-> Home -> Der LfD -> Tätigkeitsberichte -> 1997
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

18. Tätigkeitsbericht 1997 -Inhaltsverzeichnis

 

18. Tätigkeitsbericht 1997 - 1. Teil 1. Teil: Technik 

1. Datenschutz durch Technik
1.1 Datensparsamkeit tut not
1.2 Datenschutzfreundliche Technik - beileibe keine Utopie
1.2.1 Elektronisches Bezahlen ohne Datenspuren
1.2.2 Datenvermeidung in der Telekommunikation
1.2.3 Unbeobachtete Kommunikation
1.2.4 Medizinische Forschungsregister
1.3 Wie kann es weitergehen?

2. Die Kryptokontroverse

3. Von öffentlichen Stellen, Bürgern und dem Internet
3.1 Dienste für den Bürger
3.2 Wir über uns
3.3 Die Hitparade der Abrufe
3.4 Internet und persönliche Datenspuren
3.5 Hinweise zum gesicherten Anschluß von Netzen

4. Outsourcing

5. Das Client-Server-Verfahren LISSA
5.1 Zentrum für Kommunikationstechnik und Datenverarbeitung (ZKD)
5.2 Zentrale EDV-Stelle der Kultusverwaltung (ZEDV)
5.3 Oberschulamt
5.4 Staatliches Schulamt

6. Sonstige Probleme
6.1 Unzureichende Sicherung der Arbeitsplatz-PC
6.2 Paßwortmängel
6.3 Fehlende Terminalbeschränkungen
6.4 Zu viele Administratoren
6.5 Mängel bei der Benutzerverwaltung
6.6 Gefahren durch einen Download
6.7 Schutz vor Eindringversuchen
6.8 Fernwartung
6.9 Vernichtung von Unterlagen
6.10 Schriftliche Regelungen zum Datenschutz und zur Datensicherheit: Das Verfahrensverzeichnis
 


1. Datenschutz durch Technik

Ist derjenige, der die Segnungen der modernen Informations- und Kommunikationstechnik nutzen will, wirklich auch dazu verdammt, bei seinen Aktivitäten überall Spuren zu hinterlassen und damit am Ende zum gläsernen Menschen zu werden? Fast scheint es so. Wer nach alter Väter Sitte Briefe im verschlossenen Umschlag verschickt, Bücher und Zeitschriften mit Bargeld kauft und darin blättert, kann dies alles tun, ohne daß penibel aufgezeichnet wird, was er im einzelnen gemacht hat. Ganz anders liegen die Dinge bei der Nutzung der neuen Techniken. Wer elektronische Post verschickt, mit diversen Chipkarten bargeldlos bezahlt oder in Mobilfunknetzen telefoniert, muß in Kauf nehmen, daß sein Vorgehen so aufgezeichnet wird, daß detailliert nachvollzogen werden kann, mit wem er kommuniziert, was er gekauft oder wo er sich mit seinem Handy aufgehalten hat. Freilich: Wie viele und welche Datenspuren er hinterläßt, ist nicht naturgegeben und unabänderlich, sondern hängt sehr von der Ausgestaltung der eingesetzten Technik ab.
 

1.1 Datensparsamkeit tut not

In Zeiten, in denen die Nutzung weltweiter Datennetze oder von allerlei Arten von Chipkartensystemen für viele zur Selbstverständlichkeit geworden ist, reicht es zur Sicherung des Grundrechts auf Datenschutz nicht mehr aus, die bei der Nutzung der neuen Technik angefallenen personenbezogenen Daten möglichst vor Mißbrauch zu schützen. Allein schon angesichts der weltweiten Verflechtung von Datennetzen ist dies ein Ding der Unmöglichkeit. Statt dessen sollten die Systeme von vornherein so gestaltet werden, daß möglichst gar keine oder jedenfalls so wenig wie möglich personenbezogene Daten anfallen. Beschränkung auf das notwendige Minimum und damit Datensparsamkeit heißt also das Gebot der Stunde. Zwei Vorgehensweisen kommt dabei besondere Bedeutung zu:

  • Die strengste Form der Datensparsamkeit ist die Datenvermeidung, die sicherstellt, daß bei der Nutzung der Technik überhaupt keine personenbezogenen Daten anfallen. Musterbeispiel dafür ist die herkömmliche Telefonkarte, die dem Inhaber ermöglicht, beim Bezahlen eines Telefongesprächs anonym zu bleiben. Eine solche anonyme Nutzung ist immer dann anzustreben, wenn es nicht notwendig ist, zu wissen, wer die Technik in Anspruch genommen hat.
  • Eine weitere Möglichkeit, Datensparsamkeit zu praktizieren, besteht darin, die Angaben, die den Nutzer identifizieren können, durch ein sog. Pseudonym, das für sich allein keine Rückschlüsse auf den Nutzer erlaubt, zu ersetzen. Der Vorteil ist der: Die Reidentifizierung ist nur dem möglich, der weiß, zu welcher Person welches Pseudonym gehört oder darüber informiert ist, auf welche Weise das Pseudonym gebildet wird. Für alle anderen bleibt der Nutzer anonym. Die Pseudonymisierung kommt immer dann in Frage, wenn es nur in Ausnahmefällen notwendig ist, seine Identität festzustellen.
 

1.2 Datenschutzfreundliche Technik - beileibe keine Utopie

Bereits heute bestehen Möglichkeiten, Technik datensparsam zu gestalten. Kryptographische Verfahren und Guthabenkarten zum Bezahlen spielen dabei häufig eine wichtige Rolle:
 

1.2.1 Elektronisches Bezahlen ohne Datenspuren

Bargeldlose elektronische Zahlungsformen gewinnen gegenüber dem Bargeld immer größere Bedeutung.

  • In vielen Fällen bezahlt der Kunde mit einer Karte, sei es eine EC- oder eine Kreditkarte. Beim Bezahlen mit einer solchen Karte wird im Gegensatz zur Barzahlung häufig registriert, wer wann welchen Betrag an wen bezahlt hat. Doch es geht auch anders: Man kann zum Bezahlen auch Chipkarten mit einem Wertguthaben (Prepaid-Cards) einsetzen. Das auf einer solchen Karte gespeicherte Guthaben wird dabei bei jedem Kauf um den entsprechenden Kaufpreis reduziert. Der Verkäufer erfährt bei Verwendung einer solchen Chipkarte weder den Namen noch die Bankverbindung des Kunden und keinem Geldinstitut wird mitgeteilt, wann der Kunde welchen Betrag an wen ausgegeben hat. Voraussetzung für einen anonymen Einsatz dieser Karte ist, daß die mit einer Karte getätigten Käufe und Aufbuchungen nicht an zentraler Stelle, etwa unter einer Kartennummer, registriert werden und damit eine Reidentifizierung des Karteninhabers möglich ist.
  • Um in elektronischen Kommunikationsnetzen wie dem Internet angebotene Dienstleistungen innerhalb des gleichen Netzes elektronisch bezahlen zu können, wurden inzwischen verschiedene Varianten für elektronisches Geld entwickelt. Bezahlt wird dabei durch Übertragung einer oder mehrerer elektronischer Dateien, die wie ein Geldschein oder eine Münze jeweils einen bestimmten Geldbetrag darstellen. Die Vertrauenswürdigkeit eines derartigen Zahlungsverfahrens setzt unter anderem voraus, daß sich durch bloßes Kopieren von Gelddateien das Guthaben nicht vervielfachen läßt. Außerdem müssen die Gelddateien gegen Verfälschung geschützt sein. Mittels kryptographischer Verfahren ist es möglich, elektronisches Geld zur Verfügung zu stellen, das die genannten Anforderungen erfüllt und mit dem zugleich anonym bezahlt werden kann.
 

1.2.2 Datenvermeidung in der Telekommunikation

Wer heutzutage telefoniert, ein Fax verschickt oder Daten etwa über eine ISDN-Verbindung überträgt, über den speichern Telekommunikationsunternehmen in der Regel vielerlei personenbezogene Daten. Hierzu gehören Grundinformationen über Kunden wie Name, Vorname, Anschrift oder Bankverbindung, die sog. Bestandsdaten, ebenso wie die Daten, die zum Aufbau und zum Aufrechterhalten der gewünschten Verbindung erforderlich sind, die sog. Verbindungsdaten. Ausgewählte Verbindungsdaten wie Datum, Beginn und Dauer einer jeden Verbindung sowie die gewählte Rufnummer werden auch gespeichert, um damit die Abrechnung zu erstellen.

Durch konsequenten Einsatz datensparsamer Technologien läßt sich jedoch der Umfang personenbezogener Bestands-, Verbindungs- oder Abrechnungsdaten erheblich reduzieren oder sogar gänzlich vermeiden:

  • Abrechnungsdaten lassen sich beispielsweise vermeiden, wenn die genutzten Telekommunikationsdienstleistungen, wie bereits unter 1.2.1 erwähnt, mit Prepaid-Cards bezahlt werden. Folgendes ist hierzu erforderlich:
    • Es müssen Telefon-, Telefax- und andere Telekommunikationsendgeräte für private oder geschäftliche Anschlüsse auf den Markt kommen, die mit Hilfe eines Chipkartenlesers Werteinheiten von Chipkarten abbuchen können. Die Abbuchung kann von Gebührenimpulsen gesteuert werden, die das Telekommunikationsnetz an das Endgerät sendet.
    • Um Chipkarten verwenden zu können, deren Guthaben sich wieder aufladen läßt, muß eine Infrastruktur mit Aufladestellen aufgebaut werden. Denkbar ist, daß die Karten durch Einzahlung von Bargeld oder Belastung des Girokontos an entsprechenden Automaten aufgeladen werden können. In Frage kommt aber auch ein Aufladen der Chipkarten durch Übertragen elektronischer Geldeinheiten. Bei entsprechender Gestaltung der Telekommunikationsendgeräte könnte dann jeder Telefonkunde seine Chipkarte zu Hause am eigenen PC oder Telefonapparat aufladen.
    • Wenn der Telekommunikationstarif so gestaltet wird, daß kein Grundpreis zu zahlen ist, kann ganz auf die Speicherung von Kundendaten für Abrechnungszwecke verzichtet werden.
  • Auch das bereits erwähnte anonyme elektronische Geld läßt sich zum Bezahlen von Telekommunikationsdienstleistungen verwenden, beispielsweise indem das Entgelt für jeden neu angebrochenen Zeittakt sofort elektronisch übermittelt wird. Im Vergleich zum Einsatz einer Chipkarte muß man sich bei diesem Zahlungsverfahren nicht mehr um das rechtzeitige Wiederaufladen seiner Chipkarte kümmern.
 

1.2.3 Unbeobachtete Kommunikation

Datenschutzfreundliche Techniken lassen sich darüber hinaus auch einsetzen, um zu verhindern, daß ein Dritter durch Überwachung der auf den Kommunikationswegen transportierten Daten erkennen kann, ob ein Teilnehmer gerade mit einem anderen kommuniziert und wer der Kommunikationspartner ist. Ferner machen sie es möglich, mobil zu telefonieren, ohne daß der Netzbetreiber hierbei den Standort des Teilnehmers registriert. Technisch lassen sich Mobilfunknetze auch so gestalten, daß die Handys nicht einmal mehr mit Peilsendern geortet werden können.

 
1.2.4 Medizinische Forschungsregister

Datensparsamkeit läßt sich nutzbringend auch in solchen Bereichen praktizieren, in denen Computer schon längst Einzug gehalten haben. Medizinische Forschungsregister sind Beispiele dafür. Sie stellen stets brisante Datensammlungen dar, enthalten sie doch sensible Angaben über die gesundheitlichen Verhältnisse vieler Personen. Diese sollten daher nach Möglichkeit anonymisiert oder unter einem Pseudonym gespeichert werden. Durch Einsatz der Verschlüsselungstechnik ist beim Krebsregister Baden-Württemberg eine Pseudonymisierung möglich geworden. Durch eine zweifache Verschlüsselung entsteht aus den Identifizierungsdaten eines Krebskranken das Pseudonym. Der große Vorzug: Die Verschlüsselung bewirkt, daß eine bestimmte Person immer dasselbe Pseudonym erhält; Mehrfachmeldungen zu einer Person lassen sich also im Krebsregister zusammenführen. Die Verschlüsselungsfunktion ist dabei nicht umkehrbar; aus dem Pseudonym lassen sich also die Identifizierungsdaten der betreffenden Person nicht berechnen (vgl. dazu unseren 5. Tätigkeitsbericht 1984, LT-Drs. 9/940, S. 29 bis 39 und 14. Tätigkeitsbericht 1993, LT-Drs. 11/2900, S. 81 bis 83). Von wesentlicher Bedeutung ist dabei folgendes: Die Stelle, die die Pseudonyme berechnet, darf das Register nicht in ihrer Obhut haben, denn ansonsten könnte sie ganz leicht herausfinden, ob eine bestimmte Person im Register gespeichert ist. Sie bräuchte dazu nur aus den Identifizierungsdaten dieser Person das zugehörige Pseudonym zu erzeugen und sodann mit allen im Krebsregister gespeicherten Pseudonymen abgleichen. Aus dem gleichen Grund darf die Stelle, die das Register führt, nicht in der Lage sein, die Pseudonyme zu berechnen.

 
1.3 Wie kann es weitergehen?

Die Datenschutzbeauftragten des Bundes und der Länder haben in zwei umfangreichen Arbeitspapieren für verschiedenste Anwendungsbereiche wie Online-Dienste, elektronischer Zahlungsverkehr, Gesundheitsbereich oder Telekommunikation aufgezeigt, daß bereits heute etliche Möglichkeiten bestehen oder denkbar sind, Technik datensparsam zu gestalten und einzusetzen. Von dieser Möglichkeit macht die Praxis leider noch viel zu wenig Gebrauch. Vor diesem Hintergrund ist es deshalb zu begrüßen, daß die in diesem Jahr in Kraft getretenen gesetzlichen Regelungen über die Tele- und Mediendienste den Einsatz datensparsamer Techniken vorsehen. Das Teledienstedatenschutzgesetz des Bundes regelt dabei insbesondere solche Dienste, bei denen die Individualkommunikation im Vordergrund steht, wie dies beispielsweise bei elektronischer Post, Telearbeit, Telemedizin, Telebanking, Telespielen, Videokonferenzen oder elektronischen Buchungsdiensten der Fall ist. Der von den Ländern abgeschlossene Mediendienste-Staatsvertrag ist dagegen auf Dienste anzuwenden, die für alle Teilnehmer gleiche und zudem redaktionell bearbeitete Informationen bereithalten. Beispiele hierfür sind Pay-TV, Pay per View, Video on Demand oder auch die meisten World-Wide-Web-Angebote des Internet.

Wesentliche datenschutzrechtliche Eckpunkte sind dabei:

  • Gebot der Datensparsamkeit

    • Die Gestaltung und Auswahl technischer Einrichtungen zum Betrieb der Tele- und Mediendienste hat sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen.
  • Weitgehend anonyme Nutzungsmöglichkeiten

    • Der Diensteanbieter muß, soweit technisch möglich und zumutbar, den Nutzern ermöglichen, die Dienste anonym oder unter einem Pseudonym zu nutzen und zu bezahlen.
  • Umgehende Löschung

    • Der Diensteanbieter muß personenbezogene Verbindungsdaten spätestens unmittelbar nach Ende der Nutzung eines Dienstes löschen, sofern die Daten nicht für die Abrechnung benötigt werden.
  • Datenschutz-Audit

    • Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige Gutachter prüfen und bewerten lassen und das Ergebnis anschließend veröffentlichen.
Doch die Verpflichtung zum Einsatz datensparsamer Technologie im Bereich der Tele- und Mediendienste kann nur ein erster Schritt sein. Um der datensparsamen und deshalb datenschutzfreundlichen Technik zum Durchbruch zu verhelfen, muß diese auch in anderen Bereichen eingesetzt werden. Dies zu forcieren, ist Anliegen der Entschließung der Konferenz der Datenschutzbeauftragten zur Erforderlichkeit datenschutzfreundlicher Technologien (vgl. Anhang 8). Für ein Gelingen ist die Mitwirkung vieler erforderlich: Der Gesetzgeber kann, wie bei den Tele- und Mediendiensten, deren breiten Einsatz fördern, indem er die Verwendung datensparsamer Technik in bestimmten Bereichen gesetzlich vorschreibt. Zugleich sind Dienstleistungsanbieter und Hersteller gefordert, datensparsame Dienste und Produkte zu entwickeln und am Markt anzubieten. Dies liegt auch in deren eigenem Interesse, da Datensparsamkeit dazu beitragen kann, die angestrebte breite Akzeptanz der modernen Informations- und Kommunikationstechniken und damit auch den Absatz zu fördern.

 
2. Die Kryptokontroverse

Der Vorzug leistungsfähiger Verschlüsselungsverfahren, nämlich es dem Absender einer elektronischen Nachricht zu ermöglichen, seine Daten so sicher zu verschlüsseln, daß nur der rechtmäßige Empfänger sie wieder entschlüsseln kann, stellt den Staat vor eine völlig neuartige Situation. Lange Zeit bereitete es ihm keine besonderen Schwierigkeiten, im Zuge angeordneter Überwachungsmaßnahmen die Kommunikation der zu Überwachenden mitzulesen oder mitzuhören. Herkömmliche Briefpost läßt sich leicht öffnen, eine Telefonleitung läßt sich anzapfen. Mit der Nutzung moderner Informations- und Kommunikationstechniken und der Verfügbarkeit der Verschlüsselungstechnik hat sich dies schlagartig geändert. Wer heutzutage etwa über das Internet eine elektronische Post mit PGP (Pretty Good Privacy), einer im Internet verfügbaren und dort weit verbreiteten Verschlüsselungssoftware, verschlüsselt, kann abhörsicher gegenüber jedermann, auch gegenüber staatlichen Stellen, kommunizieren. Dies hat eine auch hierzulande kontrovers geführte Diskussion über die Kryptographie ausgelöst. Insbesondere Sicherheitsexperten verlangen im Interesse einer wirksamen Verbrechensbekämpfung eine gesetzliche Regelung. Es könne nicht angehen, daß Kriminelle Datennetze mißbrauchen, indem sie verschlüsselte Botschaften austauschen, ohne daß der Staat die Möglichkeit hat, ihre Kommunikation aufzudecken.

Seit geraumer Zeit prüft nun die Bundesregierung, ob eine Notwendigkeit besteht, den Einsatz der Verschlüsselung einzuschränken. Dabei kommen prinzipiell folgende Varianten in Betracht:

  • Der Staat erteilt nur in Ausnahmefällen die Genehmigung zum Einsatz der Verschlüsselung. Ansonsten ist Verschlüsselung generell verboten.
  • Der Staat erlaubt nur den Einsatz schwacher Verschlüsselungsverfahren, die keine ausreichende Sicherheit gegen Entschlüsselung bieten.
  • Der Staat läßt bestimmte, sichere Verschlüsselungsverfahren zu, verpflichtet aber gleichzeitig denjenigen, der ein Verschlüsselungsverfahren nutzen will, ein Duplikat seines verwendeten Schlüssels oder Duplikate von Teilschlüsseln bei einer zentralen Stelle oder mehreren Stellen zu hinterlegen. Die staatlichen Überwachungsbehörden erhalten dann, wenn eine Überwachungsmaßnahme angeordnet ist, Zugriff auf den hinterlegten Schlüssel bzw. die hinterlegten Schlüsselteile des zu Überwachenden und können so dessen Kommunikation entschlüsseln.
Klar ist, daß jede Einschränkung oder gar ein Verbot der Verschlüsselung einen Eingriff in das Grundrecht auf Datenschutz darstellt, denn dieses beinhaltet auch das Recht, frei und unbeobachtet kommunizieren zu können. Vor diesem Hintergrund ist ein generelles oder weitgehendes Verbot der Verschlüsselung von vornherein abzulehnen. Denn wie anders als durch Verschlüsselung können im Zeitalter weltweiter, für jedermann zugänglicher Datennetze personenbezogene und sonstige sensible Daten wirksam vor unberechtigter Kenntnisnahme geschützt werden? Da der Staat keinen ausreichenden Schutz garantieren kann, müssen die einzelnen Nutzer die Möglichkeit haben, sich selbst zu schützen.

Nicht akzeptabel wäre auch eine Reglementierung der Verschlüsselung, die den Anwendern lediglich den Einsatz schwacher Verschlüsselungsverfahren erlaubt. Denn jeder, der über das notwendige technische Wissen und entsprechende Computerprogramme verfügt, könnte die Informationen wieder entschlüsseln. Der Einsatz schwacher Verschlüsselungsverfahren böte also nur eine Scheinsicherheit.

Bleibt die dritte Variante, bei der Schlüsselduplikate zu hinterlegen sind. Bietet sie einen Ausweg aus dem Dilemma? Ist damit das Ei des Kolumbus gefunden? Ich meine nein. Denn es ist wohl kaum damit zu rechnen, daß sich kriminelle Profis an die vom Staat aufgestellten Spielregeln halten, die besagen, daß derjenige, der verschlüsselt, dies nur mit ganz bestimmten, vom Staat zugelassenen Verschlüsselungsverfahren tun darf und noch dazu seinen Schlüssel hinterlegen muß. Hinzu kommt: Selbst wenn derjenige, der eine Nachricht verschickt, dem staatlichen Appell folgen und seinen Schlüssel hinterlegen würde, hätten die Sicherheitsbehörden noch lange keine Gewißheit, daß das, was sie mit Hilfe des hinterlegten Schlüssels lesen können, auch tatsächlich die Information ist, die der Absender dem Empfänger zukommen lassen will. Denn gegen steganographische Verfahren ist kein Kraut gewachsen. Mit ihnen kann man nämlich in völlig harmlosen Informationen, beispielsweise in einem Bild, das man über die Datennetze schickt, andere Informationen so verbergen, daß derjenige, der nur das Bild sieht und nichts von der geheimen Botschaft weiß, gar nicht merkt, daß dahinter noch ganz anderes steckt. So geht es - um bei dem Beispiel zu bleiben - jedem Betrachter des Bildes, ganz gleich, ob es offen über die Datennetze läuft oder ob es verschlüsselt eingespeist worden ist und er es mit Hilfe des Schlüssels wieder sichtbar gemacht hat. Wollte der Staat dann auch noch von vornherein, sozusagen prophylaktisch, zumindest durch stichprobenartige Kontrollen diejenigen schwarzen Schafe herausfinden, die verbotene Verschlüsselungsverfahren verwenden, würde dies den Aufbau einer völlig neuartigen Kontrollstruktur notwendig machen. Diese wäre mit hohen Kosten verbunden und das mit der Reglementierung verfolgte Ziel ließe sich gleichwohl nicht erreichen. Treffen würde eine Reglementierung in erster Linie den braven, gesetzestreuen Bürger, der sein Schlüsselduplikat hinterlegt, nicht dagegen diejenigen, die mit der Reglementierung eigentlich avisiert werden sollen, nämlich kriminelle Profis. Dann gibt es aber auch keinen Grund, das Grundrecht auf Datenschutz einzuschränken, denn solche Eingriffe sind überhaupt nur zulässig, wenn sie zur Erreichung des angestrebten Zwecks geeignet sind. Aus diesem Grund plädiere ich dafür, von jeder Reglementierung der Verschlüsselung abzusehen. Für diese Legislaturperiode scheint die Angelegenheit erst einmal vom Tisch zu sein. Bleibt zu hoffen, daß dies auch in der Zukunft so bleibt.

 
3. Von öffentlichen Stellen, Bürgern und dem Internet

Bereits in den letzten beiden Tätigkeitsberichten haben wir uns ausführlich mit dem Thema Internet beschäftigt (vgl. dazu 16. Tätigkeitsbericht 1995, LT-Drs. 11/6900, S. 45 bis 53 und 17. Tätigkeitsbericht 1996, LT-Drs. 12/750, S. 10 bis 15). Angesichts des anhaltenden Booms rund um das Netz der Netze tauchen allerdings immer wieder neue Fragen und Probleme mit Datenschutzbezug auf.

 
3.1 Dienste für den Bürger

Ein Behördengang verläuft nicht immer glatt. Manch einer steht außerhalb der Öffnungszeiten vor verschlossenen Türen, wendet sich mit seinem Anliegen an das falsche Amt, das nicht weiterhelfen kann, oder hat notwendige Unterlagen und Dokumente nicht dabei, so daß ein nochmaliger Besuch notwendig ist. Ein Blick ins Internet könnte hilfreich sein, um solchen Unannehmlichkeiten vorzubeugen. Immer mehr Behörden informieren in ihren Angeboten darüber, welches Amt für welche Anliegen zuständig ist, wo es zu finden ist, wie die Sprechzeiten sind und welche Unterlagen etwa bei einer Ummeldung, der Zulassung eines Kraftfahrzeugs oder der Aufgebotsbestellung im Falle einer Heirat vorzulegen sind. Mitunter besteht für den Antragsteller gleich noch die Möglichkeit, ein leeres Antragsformular abzurufen, das er ausdrucken und in aller Ruhe zu Hause ausfüllen kann.

Beschränken sich die Angebote der Behörden für Bürger auf nicht-personenbezogene Informationen und Blanko-Formulare, so ist aus datenschutzrechtlicher Sicht nichts weiter dazu zu sagen. Anders liegen die Dinge, wenn mehr möglich ist, so wie beispielsweise bei den Angeboten der Stadt Mannheim. Wer innerhalb Mannheims umzieht oder sich ein bestimmtes Wunsch-Kfz-Kennzeichen reservieren lassen möchte, kann ein leeres Antragsformular am Bildschirm abrufen, es zu Hause am Bildschirm ausfüllen und per elektronischer Post an das zuständige Amt senden, das es sodann ausdruckt. Zum Unterschreiben muß der Antragsteller jedoch wie eh und je vor Ort erscheinen. Auch bei dieser Art von Kommunikation darf aber die Information der Bürger über ihre Rechte und die mit dem Datentransport im Internet verbundenen Risiken nicht zu kurz kommen.

  • Jeder Einwohner, der seinen Zuzug, Wegzug oder Umzug beim Einwohnermeldeamt meldet, muß dazu einen Vordruck verwenden, der amtlich vorgeschrieben ist. Das amtliche Vordruckmuster enthält nicht nur die Fragen, die man beantworten muß, nebst zugehörigen Erläuterungen, sondern auch Hinweise darauf, in welchen Fällen der Einwohner der Weitergabe seiner Daten durch das Einwohnermeldeamt widersprechen kann. Diese Datenschutzhinweise dürfen natürlich nicht untergehen, wenn der Bürger sich via Internet anmeldet; die Stadt muß vielmehr dafür sorgen, daß er sie zur Kenntnis nehmen kann, bevor er seine Daten an das Einwohnermeldeamt per elektronischer Post absendet.
  • Unverschlüsselt im Internet übertragene Daten sind nicht vor unberechtigter Kenntnisnahme geschützt; ohne eine digitale Signatur kann der Empfänger nicht erkennen, ob er die Daten unverfälscht erhalten hat. Daher sollte eine Behörde, die den Bürgern anbietet, ihr ihre Daten über das Internet zu übermitteln, zugleich eine Verschlüsselungstechnik einsetzen. Solange eine solche nicht zur Verfügung steht, muß sie die Bürger darüber informieren, daß die Daten unverschlüsselt übertragen werden und welche Risiken damit verbunden sind. Damit der Bürger es selbst in der Hand hat, von einem elektronischen Versand seiner Daten Abstand zu nehmen, muß ihn die Information natürlich erreichen, bevor er seine Daten eingibt und elektronisch versendet.
In beiden Punkten mußte die Stadt Mannheim auf meine Hinweise hin nachbessern.

 
3.2 Wir über uns

Will eine Behörde bürgernah und auf vielfältige Art erreichbar sein, muß sie sich angemessen präsentieren. Vielen genügt heutzutage der Eintrag im Telefon- oder Telefaxbuch nicht mehr. Im Trend liegt, wer sich auch in lokalen Netzen und im Internet darstellt.

  • Besonders Hochschulen halten es nicht nur für sinnvoll, sondern im Interesse des globalen Informationsaustauschs für unabdingbar, in lokale Netze und in das Internet nicht nur ihre Organisation, sondern auch ein komplettes Mitarbeiterverzeichnis einzustellen. So soll dann vom Professor bis zur Schreibkraft deren Name, Institutsanschrift, Raumnummer, Telefonnummer, Telefaxnummer und die E-Mail/ Internet-Anschrift für jedermann abrufbar sein. Doch hier ist Vorsicht am Platze. Nur soweit es für die Kontaktaufnahme mit den Mitarbeitern und für das Zurechtfinden in der Behörde nötig ist, darf sie solche Mitarbeiterdaten ohne weiteres öffentlich machen. In welchen Fällen diese Voraussetzungen vorliegen, hängt aber davon ab, wie groß die Behörde ist, welcher Hierarchieebene der Mitarbeiter angehört und wie breit die Informationen gestreut werden sollen. Am Beispiel der Hochschule möchte ich das erläutern:

    • Ohne ihr Einverständnis dürfen leitende oder in besonderem Maße eigenverantwortlich tätige Personen interessierten Dritten gegenüber benannt werden, damit eine unmittelbare Kontaktaufnahme mit ihnen möglich ist. In einer Hochschule gehören dazu Professoren und Hochschuldozenten sowie die Verwaltungsspitze, aber auch wissenschaftliche Assistenten, wissenschaftliche Mitarbeiter oder Referenten in der Verwaltung. Allerdings können einzelne dieses Personenkreises ein schutzwürdiges Interesse daran haben, nicht in einem elektronischen Verzeichnis zu erscheinen, auf das Personen von außerhalb der Hochschule Zugriff haben. Das muß die Hochschule respektieren. Sie muß deshalb denjenigen, den sie in das elektronische Verzeichnis aufnehmen will, zuvor darauf hinweisen, daß er solche Interessen geltend machen kann. Dann muß sie im Einzelfall auf die Aufnahme verzichten. Dagegen muß die Hochschule immer die ausdrückliche Einwilligung solcher Mitarbeiter einholen, die nicht unmittelbar nach außen wirkende Aufgaben wahrnehmen, wie z.B. Sekretärinnen und Servicepersonal.
  • Viele Städte und Gemeinden sowie Landkreise, die ins Internet drängen, stehen vor der Frage, inwieweit und in welcher Form sie Angaben über die Mitglieder ihres Gemeinderats oder Kreistags öffentlich machen dürfen. Dabei ist zu bedenken, daß diese Personen ohnehin mancherlei Publizität in Kauf zu nehmen haben: Sie müssen sich öffentlich zur Wahl stellen und die Veröffentlichung der Wahlvorschläge und der Wahlergebnisse mit Namen, Berufen und Anschriften hinnehmen. Die Sitzungen des Gemeinderats sind im Regelfall öffentlich und finden häufig ihren Widerhall in der Presse. Vor allem aber folgt schon aus dem Prinzip der repräsentativen Demokratie und der bürgerschaftlichen Selbstverwaltung in den Kommunen, in der den Ratsmitgliedern die Funktion eines Bindeglieds zwischen Bürgern und Verwaltung zugedacht ist, daß die Allgemeinheit über die gewählten Repräsentanten unterrichtet wird. Deshalb haben wir seit jeher für zulässig gehalten, daß eine Gemeinde oder ein Landkreis Namen, Vornamen, Beruf, Anschrift, Fraktionszugehörigkeit und Mitgliedschaft in Ausschüssen der einzelnen Gemeinderats- bzw. Kreistagsmitglieder auch ohne deren ausdrückliche Einwilligung an interessierte Personen oder Stellen auf Anfrage zur Verfügung stellt und diese Angaben auch schriftlich veröffentlicht. Die Weitergabe der privaten Telefonnummer, die man im Telefonbuch ja auch unterdrücken kann, oder weiterer Daten wie beispielsweise Geburtsdatum oder Familienstand wäre dagegen nur mit Einverständnis des einzelnen Ratsmitglieds zulässig.

    • Die Verbreitung dieser Daten über das Internet stellt aber eine völlig neue Qualität der Veröffentlichung dar. Sie erreicht weltweit einen ungleich größeren Personenkreis als jede auflagenbegrenzte schriftliche Veröffentlichung. Eine solche globale Verfügbarkeit steht in krassem Gegensatz zu der lokalen Begrenzung des Aufgaben- und Wirkungskreises der Kommunen und ihrer Mandatsträger. Weder ist es Aufgabe der Kommunen, den Internet-Nutzern auf der ganzen Welt frei Haus Informationen über die Mitglieder ihrer Gremien zu liefern, noch kann dem überwiegenden Großteil der Internetbenutzer außerhalb des lokalen Raumes und ohne Beziehung zur Kommune ein berechtigtes Interesse an solchen Informationen zuerkannt werden. Auf der anderen Seite bedeuten die mit der Einstellung im Internet verbundenen vielfältigen Auswertungs- und Verknüpfungsmöglichkeiten ein erhöhtes Risiko, daß schutzwürdige Interessen der Gemeinde- und Kreisräte berührt werden. Angesichts dessen sollte eine Gemeinde Informationen über Gemeinderats- bzw. Kreistagsmitglieder nur dann in das Internet einstellen, wenn das einzelne Mitglied gerade darin, also in die Einstellung in das Internet, eingewilligt hat; eine Einwilligung in eine Veröffentlichung ganz allgemein reicht nicht aus.
 

3.3 Die Hitparade der Abrufe

Wer eigene Angebote ins Internet einstellt, will in aller Regel wissen, wie groß die Nachfrage danach ist. Um dies herauszufinden, protokollierte eine Stadt zu jedem Abruf Datum und Uhrzeit, welches Angebot abgerufen wurde und die Netzadresse des abrufenden Computers, die sog. IP-Adresse. Aus diesen Protokolldaten erstellte die Stadt in gewissen Zeitabständen eine Statistik, die Aufschluß darüber gab, wie häufig die einzelnen Angebote nachgefragt wurden und woher die Abrufe kamen. War eine solche Statistik produziert, so löschte die Stadt die zugrundeliegenden Protokolldaten. Bei der Speicherung der Netzadressen der abrufenden Computer berücksichtigte die Stadt folgendes nicht:

Die Netzadresse eines am Internet angeschlossenen Computers besteht aus mehreren Zahlen und sagt auf den ersten Blick nicht viel aus. Weil Menschen mit aussagekräftigen Namen wesentlich besser umgehen können als mit Zahlen, läßt sich jedem Rechner des Internet auch ein Name zuweisen. Das Internet stellt eigens einen Dolmetscher-Dienst, den DNS-Dienst (Domain Name Service) bereit, mit dessen Hilfe sich ein Rechnername in die richtige Netzadresse oder auch eine Netzadresse in den zugehörigen Rechnernamen umsetzen läßt. Aus dem Namen geht hervor, in welchem Land der Rechner installiert ist. Der Rechnername gibt außerdem Aufschluß über denjenigen, der den Rechner betreibt. Dies könnte beispielsweise eine Universität oder ein bestimmtes Universitätsinstitut sein. Schon allein dies läßt einen Rückschluß auf den Kreis derjeniger zu, die mit diesem Rechner arbeiten. Vollends zu einem persönlichen Merkmal wird der Rechnername und damit auch die Netzadresse dann, wenn der Internet-Nutzer immer mit demselben Computer arbeitet, diesen Rechner allein nutzt und die Adresse dieses Computers im Internet verwendet wird. IP-Adressen können daher personenbezogen sein. Wer nun aber Angebote zum Abruf für die gesamte Internet-Gemeinde bereithält, mit anderen Worten also einen Mediendienst anbietet, muß die Datenschutzregelungen des Mediendienste-Staatsvertrags der Länder beachten. Dort heißt es klipp und klar, daß der Diensteanbieter personenbezogene Daten spätestens mit dem Beenden der Verbindung löschen muß, es sei denn, er benötigt die Daten noch für Zwecke der Abrechnung. Ich habe die Stadt daher aufgefordert, keine personenbezogenen Angaben über das Ende einer Verbindung hinaus zu speichern. Eine Antwort steht noch aus.

 
3.4 Internet und persönliche Datenspuren

Die Grundsätze der Datenvermeidung oder zumindest der Datensparsamkeit sind im Internet derzeit weitgehend Fiktion. Datenspuren können dabei nicht nur im Netz, sondern auch auf dem PC des Nutzers entstehen:

  • Der Abruf eines Angebots im World Wide Web (WWW) kann dazu führen, daß der angefragte WWW-Server Informationen, ein sog. Cookie, auf der Festplatte des abfragenden PC ablegt, beispielsweise in einer Datei namens "cookies.txt" (cookie, engl.: Keks, Plätzchen). In einem Cookie kann der Betreiber des WWW-Servers Informationen über das Nutzungsverhalten des Abrufers speichern lassen, so wie er eben will. So ist es beispielsweise ohne weiteres möglich, festzuhalten, wie lange und in welcher Reihenfolge sich der Abrufende die einzelnen Angebote angeschaut hat. Was die Cookies für Diensteanbieter so verlockend macht, ist: Wählt ein Internet-Nutzer ein Angebot, das er zu einem früheren Zeitpunkt schon einmal besuchte, erneut an, so werden die Cookies, die dieser Diensteanbieter anlegte, an ihn übermittelt. Der Diensteanbieter weiß damit auf einen Schlag, was der Nutzer bislang gemacht, für was er sich interessiert und was er gekauft hat. Tauschen mehrere Anbieter ihre Cookies untereinander aus, können noch detailliertere Nutzungsprofile die Folge sein. Im Zuge der zunehmenden Kommerzialisierung des Internet und dem Wunsch der Diensteanbieter, ihre Kunden gezielt bewerben zu können, nimmt die Verwendung des Cookie-Mechanismus sprunghaft zu. Inzwischen soll knapp die Hälfte der kommerziellen Internet-Anbieter Cookies anlegen.
  • Jede Angebotsseite, die ein Nutzer im WWW abruft, wird auch als Kopie auf der Festplatte seines PC abgespeichert, im sog. Cache-Bereich des Browsers. Der Vorteil ist der: Will der Nutzer auf eine Angebotsseite zugreifen, die bereits auf der Festplatte hinterlegt ist, muß er sie nicht erneut aus dem Internet anfordern, sondern läßt sie sich von der Festplatte laden. Dies spart Übertragungszeit und nicht zuletzt Übertragungskosten. Die Kehrseite dieser Medaille ist freilich, daß alle diejenigen, die diesen PC nutzen können, sich die auf der Festplatte gespeicherten Seiten anschauen und damit feststellen können, auf welche Angebote die anderen Surfer zugriffen.
Den durch diese Datenspuren hervorgerufenen Gefährdungen gilt es entgegenzuwirken. Folgendes kommt dazu in Betracht:
  • Neuere Versionen der Browser lassen sich so einstellen, daß vor dem Speichern eines Cookies eine Warnmeldung erfolgt. Der Nutzer kann die Speicherung dann erlauben oder ablehnen. Die neueste Version eines Browsers bietet sogar schon die Möglichkeit, das Ablegen von Cookies generell zu unterbinden. Ältere Browser-Versionen leisten das alles noch nicht. Um das Speichern von Cookies auf der Festplatte zu verhindern, muß der Nutzer einen Schreibschutz setzen, so daß nur noch lesender Zugriff möglich ist. Will der Nutzer vermeiden, daß der Diensteanbieter erfährt, was er die vorigen Male gemacht und für was er sich interessiert hat, muß er die Cookies regelmäßig löschen.
  • Wer verhindern will, daß andere die auf der Festplatte des PC gespeicherten, bereits abgerufenen Seiten lesen, muß den PC wirksam gegen solche Zugriffe schützen. Es gibt jedoch auch Fälle, in denen mehrere Personen berechtigt sind, mit einem PC zu arbeiten. Dem einzelnen Nutzer, der vermeiden will, daß die anderen Berechtigten herausfinden, was er gemacht hat, bleibt dann nichts anderes übrig, als die auf der Festplatte gespeicherten Seiten zu löschen, sobald er seine Arbeit im Internet beendet. Schließlich ist es auch möglich, den Browser so einzustellen, daß abgerufene Seiten nicht auf der Festplatte gespeichert werden. Längere Übertragungszeiten und höhere Übertragungskosten sind dann jedoch in Kauf zu nehmen.
 

3.5 Hinweise zum gesicherten Anschluß von Netzen

In jüngster Zeit war mein Amt im Zuge seiner Kontroll- und Beratungstätigkeit mit einer Reihe spezieller Fragen zu dieser Thematik konfrontiert:

  • Eine Stadt speicherte die Angebote, die sie zum Abruf im WWW bereithält, auf ihrem Firewall-Rechner. Diese Vorgehensweise widersprach dem Grundsatz, daß ein Firewall-Rechner nur für die Aufgaben eingesetzt werden sollte, die er unbedingt erbringen muß, also für eine wirksame Abschottung des internen Computernetzwerks vom Internet und eine Protokollierung wichtiger Ereignisse. Wenn der Firewall-Rechner mehr leisten muß, müssen zusätzliche Programme installiert und betrieben werden. Dies allein erschwert schon die Kontrolle, ob auf diesem für die Sicherheit so entscheidenden Rechner alles einwandfrei und wie vorgesehen abläuft. Hinzu kommt, daß - abgesehen von ganz einfachen Programmen - kein Computerprogramm völlig fehlerlos arbeitet. Zusätzliche Programme auf dem Firewall-Rechner erhöhen daher das Risiko, daß aufgrund von Programmfehlern etwas schiefläuft, was dazu führen könnte, daß mehr Daten zwischen internem Computernetz und Internet fließen können als vorgesehen. Ich habe der Stadt daher empfohlen, ihre Angebote auf einem separaten Rechner abzulegen. Dieser Rechner läßt sich auf geschickte Weise so zwischen Firewall-Rechner und Internet anordnen, daß Zugriffe von außen gar nicht mehr an die Firewall gelangen müssen. Eine Antwort auf meine Empfehlung steht noch aus.
  • In zwei Fällen schotteten Stellen ihr internes Computernetzwerk vom Internet durch eine Firewall ab. Die Abschottungsfunktionen bündelten die Stellen jeweils auf einem einzigen Rechner. In beiden Fällen empfahl ich, wenigstens noch eine weitere Schutzbarriere vorzusehen, beispielsweise die Filtermöglichkeiten von Routern zu nutzen. Solange der für die Abschottung eingerichtete Rechner korrekt eingerichtet ist und alles einwandfrei und wie vorgesehen abläuft, gibt es zwar keinen Grund, dies zu tun. Zu bedenken ist aber, daß Hardware und Software nie völlig fehlerfrei arbeiten. Eine zusätzliche Barriere kann daher die Sicherheit erhöhen. Schließlich wird ein Angreifer aus dem Internet, dem ein solcher Fehler bekannt wird und der ihn ausnutzen möchte, noch durch eine weitere Barriere davon abgehalten, in das interne Netz einzudringen. Die Schutzwirkung stellt sich insbesondere dann ein, wenn sich die Barrieren technisch voneinander unterscheiden, so daß es unwahrscheinlich ist, daß beide gleichartige Fehler aufweisen. In einem Fall will die Stelle entsprechend meiner Empfehlung verfahren; im anderen Fall steht eine Antwort noch aus.
 

4. Outsourcing

Not macht erfinderisch. Daran muß man unwillkürlich denken, wenn man die vielfältigen Bemühungen verfolgt, mit denen die Verwaltung versucht, Kosten einzusparen. Eine Möglichkeit, den Haushalt zu entlasten, wird darin gesehen, Computer, Netzwerke und EDV-Verfahren nicht selbst zu betreiben, sondern damit private Unternehmen zu beauftragen, auf neudeutsch: Outsourcing zu betreiben. Das soll auch in der Landesverwaltung praktiziert werden. Unter anderem wird dabei daran gedacht, daß die Landesbehörden ihre Bürokommunikationssysteme durch andere betreiben lassen. Dazu plant das Innenministerium einen Rahmenvertrag abzuschließen. Der mir zur Stellungnahme zugeleitete Vertragsentwurf gab mir Anlaß, darauf hinzuweisen, was dabei zur Wahrung des Datenschutzes beachtet werden muß:

  • Bei einem derartigen Outsourcing müssen die Regelungen der Datenschutzgesetze über die Datenverarbeitung im Auftrag beachtet werden. Deshalb muß sich eine Behörde, die sich zum Outsourcing entschließt, vor Vertragsschluß von den Bewerbern darlegen lassen, welche technischen und organisatorischen Maßnahmen sie zum Schutz der zu verarbeitenden personenbezogenen Daten ergreifen wollen.
  • Da sich bei einer Beauftragung eines privaten Unternehmens Interessenkonflikte ergeben können, wenn die zu verarbeitenden Daten auch für die Aufgaben des Unternehmens oder für die Mitarbeiter von Nutzen sind, sollten sensible Daten wie Patienten-, Sozial-, Steuer- und Personaldaten oder Daten von Sicherheitsbehörden jedenfalls dann durch Verschlüsselung geschützt werden, wenn die Mitarbeiter des Outsourcing-Unternehmens sie zur Erfüllung ihrer Aufgaben weder lesen noch gar bearbeiten müssen.
  • Will der Auftragnehmer Unteraufträge an Dritte vergeben, ist zwischen ihm und dem Auftraggeber einvernehmlich festzulegen, was dabei beachtet werden muß. In jedem Fall muß der Auftraggeber vorab über eine derartige Beteiligung Dritter informiert sein.
  • Sofern der Auftragnehmer die von ihm betreuten und beim Auftraggeber aufgestellten Computer per Ferndiagnose auf ihre Funktionsfähigkeit überprüfen und optional auch im Wege der Fernwartung betreuen können soll, ist festzulegen, ob und unter welchen Voraussetzungen er dabei auf personenbezogene Daten zugreifen darf, und sicherzustellen, daß keine unberechtigten Zugriffe stattfinden können.
  • Es sollte darauf geachtet werden, daß die auftraggebende Behörde auch noch nach dem Outsourcing über ausreichenden Sachverstand verfügt, daß sie in der Lage ist, die vom Auftragnehmer getroffenen technischen und organisatorischen Datenschutzmaßnahmen zu beurteilen und bei Bedarf zusätzliche Maßnahmen zu verlangen.
  • Falls der Auftragnehmer in bestehende Wartungs- oder Pflegeverträge eintreten soll, ist jeweils zu prüfen, ob diese auch für diesen Fall ausreichende Datenschutzregelungen enthalten.
  • Es sollte vereinbart werden, daß der Auftragnehmer die auftraggebende Behörde darüber informiert, wann ein Austausch der Festplatte eines Computers vorgesehen ist, damit sie die Möglichkeit hat, darauf gespeicherte personenbezogene Daten vorher zu löschen.
  • Die Mitarbeiter des Auftragnehmers sollten nicht nur auf das Datengeheimnis, sondern auch nach dem Verpflichtungsgesetz verpflichtet werden, damit sie im Falle eines Fehlverhaltens in der gleichen Weise wie Mitarbeiter der auftraggebenden Behörde dafür verantwortlich gemacht werden können. Zudem sollte ein Auftragnehmer möglichst nur fest angestellte Beschäftigte einsetzen können.
  • Damit das bisherige Datenschutzniveau möglichst nicht absinkt, ist vertraglich sicherzustellen, daß mein Amt auch vor Ort beim Auftragnehmer anlaßunabhängige Datenschutzkontrollen durchführen kann und dabei entsprechend § 25 LDSG vom Auftragnehmer unterstützt wird.
Erfreulicherweise hat das Innenministerium diesen Hinweisen und Empfehlungen in seinem überarbeiteten Vertragsentwurf weitgehend Rechnung getragen.
 

5. Das Client-Server-Verfahren LISSA

Vorbei sind die Zeiten, in denen die EDV des Landes von Großrechnern, "dummen" Terminals und unvernetzten Computern bestimmt wurde. Inzwischen sind lokale PC-Netze einzelner Behörden ebenso selbstverständlich wie deren landesweite Vernetzung über das Landesverwaltungsnetz (LVN). Damit sind auch die Voraussetzungen für den Einsatz von Client-Server-Verfahren geschaffen. In der Regel werden dabei die Daten auf PC erfaßt und mitunter räumlich weit entfernt auf einem leistungsstarken Server vorgehalten. Die Sachbearbeitung erfolgt dann wiederum auf PC. Die Kultusverwaltung setzt mit LISSA ein solches Verfahren ein, um die Staatlichen Schulämter bei ihrer Planung des Lehrereinsatzes an den Schulen zu unterstützen. Für uns Grund genug, bei allen derzeit am Betrieb des Verfahrens beteiligten Stellen nachzuprüfen, ob und welche Probleme und Mängel sich dabei zeigen. Besucht haben wir deshalb

  • ein Staatliches Schulamt, das mit Hilfe dieses Verfahrens Daten von ca. 3 000 Grund-, Haupt-, Real- und Sonderschullehrern speichert und bearbeitet,
  • das Oberschulamt Stuttgart, das den in sein lokales Netz integrierten LISSA-Datenbankrechner betreibt,
  • die Zentrale EDV-Stelle der Kultusverwaltung, die das Kultusdatennetz, ein Teilnetz des LVN, betreibt, über das unter anderem die LISSA-Lehrerdaten zwischen Staatlichem Schulamt und Oberschulamt hin- und herfließen, und
  • das Zentrum für Kommunikationstechnik und Datenverarbeitung, das das LVN mit seinen mehr als 60 Netzknoten im ganzen Land betreibt, welches Behörden aller Ressorts miteinander und mit anderen Netzen wie dem Internet verbindet.
Die einzelnen Prüfungen ergaben folgende Mängel, die die Sicherheit der in LISSA gespeicherten personenbezogenen Lehrerdaten beeinträchtigten:

 
5.1 Zentrum für Kommunikationstechnik und Datenverarbeitung (ZKD)

Der Betrieb des Landesverwaltungsnetzes war nicht frei von Mängeln:

  • Obwohl das Datenschutz- und Sicherheitskonzept für das LVN verlangt, daß das ZKD alle zum Kultusdatennetz wie auch die zu anderen Teilnetzen gehörenden LVN-Anschlüsse jeweils in einer sog. Geschlossenen Benutzergruppe zusammenfaßt und dadurch gegenüber anderen Teilnetzen abschottet, hatte es zum Zeitpunkt unserer Kontrolle noch keine solche Geschlossene Benutzergruppe eingerichtet.
  • Das vom ZKD zur Administration der Netzknoten eingesetzte Programm bot nur einen unzureichenden Paßwortschutz, denn es garantierte weder eine Paßwortmindestlänge noch deren automatischen Verfall. Mehrmalige Anmeldefehlversuche hatten weder eine Anmeldesperre noch eine Protokollierung dieser Versuche zur Folge.
Zudem hatten einige Mitarbeiter des ZKD Administrationsberechtigungen, die es ihnen erlaubten, alle Einstellungen der Knoten zu lesen und sogar zu ändern, obwohl das für ihre dienstlichen Aufgaben gar nicht erforderlich war. Auch wurden Änderungen der Systemkonfiguration nicht protokolliert.

 
5.2 Zentrale EDV-Stelle der Kultusverwaltung (ZEDV)

Datenschutzmängel traten auch bei der Überprüfung des Kultusdatennetzes zutage:

  • Die ZEDV hatte die von den Netzknotencomputern, den sog. Routern, angebotenen Möglichkeiten zur Beschränkung des Datenflusses nicht ausreichend genutzt: Zum Teil hätten Kommunikationspartner erreicht werden können, mit denen dienstlich kein Datenaustausch erforderlich war. Außerdem nutzte die ZEDV nicht die Möglichkeit, technisch sicherzustellen, daß nur bestimmte, durch Datenabsender, -empfänger und gewünschte Anwendung beschriebene Datenpakete im Netz transportiert werden können.
  • Zwei Paßwörter, die es gestatten, sicherheitsrelevante Router-Einstellungen zu lesen, waren im Klartext gespeichert. Sie waren damit nicht ausreichend gegen eine Kenntnisnahme durch Dritte geschützt.
  • Obwohl erst die Dokumentation erfolgloser Anmeldeversuche den Netzbetreiber auf mögliche Eindringversuche hinweisen kann, fehlte eine solche Protokollierung bei Zugriffen auf Router des Kultusdatennetzes, und zwar selbst bei versuchten Systemverwalter-Zugriffen.
Damit aber nicht genug:
  • Es gab keine Terminalbeschränkung bei der Systemverwalter-Anmeldung an den Routern.
  • Die schriftlichen Vereinbarungen mit dem Unternehmen, das den LISSA-Datenbankcomputer und andere Server im Wege der Fernwartung betreute, waren unzureichend. Zudem fehlten Regelungen darüber, wie intern mit der Fernwartung umzugehen ist.
  • Es existierte kein schriftliches Datenschutz- und Datensicherheitskonzept für den Betrieb des Kultusdatennetzes.
 

5.3 Oberschulamt

Auch beim Oberschulamt Stuttgart, das den Datenbankcomputer betreibt, zeigten sich Mängel:

  • Fünf für den Rechnerbetrieb verantwortliche EDV-Mitarbeiter konnten über eine Telefonverbindung und mit Hilfe eines Modems von zu Hause eine Online-Verbindung zum Netz des Oberschulamts und über dieses auch zum Kultusdatennetz aufbauen. Dabei war nicht ausreichend sichergestellt, daß nicht auch Dritte diese Möglichkeit ausnutzen und auf im Computer des Kultusdatennetzes gespeicherte Daten zugreifen konnten.
  • An ca. 140 vernetzten PC des Oberschulamts, die mit dem LISSA-Server und den Systemverwalter-Arbeitsplätzen in einem Netz zusammengefaßt waren, konnte jeder Nutzer alle Betriebssystemfunktionen nutzen. Er hätte daher auch ein sog. Sniffer-Programm installieren und mit dessen Hilfe von LISSA-Daten, Systemverwalter-Aktivitäten oder anderen im Netz transportierten Informationen erfahren können, die nicht für ihn bestimmt waren.
  • Tagessicherungsbänder, auf denen die am jeweiligen Tag vorgenommenen Dateneingaben gespeichert waren, bewahrte die ZEDV, obwohl dienstlich nicht notwendig, drei Monate auf.
Darüber hinaus war zu monieren:
  • Das Systemverwalter-Paßwort für den LISSA-Datenbankcomputer war sieben und damit zu vielen Personen bekannt.
  • Es gab keine Terminalbeschränkung für die Systemverwalter des LISSA-Datenbankcomputers und anderer Server.
 

5.4 Staatliches Schulamt

Die Datensicherheit war beim PC-Netz des Staatlichen Schulamts unter anderem deshalb nicht ausreichend gewährleistet, weil

  • Arbeitsplatz-PC unzureichend gesichert waren und einen unbeschränkten Zugriff auf Betriebssysteme und Diskettenlaufwerke gestatteten und außerdem
  • keine wirksame Bildschirmsperre eingerichtet war, die den Bildschirm nach längerer Zeit ohne Eingaben abdunkelte und sperrte.
In ihren Stellungnahmen zu den Mängeln im Bereich des Staatlichen Schulamts, der ZEDV und des ZKD sagten das Kultusministerium und das Innenministerium in den meisten Fällen zu, die Mängel zu beheben. Teilweise ist dies bereits geschehen. Was die beim Oberschulamt festgestellten Mängel angeht, so steht die Antwort des Kultusministeriums noch aus.

Neben zahlreichen einzelnen Mängeln machte die Überprüfung des Verfahrens LISSA auch deutlich, daß das neuartige, für Client-Server-Verfahren charakteristische Zusammenspiel verschiedener Computer und Netze auch eine Herausforderung für die Gewährleistung des Datenschutzes darstellt, denn hierzu sind Maßnahmen auf verschiedenen Ebenen erforderlich. Ist es in vielen Fällen - wie es die bisherigen Kontrollerfahrungen mehr als deutlich erkennen lassen - schon schwierig genug, abgestimmte Sicherheitsmaßnahmen für eine einzelne Stelle zu realisieren, so erfordert ein solches, von mehreren Stellen arbeitsteilig betriebenes Client-Server-Verfahren einen noch höheren Aufwand, denn die Maßnahmen sind hierbei von unterschiedlichen Stellen zu ergreifen, müssen aber trotzdem in ihrer Wirkung aufeinander abgestimmt sein.
 

6. Sonstige Probleme

Wer personenbezogene Daten mit Hilfe von Computern verarbeitet, muß technische und organisatorische Maßnahmen treffen, um eine datenschutzgerechte Verarbeitung sicherzustellen. Die Erfahrungen aus der Kontroll- und Beratungstätigkeit meines Amts zeigen leider, daß es die Behörden und sonstigen öffentlichen Stellen des Landes häufig am Notwendigen fehlen lassen. Auch in diesem Jahr mußten wir wieder etliche Mängel feststellen; manche davon entwickeln sich geradezu zu Dauerbrennern.

 
6.1 Unzureichende Sicherung der Arbeitsplatz-PC

Die datenverarbeitenden Stellen legen oft zu wenig Augenmerk auf die Sicherung ihrer Arbeitsplatz-PC:

  • Eine Stadtverwaltung speicherte auf einem Arbeitsplatz-PC in der Stadtbibliothek personenbezogene Daten, die im Rahmen des Ausleihbetriebs anfallen. Da die Stadtverwaltung für diesen PC keinen Paßwortschutz einrichtete, konnte jeder, der Zugang zu diesem PC hatte oder ihn sich verschaffte - also auch jemand, der dazu gar nicht berechtigt war -, mit diesem Rechner arbeiten. Dazu mußte er ihn lediglich einschalten. Ein leichtes war es, sodann auf alle dort gespeicherten personenbezogenen Daten zuzugreifen. Das gleiche Problem stellte sich auch in einem städtischen Krankenhaus, das für keinen seiner vernetzten Arbeitsplatz-PC einen Paßwortschutz eingerichtet hatte. Dies ist ein Mangel, da stets sicherzustellen ist, daß nur Berechtigte auf personenbezogene Daten zugreifen können.
  • Eine andere Stadtverwaltung sah ebenfalls für keinen ihrer vernetzten Arbeitsplatz-PC einen Paßwortschutz vor. Zudem war jeder dieser Rechner mit einem funktionsfähigen Diskettenlaufwerk ausgestattet, unabhängig davon, ob das Laufwerk an dem jeweiligen Arbeitsplatz benötigt wurde oder nicht. Somit konnte jeder, der einen solchen PC einschaltete, auch gleich eigene Programme installieren. Verfügbare Diskettenlaufwerke bergen zudem das Risiko, daß unberechtigt Daten kopiert oder Viren eingeschleppt werden. Ich habe deshalb die Stadt aufgefordert, einen Paßwortschutz für die Arbeitsplatz-PC einzurichten und nicht benötigte Diskettenlaufwerke für die Nutzung zu sperren.
 

6.2 Paßwortmängel

Ausführungen zu einem wirksamen Paßwortschutz sind inzwischen Legion und müßten eigentlich allen für Sicherheitsfragen Verantwortlichen bekannt sein. Mein Amt hat sich dazu bereits wiederholt in seinen Tätigkeitsberichten ausführlich geäußert und dargelegt, wie Paßwörter zu gestalten und zu verwenden sind (vgl. dazu den 10. Tätigkeitsbericht 1989, LT-Drs. 10/2730, S. 140 bis 142 und 14. Tätigkeitsbericht 1993, LT-Drs. 11/2900, S. 112 bis 115). Um so unverständlicher ist es, daß wir auch im vergangenen Jahr wieder Paßwortmängel feststellen mußten, die zum Teil so gravierend waren, daß ich sie beanstandete:

  • In einem Standesamt verwendeten die dort Beschäftigten bei der Anmeldung am Computernetzwerk jeweils ihren Vornamen und bei der Anmeldung an der Fachanwendung jeweils ihren Nachnamen als Paßwort. Solch triviale Paßwörter bieten aber keinen wirksamen Schutz, da sie leicht zu erraten sind.
  • Häufig akzeptieren die eingesetzten EDV-Systeme und EDV-Verfahren Paßwörter, die nur aus einem einzigen Zeichen bestehen können. Je kürzer ein Paßwort ist, desto leichter läßt es sich aber durch Ausprobieren herausfinden.
  • In mehreren Fällen war das Paßwort nicht nur dem jeweiligen Benutzer bekannt, sondern auch noch dem Administrator.
  • Wiederholt stellten wir fest, daß der Benutzer sein Paßwort nicht selbst ändern konnte.
  • In einer Stadtbibliothek kamen Gruppenkennungen zum Einsatz. Arbeiten mehrere Personen mit einem EDV-Verfahren, so ist jedoch notwendig, daß jeder Benutzer eine eigene Kennung und ein eigenes Paßwort verwendet. Nur so lassen sich die einzelnen Nutzungsberechtigten im EDV-System unterscheiden.
 

6.3 Fehlende Terminalbeschränkungen

Ein gut eingerichteter Paßwortschutz bietet zweifellos einen Schutz vor unberechtigten Zugriffen auf personenbezogene Daten. Dennoch sollte man sich nicht allein auf ihn verlassen, denn es läßt sich nie ganz ausschließen, daß ein Paßwort doch einmal einem Unberechtigten bekannt wird. Mehr Sicherheit kann erreicht werden, wenn sich ein EDV-Verfahren nicht von jedem beliebigen PC aus starten läßt, sondern nur von den Arbeitsplätzen aus, an denen mit dem Verfahren gearbeitet wird. Eine solche Terminalbeschränkung ist auch für die Anmeldung unter einer Benutzerkennung vorzusehen, die mit Administrationsrechten verknüpft ist. Mit besonders weitreichenden Zugriffsrechten gehen nämlich auch erhöhte Mißbrauchsgefahren einher. Diesen gilt es entgegenzuwirken. Leider trugen dem eine ganze Reihe von kontrollierten Stellen nicht Rechnung.

 
6.4 Zu viele Administratoren

Je umfangreicher die Zugriffsrechte sind, die einer Person eingeräumt werden, desto höher sind auch die damit verbundenen Mißbrauchsgefahren. Deswegen ist der Kreis derjenigen, denen die besonders weitreichenden Zugriffsrechte eines Administrators eingeräumt werden und die folglich weitgehend unkontrolliert und unkontrollierbar auf gespeicherte personenbezogene Daten zugreifen können, so klein wie möglich zu halten. Dies wird nicht immer beherzigt. In einer Stadtbibliothek konnten 23 Personen mit dem dortigen EDV-Verfahren arbeiten. Zehn davon und damit viel zu viele waren Systemverwalter. Inzwischen hat die Stadt die Zahl der Systemverwalter deutlich herabgesetzt. In einem anderen Fall stattete ein städtisches Krankenhaus vier seiner Mitarbeiter mit Administratorrechten aus. Auch hier halte ich eine Reduzierung für geboten.

 
6.5 Mängel bei der Benutzerverwaltung

Jeder Mitarbeiter darf nur die Zugriffsrechte auf die personenbezogenen Daten erhalten, die er für die Erfüllung seiner dienstlichen Aufgaben benötigt. Dies ist ein Grundanliegen des Datenschutzes, für dessen technische Umsetzung der Benutzerverwalter zuständig ist. Er richtet neue Benutzerkennungen ein, aktualisiert Zugriffsberechtigungen bereits eingerichteter Benutzer und löscht eine Kennung dann, wenn der betreffende Mitarbeiter ausscheidet. Damit der Benutzerverwalter seinen Aufgaben auch gerecht werden kann, braucht er die richtige Unterstützung. Damit haperte es an zwei Stellen:

  • Ein städtisches Krankenhaus traf keinerlei Vorkehrungen, um sicherzustellen, daß der Benutzerverwalter vom Ausscheiden eines Mitarbeiters erfährt. Somit bestand die Gefahr, daß das Krankenhaus Zugriffsberechtigungen bereits ausgeschiedener Mitarbeiter im Computersystem nicht löschte.
  • Das Patientenverwaltungssystem eines anderen Krankenhauses bot keine Möglichkeit, eine Übersichtsliste mit allen eingerichteten Benutzern und den ihnen eingeräumten Zugriffsrechten zu erstellen. Bei der Vielzahl von etwa 200 Benutzern, die der Benutzerverwalter betreuen mußte, ist aber unverzichtbar, daß er sich rasch und mühelos einen Überblick verschaffen kann, welche Personen mit welchen Zugriffsrechten auf gespeicherte Patientendaten zugreifen können.
 

6.6 Gefahren durch einen Download

Häufig sind EDV-Verfahren, die für den Betrieb in einem Netzwerk konzipiert sind, so angelegt, daß die personenbezogenen Daten auf einem zentralen Rechner, dem sog. Server, gespeichert werden. Mitunter besteht dabei die Möglichkeit, sämtliche oder nur einen Teil der gespeicherten personenbezogenen Daten auf die Festplatte eines Arbeitsplatz-PC zu kopieren, also einen sog. Download durchzuführen. Dadurch entstehen aber zusätzliche datenschutzrechtliche Risiken. So muß beispielsweise dann, wenn Daten zu löschen sind, darauf geachtet werden, daß die Löschung nicht nur auf dem Server, sondern auch auf der Festplatte erfolgt. Daher darf die Download-Möglichkeit nur denjenigen Mitarbeitern offenstehen, die diese Funktion für die Erfüllung ihrer dienstlichen Aufgaben benötigen. In einem städtischen Krankenhaus war dies nicht der Fall. Dort konnte jeder Mitarbeiter, der mit dem Patientenverwaltungssystem arbeiten durfte, einen Download veranlassen.

 
6.7 Schutz vor Eindringversuchen

Mehrmalige fehlerhafte Anmeldeversuche mit derselben Benutzerkennung können ein Indiz dafür sein, daß jemand Benutzerkennungen und Paßwörter ausprobiert, um sich Zugang zu gespeicherten personenbezogenen Daten zu verschaffen, auf die er gar nicht zugreifen darf. Deswegen gilt es, solchen Fällen nachzugehen. Bei einer Kontrolle stellten wir fest, daß die Benutzerkennung nach mehr als 7 Fehlversuchen und nur für die Dauer von 15 Minuten gesperrt wird. In einer solch kurzen Zeit ist es aber kaum möglich nachzuprüfen, ob ein Mitarbeiter lediglich Schwierigkeiten mit der Anmeldung hatte oder ob etwa ein Unberechtigter versuchte, sich unter einer falschen Identität anzumelden. Zudem war die Anzahl von 7 möglichen Fehlversuchen ohne Folgen recht großzügig bemessen. Ich habe deshalb verlangt, daß die Benutzerkennung zeitlich unbefristet gesperrt und die Anzahl möglicher Fehlversuche ohne Folgen auf 3 reduziert wird.

 
6.8 Fernwartung

Heutzutage ist es üblich geworden, bei auftretenden Fehlern oder Störungen im EDV-Betrieb fremde Hilfe, etwa durch die Herstellerfirma, in Anspruch zu nehmen. Vielfach vorbei sind dabei die Zeiten, in denen die Spezialisten vor Ort tätig wurden. Aus Kostengründen setzen viele auf die Fernwartung, bei der die datenverarbeitende Stelle einer externen Stelle via Datenleitung Zugriff auf ihr EDV-System und darauf gespeicherte Daten erlaubt. Zusätzliche Risiken für den Datenschutz sind die Folge. Um diese Risiken soweit wie möglich zu begrenzen, ist eine Fernwartung nur zulässig, wenn die datenverarbeitende Stelle das Fernwartungsunternehmen schriftlich beauftragt und in dem Vertrag klipp und klar regelt, was bei der Fernwartung alles zu beachten ist, damit der Datenschutz gewahrt bleibt. Zwischen dieser Anforderung und der Wirklichkeit klaffen häufig jedoch Welten. Vielfach schließen die datenverarbeitenden Stellen mit dem Fernwartungsunternehmen zwar einen Vertrag ab, der jedoch lediglich einen ganz allgemeinen und lapidaren Hinweis auf die Einhaltung der Datenschutzbestimmungen enthält. Dies reicht aber nicht aus. Vielmehr ist im abzuschließenden Fernwartungsvertrag konkret zu regeln, was die datenverarbeitende Stelle und das Fernwartungsunternehmen im einzelnen zu beachten haben. Insbesondere ist folgendes festzulegen:

  • Die datenverarbeitende Stelle muß präzise beschreiben, welche Arbeiten für welche EDV-Systeme das Fernwartungsunternehmen durchzuführen hat.
  • Die Fernwartungsarbeiten sind möglichst so zu gestalten, daß das Fernwartungsunternehmen keine Möglichkeit hat, auf gespeicherte personenbezogene Daten zuzugreifen. Sollte in Ausnahmefällen doch einmal ein solcher Zugriff notwendig sein, so unterliegen diese Daten einer Zweckbindung, d.h. das Fernwartungsunternehmen darf diese Daten ausschließlich für Wartungszwecke nutzen. Eine Weitergabe der durch den Zugriff auf die Daten erworbenen Kenntnisse an Dritte ist dem Fernwartungsunternehmen zu untersagen.
  • Festzulegen ist, ob und, wenn ja, unter welchen Voraussetzungen Unterauftragsverhältnisse zulässig sind.
  • In dem Vertrag sind schließlich auch die erforderlichen technischen und organisatorischen Maßnahmen festzulegen.
  • Das Fernwartungspersonal ist auf das Datengeheimnis nach § 5 des Bundesdatenschutzgesetzes zu verpflichten.
 

6.9 Vernichtung von Unterlagen

Mühe bereitet mitunter auch die datenschutzgerechte Vernichtung von Unterlagen:

  • Zwei Krankenhäuser ließen ihre Unterlagen zwar durch Spezialfirmen vernichten. Es existierten jedoch keinerlei schriftliche Vorgaben dafür, wie die Vernichtung zu erfolgen hat.
  • Ein Sozialversicherungsträger vernichtete seine Unterlagen mit einem eigenen Aktenvernichter. Diese Maschine produzierte jedoch Papierteilchen, die bei weitem nicht den Anforderungen entsprachen, die die für die Vernichtung von Datenträgern einschlägige DIN-Norm 32757-1 für die Vernichtung von Unterlagen mit personenbezogenen Daten verlangt. Anstelle der für solche Fälle mindestens einzuhaltenden Sicherheitsstufe 3 entsprach die Vernichtung nur der Sicherheitsstufe 1.
 

6.10 Schriftliche Regelungen zum Datenschutz und zur Datensicherheit: Das Verfahrensverzeichnis

Wer personenbezogene Daten per EDV verarbeitet, ohne zugleich schriftlich zu dokumentieren, was er eigentlich tut, verliert nur allzu schnell den Überblick darüber, welche Daten er mit welchen EDV-Verfahren verarbeitet, wer auf die Daten zugreifen darf, wann er welche Daten wieder löschen muß und welche technischen und organisatorischen Maßnahmen er getroffen hat, um den mit der Datenverarbeitung einhergehenden Datenschutzrisiken entgegenzuwirken. Aus gutem Grund verlangt deshalb das Landesdatenschutzgesetz, diese und noch einige weitere Angaben in einem Verfahrensverzeichnis schriftlich festzuhalten. Nicht zuletzt erleichtert ein gut geführtes Verfahrensverzeichnis auch datenschutzrechtliche Überprüfungen, etwa durch einen internen Datenschutzbeauftragten vor Ort oder durch mein Amt. Die datenverarbeitenden Stellen tun sich bedauerlicherweise mit diesem Verzeichnis sehr schwer. Kaum eine Stelle konnte uns ein Verfahrensverzeichnis vorlegen, das diesen Namen auch verdient. Manche Stellen führen überhaupt kein solches Verzeichnis. Andere führen zwar ein Verzeichnis, das jedoch unvollständig ist. Wieder andere machen in ihrem Verfahrensverzeichnis nur wenig aussagekräftige Angaben. So war in einem Verfahrensverzeichnis für ein Bibliotheksverfahren zu lesen, damit würden Daten "natürlicher Personen" verarbeitet. Gemeint waren natürlich die Personen, die am Ausleihverkehr der Bibliothek teilnehmen. Wegen der Bedeutung, die ein gut geführtes Verfahrensverzeichnis hat, habe ich Mängel in der Regel beanstandet und beabsichtige, dies auch in Zukunft zu tun.
 

Kontakt
Impressum