeklärter Fragen auf: Es ist beispielsweise offen, wie auf dem privaten Gerät ausreichende Sicherheitsmaßnahmen sichergestellt werden oder wie die Nutzung durch andere Personen, wie z.B. Familienmitglieder und Freunde, unterbunden werden kann, um so eine unbefugte Offenbarung von schutzwürdigen (dienstlichen) Daten zu verhindern. Auch der Austausch von Geräten und die datenschutzgerechte Entsorgung sind für die öffentliche Stelle nicht kontrollierbar. Darüber hinaus stellt sich die Frage, ob über dienstliche Vereinbarungen rechtswirksam erzwungen werden kann, dass der Mitarbeiter bestimmte Anforderungen in Bezug auf sein privates Gerät erfüllt, wie z.B. die Einwilligung in eine Remote-Löschung durch die IT-Abteilung bei einem Verlust des Geräts.

Die Nutzung von Privatgeräten ist daher in Analogie zu den "IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung - Telearbeits- und mobile Arbeitsplätze (Bay-ITSiR-05)" nicht zu empfehlen. Insbesondere bei der Verarbeitung von personenbezogenen Daten mit besonderem Schutzbedarf bzw. Daten, die durch besondere gesetzliche Regelungen wie z.B. das Bayerische Krankenhausgesetz (BayKrG) geschützt sind, halte ich den Einsatz von Privatgeräten für unzulässig (siehe Nr. 2.2.5 und Nr. 7.3).

In Bereichen mit normalem Schutzbedarf kann der Einsatz nach eingehender Einzelfallprüfung zulässig sein, wenn zusätzlich zu den oben aufgeführten Maßnahmen folgende Anforderungen erfüllt sind:

  • Der Mitarbeiter als Eigentümer des Geräts muss verpflichtet werden, Sicherheitsmaßnahmen auf seinem Gerät umzusetzen und insbesondere auf Funktionen wie Jailbreak zu verzichten.
  • Es muss sichergestellt sein, dass eine Trennung zwischen privaten Anwendungen und Daten sowie dienstlichen Anwendungen und Daten erfolgt. So darf z.B. eine private App nicht auf das dienstliche Adressbuch zugreifen können. Auch die Datenablage muss in getrennten Verzeichnissen erfolgen.
  • Bei der Nutzung von Schnittstellen wie Bluetooth muss sichergestellt sein, dass der Kommunikationspartner keinen Zugriff auf dienstliche Daten erhält.
  • Die Speicherung dienstlicher personenbezogener Daten muss verschlüsselt erfolgen. Dabei ist darauf zu achten, dass private Daten und dienstliche Daten separat verschlüsselt vorgehalten werden, so dass auch ein Administrator der öffentlichen Stelle nicht auf die privaten Daten des Nutzers zugreifen kann.
  • Scheidet ein Bediensteter aus, müssen alle dienstlichen personenbezogenen Daten von seinem privaten IT-Gerät gelöscht werden.
  • Es muss möglich sein, sämtliche dienstlichen personenbezogenen Daten auf dem Gerät aus der Ferne zu löschen, wenn das Gerät gestohlen wurde oder verloren gegangen ist.
  • Es muss arbeitsrechtlich abgeklärt sein, dass die IT-Abteilung auch im Streitfall zwischen Dienstherren und Mitarbeiter insoweit Verfügungsgewalt über das Privatgerät besitzt, dass eine Löschung der dienstlichen Daten sichergestellt werden kann.

Soweit diese Anforderungen aufgrund des technischen Entwicklungsstandes auf den gewünschten Geräten nicht zum Einsatz kommen können (z.B. fehlende Verschlüsselung, mangelnde Möglichkeiten zur Virtualisierung und Datentrennung), ist von einer Verwendung privater Smartphones und Tablet-PCs abzusehen.

2.1.4. Telearbeit

Zum Thema Telearbeit habe ich mich bereits in früheren Tätigkeitsberichten geäußert (siehe hierzu 17. Tätigkeitsbericht, Nr. 18.3.3 und 18. Tätigkeitsbericht, Nr. 19.3.6). Ich habe dort insbesondere die Auffassung vertreten, dass auf die Bearbeitung von sensitiven Daten, insbesondere von Personaldaten im häuslichen Bereich verzichtet werden sollte. In datenschutzrechtlicher Hinsicht haben sich die Anforderungen zum Schutz von sensiblen Daten, insbesondere Sozialdaten, seither nicht verändert. In technisch-organisatorischer Hinsicht haben sich jedoch die Möglichkeiten zum Schutz von sensiblen Daten im Vergleich zu damals weiter entwickelt (siehe Nr. 2.2.5 und Nr. 7.3).

Da auch immer mehr Kommunen und Behörden es ihren Mitarbeitern ermöglichen wollen, von zu Hause oder unterwegs remote auf die Daten im lokalen Netz zuzugreifen und sich hinsichtlich der zu ergreifenden Datenschutz- und Datensicherheitsmaßnahmen von meiner Dienststelle beraten lassen, gehe ich nachfolgend nochmals auf die dem jetzigen Stand der Technik entsprechenden Maßnahmen für Telearbeitsplätze ein.

Telearbeiter arbeiten ausschließlich oder zeitweise außerhalb der Gebäude des Dienstherrn. Das bedeutet, dass für die Telearbeit teilweise andere Sicherheitsmaßnahmen zu ergreifen sind, als für die Arbeit innerhalb eines Behördengebäudes. Deshalb ist es notwendig, dass - aufbauend auf dem übergreifenden Sicherheitskonzept der Behörde - ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird, in dem die Sicherheitsziele, der Schutzbedarf der bei der Telearbeit zu bearbeitenden Daten sowie die Risiken und zu ergreifenden Sicherheitsmaßnahmen aufgezeigt werden.

Die für die Telearbeit im Umgang mit Daten und der Informations- und Kommunikationstechnik notwendigerweise umzusetzenden Sicherheitsmaßnahmen sind zusätzlich in einer Sicherheitsrichtlinie zur Telearbeit zu dokumentieren. An Hand dieser Sicherheitsrichtlinie müssen dem Telearbeiter die bestehenden Risiken für die Gewährleistung der Vertraulichkeit, der Integrität, der Authentizität und der Verfügbarkeit der Telearbeit aufgezeigt werden. Außerdem sind die Telearbeiter in die entsprechenden Sicherheitsmaßnahmen einzuweisen und eventuell im Umgang damit zu schulen. Fehlende Schulungen können bei Problemen zu Ausfallzeiten oder Datenverlust führen.

Da für die Ausgestaltung der Rahmenbedingungen für Telearbeit verschiedene arbeitsrechtliche und arbeitsschutzrechtliche Aspekte zu beachten sind, sollten potentiell strittige Punkte entweder durch Dienstvereinbarungen mit der Personalvertetung oder/und individuelle Vereinbarungen zwischen Telearbeiter und Arbeitgeber geregelt werden.

Im Rahmen einer Telearbeit erfolgt in der Regel eine Übertragung personenbezogener Daten vom Standort des Dienstherrn zu einem "entfernten" Arbeitsplatz. Allerdings handelt es sich bei dieser Weitergabe von Daten weder um eine Datenübermittlung an Dritte noch stellt sie eine Auftragsdatenverarbeitung durch Dritte dar. Es handelt sich vielmehr um eine Nutzung von Daten innerhalb der speichernden Stelle. Trotzdem sind natürlich auch bei dieser Art der Datenverwendung die gesetzlichen Vorschriften zu beachten. Soweit keine vorrangigen bereichsspezifischen Rechtsvorschriften bestehen, findet auf die Datenverwendung im häuslichen Bereich das Bayerische Datenschutzgesetz (BayDSG) Anwendung.

Gemäß Art. 7 Abs. 2 BayDSG muss im Rahmen einer Telearbeit insbesondere gewährleistet werden, dass

  • Unbefugte keinen Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, erhalten (Zugangskontrolle),
  • Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  • Datenverarbeitungssysteme nicht mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
  • überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
  • bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle).

Den mit der Telearbeit verbundenen zusätzlichen Risiken lässt sich nur durch geeignete hochwertige Sicherheitsmaßnahmen begegnen. Dabei ist zu bedenken, dass sich die sicherheitstechnischen Anforderungen an den Telearbeitsplatz nach dem Schutzbedarf der zu bearbeitenden Daten richten. Je höher der Schutzbedarf, desto mehr Maßnahmen müssen ergriffen werden, um diesen Schutz zu gewährleisten.

Insbesondere sind im Rahmen einer Telearbeit folgende technisch-organisatorische Maßnahmen zu ergreifen:

  • In den bereits erwähnten schriftlichen Vereinbarungen zur Telearbeit sind Art und Umfang der Aufgaben und die Rahmenbedingungen, unter denen die Aufgaben abzulaufen haben, zu definieren und alle notwendigen Sicherheitsmaßnahmen zur Gewährleistung der Vertraulichkeit, der Integrität, der Authentizität und der Verfügbarkeit der Telearbeit aufzunehmen. Sie müssen außerdem detaillierte Aussagen über die Pflichten der in Telearbeit stehenden Mitarbeiter enthalten.
  • Alle Telearbeiter sind auf die Einhaltung der vorgegebenen Sicherheitsmaßnahmen schriftlich zu verpflichten. Außerdem hat der Telearbeiter dem Kontrollrecht des Dienstherrn und des behördlichen Datenschutzbeauftragten im häuslichen Bereich zuzustimmen.
  • Natürlich sollte - wie bereits erwähnt - auch eine Dienstvereinbarung mit der Personalvertretung bezüglich der erforderlichen Kontrollmaßnahmen (z.B. Einsatz und Auswertung von Protokollierungen) getroffen werden. Dabei sollte auch den Datenschutzzielen der Nichtverkettbarkeit und der Transparenz Rechnung getragen werden.
  • Bei der Telearbeit sollten die erforderlichen IKT-Geräte und die für die Verarbeitung notwendige Software vom Dienstherrn gestellt und von einer zentralen Stelle konfiguriert werden. Das Ausstatten eines Telearbeitsplatzes mit einem Drucker sollte nur in unabdingbaren Fällen erfolgen; dadurch kann auch das Risiko einer unberechtigten Offenbarung dienstlicher Angelegenheiten und personenbezogener Daten am Telearbeitsplatz sowie das Risiko einer nicht datenschutzkonformen Entsorgung von Fehldrucken erheblich reduziert werden.
  • Die Telearbeiter sind dazu zu verpflichten, die vom Dienstherrn zur Verfügung gestellte technische Infrastruktur ausschließlich für dienstliche Zwecke und nur durch sie selbst zu nutzen.
  • Das Einspielen privater Software, das Verändern der vorgegebenen Systemeinstellungen und das Anschließen privater Hardware (z.B. Drucker, USB-Sticks) sind zu verbieten und soweit möglich technisch zu verhindern.
  • Die am Telearbeitsplatz installierten Endgeräte müssen über die notwendige Zugangs- und Zugriffssicherung verfügen. So sollte darauf geachtet werden, dass alle Rechner mit einer Sicherheitskomponente gegen eine unbefugte Inbetriebnahme abgesichert sind. Außerdem ist dafür Sorge zu tragen, dass sich jeder Telearbeiter mittels Benutzerkennung und geeignetem Passwort - möglichst mit Chipkarte oder RSA-Token gekoppelt - an seinem Telearbeitsplatz und im Netzwerk des Dienstherrn identifizieren und authentifizieren muss.
  • Aus Sicherheitsgründen sollten soweit möglich alle Daten zentral beim Dienstherrn gespeichert und damit eine dezentrale Speicherung des Datenbestands beim Telearbeiter vermieden werden. Dazu empfiehlt sich insbesondere der Einsatz sogenannter Thin Clients (IT-Geräte ohne integrierte Speichermedien). Wenn überhaupt sollte auf den Endgeräten eine ausschließlich begrenzte Speicherhaltung der Nutzdaten gestattet werden und die Anweisung bestehen, diese Daten unverzüglich zu löschen, sobald sie für eine weitere Bearbeitung nicht mehr benötigt werden.
  • Bei der im Rahmen der Telearbeit stattfindenden Datenübertragung zwischen einem Telearbeitsrechner und dem Kommunikationsrechner der Dienststelle werden dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. Da weder die Dienststelle noch die Telearbeiter großen Einfluss darauf nehmen können, ob die Vertraulichkeit, Integrität und Verfügbarkeit in einem öffentlichen Kommunikationsnetz gewahrt werden, sind zusätzliche Maßnahmen erforderlich. Zur Sicherstellung der Vertraulichkeit während der Datenübertragung ist daher eine geeignete Datenverschlüsselung einzusetzen.
  • Der sichere Verbindungsaufbau zur Dienststelle (z.B. mittels so genannter Call Back-Funktion und Einsatz eines VPN) sowie der Einsatz sicherer Identifikations- und Authentifizierungsmechanismen sind ebenfalls zu gewährleisten.
  • Natürlich muss auch der Aktentransport geregelt sein. Dabei ist darauf zu achten, dass personenbezogene Unterlagen ausschließlich in verschlossenen Behältnissen transportiert werden. Außerdem sind die mit dem Transport Beschäftigen darauf hinzuweisen, dass sie - soweit beim Transport öffentliche Verkehrsmittel benützt werden - darauf zu achten haben, dass die Behältnisse dort nicht unbeaufsichtigt abgestellt oder womöglich ganz vergessen werden.
  • Für die Aufbewahrung der Arbeitsunterlagen im häuslichen Bereich sollte ein verschließbarer Schrank zur Verfügung stehen. Unter Umständen lassen sich auch die verschließbaren Transportbehältnisse zur Aufbewahrung heranziehen. Die Unterlagen dürfen in keinem Fall in der Wohnung für Dritte offen zugänglich sein - auch nicht für Familienangehörige.
  • Ein häufiger Schwachpunkt bei der Telearbeit ist die eventuell anfallende datenschutzgerechte Entsorgung nicht mehr benötigter Daten und Unterlagen. Damit diese gewährleistet werden kann, sollten - soweit erforderlich - die dazu notwendigen Hilfsmittel (z.B. Software zum Löschen der auf dem Rechner gespeicherten Daten) auf dem Telearbeitsrechner auch vorhanden sein. Ist der Telearbeitsplatz (ausnahmsweise) mit einem Drucker ausgestattet, so sollte zur Sicherstellung einer datenschutzgerechten Entsorgung von Papierunterlagen (z.B. Fehldrucken) diese ausschließlich in der Dienststelle erfolgen.

2.1.5. Systeme zur Verkehrsplanung / -steuerung und Autofahrerinformation

Bluetoothbasierte Reisezeitmessung

Neben der im letzten Tätigkeitsbericht dargestellten kennzeichenbasierten Reisezeitmessung (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.2.9) haben Verkehrsplaner in den Städten sowie bei den Autobahndirektionen insbesondere aus Kostengründen zunehmend Interesse an einer bluetoothbasierten Reisezeitmessung. Hierbei soll nicht mehr das Kennzeichen des vorbeifahrenden Kraftfahrzeugs, sondern die Bluetooth-Geräte-Adresse von im Fahrzeug vorhandenen Bluetooth-Geräten (wie z.B. Handys, Smartphones, Freisprechanlagen) an Messpunkten ausgelesen werden. Die Messstationen schicken die erfassten Daten an eine Datenbank zur weiteren Auswertung.

Dabei stellt sich zunächst die Frage, ob die Bluetooth-Geräte-Adressen, oder allgemeiner gesprochen, die MAC-Adressen (Media-Access-Control-Adresse) von Geräten, als personenbezogene oder personenbeziehbare Daten anzusehen sind. Im Gegensatz zur gleichlautenden Frage bei IP-Adressen sind hierzu noch keine Gerichtsentscheidungen ergangen.

Bei einer Bewertung dieser Frage ist in jedem Fall zu berücksichtigen, dass MAC-Adressen weltweit eindeutig und für die gesamte Lebensdauer eines Gerätes diesem fest zugeordnet sind. Wird die MAC-Adresse ohne weitere Modifizierung in einer Datenbank zur Auswertung von Verkehrsflüssen gespeichert, so ist hier eine umfassende und langfristige Bildung von Bewegungsprofilen möglich.

Bezüglich derartiger Profile kann nicht vollständig ausgeschlossen werden, dass über Zusatzinformationen eine Identifizierung des Gerätebesitzers möglich ist. Im Internet gibt es beispielsweise eine Vielzahl von Stellen, an denen MAC-Adressen mit identifizierenden Daten verknüpft werden können, z.B. bei der Anmeldung an Web-Portalen, beim Hersteller / Verkäufer eines Geräts etc. Auch kann nicht ausgeschlossen werden, dass zukünftig Zuordnungslisten zur Reidentifizierung z.B. für Diensthandys beim Arbeitgeber oder für Strafverfolgungsbehörden geführt werden. Wenn dann dazu umfassende Datenbestände zu Bewegungsprofilen der Bluetooth-Geräte vorlägen, böten sich sicher interessante Auswertungsmöglichkeiten.

Schon allein die Möglichkeit zur Bildung von Bewegungsprofilen ist daher kritisch zu sehen und es sind technische Maßnahmen erforderlich, um einerseits sicherzustellen, dass keine langfristigen Bewegungsprofile entstehen können und andererseits eine Reidentifizierung der erfassten Bewegungsdaten unmöglich ist.

Dies bedeutet, dass für eine Realisierung von Projekten zur bluetoothbasierten Reisezeitmessung die im letzten Tätigkeitsbericht aufgeführten Voraussetzungen erfüllt und die technischen und organisatorischen Maßnahmen analog ergriffen werden müssen (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.2.9). Dazu zählen insbesondere die sofortige Umwandlung der erfassten Bluetooth-Geräte-Adresse in einen Hashwert und das Verwerfen der erfassten Bluetooth-Geräte-Adresse schon in der Messstation sowie Maßnahmen zur Verhinderung der Zusammenführung von erfassten Daten über mehrere Tage hinweg. Die erfassten Bluetooth-Geräte-Adressen dürfen keinesfalls von der Messstation an die Auswertungsdatenbank weitergegeben werden. Zur Absicherung des Gesamtsystems sollte ein Datenschutz- und Sicherheitskonzept erstellt werden. Dabei sind auch Fragen wie Diebstahlschutz bei den Messstationen etc. zu betrachten.

Ein besonderes Augenmerk ist zudem auf die Beteiligung externer Dienstleister zu richten. Externe Dienstleister sind z.B. als Anbieter oder Betreiber der technischen Infrastruktur, für die Auswertung und Bereitstellung von Daten oder Wartungsaufgaben denkbar. Externe Dienstleister sollten grundsätzlich keinen Zugriff auf besonders sensible Bereiche des Gesamtverfahrens besitzen. Dies betrifft vor allem die Messstationen, in denen kurzzeitig die erfasste Bluetooth-Geräte-Adresse vorliegt. Diese sollten sich im ausschließlichen Hoheitsbereich der öffentlichen Stelle, die die Reisezeitmessungen durchführt, befinden. Der Dienstleister darf höchstens in Ausnahmefällen und unter Kontrolle der öffentlichen Stelle auf die Messstationen zugreifen. Die üblichen Vorgaben der Fernwartung sind analog anzuwenden.

Des Weiteren müssen sich auch das Hashverfahren und die hierbei verwendeten Schlüssel bzw. verwendete Schlüsselerzeugungssoftware in der ausschließlichen Hoheit der öffentlichen Stellen befinden. Bezüglich der Auswertungsdatenbank muss sichergestellt sein, dass sie nur für die Zwecke der öffentlichen Stelle genutzt und getrennt von anderen Systemen zur Reisezeitmessung des externen Dienstleisters betrieben wird. Zur Regelung dieser Punkte sind entsprechende Verträge mit dem Dienstleister abzuschließen.

Webcams auf Autobahnen

Zur umfassenden Information der Bürger über das aktuelle Verkehrsgeschehen planen die bayerischen Autobahndirektionen den Einsatz von Webcams an Baustellen und kritischen Verkehrspunkten, so dass sich der Bürger über das Internet direkt selbst einen Einblick in die dortige aktuelle Verkehrslage verschaffen kann.

Ich halte den Einsatz von Webcams für akzeptabel, wenn sichergestellt ist, dass dabei keine personenbezogenen oder personenbeziehbaren Daten erhoben werden, d.h. wenn im Internet weder Kfz-Kennzeichen noch Personen identifizierbar sind und auch keine Verfolgung von Einzelfahrzeugen (z.B. grünes Auto mit Anhänger) über mehrere Streckenabschnitte hinweg möglich ist. Die Autobahndirektionen setzen dementsprechend eigene Kameras nur für den Zweck der Bürgerinformation ein. Die Systeme zur Verkehrsüberwachung (z.B. Standstreifenfreigabe), die deutlich mehr Möglichkeiten bieten, sind davon völlig getrennt.

Die Webcams haben eine feste Konfiguration, die sicherstellt, dass die Auflösung ausreichend grob ist, so dass keine Details zu erkennen sind und auch über Grafikprogramme keine Nachbearbeitung (Vergrößerung etc.) möglich ist. Zudem sind die Standorte so gewählt, dass nur Übersichtsaufnahmen über einen Streckenabschnitt erzeugt werden. Ich habe die Autobahndirektionen außerdem darauf hingewiesen, dass kein flächendeckender Aufbau von Webcams über das gesamte Autobahnnetz hinweg erfolgen darf, um auch so eine optische Verfolgungsmöglichkeit von Einzelfahrzeugen zu verhindern.

Idealerweise sollten die Bilder der Webcams nicht gespeichert werden, um Begehrlichkeiten zu vermeiden. Wird eine Speicherung im Einzelfall dennoch als erforderlich angesehen, so muss geprüft werden, zu welchen Zwecken dies erfolgt, welche Auswertungen vorgesehen sind und welche Personen diese durchführen dürfen. Sowohl für die Speicherung und Nutzung zu anderen Zwecken (als der allgemeinen Bürgerinformation) als auch für eine etwaige Weitergabe an andere Stellen muss eine Rechtsgrundlage vorhanden sein. Zudem müssen entsprechende technisch-organisatorische Maßnahmen nach Art. 7 BayDSG zum Schutz der gespeicherten Daten ergriffen werden.

2.1.6. Auftragsdatenverarbeitung durch die staatlichen Rechenzentren

In meinem letzten Tätigkeitsbericht hatte ich ausgeführt, dass der Freistaat Bayern seit dem Beschluss des Ministerrats vom 29.07.2003 damit befasst ist, die bisherigen Rechen- und IT-Betriebszentren der Staatsverwaltung organisatorisch in zwei Rechenzentren zusammenzufassen (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.1.3). Dabei habe ich auch darauf hingewiesen, dass die einzige Möglichkeit, die Administration und den IT-Betrieb außerhalb des eigenen Bereichs zu geben, aus datenschutzrechtlicher Sicht in der sogenannten Datenverarbeitung im Auftrag gemäß Art. 6 BayDSG besteht. In diesem Zusammenhang hatte ich auch darauf hingewiesen, dass ich die zwischen den Rechenzentren und den entsprechenden Dienststellen getroffenen Vereinbarungen zur Datenverarbeitung im Auftrag sowie deren technische Umsetzung zum gegebenen Zeitpunkt überprüfen werde.

Art. 6 BayDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1) 1Werden personenbezogene Daten durch andere Stellen im Auftrag erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die im Zweiten Abschnitt genannten Rechte sind ihm gegenüber geltend zu machen.

(2) 1Auftragnehmer sind unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. 3Der Auftraggeber hat sich soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.

(3) 1Ist eine öffentliche Stelle Auftragnehmer, so gelten für sie nur die Art. 5, 7, 25, 29 bis 31, 32 Abs. 1 bis 3, Art. 33 und 37. 2Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 3Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(4) 1Die Absätze 1 bis 3 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 2Ist eine schriftliche Auftragserteilung nach Absatz 2 Satz 2 nicht möglich, so ist diese unverzüglich nachzuholen.

Um den hohen Aufwand von Einzelvereinbarungen und das Risiko von widersprüchlichen Anforderungen an die Rechenzentren zu vermeiden, haben das Bayerische Staatsministerium des Innern und die CIO-Stabsstelle den Entwurf einer Musterrahmenvereinbarung erarbeitet, die jedes Ressort für sich und alle seine Behörden mit dem jeweils beauftragten Rechenzentrum abschließen können und mit der die gesetzlichen Grundanforderungen abdeckt werden sollen. Der CIO-Rat hat in seiner 11. Sitzung im November 2012 den vorgelegten Vorschlag der Musterrahmenvereinbarung Auftragsdatenverarbeitung gebilligt und der Staatskanzlei und den Ressorts empfohlen, die entsprechenden Vereinbarungen mit den Rechenzentren und dem Landesamt für Finanzen zu schließen. Ich weise darauf hin, dass u.U. durch Zusatzvereinbarungen über die in der Musterrahmenvereinbarung geregelten Inhalte hinaus weitere Einzelregelungen getroffen werden müssten.

2.2. Prüfungen, Beanstandungen und Beratungen

Nach wie vor erfreulich ist, dass die Nachfragen öffentlicher Stellen nach Beratung sowohl postalisch als auch per E-Mail und telefonisch auch in diesem Berichtszeitraum sehr ausgeprägt waren. Gerne komme ich diesen Wünschen nach, muss allerdings dafür um Verständnis bitten, dass ich in Anbetracht meiner begrenzten Personalresourcen und der Vielzahl der Anfragen und Eingaben weiterhin auf einer Vorabbewertung des behördlichen Datenschutzbeauftragten beharren muss und dass auch manche Beratungsleistungen nicht immer in der gewünschten kurzen Zeitspanne erbracht werden können.

2.2.1. Prüfungen

Im Berichtszeitraum 2011/2012 wurde von mir eine ganze Reihe öffentlicher Stellen unter technisch-organisatorischen Datenschutzaspekten geprüft und beraten. Teilweise wurden diese Prüfungen und Beratungen von meinem Technikreferat gemeinsam mit dem jeweils zuständigen Rechtsreferat durchgeführt. Besonders hervorzuheben sind folgende Stellen:

  • AOK Bayern - Die Gesundheitskasse
  • Autobahndirektion Südbayern München
  • Bezirk Oberbayern
  • Mehr als 2.500 staatliche und kommunale Behörden
  • Gesundheitsamt Nürnberg
  • iMVS-Koordinierungsstelle Kempten
  • Isar-Amper-Kliniken Taufkirchen an der Vils
  • Klinikum Garmisch-Partenkirchen
  • Klinisches Krebsregister Bayreuth
  • Klinisches Krebsregister München-Großhadern
  • Klinisches Krebsregister Regensburg
  • Landesamt für Gesundheit und Lebensmittelsicherheit Oberschleißheim
  • Landesamt für Verfassungsschutz
  • Landeskriminalamt
  • Landratsamt Bayreuth
  • Psychiatrische Klinik des Universitätsklinikum Würzburg
  • 6 Sozialbürgerhäuser in München
  • Städtische Klinikum München GmbH
  • Universitätsklinikum München
  • 8 Erhebungsstellen zum Zensus 2011

Auf wesentliche Projekte und Anfragen gehe ich in den unteren Abschnitten im Einzelnen ein.

2.2.2. Beanstandungen

Leider musste ich in diesem Berichtszeitraum im technisch-organisatorischen Bereich auch mehrere Beanstandungen nach Art. 31 Abs. 1 BayDSG aussprechen.

16 Beanstandungen betrafen Städte und Gemeinden, die trotz Aufforderung, den unzulässigen Einsatz von Google Analytics zur Analyse der Nutzerzugriffe (siehe Nr. 2.3.2) auf ihre Webseiten und damit den Einsatz IP-adressenbezogener Auswertungen des Verhaltens von Internetnutzern zu beenden, fortgesetzt haben. Erst nach der formell ausgesprochenen Beanstandung haben auch diese Gemeinden von einer weiteren unzulässigen Nutzung von Google Analytics abgesehen.

Eine Beanstandung betraf ein Kreisjugendamt, weil ich dort tatsächliche Verstöße gegen die Vorschriften des § 35 Abs. 1 Satz 1 SGB I, des § 78 a Satz 1 SGB X und des Art. 7 Abs. 1 BayDSG dergestalt festgestellt habe, dass

  • eine unberechtigte Kenntnisnahme von personenbezogenen Daten (Sozialdaten) von außerhalb des Gebäudes durch die Kellerfenster nicht verhindert und so wenigstens in einem Fall personenbezogene Daten (Sozialdaten) tatsächlich an unberechtigte Dritte offenbart,
  • keine Maßnahmen zur Verhinderung des unberechtigten Zugangs und Zugriffs auf die im Kellerflur des Archivbereichs gelagerten Akten ergriffen und
  • keine ausreichenden technisch-organisatorischen Maßnahmen zur datenschutzgerechten Entsorgung von Fehlablichtungen getroffen worden waren.

Ein Absehen von der Beanstandung gem. Art. 31 Abs. 3 BayDSG schied im vorliegenden Fall aus, da eine unberechtigte Offenbarung von personenbezogenen Daten tatsächlich erfolgt war und nicht mehr ungeschehen gemacht werden konnte. Außerdem war dieser Verstoß schwerwiegend und nicht unerheblich, da es sich bei den offenbarten Daten um besonders schutzwürdige Sozialdaten handelte.

Eine weitere Beanstandung betraf ein Klinikum, weil ich dort einen schwerwiegenden Verstoß gegen den Datenschutz und die Pflicht zur Ergreifung von angemessenen technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten mit besonderem Schutzbedarf (Personalaktendaten) dergestalt feststellen musste, dass

  • zum einen das Kündigungsschreiben des Klinikums an eine Mitarbeiterin in einem Umschlag unter den Scheibenwischer des Fahrzeugs der Mitarbeiterin, das vor ihrer Wohnung geparkt war, angebracht und
  • zum anderen das Kündigungsschreiben in dreifacher Form in drei Briefumschlägen an der Außentüre des Mehrparteienwohnhauses der Mitarbeiterin befestigt worden war.

Ein Absehen von der Beanstandung gem. Art. 31 Abs. 3 BayDSG schied auch in diesem Fall aus, da das Hinterlegen von Personalaktendaten (Kündigungsschreiben) im öffentlichen Raum an einem Fahrzeug und an der Haustüre keine geeignete Maßnahme zur sicheren Übermittlung von besonders schutzwürdigen Daten darstellt und es sich im vorliegenden Fall zwar nicht um den Regelfall, aber doch auch nicht um ein einmaliges Versehen hinsichtlich der Zustellungsart gehandelt hatte.

2.2.3. Nutzung externer Wäschereidienstleistungen in Krankenhäusern und Pflegeeinrichtungen

Im Berichtszeitraum erreichten mich eine ganze Reihe von Eingaben und Anfragen zum Thema der Reinigung von Dienstbekleidung sowie der Reinigung von Patientenbekleidung in Krankenhäusern und Pflegeeinrichtungen durch externe Dienstleister. Dies wird in den verschiedenen Einrichtungen sehr unterschiedlich gehandhabt. Ein Teil der Einrichtungen betreibt hauseigene Wäschereien, ein Teil nutzt externe Dienstleister. Welche Leistungen dabei in Anspruch genommen werden ist sehr vielfältig.

Eine Relevanz aus Datenschutzsicht gewinnt die Nutzung externer Wäschereidienstleister bei der Reinigung von Mitarbeiter- oder Patientenbekleidung immer dann, wenn personenbezogene Daten wie Namen, Funktionsbezeichnung etc. an den externen Dienstleister weitergeben werden. Dies kann zum einen der Fall sein, wenn die zu reinigende Bekleidung mit den Namen der Mitarbeiter oder Patienten beschriftet ist, zum anderen wenn Zusatzleistungen wie z.B. die Erstellung von Namensschildern oder die Verwaltung und Ausgabe beschrifteter Kleidung durch den Dienstleister erbracht werden sollen.

Einordnung aus Datenschutzsicht

Wird dem externen Dienstleister Wäsche übergeben, die mit dem Namen des Mitarbeiters oder des Patienten versehen ist, so handelt es sich um eine Datennutzung durch den externen Dienstleister. Auch wenn der Dienstleister die Namen nicht für seine Aufgabenerfüllung, also die Reinigung der Wäsche benötigt, ist davon auszugehen, dass die Mitarbeiter bei ihren Arbeiten Kenntnis von den Namen erlangen können. Es sind daher gewisse Schutzmaßnahmen erforderlich. Ein besonderes Augenmerk ist hierbei auf infektiöse Wäsche zu richten: Ist infektiöse Wäsche als solche besonders gekennzeichnet und mit personenbezogenen Daten versehen oder weist die einer Person zuzuordnende Wäsche sonstige, besondere Eigenschaften auf, werden nicht nur die Patienten- bzw. die Bewohnereigenschaft, sondern zusätzliche, überdies besonders sensible Gesundheitsdaten weitergegeben. Es bedarf einer Offenbarungsbefugnis auf Seiten des Krankenhauses bzw. der Alten- und/oder Pflegeeinrichtung, die im Normalfall in einer ausdrücklichen Einwilligung des Betroffenen zu sehen sein wird (im Rahmen der vertraglichen Regelung zwischen Einrichtung und Patient oder Bewohner).

Übernimmt die Wäscherei Zusatzaufgaben wie Erstellung von Namensschildern oder die Verwaltung und Ausgabe von mit Namen beschrifteter Bekleidung, müssen personenbezogene Daten (Namen der Mitarbeiter, ggf. Angaben zur Position und zur Tätigkeit etc.) an den externen Dienstleister übermittelt werden. In diesen Fällen handelt es sich um eine Auftragsdatenverarbeitung, für die entsprechende Regelungen getroffen werden müssen. Dies kann in einem eigenen Vertrag zur Auftragsdatenverarbeitung oder aber als Teil des Dienstleistungsvertrags erfolgen.

Erforderliche Schutzmaßnahmen

Grundsätzlich ist immer das Prinzip der Datensparsamkeit zu beachten, d.h. die Abläufe, Bestellungen, Rechnungen etc. müssen so organisiert sein, dass möglichst wenig personenbezogene Daten übermittelt werden bzw. nicht ohne Weiteres einsehbar sind.

Bei einer externen Reinigung beschrifteter Mitarbeiterbekleidung müssen die Mitarbeiter der Einrichtung hierüber im Rahmen des Beschäftigungsverhältnisses informiert werden. Handelt es sich um personenbezogene Patientenbekleidung, müssen die Weitergabe der Wäsche sowie die Schutzmaßnahmen vertraglich zwischen Patient und Auftrag gebender Einrichtung geregelt werden.

Die Beschäftigten des externen Dienstleisters müssen in beiden Fällen über den Umgang mit den personenbezogenen Kleidungsstücken und Namensangaben belehrt und zur Verschwiegenheit verpflichtet werden. Sowohl beim Transport der Wäsche als auch während der Reinigung ist darauf zu achten, dass Unbefugte keine Einsicht in die Beschriftung der Kleidung erhalten können und die für die Reinigung zuständigen Beschäftigten des externen Dienstleisters möglichst wenig Einsicht erhalten.

Besondere Schutzmaßnahmen sind bei personenbezogener infektiöser Wäsche erforderlich, insbesondere darf auf der Verpackung der Wäsche nicht ersichtlich sein, um welchen Patienten es sich handelt. Zudem dürfen Auftragsformulare, Rechnungen etc. keine Angaben zum Namen des Patienten bzw. zur Infektion enthalten.

Die ergriffenen Schutzmaßnahmen sowie die Pflichten des Dienstleisters und des Auftraggebers beim Umgang mit personenbezogener Kleidung müssen im Vertrag mit der Wäscherei mit festgelegt werden.

Handelt es sich nicht nur um eine Datennutzung, sondern eine Auftragsdatenverarbeitung, bei der der externe Dienstleister Namenslisten etc. erhält, um gewisse Tätigkeiten damit auszuführen, ist eine vertragliche Regelung zur Auftragsdatenverarbeitung erforderlich. Hierbei müssen u.a. folgende Punkte geregelt werden: Aufgaben des Auftragnehmers, Zweckbindung der Daten, Verschwiegenheitspflichten der Mitarbeiter des Dienstleisters, Kontrollrechte des Auftraggebers, Regelungen zum Umgang mit den Daten, technisch-organisatorische Sicherheitsmaßnahmen insbesondere wenn die Daten per E-Mail übermittelt werden, Datenlöschung. Für eine ausführliche Darstellung der Thematik Auftragsdatenverarbeitung siehe auch die Orientierungshilfe Auftragsdatenverarbeitung, abrufbar unter www.datenschutz-bayern.de.

Insgesamt betrachtet sollten vor dem Einsatz eines externen Dienstleisters von der Auftrag gebenden Stelle daher unter Beachtung des Prinzips der Datensparsamkeit immer folgende Punkte geprüft und entsprechend geregelt werden:

  • Festlegung der vom externen Dienstleister zu erbringenden Leistungen und Prüfung, ob personenbezogene Wäschestücke oder Daten weitergegeben werden
  • Information der eigenen Mitarbeiter im Rahmen des Beschäftigungsverhältnisses über die Weitergabe beschrifteter Kleidung oder von Namenslisten
  • Vertragliche Regelungen mit dem Patienten bei der externen Reinigung personenbezogener Patientenwäsche
  • Prüfung der erforderlichen vertraglichen Regelungen mit dem externen Dienstleister
  • Vertragliche Regelungen zum Umgang mit personenbezogener Wäsche
  • Auftragsdatenverarbeitung bei der Weitergabe von Namenslisten
  • Regelung von Unterauftragsverhältnissen
  • Inhaltlich zu klärende Aspekte
  • Datenschutzgerechte Abläufe bei Bestellung und Erstellung von personalisierter Kleidung beim Dienstleister
  • Verfahrensweisen zum datenschutzgerechten Transport der Wäsche
  • Regelungen zum Umgang mit beschrifteter Kleidung während der Reinigung beim externen Dienstleister
  • Regelungen zum Umgang mit Namenslisten durch die Beschäftigten des externen Dienstleisters
  • Verschwiegenheitspflichten der Beschäftigten des externen Dienstleisters
  • Umgang mit personenbezogener infektiöser Wäsche
  • Technisch-organisatorische Maßnahmen beim Dienstleister zum Schutz vor unbefugter Kenntnisnahme
  • Datenschutzgerechte Gestaltung von Rechnungen

2.2.4. Teleradiologie mit externem Dienstleister

Es ist zu beobachten, dass Krankenhäuser zunehmend im Bereich der Teleradiologie kooperieren. Um nicht selbst eine Kommunikationsinfrastruktur zum Austausch von Radiologiedaten schaffen zu müssen, besteht von Seiten der Krankenhäuser häufig der Wunsch nach einer Beteiligung externer Dienstleister. Demgemäß sind verschiedenste kommerzielle Anbieter aus der Privatwirtschaft tätig. Deren Angebote umfassen z.B. die Bereitstellung einer technischen Kommunikationsinfrastruktur inklusive Sicherheitsmaßnahmen wie Authentifizierung, VPN etc., an die das Krankenhaus nur noch angebunden werden muss. Zudem wird die benötigte Software zum Bereitstellen, Empfangen und Betrachten von Daten etc. angeboten. Der Betrieb und die Wartung der Infrastruktur sowie die Installation vor Ort werden ebenfalls vom Dienstleister angeboten.

Allerdings ist bei einer Beteiligung externer Dienstleister immer zu beachten, dass personenbezogene medizinische Daten mit einem erhöhten Schutzbedarf versehen und durch die ärztliche Schweigepflicht besonders geschützt sind. Zudem gilt in Bayern Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG), der festlegt, dass personenbezogene medizinische Daten im Gewahrsam des Krankenhauses verbleiben müssen.

Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG)

Die Krankenhausärzte dürfen Patientendaten nutzen, soweit dies im Rahmen des krankenhausärztlichen Behandlungsverhältnisses, zur Aus-, Fort- und Weiterbildung im Krankenhaus, zu Forschungszwecken im Krankenhaus oder im Forschungsinteresse des Krankenhauses erforderlich ist. Sie können damit andere Personen im Krankenhaus beauftragen, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist; zu Zwecken der Forschung nach Satz 1 können sie anderen Personen die Nutzung von Patientendaten gestatten, wenn dies zur Durchführung des Forschungsvorhabens erforderlich ist und die Patientendaten im Gewahrsam des Krankenhauses verbleiben. Diese Personen sind zur Verschwiegenheit zu verpflichten. Die Krankenhausverwaltung darf Patientendaten nutzen, soweit dies zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich ist. Das Krankenhaus kann sich zur Verarbeitung und Mikroverfilmung von Patientendaten anderer Personen oder Stellen bedienen, wenn es sicherstellt, dass beim Auftragnehmer die besonderen Schutzmaßnahmen nach Abs. 6 eingehalten werden, und solange keine Anhaltspunkte dafür bestehen, dass durch die Art und Ausführung der Auftragsdatenverarbeitung schutzwürdige Belange von Patienten beeinträchtigt werden. Zur Verarbeitung oder Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen.

Daher ist ein besonderes Augenmerk auf die genaue vertragliche Ausgestaltung und die Eigentumsverhältnisse bezüglich der Infrastrukturkomponenten zu richten:

Es ist beispielsweise denkbar, dass sich die Infrastrukturkomponenten im Eigentum und auch in den Räumen eines Krankenhauses befinden und der externe Dienstleister nur mit Wartungsaufgaben betraut ist. Die Daten würden somit nicht den Gewahrsam eines Krankenhauses verlassen. Für die Beteiligung des externen Dienstleisters wären dann Maßnahmen analog zur Fernwartung erforderlich (siehe hierzu 18. Tätigkeitsbericht, Nr. 3.3.4).

Befinden sich die Komponenten dagegen in einem Rechenzentrum des Dienstleisters, so muss sichergestellt sein, dass dieser nicht auf personenbezogene medizinische Daten zugreifen kann - dies kann nur durch eine geeignete Datenverschlüsselung oder Pseudonymisierung erreicht werden. Zudem muss die Frage geklärt werden, wie eine Trennung von Datenströmen und Kommunikationsbeziehungen anderer Kunden des Dienstleisters erfolgt.

Die Nutzung der Kommunikationsinfrastruktur eines externen Dienstleisters stellt hohe Anforderungen an die Absicherung der Datenübertragung. Wie auch im Bereich der externen elektronischen Archivierung gilt die Grundannahme, dass medizinische Daten nur an externe Dienstleister weitergegeben werden dürfen, wenn für den Dienstleister auch bei einer Möglichkeit zur Einsichtnahme in die übertragenen Daten kein Personenbezug herstellbar ist (siehe hierzu 21. Tätigkeitsbericht, Nr. 22.2.3.2). Dies kann z.B. über eine Pseudonymisierung oder über eine Ende-zu-Ende-Verschlüsselung erreicht werden.

Eine Pseudonymisierung muss so ausgestaltet sein, dass auf Seiten des Krankenhauses, das die Daten übertragen möchte, alle identifizierenden Daten (Name, Adresse, Geburtsdatum, KV-Nummer etc.) aus den Daten entfernt werden. Dies betrifft sowohl DICOM-Bilder und Metadaten als auch Textdokumente wie z.B. Befunde. Die identifizierenden Daten müssen durch ein nichtsprechendes Pseudonym ersetzt werden. Das Verfahren zur Pseudonymgenerierung sowie entsprechende Schlüssel dürfen dem Dienstleister nicht bekannt oder zugänglich sein, sondern müssen in der ausschließlichen Hoheit des Krankenhauses verbleiben. Dies betrifft insbesondere auch die Hardware-Komponenten, auf denen die Schlüssel abgelegt werden bzw. die Pseudonymisierung erfolgt. Hier dürfen keine Wartungszugänge für den Dienstleister bestehen.

Bei einer Verschlüsselung der übertragenen Daten muss ebenfalls sichergestellt sein, dass der Dienstleister keine Möglichkeit zur Entschlüsselung der Daten hat. Dies bedeutet, dass eine Ende-zu-Ende-Verschlüsselung nötig ist: Die Ver- und Entschlüsselung darf nur innerhalb eines Krankenhauses erfolgen und der externe Dienstleister darf keinen Zugriff auf die Schlüssel und die entsprechenden Speicherkomponenten nehmen können. Während des gesamten Datentransports über die technische Infrastruktur, ebenso wie bei (temporären) Speicherungen auf Servern des Dienstleisters müssen die Daten verschlüsselt bleiben; der Dienstleister darf auch im Rahmen von Wartungsaufgaben keinen Zugriff auf personenbezogene medizinische Daten erhalten.

Neben diesen Spezialfragen zur Datenübertragung müssen für die Infrastruktur sowie für die angeschlossenen Endgeräte im Krankenhaus Maßnahmen zur Sicherstellung der Integrität, Authentizität, Vertraulichkeit, Verfügbarkeit und Revisionsfähigkeit bzw. die Anforderungen des Art. 7 BayDSG umgesetzt werden. Es empfiehlt sich daher immer die Erstellung eines Datenschutz- und Sicherheitskonzepts sowohl von Seiten des Dienstleisters als auch bezüglich der Anbindung des Klinikums an die Infrastruktur bzw. der Nutzung der Teleradiologie im Klinikum.

2.2.5. Telearbeit im Krankenhaus und mit Sozialdaten

Bisher wurde Telearbeit mit Sozialdaten sowie im Krankenhausbereich aufgrund der besonderen Sensibilität der Daten als unzulässig angesehen. Ohne dass rechtliche Änderungen eingetreten sind, gibt es jedoch aus technischer Sicht einige Entwicklungen, die zumindest einen Teil der bisherigen technischen Hinderungsgründe ausräumen können, so dass auch in diesen Bereichen nach genauer Prüfung und Abwägung verschiedener Aspekte eine Telearbeit denkbar sein kann (siehe Nr. 2.1.4 und Nr. 7.3).

Durch technische Entwicklungen wie Desktop-Virtualisierung, Terminalserver und VPNs kann heute Telearbeit derart realisiert werden, dass der Rechner am Telearbeitsplatz ausschließlich dazu dient, eine gesicherte Verbindung zu den Servern der Dienststelle aufzubauen und die Eingaben des Benutzers an den Server weiterzuleiten bzw. Daten am Bildschirm anzuzeigen. Hierzu wird dem Benutzer an seinem Telearbeitsplatz eine eigene virtuelle Umgebung bereitgestellt, über die das Login auf den zentralen Systemen der Dienststelle erfolgt. Alle Tätigkeiten werden dann direkt auf dem Server der Dienststelle ausgeführt, eine lokale Speicherung am Telearbeitsplatz ist nicht möglich. Nach dem Beenden der virtuellen Umgebung sind auf dem Telearbeitsrechner keinerlei Daten mehr vorhanden. Damit entfällt beispielsweise der Bedarf einer Festplattenverschlüsselung, Absicherung gegen Verlust des Geräts etc. Allerdings müssen weiterhin diverse Maßnahmen zur technischen Sicherung des Systems getroffen werden:

  • Keine Nutzung von Privatgeräten: Die Rechner (PC, Notebook etc.), über die ein Zugriff erfolgt, müssen Eigentum des Dienstherrn sein und von dessen Administratoren gewartet werden.
  • Beschränkter Systemzugriff: Ein Zugriff darf nur auf diejenigen Systeme möglich sein, die für die konkrete Aufgabe erforderlich sind.
  • Protokollierung: Alle Zugriffe müssen protokolliert werden, um eine missbräuchliche Nutzung feststellen zu können.
  • Authentifizierung: Es muss ein starkes Authentifizierungsverfahren verwendet werden, das über die Verwendung von Benutzerkennung und Passwort hinausgeht. Für medizinische Daten ist hierbei die Entschließung "Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze" der 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16./07.03.2011 zu beachten.
  • Gesicherte Datenübertragung: Die Datenübertragung zwischen den Servern der Dienststelle und dem Telearbeitsplatz muss verschlüsselt erfolgen. Zudem empfiehlt sich eine gegenseitige Hardware-Authentifizierung der Geräte. Des Weiteren muss sichergestellt sein, dass keine Unbefugten sich über diese technische Zugangsmöglichkeit Zugriff auf die Systeme des Klinikums und die darauf gespeicherten Daten verschaffen können.
  • Schriftliche Regelungen: Es muss schriftliche Dienstanweisungen/Dienstvereinbarungen/Richlinien geben, wie mit den Geräten und Zugriffsmöglichkeiten zu verfahren ist und welche Pflichten für den Nutzer bestehen.

Nach wie vor besteht allerdings das Problem einer unberechtigten Einsichtnahme in die gerade am Bildschirm angezeigten Daten durch z.B. Familienmitglieder. Bei Verzicht auf einen lokalen Drucker am Telearbeitsplatz werden auch die Probleme der Fertigung von Bildschirmausdrucken, Behandlung von Fehldrucken, unberechtigte Kenntnisnahme, Transport der Ausdrucke sowie der zugehörigen Logistik vermieden.

Es ist daher immer eine Abwägung zwischen dem Nutzen und den Risiken der Telearbeit erforderlich. Ist im Rahmen der Telearbeit auch der Transport von Akten oder die Möglichkeit zur Erstellung von Ausdrucken zu Hause nötig, so gelten weiterhin die Anforderungen der entsprechenden älteren Tätigkeitsberichte.

Entschließung der 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 16./17.03.2011

Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze

Niedergelassene Ärztinnen und Ärzte sowie andere Angehörige von Heilberufen übermitteln vielfach medizinische Daten an andere Stellen mithilfe von Netzwerken. Dies dient Abrechnungs-, Behandlungs- und Dokumentationszwecken. Seit dem 01.01.2011 müssen beispielsweise an der vertragsärztlichen Versorgung teilnehmende Ärzte Abrechnungsdaten leitungsgebunden an die jeweilige Kassenärztliche Vereinigung übermitteln (§ 295 Abs. 4 SGB V in Verbindung mit den Richtlinien der Kassenärztlichen Bundesvereinigung für den Einsatz von IT-Systemen in der Arztpraxis zum Zweck der Abrechnung; siehe http://www.kbv.de/rechtsquellen/24631.html (externer Link).

An medizinische Netze sind hohe Anforderungen hinsichtlich der Vertraulichkeit und Integrität zu stellen, denn sowohl in den Netzen selbst als auch auf den angeschlossenen Praxissystemen werden Daten verarbeitet, die der ärztlichen Schweigepflicht (§ 203 StGB) unterliegen. Bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze ist daher die "Technische Anlage zu den Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis" der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung (siehe Deutsches Ärzteblatt, Jg. 105, Heft 19 vom 09.05.2008) zu beachten.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert, dabei insbesondere folgende Mindestanforderungen zu stellen:

  1. Die Kommunikation im Netz muss verschlüsselt ablaufen. Hierzu sind dem Stand der Technik entsprechende Verfahren zu nutzen.
  2. Ein unbefugter Zugriff auf die internen Netze der Praxis oder Einrichtung muss ausgeschlossen sein.
  3. Die Auswirkungen von Fehlkonfigurationen im internen Netz müssen wirksam begrenzt werden.
  4. Die Endpunkte der Kommunikation müssen sich gegenseitig durch dem Stand der Technik entsprechende Verfahren authentisieren.
  5. Die Wartung der zum Netzzugang eingesetzten Hard- und Software-Komponenten muss kontrollierbar sein, indem die Wartung durch eine aktive Handlung freizuschalten ist und alle Wartungsaktivitäten protokolliert werden.
  6. Zum Netzzugang sind zertifizierte Hard- und Software-Komponenten einzusetzen.
  7. Grundstandards - wie beispielsweise die Revisionssicherheit - sind einzuhalten.

Für die verwendeten Verschlüsselungs- und Authentisierungskomponenten sollten Hardware-Lösungen genutzt werden, da bei Software ein erhöhtes Manipulationsrisiko besteht.

Software-Lösungen kommen allenfalls in Ausnahmefällen in Betracht, wenn die zur Kommunikation mit anderen Stellen genutzten Rechner und Komponenten nicht mit dem internen Netz der Praxis verbunden sind. Zusätzlich ist sicherzustellen, dass

entweder

  1. nur solche Daten gesendet werden, die bereits innerhalb des Praxisnetzes verschlüsselt und integritätsgeschützt wurden

oder

    • eine Zwei-Faktor-Authentifikation des Berechtigten stattfindet,
    • mit der zum Zugang verwendeten Hard- und Software ausschließlich Zu gang zu medizinischen Netzen besteht sowie
    • die KBV-Richtlinien zur Online-Anbindung von Praxis-EDV-Systemen an das KV-SafeNet eingehalten werden.

2.2.6. IT-Abschottung von Statistikstellen

Im Berichtszeitraum haben sich mehrere Kommunen mit der Bitte um Beratung an mich gewandt, weil sie eigene Statistikstellen einrichten wollen. Werden Statistiken außerhalb des Landesamts für Statistik und Datenverarbeitung (LfStaD) durchgeführt, so sind insbesondere die Vorgaben der Art. 20 und 21 Bayerisches Statistikgesetz (BayStatG) zu beachten:

Art. 20 Bayerisches Statistikgesetz (BayStatG)

(1) Werden Statistiken außerhalb des Landesamts durchgeführt, so sind besondere Statistikstellen einzurichten. Nichtstatistische Aufgaben des Verwaltungsvollzugs dürfen ihnen nicht übertragen werden. Statistikstellen veröffentlichen die Ergebnisse ihrer Statistiken oder stellen sie in sonstiger Weise bereit.

(2) Für jede Statistikstelle ist jemand zu bestimmen, der diese leitet. Statistikstellen sind räumlich und organisatorisch von anderen Verwaltungsstellen zu trennen, gegen den Zutritt unbefugter Personen hinreichend zu sichern und mit Personal auszustatten, das die Gewähr für Zuverlässigkeit und Verschwiegenheit bietet.

Art. 21 Bayerisches Statistikgesetz (BayStatG)

(1) Das Landesamt ist bei Statistiken, die es als allgemeine Aufgabe durchführt, Erhebungsstelle.

(2) Die Staatsregierung wird ermächtigt, durch Rechtsverordnung zu bestimmen, dass andere staatliche Stellen sowie Gemeinden Erhebungsstellen einzurichten oder in sonstiger Weise an der Durchführung amtlicher Statistiken mitzuwirken haben, wenn das wegen der Art der Erhebung, der Zahl oder der räumlichen Verteilung der zu Befragenden oder zur Sicherung der Qualität der Erhebung zweckmäßig ist. Eine aufsichtliche Zuständigkeit des Landesamts wird durch eine solche Bestimmung nicht begründet. Landratsämter erfüllen die Aufgaben der Erhebungsstellen als Staatsaufgaben; für Gemeinden handelt es sich um Aufgaben des übertragenen Wirkungskreises, die sie auch nach den Vorschriften des Gesetzes über die kommunale Zusammenarbeit erfüllen können.

(3) Die Erhebungsstellen nach Absatz 2 Satz 1 führen in ihrem jeweiligen Zuständigkeitsbereich die statistischen Erhebungen durch. Art. 20 Abs. 2 und 3 gelten entsprechend mit der Maßgabe, dass die räumliche und organisatorische Trennung von anderen Verwaltungsstellen ab dem Eingang der Erhebungsunterlagen bis zu ihrer Ablieferung sicherzustellen ist. ...

Unter dieses von Art. 21 Abs. 3 Satz 1 BayStatG geforderte Abschottungsgebot fällt auch die Trennung der IT-Infrastruktur der Statistikstellen vom übrigen Verwaltungsnetz. Die Trennung der IT-Infrastruktur der Statistikstellen vom übrigen Verwaltungsnetz trägt in besonderer Weise dem Datenschutzziel der Nichtverkettbarkeit Rechnung. Da es in Bayern für die dabei zu treffenden Abschottungsmaßnahmen - insbesondere im IT-Bereich - keine weiterführende rechtliche Regelung gibt, hat das LfStaD in Abstimmung mit meiner Geschäftstelle einen "Leitfaden zur Einrichtung abgeschotteter kommunaler Statistikstellen in Bayern" erstellt. In diesem Leitfaden wird dargestellt, welche Maßnahmen zu ergreifen sind, um die Anforderung nach ausreichender Abschottung zu erfüllen.

Insbesondere werden den kreisfreien Städten und Landkreisen zwei Varianten bezüglich der IT-Abschottung ihrer Statistikstellen aufgezeigt.

Bei der ersten Variante befinden sich sämtliche IT-Komponenten innerhalb der abgeschotteten Statistikstelle und werden ausschließlich vom eigenen Personal der Statistikstelle betrieben. Diese Vorgehensweise ist grundsätzlich zu bevorzugen, da hier sämtliche Zuständigkeiten in der Hand der Statistikstelle bleiben und somit die Abschottung am zuverlässigsten gewährleistet werden kann.

Nach der zweiten Variante werden ein oder mehrere Server, auf dem/denen statistische Einzeldaten gespeichert sind, außerhalb der abgeschotteten Statistikstellen in einem kommunalen Rechenzentrum installiert. In diesem Fall müssen die Daten verschlüsselt gespeichert werden. Die Verschlüsselung muss auch gegenüber der Systemverwaltung wirken, soweit sie nicht von Mitarbeitern der Statistikstelle gestellt wird (d.h. die Verschlüsselung muss bereits vor der Übertragung der Einzeldaten auf den Statistikdatenserver erfolgen).

Zusätzlich besteht in Anlehnung an die Variante 1 die Möglichkeit, dass mehrere kleinere Gemeinden die Aufgaben einer abgeschotteten Statistikstelle im Wege der interkommunalen Zusammenarbeit (nach dem Gesetz über die kommunale Zusammenarbeit - KommZG) einer gemeinsamen Statistikstelle übertragen und so eine bestmögliche Abschottung erfüllbar machen.

Das LfStaD hat zugesagt, diesen Leitfaden dem Bayerischen Städtetag und dem Landkreistag zu präsentieren.

Ich werde zukünftig bei der Kontrolle von Statistikstellen die Einhaltung der beiden aufgezeigten Wahlmöglichkeiten überprüfen.

2.2.7. Bestellung eines externen Datenschutzbeauftragten

Auch in diesem Berichtszeitraum haben sich wieder eine Reihe öffentlicher Stellen mit dem Vorbringen, die Funktion des behördlichen Datenschutzbeauftragten einem Externen übertragen zu wollen, an mich gewandt und diesbezüglich um Beratung gebeten. Hierzu ist unter Beachtung der Bestimmungen der Art. 25 Abs. 2 und Art. 28 Abs. 2 Bayerisches Datenschutzgesetz (BayDSG) Folgendes festzustellen:

Art. 25 Bayerisches Datenschutzgesetz (BayDSG)

(2) Öffentliche Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, haben einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu bestellen. Mehrere öffentliche Stellen können gemeinsam einen ihrer Beschäftigten bestellen; bei Staatsbehörden kann die Bestellung auch durch eine höhere Behörde erfolgen.

Art. 25 Abs. 2 Satz 1 BayDSG bestimmt, dass grundsätzlich jede öffentliche Stelle in Bayern einen behördlichen Datenschutzbeauftragten zu bestellen hat. Nur wenn die Voraussetzungen des Art. 28 Abs. 2 BayDSG vorliegen, sind bayerische öffentliche Stellen von der Pflicht, einen behördlichen Datenschutzbeauftragten zu haben, entbunden.

Art. 28 Abs. 2 Bayerisches Datenschutzgesetz (BayDSG)

(2) Die Bestellung behördlicher Datenschutzbeauftragter, die datenschutzrechtliche Freigabe und die Führung eines Verfahrensverzeichnisses sind nicht erforderlich, wenn in öffentlichen Stellen ausschließlich automatisierte Verfahren eingesetzt werden, von denen unter Berücksichtigung der erhobenen, verarbeiteten oder genutzten Daten eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen unwahrscheinlich ist. Die Staatsministerien regeln für ihren Geschäftsbereich und für die unter ihrer Aufsicht stehenden juristischen Personen des öffentlichen Rechts durch Rechtsverordnung, bei welchen öffentlichen Stellen die Voraussetzungen des Satzes 1 erfüllt sind.

Desweiteren bestimmt Art. 25 Abs. 2 Satz 1 BayDSG, dass der behördliche Datenschutzbeauftragte ein eigener Beschäftigter sein muss - die Bestellung eines Externen scheidet danach aus. Ein Externer kann nur dann behördlicher Datenschutzbeauftragter einer öffentlichen Stelle sein, wenn ein Bediensteter aus einer öffentlichen Stelle für mehrere öffentliche Stellen gemeinsam zum behördlichen Datenschutzbeauftragten bestellt wurde - dann ist dieser aus Sicht der anderen öffentlichen Stellen ein externer Beschäftigter (Art. 25 Abs. 2 Satz 2 BayDSG).

Den an mich herangetragenen Fragestellungen und Absichten lag jedoch keine der o.g. Bestimmungen zugrunde, sondern vielmehr, ein Unternehmen oder einen freiberuflich Tätigen mit der Aufgabe des behördlichen Datenschutzbeauftragten zu betrauen - also einen im wahrsten Sinne des Wortes Externen zum behördlichen Datenschutzbeauftragten zu bestellen. Dies ist wie oben ausgeführt nach der bestehenden Rechtslage jedoch nicht zulässig.

Auch wenn öffentliche Stellen keinen Externen (im klassischen Sinn) zum behördlichen Datenschutzbeauftragten berufen dürfen, so ist ihnen aber gleichwohl unbenommen, mit einem Externen einen Beratungsvertrag bezüglich des Datenschutzes abschließen.

Sollte eine entsprechende Änderung im BayDSG angestrebt werden, so würde ich zu dieser erhebliche Bedenken geltend machen; denn im Rahmen seiner Aufgabenerfüllung als behördlicher Datenschutzbeauftragter würde der Externe/private Dritte ggf. Kenntnis von personenbezogenen Daten von Bürgerinnen und Bürgern erhalten (müssen), die diese nicht immer freiwillig, sondern u.U. nur aufgrund gesetzlicher Vorschriften und Normen öffentlichen Stellen gegenüber offenbart und diesen überlassen haben. Dies würde m.E. die besondere Schutzverpflichtung der öffentlichen Stellen hinsichtlich dieser Daten konterkarieren.

Weitere Informationen zum Thema "Der behördliche Datenschutzbeauftragte" enthält die gleichnamige Orientierungshilfe, abrufbar auf meiner Homepage www.datenschutz-bayern.de im Bereich "Veröffentlichungen / Broschüren / Orientierungshilfen".

2.2.8. Einsatz von Praktikanten

Gemäß Art. 17 Abs. 1 Nr. 1 Bayerisches Datenschutzgesetz (BayDSG) darf jeder Mitarbeiter einer Behörde oder Kommune nur auf die personenbezogenen Daten zugreifen, die er zur Erfüllung seiner Aufgaben benötigt.

Diese strenge gesetzliche Verpflichtung gilt natürlich erst recht für Praktikanten. Bei dieser Personengruppe ist außerdem die Bestimmung aus Art. 17 Abs. 3 Satz 2 BayDSG zu beachten, nach der die Verarbeitung und die Nutzung der bei einer öffentlichen Stelle gespeicherten personenbezogenen Daten zu Ausbildungszwecken nur zulässig sind, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der Betroffenen - also der Personen, deren Daten gespeichert sind - entgegenstehen.

Offensichtlich überwiegende schutzwürdige Interessen stehen insbesondere dann der Verwendung der personenbezogenen Daten zu Ausbildungszwecken entgegen, wenn die Betroffenen dem Auszubildenden bekannt sind und deshalb möglicherweise ein über das Ausbildungsinteresse hinausgehendes Interesse des Auszubildenden an der Kenntnis der personenbezogenen Daten der Betroffenen besteht.

In einer kleinen Gemeinde ist typischerweise davon auszugehen, dass jeder Praktikant zumindest einen Großteil der Gemeindebürger und -bürgerinnen persönlich kennt. Da in der Gemeinde aber viele schutzwürdige Daten der Gemeindebürger - und bürgerinnen verarbeitet und genutzt werden, besteht hier das Risiko der zweckwidrigen Verwendung durch einen Praktikanten.

In diesen Fällen stehen daher aus datenschutzrechtlicher Sicht die offensichtlich überwiegenden schutzwürdigen Interessen der Bürgerinnen und Bürger, deren personenbezogene Daten bei der öffentlichen Stelle gespeichert sind und verarbeitet werden, dem Einsatz von Praktikanten entgegen.

2.3. Fortentwicklungen aus vorangegangenen Tätigkeitsberichten

2.3.1. Zentralisierung des Active Directory Betriebs

Da die Gefahr noch nicht beseitigt ist, dass auch möglicherweise schwerwiegende Probleme beim Betrieb der Active Directory (AD) Umgebung im Freistaat Bayern entstehen können, wurde von den IuK-Leitern der Staatskanzlei und der Ressorts (CIO-Vorrunde) beschlossen, eine konzeptionelle Grundlage für die Neustrukturierung des AD zu erarbeiten (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.1.3). Der erste Schritt dieses Vorhabens ist dabei die Zentralisierung der Betriebsverantwortung für die einzelnen Domänen des AD in den beiden Rechenzentren des Freistaats.

Wie bereits in meinem 24. Tätigkeitsbericht geschildert, besteht aus datenschutzrechtlicher Sicht die einzige Möglichkeit, die Administration und den IT-Betrieb außerhalb des eigenen Bereichs zu geben, in der sogenannten Datenverarbeitung im Auftrag gemäß Art. 6 BayDSG. Nach Art. 6 Abs. 2 Satz 2 BayDSG ist der Auftrag schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.

Bis zum Ende dieses Berichtszeitraums wurden meines Wissens noch keine derartigen Verträge geschlossen, so dass mir eine Prüfung bis jetzt nicht möglich war. Ich wurde aber in die Erarbeitung einer Mustervereinbarung eingebunden, die als Grundlage für einen Vertragsschluss dienen kann (siehe Nr. 2.1.6).

In naher Zukunft werde ich das Vorliegen und die Inhalte der Vereinbarungen zwischen den Rechenzentren und den entsprechenden Auftrag gebenden Dienststellen prüfen. Eine Auftragsdatenverarbeitung ohne schriftliche vertragliche Regelung werde ich als unzulässig bewerten.

2.3.2. Google Analytics - Benutzerstatistiken von Internetauftritten

Bereits im September 2010 habe ich die bayerischen Behörden aufgefordert, auf den Einsatz von Google Analytics gänzlich zu verzichten oder zumindest einen Zusatzcode zu verwenden, der die Identität von Webnutzern verschleiert (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.1.6).

Im Laufe des Jahres 2011 prüfte ich daraufhin über 2500 Internetauftritte von Ministerien, Fachbehörden, Landratsämtern, Städten und Gemeinden in Bayern hinsichtlich der dortigen Verwendung von Google Analytics. Dabei stellte ich bei 222 überprüften Behörden - ganz überwiegend Kommunen - einen unzulässigen Einsatz von Google Analytics zur Analyse der Nutzerzugriffe auf ihre Webseiten fest. Nur zwei Behörden hatten dabei Anonymisierungsmechanismen verwandt.

Der daraufhin folgenden, direkten Aufforderung an die betroffenen 222 Behörden, unverzüglich auf den Einsatz IP-adressenbezogener Auswertungen des Verhaltens von Internetnutzern zu verzichten, folgten 208 öffentliche Stellen

Die Betreiber der 14 Webseiten, die meiner Aufforderung nicht nachkamen, habe ich förmlich beanstandet, wonach auch diese von einem weiteren unzulässigen Einsatz absahen.

Im Jahr 2012 führte ich mehrere Nachprüfungen durch, die immer wieder einigen neu hinzugekommenen, unzulässigen Gebrauch von Google Analytics bei bayerischen Behörden aufdeckten und in letzter Konsequenz zwei weitere Beanstandungen ergaben.

Noch nie zuvor hat der Bayerische Landesbeauftragte für den Datenschutz derartig viele öffentliche Stellen gleichzeitig geprüft. Auch die Anzahl der Beanstandungen und Nachprüfungen lag weit über dem bisher Üblichen. Das Datenschutzniveau auf mehreren hundert Webseiten sowie das Datenschutzbewusstsein bei vielen öffentlichen Stellen wurde dadurch deutlich verbessert. Bei meiner letzten Überprüfung aller über 2500 Webseiten im Jahre 2012 konnte ich keinen einzigen unzulässigen Einsatz mehr feststellen.

An der aus dem Telemediengesetz (TMG) resultierenden rechtlichen Unzulässigkeit, Google Analytics ohne zusätzliche Maßnahmen einzusetzen, hat sich nach wie vor nichts geändert. Ein Einsatz kann jedoch zulässig sein, wenn

  • die Google Analytics Funktion _anonymizeIP zur automatischen Verkürzung der IPv4-Adressen der Webseitenbesucher bei der Datenspeicherung bei Google verwendet wird,
  • die Nutzer der Webseite in deutlicher Form etwa in der Datenschutzerklärung auf ihr Recht hingewiesen werden, einer Auswertung ihrer Daten zu widersprechen und
  • derartige Widersprüche wirksam umgesetzt werden können, etwa durch einen Verweis in der Datenschutzerklärung auf geeignete Browser-Plugins.

Google bietet darüber hinaus für die Verwendung der anonymizeIP einen Vertrag zur Auftragsdatenverarbeitung an, der den ordnungsgemäßen Umgang mit den Daten der Webseitenbesucher regelt.

2.3.3. Cloud Computing

Auch wenn die Verwendung von Cloud Computing im öffentlichen Bereich noch keine große Verbreitung gefunden hat, so erreichen mich doch vereinzelte Anfragen, ob bayerische öffentliche Stellen Cloud Dienste einsetzen können und unter welchen Voraussetzungen dies möglich sein kann (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.1.5).

Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.09.2011

Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert Cloud-Anbieter auf, ihre Dienstleistungen datenschutzkonform zu gestalten. Cloud-Anwender hingegen dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben.

Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung. Cloud-Computing darf nicht dazu führen, dass Daten verarbeitende Stellen, allen voran ihre Leitung, nicht mehr in der Lage sind, die Verantwortung für die eigene Datenverarbeitung zu tragen.

Zu verlangen sind also mindestens

  • offene, transparente und detaillierte Informationen der Cloud-Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud-Anbietern wählen zu können,
  • transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und zur Interoperabilität,
  • die Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender und
  • aktuelle und aussagekräftige Nachweise (bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.

Die Datenschutzbeauftragten des Bundes und der Länder bieten ihre Unterstützung bei der Entwicklung und bei der Nutzung von Cloud-Computing-Diensten an. Details zur datenschutzgerechten Ausgestaltung dieser Dienste sind einer Orientierungshilfe der Arbeitskreise "Technik" und "Medien" zu entnehmen, die die Datenschutzkonferenz zustimmend zur Kenntnis genommen hat.

Gerade bezüglich der transparenten, detaillierten und eindeutigen vertraglichen Regelungen zum Ort der Datenverarbeitung gibt es bei vielen Anbietern nach wie vor meist keine den gesetzlichen Vorgaben für bayerische öffentliche Stellen genügenden Angebote.

Im Grundsatz hat sich unter anderem deswegen gegenüber meiner bisherigen Empfehlung für öffentliche Stellen keine Veränderung ergeben, bei der Inanspruchnahme von Cloud Diensten äußerste Zurückhaltung walten zu lassen. Auf die europäischen Entwicklungen bin ich weiter oben bereits eingegangen (siehe Nr. 1.2).

2.3.4. Sparen an der falschen Stelle

In meinem letzten Tätigkeitsbericht habe ich darauf hingewiesen, dass monetäre Einsparungen bei der Briefzustellung unerwünschte datenschutzrechtliche Auswirkungen haben können (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.2.2).

Ich hatte in dem erwähnten Beitrag darüber berichtet, dass sich verschiedene Petenten an meine Geschäftstelle gewandt und sich darüber beschwert hatten, dass der Datenschutz bei der Zustellung von Schreiben aus den Bereichen des Landesamtes für Finanzen und des Landesamtes für Steuern nicht gewährleistet sei. Aufgrund dieser Beschwerden hatten die beiden Landesämter den Vertrag mit dem damaligen Postzusteller gekündigt und einen neuen damit beauftragt.

Seitdem wurden mir keine neuen Beschwerden über die ungeeignete Zusendung von personenbezogenen Daten bekannt, sodass sich zumindest bisher meine Hoffnung erfüllt hat, dass nunmehr der Datenschutz beim Briefpostversand der beiden Landesämter gewährleistet ist. Manchmal ist es eben doch besser, nicht den billigsten, sondern den zuverlässigsten Dienstleister zu beauftragen.

2.3.5. Datenschutzrechtliche Vorgaben für den Internetauftritt staatlicher Behörden

Das Bayerische Staatsministerium des Innern hat ein - mit mir abgestimmtes - Muster für das Impressum und die Datenschutzerklärung der Internetseiten staatlicher Behörden erarbeitet.

Mit dem Muster soll den Verantwortlichen die rechtssichere Formulierung dieser Pflichtbestandteile des Internetauftritts erleichtert und eine möglichst einheitliche Erfüllung gesetzlicher Anforderungen erreicht werden.

Dieses - zum Zeitpunkt des Redaktionsschlusses für diesen Tätigkeitsbericht leider noch nicht veröffentlichte - Muster wurde sowohl den Obersten Dienstbehörden im staatlichen Bereich als auch dem Bayerischen Landkreistag, dem Bayerischen Städtetag und dem Bayerischen Gemeindetag zur Verfügung gestellt. Die kommunalen Spitzenverbände werden gebeten, das Muster den Kommunen in geeigneter Form zur Verfügung zu stellen.

2.3.6. Bereitstellung von Zugangsmöglichkeiten zu medizinischen Netzen, KV-Ident, KV-Safenet, Zuweiserportale

Sowohl die Kassenärztlichen Vereinigungen als auch medizinische Einrichtungen wie Krankenhäuser bieten niedergelassenen Ärzten verstärkt Möglichkeiten zur elektronischen Übermittlung von Daten an. In manchen Bereichen besteht sogar die Pflicht, Daten wie z.B. Abrechnungsdaten ausschließlich elektronisch einzureichen. Aus diesem Grund hat die 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16./07.03.2011 die Entschließung "Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze" gefasst. Die in dieser Entschließung festgelegten Maßnahmen gelten aus meiner Sicht für alle Arten von Vernetzungsprojekten, bei denen eine öffentliche Stelle niedergelassenen Ärzten Möglichkeiten zur elektronischen Anbindung und Übermittlung personenbezogener medizinischer Daten bietet, also z.B. auch Zuweiserportale, Ärztenetze, einrichtungsübergreifende Fall- und Patientenakten etc.

Entschließung der 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 16./17.03.2011

Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze

Niedergelassene Ärztinnen und Ärzte sowie andere Angehörige von Heilberufen übermitteln vielfach medizinische Daten an andere Stellen mithilfe von Netzwerken. Dies dient Abrechnungs-, Behandlungs- und Dokumentationszwecken. Seit dem 01.01.2011 müssen beispielsweise an der vertragsärztlichen Versorgung teilnehmende Ärzte Abrechnungsdaten leitungsgebunden an die jeweilige Kassenärztliche Vereinigung übermitteln (§ 295 Abs. 4 SGB V in Verbindung mit den Richtlinien der Kassenärztlichen Bundesvereinigung für den Einsatz von IT-Systemen in der Arztpraxis zum Zweck der Abrechnung; siehe http://www.kbv.de/rechtsquellen/24631.html (externer Link).

An medizinische Netze sind hohe Anforderungen hinsichtlich der Vertraulichkeit und Integrität zu stellen, denn sowohl in den Netzen selbst als auch auf den angeschlossenen Praxissystemen werden Daten verarbeitet, die der ärztlichen Schweigepflicht (§ 203 StGB) unterliegen. Bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze ist daher die "Technische Anlage zu den Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis" der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung (siehe Deutsches Ärzteblatt, Jg. 105, Heft 19 vom 09.05.2008) zu beachten.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert, dabei insbesondere folgende Mindestanforderungen zu stellen:

  1. Die Kommunikation im Netz muss verschlüsselt ablaufen. Hierzu sind dem Stand der Technik entsprechende Verfahren zu nutzen.
  2. Ein unbefugter Zugriff auf die internen Netze der Praxis oder Einrichtung muss ausgeschlossen sein.
  3. Die Auswirkungen von Fehlkonfigurationen im internen Netz müssen wirksam begrenzt werden.
  4. Die Endpunkte der Kommunikation müssen sich gegenseitig durch dem Stand der Technik entsprechende Verfahren authentisieren.
  5. Die Wartung der zum Netzzugang eingesetzten Hard- und Software-Komponenten muss kontrollierbar sein, indem die Wartung durch eine aktive Handlung freizuschalten ist und alle Wartungsaktivitäten protokolliert werden.
  6. Zum Netzzugang sind zertifizierte Hard- und Software-Komponenten einzusetzen.
  7. Grundstandards - wie beispielsweise die Revisionssicherheit - sind einzuhalten.

Für die verwendeten Verschlüsselungs- und Authentisierungskomponenten sollten Hardware-Lösungen genutzt werden, da bei Software ein erhöhtes Manipulationsrisiko besteht.

Software-Lösungen kommen allenfalls in Ausnahmefällen in Betracht, wenn die zur Kommunikation mit anderen Stellen genutzten Rechner und Komponenten nicht mit dem internen Netz der Praxis verbunden sind. Zusätzlich ist sicherzustellen, dass

entweder

  1. nur solche Daten gesendet werden, die bereits innerhalb des Praxisnetzes verschlüsselt und integritätsgeschützt wurden

oder

    • eine Zwei-Faktor-Authentifikation des Berechtigten stattfindet,
    • mit der zum Zugang verwendeten Hard- und Software ausschließlich Zu gang zu medizinischen Netzen besteht sowie
    • die KBV-Richtlinien zur Online-Anbindung von Praxis-EDV-Systemen an das KV-SafeNet eingehalten werden.

2.3.7. Projekt elektronische Fallakte (eFA) beim Städtischen Klinikum München GmbH

Das Projekt zum Einsatz der eFA für die Versorgung von Darmkrebspatienten ist nach wie vor mit einem ausgewählten Benutzerkreis aktiv. Zudem gibt es Planungen beim Städtischen Klinikum München GmbH, die eFA auch für andere Bereiche einzusetzen. Auch für diese Projekte gelten aus Datenschutzsicht die bereits früher aufgestellten Anforderungen (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.2.10).

2.3.8. TIZIAN

Auch in diesem Berichtszeitraum hat es aus technisch-organisatorischer Sicht Fortschritte beim Verfahren TIZIAN gegeben. So wurden die Arbeiten am Löschkonzept sowie am Protokollierungskonzept fortgeführt. Insbesondere zu den Protokollierungs- und Auswertungsmöglichkeiten in TIZIAN wurde eine technisch-organisatorische Prüfung durchgeführt. Die Protokollierung in TIZIAN dient dazu, unerlaubte Benutzerzugriffe feststellen zu können. Um dies zu ermöglichen, sind sowohl eine einzelfallbezogene Auswertung wie auch eine regelmäßige Auswertung in Stichproben nötig. Für die Festlegung eines Stichprobenkonzepts müssen folgende Schritte ausgeführt werden:

Definition unbefugter bzw. unerwünschter Zugriffsmuster

Für die Auswertung muss festgelegt werden, welche Zugriffe oder Zugriffsmuster auf eine unbefugte Nutzung hindeuten können. Dabei kann sich die Auswertung sowohl auf quantitative als auch auf qualitative Kriterien beziehen.

Eine quantitative Auswertung betrachtet mengenmäßige Auffälligkeiten. Hierbei ist zunächst zu erfassen, was das durchschnittliche Aufkommen bei bestimmten Zugriffsarten ist. Daraus können für das Stichprobenkonzept Schwellenwerte festgelegt werden, bei deren Überschreitung ein weiteres Nachfassen erforderlich ist.

Auch in qualitativer Hinsicht ist eine Definition unerwünschter Zugriffsmuster nötig. So kann z.B. das "Durchbrowsern" (nacheinander immer die gleiche Abfrage durch einen Benutzer) auf eine unzulässige Verhaltens- und Leistungskontrolle hindeuten. Derartige Zugriffsmuster müssen für das Stichprobenkonzept festgelegt werden.

Auch kann festgelegt werden, welche Daten besonderes schützenswert sind, so dass Zugriffe hierauf besonders kritisch zu sehen sind.

Festlegung der Stichproben und Auswertungen

Auf Basis der Definition der unerwünschten Zugriffsmuster können nunmehr Vorgehensweisen für die Auswertung und eventuell benötigte Auswertungsmöglichkeiten festgelegt werden.

Eine Auswertung in Stichproben sollte dabei nicht standardmäßig alle Zugriffe umfassen, sondern immer nur eine Teilauswahl, z.B. 10% der Zugriffe, jeden zweiten Samstag, Zugriffsanzahlen in bestimmter Höhe, besonders sensible Betriebe / Themen.

Datenschutzgerechte Protokollauswertung

Auch bei der Auswertung der Protokolldaten sollte ein Zugriff auf personenbezogene Daten (also die Benutzerkennung) nach Möglichkeit nur erfolgen, wenn dies erforderlich ist.

So könnte beispielsweise ein mehrstufiges Verfahren gewählt werden: Für quantitative Auswertungen wird im ersten Schritt nur die Zugriffsanzahl angezeigt. Erst wenn es dort Auffälligkeiten gibt, wird Einsicht in die personenbezogene Protokollierung genommen. Ebenso sollte bei qualitativen Auswertungen zunächst eine anonymisierte / pseudonymisierte Ansicht gewählt werden, bei der die Benutzerkennungen ausgeblendet sind. Erst bei Auffälligkeiten sollte ein Zugriff auf die Benutzerkennung möglich sein.

Festlegung der beteiligten Personen sowie Auswertungszeitpunkt

Analog zu den Regelungen zur anlassbezogenen Protokollauswertung muss unter Wahrung der Beteiligungsrechte von Beschäftigtenvertretungen festgelegt werden, welche Personen an der regelmäßigen Auswertung in Stichproben beteiligt sind und wann diese stattfindet. Auch das weitere Vorgehen bei Auffälligkeiten muss geregelt werden. Die Mitarbeiter müssen über das Vorgehen sowie den Zweck und Inhalt der Auswertungen informiert werden.