Sie sind hier: > Start > Tätigkeitsberichte > 23. TB 2008 > 25. Technischer und organisatorischer Bereich
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.12.2009
25. Technischer und organisatorischer Bereich
25.1. Sicherheit bei Internetanwendungen und Servern
Fast jede Behörde oder öffentliche Stelle hat einen eigenen Internetauftritt, der mehr oder weniger wichtig für die Erfüllung der Aufgaben und für die Information der Öffentlichkeit ist. Unter Umständen fließt viel Arbeit und Geld in die Inhalte und deren Präsentation. Aktuelle Statistiken und auch meine Prüfungen zeigen mir, dass es bei einem Großteil der Betreiber von Webauftritten aber keine großen Anstrengungen gibt, die Sicherheit der Server und der Anwendungen darauf zu gewährleisten.
Ich weise darauf hin, dass es im Internet eine Vielzahl von unter Umständen leicht zu findenden Programmen gibt, die es jedem mehr oder weniger begabten Angreifer ermöglichen, Zugriff auf einen nicht ausreichend geschützten Server zu nehmen. Der Zugriff kann von einem unbefugten Verändern der Seiten über das Zerstören der Daten bis hin zum Missbrauch des Servers für weitere Angriffe reichen.
In meinen Prüfungen ist aufgefallen, dass grundlegende Sicherheitsrichtlinien nicht beachtet werden. Zum Teil sind seit Jahren keine Sicherheitslücken durch Programmaktualisierungen (Patches) geschlossen worden. Es laufen Dienste auf den Servern, von denen der Betreiber nicht weiß, warum diese laufen und dass diese aus dem Internet erreichbar sind.
Um eine Grundsicherung eines Webservers zu erreichen, sind mindestens die folgenden Anforderungen zu erfüllen:
- alle aktuellen Sicherheitspatches werden zeitnah eingespielt
- es sind keine unbenötigten Dienste aus dem Internet zu erreichen
- Logins und Passwörter für den Zugriff sind sicher gewählt
- die Webanwendungen werden regelmäßig auf neue Sicherheitsbedrohungen überprüft
- bei der Entwicklung wurde auf grundlegende Sicherheitsanforderungen geachtet
- in regelmäßigen Zeitabständen wird die Sicherheit des Servers geprüft (z.B. Protokolldateien, offene Ports, unbefugte Veränderungen im Dateisystem)
Ein Server im Internet ist keine einmalige Investition, sondern benötigt im laufenden Betrieb ständig Ressourcen, die sich um die Sicherheit kümmern. Dies kann sowohl durch eigenes Personal als auch durch geeignete Dritte erfolgen. Bei der Konzeption neuer Internetdienste ist bereits auf die langfristige sicherheitstechnische Wartung zu achten.
25.2. IP-Protokollierung auf Webservern
Im Urteil des Amtsgerichts Berlin-Mitte vom 27.03.2007 (Az. 5 C 314/06) im Verfahren einer Privatperson gegen die Bundesrepublik Deutschland, vertreten durch das Bundesministerium der Justiz, wurde in Bezug auf den Internetauftritt http://www.bmj.bund.de (externer Link) dem Kläger Recht gegeben, dass eine Speicherung von personenbezogenen Daten, hier die Speicherung der dynamischen IP-Adresse des Klägers, auf dem Webserver des Internetauftritts nicht zulässig ist, auch dann nicht, wenn dies aus Sicherheitsgründen lediglich für 14 Tage vorgenommen wird. Das Landgericht Berlin hat am 06.09.2007 (Az. 23 S 3/07) in der Berufung das Urteil grundsätzlich bestätigt, aber darauf hingewiesen, dass es sich um eine Einzelfallentscheidung in einer Sonderkonstellation handelt.
Die Zulässigkeit der Speicherung von IP-Adressen beim Aufruf von Web-Seiten bayerischer Behörden und öffentlicher Einrichtungen richtet sich nach § 15 Telemediengesetz (TMG). Danach ist die Erhebung personenbezogener Daten nur zur Ermöglichung der Inanspruchnahme von Telemedien, zu Zwecken der Abrechnung oder dann zulässig, wenn Anhaltspunkte dafür bestehen, dass entgeltliche Leistungen nicht oder nicht vollständig vergütet werden sollen. Damit wird grundsätzlich die Speicherung von IP-Adressen für andere Zwecke untersagt, da sie unter Umständen einem bestimmten Nutzer zugeordnet werden können und damit personenbezogene Daten sind.
Aus Sicherheitsgründen kann aber nach Art. 7 BayDSG (vgl. 4.3.2 meiner Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet, abrufbar unter http://www.datenschutz-bayern.de) eine Protokollierung erforderlich sein. Es ist daher eine Speicherung der IP-Adresse als technische Vorkehrung zum Schutz der Datenverarbeitungssysteme gegen unerlaubte Zugriffe zulässig.
Auf Grund des oben Genannten halte ich eine Protokollierung personenbezogener Daten auf einem Webserver einer bayerischen Behörde, insbesondere der IP-Adresse eines Besuchers der Websiten, für nicht zulässig. Auf Sicherheitsinstanzen, wie etwa einer vor dem Webserver geschalteten Firewall, kann unter Zweckbindung aus Gründen der IT-Sicherheit für den Zeitraum von sieben Tagen auch die IP-Adresse protokolliert werden. Sollten für die Fehlersuche oder die Erstellung von Statistiken Protokolldaten eines Webservers benötigt werden, so sind diese ausreichend zu anonymisieren. Eine Verkürzung der IPv4-Adresse um das letzte Segment ist hier ausreichend.
Bei den zur Zeit am häufigsten verwendeten Webserver-Softwarekomponenten findet sich in der Standardkonfiguration eine vollständige Protokollierung aller Daten bei einem Zugriff auf die Websiten. Es ist darauf zu achten, dass hier zumindest die Verkürzung der Besucheradressen vor einer Inbetriebnahme des Angebots aktiviert wird. Detaillierte Anleitungen und Softwarekomponenten für den Apache und den Microsoft Internet Information Web Server zur Anonymisierung der IP-Adressen in den jeweiligen Protokolldateien finden Sie auf den Seiten des Sächsischen Datenschutzbeauftragten unter http://www (externer Link). saechsdsb.de/ipmask.
25.3. Geltungsbereich der Vorratsdatenspeicherung für Behörden
Nach § 113a Telekommunikationsgesetz (TKG) ist jeder, der öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, verpflichtet, von diesem bei der Nutzung seines Dienstes erzeugte oder verarbeitete Verkehrsdaten sechs Monate zu speichern. Gestattet ein Dienstherr beispielsweise die private Nutzung von Internet und E-Mail in seiner Behörde, so ist er als Telekommunikationsanbieter im Sinne des TKG zu sehen und somit wäre auch hier auf den ersten Blick eine Speicherpflicht über sechs Monate für die Verbindungsdaten der Beschäftigten gegeben.
Allerdings ist im Sinne des § 113a Absatz 1 Satz 1 TKG ein Öffentlichkeitsbezug des Angebotes erforderlich, der bei behördeninternen Diensten jedoch nicht gegeben ist. In der Gesetzesbegründung zu § 113a TKG findet man, "... dass für den nicht öffentlichen Bereich (z.B. unternehmensinterne Netze, Nebenstellenanlagen oder E-Mail-Server von Universitäten ausschließlich für ... Bedienstete ...) eine Speicherungspflicht nicht besteht...".
Aus § 113a TKG lässt sich somit weder eine Protokollierungspflicht noch eine Erlaubnis zur Protokollierung von Verkehrsdaten für Behörden ableiten. Da auch die Teilnahme am bayerischen Behördennetz nicht für die Öffentlichkeit zugänglich ist, gilt dies auch für die Protokollierung innerhalb und an den Internetübergängen des Behördennetzes.
25.4. Erkenntnisse aus Prüfungen
25.4.1. Geprüfte Einrichtungen
Im Berichtszeitraum habe ich bei folgenden Dienststellen die Einhaltung der gebotenen technischen und organisatorischen Datensicherheits- und Datenschutzmaßnahmen überprüft:
- BRK Kreisverband München
- Institut für Medizinmanagement und Gesundheitswissenschaften der Universität Bayreuth
- Integrationsamt des Zentrum Bayern Familie und Soziales in Bayreuth und München
- Klinik und Poliklinik für Psychiatrie und Psychotherapie des Universitätsklinikums München
- Kreiskrankenhaus St. Elisabeth Dillingen
- MDK Bayern
- Passbehörde der Stadt Landshut
- Passbehörde der Stadt Nürnberg
- Passbehörde der Stadt Starnberg
- Passbehörde der Gemeinde Vogtareuth
- Reha-Klinik der Deutschen Rentenversicherung Bayern Süd in Bad Reichenhall
- Städtisches Krankenhaus Rosenheim
25.4.2. Beschriftung von Etiketten in Reha-Kliniken
Die Prüfung einer Reha-Klinik der Deutschen Rentenversicherung Bayern Süd hat gezeigt, dass dort die Patientenetiketten standardmäßig mit dem Namen, Geburtsdatum, Rentenversicherungs-Nummer, Zimmernummer und dem ICD-10 Code der Krankheit beschriftet sind. Diese Etiketten werden für alle Unterlagen und Probenbehälter im Haus, aber auch für den Versand an externe Labore verwendet.
Die Etiketten sind zumeist gut sichtbar auf der Außenseite von Unterlagen und Behältnissen angebracht. Dadurch können unbefugte Personen relativ einfach und auch unabsichtlich Kenntnis von medizinischen personenbezogenen Daten erlangen.
Der Abdruck des ICD-10 Codes auf dem Etikett ist in weiten Teilen nicht erforderlich, da das behandelnde Personal Zugriff auf die Patientenakte und im Bedarfsfall damit detailliertere Informationen zur Erkrankung des Patienten hat.
Der ICD-10 Code ist daher von den Etiketten zu entfernen. Soweit er nach Prüfung in einzelnen Bereichen benötigt wird, können hierfür gesonderte Etiketten verwendet werden, die jedoch nicht für die anderen Bereiche genutzt werden dürfen.
Zur grundsätzlichen Frage der Beschriftung von Proben im Krankenhaus und auch bei Versand an externe Labore gibt der Beitrag zu Biomaterialien in meinem letzten Tätigkeitsbericht Auskunft (vgl. Nr. 23.5.3, 22. TB).
25.4.3. Löschen der E-Mail-Konten ausgeschiedener Mitarbeiter
Bei vielen öffentlichen Stellen herrscht Unklarheit darüber, wie mit den E-Mail-Konten ausgeschiedener Mitarbeiter zu verfahren ist. Ich empfehle hierzu folgende Verfahrensweise:
Auch nach Ausscheiden eines Mitarbeiters ist es durchaus sinnvoll, dessen E-Mail Account noch einige Zeit weiter "leben" zu lassen, da nicht ausgeschlossen ist, dass noch wichtige dienstliche Mails an diese Adresse gesandt werden. Als angemessen kann hierfür ein Zeitraum von drei bis sechs Monaten angenommen werden. So lange der Account besteht, müssen auch weiterhin eingehende E-Mails an den Mitarbeiter angenommen und dürfen nicht gelöscht oder zurückgesandt werden.
Der zuständige Systembeauftragte sollte daher auf dem Server die für einen ausgeschiedenen Mitarbeiter eingehenden dienstlichen E-Mails an dessen Nachfolger oder Vertreter weiterleiten. War dem ausgeschiedenen Mitarbeiter auch die private E-Mail-Nutzung gestattet, so sind offensichtlich private
E-Mails so weit möglich an den Mitarbeiter weiterzuleiten oder zu speichern. In jedem Fall sollte der Absender darüber informiert werden, dass der Mitarbeiter nicht mehr über diese E-Mail-Adresse zu erreichen ist.
Das Löschen oder Zurücksenden der E-Mails kann bei einer gestatteten privaten Nutzung wegen unzulässiger Datenveränderung sowie wegen Eingriffs in das Fernmeldegeheimnis strafbar sein, es sei denn der ausgeschiedene Mitarbeiter hat hierzu vorab schriftlich sein Einverständnis erklärt.
25.4.4. Datenschutzgerechter Einsatz von Outlook auf den Clients
Wurde Microsoft Outlook früher ausschließlich als
E-Mail-Client eingesetzt, dient das Produkt heutzutage als Schaltzentrale für die komplette Verwaltung der Nachrichten, Termine, Kontakte, Aufgaben und vieler weiterer Informationen auf den Arbeitsplatzrechnern. Da dabei (z.T. sensible) personenbezogene Daten verarbeitet werden und Outlook Komponenten umfasst, die sowohl den Dialog über das Internet als auch die gemeinsame Nutzung von Daten ermöglichen, müssen strenge Anforderungen an die zu ergreifenden Datenschutz- und Datensicherheitsmaßnahmen beim Einsatz von Outlook gestellt werden.
Auf die Bekämpfung von Schadenssoftware (in Zusammenhang mit dem E-Mail-Verkehr) habe ich schon häufiger hingewiesen, so dass ich an dieser Stelle darauf verzichte und stattdessen auf weitere wesentliche Schutzmaßnahmen eingehe.
Häufig bleibt es dem Anwender selbst überlassen zu entscheiden, welche Funktionen von Outlook er zu welchem Zweck nutzen möchte. Dies führt aber in der Regel zu erheblichen Sicherheitsdefiziten, da dem Benutzer schlichtweg die Kenntnis über und das Verständnis für die zu ergreifenden Sicherheitsmaßnahmen fehlt. Deshalb ist jede Behörde gut beraten, genau zu regeln, für welche Zwecke Outlook eingesetzt werden soll. Danach sind die zu ergreifenden Sicherheitsmaßnahmen verbindlich festzulegen.
Zur Vermeidung von Fehlbedienungen und zur Gewährleistung der Einhaltung der vorgegebenen Outlook-Richtlinien sollte eine entsprechende Benutzerschulung erfolgen.
Viele Outlook-Nutzer vertrauen darauf, dass sie einen alleinigen Zugriff auf ihren PC und die darauf gespeicherten Daten besitzen und sehen daher beispielsweise keine Notwendigkeit, ihre persönlichen Outlook-Ordner gegen einen unberechtigten Zugriff abzusichern. Dies ist aber ein Trugschluss, da zum einen die Outlook-Dateien in der Regel auf einem Netzlaufwerk gespeichert sind und zum anderen zumindest der Systemadministrator auch auf lokale Speichermedien zugreifen kann. Daher sind alle Anwender dazu anzuhalten, ihre persönlichen Outlook-Ordner gegen einen unberechtigten Zugriff mittels Passwort zu schützen, auch wenn dieser von Outlook angebotene Kennwortschutz relativ leicht mit entsprechenden Tools - die z.B. über das Internet beziehbar sind - ausgehebelt werden kann. Sensible Daten sollten daher nur verschlüsselt abgespeichert werden.
Eine Kennwortvergabe kann auch geschehen, während Outlook bereits aktiv ist. Das Kennwort kann alle Zeichen (inkl. Leerzeichen) enthalten und bis zu 15 Stellen lang sein. Dabei wird zwischen Groß- und Kleinschreibung unterschieden. Ab Outlook XP kann das Passwort über die Funktion "Datei/Datendateiverwaltung/Einstellungen/Kennwort ändern" vergeben und geändert werden. Auf diese Weise kann also sowohl ein neues Kennwort vergeben als auch ein bereits bestehendes geändert werden.
Auch im Rahmen des Zugriffs auf den Mail-Server sollte der Benutzer gezwungen werden, sich mittels Benutzernamen und Passwort zu identifizieren und zu authentifizieren. Dabei ist darauf zu achten, dass das Kontrollkästchen "Kennwort speichern" deaktiviert ist, da sonst das Passwort ausgelesen werden kann.
Für den Fall einer (un)vorhersehbaren Abwesenheit vom Arbeitsplatz sind die Mitarbeiter häufig dazu angehalten, so genannte Stellvertreter im Outlook einzurichten, die im Bedarfsfall auf die persönlichen Ordner des Abwesenden auf dem Exchange-Server zugreifen können. Diese Zugriffsberechtigungsvergabe muss allerdings sehr restriktiv und revisionsfähig erfolgen. Zusätzlich sind die Rechte und Pflichten eines Stellvertreters detailliert in einer entsprechenden Dienstanweisung zu regeln. So sind beispielsweise alle Mitarbeiter im Rahmen dieser Anweisung darauf hinzuweisen, dass sie in der Rolle eines "Stellvertreters" nicht dazu berechtigt sind, offensichtlich private E-Mails des Postfachinhabers zu öffnen. Stellt sich der Privatbezug erst nach Öffnung einer entsprechenden E-Mail heraus, so haben sie unverzüglich diese E-Mail wieder zu schließen. Außerdem ist die Ausübung der Stellvertreterfunktion während der Anwesenheit des Besitzers des Postfaches zu untersagen. Die Vorgehensweise bei der Einrichtung der Vertreterfunktion sollte auch Bestandteil einer Vereinbarung mit der Arbeitnehmervertretung sein.
Im Rahmen der Einrichtung von Stellvertretern müssen auch Maßnahmen ergriffen werden, um schützenswerte (private) Einträge auch von deren Zugriff auszunehmen. So ist jeder Anwender anzuweisen, schützenswerte (private) Einträge manuell und nicht automatisch zu erzeugen und mit "privat" zu kennzeichnen. Dadurch werden beispielsweise Termine anderen Personen, denen ein Zugriff auf den betreffenden Ordner eingeräumt ist, nur in der Form angezeigt, dass die Zeiten als vergeben markiert sind. Es werden aber weder Titel noch nähere Erläuterungen eines entsprechenden Eintrags angezeigt, es sei denn, die Einsichtnahme in private Termine wurde vom Betroffenen freigegeben. Eine weitere Schutzmöglichkeit besteht darin, private Termine in einem Unterordner des Ordners "Kalender" abzuspeichern, der nicht für andere Mitarbeiter freigegeben wird. Dadurch können zwar andere Beschäftigte Zugriff auf die (dienstlichen) Termine des Hauptordners bekommen, der Zugriff auf den Unterordner wird ihnen jedoch verwehrt. Der sicherste Schutz vor einem unerwünschten Zugriff auf private Termineinträge besteht darin, einen zusätzlichen Kalenderordner (für die privaten Termine) auf den lokalen Laufwerken (also nicht wie standardmäßig üblich auf dem Exchange-Server) eines Bediensteten in einer so genannten PST-Datei (Persönlicher Ordner) anzulegen und diesen Ordner nicht freizugeben. Damit wird jeglicher Zugriff auf diesen Ordner über das Netzwerk unterbunden. Dies hat allerdings den kleinen Nachteil, dass Zeiten für private Termine im Hauptkalender - soweit sie dort nicht als "nicht verfügbar" gekennzeichnet werden - für Kollegen, die beispielsweise Besprechungstermine vereinbaren wollen, als "Frei" angezeigt werden.
Natürlich sind auch bei der Nutzung von Outlook alle über das Internet zu versendenden schutzwürdigen Daten zu verschlüsseln und soweit möglich elektronisch zu signieren. Dies gilt sowohl für E-Mails als auch für deren Anlagen, soweit sie schützenswerte Informationen enthalten.
Standardmäßig können alle E-Mails, die nicht elektronisch signiert sind, vom Empfänger nachträglich geändert werden. Um dies zu verhindern, sollten alle E-Mails mit der Vertraulichkeitsstufe Privat verschickt werden. Auch Änderungen an beigefügten Dokumenten (Attachments) sollten natürlich verhindert werden. Die sicherste Vorgehensweise dazu ist, Anhänge nur mittels Adobe Acrobat im PDF-Format zu erstellen. Bei diesen Dokumenten kann mittels Sicherheitseinstellungen dafür gesorgt werden, dass Dokumente nicht ohne weiteres gedruckt, kopiert oder geändert werden können.
25.4.5. Zugriffsbefugnisse des behördlichen Datenschutzbeauftragten
Im Rahmen meiner Prüfungen muss ich immer wieder feststellen, dass dem behördlichen Datenschutzbeauftragten ein Zugriff auf alle Datenbestände seiner öffentlichen Stelle ermöglicht ist. Dies ist aber im Regelfall nicht erforderlich.
Gemäß Art. 26 Absatz 4 des Bayerischen Datenschutzgesetzes (BayDSG) haben behördliche Datenschutzbeauftragte die Aufgabe, auf die Einhaltung des BayDSG und anderer Vorschriften über den Datenschutz in der öffentlichen Stelle hinzuwirken.
Zur Erfüllung dieser Aufgabe können sie die dazu notwendige Einsicht in Dateien und Akten der öffentlichen Stelle nehmen, soweit nicht gesetzliche Regelungen entgegenstehen. Sie dürfen Akten mit personenbezogenen Daten, die dem Arztgeheimnis unterliegen, Akten über die Sicherheitsüberprüfung und nicht in Dateien geführte Personalakten nur mit Einwilligung der Betroffenen einsehen.
Die öffentlichen Stellen sind dazu verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben aktiv zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, entsprechende Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Im Rahmen dieser Unterstützungspflicht sind dem Datenschutzbeauftragten zweifellos auch ein Zutrittsrecht zu Räumen, in denen eine personenbezogene Datenverarbeitung stattfindet, ein Einsichtsrecht in Behördenunterlagen und ein Zugriffsrecht auf personenbezogene Daten einzuräumen.
Nähere Aussagen zum Zugriffsrecht des Datenschutzbeauftragten auf Dateien beinhaltet das BayDSG nicht. Der einzige Gesetzesvorbehalt beruht damit darin, dass die Einsicht zur Erfüllung seiner Aufgaben erforderlich sein muss. Was der Begriff "erforderlich" in diesem Zusammenhang bedeutet, ist gesetzlich nicht näher definiert.
So gibt es lediglich einen Beschluss des Bundesarbeitsgerichts vom 11.11.1997 (1 ABR 21/97), der dem betrieblichen Datenschutzbeauftragten die Kontrollrechte bei der Personalvertretung (und damit auch den Zugriff auf deren Dateien) versagt. Strittig sind weiterhin generelle Zugriffsrechte auf Personal-, Steuer- und Geheimdaten. Unter Beachtung des Verhältnismäßigkeitsprinzips kann dem Datenschutzbeauftragten aber sicherlich nicht das Kontrollrecht im Einzelfall versagt werden.
Ein Einsichtsrecht besteht ferner nicht bei entgegenstehenden gesetzlichen Regelungen.
Zusammenfassend ist dem behördlichen Datenschutzbeauftragten zwar kein genereller Zugriff auf alle Dateien einer öffentlichen Stelle, sehr wohl aber der Zugriff im konkreten Einzelfall zu ermöglichen.
25.4.6. Hinweise zur datenschutzrechtlichen Freigabe und zur Führung des Verfahrensverzeichnisses
Im Rahmen meiner Prüfungen muss ich leider noch immer feststellen, dass viele öffentliche Stellen entweder gar kein Verfahrensverzeichnis führen oder die darin beinhalteten Verfahrensbeschreibungen nicht den gesetzlichen Anforderungen entsprechen.
Gemäß Art. 26 Abs. 1 Satz 1 BayDSG bedarf der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle.
Die Freigabe dieser Verfahren erfolgt durch die behördlichen Datenschutzbeauftragten der öffentlichen Stellen, soweit es sich nicht um Verfahren der AKDB oder um Verfahren für öffentliche Stellen des Freistaates Bayern handelt, welche durch das fachlich zuständige Staatsministerium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich freigegeben worden sind (Art. 26 Abs. 3 Satz 2 BayDSG). Dabei ist zu beachten, dass diese ministerielle Freigabe nicht für Kommunen gilt. Diese müssen ein entsprechendes Verfahren selbst freigeben.
Viele öffentliche Stellen sind sich bezüglich der Frage, ob ein Verfahren freigegeben werden muss, nicht bewusst, was alles unter den Begriff "personenbezogene Daten" fällt. Gemäß Art. 4 Abs. 1 BayDSG sind personenbezogene Daten
- Einzelangaben
- über persönliche oder sachliche Verhältnisse
- bestimmter oder bestimmbarer
- natürlicher Personen (Betroffene).
Zu den Einzelangaben über persönliche oder sachliche Verhältnisse gehören natürlich auch der Name und die Anschrift natürlicher Personen (Menschen). Ist eine E-Mail-Adresse eindeutig einer natürlichen Person zuordenbar, so fällt auch sie unter den Begriff personenbezogene Daten. Nicht darunter fallen jedoch E-Mail-Adressen, die nicht eindeutig einer bestimmen Person zuordenbar sind (z.B. poststelle@datenschutz-bayern.de).
Damit sind grundsätzlich auch Verfahren freizugeben, die lediglich eines der oben angeführten personenbezogenen Daten beinhalten, soweit es sich nicht um ein Verfahren handelt, das gemäß § 2 der Datenschutzverordnung (DSchV) keiner Freigabe bedarf. Dies wird aber häufig missachtet.
Ein Verfahren ist gemäß der Begründung zu Art. 18 EG-Datenschutzrichtlinie ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind. Ein Verfahren kann somit aus mehreren einzelnen Verarbeitungen bzw. Verarbeitungsgruppen bestehen.
Ein "automatisiertes Verfahren" bzw. die "automatisierte Verarbeitung" umfasst analog zu § 3 Abs. 2 BDSG
- die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
- unter Einsatz von Datenverarbeitungsanlagen.
Der Begriff "Datenverarbeitungsanlage" wird gesetzlich nicht näher definiert. Wesentlich erscheint jedoch, dass ein bestimmter Vorgang programmgesteuert abläuft. Das Verarbeitungsmittel selbst (Großrechner, PC, etc.) ist demgegenüber gleichgültig.
Nach Art. 26 Abs. 3 Satz 1 1. Halbsatz BayDSG haben öffentliche Stellen ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens eine Verfahrensbeschreibung mit den in Abs. 2 aufgeführten Angaben zur Verfügung zu stellen, damit dieser entscheiden kann, ob er eine datenschutzrechtliche Freigabe für dieses Verfahren erteilt.
Da es sich hierbei nur um gesetzlich vorgeschriebene Mindestanforderungen handelt, können diese Angaben natürlich noch um weitere, als erforderlich angesehene Angaben ergänzt werden.
Gemäß Art. 27 Abs. 1 BayDSG führen die behördlichen Datenschutzbeauftragten ein Verzeichnis der bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden.
In diesem Verzeichnis sind nach Art. 27 Abs. 2 BayDSG für jedes automatisierte Verfahren die in Art. 26 Abs. 2 BayDSG genannten Angaben fest zu halten.
Das Verfahrensverzeichnis kann gemäß Art. 27 Abs. 3 Satz 1 BayDSG von jedem kostenfrei eingesehen werden, soweit es sich dabei nicht um öffentliche Stellen handelt, die gemäß Art. 27 Abs. 3 Satz 2 BayDSG von der Verpflichtung zur Gewährung der Einsichtnahme ausgenommen sind.
Der Begriff "von jedem" ist weit zu fassen, darunter fällt nicht nur der Betroffene. Somit muss ein Verfahrensverzeichnis geführt werden, das auf Wunsch auch ohne Nachweis eines berechtigten Interesses eingesehen werden kann.
Unter die Möglichkeit der Einsichtnahme fallen nicht nur schriftliche Auskünfte. Denkbar ist auch eine mündliche Auskunft oder die Möglichkeit zur Einsichtnahme vor Ort. Die Einsichtnahme kann auch durch Übergabe einer Kopie der ausgefüllten Verfahrensbeschreibungen an den Interessierten ermöglicht werden. Auch eine Veröffentlichung des Verfahrensverzeichnisses im Internet ist denkbar, damit ein jeder Interessierter online darauf zugreifen kann. Allerdings besteht meines Erachtens keine Verpflichtung dazu, das Verfahrensverzeichnis einem Interessierten zuzusenden, wenn er es auch auf andere Weise zur Kenntnis nehmen kann. Es sollte außerdem darauf geachtet werden, dass das öffentliche Verfahrensverzeichnis einerseits hinreichend aussagekräftige Informationen über die Verfahren gibt, andererseits auch nicht zu detailliert ist, damit keine Behördeninterna bekannt werden. So sind die gemäß Art. 26 Abs. 3 Satz 1 2. Halbsatz dem behördlichen Datenschutzbeauftragten zur Verfügung zu stellenden Angaben zu den Sicherheitsmaßnahmen und den zugriffsberechtigten Personen nicht in das öffentliche Verfahrensverzeichnis aufzunehmen. Der Umfang des Verfahrensverzeichnisses wird in Art. 27 Abs. 2 i.V.m. Art. 26 Abs. 2 BayDSG abschließend geregelt.
Die Einsichtnahme hat in der Regel kostenfrei zu erfolgen.
Bezüglich der Beweislast hinsichtlich des vermuteten Einsatzes der automatisierten Verarbeitung personenbezogener Daten bei einer öffentlichen Stelle und damit dem Recht der Einsichtnahme enthält das BayDSG keine Angaben. Generell kann jedoch wohl davon ausgegangen werden, dass jede öffentliche Stelle eine derartige Verarbeitung durchführt.
Ein Mustervordruck zur Verfahrensbeschreibung ist auf meiner Homepage (www.datenschutz-bayern.de) im Bereich Technik/Orientierungshilfen/Mustervorlagen abrufbar. Dabei handelt es sich lediglich um ein Muster, so dass natürlich auch andere und auch selbst erstellte Schemata zur Verfahrensbeschreibung genutzt werden können, soweit sie den Anforderungen des Art. 26 Abs. 2 BayDSG entsprechen.
25.4.7. Entsorgung von Datenträgern mit personenbezogenem Inhalt
Obwohl ich in fast jedem meiner Tätigkeitsberichte auf die Pflicht zur datenschutzgerechten Entsorgung von Datenträgern mit personenbezogenem Inhalt hinweise, muss ich leider immer wieder feststellen, dass gerade in diesem Bereich viel Unwissenheit vorherrscht. Daher nochmals einige diesbezügliche Hinweise:
Werden personenbezogene Daten auf Datenträger jeglicher Art (also egal ob es sich um Papierunterlagen, magnetische, optische oder elektronische Datenträger handelt) gespeichert und werden diese nicht mehr benötigt, so sind sie datenschutzgerecht zu vernichten. Die Art der Vernichtung hängt dabei von der Art des Datenträgers ab.
Gemäß DIN 33858 bezeichnet der Begriff "Vernichten" das Löschen der auf einem Datenträger aufbewahrten Daten in der Art, dass ihre Reproduktion unmöglich ist oder weitgehend erschwert wird. Die Vernichtung erfolgt in der Regel durch Zerkleinerung oder Stoffumwandlung.
Bei der Vernichtung von Datenträgern ist zu beachten, dass die Anforderungen an technische und organisatorische Maßnahmen bei der Vernichtung von Datenträgern umso höher sein müssen, je höher die Sensibilität der Daten ist. Dabei können die Festlegungen zur Informationsdatenträgervernichtung (insbesondere für Papierunterlagen) bei unterschiedlichen Sicherheitsstufen in der DIN-Norm 32757 Teil 1 und Teil 2 als Anhaltswert herangezogen werden, auch wenn sie keine Rechtsnorm ist.
Der Teil 1 der DIN 32757 beschreibt die Anforderungen an Maschinen und Einrichtungen zum Vernichten von Datenträgern durch Stoffumwandlung oder Verkleinerung (z.B. durch Aktenvernichter) sowie an Prüfmaterial, -verfahren und -zeugnisse.
In Teil 2 der DIN 32757 werden die Mindestangaben für derartige Maschinen und Einrichtungen festgelegt. Abhängig vom Reproduktionsaufwand der zu vernichtenden Daten legt die Norm dazu fünf Sicherheitsstufen (S1-S5) fest. Diese werden zur Klassifizierung der Maschinen und Einrichtungen verwendet und liefern somit eine Aussage über den Vernichtungsgrad in Abhängigkeit von der Art der zu vernichtenden Datenträger. Dabei gilt: Je vertraulicher die zu vernichtenden Unterlagen sind, desto kleiner muss die Schnittgröße sein, d.h. desto höher ist die Sicherheitsstufe.
Als Mindestanforderung an eine datenschutzgerechte Entsorgung personenbezogener Daten ist die Sicherheitsstufe 3 anzusehen. Denn nur bei Vernichtung nach mindestens dieser Stufe sind die Reststücke so klein, dass eine Reproduktion der jeweiligen Informationen nur unter erheblichem Aufwand von Personen, Zeit und Hilfsmittel möglich und die Gefahr dafür gering ist. Die dazu verwendeten Geräte (z.B. Aktenvernichter) müssen der Norm entsprechend gekennzeichnet werden. Keine Rolle spielt dabei, ob es sich um ein mobiles (z.B. auf einem Lkw) oder ein stationäres Gerät handelt.
Die Sicherheitsstufen 1 (allgemeines Schriftgut ohne besondere Vertraulichkeit) und 2 (interne Unterlagen) gelten nur für nicht schützenswertes Schriftgut bzw. Unterlagen, die keiner besonderen Geheimhaltung bedürfen. Ab der Sicherheitsstufe 4 (geheimes Schriftgut) sind leistungsfähige Aktenvernichter in der Regel nicht mehr einsetzbar, da sie nicht den erforderlichen Partikelschnitt bieten können. Für die Sicherheitsstufen 4 und 5 (streng geheim) sind somit nur so genannte Cross Cutter für die Entsorgung von Papiergut geeignet, die allerdings nicht für die Massenvernichtung dienen können. Die DIN 32757 lässt jedoch die Möglichkeit offen, bei großen Durchsatzmengen und entsprechender Nachbehandlung durch Vermischung oder Verpressung (z.B. durch Einsatz von Ballenpressen und Verwirblern oder einer Nachbehandlung in Form von Verbreiung oder Brikettierung) wegen der dadurch erschwerten Reproduktionsmöglichkeit eine niedrigere Sicherheitsstufe zu wählen.
Müssen Daten auf magnetischen Datenträgern, wie Festplatten, Magnetbänder, Magnetbandkassetten, Disketten, CDs, DVDs, Chipkarten etc. gelöscht werden, ist die DIN 33858 (Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern) zu beachten. Diese Norm legt Mindestanforderungen an Geräte zum Löschen schutzbedürftiger Daten sowie an Prüfeinrichtungen und Prüfverfahren fest.
Neben dem Einsatz von Löschgeräten können kleinere magnetische Datenträger (z.B. Disketten, CDs, DVDs) auch mit Multimedia-Shreddern vernichtet werden. Das jeweilige Medium wird dabei in kleine Partikel geshreddert. Festplatten, die sich nicht mehr mittels Softwaretools komplett und mehrfach überschreiben lassen, müssen ebenfalls physikalisch zerstört bzw. mit Hilfe eines starken Magnetfelds irreversibel gelöscht werden. Auch ein Durchbohren oder Häckseln von Festplatten führt zum gewünschten Erfolg.
Die erwähnten DIN-Normen können vom Beuth Verlag GmbH, Burggrafenstraße 4-10, 10787 Berlin, bezogen werden.
Wo die Entsorgung stattfindet - ob selbst im Haus oder außerhalb bei einem Unternehmen - ist nicht entscheidend. Allerdings muss bei einer externen Datenträgerentsorgung auch der sichere Transport des Vernichtungsguts eingeschlossen sein, d.h. es muss ausgeschlossen sein, dass während des gesamten Prozesses von der Abholung über den Transport bis hin zur Vernichtung Datenträger verloren gehen oder dass dabei Unbefugte auf schutzbedürftige Daten zugreifen können.
Es ist deshalb üblich, den Transport des Vernichtungsguts in abgeschlossenen Containern durchzuführen. Dabei muss darauf geachtet werden, dass sich die Schlüssel für die Container nicht im Besitz des Transporteurs befinden.
Bei einer externen Datenträgerentsorgung ist es nicht nur wichtig, sich die daten-schutzgerechte Entsorgung der Datenträger vom Auftragnehmer schriftlich bescheinigen zu lassen, sondern es sollten auch Kontrollen bei den mit der Entsorgung beauftragten Vertragsfirmen vorgenommen werden, um mögliche Schwachstellen leichter erkennen zu können. Der Auftraggeber der Datenträgervernichtung trägt schließlich auch dann die Verantwortung für die Einhaltung der Datenschutzvorschriften, wenn er einen Dritten mit der Vernichtung der Datenträger mit personenbezogenen Daten beauftragt (Art. 6 Abs. 1 Satz 1 BayDSG).
Der Auftraggeber muss außerdem einen Auftragnehmer unter Berücksichtigung seiner Eignung und der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen (Art. 6 Abs. 2 Satz 1 BayDSG).
Zu einer sorgfältigen Auswahl eines Auftragnehmers gehört es auch, dass vor Vertragsabschluss geprüft wird,
- ob der Auftragnehmer die geforderte Sicherheit in allen seiner Zuständigkeit unterliegenden Phasen gewährleisten kann,
- ob er einen fachkundigen Datenschutzbeauftragten gemäß § 4 f Abs. 2 BDSG bzw. Art. 25 Abs. 2 BayDSG bestellt, sowie
- ob seine Mitarbeiter über die Bestimmungen des einschlägigen Datenschutzgesetzes unterrichtet und auf die Wahrung des Datengeheimnisses nach § 5 BDSG verpflichtet sind bzw. den öffentlich Bediensteten die Bestimmungen des Art. 5 BayDSG bekannt sind (Datengeheimnis).
Auch sollten entsprechende Referenzen über den Auftragnehmer eingeholt werden.
Gemäß Art. 6 Abs. 2 Satz 2 BayDSG muss ein Auftrag schriftlich erteilt werden. Im Vertrag muss insbesondere klar geregelt sein, für welche Phasen der Auftragnehmer zuständig sein soll, wie die Übergabe der Datenträger erfolgt, dass die Vernichtung außer in genau festgelegten Ausnahmefällen unverzüglich entsprechend den Weisungen des Auftraggebers zu erfolgen hat, welche technisch-organisatorischen Maßnahmen bestehen oder noch zu treffen sind, und ob der Auftragnehmer Subunternehmer einschalten darf und unter welchen Bedingungen. Weiterhin sollte festgelegt werden, dass der Auftragnehmer den Auftraggeber über alle Vorfälle (z.B. Betriebsstörungen oder Fehler) zu informieren hat, die zu einem Schaden für den Auftraggeber führen können.
Ein Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen (Art. 6 Abs. 2 Satz 3 BayDSG). Bereits vor Vertragsunterzeichnung sollte der Auftraggeber deshalb vor Ort überprüfen, ob der Auftragnehmer auch tatsächlich dazu in der Lage ist, die daten-schutzgerechte Entsorgung sicherzustellen (z.B. ob die eingesetzten Gerätschaften den Anforderungen der DIN 32757 Teil 1 entsprechen).
Der Auftraggeber darf sich nicht mit der Erklärung eines Auftragnehmers zufrieden geben, dass dieser die Vorschriften der Datenschutzgesetze beachten werde. Auch die ordnungsgemäße Durchführung der Vernichtung der Datenträger ist sporadisch zu überprüfen. Dazu sollte bei der Vertragsgestaltung mit den beauftragten Entsorgungsunternehmen das Recht auf unangemeldete Kontrollen bei der Entsorgung vereinbart werden.
Einen "Mustervertrag zur Auftragsdatenverarbeitung" finden Sie auf meiner Homepage (http://www.datenschutz-bayern.de) im Bereich Technik/Orientierungshilfen/Mustervorlagen.
25.4.8. Sicherheit im ePass Verfahren
Auf Grund des neu in den Reisepass aufgenommenen biometrischen Merkmals Fingerabdruck und der damit verbundenen Änderungen bei dem Beantragungsverfahren habe ich im Berichtszeitraum mehrere Passämter geprüft. Die Prüfungen hatten nicht die Sicherheit des auf dem Pass vorhandenen RFID-Chips zum Inhalt, sondern ausschließlich das Antrags- und Ausgabeverfahren für Reisepässe.
Die Passbehörde speichert die Fingerabdrücke für die Dauer des Herstellungsvorgangs des Reisepasses, um diese z.B. bei Produktionsfehlern erneut an die Bundesdruckerei liefern zu können. Diese gespeicherten Fingerabdruckdaten sind bei der Passbehörde spätestens nach Aushändigung des Passes an den Passbewerber zu löschen (§ 16 Abs. 2 PassG). Eine Überschreitung der Löschfristen für die biometrischen Daten im ePass Verfahren durch die Speicherung auf Sicherungsmedien ist vor allem bzgl. der Fingerabdrücke nicht zulässig.
Es ist aufgefallen, dass es für die Passbehörden keine Möglichkeiten gibt, die vorgeschriebenen Löschfristen in Bezug auf die Fingerabdrücke auch auf eventuell vorhandenen Sicherungsmedien einzuhalten. Die Bilder der Fingerabdrücke sind entweder von der Sicherung auszunehmen oder es müssen nach der Ausgabe der Pässe die jeweiligen Fingerabdrücke auch von den Sicherungsmedien entfernt werden. Sollte dies auf Grund von Vorgaben oder Eigenschaften der eingesetzten Software nicht möglich sein, so ist von den Herstellern diesbezüglich eine Änderung zu fordern.
Für das Verfahren muss ebenso wie für alle Verfahren, die personenbezogene Daten verarbeiten, eine sichere Zugangsauthentifizierung der zur Benutzung berechtigten Personen gewährleistet sein. Die Mindestanforderungen an die Passwortvergabe, -wahl und -verwaltung, zu finden auf meiner Website im Bereich Technik, müssen eingehalten werden. Darüber hinaus ist auf die zugriffssichere Aufbewahrung der PIN der für die Übermittlung der Daten an die Bundesdruckerei nötigen Signaturkarte besonders zu achten.
Gemäß Art. 26 Abs. 3 Satz 1 BayDSG ist dem Antrag auf datenschutzrechtliche Freigabe eine Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen (Sicherheitskonzept) beizufügen. In diesem Sicherheitskonzept sind, neben den Maßnahmen für das Verfahren selbst, sowohl für den Umgang mit Zugangskennungen und -karten als auch für die Einbindung der Lesegeräte in die Netzwerkumgebung der Behörde Vorgaben zu treffen.
Da der Antragsteller das Recht hat, die auf dem Chip des ePasses gespeicherten Daten bei der Aushändigung zu prüfen, sollten die dazu nötigen Lesegeräte gut sichtbar für die Antragsteller aufgestellt sein. Die Antragsteller sind auf die Möglichkeit hinzuweisen, dass sie ihren ePass prüfen können. Sobald es technisch möglich ist, sind Lesegeräte zu verwenden, bei denen der Fingerabdruck automatisch mit der auf dem RFID-Chip gespeicherten Referenz verglichen werden kann. Bei den momentan im Einsatz befindlichen Geräten ist dies nur optisch möglich. Um die optische Erkennung der Fingerabdrücke etwas zu verbessern, empfiehlt es sich, die Lesegeräte mit einem zusätzlichen, größeren Monitor zu betreiben.
Bei der Erfassung der Daten der Antragsteller ergaben sich aus unserer Sicht grundsätzlich keine Mängel. Es sollte aber sichergestellt werden, dass der Sachbearbeiter sowohl das Erfassungsgerät für die Fingerabdrücke als auch den Monitor gleichzeitig im Blickfeld haben kann, um ein (un-)absichtliches Auflegen eines anderen Fingers leichter erkennen zu können.
25.5. Beratungsleistungen
25.5.1. Vorbemerkungen
Wie in den früheren Berichtszeiträumen nahm auch in diesem Berichtszeitraum die nachgefragte Beratungsleistung erheblich zu.
Wegen der Vielzahl der durchgeführten Beratungen kann ich hier nicht auf alle Projekte und Vorhaben eingehen, in die ich eingebunden war. Auf einige Projekte bin ich wegen des rechtlichen Schwerpunkts bereits in den Kapiteln Errichtung einer zentralen und einheitlichen Datenbank zur Lebensmittel-, Veterinär- und Futtermittelkontrolle durch die Gesundheitsverwaltung ("TIZIAN") (vgl. Nr. 14.1.1), MDK ISmed 3 (vgl. Nr. 15.4.1) und Gesetzentwurf über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) (vgl. Nr. 15.9.1) eingegangen. Weitere Projekte werden im Nachfolgenden dargestellt.
25.5.2. Entwicklungen zur elektronischen Gesundheitskarte
Seit den Ausführungen zur elektronischen Gesundheitskarte im letzten Tätigkeitsbericht (vgl. hierzu Nr. 14.1.1, 22. Tätigkeitsbericht) ist das Projekt deutlich vorangeschritten. Die Begleitung des Projekts durch mich lässt sich in folgende Aspekte untergliedern:
- Spezifikation der Telematikinfrastruktur und Anwendungen durch die Gematik
- Testung in den Pilotregionen
- Evaluation der Tests
Die Spezifikationen der Gematik richten sich nach den Vorgaben der "Verordnung über Testmaßnahmen für die Einführung der elektronischen Gesundheitskarte" in der Fassung der Bekanntmachung vom 05.10.2006 und umfassen daher folgende Schritte:
Release 1 beinhaltet den Test der Versichertenstammdaten, des eRezepts und der Notfalldaten in der Offline-Variante, d.h. die Daten werden ohne Anbindung an die Telematikinfrastruktur direkt auf der Gesundheitskarte gespeichert. Die Tests mit Echtdaten laufen in den Pilotregionen seit Anfang 2008. Diesen Sachstand habe ich in der Pilotregion Ingolstadt in einer Arztpraxis und einer Apotheke geprüft und keine Probleme bezüglich der bisherigen Tests aus Sicht des Datenschutzes festgestellt.
Im Anschluss an Release 1 ist Release 2 vorgesehen, der die Online-Variante der Anwendungen betrifft, beginnend mit den Versichertenstammdaten und dem eRezept. Voraussetzung ist hierbei der Aufbau der Telematikinfrastruktur in den Pilotregionen, woran bereits gearbeitet wird. Die eigentlichen Tests sollen im nächsten Jahr starten.
Release 3 umfasst erste freiwillige Anwendungen im Online-Betrieb sowie auch die Anwendungen des Versicherten, die besonders aus Datenschutzsicht von Interesse sind. Sie sollen dem Versicherten die Möglichkeit zur differenzierten Rechtevergabe, zur Einsichtnahme in die Daten, zum Verbergen von Rezepten u.ä. bieten.
Für die Begleitung der Spezifikationen und die Klärung grundsätzlicher Fragen bin ich weiterhin in der Unterarbeitsgruppe des Bundesbeauftragten und der Landesbeauftragten für den Datenschutz aktiv, um frühzeitig in die Gestaltung der Anwendungen und der Infrastruktur eingebunden zu sein. Derzeit aus Sicht der Unterarbeitsgruppe zu klärende Punkte sind u.a.:
- Datenschutzrechtlich verantwortliche Stelle
Auch für ein komplexes System wie die Telematikinfrastruktur muss es für die Versicherten Ansprechpartner für Fragen bezüglich ihrer Daten geben. Dabei kann es sich einerseits um Auskunftsansprüche handeln, andererseits aber auch z.B. um die Forderung nach Berichtigung oder Löschung von Daten. Da in vielen Fällen zwar der Arzt inhaltlicher Ersteller der Daten ist, diese aber nicht in seiner Obhut, sondern auf mehrere Diensteanbieter verteilt in der Telematikinfrastruktur gespeichert werden, hat er häufig keine Möglichkeit, die Anfragen des Patienten bezüglich seiner Daten alleine zu klären. Die Gematik muss daher Konzepte erarbeiten, wie der Versicherte auch über die Grenzen verschiedener Dienstanbieter und medizinischer Einrichtungen hinweg seine Rechte wahrnehmen kann.
- Anwendungen des Versicherten
Des Weiteren wird derzeit intensiv diskutiert, wie der Patient ohne Beisein des Arztes Rechte vergeben und Einsicht in Daten nehmen kann. Zur Diskussion stehen der Zugang über Internet vom heimischen PC aus oder über einen eKiosk, der beispielsweise im Wartezimmer des Arztes vorhanden ist. Hierbei muss ein Ausgleich geschaffen werden zwischen dem möglichst umfassenden und komfortablen Zugriff für den Patienten und dem Schutz vor unbefugtem (eventuell erzwungenem) Zugriff z.B. beim Arbeitgeber.
- Technische Fragen zu Sicherheit und Praktikabilität
Darüber hinaus wird eine Vielzahl von technischen Einzelfragen diskutiert, wie die Vertraulichkeit der Daten hergestellt werden kann und die Anwendungen gleichzeitig für den IT-technischen Laien nutzbar bleiben. Ein Beispiel hierfür ist die Diskussion um die PIN-Eingabe durch den Versicherten für die freiwilligen Anwendungen, die einerseits ein wichtiges Element zur Kontrolle des Datenzugriffs für den Patienten ist, andererseits aber mit zunehmender Anzahl von PINs praktische Schwierigkeiten beim Merken von PINs auftreten.
- Mehrwertanwendungen
Auch wird derzeit die Ausgestaltung von Mehrwertanwendungen diskutiert, die nicht im § 291a SGB V festgelegt sind, aber zukünftig über die Infrastruktur betrieben werden sollen. Hierbei ist insbesondere zu klären, welche Anforderungen sich aus Datenschutzsicht stellen.
Neben diesen Diskussionen wurde ich von der Unterarbeitsgruppe beauftragt, die Evaluierung der Testregionen durch das IMG (Institut für Medizinmanagement und Gesundheitswissenschaften) der Universität Bayreuth zu überprüfen. In allen Testregionen sollen im Auftrag der Gematik sowohl Ärzte und Apotheker als auch die Versicherten zu ihren Erfahrungen in der Testregion befragt werden.
Die Versicherten werden hierzu von ihrer Krankenkasse ausgewählt und erhalten von dieser ein Informationsschreiben des IMG sowie einen anonymen Fragebogen. Diesen sollen die Versicherten ohne weitere Angaben zur Person in einem mitgelieferten Briefumschlag ohne Absenderangaben an das IMG zurückschicken. So erhält weder die Krankenkasse Einblick in die ausgefüllten Fragebögen, noch das IMG die identifizierenden Daten der befragten Versicherten.
Die Ärzte und Apotheker (im weiteren Anwender genannt) werden von der Projektleitung der jeweiligen Pilotregion auf eine Teilnahme an der Befragung hin angesprochen. Willigt der Anwender ein, werden seine identifizierenden Daten an das IMG weitergegeben, das dann die Befragung vor Ort durchführt. Dabei wird im ersten Schritt der Anwender über das Evaluierungsverfahren informiert und seine schriftliche Einwilligung eingeholt. Danach werden die Fragebögen in Interview-Form gemeinsam ausgefüllt. Die Fragebögen sind nur mit dem Pseudonym des Anwenders beschriftet, das das IMG vergibt. Hierzu wird eine Liste geführt, die das Pseudonym den identifizierenden Daten des Anwenders zuordnet. Diese Liste wird besonders geschützt und getrennt von den Befragungsdaten verwahrt und ist nur wenigen Mitarbeitern des IMG zugänglich. Der Zugriff hierauf ist genau geregelt und darf nur für die Organisation der Befragung oder die Korrektur von Daten erfolgen.
Nach Beendigung des Interviews werden die Befragungsdaten in eine Datenbank eingegeben, wobei hier auch nur das Pseudonym verwendet wird. Die wissenschaftliche Auswertung erfolgt somit pseudonymisiert, die Wissenschaftler haben keinen Zugriff auf die Liste mit den identifizierenden Daten.
Die Befragung der Anwender und Versicherten soll mehrmals in zeitlichen Abständen erfolgen - jeweils zur Umsetzung der oben dargestellten Releases in den Testregionen, also gemäß dem Testfortschritt.
Aus Sicht des technisch-organisatorischen Datenschutzes ist ein wichtiger Aspekt die Verwendung eigener IT-Systeme ausschließlich für die Evaluierung. Diese werden getrennt von den sonstigen Systemen des IMG und der Universität Bayreuth betrieben. Die Forderungen zur technisch-organisatorischen Sicherheit gemäß Art. 7 BayDSG wurden umgesetzt. Unter diesen Voraussetzungen bestanden keine Einwände gegen das Evaluierungsverfahren.
25.5.3. Projekt elektronische Fallakte (eFA) im Städtischen Klinikum München
Das Städtische Klinikum München ist Partner einer Initiative zur Entwicklung eines Standards für elektronische Fallakten (eFA). Dieser Initiative gehören diverse private Klinikketten sowie staatliche / universitäre Großkrankenhäuser an. Mit der Erarbeitung der Spezifikationen wurde das Fraunhofer ISST beauftragt. Ziel ist die Entwicklung eines übergreifenden Standards zum sicheren Austausch von medizinischen Daten in Versorgungsverbünden. Die Entwicklung der eFA verläuft zunächst unabhängig von der Einführung der elektronischen Gesundheitskarte (vgl. hierzu Nr. 23.5.2), soll aber zukünftig als Mehrwertanwendung auf der Telematikinfrastruktur betrieben werden.
In der eFA sollen medizinische Informationen zu einem Patienten fallbezogenen, d.h. bezogen auf eine bestimmte Erkrankung, während des Behandlungszeitraums für alle beteiligten Behandler elektronisch zugänglich gemacht werden. Damit entfällt der zeitraubende Versand von Arztbriefen oder die Doppelerhebung von medizinischen Informationen. Im Projekt des Städtischen Klinikums München soll dies im Rahmen des Pilotprojekts zur Integrierten Versorgung Darmkrebs realisiert werden. Hierbei greifen das Klinikum und niedergelassene Ärzte für die Behandlung von Darmkrebspatienten auf eine gemeinsame Fallakte zurück.
Zur grundsätzlichen Beurteilung der eFA-Standards wurde eine Arbeitsgruppe des Bundesbeauftragten und der Landesbeauftragten für den Datenschutz ins Leben gerufen, in der ich Mitglied bin. Ziel ist es, eine Bewertung der Datenschutzkonformität der eFA sowie Prüfungshilfen für eFA-basierte Projekte zur Verfügung zu stellen.
Zentrale Voraussetzung aus Datenschutzsicht für derartige Projekte ist die informierte Einwilligung der Patienten in die Nutzung einer eFA. Darin muss genau dargelegt werden, welche Daten in die eFA aufgenommen werden dürfen, wer zugriffsberechtigt ist und wann Daten gelöscht / gesperrt werden. Auch ein Ausstieg des Patienten muss jederzeit ohne Nachteile für ihn möglich sein.
Ein wichtiges Thema aus Sicht des Datenschutzes sind die Zugriffsrechte. Im Gegensatz zu den differenzierten Zugriffsrechten, die gesetzlich für die Anwendungen der elektronischen Gesundheitskarte gefordert sind, ist Derartiges bei der eFA nicht vorgesehen. Hier sollen alle Ärzte auf sämtliche in einer Fallakte enthaltenen Daten zugreifen können. Eine Differenzierung auf bestimmte Dokumente u.ä. ist nicht vorgesehen.
Dies wird von der Arbeitsgruppe nach derzeitigem Stand nur dann als akzeptabel angesehen, wenn die Nutzung der eFA eindeutig im Sinne der Erforderlichkeit eingeschränkt werden kann. Dies bedeutet zum einen, dass eine eFA nur für solche Krankheiten eingerichtet werden darf, die inhaltlich und zeitlich begrenzbar sind und zudem nicht das gesellschaftliche Ansehen des Patienten gefährden, wie z.B. psychische Erkrankungen, HIV. Für derartige Erkrankungen muss der Patient die Möglichkeit haben, differenzierte Zugriffsrechte zu vergeben und Inhalte zu verbergen.
Zudem müssen der Kreis der Behandler sowie der Datenumfang auf das erforderliche Minimum festlegbar sein. Für jedes eFA-Projekt muss vorab definiert werden, welche Daten übergreifend erforderlich sind und daher aufgenommen werden sollen. Des Weiteren muss die zeitliche Befristung der eFA-Nutzung sichergestellt werden, derzeit erscheint sie für lebenslange Erkrankungen als nicht geeignet. Im Rahmen der Einwilligung muss für den Patienten erkennbar sein, welche (namentlich aufgeführten) Ärzte zugreifen sollen, um zu entscheiden, ob er damit einverstanden ist. Auch die Einbeziehung von Hilfspersonal oder die Vergabe von Zugriffsrechten für eine ganze Station im Krankenhaus müssen geregelt werden.
Darüber hinaus sind sowohl in der grundsätzlichen Spezifikation als auch für die Realisierung im Einzelfall technische und organisatorische Maßnahmen zum Schutz der Integrität, Authentizität, Vertraulichkeit, Revisionsfähigkeit und Verfügbarkeit der enthaltenen Daten zu ergreifen und schriftlich zu fixieren, z.B. in einem Datenschutz- und Sicherheitskonzept.
Ich werde das Projekt weiterhin aufmerksam begleiten und zu gegebenem Zeitpunkt wieder darüber berichten.
25.5.4. Weitere Entwicklung Fortbildungspunktekonto für Ärzte
Über die Einrichtung des elektronischen Fortbildungspunktekontos der Ärztekammer habe ich bereits im letzten Tätigkeitsbericht berichtet (vgl. hierzu Nr. 13.4.1, 22. Tätigkeitsbericht). Mittlerweile wird das Verfahren in Bayern wie auch in anderen Bundesländern erfolgreich eingesetzt.
Der 30.06.2009 ist gemäß § 95d SGB V der erste Stichtag für den Nachweis der Fortbildung gegenüber der Kassenärztlichen Vereinigung. Als Service für die Ärzte bietet die Bayerische Landesärztekammer (BLÄK) ihren Mitgliedern an, die gesammelten Punkte elektronisch an die Kassenärztliche Vereinigung Bayern (KVB) zu übermitteln, so dass der Arzt dort keine Nachweise mehr einreichen muss.
Der Arzt wird über diese Möglichkeit im Online-Portal "Meine BLÄK", auf dem der Arzt schon bisher seinen aktuellen Punktestand abrufen konnte, informiert und kann dort seine Einwilligung erteilen. Diese Einwilligung kann jederzeit widerrufen werden, dann finden keine weiteren Datenübermittlungen statt. Der übermittelte Datensatz enthält nur die Daten, die für eine sichere Identifizierung und den Nachweis des Punktestandes nötig sind; also beispielsweise keine Angaben zu den besuchten Veranstaltungen.
Nach der ersten Gesamtlieferung werden von der BLÄK in regelmäßigen Abständen Änderungen an die KVB übermittelt. Es werden dabei aber jeweils nur Daten von den Ärzten übermittelt, die eingewilligt und zum Übermittlungszeitpunkt erstmalig die erforderliche Punktzahl erreicht haben.
Für den Übertragungsweg zwischen BLÄK und KVB wurden technische Sicherheitsmaßnahmen, wie z.B. eine Verschlüsselung der Datenübertragung, ergriffen. Aufgrund dieser Maßnahmen und der Einwilligungslösung habe ich keine Einwendungen gegen das Verfahren.
25.5.5. Verfahrensfreigabe bei verteilten Verfahren / Online-Portalen
Im Gesundheitswesen werden sowohl im Forschungsbereich als auch für die Behandlung von Patienten zunehmend Kooperationsformen angestrebt, bei denen untereinander Daten ausgetauscht werden. Dies ist beispielsweise bei Multicenter-Studien der Fall. Häufig sind diese so konzipiert, dass die Studienzentren, die den Patienten behandeln und die Daten erheben, studienrelevante Daten in ein zentrales Online-Portal eingeben. Die Datenspeicherung findet in einer zentralen Datenbank statt. Ähnliche Konstellationen treten im Bereich der Telemedizin auf. Dort werden zum Beispiel für die konsiliarische Mitbehandlung durch Experten medizinische Daten oder auch Live-Videobilder übermittelt, die zumindest für einen gewissen Zeitraum dort auch gespeichert werden. Ein Beispiel für ein derartiges Projekt ist TEMPiS (vgl. hierzu Nr. 5.1, 21. Tätigkeitsbericht).
Soweit es sich hierbei um die Verarbeitung personenbezogener Daten handelt, müssen die Verfahren bei allen beteiligten Stellen durch den behördlichen Datenschutzbeauftragten nach Art. 26 BayDSG freigegeben werden. Um doppelte Arbeit oder unterschiedliche und insgesamt unvollständige Freigaben zu vermeiden, empfiehlt sich folgendes Vorgehen:
Eine Stelle übernimmt zentral die Erarbeitung der benötigten Unterlagen (Verfahrensbeschreibung nach Art. 26 Abs. 2 BayDSG, Übersicht technisch-organisatorische Maßnahmen Art. 26 Abs. 3 BayDSG) für alle Teilnehmer. Es bietet sich an, dass dies die Projektleitung im Rahmen der Konzipierung des Gesamtprojektes durchführt. Neben den sonstigen Projektdokumenten können die Freigabeunterlagen parallel erstellt werden. Es ist somit keine mehrfache Arbeit bei allen Teilnehmern nötig.
Die behördlichen Datenschutzbeauftragten aller Teilnehmer erhalten die vorgefertigten Unterlagen und führen nach einer Prüfung die Verfahrensfreigabe durch. Auch derartige Projekte mit mehreren Partnern müssen in die jeweiligen örtlichen Verfahrensverzeichnisse aufgenommen werden, um eine vollständige Übersicht aller vor Ort betriebenen Verfahren zu gewährleisten. Eine zentrale Freigabe ohne weitere Beteiligung der behördlichen Datenschutzbeauftragten vor Ort ist nicht statthaft und nicht ausreichend.
25.5.6. Bestellung eines IT-Sicherheitsbeauftragten
Im Berichtszeitraum haben sich mehrere Behörden mit der Frage an mich gewandt, was sie bei der Bestellung eines IT-Sicherheitsbeauftragten beachten müssen. Dazu nehme ich folgendermaßen Stellung:
Gemäß Art. 25 Abs. 2 Bayerisches Datenschutzgesetz (BayDSG) haben alle öffentlichen Stellen in Bayern, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu bestellen. Eine analoge Regelung zur Funktion eines IT-Sicherheitsbeauftragten enthält das BayDSG nicht.
Während also die Bestellung eines Datenschutzbeauftragten für bayerische Behörden und sonstige öffentliche Stellen gesetzlich vorgeschrieben ist, besteht eine derartige Verpflichtung für die Bestellung eines IT-Sicherheitsbeauftragten nicht.
Dennoch spricht nichts dagegen, wenn insbesondere größere Behörden über einen IT-Sicherheitsbeauftragten verfügen. Dessen Aufgaben könnten beispielsweise sein:
- Erarbeitung und Umsetzung eines Sicherheitskonzeptes für die öffentliche Stelle
- regelmäßige Aktualisierung und Überprüfung dieses Sicherheitskonzeptes
- Beratung der Behördenleitung und Mitwirkung in Fragen der IT-Sicherheit
- Sensibilisierung der Mitarbeiter und Durchführung von Schulungen bezüglich IT-Sicherheit
Dementsprechend benötigt ein IT-Sicherheitsbeauftragter insbesondere Kenntnisse bezüglich der Informationstechnologie und der Datensicherheit. Ein Datenschutzbeauftragter sollte über das notwendige technische Verständnis zur Umsetzung der erforderlichen Datensicherheitsmaßnahmen verfügen, benötigt aber auch - im Gegensatz zu einem IT-Sicherheitsbeauftragten - ausreichende Rechtskenntnisse bezüglich der einschlägigen datenschutzrechtlichen Regelungen.
Somit können sich ein Datenschutzbeauftragter und ein IT-Sicherheitsbeauftragter gut ergänzen. Während sich der Datenschutzbeauftragte in erster Linie um die Einhaltung des Datenschutzes (also der Beachtung der entsprechenden gesetzlichen Vorschriften) in der Behörde kümmert, überwacht der IT-Sicherheitsbeauftragte die Gewährleistung der Datensicherheit.
Sollte der Datenschutzbeauftragte selbst über weiter gehende EDV-Kenntnisse verfügen, z.B. aufgrund eines Informatikstudiums, kann er bei kleineren Behörden und Kommunen gegebenenfalls zusätzlich die Position eines IT-Sicherheitsbeauftragten ausfüllen. Dabei ist allerdings zu beachten, dass ihm von Seiten der Behördenleitung genügend Zeit für diese beiden Tätigkeiten eingeräumt wird.
Nach dem Bayerischen Datenschutzgesetz ist es nicht erforderlich, dass der behördliche Datenschutzbeauftragte eine Zertifizierung vorweisen kann. Andererseits könnte die Vorlage entsprechender Ausbildungsnachweise hilfreich bei einer Bewerbung als Datenschutzbeauftragter sein.
Bei einem IT-Sicherheitsbeauftragten halte ich jedoch für sehr sinnvoll, dass der entsprechende Bewerber entweder über ein Informatikstudium und/oder über jahrelange Praxiserfahrung im Bereich der EDV verfügt. Seine Bestellung würde ich aber auch nicht nur von der Vorlage eines entsprechenden Zertifikates abhängig machen.
25.6. Technisch-organisatorische Einzelprobleme
25.6.1. Übertragung der Aufgaben eines behördlichen Datenschutzbeauftragten an einen Dritten
Gelegentlich wird die Frage an mich herangetragen, ob und in wieweit die Aufgaben eines behördlichen Datenschutzbeauftragten an einen externen Dritten übertragen werden könnten. Dazu äußere ich mich wie folgt:
Zum behördlichen Datenschutzbeauftragten kann gemäß Art. 25 Absatz 2 Satz 1 des Bayerischen Datenschutzgesetzes (BayDSG) nur ein Beschäftigter der jeweiligen öffentlichen Stelle bestellt werden. Die Berufung Externer scheidet somit aus. Ein Ausweichen auf § 4 f Abs. 2 Satz 3 Bundesdatenschutzgesetz (BDSG) - wonach zum Beauftragten für den Datenschutz auch eine Person außerhalb der verantwortlichen Stelle bestellt werden kann - ist nicht statthaft, da gemäß Art. 2 Abs. 1 BayDSG für Behörden, Gemeinden und sonstige öffentlichen Stellen des Freistaates Bayern generell die Vorschriften des Bayerischen Datenschutzgesetzes gelten und nicht die Bestimmungen des Bundesdatenschutzgesetzes.
Ausnahmen von dieser Regelung enthält der Art. 3 BayDSG, der beispielsweise im Abs. 1 Satz 1 festlegt, dass für öffentliche Stellen, die als Unternehmen am Wettbewerb teilnehmen, die Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des Zweiten Abschnitts gelten. Allerdings gelten gemäß Art. 3 Abs. 1 Satz 3 BayDSG für die Durchführung und die Kontrolle des Datenschutzes auch bei diesen Stellen die entsprechenden Vorschriften des Bayerischen Datenschutzgesetzes (Art. 9 und 25 bis 33 BayDSG). Damit ist auch diesen Stellen die Berufung eines Externen zum behördlichen Datenschutzbeauftragten untersagt.
Zu den im Art. 3 Abs. 1 BayDSG aufgeführten öffentlichen Stellen zählen beispielsweise auch die kommunalen Krankenhäuser, soweit sie am Wettbewerb teilnehmen. Damit sind auch diese Stellen verpflichtet, einen ihrer Bediensteten zum behördlichen Datenschutzbeauftragten zu berufen. Gleiches gilt für Krankenhäuser, die nicht am Wettbewerb teilnehmen (z.B. Universitätskliniken und Bezirkskrankenhäuser), die gänzlich unter die Vorschriften des Bayerischen Datenschutzgesetzes fallen.
Gemäß Art. 2 Abs. 2 Satz 1 Nr. 1 BayDSG gelten die Vorschriften des BayDSG auch für Vereinigungen des privaten Rechtes, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen eine oder mehrere juristische Personen des öffentlichen Rechts (z.B. ein Landratsamt oder eine Kommune) beteiligt sind.
Entscheidend für die datenschutzrechtliche Einordnung dieser Stellen ist dabei, ob sie Aufgaben der öffentlichen Verwaltung wahrnehmen - z.B. in Form der kommunalen Daseinsvorsorge. Unzweifelhaft unter den Art. 2 Abs. 2 Satz 1 Nr. 1 BayDSG fallen beispielsweise kommunale Krankenhäuser (wie bereits erwähnt), Stadtwerke, Bäder und das Verkehrswesen. Dagegen nehmen beispielsweise Wohnungsbaugenossenschaften bzw. Wohnungsbaugesellschaften in der Regel keine öffentlichen Aufgaben wahr, auch wenn es sich dabei um 100%-Töchter einer öffentlichen Stelle handelt. Bei allen anderen - nicht erwähnten - Vereinigungen des Privatrechts wäre im Einzelfall zu klären, ob diese Stellen Aufgaben der öffentlichen Verwaltung wahrnehmen.
Zusammenfassend bleibt festzuhalten, dass alle öffentlichen Stellen des Freistaates Bayern (mit Ausnahme öffentlich-rechtlicher Versicherungsunternehmen und öffentlich-rechtlicher Kreditinstitute) und deren privatrechtlichen Vereinigungen, soweit sie Aufgaben der öffentlichen Verwaltung wahrnehmen, zumindest bezüglich der Durchführung des Datenschutzes unter die Vorschriften des Bayerischen Datenschutzgesetzes fallen und damit verpflichtet sind, einen ihrer Bediensteten zum behördlichen Datenschutzbeauftragten zu ernennen.
Natürlich besteht auch weiterhin für mehrere kleinere öffentliche Stellen die Möglichkeit - unter bestimmten Voraussetzungen - einen gemeinsamen Datenschutzbeauftragten zu bestellen (vgl. hierzu Nr. 22.1.6, 21. Tätigkeitsbericht).
25.6.2. Datenschutz im Bürgerbüro
Im Zuge unserer modernen Dienstleistungsgesellschaft sind auch Kommunen darum bemüht, ihren Bürgern den Kontakt mit der Gemeindeverwaltung so einfach wie möglich zu machen. Die Bürger sollen nicht mehr von einem Amt zum anderen laufen müssen, sondern ihre Anliegen möglichst bei einer Ansprechstelle zentral vorbringen können. Obwohl Bürgerbüros daher bereits eine große Verbreitung erfahren haben, werden bei deren Einrichtung immer noch einige Versäumnisse begangen und so der Datenschutz und die Datensicherheit nicht gewährleistet.
Folgende technische und organisatorische Maßnahmen sind zu treffen:
- Gruppierung der Sachbearbeiterplätze in geschachtelten Zonen und gegenseitige Abschottung mittels schallisolierender Raumteiler und Sichtschutz, um so ein Mithören der Kommunikation über mehrere Bearbeitungsplätze hinweg auszuschließen.
- Einrichtung von Wartezonen in genügend großem Abstand zu den Sachbearbeiterplätzen.
- Zur Verfügung stellen und Anbieten von Einzelzimmern für das Führen besonders sensibler Gespräche.
Folgende bauliche Maßnahmen kommen in Betracht:
- Schaffung von Warte- und Diskretionszonen
- Schallisolierende Abschottung der Bearbeiterplätze
- Einbau schalldämmender Bodenbeläge und Deckenelemente
- Einrichtung von abgeschlossenen Einzelzimmern oder Sprechkabinen
Neben der Sensibilisierung und Schulung der Mitarbeiter auf Beachtung des Persönlichkeitsschutzes sind folgende organisatorische Maßnahmen zu ergreifen:
- Bildschirme dürfen nicht so aufgestellt werden, dass Dritte den Bildschirminhalt mitlesen können.
- Die Einsichtnahme Dritter in nicht zum aktuellen Fall gehörenden Unterlagen auf dem Bearbeiterplatz ist zu verhindern.
- Auf die Möglichkeit, vertrauliche Einzelfallbehandlung in einem gesonderten Dienstzimmer zu führen, muss hingewiesen werden.
- Eventuell könnte eine Besuchersteuerung erfolgen (z.B. durch Lichtzeichenanlage).
- Es ist darauf zu achten, dass immer nur eine Partei an einen Bearbeiterplatz herantreten darf.
- Informationen müssen vertraulich behandelt werden.
- Die Aufbewahrung personenbezogener Unterlagen muss zugriffssicher erfolgen.
- Die Entsorgung personenbezogener Unterlagen hat datenschutzgerecht zu geschehen.
Außerdem ist bei der Zusammenführung von unterschiedlichen Aufgabenstellungen und der Verarbeitung unterschiedlicher Datenbestände auf einem Arbeitsplatz im Bürgerbüro der Grundsatz der "informationellen Gewaltenteilung" auch innerhalb der Gemeindeverwaltung zu berücksichtigen.
So ist beispielsweise gemäß § 67 Abs. 9 Satz 3 SGB X innerhalb einer Gebietskörperschaft jede für einen Sozialleistungsbereich zuständige Organisationseinheit eine (eigene) speichernde Stelle. Auch andere Organisationseinheiten in derselben Kommune dürfen Sozialdaten also nur zur Kenntnis erhalten, soweit Übermittlungsbefugnisse nach dem SGB einschlägig sind.
Bei der Einrichtung von Bürgerbüros muss dementsprechend darauf geachtet werden, dass nicht gegen das Sozialgeheimnis verstoßen wird. Solche Verstöße könnten sich etwa dadurch ergeben, dass Mitarbeiter im Bürgerbüro Zugriffs- und Kenntnisnahmemöglichkeiten betreffend Sozialdaten erhalten, die mit der Zweckbindung der für einen Sozialleistungsbereich bestimmten personenbezogenen Daten nicht zu vereinbaren sind.
Zur Reduzierung des Risikos von Verletzungen des Sozialgeheimnisses im Bürgerbüro empfehle ich dringend, die Bearbeitung von Sozialleistungsangelegenheiten nicht ausschließlich im Bürgerbüro, sondern dort nur zusätzlich anzubieten, so dass dem Bürger die Möglichkeit verbleibt, sein Anliegen unmittelbar im zuständigen Sachgebiet vorzutragen. Auf diese Alternative ist im Bürgerbüro ausdrücklich hinzuweisen.
Weitere Informationen zum Thema Datenschutz im Bürgerbüro können der Orientierungshilfe "Vom Bürgerbüro zum Internet - Empfehlungen zum Datenschutz für eine serviceorientierte Verwaltung" sowie meinem 19. Tätigkeitsbericht (vgl. hierzu Nr. 8.5, 19. Tätigkeitsbericht) entnommen werden - beide sind abrufbar auf meiner Homepage www.datenschutz-bayern.de.
25.6.3. Übermittlung von Passbildern im Rahmen von Verkehrsordnungswidrigkeiten
Bestreitet ein Kfz-Halter, dass er im Zusammenhang mit der Verfolgung einer Verkehrsordnungswidrigkeit (z.B. im Rahmen von Geschwindigkeitskontrollen) sein Fahrzeug selbst geführt hat, so ist in diesen Fällen zulässig, das bei einer Radarüberwachung angefertigte Lichtbild mit dem bei der Ausweisbehörde hinterlegten Lichtbild des Fahrzeughalters abzugleichen (§ 2b Abs. 2 Personalausweisgesetz). In diesen Fällen werden immer wieder Einwohnermeldeämter dazu aufgefordert, das entsprechende Foto per E-Mail an die Polizei zu übertragen.
Häufig wird dabei aber übersehen, dass bei jeder Übermittlung personenbezogener Daten per E-Mail aus datenschutzrechtlicher Sicht Maßnahmen zur Gewährleistung der Vertraulichkeit, der Integrität und der Authentizität zu ergreifen sind. Da ein Lichtbild personenbezogene Daten über das Aussehen des Abgebildeten verkörpert, sollte auch diese Art der Datenübertragung zur Gewährleistung der Vertraulichkeit verschlüsselt erfolgen. Werden zusätzliche Personen identifizierende Angaben dem Bild beigefügt, so ist die Verschlüsselung zwingend.
Dabei ist zu beachten, dass die zum Einsatz kommenden Verfahren gegen Entschlüsselungsversuche hinreichend sicher sind. So gelten derzeit symmetrische Verfahren mit 128 Bit Schlüssellänge als hinreichend sicher. Für asymmetrische Verfahren wird empfohlen, eine Schlüssellänge von 2048 Bit zu verwenden.
Die Integrität der zu übertragenden Daten lässt sich durch geeignete Signaturverfahren verifizieren. Durch die elektronische Signatur lassen sich Dokumente außerdem eindeutig zuordnen (Gewährleistung der Authentizität).
Im Bayerischen Behördennetz sind S/MIME, PGP und GnuPGP für die Sicherung von E-Mail festgelegt. Eine entsprechende PKI bzw. ein entsprechender Keyserver stehen zur Verfügung. Fotos von Fahrzeughaltern müssen also wegen vermeintlich fehlender PKI oder vermeintlich fehlender technischer Werkzeuge nicht mehr ungeschützt per
E-Mail versandt werden.
25.7. Orientierungshilfen
Im Berichtszeitraum wurden alle auf meiner Homepage veröffentlichten Orientierungshilfen bzgl. Aktualität überprüft und erforderlichenfalls aktualisiert.
Neu hinzugekommen sind "Gestaltung des Internetauftritts" (http://www.datenschutz-bayern.de/technik/orient/internetauftritt.html) und das "Merkblatt zum Datenschutz bei medizinischen Studien mit Patientendaten" (http://www.datenschutz-bayern.de/technik/orient/merkblatt_med_studien.html).