[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 1.2.2007

23. Technischer und organisatorischer Bereich

23.1. Allgemeine Anmerkungen

Die Aufgaben im technisch-organisatorischen Bereich waren in diesem Berichtszeitraum im Wesentlichen geprägt von der Erbringung telefonischer und schriftlicher Beratungsleistungen für Bürger und verschiedenste öffentliche Einrichtungen, von beratender Unterstützung im Rahmen des Bayerischen Behördennetzes und dortiger zentraler Komponenten sowie von der Beschäftigung mit aktuellen Fragestellungen und Vorhaben aus dem Bereich der Medizin und der medizinischen Forschung.

Trotz des nach wie vor steigenden Bedarfs an Beratungsleistungen wurden auch Kontrollen auf Stichprobenbasis und aus aktuellem Anlass durchgeführt. Bezüglich der Einzelheiten hierzu verweise ich auf die nachfolgenden Ausführungen.

23.2. Bayerisches Behördennetz (BayKOM)

In Nr. 22.1.1 meines 21. Tätigkeitsberichts habe ich berichtet, dass mit Bekanntmachung vom 15.06.2004 die Bayerische Staatsregierung die "Richtlinie für den koordinierten Einsatz der Informations- und Kommunikationstechnik (IuK) in der bayerischen Staatsverwaltung (IuK-KoordR)" erlassen und gleichzeitig damit der Zentralen IuK-Leitstelle (ZIL) im Staatsministerium des Innern die Aufgabe zugewiesen hat, eine IuK-Strategie zu erstellen und fortzuschreiben.

IuK-Strategie

Diese IuK-Strategie für die Bayerische Staatsverwaltung (BayIuKS) liegt nunmehr seit Ende 2005 vor und legt Ziele, Prioritäten und Strukturen des IuK-Einsatzes für alle staatlichen bayerischen Behörden, Gerichts- und Hochschulverwaltungen verbindlich fest. In der IuK-Strategie werden neben den zu erreichenden drei Hauptzielen der Qualitätssteigerung, der kontrollierten Modernisierung und der Einsparung von Ausgaben in Ziffer 1.5 in der nachfolgenden Ziffer 1.7 sieben grundlegende und zu beachtende Anforderungen beim Einsatz der IuK-Technik beschrieben.

Als eine dieser sieben Anforderungen wird explizit die Gewährleistung von Sicherheit und Datenschutz genannt (Ziffer 1.7 Buchstabe g) BayIuKS). Eigentlich handelt es sich dabei um eine Selbstverständlichkeit, dennoch will ich in Anbetracht der Größe und Komplexität der gesteckten Aufgabe die Benennung dieser Grundanforderung in der IuK-Landesstrategie positiv erwähnen und hervorheben.


Umgesetzt werden soll diese Anforderung im Bereich eGovernment insbesondere durch "eine ganzheitliche Lösung der Sicherheitsanforderungen hinsichtlich Authentifizierung, Signierung und Verschlüsselung" (Ziffer 1.8.3 BayIuKS).


Im Rahmen der fortschreitenden Arbeiten der Zentralen IuK-Leitstelle wurden von dieser mittlerweile eine ganze Reihe grundlegender Vorgaben in Form von

  • verbindlichen IuK-Standards (bestehend aus derzeit 17 Einzeldokumenten),
  • verbindlichen allgemeinen Richtlinien (bestehend aus derzeit fünf Einzeldokumenten) und
  • verbindlichen Richtlinien für die IuK-Sicherheit (bestehend aus derzeit 15 Einzeldokumenten) erlassen.

Eine Liste all dieser Einzeldokumente wurde in der Bekanntmachung des Bayerischen Staatsministeriums des Innern vom 10. Dezember 2004, Az.: IZ7-1073-5, geändert mit Bekanntmachung vom 7. September 2005 (AllMBl, S. 331) und Bekanntmachung vom 27. Juni 2006 (AllMBl, S. 235) mit der Bezeichnung "Standards und Richtlinien für die Informations- und Kommunikationstechnik (IuK) in der bayerischen Verwaltung (IuKSR)" veröffentlicht. Diese Bekanntmachung sowie die zugehörigen Einzeldokumente stehen im Bayerischen Behördennetz zum Abruf bereit.

Basiskomponenten

Darüber hinaus wurden auch Basiskomponenten bestimmt. Dabei handelt es sich um eine einheitliche IuK-Infrastruktur, also um Einrichtungen und Verfahren, die von der Staatskanzlei und den Geschäftsbereichen der Staatsministerien gemeinsam genutzt werden (sollen). Mit Hilfe der Definition und Realisierung dieser Basiskomponenten soll u.a. die in der bayerischen Verwaltung bestehende Vielzahl unterschiedlicher Verfahren für im Grunde die gleiche grundlegende Aufgabe erheblich reduziert werden. Dazu zählen beispielsweise Verfahren für die Verschlüsselung und Signatur samt zugehöriger Public Key Infrastructure (PKI), die Dokumenten- und Schriftgutverwaltung, die Personalverwaltung und ein Integriertes Zeitmanagementsystem. Eine Liste der Basiskomponenten (BayITB) ist ebenfalls im Bayerischen Behördennetz abrufbar.


Auf die Basiskomponente "Dokumenten- und Schriftgutverwaltung" gehe ich in Nr. 23.5.5, Datenschutzanforderungen an ein Dokumentenmanagementsystem, und auf die Basiskomponente "Zeitmanagementsystem (ZES)" sowie die damit in Zusammenhang stehenden datenschutzrechtlichen Aspekte gehe ich in Nr. 19.3 näher ein.

Elektronische Signatur, Verschlüsselung und Public Key Infrastructure (PKI)

Bereits seit meinem 19. Tätigkeitsbericht, 2000, habe ich immer wieder diese Themenbereiche behandelt und die zügige flächendeckende Einführung geeigneter Verfahren zu Signatur und Verschlüsselung sowie der zugehörigen Infrastruktur angemahnt. Ich halte diese Verfahren für eine ganz grundlegende Voraussetzung für datenschutzgerechtes Verwaltungshandeln im Rahmen des eGovernment.


Als erforderlich betrachte ich dabei nicht nur die Absicherung des E-Mail-Verkehrs von Behörden mit Behörden und von Behörden mit dem Bürger, sondern auch die Absicherung von Datenverkehr jeglicher anderen Art, also z.B. von Online-Anwendungen, Filetransfer und auch von Speicherungen elektronischer Dokumente. Bei jeder elektronischen Datenverarbeitung und Übertragung personenbezogener Daten sind geeignete Maßnahmen zur Sicherstellung von Integrität, Authentizität und Vertraulichkeit zu ergreifen.

  • Die geeignete Maßnahme zur Sicherstellung der Integrität und Authentizität ist die elektronische Signatur - in jeder Form ihrer Ausprägung, d.h. als einfache, fortgeschrittene oder als qualifizierte elektronische Signatur. Die jeweils anzuwendende Form von elektronischer Signatur wird bestimmt durch die Art und Schutzwürdigkeit der personenbezogenen Daten und durch entsprechende Rechtsvorschriften. Eine pauschal gültige Aussage, z.B. über die kategorische Anwendung einer bestimmten Form von elektronischer Signatur, lässt sich nicht treffen.
  • Die geeignete Maßnahme zur Sicherstellung der Vertraulichkeit personenbezogener Daten bei Übertragung und Speicherung ist deren Verschlüsselung. Hierbei ist grundsätzlich danach zu unterscheiden, auf welcher Ebene die Verschlüsselung der Daten erfolgt - auf Anwendungsebene oder den darunterliegenden Sitzungs- und Transportebenen.

Es soll hier nicht auf alle technisch verfügbaren Formen der Verschlüsselung, sondern nur auf die durch den Anwender initiierte asymmetrische Verschlüsselung eingegangen werden. Dazu sei auch lediglich angemerkt, dass tunlichst streng zwischen Verschlüsselungs- und Signaturschlüssel zu unterscheiden ist - insbesondere in deren Verwendung.

  • Diese Art der Datenverschlüsselung setzt wie die Verwendung der elektronischen Signatur eine entsprechende leistungsfähige Public Key Infrastruktur (PKI) voraus. In Anbetracht der Vielzahl an Beschäftigten im öffentlichen Dienst sowie der unterschiedlichen Arten an zu generierenden und verwaltenden Schlüssel sind Aufbau, Bereitstellung und vor allem Betrieb einer solchen Einrichtung zweifelsohne eine ausgesprochen schwierige Aufgabe. Ohne Bewältigung der damit einhergehenden mannigfachen Schwierigkeiten ist aber eine gesicherte elektronische Kommunikation nicht möglich.
  • Auf Transportebene ist das SSL-Protokoll die derzeit bekannteste Methode (Transportverschlüsselung) und wird auch im Behördennetz mehrfach angewendet. Sie verschlüsselt jeglichen Datenverkehr zwischen einem Web-Server und dem anfragenden Arbeitsplatz-PC. Sie setzt voraus, dass der Web-Server über ein Zertifikat (im Rahmen einer PKI) verfügt, welches der Benutzer bzw. sein Arbeitsplatz-PC als vertrauenswürdig akzeptiert. Auf die damit verbundenen Problematiken gehe ich in Nr. 23.6.4 näher ein.


Eine weitere Methode der Verschlüsselung bezieht sich nicht auf die gesamte Verbindungsstrecke zwischen einem Arbeitsplatz-PC und einem Server, sondern nur auf Teilstrecken in dieser gesamten Wegstrecke. Auch hier wird jeglicher Datenverkehr verschlüsselt. Diese Methode wird üblicherweise als Leitungsverschlüsselung bezeichnet und es ist geplant, diese auch im Bayerischen Behördennetz einzusetzen. Mit dieser Verschlüsselungstechnik werden dann Teilstrecken des Behördennetzes zwischen den jeweiligen Anschlussstellen (Eingangsroutern) der Behörden geschützt.

Ich halte dies für einen erheblichen Schritt in Richtung Sicherheit bei der Datenübertragung. Leider kann aber nicht davon ausgegangen werden, dass in naher Zukunft alle Teilstrecken des Bayerischen Behördennetzes derart abgesichert sind, so dass sich der Benutzer des Behördennetzes trotz der zentral bereitgestellten und sicherlich begrüßenswerten Maßnahme nicht sicher sein kann, dass seine Kommunikation zumindest ab Verlassen des eigenen Behördenbereiches und bis zum Eingang bei der angewählten Behörde in jedem Fall geschützt durch Verschlüsselung und somit vertraulich erfolgt. Auch diese Maßnahme gilt es konsequent und zügig umzusetzen und weiter auszubauen.

Zusammenfassung

In Nr. 22.1.1.1 meines 21. Tätigkeitsberichts habe ich die Vermutung geäußert, dass mit Schaffung der Zentralen IuK-Leitstelle eine Grundlage für eine kompetente und geschäftsübergreifend bindende Instanz für die Sicherheit der elektronischen Kommunikation innerhalb des Bayerischen Behördennetzes geschaffen würde. Diese Annahme hat sich im Berichtszeitraum vollauf bestätigt.


Die bisher in Form der entsprechenden Richtlinien und Standards geschaffenen organisatorischen Grundlagen müssen aber gepflegt, zügig vervollständigt und fortentwickelt werden.


Die eingeleiteten Realisierungsschritte und ergriffenen praktischen Umsetzungsmaßnahmen bzgl. Anwendung der elektronischen Signatur, Einsatz von Verschlüsselungstechniken und Schaffung von Basiskomponenten weisen in die richtige Richtung und müssen trotz aller vielfältigen Schwierigkeiten und Hemmnisse konsequent weiter beschritten und ausgebaut werden.


Nur dann ist im und mit dem Bayerischen Behördennetz datenschutzgerechtes Verwaltungshandeln möglich. Um dieses gemeinsame Ziel schnellstmöglich und treffsicher zu erreichen, steht meine Geschäftsstelle auch weiterhin gerne beratend zur Verfügung.

23.3. Behandlung von Spam-Mails

Die Themen Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz sowie die Viren- und Spam-Filterung wurden zwar bereits unter Nr. 21.1 und Nr. 22.1.2 meines 21. Tätigkeitsberichts 2004 ausführlich behandelt. Wie meine Mitarbeiter aber im Rahmen von Prüfungen, Beratungen und Vorträgen immer wieder feststellen müssen, herrscht gerade bezüglich der Behandlung von Spam-Mails immer noch große Unsicherheit bei vielen Behörden. Deshalb gehe ich hier nochmals auf dieses Thema ein.

Um die Arbeitsbelastung der Mitarbeiter für das Erkennen und Aussortieren von Spam-Mails zu reduzieren, sind viele Behörden dazu übergegangen, vermeintliche Spam-Mails - soweit wie möglich - anhand verschiedener Kriterien automatisch als solche zu erkennen, um sie sodann zu kennzeichnen oder auszufiltern. Dabei sind sie sich durchaus im Klaren darüber, dass Spam-Filter zum einen nicht jede Spam-Mail zuverlässig identifizieren und zum anderen auch wichtige Nachrichten fälschlicherweise als vermeintliche Spam-Mails kennzeichnen.

Erkennung von Spam-Mails

Spam-Filter unterscheiden sich vor allem darin, welche Merkmale sie zur Filterung heranziehen.

Häufig wird auf Grund der IP-Adresse des Absenders gefiltert - das einzige Datum, das ein Spammer nicht ohne weiteres fälschen kann. Dabei können beispielsweise Nachrichten basierend auf einer Liste der bekannten IP-Adressen der Versender von E-Mail-Werbung oder von E-Mail-Nachrichten mit strafbarem bzw. nicht jugendfreiem Inhalt gefiltert werden. Mit Hilfe so genannter White- und Blacklists können sowohl bei den Mail-Servern als auch bei den Mail-Clients die "guten” und "schlechten” IP-Adressen erfasst werden, die sich zur Filterung nutzen lassen. Bei jedem Empfang einer Nachricht überprüft das Mail-Programm automatisch, ob der Absender in einer dieser Listen eingetragen ist. Findet das Programm beispielsweise den Absender in der Blacklist, wird die E-Mail als Spam eingestuft. Mit Hilfe der IP-Filterung werden in der Regel aber nicht nur einzelne E-Mail-Adressen identifiziert, sondern ganze Hosts und damit u.U. eine Vielzahl von Domains. Dabei ist zu bedenken, dass der Eintrag eines Hosts einer Domain in eine "schwarze Liste" dazu führt, dass alle E-Mails dieser Domain als Spam-Mail eingestuft werden - wodurch dann auch seriöse E-Mails von dieser Domain als Spam-Mail eingestuft werden. Außerdem ist zu berücksichtigen, dass Spammer mittlerweile in immer kürzeren Abständen ihre IP-Adresse wechseln, um damit die Erkennung ihrer E-Mails durch IP-Filter zu umgehen, so dass eine IP-Filterung letztlich häufig nur für Stunden oder Tage das leistet, was sie soll.

Eine weitere Möglichkeit zur Erkennung von Spam-Mails ist die Verwendung von Verfahren mit inhaltsbasierter Filterung. Dabei wird automatisch nach in den Nachrichten allgemein verwendeten Phrasen gesucht (z.B. "kostenlos" oder "billig"). Verwendet werden dabei Listen mit Ausdrücken und Stichwörtern, die bekanntermaßen häufig in Spam-Mails vorkommen. Inhaltsbasierende Verfahren sind zwar aufwendiger, dafür ist aber die Qualität der Erkennung oft besser als die der IP-Filter. Man unterscheidet zwischen Verfahren, die mittels vorgegebener Muster (Heuristik) bekannte Spam-Inhalte erfassen, und statistischen Verfahren, die laufend anhand erkannter Spam-Mails trainiert werden und dabei selbstständig typische Kennzeichen von Spam erlernen.

Neben diesen beiden Filterkriterien gibt es noch eine Vielzahl von für sich alleine genommen relativ wenig aussagender Kriterien, die ein Anzeichen für Spam sein können. Deshalb verwenden viele Filtersysteme eine Kombination aller dieser Kriterien, in dem sie jedes Kriterium bewerten. Überschreitet die Summe dieser Bewertungen in einer E-Mail einen vordefinierten Schwellwert, so wird davon ausgegangen, dass es sich um eine Spam-Mail handelt.

Die aufgezeigten Filterkriterien stehen teilweise auch in den eingesetzten Mail-Programmen zur Verfügung. So bietet beispielsweise Outlook die Möglichkeit, eine erkannte Spam-Mail per vorab definierter Regel entsprechend dem individuellen Wunsch des Nutzers weiterzubehandeln. Diese eingebauten Filter der Mail-Programme können auch jederzeit um eigene Adressen und Begriffe erweitert werden. Die Nutzung der mit dem Mail-Programm mitgelieferten Filter stellt zwar eine einfache Lösung, aber sicherlich nicht die effektivste Anti-Spam-Lösung dar. Serverbasierte Produkte zur Spam-Bekämpfung sind in der Regel (noch) effektiver.

Technisch mögliche Behandlung von Spam-Mails

Nachdem eine E-Mail durch eines der o.g. Verfahren als Spam-Mail eingestuft wurde, ist es vor dem Hintergrund der Arbeitsersparnis für die Bediensteten sinnvoll, diese E-Mail auch einer möglichst automatischen Behandlung zuzuführen.

Rein technisch gesehen sind mehrere Vorgehensmöglichkeiten zur Spam-Behandlung gegeben:

Auf einem zentralen Mail-Server/Spam-Filter:

  • Markierung der E-Mail als Spam-Mail und Weiterleitung an den Empfänger
  • Blockung der E-Mail und damit einhergehende Unterdrückung der Weiterleitung der Original-E-Mail an den Empfänger
  • Verweigerung der Annahme der E-Mail (Bounce)
  • Löschung der E-Mail

Auf dem Mail-Client:

  • Farbliches Kennzeichnen der E-Mail zur Unterscheidung von "regulärer" E-Mail im Posteingangsfach
  • Verschieben der E-Mail in einen speziellen Unterordner im eigentlichen Posteingangsfach
  • Automatisches Löschen der E-Mail

Auch wenn diese vorgenannten Behandlungsformen technisch möglich sind, so sind diese jedoch nicht oder nicht ohne weiteres rechtlich zulässig.

Rechtlich zulässige Behandlung von Spam-Mails

Die Reichweite des Fernmeldegeheimnisses erstreckt sich auf den gesamten Übertragungsweg zwischen Absender und Empfänger einer E-Mail. Damit stellt jede automatische Maßnahme auch bereits zur Erkennung von Spam-Mail auf einem zentralen Mail-Server/Spam-Filter einen Eingriff in das Fernmeldegeheimnis dar.

Setzen die Maßnahmen zur Spam-Erkennung und anschließenden Spam-Behandlung dagegen erst auf dem Mail-Client des Bediensteten an und kann dieser selbst über deren Ausprägung und Anwendung bestimmen, so ist das Fernmeldegeheimnis nicht berührt.

Im Falle des Verbotes der privaten E-Mail-Nutzung kann die zentrale Erkennung, Blockung, Markierung oder Löschung offensichtlicher Spam-Mails aus datenschutzrechtlicher Sicht zur Gewährleistung der Aufrechterhaltung des Dienstbetriebes akzeptiert werden. Die damit einhergehende Kontrolle der E-Mail-Nutzung halte ich im Rahmen der Erforderlichkeit für zulässig (vgl. Nr. 21.1 meines 21. Tätigkeitsberichts), wobei eine Blockung oder Löschung auf Grund der Möglichkeit des Verlusts von fälschlicherweise als Spam erkannten E-Mails aus meiner Sicht nicht sinnvoll ist.

Eine weitergehende manuelle inhaltliche Kontrolle durch den Arbeitgeber von gekennzeichneten Spam-Mails darf im Einzelfall nur dann erfolgen, wenn ein begründeter Missbrauchsverdacht, insbesondere bezüglich strafrechtlicher Handlungen oder hinsichtlich des Verrats von Dienstgeheimnissen, besteht.

Gestattet eine Dienststelle ihren Bediensteten die private Nutzung des E-Mail-Dienstes, ist sie ihnen gegenüber Telekommunikations- bzw. Teledienste-Anbieter und zur Wahrung des Fernmeldegeheimnisses gemäß § 88 Telekommunikationsgesetz (TKG) verpflichtet. Dabei spielt es keine Rolle, ob der Arbeitgeber diese Dienste direkt selbst anbietet oder sich dazu eines Anderen (z.B. des Netzbetreibers oder des Mail-Providers) bedient. Dem Arbeitgeber ist es somit untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (§ 88 Abs. 3 TKG).

Eine zentrale Erkennung, Markierung, Blockung oder Löschung vermeintlicher Spam-Mails ist in diesem Fall ohne diesbezügliche Einwilligung der Betroffenen rechtlich nicht zulässig.

Nach Art. 75 a Abs. 1 Nr. 1 BayPVG hat der Personalrat sowohl im Fall der rein dienstlichen als auch im Fall der zugelassenen privaten Nutzung über Kontrollmaßnahmen zur E-Mail-Nutzung am Arbeitsplatz (hier Spam-Erkennung und Spam-Behandlung) mitzubestimmen. Ich empfehle daher aus datenschutzrechtlicher Sicht, über die Nutzung von E-Mail eine Dienstvereinbarung mit der Personalvertretung abzuschließen, in der auch die Maßnahmen zur Spam-Erkennung und -Behandlung eindeutig geregelt werden. Diese Dienstvereinbarung sollte dann genau regeln, welche Maßnahmen auf welchem Rechner zur Spam-Bekämpfung von Seiten des Arbeitgebers ergriffen werden sollen, welche personenbezogenen Daten dabei anfallen und ob und wofür diese Daten genutzt werden.

Die Bediensteten sind über zentrale Maßnahmen zur Spam-Erkennung und -bekämpfung vorab zu unterrichten.

Bei zugelassener privater E-Mail-Nutzung ist überdies die Einwilligung jedes einzelnen Bediensteten erforderlich. Diese Einwilligung muss ausdrücklich und insbesondere vor Beginn der Spam-Erkennungs- und Bekämpfungsmaßnahmen von allen Bediensteten schriftlich und freiwillig erteilt werden. Eine mutmaßliche Einwilligung genügt den rechtlichen Anforderungen nicht. Die Mitarbeiter sind dabei umfassend darüber zu unterrichten, welche Daten im Rahmen der Spam-Bekämpfung über sie erhoben, verarbeitet oder genutzt werden.

Der Dienstherr kann die Gestattung der privaten Nutzung von dem Vorliegen der o.g. Einwilligung abhängig machen (vgl. Nr. 21.1 meines 21. Tätigkeitsberichts).

Fazit

Die Bekämpfung von Spam-Mails ist eine sachliche Notwendigkeit. Dazu stellen sich aber nicht nur technische Aufgaben und Herausforderungen. Vor dem Hintergrund des Fernmeldegeheimnisses und der Mitbestimmungsrechte sind vorrangig die komplexen rechtlichen Probleme zu bewältigen.

Dabei hilft auch die durch die Zentrale IuK-Leitstelle am 01.06.2006 für die bayerische Staatsverwaltung erlassene verbindliche "Richtlinie für die Nutzung von Internet und E-Mail in der bayerischen Staatsverwaltung" (BayITR-05) mit der Anlage: "Vorschlag für ein Begleitschreiben der Behörde zur Einwilligungserklärung". Diese Richtlinie ist auch im Bayerischen Behördennetz zum Abruf bereitgestellt worden. In Nr. 20.1 gehe ich näher auf diese Richtlinie ein.

23.4. Erkenntnisse aus Prüfungen

23.4.1. Vorbemerkungen

Aus den nachgenannten Prüfungen ergaben sich wieder eine Reihe von Erkenntnissen bzgl. der praktischen Schwierigkeiten in der Umsetzung von technisch-organisatorischen Datenschutz- und Datensicherheitsmaßnahmen. Bedauerlicherweise handelt es sich dabei nicht um grundlegend neue Probleme, sondern um Mängel, auf die meine Mitarbeiter seit vielen Jahren unmittelbar aufmerksam machen und auf die auch in zurückliegenden Tätigkeitsberichten immer wieder hingewiesen wurde. Im Nachfolgenden werden einige näher beschrieben:

Individuelle Benutzerkennungen und -passworte


Obwohl die IuK-Technik nun schon seit vielen Jahren im öffentlichen Bereich wie selbstverständlich im Einsatz ist, ist es leider immer noch nicht selbstverständlich, dass jeder berechtigte Benutzer auch über eine eigene Benutzerkennung zur Anmeldung am DV-System bzw. an einer spezifischen Anwendung und über ein nur ihm bekanntes persönliches Passwort verfügt. Dieses persönliche Passwort muss der Benutzer auch jederzeit selbst ändern können. Nach vordefiniertem Zeitablauf von ca. drei Monaten soll die IuK-Technik den Anwender zwingen, sein Passwort auch tatsächlich zu ändern, wenn er es nicht von sich aus getan hat.

Einbindung des behördlichen Datenschutzbeauftragten

Obwohl in Art. 26 Abs. 3 BayDSG klar und unmissverständlich bestimmt ist, dass Öffentliche Stellen ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens eine Verfahrensbeschreibung mit den zur Bewertung erforderlichen Unterlagen zur Verfügung zu stellen haben, gibt es hier leider immer wieder Versäumnisse festzustellen. So wird der behördliche Datenschutzbeauftragte mitunter gar nicht oder viel zu spät eingebunden. Die auf seine Anregungen unter Umständen erforderlichen Änderungen an der Konzeption oder gar an der bereits erfolgten Realisierung werden dann eventuell sehr aufwändig oder können im Extremfall angeblich nicht mehr berücksichtigt werden. Derartige Erschwernisse und unnötigen Kosten können bei einer frühzeitigen Beteiligung des behördlichen Datenschutzbeauftragten in aller Regel ohne großen Aufwand vermieden werden.

Datenschutzrechtliche Freigabe von Verfahren


Mit der vorgenannten rechtzeitigen Beteiligung des eigenen behördlichen Datenschutzbeauftragten geht einher die nach Art. 26 Abs. 3 Satz 2 BayDSG gesetzlich vorgeschriebene datenschutzrechtliche Freigabe durch diesen. Bei dieser Freigabe handelt es sich nicht nur um einen formalen Akt, der einfach mal so abgehakt wird. Es soll vielmehr damit sichergestellt und dokumentiert werden, dass nicht nur funktionale Aspekte bei automatisierten Verfahren Berücksichtigung gefunden haben, sondern auch datenschutzrechtliche Rahmenbedingungen und Aspekte angemessen geprüft und realisiert wurden. Auch hier ist aber leider immer noch mangelndes Bewusstsein festzustellen.

Internet-Datenschutz-Erklärung

Nahezu jede öffentliche Einrichtung verfügt mittlerweile über einen eigenen Internet-Auftritt. Dabei werden zum Teil große Anstrengungen unternommen, um diese Homepage möglichst informativ, benutzerfreundlich und ansprechend zu gestalten. Dennoch fehlen zum Teil elementarste Bestandteile, wie eben die nach § 4 Abs. 1 Teledienstedatenschutzgesetz (TDG) vorgeschriebene Datenschutzerklärung, eine vollständige Anbieterkennzeichnung/ Impressum nach § 6 Teledienstegesetz (TDG) oder das Angebot zur verschlüsselten Kommunikation per E-Mail. Der Kürze halber verweise hier auf meine detaillierten Ausführungen zu Rechtsgrundlagen und Inhalten in den Nrn. 22.2.2.2 und 22.2.2.3 meines 20. Tätigkeitsberichts.

Verschluss personenbezogener Unterlagen und Papierentsorgung

Mit zunehmender Verbreitung der IuK-Technik scheint das Erfordernis nach datenschutzgerechtem Umgang mit Papier im allgemeinen Bewusstsein in den Hintergrund zu rücken. Dies ist mir nicht nachvollziehbar, denn gerade mit dem Einsatz der IuK-Technik hat die Produktion von schriftlichen Unterlagen auch mit personenbezogenen Daten enorm zugenommen.


Dabei wird anscheinend auch übersehen, dass nicht nur die elektronisch gespeicherten Daten vor unbefugter Kenntnisnahme u.a. zu schützen sind, sondern auch und nach wie vor gedruckte oder geschriebene personenbezogene Daten. Die besten und aufwändigsten Schutzmechanismen im Bereich der IuK-Technik relativieren sich hinsichtlich ihrer Wirksamkeit sofort, wenn andererseits personenbezogene Unterlagen/Akten in frei zugänglichen Diensträumen oder Gebäudeteilen offen gelagert werden oder wenn Fehlablichtungen, Fehldrucke, Zwischenmaterial oder korrigierte Schreiben u.ä. lediglich über normalen Hausmüll oder das allgemeine Altpapier entsorgt werden.

So fehlt es oftmals an Vorschriften und Regelungen zum Verschluss von Diensträumen, zum Verschluss von personenbezogenen Unterlagen und zur datenschutzgerechten Entsorgung von Papierunterlagen. Sind solche vorhanden, fehlt es gelegentlich an der nötigen internen Kontrolle.


Teilweise fehlen auch geeignete Behältnisse oder Aktenvernichter gänzlich oder sind zumindest nicht in ausreichender Anzahl vorhanden. Auch wenn dies in Zeiten knapper Haushaltsmittel schwierig ist, so müssen doch dafür die erforderlichen Mittel unbedingt aufgebracht werden.

In den folgenden Abschnitten gehe ich auf weitere ausgewählte Prüfungsergebnisse im Einzelnen näher ein.

23.4.2. Geprüfte Einrichtungen

Im Berichtszeitraum habe ich bei folgenden Dienststellen die Einhaltung der gebotenen technischen und organisatorischen Datensicherheits- und Datenschutzmaßnahmen überprüft:

  • Klinikum Großhadern der Ludwig-Maximilian-Universität München - TempoBy
  • Klinikum Großhadern der Ludwig-Maximilian-Universität München - Biomaterialbanken
  • Klinikum rechts der Isar der Technischen Universität München - Biomaterialbanken
  • Klinik und Poliklinik für Psychiatrie und Psychotherapie des Universitätsklinikums München
  • Universitätsklinikum Regensburg
  • Stadtwerke Erding
  • Landratsamt Dachau
  • Landratsamt Traunstein
  • Georg-Simon-Ohm-Fachhochschule Nürnberg
  • Sigmund-Schuckert-Gymnasium Nürnberg
  • Gymnasium München-Moosach
  • Münchenstift GmbH - Hauptverwaltung -
  • Landeshauptstadt München Zentralbibliothek Gasteig

Die Überprüfungen erstreckten sich neben den klassischen Ansätzen der Daten- und Netzwerksicherheit sowie der organisatorischen Aspekte insbesondere auf dortige spezielle Prozesse oder Anwendungen. Schwerpunkte der Prüfungen im Berichtszeitraum waren der Umgang mit Biomaterial und Biomaterialbanken an den Universitätskliniken, medizinische Forschungsvorhaben und damit zusammenhängende landesweite oder -übergreifende Netzwerkanwendungen sowie der Einsatz von RFID-Technik (Remote Frequency Identification) im öffentlichen Bereich.

Zu den daraus gewonnen Erkenntnissen verweise ich auf die nachfolgenden Abschnitte.

23.4.3. Verfahrensfreigabe lokal betriebener Systeme in Universitätsklinika

Im Rahmen von technisch-organisatorischen Prüfungen im Berichtszeitraum wurde insbesondere im Bereich der Universitätsklinika folgende Problematik deutlich:

Neben den zentral durch die IT-Abteilung betriebenen IT-Systemen wie Krankenhausinformationssystemen (KIS) und Radiologiesystemen sind insbesondere im Rahmen der Forschungstätigkeit eine Vielzahl von lokal aufgesetzten und administrierten IT-Systemen in den einzelnen Kliniken und Abteilungen vorhanden. Dies sind beispielsweise Datenbanken für klinische Studien, in denen die studienrelevanten medizinischen Daten der Patienten erfasst werden, oder aber abteilungsbezogene elektronische Patientenakten, die eine schnelle Auswertung der sonst nur auf Papier vorhandenen Dokumentation ermöglichen. Diese lokal betriebenen Systeme enthalten daher häufig sensible personenbezogene Patientendaten, die mit einem automatisierten Verfahren verarbeitet werden.

Dazu gelangen neben kommerziellen Produkten häufig auch eigen entwickelte Software-Produkte zum Einsatz, die z.T. von Studenten programmiert und gewartet werden. Die Dateneingabe erfolgt durch an den Studien beteiligtes Personal (Ärzte, Pflegekräfte, Study Nurses etc.), aber auch durch Studenten, die teilweise selbst nur wenige Monate am Klinikum arbeiten.

Diese Situation genügt nicht den Anforderungen des Bayerischen Datenschutzgesetzes. Sie ist in mehreren Punkten unbefriedigend:

  • Der behördliche Datenschutzbeauftragte ist in die Verfahrenskonzeption nicht eingebunden. Auch der zentralen IT-Abteilung sind die Systeme samt deren Nutzung in der Regel nicht bekannt, selbst wenn die Beschaffung der Rechner häufig über die IT-Abteilung abgewickelt wird.
  • Es wird daher nicht immer inhaltlich geprüft, welche Daten auf diesen Systemen gespeichert werden sollen und ob hierbei allgemeine, hausweite oder auch spezifische Mindeststandards an Sicherheit einzuhalten sind.
  • Es ist nicht sichergestellt, dass vor Einführung derartiger Verfahren geprüft wird, ob sie den technisch-organisatorischen Sicherheitsanforderungen des Art. 7 BayDSG genügen, d.h. ob z.B. ausreichende Maßnahmen zum Schutz gegen unbefugte Kenntnisnahme der Patientendaten getroffen werden.
  • Insbesondere wird nicht immer überprüft, unter welchen Umständen beispielsweise Daten aus diesen IT-Systemen das Haus verlassen können. Es kann dadurch der Fall eintreten, dass unter Umgehung der zentralen Firewall Verbindungen zu externen Netzen geschaffen werden, die weder der IT-Abteilung noch dem Datenschutzbeauftragten bekannt sind, und ggf. Risiken für das restliche Netzwerk des Hauses entstehen lassen.
  • Auch die Einhaltung gesetzlicher Aufbewahrungs- bzw. Löschfristen kann nur sehr schwer kontrolliert werden.
  • Es sind mehrfach parallele Datenbestände zu Patienten vorhanden, von denen jeweils nur die betreffende Abteilung weiß.
  • Da dem Datenschutzbeauftragten diese Verfahren nicht bekannt und diese auch nicht datenschutzrechtlich gemäß Art. 26 BayDSG freigegeben sind, ist das nach Art. 27 BayDSG vorgeschriebene Verfahrensverzeichnis zwangsläufig unvollständig.
  • Damit ist auch keine vollständige Auskunft an einen Patienten möglich, wo welche Daten über ihn gespeichert, verändert oder wohin sie übermittelt werden.

Eine derartige Konstellation ist jedoch weder im Sinne des behördlichen Datenschutzbeauftragten noch im Sinne der IT-Abteilung oder der Klinikumsleitung, da die Datenflüsse nicht mehr kontrolliert werden können.

Es empfiehlt sich daher, klinikumsweite Regelungen zur Nutzung medizinischer Daten für die Forschung und zum Eigenbetrieb von IT-Systemen festzulegen. Hierzu müssen u.a. folgende Punkte geregelt werden:

  • Festlegung von Randbedingungen, unter denen personenbezogene Patientendaten in selbst betriebenen Systemen genutzt werden dürfen. Hierunter fällt insbesondere auch der Regelungsgegenstand, auf welche Daten Studenten unter welchen Umständen Zugriff haben dürfen und wie diese zur Verschwiegenheit verpflichtet werden.
  • Vorgehensweise zur Meldung von durch Abteilungen und andere Organisationseinheiten selbst betriebener Systeme sowie frühzeitiger und umfassender Einbindung des behördlichen Datenschutzbeauftragten.
  • Definition von hausweiten Mindestsicherheitsanforderungen, die von allen Systemen eingehalten werden müssen und Festschreibung eines systematischen Überprüfungsverfahrens hierfür. Hierunter fallen z.B. die Punkte personenbezogene Benutzerkennungen, differenzierte Zugriffsrechte, Protokollierung der Zugriffe, Verpflichtung der Mitarbeiter.
  • Regelungen zur Einbindung selbst gewarteter Systeme in die internen Netze des Klinikums.
  • Regelungen zur Anbindung selbst gewarteter Systeme an externe Netze und zu Datenübermittlungen an externe Partner.

Eine datenschutzrechtliche Freigabe nach Art. 26 BayDSG ist auch für lokal betriebene Verfahren zwingend nötig. Nur wenn diese beantragt und vom behördlichen Datenschutzbeauftragten nach Prüfung erteilt wird, ist sichergestellt, dass den datenschutzrechtlichen Belangen auch im Vorfeld ausreichend Rechnung getragen wird. Die Freigabe muss vor dem erstmaligen Einsatz des Verfahrens erfolgen, andernfalls darf das Verfahren nicht betrieben werden.

23.4.4. Aufbewahrung schulärztlicher Unterlagen

Aufgrund einer Eingabe eines Bürgers habe ich mich im Berichtszeitraum mit der Aufbewahrung schulärztlicher Unterlagen befasst. Hierzu ist Folgendes zu berücksichtigen:

Schulärztliche Unterlagen enthalten über einen längeren Zeitraum hinweg erfasste medizinische Daten wie z.B. Angaben zu Krankheiten, Diagnosen, körperlicher und geistiger Entwicklung der Schüler. Diese Daten unterliegen aus Datenschutzsicht einem besonderen Schutzbedarf sowie der ärztlichen Schweigepflicht und müssen daher für Schüler, aber auch für Schulleitung, Lehrer, Reinigungsdienst etc. unzugänglich aufbewahrt werden. Dies liegt in der Verantwortung des zuständigen öffentlichen Gesundheitsdienstes, der die schulärztlichen Untersuchungen durchführt. Gemäß Art. 80 Abs. 3 BayEUG (Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen) ist dieser für die gesicherte Verwahrung der anfallenden Daten verantwortlich.

Werden Unterlagen in der Schule aufbewahrt, ist sicherzustellen, dass dies in abgeschlossenen Schränken / Räumen erfolgt, so dass sie nur dem Schularzt und seiner Hilfskraft zugänglich sind. Der Schlüssel zu den Schränken darf sich somit nur in der Obhut des schulärztlichen Dienstes befinden. Ein Deponieren des Schlüssels an mehr oder weniger frei zugänglichen Stellen ist keinesfalls statthaft. Die Schränke und deren Schlösser müssen stabil sein, zusätzlich sollte der Raum nach Möglichkeit nicht der breiten Öffentlichkeit zugänglich sein.

Die generell jedoch vorzuziehende Variante ist eine Lagerung der schulärztlichen Unterlagen in den Räumen des Gesundheitsdienstes. Hier ist einerseits der Beschlagnahmeschutz besser gewährleistet, da die Unterlagen in einer medizinischen Einrichtung aufbewahrt werden, andererseits kann der Gesundheitsdienst den Zugang durch die direkte Obhut besser kontrollieren. Gleichzeitig muss aber auch hier sichergestellt werden, dass nur die zuständigen Schulärzte Zugriff auf ihre jeweiligen Unterlagen haben und nicht beispielsweise ein Vielzahl von Mitarbeitern des Gesundheitsdienstes.

Auch bei der Aktenaussonderung und Vernichtung müssen die üblichen Anforderungen des Datenschutzes berücksichtigt werden. Insbesondere darf es zu keiner Durchbrechung der Sicherheitsmaßnahmen kommen, in dem z.B. Akten ungesichert zwischengelagert oder über den Papiermüll / normalen Reinigungsdienst der Schule entsorgt werden. Auch diesbezüglich ist der Gesundheitsdienst für den korrekten Umgang mit den Daten verantwortlich.

23.4.5. Einsatz von RFID in der Münchner Stadtbibliothek

Seit Anfang 2006 führt die Stadtbibliothek München in ihrer Zentralbibliothek im Gasteig sowie nach und nach in allen Stadtteilsbibliotheken die RFID-basierte Selbstverbuchung von Medien ein. Dabei steht RFID für Remote Frequency Identification, d.h. Identifikation und Lokalisierung von Objekten mittels Einsatzes von Funktechnik. Dazu werden alle Medien mit einem RFID-Chip ausgestattet und Terminals aufgestellt, an denen der Benutzer selbstständig Medien ausleihen und zurückgeben kann. Auch andere Bibliotheken in Deutschland befassen sich mit diesem Thema, da man sich von der RFID-basierten Selbstverbuchung Effizienzsteigerungen, besseren Service für die Kunden und Kosteneinsparungen erwartet.

Die eingesetzten RFID-Chips arbeiten auf einer Frequenz von 13,56 MHz, bei der normalerweise von einer Reichweite bis zu maximal 1 Meter - je nach Bauform und Umgebungsbedingungen - ausgegangen werden kann. Nach den praktischen Erfahrungen der Münchner Stadtbibliothek beträgt dort die Reichweite sogar nur 45 cm. Diese Entfernung ermöglicht einen Diebstahlschutz beim Durchschreiten von Schleusen, erschwert jedoch ein unbefugtes Auslesen der Daten durch Dritte.

Auf den Chips werden keine personenbezogenen Daten oder Angaben zum Buch gespeichert, sondern nur organisatorische Daten wie Mediennummer und besitzende Bibliothek. Diese Daten werden erst im IuK-System der Stadtbibliothek mit Angaben zu z.B. Autor, Titel etc. des Buches sowie den Entleihdaten des Benutzers verknüpft. Ein potentieller Angreifer erhielte dadurch selbst bei einem erfolgreichen Auslesen des Chips keine Informationen über den Entleiher.

Die Benutzerausweise sind derzeit noch Karten mit einem Barcode. Die Benutzernummer ist eine laufende Nummer, die keine Aussagen zum Bibliotheksbenutzer macht (z.B. codiertes Geburtsdatum). Zukünftig soll ein Ausweis mit einem RFID-Chip eingeführt werden; dies ist derzeit in der Planungsphase. Auch dann sollen jedoch keine personenbezogenen Daten auf dem Chip gespeichert werden.

Die Ausleihterminals sind so gestaltet, dass die Bücher in ein markiertes Feld gelegt werden müssen, so dass ein ungewolltes Ausleihen "im Vorbeigehen" nicht möglich ist. Analog müssen bei der Rückgabe die Bücher einzeln in den entsprechenden Automaten gelegt werden. Das jeweilige Benutzerkonto ist an den Terminals nach dem Einlesen des Barcodes einsehbar, angezeigt werden die ausgeliehenen Medien sowie eventuell fällige Gebühren. Eine Historie früher bereits entliehener Bücher ist nicht vorhanden, sie ist auch für die Mitarbeiter der Bibliothek nicht abrufbar, da nur die letzten drei Entleiher eines Buches in den zugehörigen Exemplardaten gespeichert werden.

Unter der Voraussetzung, dass für das IuK-System der Bibliothek, mit dem die Benutzerkonten verwaltet werden, die üblichen Sicherheitsanforderungen gemäß Art. 7 BayDSG erfüllt sind, habe ich angesichts dieser Ausgestaltung des Verfahrens keine datenschutzrechtlichen Bedenken beim Einsatz von RFID in den Münchner Stadtbibliotheken. Die weiteren Entwicklungen, wie z.B. die Einführung des RFID-basierten Benutzerausweises, werde ich auch in Zukunft verfolgen.

23.4.6. Telefondatenerfassung bei Privatgesprächen und von Berufsgeheimnisträgern

Bezüglich der Telefondatenerfassung in Behörden werden im Rahmen von technisch-organisatorischen Prüfungen immer wieder die gleichen Verstöße festgestellt. So werden häufig detaillierte Verbindungsdaten (z.B. vollständige Zielnummer) von ausgehenden Telefongesprächen erfasst und ausgewertet, auch wenn es sich dabei um Privatgespräche handelt.

Bei Privatgesprächen, die vorab z.B. durch Eingabe einer PIN (Persönliche Identifikationsnummer) als solche gekennzeichnet wurden, dürfen die gespeicherten Daten aber ausschließlich für Abrechnungszwecke verwendet werden. Dazu ist gemäß Nr. 3.2.2.3 der Bekanntmachung des Bayerischen Staatsministeriums der Finanzen zur "Einrichtung und Benutzung dienstlicher Telekommunikationsanlagen" (Dienstanschlussvorschriften-BayDAV; Bekanntmachung des Bayer. Staatsministeriums der Finanzen vom 07.11.1997, Nr. 63-H4700-1/418-73038, FMBl 1997, S. 280 ff. zuletzt geändert durch Bekanntmachung vom 27.11.2001, FMBl 2002, S. 471) lediglich die Auswertung folgender Daten erforderlich:

  • Name des jeweiligen Bediensteten
  • Nummer der rufenden Nebenstelle
  • Datum, Anzahl, Dauer und Kosten der geführten Privatgespräche

Lediglich auf ausdrücklichen Wunsch des Betroffenen sind den Ausdrucken die Rufnummern der Angerufenen hinzuzufügen. Die erstellten Ausdrucke sind in verschlossener Form den Bediensteten zuzuleiten. Eine Kenntnisnahme durch Dritte ist grundsätzlich unzulässig.

Die gespeicherten Daten der Privatgespräche sind nach der Abrechnung unverzüglich, spätestens aber 3 Monate nach Ablauf des Abrechnungszeitraums, zu löschen. Maschinelle Ausdrucke und handschriftlich aufgezeichnete Daten sind zu vernichten.

Da es sich bei Telekommunikationsanlagen um technische Einrichtungen handelt, die zur Überwachung des Verhaltens oder der Leistung der Beschäftigten geeignet sind, unterliegen sie der Mitbestimmung der Personalvertretung. Daher sollte über die getroffenen Modalitäten eine schriftliche Dienstvereinbarung abgeschlossen werden.

Obwohl bereits in Nr. 13.3.2. meines 20. Tätigkeitsberichtes darauf hingewiesen wurde, welche Anforderungen an die Erfassung der Telefondaten von Berufsgeheimnisträgern zu stellen sind, sind nach wie vor viele Behörden unsicher darüber, welche Aufzeichnungen und Auswertungen bei Gesprächen von Personen erstellt werden dürfen, die einer besonderen Verschwiegenheitspflicht unterliegen. Daher gehe ich an dieser Stelle nochmals kurz auf die diesbezüglichen Regelungen der Nr. 3.1.5 der BayDAV ein:

Bei Telefonaten von Stellen und Personen, deren Telefonverkehr nicht der Aufsicht (z.B. Personalvertretungen in Personalangelegenheiten) oder im Rahmen einer freiwilligen Beratung (z.B. Drogen-, Gesundheits-, Ehe- und Familienberatung) einer besonderen Verschwiegenheitspflicht unterliegen, dürfen grundsätzlich nur die Leistungsentgelte festgehalten werden. Für die praktische Umsetzung bedeutet dies, dass derartige Gespräche entweder nur mit speziell dafür vorgesehenen Telefonapparaten oder nach spezifischer Kennzeichnung solcher Gespräche durch z.B. vorangehende Eingabe einer PIN geführt werden sollen.

23.4.7. Protokollierung von lesenden Zugriffen

Unter Protokollierung ist die Aufzeichnung von Daten zu verstehen, die einzelne Aktionen in einem System (Rechner, Netzwerk etc.) oder die Zustände eines Systems beschreiben. Zur Sicherstellung und zum Nachweis der Ordnungsmäßigkeit der Datenverarbeitung ist eine Protokollierung insbesondere von Datenzugriffen unerlässlich.

Dieser Verpflichtung zur Protokollierung kommen auch die meisten Behörden nach. Dabei wird allerdings häufig über das Ziel hinausgeschossen, indem jeder Datenzugriff (gleich welcher Art) protokolliert wird. Da es sich aber bei Protokolldaten um personenbezogene Daten handelt, dürfen bei einer Protokollierung nur diejenigen Daten erhoben, verarbeitet und genutzt werden, deren Kenntnis, Speicherung und Nutzung zur Aufgabenerfüllung der betreffenden Stelle notwendig sind. So ist eine Protokollierung lesender Zugriffe in der Regel nur erforderlich, wenn es sich beispielsweise um sehr sensible Anwendungen und Daten, um Zugriffe über öffentliche Netze sowie um Übermittlungen im Rahmen der Einrichtung automatisierter Abrufverfahren (Art. 8 BayDSG) handelt oder wenn eine bestimmte Rechtsnorm oder Vorschrift diese Protokollierung vorschreibt.

Protokolldaten unterliegen zudem nach dem Datenschutzrecht einer strikten Zweckbindung und dürfen daher nur zum Nachweis der fehlerfreien und ordnungsgemäßen Datenverarbeitung oder zur Aufdeckung von missbräuchlichen Zugriffen oder Zugriffsversuchen, keinesfalls jedoch für Zwecke der Verhaltens- oder Leistungskontrolle der Mitarbeiter verwendet oder ausgewertet werden. Genau solches Fehlverhalten von Behördenleitern und Mitarbeitern wird jedoch gelegentlich in Rahmen von technisch-organisatorischen Prüfungen festgestellt. Häufig ist dieses auch Gegenstand von Eingaben Betroffener an mich.

Die Dauer der Aufbewahrung von Protokolldateien muss geregelt werden. Da es sich bei Protokolldaten um personenbezogene Daten handelt, unterliegen sie den allgemeinen Löschungsregeln der Datenschutzgesetze - soweit keine spezielle gesetzliche Aufbewahrungsvorschrift vorhanden ist. Maßgeblich ist hier der Grundsatz der Erforderlichkeit zur Aufgabenerfüllung. Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Löschungspflicht (z.B. gemäß Art. 12 Abs. 1 Nr. 2 BayDSG) und diese Daten sind zu löschen.

Eine generell gültige und exakte Bestimmung des zulässigen Aufbewahrungszeitraums für Protokolldaten, deren Auswertung zeitlich nicht konkretisiert ist, ist nicht möglich. Als Anhaltspunkte können aber dienen:

  • die Wahrscheinlichkeit, dass Unregelmäßigkeiten (noch) aufgedeckt werden können und
  • die Möglichkeit und Notwendigkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle und anderer Unterlagen aufdecken zu können.

Erfahrungsgemäß sollte eine Frist von höchstens einem halben Jahr nicht überschritten werden.

Soweit Protokolle zum Zwecke gezielter Kontrollen angefertigt werden, z.B. Überprüfung der Eindringversuche an einer Firewall, kommen auch mitunter wesentlich kürzere Speicherungsfristen in Betracht. In der Regel reicht hier eine Aufbewahrung bis zur tatsächlichen Kontrolle. Gerade bei diesem Beispiel kommt es auf eine sehr zeitnahe Auswertung mit entsprechenden Reaktionen an.

Häufig fehlt auch eine Vereinbarung mit dem Personalrat, in der die zulässigen Protokollierungen, ihre Aufbewahrungsdauer sowie die Art ihrer Auswertung genau definiert sind. Da die Protokollierung eine technische Einrichtung zur Überwachung des Verhaltens der Beschäftigten der speichernden Stelle darstellt, hat der Personalrat gemäß Art. 75a Abs. 1 BayPVG ein Mitbestimmungsrecht. Durch eine Vereinbarung mit dem Personalrat sollte daher sichergestellt sein, dass das Instrument der Protokollierung nicht zweckentfremdet verwendet wird.

23.4.8. Elektronische Gästebücher und Internet-Foren

Elektronische Gästebücher und Internet-Foren auf der eigenen Homepage erfreuen sich insbesondere bei Kommunen immer größerer Beliebtheit, dienen sie doch dazu, Kontakte mit den Bürgern zu pflegen. So können diese beispielsweise Kommentare zu aktuellen politischen Themen oder auch nur ihr Lob bzw. Kritik bezüglich der Gestaltung der Homepage kundtun.

Allerdings werden diese Gästebücher und Foren gelegentlich auch dazu missbraucht, politisch radikalen Inhalt einzutragen, andere Personen (insbesondere Politiker) zu beleidigen und sonstige strafrechtlich relevanten Eintragungen vorzunehmen. Aus diesem Grunde sind verschiedene Kommunen mit der Frage an mich herangetreten, ob und wie sie gegen derartiges Fehlverhalten vorgehen könnten, ohne dabei den Datenschutz zu verletzen. Insbesondere das Mitloggen der IP-Adressen und die Erfassung personenbezogener Daten der Gästebuchnutzer spielten bei diesen Überlegungen eine große Rolle.

Elektronische Gästebücher und Internet-Foren stellen Teledienste im Sinne des § 2 Abs. 1 Teledienstegesetz (TDG) dar, da sie elektronische Informations- und Kommunikationsdienste sind, die für eine individuelle Nutzung von kombinierbaren Daten, wie Zeichen, Bilder oder Töne bestimmt sind und ihnen eine Übermittlung mittels Telekommunikation zugrunde liegt.

Die Betreiber einer entsprechenden Homepage sind sowohl im Sinne des Teledienstegesetzes als auch des Teledienstedatenschutzgesetzes (TDDSG) sog. Diensteanbieter, da sie als juristische Personen einen eigenen Teledienst zur Nutzung bereithalten bzw. den Zugang zu dessen Nutzung vermitteln (§ 3 Nr. 1 TDG, § 2 Nr. 1 TDDSG).

Gemäß § 3 Abs. 1 TDDSG dürfen personenbezogene Daten vom Diensteanbieter zur Durchführung von Telediensten nur erhoben, verarbeitet und genutzt werden, soweit dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Nutzer eingewilligt hat. Weiter bestimmt § 4 Abs. 6 TDDSG, dass der Diensteanbieter dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist.

Unter Pseudonymisieren ist dabei das Verändern personenbezogener Daten durch eine Zuordnungsvorschrift dergestalt zu verstehen, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können. Ein Pseudonym kann beispielsweise ein erfundener Name oder eine Kurzbezeichnung sein, die aus sich heraus die Identität des Nutzers nicht preisgeben, aber z.B. über eine Referenzliste beim Diensteanbieter mit der tatsächlichen Identität des Nutzers zusammengeführt werden können.

So setzt auch § 4 Abs. 7 Satz 1 TDDSG voraus, dass der Diensteanbieter Daten zu dem Pseudonym des Nutzers speichert. Dies bedeutet, dass ein Diensteanbieter entweder selbst die Pseudonyme vergibt oder ihm zumindest bekannt sein muss, wer sich dahinter verbirgt. In beiden Fällen sind ihm somit die Identitäten des Besuchers seiner Internetseiten bekannt.

Ein Pseudonym schützt einen Nutzer von Gästebüchern oder Foren somit nicht vor der Kenntnis durch den Diensteanbieter, wohl aber muss dieser durch entsprechende technische und organisatorische Vorkehrungen sicherstellen, dass die wahre Identität des Nutzers anderen Nutzern gegenüber nicht bekannt wird.

Diensteanbieter sind gemäß § 8 Abs. 2 Satz 1 TDG nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Hat ein Betreiber einer Homepage allerdings Kenntnis von entsprechenden Einträgen und entfernt sie nicht, so haftet er für diese Inhalte (vgl. § 11 TDG).

Kommunale Internet-Foren und Gästebücher können als eine öffentliche Einrichtung der Gemeinde i.S.d. Art. 21 Gemeindeordnung (GO) angesehen werden. Die Gemeinden dürfen keine rechtswidrigen (oder gar strafbaren) Benutzungen ihrer öffentlichen gemeindlichen Einrichtungen dulden. Sie sind als Körperschaften des öffentlichen Rechts in besonderer Weise Gesetz und Recht verpflichtet und somit dazu aufgerufen, derartige rechtswidrige oder strafbare Benutzung zu unterbinden. Sie können faktisch auch nicht dazu gezwungen werden, strafrechtlich relevante oder sogar verfassungsfeindliche Inhalte in ihren Foren und Gästebüchern zu dulden.

Für ein datenschutzgerechtes Betreiben von Gästebüchern und Internet-Foren empfehle ich daher folgende Vorgehensweise:

  • Eintragungen im Gästebuch bzw. Forum werden nicht anonym, sondern nur unter einem selbst gewählten Pseudonym - nach vorheriger Anmeldung mit personenbezogenen Daten - zugelassen.
  • Die wahren Identitäten der Nutzer werden nicht veröffentlicht, können aber vom Betreiber der Homepage ermittelt und bei strafbaren Handlungen den Ermittlungsbehörden übergeben werden.
  • Darauf sollte in den Nutzungsbedingungen des Gästebuches bzw. des Forums hingewiesen werden. Soweit technisch möglich, sollte einem Nutzer zusätzlich bei der Vornahme seines Eintrages ein entsprechender Hinweis eingeblendet werden.
  • Bei einer relativ geringen Anzahl von Einträgen pro Tag empfiehlt es sich, eine Moderation des Gästebuches bzw. des Forums mit Vorbehalt einer Freischaltung der einzelnen Einträge erst nach Sichtung durch den Betreiber der Homepage vorzunehmen. Darauf sind die Eintragswilligen vorab bereits bei ihrer Registrierung hinzuweisen.
  • Ist eine Vorabkontrolle aufgrund des hohen Aufkommens von Einträgen nicht möglich, so sollte zumindest einmal täglich der Inhalt des Gästebuches bzw. der Foren auf strafrechtlich relevante Inhalte durchgesehen werden. Derartige Inhalte sind natürlich unverzüglich zu entfernen.

Eine vorsorgliche Protokollierung von IP-Adressen ist nur wegen sicherheitsrelevanter Ereignisse (im Sinne von Gefährdung der technisch-organisatorischen Sicherheit - also z.B. zur Abwehr oder Nachverfolgung von Angriffen über das Internet) zulässig.

Nicht zulässig ist aber eine vorsorgliche Protokollierung von IP-Adressen zum Zwecke einer evtl. späteren Strafverfolgung, weil möglicherweise zukünftig ein Besucher des Gästebuches oder des Forums dort strafrechtlich relevante Eintragungen vornehmen könnte.

Über die Protokollierung der IP-Adressen aus Gründen der Datensicherheit sind die Besucher der Homepage im Rahmen der Online-Datenschutzerklärung zu unterrichten (siehe Nr. 22.2.2.2 meines 21. Tätigkeitsberichts und die Orientierungshilfe "Online-Datenschutz-Prinzipien (ODSP)" - abrufbar auf meiner Homepage im Bereich Technik/Grundsätze/Allgemein).

23.5. Beratungsleistungen

23.5.1. Allgemeine Anmerkungen

Wie im vorletzten hat auch in diesem Berichtszeitraum der Umfang an nachgefragter Beratungsleistung stark zugenommen und beanspruchte im technisch-organisatorischen Bereich wieder einen ganz wesentlichen Teil meiner personellen Kapazitäten. Neben lokalen und landesweiten Projekten wurde erhebliche Beratungsleistung auch in bundesweiten Projekten, die teilweise bereits seit mehreren Jahren meine Dienststelle und auch meine Kollegen in Bund und Ländern intensiv beschäftigen, erbracht.

Dabei hat es sich - wie bereits in meinen früheren Tätigkeitsberichten ausgeführt - erneut gezeigt, dass die sich im Zusammenhang mit den Projekten ergebenden Datenschutzfragen und -aspekte längst nicht mehr nach Recht und Technik getrennt betrachtet werden können. Die erreichten umfassenden Beratungsergebnisse konnten nur erzielt werden durch die von meinen Mitarbeitern praktizierte enge Zusammenarbeit zwischen Technikern und Juristen.

Auf einige dieser sehr arbeitsintensiven Projekte bin ich in den Kapiteln Einführung einer elektronischen Gesundheitskarte (vgl. Nr. 14.1.1), Mammographie-Screening (vgl. Nr. 13.1.3), Elektronisches Fortbildungskonto für Ärzte (vgl. Nr. 13.4.1) und Datenschutzrechtliche Begleitung des Aufbaus einer Biomaterialbank - Biobank der Blutspender (vgl. Nr. 13.3.1) bereits eingegangen.

Weitere Projekte mit ebenfalls technisch-organisatorischem Beratungsbedarf sind wegen des derzeitigen Schwerpunktes im rechtlichen Bereich in den entsprechenden rechtlichen Abschnitten dargestellt, z.B. in den Kapiteln Polizei, Justiz, Gemeinden, Städte und Landkreise, Steuer- und Finanzverwaltung, Personalwesen, Statistik, Medien und Telekommunikation.

Auf einige, wegen ihrer gravierenden technisch-organisatorischen Bedeutung ausgewählte Projekte gehe ich in den folgenden Abschnitten näher ein.

23.5.2. JobCard-Verfahren / ELENA

Wie schon unter Nr. 22.2.3.3 meines 21. Tätigkeitsberichts 2004 dargestellt, habe ich auch in diesem Berichtszeitraum die Weiterentwicklung des JobCard-Verfahrens, mittlerweile umbenannt in ELENA-Verfahren (Elektronischer Einkommensnachweis), begleitet.

Projektstand

Am 31.12.2005 wurde das Projekt JobCard-Verfahren Stufe 2 mit einem Abschlussbericht beendet. In diesem Projekt wurde die Machbarkeit von Erweiterungen des JobCard-Verfahrens Stufe 1 untersucht, so z.B. die Einbindung von 17 weiteren Bescheinigungen neben der ursprünglichen Arbeitgeberbescheinigung für das Arbeitslosengeld, wie z.B. Mutterschaftsgeld, Krankengeld, Kindergeld, Wohngeld, Rentenbescheinigung, Verdienstbescheinigung für Gerichte (Prozesskostenhilfe), Arbeitgeberbescheinigung zum Erziehungsgeldantrag, Bescheinigungen im Rahmen des Unterhaltssicherungsgesetzes. Damit sollen ca. 90% des Bescheinigungswesens abgedeckt werden.


Das Grundprinzip des Verfahrens hat sich dennoch nicht fundamental geändert. Nach wie vor übermitteln die Arbeitgeber monatlich einen multifunktionalen Datensatz an die Zentrale Speicherstelle (ZSS). Dort werden sie entsprechend der Aufbewahrungsfristen der einzelnen Verfahren verschlüsselt aufbewahrt. Die Verschlüsselung geschieht mittels eines Masterkey-Verfahrens, also nicht mit dem Schlüssel des Betroffenen. Der Abruf erfolgt durch die Leistungsgewährende Stelle, nachdem sowohl der Betroffene als auch der Sachbearbeiter eine entsprechende Vollmacht elektronisch signiert haben. Da die Teilnahme am Verfahren für alle Arbeitnehmer in Deutschland verpflichtend ist, müssen diese im Besitz einer Signaturkarte sein.

Die Bedingungen des Jobcard-Verfahrens sollen per Gesetz geregelt werden. Ein Gesetzesentwurf hierzu soll noch im Herbst 2006 in das parlamentarische Verfahren eingebracht werden. 2008 sollen nach jetzigem Planungsstand die Arbeitgebermeldungen beginnen, 2009 dann der Bescheinigungsabruf.

Mittlerweile wurde die Projektstufe 3 gestartet, in der zum einen die Details zur Einbindung der Entgeltersatzleistungen erarbeitet werden sollen. Entgeltersatzleistungen sind Leistungen öffentlicher Einrichtungen, die in die Berechnung oben genannter Bescheinigungen miteinbezogen werden müssen, wie z.B. der Bezug von Arbeitslosengeld. Aus Sicht der Effizienzsteigerung ist es sinnvoll, wenn auch diese Daten von den entsprechenden Stellen elektronisch geliefert werden.


Zum anderen soll in dieser Phase die reale Einführung des Verfahrens vorbereitet werden. In diesem Zusammenhang wird beispielsweise an einem so genannten Migrationskonzept gearbeitet, das festlegt, wie die Zeitspanne gehandhabt werden soll, in der noch nicht alle Betroffenen eine Signaturkarte besitzen.

Diskussionspunkte

Aus Datenschutzsicht ist nach wie vor die Frage der verfassungsrechtlichen Zulässigkeit des Verfahrens nicht vollständig geklärt. Ein Großteil der Bevölkerung wird an dem Verfahren teilnehmen müssen. Ein Teil davon wird vermutlich zumindest für bestimmte Zeitabschnitte überhaupt keine Sozialleistungen beantragen. Bisher wurden von den zuständigen Stellen noch keine belastbaren Zahlen oder Argumente vorgelegt, die untermauern könnten, dass die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit eingehalten werden. Somit kann derzeit nicht abschließend geklärt werden, ob es sich um eine unverhältnismäßige, verfassungswidrige Datenspeicherung handelt. Die Gesetzesbegründung soll hierzu Aussagen enthalten.


Zudem besteht bei großen Datenbeständen immer die Gefahr, dass Begehrlichkeiten geweckt werden und auch das Risiko des Missbrauchs ist nicht zu unterschätzen.

Neben diesen grundsätzlichen, noch offenen Fragen wurden auch technische Einzelheiten des Verfahrens diskutiert. Zum einen war dies die Frage der Ende-zu-Ende-Verschlüsselung der Datensätze mit dem Schlüssel des Betroffenen, um der Möglichkeit der Entschlüsselung durch die ZSS zu begegnen. Hierzu wurde ein Gutachten durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt, das zu dem Ergebnis kam, dass die Ende-zu-Ende-Verschlüsselung zwar möglich wäre, jedoch Probleme bezüglich der praktischen Handhabbarkeit aufwerfe, da sich der technische und organisatorische Aufwand für viele Vorgänge erhöhen würde. Insbesondere problematisiert wurde das Thema Verlust bzw. Defekt der Signaturkarte des Betroffenen, die eine Entschlüsselung der in der ZSS gespeicherten Daten unmöglich machen würden. Die entsprechenden Daten müssten somit beim Arbeitgeber wiederbeschafft werden, was dort komplexe Methoden zur Bereithaltung erfordern würde.


Als Kompromiss wurde eine Lösung festgelegt, bei der der Masterkey des Verfahrens aus der Hoheit der ZSS ausgelagert und in die Hände eines unabhängigen Dritten gelegt wird. Dieser kontrolliert, ob die Zugriffe auf den Masterkey und damit die Datenabrufe zulässig sind.


Ein weiteres Thema sind die Entgeltersatzleistungen, welche weitere Daten Datenlieferanten und abrufende Stellen in das Verfahren einbringen. Hieran zeigt sich zum einen die Tendenz des JobCard-Verfahrens, einen umfassenden, zentralen Datenpool zu Sozialdaten fast der gesamten Bevölkerung aufzubauen, der unter Umständen Begehrlichkeiten aus anderen Bereichen weckt. Dieser Effekt konnte bereits beobachtet werden: So wurde z.B. im Rahmen der Diskussion um die Schwarzarbeitsbekämpfung die Anforderung gestellt, den Ermittlungsbehörden Zugriff auf die Datenbestände ohne Wissen des Betroffenen zu gewähren. Dies wurde zwar von allen Beteiligten abgelehnt, es stellt sich jedoch die Frage, welche Wünsche zukünftig noch an das Verfahren herangetragen werden. Da auf die Ende-zu-Ende-Verschlüsselung verzichtet wurde, ist ein derartiger Zugriff technisch betrachtet realisierbar. Es könnten somit allein durch eine Gesetzesänderung neue Nutzungsmöglichkeiten für vorhandene Daten erschlossen werden.


Zum anderen stellt sich die Frage der datenschutzgerechten technischen Umsetzung der Entgeltersatzleistungen. Hierbei ist insbesondere darauf zu achten, dass die Daten nicht in der ZSS und somit unter der gleichen Obhut wie die Arbeitgeberdaten und mit dem gleichen Schlüssel verschlüsselt gespeichert werden. Dies würde z.B. auch bei Angriffen auf die ZSS-Systeme die Menge der potentiell unbefugt offenbarten Daten deutlich erhöhen. Angedacht ist derzeit, eine eigene ZSS für die Entgeltersatzleistungsdaten einzuführen.


Gerade wegen der Vielzahl der im Verfahren gesammelten Daten ist die Transparenz ein wichtiger Aspekt. Hierzu wurden von Seiten des Datenschutzes Maßnahmen gefordert, damit der Betroffene jederzeit nachvollziehen kann, welche Daten über ihn gespeichert sind und welche Datenübertragungen an welche Stellen stattgefunden haben. Es wären z.B. Online-Terminals denkbar.


Derzeit diskutiert wird die Frage, wie der Datenabruf während der Übergangsphase bei der Einführung des JobCard-Verfahrens erfolgen soll, in der noch nicht alle Arbeitnehmer eine Signaturkarte besitzen. Ein der Arbeitsgruppe JobCard zur Kommentierung vorgelegtes Migrationskonzept sieht vor, in dieser Phase den Datenabruf ohne die Signaturkarte des Antragstellers über eine Art PIN/TAN-Verfahren zu ermöglichen. Dies wird sehr kritisch gesehen, da damit die Sicherheitshürden deutlich reduziert würden und zudem vom Zwei-Karten-Prinzip abgewichen werden soll, das bisher die Grundlage der Akzeptierbarkeit des Verfahrens aus Datenschutzsicht war. Aus diesen Gründen wurde daher das Migrationskonzept von der Projektleitung wieder verworfen und zum Zwei-Karten-Prinzip auch für die Migrationsphase zurückgekehrt.

Fazit

Das JobCard-Verfahren wurde zeitweise sehr intensiv von Seiten des Datenschutzes begleitet, dennoch konnten bisher die Befürchtungen nicht endgültig ausgeräumt werden. Einerseits konnten juristische Fragen zur Vorratsdatenspeicherung bisher nicht geklärt werden, andererseits ist das Verfahren nach wie vor im Fluss und erfährt ständig neue Ergänzungen. Das zeitweise vorgeschlagene Migrationskonzept mit seiner Abweichung vom Zwei-Karten-Prinzip ließ die Besorgnis aufkommen, dass hiermit das Sicherheitsniveau für Datenzugriffe reduziert wird und dass diese als Provisorium gedachte Maßnahme zur Dauereinrichtung werden könnte, weswegen von dieser Lösung nach kritischer Beurteilung durch die Datenschutzbeauftragten wieder Abstand genommen wurde. Es erscheint daher angezeigt, die Entwicklung des JobCard-Verfahrens und insbesondere auch die zu erstellenden gesetzlichen Regelungen genau zu beobachten.

23.5.3. Umgang mit Biomaterialien in Universitätsklinika

Der Umgang mit menschlichen Biomaterialien (z.B. Blut, Gewebe, Liquor, Urin) gewinnt mit der zunehmenden Verbreitung genetischer Analysen eine besondere Brisanz. Insbesondere an den Universitätsklinika wird eine breite Forschung an Biomaterialien betrieben. Zur Gewinnung eines Überblicks über die üblichen Praktiken habe ich an alle bayerischen Universitätsklinika einen detaillierten Fragebogen versandt. Zusätzlich wurden von meinen Mitarbeitern im Prüfungszeitraum zwei Klinika besucht, um die jeweils üblichen Verfahrensweisen unmittelbar vor Ort kennen zu lernen.

Dabei hat sich ergeben, dass im Großen und Ganzen die Anforderungen des Datenschutzes eingehalten werden. Es bestehen jedoch teilweise große Unterschiede zwischen einzelnen Abteilungen und Projekten innerhalb eines Klinikums, da jeweils eigene Konzepte und Lösungen Anwendung finden. Deshalb erscheint es sinnvoll, an dieser Stelle die Mindestanforderungen aus Sicht des Datenschutzes an die Verarbeitung von Biomaterialen in Krankenhäusern festzulegen. Zu unterscheiden ist hierbei zwischen den Bereichen Patientenversorgung und Forschung.

Patientenversorgung

Im Rahmen der medizinischen Versorgung werden für die Diagnose und Therapie beim Patienten Biomaterialien genutzt. Diese Nutzung ist im Allgemeinen vom Behandlungsvertrag gedeckt. Die Proben werden üblicherweise auf der behandelnden Station entnommen, dort mit dem Patientennamen, Geburtsdatum, Geschlecht und evtl. internen Verwaltungsnummern beschriftet und so an interne wie auch an externe Labore weitergegeben. Die Ergebnisse der Untersuchung werden im Labor zusammen mit den identifizierenden Daten des Patienten zumeist einerseits in den speziellen Laborsystemen elektronisch abgespeichert und von dort an das Krankenhausinformationssystem (KIS) und die anfordernde Abteilung weitergegeben, zum anderen auf Papier zur Patientenakte genommen. Die Proben werden nach der Auswertung vernichtet. Nur für sehr schwer zu erlangendes Material wird dieses bei Bedarf mit Einwilligung des Betroffenen für die Forschung weitergenutzt.

Die Beschriftung der Proben und Daten mit den identifizierenden Daten des Patienten ist im direkten Behandlungszusammenhang akzeptabel. Auch wenn theoretisch betrachtet eine pseudonymisierte Nutzung möglich erscheint, steigt in der Praxis die Verwechslungsgefahr dadurch deutlich, die u.U. zu lebensbedrohlichen Situationen für den Patienten führen kann.

Für die Nutzung von Biomaterialien im Behandlungszusammenhang sind folgende Anforderungen zu beachten, die sowohl den Schutz der Patientendaten als auch der Proben sicherstellen sollen:

  • Für das Laborsystem und seine Anbindung an sonstige im Klinikum vorhandenen Systeme (z.B. KIS) gelten die üblichen Anforderungen des Datenschutzes wie z.B. personenbezogene Benutzerkennungen und differenzierte Zugriffsrechte, Integrität der Daten, Nachverfolgbarkeit von Datenzugriffen und -änderungen, gesicherte Datenübermittlung. Details hierzu finden sich u.a. in der Orientierungshilfe zu Krankenhausinformationssystemen, die von meiner Homepage abrufbar ist.
  • Bezüglich der Proben ist zum einen eine durchgängige Sicherung gegen Verlust oder Diebstahl erforderlich: Proben sollten nach ihrer Erhebung eindeutig, z.B. per Nummer, identifizierbar sein und in der Bestandsverwaltung, z.B. Laborsystem, erfasst werden. Hierüber sollte auch nachvollziehbar sein, wo sich die Probe gerade befindet.

Für den Transport der Proben muss sichergestellt werden, dass dieser über diebstahlgeschützte Wege erfolgt und eine unbefugte Kenntnisnahme der personenbezogenen Beschriftungen nicht möglich ist. Insbesondere bei einem Transport nach außen durch externe Dienstleister muss gewährleistet werden, dass diese keine Kenntnis von der Beschriftung der Proben nehmen können.

  • Die Verwahrung von Proben auf Station und in den Labors muss in abgeschlossenen Räumen oder Schränken erfolgen und auch für zu vernichtende Proben muss sichergestellt werden, dass hierbei kein Entwenden des Materials möglich ist. Es darf grundsätzlich nur das Personal Zugang haben, das mit der Behandlung des Patienten bzw. der Analyse der Proben betraut ist.


Forschung

In der Forschung wird in vielen Fällen bereits heute mit anonymisierten oder pseudonymisierten Daten und Proben gearbeitet. An dieser Stelle sollen nur Fälle betrachtet werden, bei denen Universitätsklinika definierte und zeitlich begrenzte Forschungsprojekte betreiben. Biomaterialbanken, bei denen Daten und Proben längerfristig und eventuell auch zu derzeit noch unbestimmten Zwecken gesammelt werden, werden in Nr. 13.3.1 genauer dargelegt.


Die für die Forschung relevanten Daten werden in der Regel getrennt von identifizierenden Daten elektronisch gespeichert und aufbewahrt. Zunehmend handelt es sich bei den Forschungsprojekten um sog. Multicenter-Studien, bei denen Daten und Proben mehrerer Stellen gesammelt und auch von allen oder von einigen dann genutzt werden. Die verwendeten Verfahren zur Anonymisierung / Pseudonymisierung und auch die Sicherheitsmaßnahmen zum Schutz vor einer unbefugten Depseudonymisierung fallen jedoch sehr unterschiedlich aus. Daher sollen im Folgenden gewisse Mindeststandards an die Nutzung von Biomaterialien für die Forschung dargelegt werden.

  • Die Forschung mit Patientendaten und Proben ist nur unter der Voraussetzung der Einwilligung des Patienten möglich. Hierzu sind eine Patienteninformation, welche die Einzelheiten der Studie in verständlicher Form darstellt, und eine Einwilligungserklärung nötig.
  • Forscher dürfen in jedem Fall nur auf pseudonymisierte oder anonymisierte medizinische Patientendaten zugreifen, da ein Personenbezug für Forschungsfragen in aller Regel nicht erforderlich ist. Dies bedeutet, dass sowohl Daten als auch Proben, die zu Forschungszwecken genutzt werden, nur mit einem Code (Pseudonym) versehen sein dürfen, d.h. Namensangaben etc. dürfen nicht enthalten sein. Detaillierte Hinweise zum Thema Pseudonymisierung sind von meiner Homepage mit der entsprechenden Orientierungshilfe abrufbar.
  • Die Pseudonymisierung / Anonymisierung muss zu einem möglichst frühen Zeitpunkt nach der Erhebung von Daten und Proben vorgenommen werden, also insbesondere vor der Herausgabe von Daten / Proben an Partner. Das Pseudonym sollte hierbei nicht sprechend sein, so dass daraus keine Rückschlüsse auf den Patienten möglich sind, also beispielsweise nicht aus Initialen und Geburtsdatum bestehen.
  • In gewissen Fällen kann eine Reidentifizierung des Patienten nötig sein. Zu diesem Zweck kann die Zuordnung Pseudonym - identifizierende Daten aufbewahrt werden. Wichtig ist hierbei jedoch die gesicherte Verwahrung, getrennt von den Forschungsdaten und Proben, z.B. unter gesonderter organisatorischer Obhut. Auch sollten Maßnahmen ergriffen werden, um den Beschlagnahmeschutz zu gewährleisten.
  • Wie im Falle der Nutzung für die Patientenversorgung müssen eventuell verwendete IT-Systeme den üblichen Anforderungen des Datenschutzes genügen und sicherstellen, dass nur Befugte Zugriff auf die Daten erhalten. Ebenso müssen die Proben gesichert gelagert werden.
  • Forschungsergebnisse dürfen nur in anonymisierter oder aggregierter Form veröffentlicht werden.
  • Je nach Größe und Bedeutung der Proben kann auch eine organisatorische Trennung der verschiedenen Funktionen erforderlich sein, so dass für eine unbefugte Depseudonymisierung mehrere Stellen kompromittiert werden müssten. Es kann z.B. sinnvoll sein, Proben, identifizierende Daten und medizinische Daten jeweils an einer anderen Stelle und unter getrennter Obhut aufzubewahren. Diese Fragen sind insbesondere für große Biomaterialbanken von Interesse, wie sie in Nr. 13.3.1 behandelt werden.
  • Für jedes Forschungsprojekt ist auch die Frage zu klären, wie die datenschutzrechtliche Freigabe gemäß Art. 26 BayDSG erfolgt. Insbesondere bei Multicenter-Studien ist festzulegen, wer verantwortlich im Sinne des Datenschutzes ist.

23.5.4. Zusammenlegung von Kfz-Zulassungsbehörden

Im Berichtszeitraum sind verschiedene Städte und Landratsämter mit der Bitte an mich herangetreten, zu prüfen, in wieweit es möglich wäre ihre Kfz-Zulassungsbehörden zusammenzulegen. Dazu ist aufgrund der derzeitigen Rechtslage Folgendes zu sagen:

Für eine Zusammenlegung von Kfz-Zulassungsbehörden eines Landratsamtes und einer kreisfreien Stadt und die dabei vorgesehene wechselseitige Bearbeitung von Anträgen nach der Straßenverkehrs-Zulassungs-Ordnung (StVZO) ist § 68 Absatz 2 Satz 2 StVZO maßgeblich. Danach dürfen Anträge (z.B. auf Zulassung und Stilllegung) mit Zustimmung der örtlich zuständigen Behörde von einer gleichgeordneten auswärtigen Behörde behandelt und erledigt werden. Voraussetzung ist eine entsprechende Vereinbarung der beteiligten Kfz-Zulassungsbehörden. Die Anwendbarkeit der Vorschrift ist außerdem auf Vorgänge beschränkt, für die ein Antrag erforderlich ist. Unzulässig wäre es auch, eine gemeinsame Behörde zu schaffen, d.h. die Behörden müssen eigenständig bleiben und auch das Personal muss in der Hoheit der jeweiligen Behörde verbleiben.

Nicht vom § 68 Abs. 2 StVZO erfasst ist die Übertragung von Aufgaben einer Kfz-Zulassungsbehörde an kreisangehörige Gemeinden. Soll dies geschehen, muss ein entsprechender Antrag gemäß § 15 der Verordnung über Zuständigkeiten im Verkehrswesen (ZustVVerk) an das Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie (StMWIVT) gerichtet werden, das dafür seine Zustimmung erteilen muss.

Die Eigenständigkeit der Kfz-Zulassungsbehörden einer kreisfreien Stadt und eines Landratsamtes muss auch durch die Ergreifung entsprechender technisch-organisatorischer Datensicherheitsmaßnahmen gewährleistet werden. So ist es zwar möglich, dass sich beide Stellen einer gemeinsamen physikalischen Datenbank bedienen, allerdings muss dabei zwingend eine logische Trennung der beiden Datenbestände erfolgen. Die Verantwortlichkeiten für die Datensicherung und die Gewährleistung der Verfügbarkeit der erforderlichen Daten und Datenbankserver müssen bei einer gemeinsamen Datenbank vertraglich geregelt werden.

Außerdem müssen die beiden Datenbestände gegen unberechtigte Zugriffsversuche - auch von der jeweils anderen Stelle - abgesichert werden; z.B. durch strikte Rechtevergabe, Authentisierung und Identifizierung mittels Benutzerkennung und Passwort, Protokollierung der Zugriffsversuche und Auswertung der Protokolldateien hinsichtlich Schutzverletzungen. Sollten im Rahmen der Datenverarbeitung öffentliche Leitungen genutzt werden, sind die Installation einer Firewall zur jeweiligen Netzwerkabsicherung, eventuell die Einrichtung eines VPN und eine verschlüsselte Datenübertragung erforderlich. Auch zur Abschottung der Netzteilnehmer untereinander ist der Einsatz einer Firewall empfehlenswert.

§ 6 des vom Bayerischen Ministerrat im September 2006 beschlossenen Gesetzes zur Erweiterung und Erprobung von Handlungsspielräumen der Kommunen sieht vor, dass kreisfreie Gemeinden und der Freistaat Bayern, vertreten durch das jeweilige staatliche Landratsamt, sich zu einem Zweckverband gemäß dem Gesetz über die kommunale Zusammenarbeit zusammenschließen und ihm die Aufgaben der unteren Verwaltungsbehörden für die Fahrzeugzulassung übertragen können. Diese Regelung soll dem Art. 8 des Gesetzes über die Zuständigkeit im Verkehrswesen als Abs. 3 angefügt werden.

23.5.5. Datenschutzanforderungen an ein Dokumentenmanagementsystem

Insbesondere größere Kommunen und Behörden planen seit einiger Zeit, ein Dokumentenmanagementsystem (DMS) zur Verwaltung ihrer elektronischen Dokumente einzusetzen. So entwickelt beispielsweise ein Softwareunternehmen für den Freistaat Bayern das einheitliche Dokumentenmanagement- und Vorgangsbearbeitungssystem ELDORA (Elektronische Dokumentenverarbeitung mit Recherche und Aktenverwaltung), das im Laufe des Jahres 2007 möglichst flächendeckend im staatlichen Bereich eingeführt werden soll.

Im Rahmen einer Landeslizenz soll ELDORA auch kommunalen Stellen und sonstigen rechtlich selbstständigen Körperschaften, Anstalten und Stiftungen, die unter der Aufsicht des Freistaates Bayern stehen, möglich sein, dieses DMS kostengünstig zu erwerben.

In die Spezifikation und Feinkonzeption des Systems wurde ich eingebunden. Die Gespräche über einzelne grundlegende datenschutzrechtliche Anforderungen an dieses Projekt waren zum Redaktionsschluss noch nicht abgeschlossen.

Ein Dokumentenmanagementsystem dient der zentralen und medienbruchfreien Verwaltung elektronischer Dokumente sowie ihrer Wiederauffindbarkeit und spart damit Zeit und Kosten. Andererseits entsteht durch die elektronische Abbildung der Tätigkeiten der Mitarbeiter eine große Menge von zusätzlichen Informationen, die gezielt zur Ausforschung und zur permanenten Verhaltens- und Leistungskontrolle von einzelnen oder allen Mitarbeitern genutzt werden können.

Daher sollte in einer Dienstvereinbarung mit dem Personalrat genau festgelegt werden, für welche Zwecke das DMS eingeführt werden soll, welche Protokolldaten im DMS erzeugt werden, wer zu welchen Zwecken darauf zugreifen und diese auswerten darf. Eine Nutzung dieser Daten für Verhaltens- und Leistungskontrollen ist dabei natürlich auszuschließen.

Aber auch Akteneinsichtsrechte (z.B. Art. 29 BayVwVfG) und Rechte der Betroffenen auf Berichtigung, Sperrung und Auskunft bezüglich der über sie gespeicherten Daten müssen in einem DMS sichergestellt und praktisch umgesetzt werden.

So ist bei der Einführung eines DMS darauf zu achten, dass insbesondere folgende datenschutzrechtliche Anforderungen umgesetzt werden:

  • Dokumente dürfen nicht unzulässig im DMS gespeichert werden oder bleiben.
  • Unzulässige Zugriffe auf die Dokumente sind zu verhindern.
  • Dokumente dürfen nicht manipuliert oder gelöscht werden können.
  • Der Zugriff auf Protokolldaten der Beschäftigten zu Zwecken der Leistungs- und Verhaltenskontrolle ist zu untersagen.

Gemäß Art. 26 Abs. 1 Satz 1 BayDSG bedarf der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, der vorherigen schriftlichen datenschutzrechtlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle. Eine solche Freigabe muss natürlich auch für ein DMS vorliegen.

Selbstverständlich müssen auch in einem DMS Maßnahmen zur Gewährleistung der Vertraulichkeit, der Authentizität, der Integrität, der Revisionsfähigkeit und der Verfügbarkeit ergriffen werden.

So muss z.B. die Möglichkeit bestehen, sensible personenbezogene Daten zur Wahrung der Vertraulichkeit verschlüsselt abspeichern zu können. Die Übertragung personenbezogener Daten hat immer verschlüsselt zu erfolgen.

Für die Gewährleistung der Authentizität und der Integrität ist der Einsatz der elektronischen Signatur anzuraten.

Bezüglich der Revisionsfähigkeit ist darauf zu achten, dass jederzeit nachträglich überprüfbar und feststellbar ist (z.B. durch eine entsprechende Protokollierung), ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Vermerke und Änderungen an Dokumenten sind so zu dokumentieren, dass die Wiederherstellung des ursprünglichen Zustandes jederzeit möglich ist. Dabei ist zu beachten, dass auch Zugriffe der Administratoren gespeichert und ausgewertet werden müssen, da diese im Regelfall Zugriff auf alle Dokumente haben, wodurch sie eventuell unbefugt Informationen zur Kenntnis nehmen oder Dokumente manipulieren bzw. löschen könnten. Festzulegen ist auch, auf welche Weise die Protokolldateien ausgewertet werden und wer diese Auswertung vornimmt. Diese Auswertung sollte nicht oder zumindest nicht ausschließlich durch die Systemadministration erfolgen. Hier gilt es, das Vier-Augen-Prinzip anzuwenden, also z.B. Auswertung nur gemeinsam durch Systemverwalter und behördlichem Datenschutzbeauftragten.

Der Verlust der Verfügbarkeit der Daten ist dadurch zu verhindern, dass die Dokumentenverwaltung technisch so gestaltet wird, dass alle Unterlagen während der Dauer der Aufbewahrungsfrist verfügbar sind. Diese müssen innerhalb einer angemessenen Zeit so lesbar gemacht werden können, dass sie dem Original entsprechen.

Ein Dokumentenmanagementsystem wird häufig als ein Informations- und Wissenstool für alle Beschäftigten angesehen. Dabei wird nicht selten übersehen, dass auch bei einem DMS ein Berechtigungskonzept zu erstellen ist, das detailliert regelt,

  • welche Personen im Rahmen ihrer jeweiligen Aufgabe
  • welche Funktionen (z.B. Suchmasken nur über Metadaten oder über alle Daten, Recherchemöglichkeiten) und
  • welche Daten auf
  • welche Art und Weise (Lese- bzw. Schreibzugriff)

nutzen dürfen.

Dabei dürfen immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. So ist sicherzustellen, dass ein Nutzer nur die Dokumente sehen kann, die seiner jeweiligen Verfügungsberechtigung unterliegen. Eintragungen bzw. Änderungen an den Unterlagen und Bearbeitungsvermerken dürfen nur im Rahmen dieser Zuständigkeiten möglich sein und ein unbefugtes Lesen, Kopieren oder Löschen von Daten ist zu verhindern.

Insbesondere ist zu beachten, dass die Zugriffsrechte bei einer elektronischen Aktenführung denen bei der Führung einer herkömmlichen Akte in Papierform entsprechen müssen und keinesfalls darüber hinausgehen dürfen. Ob eine Akte in herkömmlicher Papierform oder in elektronischer Form geführt wird, ist lediglich eine Frage des gewählten Mediums. Hinsichtlich der Zugriffsberechtigungen können sich aus dieser Entscheidung keine unterschiedlichen Folgerungen ergeben.

Die Zugriffsbefugnisse sowohl für eine Akte in Papierform wie auch in elektronischer Form bestimmen sich nach den einschlägigen gesetzlichen und organisatorischen Aufgabenzuweisungen. Dabei ist auch der Grundsatz der informationellen Gewaltenteilung zu beachten. In diesem Zusammenhang weise ich darauf hin, dass der Behördenleiter zur Wahrnehmung der Dienstaufsicht, der Behördenleitung und der Vertretung der Behörde nach außen einen direkten Zugriff auf die Datenbestände seiner Behörde nicht benötigt (Nr. 8.13 meines 18. Tätigkeitsberichts 1998).

Bereits für das Einscannen des Papiergutes ist festzulegen, welche Personen zum Scannen welcher Dokumente berechtigt und für diesen Vorgang verantwortlich sind. Dies gilt insbesondere für das Einscannen von Dokumenten mit sensiblem Inhalt. Hierbei sind spezifische Vorkehrungen gegen unbefugte Kenntnisnahme erforderlich.

Durch das Ergreifen technischer und organisatorischer Maßnahmen sollte nicht nur ein unvollständiges Scannen sondern auch ein fehlerhaftes Zusammenführen einzelner Dokumente und eine falsche Zuordnung zu Vorgängen möglichst vermieden werden.

Die Aufbewahrungs- und Löschungsfristen der Dokumente sollten vorab und generell geregelt werden, wobei natürlich die einschlägigen gesetzlichen Bestimmungen zu beachten sind. Alle elektronischen Dokumente müssen während ihrer gesamten Archivierdauer zuordenbar und gegen Manipulationen und zufälliger Zerstörung geschützt sein. Andererseits sind Maßnahmen festzulegen, die eine Löschung unzulässig gespeicherter sowie nicht mehr benötigter und nicht archivwürdiger Dokumente sicherstellen.

Weitere Informationen zum "Datenschutz bei Dokumentenmanagementsystemen" enthält die gleichnamige Orientierungshilfe, welche von einer Arbeitsgruppe des Arbeitskreises eGovernment der Konferenz der Datenschutzbeauftragten des Bundes und der Länder erarbeitet wurde und auf meiner Homepage im Bereich Technik/Orientierungshilfen/Sonstiges abrufbar ist.

23.6. Technisch-organisatorische Einzelprobleme

23.6.1. OK.FIS

Im Jahre 2001 traten mehrere Städte mit der Bitte an mich heran, zu prüfen, ob das Finanzinformationssystem OK.FIS der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) datenschutzrechtlich unbedenklich sei. Hauptkritikpunkt war, dass alle Anordnungsdienststellen einer Stadt Zugriff auf alle Finanzadressen (FAD) dieser Kommune hatten. So konnten alle Mitarbeiter neben der Wohnanschrift auch alle anderen Daten - wie Bankverbindungen oder Immobilienobjekte - sowohl von Bürgern als auch von Bediensteten einsehen.

Aufgrund dieser Erkenntnisse führten Mitarbeiter meiner Geschäftsstelle ein Gespräch mit Vertretern der AKDB bezüglich einer möglichen Neugestaltung des OK.FIS-Verfah-rens, bei der die notwendigen Datenschutz- und Datensicherheitsmaßnahmen berücksichtigt werden sollten (siehe Nr. 17.3.4 meines 20. Tätigkeitsberichts).

Diese Programmänderungen wurden von der AKDB sukzessive bis zum Sommer 2004 durchgeführt und eine entsprechende neue Programmversion an die Kunden ausgeliefert.

Im Rahmen meiner Nachfrage bei mehreren Kommunen, die das OK.FIS-Verfahren nutzen, stellte sich im Jahre 2006 jedoch heraus, dass nahezu keine öffentliche Stelle die neuen Programmkomponenten zum Schutz der Finanzadressen einsetzte. Insbesondere wurden dafür folgende Gründe angegeben:

  • zu hohe Kosten, weil die Einstellung zusätzlichen Personals für die Pflege der Datenbank erforderlich sei
  • Erhöhung des Arbeitsaufwandes für die Stadtkassen, da mit verschiedenen Finanzadressen gearbeitet werden müsse
  • hoher administrativer Aufwand für die Pflege der Rechtevergabe
  • Kompatibiltätsprobleme mit anderen AKDB-Verfahren (z.B. OK.FEN)

In einer daraufhin erfolgten Besprechung mit der AKDB erklärte diese jedoch, dass alle bereits vorhandenen Objekte und Finanzadressen ohne großen Aufwand und ohne Neuerfassung in das neue OK.FIS transportiert werden könnten. Somit müsste keineswegs mit verschiedenen Finanzadressen gearbeitet werden. Auch der Aufwand für die Pflege der Rechtevergabe (wer auf welche Daten in welcher Weise zugreifen darf) würde nicht höher liegen als bei vergleichbaren Verfahren.

Um den Kommunen den Umstieg auf die datenschutzgerechtere Programmversion von OK.FIS zu erleichtern, sagten mir die Vertreter der AKDB zu, die bestehende Bedienungsanleitung für das Verfahren zu überarbeiten und gezielter auf die dabei möglichen und notwendigen Schritte hinzuweisen.

Inwieweit durch den Einsatz von OK.FIS tatsächlich Probleme mit anderen AKDB-Ver-fahren auftreten, wird ebenfalls von der AKDB geklärt. Falls dies der Fall sein sollte, würden durch die AKDB eventuell erforderliche Programmanpassungen vorgenommen werden.

Aufgrund dieser Erkenntnisse besteht aus meiner Sicht nun kein Grund mehr, noch länger mit dem Umstieg auf die neue Programmversion zu warten. Ich fordere daher die betroffenen Stellen auf, so schnell wie möglich die neue datenschutzgerechte Version von OK.FIS einzusetzen.

23.6.2. Verlinkung auf der Homepage

Nahezu jede Behörde bietet die Möglichkeit, von ihrer Homepage aus auf die Web-Sei-ten anderer Anbieter zu verlinken. Das Setzen so genannter (Hyper-)Links auf fremde Web-Seiten ist aber ohne Einwilligung des davon betroffenen Homepage-Betreibers rechtlich umstritten. Einerseits wird argumentiert, dass, wer eine Homepage betreibt, damit rechnen muss (und wohl auch will), dass seine Webseiten aufgerufen werden, andererseits kann eine (ungewünschte) Verlinkung u.U. zu Problemen mit dem

  • Zivilrecht (z.B. Schadensersatzforderungen),
  • Urheberrecht (eine verlinkte Webseite kann Werke im Sinne des § 1 UrhG enthalten),
  • Wettbewerbsrecht (evtl. sittenwidrige Leistungsübernahme, Herkunftstäuschung beim so genannten Framing) usw.

führen.

Einige Firmen sind inzwischen sogar dazu übergegangen, Rechnungen für die "unerlaubte Nutzung von Leistungen" an Betreiber von Webseiten zu versenden, die Links auf die Webseite dieser Firmen gesetzt haben. Auf immer mehr Webseiten finden sich auch Hinweise darauf, unter welchen Voraussetzungen ein Verlinken auf ihre Seite erlaubt bzw. verboten ist. Diese Hinweise sind zumeist im Impressum, in der Datenschutzerklärung oder einer eigenen "Linking Policy" integriert.

Ich kann daher nur raten, vor dem Setzen eines Links zu einer Webseite die schriftliche Einwilligung des betreffenden Homepage-Betreibers einzuholen oder sich zumindest davon zu vergewissern, dass diese Webseiten keine Erklärung beinhalten, die eine Verlinkung verbieten.

Da es auch Behörden gibt, die das Setzen von Links regulieren, empfehle ich bezüglich der Verlinkung zu anderen Behörden die gleiche Vorgehensweise. Gleiches gilt für die Veröffentlichung nicht anklickbarer Internetadressen der eigenen Homepage, da auch diese Adressen mittels Abtippen oder Kopieren sofort in den Browser eines Homepage-Besuchers übernommen werden können.

23.6.3. Voice over IP (VoIP)

Immer mehr Behörden ersetzen ihre bisherigen Telefonanlagen durch VoIP-Anlagen, um neue Anwendungen nutzen zu können oder auch die Kosten zu senken. Unter IP-Telefonie versteht man das Telefonieren über Computernetzwerke, die nach Internet-Standards aufgebaut sind. Allerdings ist eine Umstellung auf VoIP aus Datenschutzgründen nicht ganz unbedenklich, da VoIP-Verbindungen in den meisten Fällen noch wesentlich unsicherer sind als ein Telefongespräch über das herkömmliche Festnetz und somit eine Bedrohung für das Fernmeldegeheimnis darstellen.

Vorteile von VoIP

VoIP bietet seinen Nutzern viele Vorteile. So ermöglicht es beispielsweise drastische Kosteneinsparungen beim Telefonieren, wenn z.B. ohnehin vorhandene Hochgeschwindigkeitsverbindungen zwischen verschiedenen Standorten der gleichen Behörde genutzt werden. Auch die Zusammenlegung bereits vorhandener Daten- und Telefonnetze verspricht Kostensenkungen, da bei reinen IP- zu IP-Telefonaten für das Telefonieren über Computer und Internet sowie die hierfür benötigte Software keine Extrakosten anfallen. Wichtige Voraussetzung hierfür ist aber, dass die Telefongespräche zu keiner Zeit über das öffentliche Telefonnetz geführt werden.


Allerdings können im Zuge der Umstellung auf IP-Telefonie zusätzliche Kosten dadurch entstehen, dass neben dem Erwerb einer VoIP-Telefonanlage beispielsweise auch das vorhandene IT-Netzwerk für den Einsatz von Voice over IP unter Geschwindigkeitsaspekten aufgerüstet werden muss. Auch für die Gewährleistung der Verfügbarkeit fallen in der Regel zusätzliche Kosten an, da VoIP immer noch relativ störanfällig ist und VoIP-Telefonate beim Ausfall der Internetanbindung nicht möglich sind.


Ein weiterer Vorteil von VoIP besteht darin, dass neue, attraktive Dienste genutzt werden können, die einen erheblichen Mehrwert gegenüber den herkömmlichen Angeboten (z.B. ISDN-Anlagen) schaffen. So ist mit Voice over IP - ähnlich wie bei einer E-Mail - die gleichzeitige Übertragung von Sprache, Texten und Bildern über eine einzige Leitung möglich. Dabei wird die Sprache - genauso wie andere Daten - in Form von IP-Paketen in und über Netzwerke transportiert. Auch die Integration von VoIP in computergestützte Anwendungen wie Personal Information-Clients (beispielsweise Outlook) ist möglich. So können alle Kommunikationsvorgänge einheitlich und nahtlos abgewickelt und dokumentiert werden. Eingehende Anrufe können mittels Voice-Mailbox aufgezeichnet oder eigene Gespräche direkt aus der Anwendung gestartet werden. Sicher werden zukünftig Gespräche mittels Videokonferenzen geführt werden können. Weitere Dienste sind in der Planung. Auch das Handy wird zukünftig vermutlich immer mehr für VoIP genutzt werden.


Die Arbeitsplatzflexibilität kann ebenfalls mittels Voice over IP drastisch gesteigert werden. So kann der Arbeitsplatz zukünftig an jeden beliebigen Ort - ob in der Behörde, zu Hause oder unterwegs - verlegt werden und der Mitarbeiter ist trotzdem immer unter der gleichen Rufnummer erreichbar. Er benötigt lediglich einen Internet-Anschluss und einen Zugang zum behördeneigenen Netzwerk. Dies erleichtert natürlich auch die Kommunikation mit Telearbeitern und spart Kosten beim Umzug einer Telefonanlage.

Große Sicherheitsrisiken beim Internet-Telefonieren

Die Nutzung von Voice over IP birgt neben den Risiken, die für alle auf Basis des Internet bestehenden Kommunikationsformen bestehen (z.B. grundsätzlich unverschlüsselte Datenübertragung), noch zusätzliche Gefahren für den Datenschutz und die Datensicherheit. So ist es grundsätzlich jedem, der Zugang zum Netzwerk hat, möglich, mittels so genannter Sniffer (Schnüffelprogramme) neben den Daten-Paketen auch die Voice-Pakete abzuhören und aufzuzeichnen. Letztendlich handelt es sich in beiden Fällen lediglich um IP-Pakete. Auf diese Art sind für die gesprochene Kommunikation eine Reihe von neuen Angriffsformen denkbar, die derzeit nur aus dem konventionellen Internet-Datenverkehr bekannt sind, z.B. in Form von Replay-Attacken, call hijacking, Virenbefall, Denial-of-Service-Attacken oder Spam-Angriffen.


So stellt Voice Spam (auch Spit = Spam over Internet Telephony genannt) wohl derzeit die größte Gefahr für Voice over IP dar. Unter Voice Spam versteht man das massenhafte Beschicken von IP-basierten Telefonanschlüssen z.B. mit Klingelrundrufen oder mit einer ungeheuren Menge von Sprachpaketen. Dies kann zu einer erheblichen Belastung der Netz-Ressourcen und im Extremfall zu einem Zusammenbruch der Kommunikationsverbindungen führen.


Die Zusammenlegung des Datenverkehrs und der Telekommunikation ermöglicht Systemverwaltern neue, bisher ungeahnte Möglichkeiten, sich ein umfangreiches Wissen über die Nutzer zuzulegen, indem deren gesamter Netzverkehr (auch die Sprachübertragung) aufgezeichnet und ausgewertet bzw. manipuliert werden kann. Diesen Missbrauchsmöglichkeiten muss soweit wie möglich entgegengewirkt werden. So sollte beispielsweise die Aufbewahrdauer der Protokolldaten zeitlich beschränkt werden.


Die vielfältigen Anwendungsmöglichkeiten von VoIP-Anlagen können natürlich auch für eine Leistungs- und Verhaltenskontrolle (bezüglich des Telefonverhaltens) der Mitarbeiter genutzt werden. Es muss daher - in Zusammenarbeit mit dem Personalrat - darauf hingewirkt werden, dass die Persönlichkeitsrechte der Bediensteten im gleichen Umfang wie bei der bisherigen TK-Anlage gewahrt bleiben. Insbesondere darf im Regelfall der Inhalt der Kommunikation ohne Wissen oder gegen den Willen der Betroffenen nicht zur Kenntnis genommen werden. Ausnahmen von diesem Verbot der Kenntnisnahme sind grundsätzlich nur erlaubt, wenn dies im konkreten Einzelfall beispielsweise zur Verhinderung oder Aufdeckung einer Straftat erforderlich ist, dabei ein konkreter Tatverdacht gegen einen Mitarbeiter und keine andere Möglichkeit zur Aufklärung besteht.


Diese Gefahren sind vielen Verantwortlichen in den Behörden häufig zu wenig bewusst oder werden manchmal sogar ignoriert. So wird häufig argumentiert, dass der Einsatz von Sicherheitskomponenten wie Firewalls und Verschlüsselungssystemen eine schlechtere Sprachqualität sowie Gesprächsabbrüche verursachen könnten. Dieses kann durchaus zutreffen. Aber das darf in keinem Fall zu einem Verzicht auf die notwendigen Sicherheitsmaßnahmen führen.

Unbedingt notwendige Schutzmaßnahmen

Beim Einsatz von VoIP müssen insbesondere folgende Datensicherheitsmaßnahmen getroffen werden, um eine sichere und datenschutzgerechte Nutzung zu ermöglichen:

  • Wird VoIP für Gespräche zwischen zwei bekannten behördlichen Teilnehmern verwendet, so ist die Verbindung wie alle anderen personenbezogenen Datenübertragungen über externe Netze zu verschlüsseln (z.B. mittels IPSEC oder Einsatz eines VPN). Dies gilt natürlich auch für eine eventuelle Fernwartung der VoIP-Soft- und -Hardware.
  • Sowohl der Verbindungsaufbau wie der Verbindungsabbau müssen über eine Firewall kontrolliert erfolgen.
  • Auch im Rahmen von Voice over IP müssen die gängigen Netzwerksicherheitsmaßnahmen wie der Einsatz von Virenscanner und die Vergabe differenzierter Zugangs- und Zugriffsrechte genutzt werden. Dazu ist unter Umständen eine Umkonfiguration dieser Systeme nötig.
  • Die Endgeräte sind durch den Einsatz starker Zugangskontroll- und Authentifizierungsmechanismen zu schützen.
  • Alle vorhandenen VoIP-Sicherheits-Features (wie etwa die Verschlüsselung der Sprachdaten mittels Secure Real-time Transport Protocol (SRTP)) sind konsequent zu nutzen und bekannt gewordene Sicherheitslücken unverzüglich durch Einspielen entsprechender Patches zu beseitigen.
  • Die Administration des VoIP-Netzes sollte zwecks Missbrauchsbegrenzung in verschiedene Funktionen getrennt werden.
  • Zur Erhöhung der Ausfallsicherheit des Internetzugangs muss ein entsprechendes Backup-Konzept entwickelt werden.

Der Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder hat zu diesem Thema eine Arbeitsgruppe eingerichtet, um eine Orientierungshilfe zu VoIP zu erstellen. Sobald diese Orientierungshilfe vorliegt, kann sie auch über meine Homepage abgerufen werden.

23.6.4. Verschlüsselung von Webseiten mit selbstsignierten Zertifikaten

Um die Übertragung von Daten zwischen einem Webserver und seinem Besucher zu verschlüsseln und den Webserver gegenüber dem Besucher zu authentifizieren, wird in der Regel HTTPS verwendet. HTTPS steht für Hyper Text Transfer Protocol Secure und ist ein URL-Schema, das eine zusätzliche Schicht der Kommunikation zwischen Web-Server und Browser definiert. Ohne Verschlüsselung wären alle Web-Daten für jeden, der Zugang zu einem Netz hat, durch das die IP-Pakete laufen, im Klartext lesbar. HTTPS stellt das einzige Verschlüsselungsverfahren dar, das ohne gesonderte Softwareinstallation von allen aktuellen Browsern unterstützt wird.

Damit ein Server HTTPS anbieten kann, muss er ein Zertifikat, also einen öffentlichen und einen privaten Schlüssel, besitzen. Er teilt den öffentlichen Schlüssel dem Besucher mit. Dieser generiert einen zufälligen Sitzungsschlüssel und schickt diesen, mit dem öffentlichen Schlüssel des Servers verschlüsselt, an den Server. Dieser entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel und fortan verwenden beide Kommunikationsteilnehmer diesen Sitzungsschlüssel zur Verschlüsselung ihrer Kommunikation, so dass damit ein abhörsicherer Secure Sockets Layer (SSL) Tunnel zur Übertragung der Daten aufgebaut wird.

Somit kann zwar eine sichere Verbindung zur Abwehr von Abhörversuchen (etwa Man-In-The-Middle Angriffe) aufgebaut werden, es ist damit aber noch nicht sichergestellt, dass es sich bei dem Webserver auch um den richtigen und authentischen Webserver und nicht etwa um den eines Betrügers, z.B. für Phishing-Angriffe, handelt.

Damit ein Benutzer prüfen kann, mit welchem Server er gerade kommuniziert, wird das Serverzertifikat von einer dritten Stelle, der der Benutzer vertrauen können sollte, digital unterschrieben. Jeder Browser enthält von sich aus schon eine Liste von kommerziellen Zertifizierungsstellen, so dass alle von diesen Stellen unterschriebenen Zertifikate vom Browser als vertrauenswürdig eingestuft werden. Bei Aufruf einer so gesicherten Webseite erscheint beim Besucher keine Warnmeldung bzgl. des Serverzertifikates.

Neben diesen bereits vorinstallierten Zertifizierungsstellen kann es aber gerade in der Kommunikation zwischen Behörden sinnvoll sein, etwa Zertifikaten der PKI Verwaltung des Freistaates Bayern zu vertrauen. Dazu installiert die abrufende Behörde nach einer einmaligen, manuellen Echtheitsprüfung das Zertifikat der PKI im Browser und kann dann genau so sicher und komfortabel mit dem Webserver kommunizieren wie mit einem Standardzertifikat.

Anders verhält es sich mit selbst signierten Zertifikaten oder mit der Kommunikation von Behörden mit dem Bürger:

Über Websites von Behörden werden nicht mehr nur allgemeine Informationen angeboten, sondern zunehmend auch schutzwürdige Dialoge abgewickelt. Besucht ein Bürger nun eine Website einer Behörde, so ist es zwar erfreulich festzustellen, dass die Behörde die Kommunikation über https geschützt abwickeln will. Ich halte es aber nicht für anwenderfreundlich und auch nicht für zumutbar, dass der Benutzer für diesen unter Umständen einmaligen Besuch das von der Behörde selbst erstellte Zertifikat des Webservers manuell überprüft - soweit ihm dies überhaupt möglich ist. Im Normalfall wird er das vermutlich unterlassen, so dass die gute Intention der Behörde eigentlich ins Leere geht. Dass damit der Sache Bürgerfreundlichkeit und eGovernment wegen unsachgemäßer Anwendung von Datenschutz- und Datensicherheitsmaßnahmen auch kein Gefallen getan wird, liegt auf der Hand. Hier sollten also m.E. von den Behörden Zertifikate einer bereits im Browser vorinstallierten Zertifizierungsstelle verwendet werden, um so mit dem Komfort auch die Akzeptanz beim Benutzer zu erhöhen - auch wenn solche Zertifikate Geld kosten.

23.6.5. Sicheres WLAN

Mit neueren Verschlüsselungstechniken stehen im Vergleich zu den in Nr. 17.3.7 meines 21. Tätigkeitsberichts beschriebenen und damals vorhandenen IEEE-Standards 802.11 Wired Equivalent Privacy (WEP) in aktuellen Geräten nun Sicherheitsmassnahmen zu Verfügung, die bei richtiger Verwendung eine Übertragung von Daten bis mittleren Schutzbedarf über ein wireless local area network (WLAN) erlauben.

Bei Anwendung lediglich der WEP Verschlüsselung kann durch Aufzeichnung und Analyse größerer Datenmengen der Netzwerkschlüssel ermittelt werden, so dass eine Übertragung von personenbezogenen Daten über ein solchermaßen nur mittels WEP gesichertes WLAN nicht als datenschutzgerecht betrachtet werden kann.

Zur Verbesserung von WEP wurde ein Teil des IEEE-Standards 802.11i als Wi-Fi Protected Access (WPA) als Pseudostandard etabliert. Dieser beseitigt die Angriffsmöglichkeiten auf das WEP Protokoll und bietet bei sicher gewählten Passwörtern zumindest im Moment noch ausreichend Schutz.

Geräte, die den neuesten Standard WPA2 unterstützen, müssen sich vollständig an IEEE 802.11i halten und bieten somit den zur Zeit besten Schutz für die WLAN-Übertragung. Als Verschlüsselung wird hier in der Regel der Advanced Encryption Standard (AES) mit 128 Bit Schlüssellänge verwendet.

Bei der Beschaffung von neuer Hardware oder dem Ersatz von alter Hardware und der Planung von neuen Infrastrukturen sollte aus diesem Grund darauf geachtet werden, dass lediglich Geräte, die dem aktuellen Sicherheitsstandard (WPA2, IEEE 802.11i) genügen, verwendet werden.

Zur Authentifizierung des Clients am Access Point und umgekehrt kann sowohl bei WPA als auch bei WPA2 ein geheimer Text, der "Pre-Shared-Key", oder ein RADIUS-Server verwendet werden. Die Authentifizierung mit einem Pre-Shared-Key empfiehlt sich lediglich für kleinere Installationen, also z.B. für ein Funknetz mit wenigen Geräten z.B. im privaten Heimbereich.

In größeren Netzen ermöglicht die Verwendung des RADIUS Protokolls mit einem oder mehreren RADIUS-Servern eine zentrale Benutzeradministration. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt - je nach Erfolg - den Zugriff zu. Somit gibt es für die Sperrung oder Neueinrichtung einer Kennung eine zentrale Instanz.

WPA und WPA2 per RADIUS ermöglichen zusätzliche Authentifizierungsmethoden durch die Verwendung des Extensible Authentication Protocols (EAP) in Verbindung mit Tunneled Transport Layer Security (TTLS). EAP-TTLS erlaubt die Verwendung von Zertifikaten für die Authentifizierung. Dies ist für größere Installationen mit einem erhöhten Schutzbedarf zu bevorzugen, vor allem, wenn schon eine Public Key Infrastruktur (PKI) vorhanden oder geplant ist.

Es können entweder Benutzerzertifikate vergeben werden, so dass ein Benutzer dieses Zertifikat auf mehreren WLAN Geräten verwenden kann. Oder es werden Maschinenzertifikate verwendet, die es beispielsweise einem Laptop erlauben, sich in das WLAN einzubuchen - unabhängig davon, ob der Benutzer eine spezielle WLAN Berechtigung hat. Dies ist vor allem für "Abteilungs-Laptops" von Vorteil, die etwa von unterschiedlichen Personen z.B. für Vorträge benutzt werden. Der Benutzer meldet sich am Laptop dann lediglich mit seiner normalen Kennung an, die vom Laptop dann transparent an den Betriebssystem-Anmeldeserver weitergegeben und dort geprüft wird. Dies funktioniert auch dann, wenn sich der Benutzer vorher noch nie an diesem Laptop angemeldet hatte.

Trotz aller mittlerweile in den Protokollen erfolgten Verbesserungen bleibt festzuhalten, dass WLANs ohne zusätzliche Schutzmassnahmen etwa auf der Anwendungsebene für einen datenschutzgerechten Einsatz und somit zur Verarbeitung von sensiblen personenbezogenen Daten nicht ausreichend sicher sind.

Nähere Hinweise zum datenschutzgerechten Einsatz von WLANs enthält Kapitel 2 der Orientierungshilfe "Datenschutz in drahtlosen Netzen" - abrufbar auf meiner Homepage im Bereich Technik/Grundsätze/ Vernetzung.

23.6.6. Digitale Kopiersysteme

Nahezu alle zur Zeit im Einsatz befindlichen Kopiersysteme fallen unter die Kategorie digitale Kopiersysteme. Sie vereinen die Funktion eines Scanners mit der eines Druckers und bieten das Kopieren von Papierseiten an. Damit Funktionen wie Vergrößern, mehrere Seiten auf eine Seite kopieren etc. möglich werden, müssen die Geräte über ein Speichermedium verfügen, das die gescannten Seiten zwischenspeichert. In der Regel sind dies Festplatten in den heute zur Verfügung stehenden Größen, so dass dort ohne Probleme mehrere tausend Seiten gespeichert werden können.

Neben der Kopierfunktion stellen viele der modernen Multifunktionsgeräte auch noch Dienste wie Fax- und E-Mail-Versand zur Verfügung. Auch hier werden die eingescannten Daten zwischengespeichert. Das Gerät ist i.d.R. mit dem internen Netz verbunden und stellt so unter Umständen Daten zum Abruf bereit. Ebenso gibt es für solche Geräte oft eine Konfigurationsoberfläche, die mit Hilfe eines Webservers realisiert ist.

Zum einen ergibt sich hieraus die Gefahr, dass Mitarbeiter aus dem internen Netz unbefugt auf die im Kopiersystem gespeicherten Daten zugreifen können, etwa weil die Datenschnittstelle nicht sicher konfiguriert oder weil die Software des Druckers fehlerhaft ist (hier gibt es in der Regel keine Security Patches). Deshalb sollte genau überlegt werden, ob ein Kopiersystem an das interne Netz angeschlossen werden muss. Ist dies unbedingt nötig, sollte eine kleine Firewall den Zugriff darauf schützen und die Dienste des Kopierers sind restriktiv zu konfigurieren. Der Kopierer ist damit wie ein Server im eigenen Netz zu sichern und zu betreiben.

Die andere Gefahr, die unabhängig von einer Netzwerkschnittstelle besteht, liegt in der Weitergabe des Kopierers und damit der eingebauten Festplatte, etwa im Rahmen eines endenden Leasing-Vertrages oder bei Reparaturarbeiten. Es dürfte die Regel sein, dass zurückgegebene Festplatten erneut an andere Kunden weitergegeben werden. Hier ist darauf zu achten, dass alle personenbezogenen Daten vorher sicher gelöscht werden. Da das eventuell nur von der Wartungsfirma erledigt werden kann, ist dies in die Verträge aufzunehmen und auch stichprobenartig zu kontrollieren, indem man sich beispielsweise die Funktion des Löschens demonstrieren lässt.