19. Tätigkeitsbericht 1998 -Inhaltsverzeichnis

6. Teil: Technik

1. Probleme beim Anschluß an das Internet
1.1 Netzanschluß ohne Firewall
1.2 Anschluß einzelner Computer an das Internet
1.2.1 Anschluß eines nicht vernetzten PC (Stand-alone-PC) an das Internet
1.2.2 Anschluß von PC, die außer mit dem Internet auch mit einem internen Netz verbunden sein können
1.3 Das Rechenzentrum als Internet-Provider
1.3.1 Darf's auch ein bißchen mehr sein?
1.3.2 Mängel der Firewall
1.4 Internet-Merkblatt

2. Datenschutzkonzept als A und O
2.1 Fehlende Konzeptionen und die Folgen am Beispiel zweier Berufsakademien
2.1.1 Zugriffsschutz an den PC unzulänglich
2.1.2 Diskettenlaufwerke frei zugänglich
2.1.3 Zugriffsmöglichkeiten auf nicht benötigte Daten eingerichtet
2.1.4 Defizite beim Internet-Anschluß
2.1.5 Fehlendes Löschkonzept
2.2 Der PC der Gemeinde

3. Woran es sonst noch mangelte
3.1 Paßwortprobleme
3.2 Keine wirksame Sperre bei Fehlversuchen
3.3 Unzureichende automatische Bildschirmsperre
3.4 Fehlende Protokollierung bei Fehlversuchen
3.5 Fehlende Terminalbeschränkung
3.6 Freie Diskettenlaufwerke
3.7 Zu umfangreiche Eingabemasken
3.8 Sicherheitsrelevante Router-Einstellungen nicht bekannt
3.9 Mängel bei der Benutzerverwaltung
3.10 Fehlende Löschkonzeption
3.11 Löschprobleme beim Einsatz von Textverarbeitungsprogrammen
3.12 Probleme bei der Vernichtung von Unterlagen
3.13 Unzureichende Beauftragung bei Fernwartung
3.14 Fehlendes oder unzureichendes Geräte- und Verfahrensverzeichnis

4. Datenschutz bei ISDN-Telefonanlagen
4.1 Direktansprechen
4.2 Inakzeptabler Einzelgebührennachweis
4.3 Fernwartung
4.4 Anrufumleitung
4.5 Wie man ein Gespräch an sich reißen kann
4.6 Nur mit PIN oder deaktivieren
4.6.1 Die Anrufliste
4.6.2 Gesprächskostenanzeige
4.6.3 Rufzuschaltung
4.6.4 Amtsumleitung
4.6.5 Systembetreuung

Dem allgemeinen Trend folgend, richten auch immer mehr Dienststellen der öffentlichen Verwaltung Internet-Anschlüsse 1.2.1 Anschluß eines nicht vernetzten PC (Stand-alone-PC) an das Internet ein. Gleich bei mehreren Kontrollen hatten wir daher Gelegenheit, derartige Anschlüsse zu prüfen. Dabei stellten wir zum Teil schwerwiegende Mängel fest.
 
 

1.1 Netzanschluß ohne Firewall

Der Anschluß eines lokalen Computernetzes an das Internet ist, das sollte mittlerweile allgemein bekannt sein, mit vielfältigen Datenschutzrisiken verbunden. Werden dabei keine Schutzmaßnahmen ergriffen, so muß man damit rechnen, daß es Internet-Teilnehmern beispielsweise gelingt, unberechtigt Programme und Dienste zu nutzen, die die vernetzten Computer nur für die interne Nutzung bereitstellen. Auch könnten Neugierige versuchen, sich als Systemverwalter an einem Server anzumelden oder auf Daten in Verzeichnissen zuzugreifen, die für den Zugriff über das lokale Netz freigegeben sind. Darüber hinaus besteht das Risiko, daß sich Internet-Nutzer Daten verschaffen können, die auf dem PC gespeichert sind, von dem aus gerade das Internet genutzt wird. Erst kürzlich berichtete die Fachpresse wieder über mehrere derartige Angriffsformen, von denen alle PC bedroht sind, die ohne weitere Schutzmaßnahmen mit dem Internet verbunden sind. Wenn ein lokales Netz mit dem Internet verknüpft werden soll, müssen daher spezielle Sicherheitsmaßnahmen ergriffen werden. In aller Regel geschieht dies durch den Betrieb einer sog. Firewall. Die Berufsakademie Stuttgart hatte jedoch ihr ca. 60 PC umfassendes Verwaltungsnetz, in dem sie u. a. personenbezogene Daten von Studierenden und Lehrkräften verarbeitet, mit dem Internet verbunden, ohne derartige Sicherheitsmaßnahmen zu ergreifen. Diesen schwerwiegenden Mangel mußte ich beanstanden. Das Wissenschaftsministerium hat daraufhin zugesichert, daß ein Sicherheitskonzept erstellt und auf dessen Basis eine Firewall eingerichtet wird.
 
 

1.2 Anschluß einzelner Computer an das Internet

Nicht immer wird der Internet-Anschluß für alle Benutzer in einem Netzwerk benötigt. Es ist durchaus möglich, daß nur an einem oder wenigen Arbeitsplätzen der Bedarf besteht, Internet-Dienste zu nutzen. Der Internet-Anschluß wird in diesen Fällen häufig unmittelbar, d. h. ohne eine Firewall, via Modem- oder ISDN-Verbindung realisiert. In der Praxis sind zwei Arten dieses unmittelbaren Internet-Anschlusses anzutreffen: Zum einen gibt es Fälle, in denen Stand-alone-PC ans Internet angeschlossen werden. Zum anderen gibt es PC, die außer mit dem Internet gleichzeitig oder wahlweise auch mit dem internen Netz verbunden sein können.

1.2.1 Anschluß eines nicht vernetzten PC (Stand-alone-PC) an das Internet

Schließt man einen unvernetzten PC via Modem- oder ISDN-Verbindung an das Internet an, besteht das Risiko, daß Internet-Teilnehmer auf schutzbedürftige Daten zugreifen können, die lokal auf dem PC gespeichert sind. Um diesem Risiko zu begegnen, sollten auf derartigen PC möglichst keine personenbezogene oder andere schutzbedürftige Daten gespeichert und verarbeitet werden. In jedem Fall sollte darauf geachtet werden, daß keine Dateiverzeichnisse oder gar der Inhalt ganzer Laufwerke für einen Zugriff über Netz freigegeben sind. Läßt es sich nicht vermeiden, auf dem PC auch Daten zu speichern, die nicht für die Allgemeinheit bestimmt sind, können diese durch verschlüsselte Speicherung vor unberechtigter Kenntnisnahme geschützt werden. Darüber hinaus sind Maßnahmen zum Schutz vor Schadensprogrammen zu ergreifen. Hierzu empfiehlt es sich, ein Virensuchprogramm einzusetzen und die Möglichkeit zur Ausführung von ActiveX-Controls und von JavaScript zu unterbinden.

1.2.2 Anschluß von PC, die außer mit dem Internet auch mit einem internen Netz verbunden sein können

Gleich bei zwei Kontrollbesuchen trafen wir auf Internet-Anschlüsse, die zwar von einzelnen PC aus realisiert waren, bei denen aber auch die Möglichkeit bestand, die PC im lokalen Netz zu betreiben.

In einem Fall handelte es sich um das lokale Netz der Polizeidirektion Ulm, das auf zwei Standorte verteilt war und in dem über 150 Benutzer arbeiten konnten. Von einem der vernetzten Computer aus konnte auch eine direkte Verbindung ins Internet hergestellt werden. Die Mitarbeiter, die diesen PC nutzten, gaben beim Kontrollbesuch dazu an, sie zögen jeweils den zum lokalen Netz führenden Verbindungsstecker aus dem PC, wenn die Internet-Verbindung genutzt werden sollte. Bei der Vorführung der Internet-Nutzung anläßlich unserer Kontrolle blieb der Stecker jedoch, wo er zuvor war. Dies belegt beispielhaft, daß bei Systemen, die zugleich an das Internet und an ein lokales Netz angeschlossen werden können, damit gerechnet werden muß, daß vor einem Verbindungsaufbau ins Internet die Verbindung zum lokalen Netz nicht gelöst wird. Das interne Netz wäre dann aber möglichen Angriffen aus dem Internet schutzlos ausgesetzt.

Aber auch wenn für die Dauer der Internet-Nutzung die Verbindung des PC zum lokalen Netz strikt gekappt wird, bleiben Risiken für das interne Netz bestehen. Denn es ist denkbar, daß während der Internet-Nutzung ein Schadensprogramm auf dem PC gespeichert wird, das später, wenn der PC wieder in das interne Netz eingebunden ist, Datenbestände anderer PC manipuliert.

Daß bei PC, die abwechselnd mit dem Internet und dem internen Netz gekoppelt sind, ein erhöhtes Risiko dafür besteht, daß Internet-Nutzer auf dort gespeicherte personenbezogene Daten zugreifen können, zeigen auch die Erfahrungen aus der Kontrolle bei der Berufsakademie Heidenheim: Auf der Festplatte des PC, von dem aus die Internet-Verbindung hergestellt werden konnte, waren Studentendaten gespeichert, die auch für Zugriffe durch andere PC im Netz freigegeben waren. Problematisch ist daran, daß sich die Freigabe sowohl auf Zugriffe über das interne Netz als auch auf Zugriffe über das Internet erstreckt. Mit anderen Worten: Wenn auf einem PC, der gelegentlich am internen Netz betrieben wird, Daten zum Zugriff über Netz freigegeben werden, damit interne Zugriffe möglich sind, können auch Internet-Nutzer auf diese Daten zugreifen, sobald der PC mit dem Internet gekoppelt ist.

Alles in allem zeigt sich, daß bei dieser Anschlußart nicht nur ein höheres Risiko dafür besteht, daß Internet-Teilnehmer unberechtigt auf Daten zugreifen, die auf dem PC lokal gespeichert sind, sondern daß auch die übrigen, am lokalen Netz angeschlossenen Computer durch diese Internet-Koppelung gefährdet sind. Daher ist generell von einer Installation abzuraten, bei der ein PC sowohl an das Internet als auch an das lokale Netz angeschlossen werden kann.

Das über die Kontrolle bei der Polizeidirektion Ulm unterrichtete Innenministerium teilt unsere Bedenken und untersagte inzwischen den Polizeidienststellen des Landes, intern vernetzte PC auch für den Internet-Zugang zu nutzen. Was bei der Berufsakademie Heidenheim geschehen soll, ist noch ungeklärt.
 
 

1.3 Das Rechenzentrum als Internet-Provider

Städte, Gemeinden und Landkreise sind schon seit vielen Jahren an die Netze ihrer jeweiligen Regionalen Rechenzentren angeschlossen. Ihrem Wunsch folgend, über dieses vorhandene Netz auch einen Zugang zum Internet zu erhalten, haben inzwischen einige Regionale Rechenzentren die Rolle eines Internet-Providers übernommen. Um zu sehen, wie es dabei um den Datenschutz bestellt ist, führten wir eine Kontrolle im Regionalen Rechenzentrum KDSO in Freiburg durch, das seinen Kunden über sein regionales Netz einen Internet-Zugang anbietet. Dabei ergab sich unter anderem:

1.3.1 Darf's auch ein bißchen mehr sein?

Meldete eine Kommune ihr Interesse an der Internet-Nutzung an, so eröffnete ihr das Rechenzentrum generell die Möglichkeit zur Nutzung gleich mehrerer Internet-Dienste, nämlich WWW, News, FTP und E-Mail. Im Regelfall schaltete das Rechenzentrum dabei die Nutzung gleich für alle Arbeitsplätze der jeweiligen Stadt oder Gemeinde frei. Führt man sich dabei vor Augen, daß selbst beim Einsatz einer Firewall jede zugelassene Kommunikationsmöglichkeit ein erhöhtes Risiko für die Sicherheit des Regionalen Netzes und der daran angeschlossenen kommunalen Netze mit sich bringt, so wird deutlich, daß das Rechenzentrum mit seinem Vorgehen über das Ziel hinausschoß. Auf unsere Kritik hin sagte das Rechenzentrum inzwischen zu, daß es künftig nicht mehr die Internet-Kommunikationsmöglichkeiten im Pauschalpaket anbieten will, sondern daß die Kunden selbst entscheiden sollen, welchen Mitarbeitern welche Internet-Dienste zur Verfügung gestellt werden sollen.

1.3.2 Mängel der Firewall

Die Prüfung der Firewall offenbarte folgende Defizite:

• Keine Möglichkeit der benutzerspezifischen Berechtigungsvergabe
  Zum Schutz vor unberechtigten Zugriffen setzte das Rechenzentrum eine Firewall ein, bei der einzelne Dienste nur für bestimmte Computer, nicht aber für einzelne Nutzer freigeschaltet werden konnten. Um aber sicherzustellen, daß nur berechtigte Personen die Internet-Dienste nutzen können, ist es erforderlich, daß sich jeder, der im Internet arbeiten will, zunächst mit Benutzerkennung und Paßwort identifiziert und authentifiziert. Ohne eine solche Überprüfung könnte jeder, der Zugang zu einem mit dem Internet gekoppelten PC hat, Internet-Dienste nutzen, auch wenn er die an dem PC verfügbaren Dienste nicht für seine Aufgaben benötigt. Das Rechenzentrum kündigte inzwischen an, unserer Forderung nachzukommen und Internet-Dienste nur nach vorheriger individueller Anmeldung mit Benutzerkennung und Paßwort zur Nutzung bereitzustellen.
• Möglichkeiten zur Kommunikationsfilterung nicht genutzt
  An den Netzknoten des von ihm betriebenen regionalen Netzes hatte das Rechenzentrum die Möglichkeit, mit Hilfe sog. Filterregeln festzulegen, zwischen welchen Computern Daten über diesen Netzknoten ausgetauscht werden dürfen. An den stichprobenweise überprüften Netzknoten hatte das Rechenzentrum von dieser Möglichkeit allerdings keinen Gebrauch gemacht:
  Der Netzknoten, über den alle Verbindungen zwischen der Firewall und dem Internet fließen, enthielt keine Filterregeln und leitete daher alle aus dem Internet kommenden Daten an die Firewall weiter. Solange diese Firewall fehlerfrei funktioniert, liegt in der fehlenden Netzknoten-Filterung kein Sicherheitsproblem. Da jedoch auch eine Firewall Programmfehler enthalten kann, empfiehlt es sich, die Filtermöglichkeiten des Netzknotens zu nutzen, um unzulässige, aus dem Internet kommende Datenströme zu erkennen und zurückzuweisen.
  Wie die Kontrolle weiter ergab, führten auch zwei andere Netzknoten, über die die Kopplung des regionalen Netzes mit dem Netz eines anderen Rechenzentrums abgewickelt wird, keine Filterung durch. Da dies das Risiko mit sich bringt, daß ein in einem der Netze aufgetretenes Sicherheitsproblem auch die Sicherheit des anderen Netzes beeinträchtigt, empfahlen wir dem Rechenzentrum, auch in diesen Netzknoten eine Filterung vorzunehmen, die unzulässige Datenströme gar nicht erst von einem in das andere Netz gelangen läßt. Das Rechenzentrum hat mittlerweile begonnen, derartige Filterfunktionen einzurichten.
• Aufbewahrungsdauer der Protokolldaten ungeregelt
  Die Firewall protokollierte, wann von welchen Arbeitsplätzen aus welche Internet-Dienste genutzt wurden. Das Rechenzentrum nutzte die Daten für Abrechnungszwecke und bewahrte diese Daten auf, hatte aber nicht festgelegt, wann diese wieder gelöscht werden müssen. Dies nahmen wir zum Anlaß, das Rechenzentrum darauf hinzuweisen, daß die Protokolldaten nur so lange gespeichert werden dürfen, wie dies für die Abrechnung erforderlich ist. Unserer Aufforderung folgend, legte das Rechenzentrum mittlerweile fest, daß die Protokolldaten künftig jeweils drei Monate nach Rechnungsstellung gelöscht werden.
• Schriftliches Sicherheitskonzept fehlt
  Das Rechenzentrum verfügte über kein schriftliches Sicherheitskonzept für die Firewall. Ein solches ist aber angesichts der Risiken, die die Kopplung eines lokalen Netzes mit dem Internet mit sich bringt, erforderlich. Aus ihm muß zu ersehen sein, welche Risiken bestehen und welche Maßnahmen zu treffen sind, um ihnen zu begegnen. Ein derartiges Konzept bildet im übrigen auch eine klare Basis für eine von Zeit zu Zeit erforderliche Überprüfung und Fortschreibung. Zudem erleichtert es die Einarbeitung neuer Mitarbeiter. Das Fehlen eines schriftlichen Sicherheitskonzepts stellte daher einen datenschutzrechtlichen Mangel dar, den ich beanstandet habe. Das Rechenzentrum ist gegenwärtig dabei, ihn abzustellen.
• Protokollierung der Internet-Adressen bei Zugriffen aus dem Internet
  Das Rechenzentrum bietet seinen Kunden und deren Mitarbeitern nicht nur die Möglichkeit, selbst im Internet zu surfen, sondern betreibt auch einen Web-Server, mit dessen Hilfe die Städte und Gemeinden wissenswerte Informationen im Internet zum Abruf bereitstellen können. Bei jeder Anfrage, die ein Internet-Nutzer an diesen Server richtete, protokollierte das Rechenzentrum die Internet-Adresse (IP-Adresse) des Computers, von dem aus diese Anfrage erfolgte. Datenschutzrechtlich ist dabei von Bedeutung, daß auch eine solche Internet-Adresse personenbezogen sein kann. Dies ist beispielsweise dann der Fall, wenn die Internet-Adresse einem Computer fest zugeordnet ist und daran stets die gleiche Person arbeitet.
  Das für derartige Dienste einschlägige Teledienstedatenschutzgesetz des Bundes (TDDSG) und der Mediendienste-Staatsvertrag der Länder (MDStV) sehen in diesem Zusammenhang vor, daß personenbezogene Daten, die Auskunft über die Nutzung eines Tele- oder Mediendienstes geben, spätestens unmittelbar nach Nutzungsende gelöscht werden müssen, sofern sie nicht zur Abrechnung benötigt werden. Da die Web-Angebote des Rechenzentrums und seiner Kunden nicht kostenpflichtig sind, bedeutet dies, daß Internet-Adressen der abrufenden Internet-Teilnehmer nicht über das Ende der jeweiligen WWW-Zugriffe hinaus gespeichert werden dürfen. Das Rechenzentrum sagte mittlerweile zu, künftig nur noch nicht-personenbezogene Protokolldaten aufzubewahren.

1.4 Internet-Merkblatt

Mit zunehmender Verbreitung und Nutzung des Internets kommt auch den damit verbundenen Datenschutz- und Datensicherheitsfragen ein immer größerer Stellenwert zu. Um all jene, die einen Internet-Anschluß planen oder nutzen, über die damit verbundenen Risiken und die Möglichkeiten zur Vermeidung dieser Risiken zu informieren, haben wir basierend auf den Erfahrungen unserer Kontroll- und Beratungstätigkeit der letzten Jahre ein Merkblatt mit Hinweisen zu Fragen rund um das Thema "Internet und Datenschutz" erarbeitet. Darin sind insbesondere folgende Themen angesprochen:

• Welche Besonderheiten des Internets sind aus Sicht des Datenschutzes von Bedeutung?
• Wie ist der datenschutzgerechte Anschluß eines unvernetzten Computers oder eines Netzwerks an das Internet zu realisieren?
• Was ist zu beachten, wenn man selbst Informationen über das Internet verbreiten will?
• Was können Internet-Nutzer tun, um sich datenschutzgerecht zu verhalten?

Dieses Merkblatt ist über das Internet-Angebot unserer Dienststelle unter der Adresse

http://www.baden-wuerttemberg.datenschutz.de

abrufbar und kann bei Bedarf auch in meiner Dienststelle angefordert werden.
 
 
 
 

Wer personenbezogene Daten auf Computern verarbeiten will, muß wegen des damit verbundenen Gefährdungspotentials die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um eine dem materiellen Datenschutzrecht entsprechende Datenverarbeitung zu gewährleisten. Um dieser zentralen Forderung sowohl des Landesdatenschutzgesetzes als auch des Bundesdatenschutzgesetzes gerecht werden zu können, muß jeder, der einen EDV-Einsatz plant, seine individuelle Situation analysieren und festlegen, welche konkreten Schutzvorkehrungen zu treffen sind. Trotz der elementaren Rolle, die einer solchen Datenschutzkonzeption bei der Planung und Realisierung eines EDV-Einsatzes zukommt, treffen wir leider immer wieder auf Dienststellen, die es, aus welchen Gründen auch immer, hieran mangeln lassen.
 
 

2.1 Fehlende Konzeptionen und die Folgen am Beispiel zweier Berufsakademien

Die Ergebnisse der Kontrollen, die wir in den Berufsakademien Stuttgart und Heidenheim durchführten, belegen deutlich, welche Folgen es haben kann, wenn es an einer brauchbaren Datenschutzkonzeption fehlt. Die konzeptionellen Defizite zeigten sich an folgenden Punkten:

• Unzureichendes oder gänzlich fehlendes Geräte- und Verfahrensverzeichnis
  Die Dokumentation der lokalen Netze und der eingesetzten Verfahren ließ erheblich zu wünschen übrig:
• In dem von der Berufsakademie Stuttgart geführten Geräte- und Verfahrensverzeichnis hieß es, das Rechnernetz der Verwaltung sei vom Netz der Lehre "physikalisch getrennt". Bei genauerem Hinsehen zeigte sich freilich ein ganz anderes Bild: Das Netz der Verwaltung war nicht nur mit dem Netz der Lehre gekoppelt, sondern auch mit dem Internet, wobei diese Koppelung nicht durch eine Firewall gesichert war. Auf die damit einhergehenden erheblichen Risiken wurde bereits in der Nr. 1.1 dieses Teils verwiesen.
  Auch sonst nahm es die Berufsakademie Stuttgart mit der Führung dieses Verzeichnisses nicht so genau: Obwohl sie Textverarbeitungs- und Tabellenkalkulationsprogramme zur Verarbeitung personenbezogener Daten einsetzte, enthielt das Verzeichnis dazu keine Angaben. Andere Verfahren waren zwar genannt, jedoch waren dabei die zum Schutz der personenbezogenen Daten getroffenen technischen und organisatorischen Maßnahmen lediglich anhand der im Landesdatenschutzgesetz verwendeten Bezeichnungen der einzelnen Kontrollarten angegeben, also durch Begriffe wie "Zugangskontrolle", "Zugriffskontrolle" und "Organisationskontrolle". Welche Maßnahmen aber konkret ergriffen wurden, ließ das Verfahrensverzeichnis nicht erkennen.
• Die Situation an der Berufsakademie Heidenheim war insofern noch enttäuschender, als sie noch nicht einmal begonnen hatte, das Verzeichnis über die von ihr betriebenen Netze und Verfahren zu erstellen. Wir waren deshalb darauf angewiesen, detaillierte Auskünfte über die eingesetzten Verfahren unmittelbar vor Ort zu erfragen. Aber auch dies lief nicht so, wie es hätte sein sollen: Die Verwaltungsleitung der Berufsakademie war nicht in der Lage, genaue Angaben über einzelne eingesetzte Verfahren zu machen. Sie begründete dies mit der hohen Eigenständigkeit der einzelnen Lehrgebiete.

• Fehlende Dienstanweisung zum Datenschutz
  Keine der beiden Berufsakademien hatte eine Dienstanweisung zum Umgang mit personenbezogenen Daten erlassen. Besonders überrascht hat uns dieses Ergebnis in Heidenheim, da uns die Berufsakademie vor dem Kontrollbesuch schriftlich mitgeteilt hatte, daß ihre "Bediensteten von der Direktion um Beachtung der datenschutzrelevanten organisatorischen Regelungen gebeten" worden seien. Auf unsere Frage, welches denn die zu beachtenden "organisatorischen Regelungen" seien, hieß es, damit seien die Vorschriften der Datenschutzgesetze gemeint. Dabei bestand, wie der weitere Verlauf der Kontrollen belegte, bei beiden Berufsakademien ein akuter Bedarf, organisatorische Regelungen zu treffen, etwa zum Umgang mit Paßwörtern, zur Freigabe von lokal gespeicherten Daten für den Zugriff durch andere Benutzer oder zum Löschen der gespeicherten Daten.

Zusammenfassend war festzustellen, daß die Verwaltungen der Berufsakademien ihrer gesetzlichen Verpflichtung zur Dokumentation sicherheitsrelevanter Informationen entweder gar nicht oder nur unzureichend nachgekommen waren. Als Folge davon zeigten sich eine Reihe weiterer Mängel:

2.1.1 Zugriffsschutz an den PC unzulänglich

Bei der Kontrolle eines Fachbereichs-Sekretariats der Berufsakademie Heidenheim stellte sich heraus, daß die dortige Mitarbeiterin ihr PC-Paßwort nicht selbst gewählt hatte, sondern dieses vom Systemverwalter zugewiesen bekam. Dabei handelte es sich um ihren Vornamen. Obendrein war der PC so eingerichtet, daß sie ihr Paßwort nicht selbst ändern konnte. Auch verfielen die Paßwörter nicht automatisch nach Ablauf einer bestimmten Zeit. Da der Systemverwalter den Paßwortschutz an allen von ihm zu betreuenden Arbeitsplätzen in gleicher Weise eingerichtet hatte und dies im Kollegenkreis allgemein bekannt war, waren die Paßwörter nicht mehr geheim. Eine Verwaltungsangestellte meldete sich sogar noch mit der Benutzerkennung und dem Paßwort ihrer Vorgängerin an einem PC an. Diesen absolut unzureichenden Zugriffsschutz kann ich mir nur mit fehlendem Datenschutzbewußtsein erklären, zumal das eingesetzte Betriebssystem zahlreiche Möglichkeiten aufwies, mit denen ein datenschutzgerechter Paßwortschutz hätte realisiert werden können.

Bei der Berufsakademie Stuttgart sah es in Sachen Paßwortschutz leider nicht besser aus - im Gegenteil: Die von ihr betriebenen PC waren größtenteils gänzlich ohne Paßwortschutz im Einsatz. Nach dem Start eines PC standen dem Benutzer daher alle Funktionen des Betriebssystems zur Verfügung, unabhängig davon, ob er diese für seine dienstlichen Aufgaben benötigte oder nicht.

Auf meine Beanstandung dieser gravierenden Mängel hin sagte das Wissenschaftsministerium inzwischen Abhilfe zu.

2.1.2 Diskettenlaufwerke frei zugänglich

Die Diskettenlaufwerke der PC waren an der Berufsakademie Stuttgart durchgängig unverriegelt, unabhängig davon, ob die einzelnen Mitarbeiter das Laufwerk für ihre dienstlichen Aufgaben benötigten oder nicht. Vor allem weil Sicherungsdateien auch über das lokale Netz auf einem Server abgespeichert werden konnten, war dies längst nicht an jedem Arbeitsplatz erforderlich. In Verbindung mit dem unbeschränkten Zugriff auf Betriebssystemebene ist ein unverriegeltes Diskettenlaufwerk aber datenschutzrechtlich bedenklich, denn darüber können personenbezogene Daten von dem Computer herunterkopiert und damit der Verantwortung der jeweiligen Dienststelle entzogen werden. Es können aber auch Computerviren oder andere Schadensprogramme auf den PC gelangen, die personenbezogene Daten manipulieren oder die Sicherheit des Computers untergraben. Unserer Forderung nach Verriegelung aller nicht benötigten Laufwerke will die Berufsakademie nachkommen.

2.1.3 Zugriffsmöglichkeiten auf nicht benötigte Daten eingerichtet

In dem von der Berufsakademie Heidenheim betriebenen Computernetzwerk war es technisch möglich, auf einem beliebigen PC gespeicherte Daten für den Zugriff durch andere am Netz angeschlossene Computer freizugeben. Von dieser Möglichkeit hatte die Berufsakademie Gebrauch gemacht, allerdings in einer nicht datenschutzgerechten Art und Weise. Einzelne Fachbereichs-Sekretariate konnten auf Prüfungsergebnisse und andere personenbezogene Daten aus anderen Fachbereichen zugreifen, obwohl hierfür kein dienstlicher Bedarf bestand. Über Netz hätten dabei Daten nicht nur gelesen, sondern auch neu angelegt, verändert oder gelöscht werden können. Diese zu weit gehenden Zugriffsmöglichkeiten habe ich beanstandet und die Berufsakademie aufgefordert, zunächst zu klären, ob und wenn ja welche Datenarten von mehreren Nutzern im Verwaltungsnetz benötigt werden. Anschließend sind die Zugriffsberechtigungen im Netz so einzurichten, daß die einzelnen Mitarbeiterinnen und Mitarbeiter auf die Daten zugreifen können, die sie für ihre dienstlichen Aufgaben benötigen, aber nicht auf mehr. Das Wissenschaftsministerium versprach, auch diesen Mangel zu beheben.

2.1.4 Defizite beim Internet-Anschluß

Wie bereits unter Nr. 1.1 dieses Teils erläutert, hatte die Berufsakademie Stuttgart ihr Verwaltungsnetz ohne weitere Schutzmaßnahmen mit den Netzen für die Lehre und damit auch mit dem Internet gekoppelt. Dabei hatte das Geräte- und Verfahrensverzeichnis noch den Eindruck erweckt, als sei das Verwaltungsnetz physikalisch vom Netz der Lehre und damit auch vom Internet getrennt. Hätte die Berufsakademie das Verzeichnis sorgfältiger geführt, so hätte sie die Netzkopplung als Sicherheitsrisiko erkennen und im Katalog der erforderlichen Schutzmaßnahmen berücksichtigen müssen. Auf meine Beanstandung hin soll noch ein Sicherheitskonzept für die Netzkopplung erarbeitet und umgesetzt werden.

2.1.5 Fehlendes Löschkonzept

Die Berufsakademie Stuttgart hatte nicht festgelegt, wann Daten aus dem Verfahren zur Verwaltung der Studenten und der Lehrbeauftragten gelöscht werden müssen. Da ohne entsprechende Festlegungen aber kaum damit zu rechnen ist, daß die zur Löschung anstehenden Daten tatsächlich fristgerecht gelöscht werden und da das Landesdatenschutzgesetz entsprechende Festlegungen ausdrücklich vorsieht, forderte ich die Berufsakademie auf, die Löschfristen alsbald zu bestimmen und auch für ihre Einhaltung zu sorgen. Das Wissenschaftsministerium sagte auch in diesem Punkt Abhilfe zu.
 
 

Angesichts solcher Mängel, die es eigentlich schon längst nicht mehr geben dürfte, die es aber nach unseren Erfahrungen auch anderswo noch gibt, ist ein Umdenken beim EDV-Einsatz gefordert. Statt Gedankenlosigkeit und Gleichgültigkeit ist Problembewußtsein gefragt. Ein datenschutzgerechtes Vorgehen erfordert,

• daß sich die datenverarbeitende Stelle überlegen muß, wie sie die im Landesdatenschutzgesetz genannten allgemein formulierten Schutzziele durch konkrete Maßnahmen umzusetzen hat;
• daß intern geklärt ist, wer für diese Umsetzung verantwortlich ist;
• daß das Geräte- und Verfahrensverzeichnis sorgfältig geführt und darin dokumentiert wird, wer auf Grund welcher Rechtsgrundlage welche personenbezogenen Daten mit Hilfe welcher Verfahren auf welchen Computern speichern und verarbeiten darf, ob und, wenn ja, an wen die Daten regelmäßig übermittelt werden sollen, wann die Daten im einzelnen zu löschen sind und welche technischen und organisatorischen Schutzmaßnahmen zu ergreifen sind; neben der Aktualität und Vollständigkeit der Einträge ist dabei darauf zu achten, daß die zu ergreifenden technischen und organisatorischen Maßnahmen möglichst konkret dargestellt werden und
• daß eine Dienstanweisung zum Datenschutz erstellt wird, in der insbesondere die notwendigen organisatorischen Maßnahmen festzulegen sind.

Auf meine Beanstandung dieser Mängel sagte das Wissenschaftsministerium inzwischen entsprechende Nachbesserungen zu. Zu begrüßen ist, daß das Ministerium das Thema Datenschutz auf die Tagesordnung der Besprechungen von Vertretern des Ministeriums mit den Direktoren sowie den Verwaltungsdirektoren der Berufsakademien setzen und damit dafür sorgen will, daß der von uns an den beiden überprüften Berufsakademien geforderte Datenschutzstandard auch an den übrigen Berufsakademien sichergestellt wird.
 
 

2.2 Der PC der Gemeinde

Die Erarbeitung einer Datenschutzkonzeption ist nicht nur für große Dienststellen, die eine Fülle personenbezogener Daten verarbeiten, relevant. Auch kleinere müssen festlegen, auf welche Weise sich personenbezogene Daten auf Computern datenschutzgerecht verarbeiten lassen. Was passieren kann, wenn das nicht geschieht, zeigt folgender Fall, der sich in einer Gemeinde mit etwa 4 500 Einwohnern zugetragen und dort im Rathaus einigen Wirbel verursacht hat:

Nach mehreren mündlichen Aufforderungen wies der Bürgermeister eine Mitarbeiterin schließlich schriftlich an, das ohne Abstimmung mit der Gemeinde eingerichtete Systempaßwort (BIOS-Paßwort), das beim Starten des PC einzugeben ist, wieder zu entfernen, damit auch andere Beschäftigte an diesem PC arbeiten konnten. Da die Mitarbeiterin der Auffassung war, das Ansinnen des Bürgermeisters verstoße gegen den Datenschutz, kam sie der schriftlichen Anweisung ebenso wenig nach wie den vorherigen mündlichen. Sie teilte das Systempaßwort auch nicht einer Kollegin mit, die ebenfalls an dem PC arbeiten sollte, nicht einmal, als sie im Urlaub war und die Kollegin sogar zu Hause bei ihr anrief und nach dem Paßwort fragte. Nach einer weiteren Aufforderung des Bürgermeisters entfernte die Mitarbeiterin letztendlich doch widerstrebend das Paßwort und wandte sich an meine Dienststelle, um die Sache aus datenschutzrechtlicher Sicht überprüfen zu lassen. Hierbei ergab sich folgendes:

• Mit dem PC, auf dem die Gemeinde personenbezogene Daten verarbeitete, sollten neben der Mitarbeiterin, die sich an meine Dienststelle wandte, auch andere Bedienstete arbeiten. Notwendig wäre daher gewesen, diese Verarbeitung personenbezogener Daten im Mehrbenutzerbetrieb datenschutzgerecht zu gestalten. Hierzu hätte die Gemeinde ein geeignetes PC-Betriebssystem oder ein spezielles PC-Sicherheitsprogramm einsetzen müssen, welches für jeden Benutzer eine individuelle Anmeldung mit Benutzerkennung und Paßwort vorsieht und zudem ermöglicht, differenzierte Zugriffsrechte einzurichten, um sicherzustellen, daß jeder Nutzungsberechtigte nur die Zugriffsrechte auf die Daten erhält, die er tatsächlich zur Erfüllung seiner dienstlichen Aufgaben benötigt. Die einzige Regelung, die die Gemeinde in der Praxis getroffen hatte, war die Anweisung an die Beschäftigten, ihre Büros bei Abwesenheit abzuschließen. Dies allein reicht jedoch in keinem Fall aus, um den Datenschutz beim Computereinsatz sicherzustellen.
• Wenn eine Dienststelle nur unzureichende Datenschutzvorkehrungen trifft, ist es geradezu zu begrüßen, wenn ein Mitarbeiter selbst aktiv wird und sich um eine Verbesserung des Datenschutzniveaus bemüht. Im vorliegenden Fall war daher positiv, daß die Mitarbeiterin wenigstens ein Systempaßwort auf ihrem PC einrichtete. Aufgrund der Schwachpunkte eines solchen Schutzes, auf die wir bereits früher hingewiesen haben (vgl. dazu 15. Tätigkeitsbericht 1994, LT-Drs. 11/5000, S. 129 f.) wäre zwar - wie bereits ausgeführt - notwendig gewesen, ein geeignetes PC-Betriebssystem oder ein spezielles PC-Sicherheitsprogramm einzusetzen. Aber immerhin: Durch die Einrichtung des Systempaßworts verbesserte sich das Datenschutzniveau. Die Anweisung des Bürgermeisters, das Paßwort wieder zu entfernen, damit also den ursprünglichen Zustand wieder herzustellen, konnten wir daher nicht gutheißen.
  Eines freilich war bei der Vorgehensweise nicht perfekt, nämlich, daß das Paßwort ohne Abstimmung mit der Gemeinde eingerichtet wurde. Laut Stellungnahme der Gemeinde wurde auch die Hinterlegung des Paßworts für Urlaub oder Krankheit abgelehnt. Für die Gemeinde als datenverarbeitende Stelle muß aber eine jederzeitige Zugriffsmöglichkeit auf ihre Daten bestehen, auch dann, wenn diejenigen, die an dem PC arbeiten, abwesend sind. Das PC-Systempaßwort ist also in einem verschlossenen Umschlag in einem Tresor der Dienststelle zu hinterlegen. Sofern ein zwingendes dienstliches Erfordernis für den Zugriff auf die gespeicherten Daten während der Abwesenheit der PC-Benutzer besteht, ist die Einsichtnahme in das hinterlegte Paßwort und der Zugriff der Dienststelle auf die Daten auch ohne deren Mitwirkung zulässig. Unverzichtbar ist in einem solchen Fall allerdings, daß dokumentiert wird, wer wann das hinterlegte Paßwort einsah und warum dafür eine zwingende Notwendigkeit bestand. Das eingesehene Paßwort ist dann umgehend zu ändern und wiederum im Tresor zu hinterlegen.
  Wie bereits ausgeführt, reicht aber ein Systempaßwort in der Regel nicht aus, um eine datenschutzgerechte Verarbeitung personenbezogener Daten auf einem PC zu gewährleisten. Erforderlich ist vielmehr der Einsatz eines geeigneten PC-Betriebssystems oder eines PC-Sicherheitsprogramms, welches unter anderem einen ausreichenden Paßwortschutz nach dem Stand der Technik bietet. Angezeigt ist hierbei, das Systemverwalter-Paßwort in entsprechender Weise zu hinterlegen.
• Aus datenschutzrechtlicher Sicht richtig verhielt sich die Mitarbeiterin, daß sie das Systempaßwort nicht ihrer Kollegin mitteilte. Dies hätte nämlich zur Folge gehabt, daß die Kollegin auf sämtliche auf dem PC gespeicherten Daten lesend und auch schreibend hätte zugreifen können. Akzeptabel wäre dies allenfalls gewesen, wenn der Kollegin die vollständige und umfassende dienstliche Vertretung übertragen gewesen wäre. Dem war aber nicht so. Zwar kann die Gemeinde natürlich festlegen, daß mehrere Personen mit einem PC arbeiten sollen. In einem solchen Fall muß sie dann aber, wie bereits ausgeführt, für eine datenschutzgerechte Ausgestaltung des Mehrbenutzerbetriebs sorgen.

Inzwischen hat die Gemeinde per Dienstanweisung eine Übergangslösung getroffen. Bis die Gemeinde mit einem Computernetzwerk ausgestattet ist, wird jeder PC mit einem Systempaßwort gesichert. Sensible personenbezogene Daten dürfen nicht mehr auf der Festplatte eines PC, sondern nur noch auf Disketten gespeichert werden, die in Zeiten, in denen sie nicht benutzt werden, in einem Tresor der Gemeinde zu verwahren sind.
 
 
 
 

Aber nicht nur auf eine unzureichende Datenschutzkonzeption zurückzuführende Mängel mußten wir feststellen. Dafür einige Beispiele:
 
 

3.1 Paßwortprobleme

Ob man's glaubt oder nicht, Mängel beim Paßwortschutz sind nach wie vor bei fast allen Kontrollen zu konstatieren:

• Inzwischen müßte allerorten bekannt sein, daß Paßwörter aus mindestens sechs Zeichen bestehen müssen und regelmäßig zu ändern sind, am besten dadurch, daß sie automatisch verfallen. Dem trugen eine ganze Reihe kontrollierter Stellen jedoch nicht Rechnung. So ließ sich z. B. bei der elektronischen Patientenakte eines Klinikums weder eine Mindestlänge der Paßwörter erzwingen noch existierte ein automatischer Verfall. Die Mängel sollen abgestellt werden. Das Landesgesundheitsamt legte, obgleich technisch möglich, beim Einsatz seines Labor-EDV-Systems LIMS überhaupt keine Mindestlänge fest. Das hat sich inzwischen geändert.
• Paßwörter sind generell verschlüsselt zu speichern, um sicherzustellen, daß auch der Systemverwalter sie nicht lesen und unter falschem Namen auf Daten zugreifen kann. Das Landeskriminalamt und eine Polizeidirektion speicherten die für die Textverarbeitung benötigten Paßwörter jedoch im Klartext. Abhilfe der Mängel ist zugesagt.

3.2 Keine wirksame Sperre bei Fehlversuchen

Zur Erreichung eines wirksamen Schutzes gegen unberechtigte Zugriffe ist es unverzichtbar, daß eine Kennung nach einigen fehlerhaften Anmeldeversuchen gesperrt wird. In den Computernetzwerken eines Landratsamts sowie der Beratungsstelle des Medizinischen Dienstes der Krankenversicherung in Lahr war jedoch keine derartige Sperre nach Fehlversuchen eingerichtet. Jetzt hat das Landratsamt eine Sperre nach drei Fehlversuchen eingerichtet. Bei der Berufsakademie, die mitgeteilt hat, sie könne die Forderung aus technischen Gründen nicht umsetzen, dauern die Erörterungen an. Der Medizinische Dienst der Krankenversicherung sieht für eine solche Sperre keine Notwendigkeit. Das kann nicht das letzte Wort sein.

Im Computernetzwerk einer Stadt waren nach drei fehlerhaften Anmeldeversuchen keine weiteren Versuche unter dieser Kennung mehr möglich. Dieser Schutzmechanismus ließ sich aber durch einfaches Aus- und anschließendes Wiedereinschalten des Computers leicht umgehen. Auf unsere Forderung, eine wirksame Sperre einzurichten, teilte die Stadt mit, dies sei mit der derzeit eingesetzten Technik nicht möglich. Man habe das Anliegen an den Netzwerkhersteller weitergegeben.
 
 

3.3 Unzureichende automatische Bildschirmsperre

Eine automatische Sperre des Bildschirms nach einer gewissen Zeitspanne der Untätigkeit bietet einen Schutz davor, daß jemand bei Abwesenheit eines angemeldeten Benutzers dessen Dialog ohne weiteres fortsetzen und auf diese Weise u. U. auf Daten zugreifen kann, auf die er ansonsten nicht zugreifen könnte. Bei einem Finanzamt fehlte die Bildschirmsperre. In der Beratungsstelle des Medizinischen Dienstes der Krankenversicherung in Lahr war sie zwar vorhanden, verfehlte ihre Schutzwirkung jedoch weitgehend, weil sich die Bildschirmabdunklung durch einfachen Tastendruck wieder entfernen ließ. Der Medizinische Dienst will jetzt seine Beschäftigten auffordern, sich bei Abwesenheit vom Arbeitsplatz abzumelden; eine automatische Bildschirmsperre sei aber hinderlich. Die Angelegenheit ist noch nicht abgeschlossen.
 
 

3.4 Fehlende Protokollierung bei Fehlversuchen

Fehlerhafte Anmeldeversuche an einem Computernetzwerk sind automatisch zu protokollieren. Damit kann der Netzverwalter im nachhinein überprüfen, ob ein Eindringversuch vorlag oder ob sich etwa ein berechtigter Mitarbeiter lediglich vertippt hat. Eine solche Protokollierung unterblieb sowohl bei einer Stadt als auch bei der Beratungsstelle des Medizinischen Dienstes der Krankenversicherung. Beim Medizinischen Dienst ist die Protokollierungsfunktion mittlerweile aktiviert.
 
 

3.5 Fehlende Terminalbeschränkung

Die Schutzwirkung eines eingerichteten Paßwort-Mechanismus läßt sich dadurch erhöhen, daß die Anmeldung unter einer bestimmten Benutzerkennung nicht von jedem beliebigen, sondern nur von ausgewählten Arbeitsplätzen aus möglich ist. Selbst wenn dann das zu einer bestimmten Benutzerkennung gehörende Paßwort geknackt oder auf sonstige Weise einem andern bekannt wird, kann sich dieser nicht von jedem Arbeitsplatz aus unter falscher Identität anmelden. Für die im Computernetzwerk eines Finanzamts installierten Fachverfahren existierte jedoch keine Terminalbeschränkung, d. h. jeder Mitarbeiter, der über eine gültige Benutzerkennung und dazugehöriges Paßwort verfügt, konnte sich an jedem vernetzten PC des Finanzamts anmelden. Auf unsere Forderung nach einer Terminalbeschränkung teilte das Finanzministerium mit, lediglich am Arbeitsplatz der Zugriffsschutz-Administratoren (Geschäftsstellenleiter) und künftig bei der Zentralen Informations- und Annahmestelle solle sie realisiert werden. Die Erörterungen dauern an.
 
 

3.6 Freie Diskettenlaufwerke

Probleme mit freien Diskettenlaufwerken (siehe auch die Ausführungen zu Nr. 2.1.2 in diesem Teil) waren auch in der Beratungsstelle des Medizinischen Dienstes der Krankenversicherung in Lahr festzustellen. Nicht benötigte Diskettenlaufwerke sollten - so die Konzeption des Medizinischen Dienstes - deaktiviert sein, waren es aber nicht. Abhilfe ist unterdessen erfolgt.

In einem Klinikum blieb es letztlich der Entscheidung des EDV-Beauftragten einer jeden Klinik vorbehalten, ob ein Diskettenlaufwerk zu sperren ist oder nicht. Das soll jetzt anders werden.
 
 

3.7 Zu umfangreiche Eingabemasken

Eine Behörde, die personenbezogene Daten mit Hilfe eines EDV-Programms verarbeitet, soll in den Computer nur die Daten eingeben können, die sie verarbeiten darf. Hilfreich wäre daher, wenn die datenverarbeitende Stelle die Möglichkeit hätte, Eingabefelder aus Eingabemasken selbst zu entfernen oder zumindest für die Eingabe zu sperren, ohne sogleich die (kostenpflichtige) Hilfe des Software-Herstellers in Anspruch nehmen zu müssen. In der Praxis ist dies leider häufig nicht der Fall.
 
 

3.8 Sicherheitsrelevante Router-Einstellungen nicht bekannt

Wer sein Intranet über einen Router mit einem anderen Netzwerk koppelt, muß sich einen Überblick über die Konfiguration des Routers verschaffen. Nur so läßt sich beurteilen, mit welchen anderen Stellen ein Datenaustausch möglich ist und ob die sicherheitsrelevanten Einstellungen des Routers ausreichend sind, um den mit der Kopplung einhergehenden Risiken wirksam zu begegnen. Eine Polizeidirektion, die ihr Intranet über einen vom Landeskriminalamt administrierten Router mit dem Landesverwaltungsnetz verband, konnte jedoch über die Einstellungen des Routers keine Auskünfte geben. Das hat sich jetzt geändert.
 
 

3.9 Mängel bei der Benutzerverwaltung

Jede Dienststelle muß durch entsprechende organisatorische Maßnahmen sicherstellen, daß ein Benutzerverwalter stets vom Ausscheiden eines Mitarbeiters erfährt. Nur so ist er in der Lage, dessen Benutzerkennung und Zugriffsrechte zu löschen. Bei der Benutzerverwaltung des EDV-Verfahrens LIMS im Landesgesundheitsamt sowie der Zentralen Adreßdatei im Landesgewerbeamt war dies jedoch nicht sichergestellt. Beide Stellen haben den Mangel abgestellt.
 
 

3.10 Fehlende Löschkonzeption

Zu den häufigsten Mängeln zählt das Fehlen einer Löschkonzeption. Dieser Mangel zeigte sich u. a. auch bei zwei Städten, beim Landesgesundheitsamt und einem Landratsamt. Alle Stellen wollen die Erarbeitung eines Löschkonzepts in Angriff nehmen.
 
 

3.11 Löschprobleme beim Einsatz von Textverarbeitungsprogrammen

Gespeicherte personenbezogene Daten, für die keine speziellen Speicherfristen bestehen, sind spätestens dann zu löschen, wenn ihre Kenntnis für die datenverarbeitende Stelle nicht mehr erforderlich ist. Mehr und mehr entwickeln sich Textverarbeitungssysteme zu umfangreichen Sammlungen personenbezogener Daten. Da Textverarbeitungsprogramme normalerweise keine Löschautomatik vorsehen, unterbleibt in der Praxis häufig eine fristgerechte Löschung der gespeicherten Daten:

• Stichprobenweise durchgeführte Kontrollen förderten beim Landesgewerbeamt eine Reihe von Dokumenten mit personenbezogenem Inhalt zutage, die offenkundig für die Aufgabenerfüllung nicht mehr erforderlich waren, so z. B. Listen mit Teilnehmern bereits länger zurückliegender Veranstaltungen. Das Landesgewerbeamt hat inzwischen mitgeteilt, es werde seine Benutzer durch Rundschreiben an ihre Löschpflichten erinnern.
• Eine Stadt setzte zur Verwaltung ihrer gespeicherten Textdokumente ein spezielles Schriftgutverwaltungssystem ein. Dieses Verfahren ermöglicht den Mitarbeitern der Stadt, ein Textdokument zu erstellen und sogleich mit einem Löschdatum zu versehen. Mit dem bloßen Eintragen eines Löschdatums ist es freilich nicht getan. Vielmehr muß der einzelne Mitarbeiter, der am PC arbeitet, einen Löschvorbereitungslauf starten. In einer Übersichtsliste werden ihm dann am Bildschirm alle diejenigen Dokumente angezeigt, bei denen die Löschfrist erreicht ist, die also zur Löschung anstehen. Nur wenn der Mitarbeiter daraufhin den Löschbefehl erteilt, wird das Dokument tatsächlich gelöscht. Bei Stichprobenüberprüfungen zeigten sich eine ganze Reihe gespeicherter Dokumente mit personenbezogenem Inhalt, bei denen das Löschdatum bereits abgelaufen war. Die Stadt will jetzt in ihrer Dienstanweisung auf die Löschpflicht hinweisen. Außerdem sollen die Mitarbeiter regelmäßig durch elektronische Post an die Löschpflicht erinnert werden.

3.12 Probleme bei der Vernichtung von Unterlagen

Häufig beauftragen die datenverarbeitenden Stellen darauf spezialisierte Unternehmen mit der Vernichtung von Unterlagen. Unerläßlich ist dabei, den Auftragnehmer schriftlich zu beauftragen und in dem Vertrag die notwendigen technischen und organisatorischen Schutzvorkehrungen festzulegen. Dabei ist auch die Art der Vernichtung zu regeln. Unterlagen mit personenbezogenen Daten sind zumindest nach Stufe 3 der DIN-Norm 32757 zu vernichten. Eine fehlende oder unzureichende schriftliche Vereinbarung über die Vernichtung von Unterlagen mußten wir bei zwei Städten, einem Landratsamt und beim Landesgesundheitsamt feststellen. Alle haben inzwischen zugesichert, die Mängel abzustellen.
 
 

3.13 Unzureichende Beauftragung bei Fernwartung

Man kann es nicht oft genug wiederholen: Wer Fernwartung in Anspruch nimmt, muß dem Dienstleister einen schriftlichen Auftrag erteilen und dabei den Anforderungen Rechnung tragen, die Landes- und Bundesdatenschutzgesetz im Fall einer Datenverarbeitung im Auftrag vorsehen. In der Praxis unterbleibt dies leider nur zu oft:

• Eine Stadt schloß einen allgemeinen Wartungsvertrag mit einer Duisburger Firma ab. Dieser Vertrag sieht vor, daß im Falle besonders hartnäckiger Fehler oder Störungen sogar der amerikanische Hersteller des Netzwerk-Betriebssystems von den USA aus auf die Server der Stadtverwaltung per Fernwartung zugreift. Einen Fernwartungsvertrag, der datenschutzrechtliche Belange ausreichend regelt, schloß die Stadt weder mit der Duisburger Firma noch mit dem amerikanischen Hersteller ab.
• Unzureichend war auch die Vorgehensweise einer anderen Stadt. Sie schloß aber wenigstens mit der Fernwartungsfirma einen Vertrag ab, der die Firma verpflichtet, nur solche Mitarbeiter zur Fernwartung heranzuziehen, die auf das Datengeheimnis nach § 5 des Bundesdatenschutzgesetzes verpflichtet sind. Ferner sieht der Vertrag vor, daß die Firma nur dann tätig werden darf, wenn die Stadt einen schriftlichen Einzelauftrag erteilt und ein städtischer Mitarbeiter die Fernwartung freischaltet.
• Auch das Landesgewerbeamt läßt seine Server durch eine Firma warten. Ein schriftlicher Vertrag mit der Firma, der datenschutzrechtliche Belange regelt, existierte nicht.

Alle Stellen haben zugesagt, die Mängel abzustellen.
 
 

Die Vielzahl der Mängel, die wir in den letzten Jahren bei der Fernwartung immer wieder antrafen, haben wir zum Anlaß genommen, eine Orientierungshilfe zu erarbeiten. Der erste Teil der Orientierungshilfe enthält dabei eine Checkliste mit technischen und organisatorischen Punkten, die bei Fernwartung relevant sind. Im zweiten Teil sind Musterklauseln abgedruckt, die Behörden eine Hilfestellung beim Abschluß eigener Fernwartungsverträge geben sollen. Die Orientierungshilfe ist über das Internet-Angebot meiner Dienststelle unter der Adresse

http://www.baden-wuerttemberg.datenschutz.de

abrufbar. Sie kann auch direkt bei uns angefordert werden.

3.14 Fehlendes oder unzureichendes Geräte- und Verfahrensverzeichnis

Mängel bei der Führung des Geräte- und Verfahrensverzeichnisses stellten wir nicht nur bei den überprüften Berufsakademien fest (siehe auch die Ausführungen zu Nr. 2.1 in diesem Teil):

• Im Verzeichnis einer Stadt fehlten Löschfristen sowie Angaben über die getroffenen technischen und organisatorischen Maßnahmen.
• Auch das Geräte- und Verfahrensverzeichnis der von einem Finanzamt betriebenen EDV-Verfahren war lückenhaft, was die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen betrifft.
• Eine andere Stadt konnte lediglich eine Übersicht vorlegen, die Aufschluß darüber gab, welche EDV-Verfahren die Stadt einsetzt.

Mit der modernen Telefontechnik sind wir nicht mehr darauf beschränkt, nur die Nummer des gewünschten Gesprächspartners anzuwählen und zu warten, bis die Verbindung steht. Die heute üblichen ISDN-Telefonanlagen und die angeschlossenen Endgeräte bieten eine Fülle von Möglichkeiten für komfortables Kommunizieren. Eine Grenze ist aber dann erreicht, wenn die Vertraulichkeit der Kommunikation und damit schutzwürdige Belange insbesondere von daran Beteiligten beeinträchtigt werden.
 
 

4.1 Direktansprechen

Etwa 80 der in einem von uns kontrollierten Landratsamt installierten ISDN-Telefonapparate verfügen über die Funktion "Direktansprechen". Wird sie aktiviert, bewirkt das, daß sich bei einem Anruf Mikrofon und Lautsprecher des Apparats automatisch einschalten und das Gespräch bei aufgelegtem Hörer geführt werden kann. Es hat aber außerdem zur Folge, daß der Anrufer die im Umkreis des angerufenen Telefons geführten Gespräche über das aktivierte Mikrofon mithören kann. Genau darin liegt die Mißbrauchsgefahr. Mit Hilfe des Direktansprechens läßt sich ein Raum gezielt und ohne Kenntnis der Anwesenden abhören. Zwar wird ein Anruf optisch und zugleich akustisch durch einen einmal ertönenden Rufton gemeldet. Diese optischen und akustischen Hinweise bieten aber nur eine begrenzte Sicherheit. Die Schutzwirkung ist stark eingeschränkt, weil das optische Signal nur unmittelbar am Telefonapparat wahrgenommen wird und das akustische nur der versteht, der weiß, was die Signale bedeuten und mit der Wirkungsweise des Direktansprechens vertraut ist. Um einem möglichen Mißbrauch von vornherein wirksam einen Riegel vorzuschieben, sollte die Funktion in der Telefonanlage erst gar nicht aktiviert sein. Wenn sie gleichwohl unverzichtbar erscheint, darf sie sich nur durch Eingabe einer sog. "Persönlichen Identifikationsnummer", kurz PIN genannt, initiieren lassen. Dadurch ist sichergestellt, daß nur der Inhaber der Nebenstelle die Funktion an diesem Apparat einschalten kann. Weil die beim Landratsamt vorhandene Technik es nicht ermöglicht, das Direktansprechen in der Telefonanlage zu deaktivieren und bei den derzeit verwendeten älteren Endgeräten die Funktion auch nicht durch eine PIN vor Mißbrauch geschützt werden kann, hat es meiner Bitte entsprochen und die betroffenen Mitarbeiter über die Funktionsweise des Direktansprechens und die damit verbundenen Mißbrauchsgefahren und Schutzmöglichkeiten detailliert unterrichtet. Zudem hat es ihnen angeboten, ihren Apparat gegen einen weniger leistungsfähigen auszutauschen, bei dem die Funktion nicht gegeben ist.
 
 

4.2 Inakzeptabler Einzelgebührennachweis

Eine bei Behörden eingesetzte Telefonanlage muß heute die Möglichkeit bieten, zu jedem abgehenden Gespräch

• die interne Nebenstellennummer, von der aus das Telefonat geführt wurde,
• die angerufene Telefonnummer,
• die Dauer des Gesprächs sowie
• die angefallenen Gebühreneinheiten

zu registrieren. Diese Angaben überträgt die Telefonanlage an einen angeschlossenen Gebühren-PC, auf dem sie als einzelne Datensätze gespeichert werden. Dadurch wird natürlich transparent, zu welchen Zeiten, wie oft, wie lange und vor allem mit wem ein Mitarbeiter telefoniert. Deshalb darf nach der für die Landesverwaltung geltenden "Dienstanschlußvorschrift" bei Privatgesprächen die angerufene Rufnummer nur um die letzten beiden Stellen verkürzt gespeichert werden. Noch restriktiver ist bei Dienstgesprächen solcher Mitarbeiter zu verfahren, die besondere Geheimhaltungspflichten zu beachten haben. Hierzu zählen vor allem Ärzte, Psychologen und Sozialarbeiter. Überdies gibt es Bedienstete, die bestimmte Sonderaufgaben wahrnehmen und deswegen eine besondere Vertrauensstellung haben. Dazu gehören die Mitglieder des Personalrats und die Vertrauensleute der Schwerbehinderten. Bei allen diesen Personen unterliegt nicht nur der Inhalt der in Ausübung dieser Aufgaben geführten Telefonate der Geheimhaltung, sondern auch schon die Tatsache, daß sie überhaupt mit einer bestimmten Person kommunizieren. Deshalb dürfen für die Anschlüsse dieser Mitarbeiter nur die Summenentgelte festgehalten werden. Diese Anforderung beachtete eine Stadtverwaltung nicht ausreichend, denn sie erstellte für sämtliche Nebenstelleninhaber eine monatliche Einzelgebührenabrechnung, die für alle Dienstgespräche unterschiedslos die angerufenen Telefonnummern unverkürzt auflistete. Ebenso war es bei einem Landratsamt, das beispielsweise auch für die Ärzte des Gesundheitsamts einen Einzelgebührennachweis erstellte. Meiner Forderung, die genannten Personenkreise vom Einzelgebührennachweis auszunehmen und für diese Nebenstellen lediglich die Summenentgelte festzuhalten, wollen Stadtverwaltung und Landratsamt nachkommen.
 
 

4.3 Fernwartung

Wer beabsichtigt, seine Telefonanlage durch den Hersteller per Fernwartung betreuen zu lassen, muß besonderes Augenmerk darauf richten, daß kein Dritter über einen schlecht abgesicherten Fernwartungszugang auf die Anlage zugreifen kann. Um das sicherzustellen, muß vorher geklärt sein, auf welche Weise sich die Herstellerfirma aufschalten kann und wie der Zugang gegen Zugriffe Dritter abgesichert ist. Zudem muß er wissen, welche Daten der Hersteller einsehen und welche Funktionen der Anlage er beeinflussen kann und wie es um die Protokollierung der Fernwartungsvorgänge bestellt ist. Nur so ist er in der Lage, zu beurteilen, ob und, wenn ja, welche Mißbrauchsmöglichkeiten mit dem Fernwartungszugang verbunden und ob diese vertretbar sind. Eine Stadt, die ihre Anlage durch den Hersteller per Fernwartung betreuen läßt, kümmerte sich um solche Fragen nicht. Beim Kontrollbesuch konnte sie nur darauf verweisen, die Herstellerfirma würde immer nur dann tätig, wenn die Stadt sie schriftlich beauftragen würde. Ob sie meiner Forderung nachkommen wird, sie möge sich vom Hersteller detailliert über den Fernwartungszugang unterrichten lassen, hat sie uns noch nicht wissen lassen.
 
 

4.4 Anrufumleitung

Diese Funktion, durch die sich Anrufe zu einer anderen als der angerufenen Nebenstelle umleiten lassen, gehört zum Standardrepertoire zeitgemäßer Telefonanlagen. Wenn aber die Tatsache, daß jemand angerufen hat, nur dem Inhaber der angerufenen Nebenstelle bekannt werden soll oder darf, nicht dagegen anderen, können durch die Anrufumleitung auch schutzwürdige Belange des Anrufers beeinträchtigt werden. Dies gilt etwa für Anschlüsse von Personen, die Berufs- und besonderen Amtsgeheimnissen unterliegen, wie z. B. für Ärzte und Sozialarbeiter. Da in der Praxis in aller Regel nicht sichergestellt ist, daß dem Anrufer in erkennbarer und verständlicher Weise akustisch und/oder optisch angezeigt wird, daß sein Anruf an ein anderes Ziel umgeleitet wird, sind Konsequenzen zu ziehen. So muß von vornherein eine Anrufumleitung unterbleiben, wenn damit zu rechnen ist, daß schutzwürdige Belange der Anrufer beeinträchtigt werden können. Zudem darf eine Anrufumleitung nur vom Anschlußinhaber initiiert werden können.
 
 

4.5 Wie man ein Gespräch an sich reißen kann

Zielwahltasten sind beliebt, denn sie erleichtern das Telefonieren. Ein Druck auf eine Zielwahltaste und schon wird die Verbindung zu dem Gesprächspartner hergestellt, dessen Rufnummer auf dieser Taste hinterlegt ist. Meist befindet sich auf dem Telefonapparat neben jeder Zielwahltaste eine Leuchtdiode, die verschiedene Bedeutungen hat, je nachdem, ob sie Dauerlicht zeigt oder blinkt. Wird auf einer Zielwahltaste eine andere interne Nebenstellennummer gespeichert, signalisiert die Leuchtdiode bei Dauerlicht, daß an der anderen Nebenstelle gerade telefoniert wird. Schon dies ist datenschutzrechtlich nicht unproblematisch, weil die Lichter auf diese Weise Aufschluß über das Kommunikationsverhalten der anderen Kollegen geben. In jedem Falle indiskutabel ist aber folgendes: Blinkt ein Lämpchen, so zeigt dies an, daß an der entsprechenden Nebenstelle gerade ein Anruf eingeht. Drückt der Mitarbeiter auf die zugehörige Zielwahltaste, kann er das für die andere Nebenstelle bestimmte Gespräch an sich ziehen. Dem Anrufer wird dies aber nicht signalisiert. Ähnlich wie bei der Anrufumleitung können auch hier schutzwürdige Belange der Betroffenen beeinträchtigt werden. Sofern also eine derartige Gesprächsübernahme möglich ist, kann es nur heißen: Die Funktion in der Telefonanlage ist zu deaktivieren.
 
 

4.6 Nur mit PIN oder deaktivieren

Mißbrauchsgefahren ergeben sich auch bei einigen anderen an sich nützlichen Funktionen, wenn sie nicht nur der Inhaber der Nebenstelle, sondern jeder, der Zugang zu dem Telefonapparat hat, aktivieren kann. Bei einer Reihe von Funktionen kann es daher nur die Wahl geben: Aktivierung nur nach Eingabe der PIN oder die Funktion ist in der Telefonanlage von vornherein zu sperren.

4.6.1 Die Anrufliste

Verfügt ein Anrufer über ein ISDN-Telefon und hat er die Übertragung seiner Rufnummer nicht unterdrückt, werden Datum und Uhrzeit des Anrufs sowie seine Rufnummer beim Angerufenen in der Anrufliste gespeichert, wenn dieser gerade telefoniert oder den Anruf nicht entgegennimmt. Falls die Anrufliste nicht durch eine PIN geschützt ist, kann sich jeder, der Zugang zu dem Telefonapparat hat, die Anrufliste anzeigen lassen. Über die gespeicherten Rufnummern kann er dann die Anrufer auskundschaften. Falls die Anrufliste nur Rufnummern interner Anrufer speichert, mag dies aus der Sicht des Datenschutzes ja noch angehen. Wenn sie aber auch Rufnummern externer Anrufer enthält, ist ein Schutz durch eine PIN unverzichtbar.

4.6.2 Gesprächskostenanzeige

Die Anzeige laufender Gesprächskosten während eines gerade geführten Telefonats auf dem Display des Telefonapparats ist sinnvoll, kann sie doch dazu beitragen, Kostenbewußtsein zu wecken und Telefonate auf das Notwendige zu beschränken. Für das letzte Gespräch angefallene oder für früher von dem Apparat geführte Telefonate aufsummierte Kosten dürfen sich aber nur nach Eingabe einer PIN abrufen lassen. Schließlich geht es nicht jeden etwas an, wieviel Geld ein Mitarbeiter vertelefoniert.

4.6.3 Rufzuschaltung

Sie bewirkt, daß es bei einem Anruf nicht nur am Apparat der angewählten Nebenstelle klingelt, sondern darüber hinaus an weiteren zugeschalteten. Nur wer als erster abhebt, kann das Gespräch führen. Unverzichtbar ist auch hier, daß sich die Rufzuschaltung an einem Apparat, also das Hinterlegen von Nebenstellen, an denen es zusätzlich klingeln soll, nur durch Eingabe einer PIN aktivieren läßt. Sonst könnte jemand während der Abwesenheit eines Kollegen an dessen Apparat eine Rufzuschaltung aktivieren und seine eigene Nebenstelle zuschalten. Er könnte dann unbemerkt alle für den Kollegen eingehenden Gespräche entgegennehmen.

4.6.4 Amtsumleitung

Wird die Funktion Amtsumleitung benutzt, werden sowohl die an die Telefonzentrale gerichteten als auch die für die Nebenstellen bestimmten Anrufe an einen beliebigen Apparat umgeleitet. Will eine Dienststelle von dieser Funktion Gebrauch machen, muß sie zuvor sicherstellen, daß nur autorisierte Mitarbeiter eine Amtsumleitung vornehmen können. Notwendig ist auch hier eine Absicherung durch eine PIN.

4.6.5 Systembetreuung

Manche Administrationsaufgaben lassen sich an einer Telefonanlage nur mit Hilfe eines speziellen Telefonapparats (Systemtelefon) durchführen. Von ihm aus läßt sich dann etwa das zentrale Kurzwahl-Register einrichten und pflegen oder man kann die angefallenen Gebühren für jede Nebenstelle abrufen und auf Null zurücksetzen. Eigentlich müßte es selbstverständlich sein, den Zugriff auf die Daten und Funktionen der Systembetreuung durch eine PIN zu schützen. In der Praxis ist dies leider nicht immer der Fall.
 
 

Aus alledem folgt:

Wer beabsichtigt, eine Telefonanlage zu beschaffen, muß diese und die Endgeräte so auswählen, daß die mit dem Datenschutz nicht in Einklang zu bringenden Funktionen entweder von vornherein fehlen, bei der Installation der Anlage deaktiviert werden oder - soweit sie beschränkt zulässig sind - durch eine PIN geschützt sind. Dabei läßt es sich nicht vermeiden, Produktbeschreibung und Anlage auf Herz und Nieren zu prüfen und sich mit den angebotenen Leistungsmerkmalen eingehend zu beschäftigen.