23. Tätigkeitsbericht 2002 -Inhaltsverzeichnis

1. Europäische Entwicklungen

Mehr und mehr beeinflussen Richtlinien und andere Entscheidungen von Rat und Parlament der Europäischen Union (EU) die rechtliche Entwicklung in den Mitgliedstaaten. Wer wissen will, welche Themen demnächst im nationalen Bereich oder auf Ebene der Bundesländer auf der Tagesordnung stehen, tut gut daran, sich über die entsprechenden europäischen Vorhaben zu orientieren. In folgenden Zusammenhängen erfolgen gegenwärtig wichtige Weichenstellungen für den Datenschutz:

Maßgeblichen Einfluss auf die nationale Gesetzgebung wird die Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 12. Juli 2002 entfalten. Sie sieht unter anderem Folgendes vor:

• Information der Nutzer über Sicherheitsrisiken
  Diensteanbieter werden verpflichtet, Sicherheitsmaßnahmen zu ergreifen und die Nutzer über alle besonderen Risiken der Verletzung der Netzsicherheit zu unterrichten.
• Schutz vor heimlichem Ausspionieren
  In der Vergangenheit mehrten sich Meldungen über die Verwendung von Techniken, die beispielsweise als Spy-Ware, Web-Bugs oder Hidden Identifiers bezeichnet wurden und mit deren Hilfe sich das Verhalten von Internet-Nutzern sowie die auf deren PC gespeicherten Daten heimlich auskundschaften ließen. Die Verwendung dieser oder ähnlicher Techniken darf künftig nur mit Wissen der betreffenden Nutzer erfolgen. Der heimliche Einsatz wird damit untersagt.
• Verwendung von Cookies
  Cookies, die möglicherweise auch genutzt werden können, um Interessenprofile von Internet-Nutzern zu erstellen, dürfen künftig nur verwendet werden, wenn der Nutzer dazu seine Einwilligung "in Kenntnis der Sachlage" gegeben hat. Die Informationen darüber müssen klar und umfassend und sollen "so benutzerfreundlich wie möglich" sein.
• Standortdaten in Mobilfunknetzen
  Sofern es möglich ist, den Standort eines Teilnehmers in einem Mobilfunknetz präziser zu bestimmen, als der Betrieb des Netzes dies erfordert, dürfen solche Daten nur mit ausdrücklicher Einwilligung der Teilnehmer ermittelt, gespeichert und verarbeitet werden. Ferner sollen die Nutzer die Möglichkeit haben, die genauere Verarbeitung von Standortdaten zeitweise gebührenfrei zu unterbinden.
• Mehr Schutz vor SPAM-Mail, Telefax-Werbung und anderen Werbenachrichten
  Unerbetene Werbung, vor allem solche, die per E-Mail (SPAM-Mail) oder per Telefax versandt wird, belästigt viele Teilnehmer. Die Richtlinie gestattet daher die Verwendung von automatischen Anrufsystemen, Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung nur nach vorheriger Einwilligung der Empfänger. Zweifellos stellt dies einen Fortschritt zum Schutz der Netzteilnehmer dar. Gleichwohl kann auch diese Richtlinie keinen umfassenden Schutz vor unerwünschten Werbesendungen bieten, denn sie eröffnet keine Möglichkeit, gegen Absender vorzugehen, die aus dem außereuropäischen Ausland tätig werden.

Die Richtlinie behandelt zum einen Telekommunikationsdienste (z. B. Angebot von Sprachtelefonie in Fest- oder Mobilnetzen) und zum anderen aber auch die Ebene der Tele- und Mediendienste. Diese beiden Bereiche werden bislang im deutschen Recht noch getrennt voneinander behandelt. In der Praxis führt dies immer wieder zu Abgrenzungsschwierigkeiten. Wenn die Richtlinie Anstoß gäbe, auch im nationalen Recht das Telekommunikations- sowie das Telediensterecht zusammenzuführen oder zumindest besser als bisher aufeinander abzustimmen, könnte dies die praktische Handhabung erleichtern.

Bereits seit einigen Jahren unterstützt die EU im Rahmen ihres Projekts "eEurope" verschiedene Vorhaben zum Ausbau der Informationsgesellschaft. In diesem Jahr beschloss der Europäische Rat, dieses Projekt nun unter dem Titel "eEurope 2005" für weitere drei Jahre fortzuführen. Lag der Schwerpunkt des Vorgängerprogramms noch auf der Verbreitung von Internet-Anschlüssen, so will das in diesem Jahr beschlossene Fortsetzungsprogramm unter anderem auch das Bewusstsein dafür schärfen, "dass die Online-Welt sicherer werden muss", und ferner den Aufbau einer sicheren Informationsinfrastruktur fördern.

Dabei sollen Sicherheitslücken in Kommunikationsnetzen und -diensten sowie deren gegenseitige Abhängigkeiten untersucht und der Aufbau vertrauenswürdiger Netz- und Informationsinfrastrukturen unter besonderer Berücksichtigung neu aufkommender Technologien (z. B. Breitbandanschlüsse, drahtlose Übertragung) unterstützt werden.

Erklärtes Ziel des Projekts "eEurope 2005" ist zudem, dass sich bis Ende 2005 durch Einführung entsprechend gestalteter Produkte und Arbeitsabläufe eine Sicherheitskultur "beim Entwurf und der Implementierung von Informations- und Kommunikationsprodukten" eingestellt haben soll. Dabei sollen Projekte, bei denen es darum geht, "gute Praktiken und Standards" bei der Entwicklung sicherer Produkte zu etablieren, ebenso gefördert werden wie Projekte, die darauf hinarbeiten, "die Sicherheitsrisiken allen Nutzern bewusst zu machen".

Aus Sicht des Datenschutzes ist es sehr zu begrüßen, dass diese Ziele europaweit anerkannt und mit den Mitteln der EU gefördert werden. Nicht übersehen werden darf jedoch, dass das Projekt "eEurope 2005" daneben auch Ziele anstrebt, die leicht mit dem Datenschutz in Konflikt geraten können. Insbesondere die auf eine Intensivierung der Strafverfolgung gerichteten Maßnahmen können vielfältige datenschutzrechtliche Probleme aufwerfen.

Die datenschutzrechtliche Ambivalenz des Projekts "eEurope 2005" verhindert auch, dass sich gegenwärtig schon absehen ließe, wie die geplante Einrichtung eines "Sonderstabes für Computer- und Netzsicherheit" datenschutzrechtlich zu bewerten ist. Klar ist jedenfalls, dass dieser Sonderstab ein Fachzentrum für Sicherheitsfragen werden, den Aufbau eines europäischen Warnsystems gegen Computerangriffe in die Wege leiten sowie die grenzüberschreitende Zusammenarbeit in Fragen der IT-Sicherheit unterstützen soll. Ganz im Sinne des Datenschutzes kann er dabei wirken, wenn er Sicherheitslücken aktuell verfügbarer oder gerade entwickelter Techniken untersucht und technische Entwicklungen fördert, die diese Lücken schließen. Sofern es dort jedoch nicht um die Beseitigung von Sicherheitslücken, sondern lediglich darum gehen sollte, deren Ausnutzung für unlautere oder strafbare Absichten entgegenzuwirken, etwa indem den Netzbetreibern und Diensteanbietern zusätzliche Unterstützungs- und Mitwirkungsleistungen gegenüber Strafverfolgungsbehörden oder Geheimdiensten auferlegt werden, so wird genau darauf zu achten sein, dass die dafür vorgesehenen Maßnahmen das Grundrecht der Bürger auf Datenschutz nicht unverhältnismäßig einschränken.

Auch wenn gegenwärtig noch manche Fragen in diesem Zusammenhang offen sind, ist doch zu begrüßen, dass die IT-Sicherheit als wesentliches Kriterium für den erfolgreichen Betrieb elektronischer Dienste und Netze identifiziert und Maßnahmen auf verschiedenen Ebenen gefördert werden sollen, um das Sicherheitsniveau zu erhöhen.

Die vielfältigen Nutzungsmöglichkeiten des Internets durch öffentliche Stellen und die von öffentlichen Stellen zusammengestellten Informationsangebote für die Bürger gaben auch in dieser Berichtsperiode Anlass zu Stellungnahmen, Beurteilungen und Beratungen. In diesem Abschnitt werden Einzelfälle getrennt nach Angeboten und Nutzung unter dem Blickwinkel des technischen Datenschutzes dargestellt.

Die Überlegungen des Staatsministeriums, jedem Mitarbeiter der Landesverwaltung den Zugriff auf das Internet am Arbeitsplatz zur Verfügung zu stellen, haben wir bereits im vorangegangenen Tätigkeitsbericht angesprochen (vgl. 22. Tätigkeitsbericht, LT-Drs. 13/520, S. 38). Auch in der Berichtsperiode beschäftigte uns das Thema in Form der "Konzeptionsstudie für eine sichere Internet-Anbindung der Landesbehörden Baden-Württembergs". Die Endfassung dieser Studie hat Defizite, die angesprochen werden müssen. Im Einzelnen war zu der Studie Folgendes zu sagen:

• Die Studie ist technisch überholt und nicht auf zukünftige Entwicklungen ausgerichtet. Sie baut in wesentlichen Teilen auf Vorarbeiten auf, die Inhalt einer Diplomarbeit aus dem Jahr 1999 waren und orientiert sich an mittlerweile überholten Internet-Protokollen; so wird versäumt, neuere und aktuelle Protokolle und Techniken auf ihre Sicherheitsrelevanz zu begutachten. Gegenüber der Vorversion der Studie, die im letzten Tätigkeitsbericht angesprochen wurde, sind zwar Protokolle wie Internet-Telefonie, Peer-to-Peer und spezifische Microsoft-Protokolle wie beispielsweise Passport aufgenommen worden. Zweifel bleiben aber, ob man die sich dabei ergebenden Fragen in wenigen Textzeilen umfassend beantworten kann.
• Die Studie setzt sich - auch in der Endfassung - zwar seitenlang mit Sicherheitsproblemen von Internet-Protokollen auseinander. Im Blick hat die Studie aber vielfach das Betriebssystem UNIX. Dies geht an der Wirklichkeit der EDV-Infrastruktur der Landesverwaltung vollkommen vorbei. Hierzu muss man nämlich wissen, dass in der Landesverwaltung nur sehr wenige Systeme mit dem Betriebssystem Unix betrieben werden. Insbesondere an den Arbeitsplätzen werden, mit Ausnahme einer kleinen Dienststelle, nur die diversen Spielarten der Windows-Betriebssysteme eingesetzt. Der Inhalt der Studie befasst sich also sachlich mit einer Systemumgebung, die in Baden-Württemberg die absolute Ausnahme darstellt. Dass dann aus der Studie keine die Systemsicherheit fördernden Erkenntnisse gezogen werden können, liegt auf der Hand.

Ergebnis der Studie ist, dass die Verantwortlichkeit einer Sicherheitstechnik für alle Nutzer an einer zentralen Stelle gebündelt sein und dass man in besonders sensiblen Bereichen auf die Verschlüsselung als Sicherheitstechnik zurückgreifen solle. Dies ist zwar richtig, ist aber nichts umwerfend Neues und stand so auch schon im Projektauftrag. Zur Verschlüsselung ist überdies zu sagen, dass jeweils einzelne Dokumente durch Eingabe eines Schlüssels ver- und entschlüsselt werden müssen. Ob diese Methode dann praktikabel ist, wenn ein Mitarbeiter auf eine große Anzahl von Dokumenten zugreifen muss, wird sich erweisen müssen. Eine transparente Verschlüsselung beispielsweise der Festplatte oder einzelner Verzeichnisse jedenfalls ist wirkungslos, da Schaden induzierende Software hierauf den gleichen Zugriff wie der Benutzer haben würde.
Insgesamt ist leider festzustellen, dass eine wesentliche Verbesserung der Systemsicherheit durch die Studie nicht eingetreten ist.

Bei einer Besprechung mit der für die Realisierung des Internet-Zugriffs für die Innenverwaltung zuständigen Dienststelle wurde uns mitgeteilt, dass man zunächst auf die sicherheitstechnisch und datenschutzrechtlich äußerst kritisch einzuschätzenden aktiven Inhalte wie JavaScript, Active-X und Java verzichten wolle, indem man an einer zentralen Stelle die aktiven Inhalte in allen abgerufenen WWW-Seiten entfernt. Dadurch wird zwar das Risiko auf ein annehmbares Maß reduziert, fraglich ist aber, wie lange sich diese Politik durchhalten lässt. Die Erfahrung zeigt, dass in viele WWW-Seiten kleine, in der Programmiersprache JavaScript geschriebene Programme - so genannte Skripte - eingebaut sind und sich der Inhalt dieser Seiten erst erschließt, wenn diese Skripte ausgeführt werden. Hier wird abzuwarten sein, ob dem Druck der Benutzer standgehalten werden kann, wenn diese darlegen, dass sie den ungefilterten Zugriff haben müssen.

Abschließend muss darauf hingewiesen werden, dass sich mit den so genannten Terminalserver-Techniken sehr sichere, in der Funktionalität nicht nennenswert eingeschränkte Internet-Zugänge realisieren lassen. Uns wurde dann auch mitgeteilt, dass man diese Technik zunächst in Pilotinstallationen für die Mitarbeiter nutzen will, die auf Seiten zugreifen müssen, die mit Filterung nicht mehr darstellbar sind. Der Nachteil dieser Techniken besteht in einem finanziellen Mehraufwand. Wie im richtigen Leben gilt eben auch im Internet: Sicherheit gibt es nicht umsonst.

Land und Kommunen nutzen umfangreiche Netzwerke zur Datenkommunikation. Jedoch ist deren Ausbau nicht so weit fortgeschritten, dass jede Dienststelle direkt und wirtschaftlich an eines dieser Netzwerke angebunden werden könnte. Dennoch müssen auch die Rechner dieser Dienststellen mit anderen Dienststellen des Landes Daten austauschen können. Die Lösung besteht darin, die Strecke bis zum nächsten Knoten des Kommunalen Verwaltungsnetzes durch die Nutzung von Netzen kommerzieller Anbieter zu überbrücken. Unsere Dienststelle wurde im Berichtszeitraum um Unterstützung bei der unter dem Aspekt des technischen Datenschutzes korrekten Vorgehensweise gebeten. Beabsichtigt ist, Gemeinden an das Kommunale Verwaltungsnetz über das Internet anzubinden. Folgende Aufgabenstellungen sind hierbei zu lösen:

• Die Authentizität der Kommunikationspartner muss auch dann, wenn eine Verbindung nicht einem einzelnen Mitarbeiter an seinem Arbeitsplatz zugeordnet werden kann, gewährleistet werden. Da meistens kleinere Netze von Gemeinden auf diese Weise angebunden werden, bestehen die Verbindungen darüber hinaus über einen wesentlich längeren Zeitraum.
• Die Integrität der übertragenen personenbezogenen Daten muss gewährleistet sein. Unbefugte dürfen keine Kenntnis der Daten erlangen und es muss ausgeschlossen werden, dass Unbefugte die übertragenen Daten verändern können.
• Auf der Eingangsseite des Verwaltungsnetzes muss sichergestellt werden, dass nur Verbindungen mit autorisierten Gemeindenetzen zustande kommen.

Unsere Dienststelle hat eine von dem Betreiber des Kommunalen Netzwerks vorgestellte Lösung auf der Basis eines virtuellen privaten Netzwerks (VPN) auf die Einhaltung dieser Anforderungen geprüft. Dabei erwies es sich als vorteilhaft, dass die Systemsicherheit der Komponenten eines VPN-Systems im Gegensatz etwa zu einem Stand-alone-PC eines Heimarbeitsplatzes einfacher zu realisieren ist und flankierende Maßnahmen, welche die Systemsicherheit gewährleisten, auf Grund der wesentlich geringeren Anfälligkeit derartiger Systeme für Angriffe weniger aufwändig sind.

Wer ein elektronisches Postfach hat, dessen E-Mail-Adresse in einem öffentlichen Verzeichnis aufgeführt wird oder sonst eine entsprechende Verbreitung gefunden hat, kann ein Lied davon singen: Fast täglich wird man mit Nachrichten zugedeckt, deren Inhalt von Angeboten zum Kauf von Alkoholtestgeräten über Tätigkeiten als millionenschwerer Finanzagent bis hin zu zweifelhaften Angeboten vermeintlich junger Damen reicht. Diese so genannten SPAM-Mails, die über einen Verteiler an eine Vielzahl von Empfängern geschickt werden, sind nicht nur lästig, sondern nehmen, da man sie zumindest rudimentär bearbeiten muss, personelle und technische Ressourcen in Anspruch.

Wird der Austausch der E-Mail mit dem Internet über ein zentrales System durchgeführt, dann kann die Flut von SPAM-Mails zur Bedrohung der Funktionsfähigkeit des Nachrichtensystems werden. Auch wirken sich SPAM-Mails auf das Übertragungsvermögen der Leitungen aus und stören die notwendige Kommunikation möglicherweise so sehr, dass Systemfunktionen unterbunden oder Benutzer durch lange Antwortzeiten beeinträchtigt werden.

Man ist daher in der Landesverwaltung dazu übergegangen, sobald es Anzeichen für eine die Stabilität der Netze und Rechner beeinträchtigende SPAM-Mail-Flut gibt, die E-Mails auf einem zentralen System zu filtern. Hierzu wird der Betreff und der Inhalt gegen einen Katalog häufig in diesen Nachrichten auftretender Begriffe abgeglichen und bei einer bestimmten Trefferquote die Nachricht nicht dem Empfänger zugestellt. Anstatt auf den Inhalt abzuheben, kann die Filterung auch auf die Absenderadresse angewandt werden. Hierzu ist aus der Sicht des Datenschutzes Folgendes zu sagen:

• Eine nicht unerhebliche Anzahl von Mitarbeitern der Landesverwaltung, beispielsweise in der Steuerverwaltung oder im sozialen Bereich, unterliegt der besonderen Geheimhaltungspflicht. Nachrichten an diese Mitarbeiter dürfen unter keinen Umständen von Dritten gelesen werden, da sie Informationen und Daten enthalten könnten, die dieser Geheimhaltungspflicht unterliegen.
• Erlaubt der Dienstherr eine private Nutzung der E-Mail, dann wird er dadurch zum Anbieter von Telekommunikationsdiensten. Er hat dann die entsprechenden Regelungen des Telekommunikationsgesetzes (TKG) und der Telekommunikations-Datenschutzverordnung (TDSV) zu beachten.
• Wegen der gewählten Filtermethode kann nicht ausgeschlossen werden, dass Nachrichten mit beispielsweise finanziellem Bezug als SPAM-Mails klassifiziert werden, obwohl es sich um reguläre Nachrichten handelt. Eine Löschung der Nachricht darf daher erst dann durchgeführt werden, wenn zweifelsfrei feststeht, dass es sich um eine SPAM-Nachricht handelt.
• Wenn die Filterung auf die Absenderadresse abzielt, ist zu berücksichtigen, dass der Absender eine gefälschte, aber tatsächlich existierende Adresse verwenden könnte. Reguläre Nachrichten dieses Absenders werden dann auch als SPAM-Mails klassifiziert.

Die zuständige Dienststelle unterhält einen Zwischenspeicher, in dem sie gefilterte Nachrichten mehrere Tage vorhält, um bei Rückfragen die entsprechenden Nachrichten wieder zustellen zu können. Sie unterrichtet die Benutzerbetreuer außerdem darüber, wann und welche Filter eingesetzt werden beziehungsweise wann die Filterung ausgesetzt wird. Zu befürchten ist, dass uns weitere Auswüchse des SPAM-Unwesens auch künftig beschäftigen werden. Es bleibt zu hoffen, dass den Bestrebungen von Betroffenen, auf dem Klageweg der Verbreitung von SPAM-Mails entgegenzuwirken, Erfolg beschieden ist.

Vorausgesetzt, eine Dienststelle hat ihr Computernetz mit dem Internet gekoppelt, stellt sich die Frage, welchen Mitarbeitern die Möglichkeit eröffnet wird, von ihrem Arbeitsplatz aus im Internet zu surfen. Dies war auch Gegenstand einer Kontrolle im Sozialdezernat eines Landratsamtes. Dort konnten alle Nutzer im Internet surfen, obwohl nur einzelne diese Zugriffsmöglichkeit dienstlich benötigten. Bei der Beurteilung dieses Sachverhalts ist Folgendes zu berücksichtigen: Auch wenn moderne Sicherheitstechniken wie Firewalls eingesetzt werden, die den Anschluss an das Internet an zentraler Stelle absichern, bleibt ein gewisses Restrisiko bestehen. Dies kann sich so auswirken, dass beim Surfen im Internet Schaden stiftende Programme auf den Computer gelangen und dort mitunter Daten ausspionieren, Hintertüren für Hackerangriffe öffnen oder sich wie ein Computervirus auf allen zur Verfügung stehenden Wegen weiterverbreiten. Um das damit akzeptierte Restrisiko so gering wie möglich zu halten, dürfen Berechtigungen zur Nutzung des WWW wie auch anderer Dienste des Internets nur in dem Umfang gewährt werden, wie dies dienstlich erforderlich ist.

Besondere Aspekte sind zu berücksichtigen, wenn schulische Verwaltungs-PC mit einem Internet-Anschluss versehen werden sollen. Die Besonderheiten ergeben sich daraus, dass zwar das Kultusministerium landesweit ausgerichtete EDV-Projekte plant, die EDV-Ausstattung den Schulen jedoch von den Kommunen zur Verfügung gestellt wird und daher sehr unterschiedlich sein kann. Da die PC der Schulverwaltung sowohl mit einem Netz des kommunalen Schulträgers als auch mit dem Netz der Kultusverwaltung gekoppelt sein können, muss ein Internet-Zugang solcher PC so gestaltet werden, dass er mit den Sicherheitsanforderungen der Kultusverwaltung wie auch mit denen des Schulträgers in Einklang steht. Dass dies nicht immer reibungslos klappt, illustriert folgendes Beispiel, das eine Stadt an uns herangetragen hat:

Die Stadt hatte als Schulträger Verwaltungs-PC der Schulen mit dem städtischen Netz gekoppelt, das seinerseits über einen geschützten zentralen Anschluss (Firewall) mit dem Internet verbunden war. Auf diesem Weg waren auch die Schulen aus dem Internet per E-Mail erreichbar. Unabhängig davon bot das Informationstechnische Fachzentrum der Kultusverwaltung (IFK) den Schulen die Möglichkeit, zentral beim IFK eingerichtete E-Mail-Postfächer für die Kommunikation im Internet zu nutzen. Der Zugriff auf diese E-Mail-Postfächer sollte seinerseits über das Internet erfolgen. Die Stadt war der Ansicht, dass die vom IFK bereitgestellte Möglichkeit zur E-Mail-Kommunikation nur eine geringere Sicherheit biete als die Anbindung der Schulen über das kommunale Netz. So eindeutig sahen wir die Dinge allerdings nicht. Unabhängig von der Art des Anschlusses sind in jedem Fall folgende Gesichtspunkte zu berücksichtigen:

• Setzen die Schulen Verwaltungs-PC ein, auf denen personenbezogene oder andere schutzbedürftige Daten gespeichert sind, so müssen sie technische und organisatorische Maßnahmen ergreifen, um zu verhindern, dass unberechtigt auf diese Daten zugegriffen werden kann.
• Werden diese PC mit Computernetzen außerhalb des Verwaltungsbereichs der Schule verbunden, so gehen damit besondere Risiken für die gespeicherten Daten einher. Solche Koppelungen dürfen daher stets nur dann vorgenommen werden, wenn sie zur Aufgabenerfüllung der Schulen erforderlich sind und auch dafür entsprechende Schutzmaßnahmen ergriffen wurden. Dies gilt sowohl im Hinblick auf eine mögliche Koppelung der Schulverwaltungs-PC mit einem städtischen Netz wie auch für eine Koppelung mit Netzen der Schulverwaltung oder dem Internet.

Wenn eine Schule das Angebot der Kultusverwaltung nutzen und via Internet auf ihr beim IFK bereitgehaltenes Schulmail-Postfach zugreifen will, dürfen weder auf dem PC, an dem der Internet-Anschluss besteht, noch auf PC, mit denen dieser PC vernetzt ist, personenbezogene Daten gespeichert werden. Dies ist durch einen Erlass des Kultusministeriums entsprechend geregelt. Sofern auf dem mit dem Internet verbundenen Verwaltungs-PC keine personenbezogenen Daten gespeichert werden, wäre es keineswegs "äußerst unbefriedigend", wie die Stadt meinte, sondern ein durchaus akzeptabler Lösungsweg, wenn über diesen PC die Schulmail-Post abgerufen würde.

Wird dagegen ein Schulverwaltungs-PC, auf dem personenbezogene Daten gespeichert sind, mit einem städtischen oder dem Landesverwaltungsnetz gekoppelt, so ist z. B. durch geeignete Filterregeln in einem zum Anschluss benutzten Router sowie durch datenschutzgerechte Nutzung von Wählverbindungen sicherzustellen, dass kein unbefugter Verbindungsaufbau möglich ist und nur die benötigten Dienste (hier insbesondere zum E-Mail-Versand und -Abruf), aber keine weiteren Dienste zum Informationsaustausch, genutzt werden können. Die zum Schutz der gespeicherten Daten erforderlichen technischen und organisatorischen Maßnahmen sind nicht zuletzt auch im Verfahrensverzeichnis gemäß § 11 LDSG schriftlich zu dokumentieren.

Werden per E-Mail über das Internet personenbezogene oder andere schutzbedürftige Daten versandt, sind diese zu verschlüsseln. Erfolgt auch der Datenaustausch zwischen Mail-Client und Mail-Server via Internet, sollte dafür ein Protokoll verwendet werden, bei dem die Passwörter nicht im Klartext übertragen werden.

Die hier dargestellten Überlegungen werden in einem anderen Licht erscheinen, wenn das landesweit angelegte Projekt "Schulverwaltung am Netz" (SVN) umgesetzt wird. Damit soll den Schulverwaltungen ein sicherer Anschluss ans Internet ermöglicht werden, der beispielsweise sicherstellt, dass die zwischen Schulen oder auch zwischen Schulen und Schulverwaltung ausgetauschten E-Mails standardmäßig ebenso verschlüsselt werden wie Schulstatistikdaten, die die Schulen künftig elektronisch an die Schulverwaltung sowie das Statistische Landesamt übermitteln sollen.

Im Jahr 2005 sollen sich, so hat es sich neben dem Bund auch Baden-Württemberg zum Ziel gesetzt, alle wesentlichen Dienstleistungen der Behörden auch elektronisch abwickeln lassen. Mit diesem Ziel vor Augen führen Bund, Länder und Gemeinden zahlreiche Projekte durch, die künftig als Bausteine zum Aufbau der im Internet rund um die Uhr erreichbaren "virtuellen Behörden" dienen sollen. In diesem Jahr hatten wir Gelegenheit, uns mit einigen dieser Bausteine datenschutzrechtlich näher zu befassen:

Wer künftig elektronische Bürgerdienste erledigt, soll, so ist es Wunsch der Landesregierung, nicht lange überlegen müssen, welche Behörde für sein Anliegen zuständig ist und wie er das dafür vorgesehene Internet-Angebot erreichen kann. Er soll vielmehr, ganz gleich, welches Anliegen er hat, zunächst eine zentrale Anlaufstelle, das so genannte e-Bürgerdienste-Portal, ansteuern können, das ihm beim Auffinden der zuständigen Stelle behilflich sein und ihn direkt mit dem Bürgerdienst verbinden soll. Datenschutzrechtlich von Bedeutung ist das Portal zum einen deshalb, weil vorgesehen ist, dass die Bürger darin personenbezogene Daten hinterlegen können, die sie für künftige behördliche Anträge immer wieder benötigen. Zum anderen ist datenschutzrechtlich von Belang, dass auch ein privates Unternehmen in die Verarbeitung personenbezogener Bürgerdaten einbezogen wird. Die mit dem Projekt insgesamt einhergehenden Datenschutzprobleme werden, dem schrittweisen Aufbau des Portals folgend, erst im Laufe der Zeit umfassend zu Tage treten. Aber bereits bisher wurde eine Reihe datenschutzrelevanter Aspekte dieses Vorhabens deutlich:

• Eckpunkte zum Datenschutz umsetzbar?
  Der zwischen Land und Auftragnehmer geschlossene Projektauftrag enthält mehrere datenschutzrechtlich positive Zielvorstellungen. So wurde vereinbart, dass
• der Auftragnehmer beim Umgang mit personenbezogenen Daten den Grundsatz der Datensparsamkeit einzuhalten hat,
• die Bürger die Möglichkeit erhalten sollen, ihre Daten, wo immer möglich, eigenverantwortlich zu verarbeiten,
• die Bürger dazu beispielsweise einen personalisierten Zugang zu den über sie im Portal verschlüsselt gespeicherten Daten erhalten sollen, die weder von den beteiligten Behörden noch vom privaten Auftragnehmer, der das Portal betreibt, "ohne Zutun des Bürgers entschlüsselt werden können".

Führt man sich vor Augen, dass einige dieser Ziele in einem Spannungsverhältnis zueinander und zu den geplanten Funktionen des Portals stehen, so bleibt abzuwarten, in welchem Maß das Portal diesen Zielen gerecht werden wird. Um beispielsweise einem Nutzer nur die für ihn und seine Lebenssituation zuständigen Stellen und behördlichen Ansprechpartner nennen zu können, muss der Betreiber des Portals für einen geraumen Zeitraum im Klartext auf die vom Bürger hinterlegten personenbezogenen Daten zugreifen können. Dabei ist zumindest technisch nicht auszuschließen, dass die Daten des Bürgers kopiert und danach auch ohne dessen Mitwirkung von Dritten gelesen oder auf andere Weise verarbeitet werden können.
 

• Hinweise an Nutzer
  Gerade die Tatsache, dass das Portal zum einen die Möglichkeit zur eigenverantwortlichen Datenverarbeitung bieten, zum anderen aber auch behördliche Datenverarbeitungsvorgänge abwickeln und unterstützen soll, unterstreicht, wie wichtig es ist, den Bürgerinnen und Bürgern verständlich zu erläutern, welche personenbezogenen Daten auf welche Weise in dem Portal verarbeitet werden können. Dabei ist anzugeben, welche personenbezogenen Daten bei der Nutzung des Angebots oder auch nur einzelner Teilfunktionen verarbeitet werden, ob und wenn ja für welche Funktionen und für welche Zwecke Cookies verwendet werden sowie ob und wenn ja für welche Funktionen aktive Inhalte wie Java, JavaScript oder Active-X genutzt oder Techniken verwendet werden, die nur mit Hilfe spezieller Zusatzprogramme (z. B. Plug-Ins für den heimischen Browser) nutzbar sind. Damit die Nutzer u. a. ihr Recht auf Auskunft über die zu ihrer Person gespeicherten Daten geltend machen können, muss im Angebot außerdem, etwa in Form eines Impressums, angegeben werden, wer für den Inhalt des Angebots verantwortlich ist.
  Bei einem so umfassend angelegten Vorhaben kommt es zudem darauf an, nicht nur einmalig geeignete Datenschutzhinweise zu formulieren, sondern durch geeignete Abläufe zu gewährleisten, dass bei allen künftigen Änderungen des Angebots, die von unterschiedlichen Beteiligten vorgenommen werden können, auch eine entsprechende Anpassung der Datenschutzhinweise sichergestellt wird.
   
• Umgang mit den im Portal hinterlegten Bürgerdaten
  Das Portal soll den Bürgern die Möglichkeit bieten, persönliche Daten darin zu hinterlegen und darauf bei späteren elektronischen Behördengängen immer wieder zurückzugreifen. Dabei stellt sich das Problem der Löschung dieser Daten: Grundsätzlich sollten diese Daten nur so lange im Portal hinterlegt sein, wie der Bürger sie dort noch benötigt. Was aber tun, wenn ein Bürger etwa nach einem Umzug in ein anderes Bundesland die hinterlegten Daten nicht mehr für behördliche Anträge benötigt, er es aber versäumt, selbst die Löschung der Daten zu veranlassen? Sinnvoll ist es daher, wie von dem hier federführenden Innenministerium vorgesehen, die hinterlegten Daten mit einem Zeitstempel zu versehen, dem zu entnehmen ist, wann die Daten zuletzt genutzt wurden, und vorzusehen, dass diese gelöscht werden, sofern darauf über einen gewissen Zeitraum hinweg nicht zugegriffen wurde. Der vom Innenministerium dafür vorgesehene Zeitraum von zehn Jahren erscheint uns allerdings zu lang. Wir halten es für zweckmäßig, die Bürger nach einem Zeitraum von sechs bis zwölf Monaten ohne Zugriff über die bevorstehende Löschung zu informieren und ihnen dabei Gelegenheit zu geben, die Speicherdauer um weitere sechs bis zwölf Monate zu verlängern. Erfolgt darauf keine Antwort, so sollten die Daten nach Ablauf einer weiteren Frist von zwei bis drei Monaten gelöscht werden. Daneben sollten die Nutzer die Möglichkeit haben, ihre Daten jederzeit teilweise oder vollständig zu löschen.
   
• Problematik der Gästebuchfunktion
  Internet-Angebote bieten gelegentlich "Gästebücher", in die jeder Nutzer beliebige und für jeden Internet-Nutzer lesbare Mitteilungen eintragen kann. Auch das e-Bürgerdienste-Portal, so sieht es die Planung des Innenministeriums vor, soll eine Gästebuchfunktion bieten. Solche Gästebücher werden, das lehrt die Erfahrung, immer wieder auch dazu benutzt, verunglimpfende oder in anderer Weise die Persönlichkeitsrechte anderer Personen beeinträchtigende Äußerungen zu veröffentlichen. Da sich eine solche missbräuchliche Nutzung zum einen nicht zuverlässig verhindern lässt und die Funktion des Gästebuchs zum anderen nicht für die Abwicklung von Bürgerdiensten erforderlich ist, rieten wir davon ab, ein solches Gästebuch bereitzustellen.
   
• Rahmenkonzeption mit Lücken:
  Für Projekte wie das e-Bürgerdienste-Portal muss ein schriftliches Datenschutz- und Sicherheitskonzept erstellt werden. Das Land als Auftraggeber verständigte sich mit dem privaten Auftragnehmer darauf, dieses Konzept schrittweise zu entwickeln. Bislang sind uns lediglich eine Rahmenkonzeption zum Datenschutz sowie ein so genanntes Strukturkonzept im Entwurf bekannt. Folgende Aspekte sind in diesem Zusammenhang von Bedeutung:
• Geplante Verarbeitungsvorgänge und die dafür einschlägigen Rechtsvorschriften bleiben im Dunkeln
  Eine Rahmenkonzeption sollte erkennen lassen, welche Angebote das Portal im Einzelnen bieten wird und welche Rechtsvorschriften dafür einschlägig sind. Im Hinblick auf die angebotenen Dienstleistungen führte die Rahmenkonzeption jedoch lediglich aus, dass "eine Vielzahl an Verarbeitungsvorgängen" stattfinde, bei denen "verschiedene personenbezogene Daten verarbeitet werden". Solche vagen Aussagen sind jedoch nicht einmal als Grundlage für eine Rahmenkonzeption ausreichend. Auch die Zusammenstellung der für einzelne Dienstleistungen einschlägigen Rechtsvorschriften wirkte alles andere als systematisch und durchdacht.
• Leitlinien zur Verwendung von Cookies und aktiven Inhalten fehlen
  Zu erwarten wäre, dass eine Rahmenkonzeption auch Leitlinien für die mit Risiken für den Datenschutz verbundene Verwendung von Cookies und sog. aktiven Inhalten erkennen lässt. Cookies bergen kurz gesagt das Risiko, dass mit ihrer Hilfe Interessen- und Nutzerprofile erstellt werden können, während von aktiven Inhalten das Risiko ausgeht, dass beim Surfen fremde Programme unbemerkt auf den eigenen Computer gelangen und im schlimmsten Fall die auf dem eigenen Computer gespeicherten Daten ausspionieren oder Hintertüren öffnen können, durch die sich Hacker unbemerkt Zugang zum System verschaffen können. Leider geht die Rahmenkonzeption auf die mit aktiven Inhalten verbundene Problematik überhaupt nicht ein. Cookies werden zwar mehrfach erwähnt, allerdings stets nur im Zusammenhang mit isolierten Einzelfalllösungen. Die grundlegende Frage, ob und in welchen Fällen Cookies überhaupt genutzt werden müssen, klammert die Rahmenkonzeption jedoch aus. Gerade von einem Projekt, das wie das e-Bürgerdienste-Portal erklärtermaßen auch im Hinblick auf die Umsetzung der Datenschutzmaßnahmen vorbildlich sein soll, ist aber zu erwarten, dass diese Fragestellung in der Rahmenkonzeption aufgegriffen und innovative Lösungen gesucht werden, die die angestrebte Funktionalität bieten, dazu aber so weit wie möglich auf die Verwendung von Cookies und aktiven Inhalten verzichten.
• Schutz vor Zusammenführen von in unterschiedlichem Zusammenhang erhobenen personenbezogenen Daten
  Das Rahmenkonzept sieht vor, dass die in einem Zusammenhang erhobenen Daten "getrennt von an anderer Stelle erhobenen persönlichen Daten gespeichert" werden. Diese Festlegung ist zumindest missverständlich: Denn die getrennte Speicherung allein bietet noch keinen erhöhten Schutz - schließlich können auch Daten, die beispielsweise in unterschiedlichen Datenbanktabellen oder getrennt gespeichert sind, mühelos wieder zusammengeführt werden. Entscheidend ist vielmehr, ob die getrennt gespeicherten Daten über gemeinsame Datenfelder verfügen, anhand derer eine spätere Zusammenführung wieder möglich ist oder ob solche Datenfelder nicht existieren.

Viele e-Government-Lösungen sehen auch eine Möglichkeit zum Austausch von elektronischen Postsendungen vor. Werden dabei personenbezogene oder andere schutzbedürftige Daten übermittelt, so sind diese zu verschlüsseln. Daneben kann es auch notwendig sein, die Authentizität des Absenders nachzuweisen, etwa mit Hilfe einer digitalen Signatur. Dafür bieten sich unterschiedliche Realisierungsmöglichkeiten:

• Eine Möglichkeit besteht darin, E-Mails nach wie vor mit einem gängigen E-Mail-Programm zu versenden und dabei den Mail-Inhalt sowie die Anlagen mit einem dafür vorgesehenen Zusatzprogramm zu verschlüsseln. Vorteil dieser Verfahren ist, dass damit auch Nachrichten mit qualifizierten Signaturen versehen werden können, die mittlerweile vielfach an die Stelle eigenhändiger Unterschriften treten können. Voraussetzung dafür ist allerdings, dass die Teilnehmer zunächst die für die Verschlüsselung und die Signatur erforderliche Soft- und zum Teil auch Hardware an ihrem PC installieren und sich die erforderlichen Schlüssel beschaffen, bevor sie mit dem Austausch verschlüsselter Nachrichten beginnen können. Im Hinblick auf die Kommunikation zwischen Bürgern und Behörden ist zu bedenken, dass nur ein Teil der Bürger diesen Aufwand auf sich nehmen dürfte, um E-Mails gesichert im Internet austauschen zu können.
• Um die damit verbundenen Einschränkungen zu umgehen und von Anfang an eine verschlüsselte Kommunikationsmöglichkeit für praktisch alle Internet-Nutzer zu bieten, kommt auch eine sog. Web-Mail-Lösung in Betracht, wie sie beispielsweise von der AOK Baden-Württemberg im Rahmen des Projekts AOK24 angeboten wird (www.aok24.de). Die AOK sah sich damit konfrontiert, dass Versicherte ihr zunehmend unverschlüsselte E-Mails sandten und darin auch sensible Sozial- und Gesundheitsdaten ansprachen. Ihr Anliegen war, allen Versicherten die Möglichkeit zu bieten, verschlüsselte Nachrichten mit ihr austauschen zu können, ohne dass sie zuvor zusätzliche Software auf ihrem PC installieren, sich die Schlüssel beschaffen oder um deren Erzeugung kümmern müssen. Ein Versicherter, der diese Möglichkeit nutzen will, muss sich zuvor lediglich registrieren und freischalten lassen. Danach kann er verschlüsselte Nachrichten an die AOK senden, indem er mit seinem Browser die entsprechende Web-Seite aufruft, seine Mitteilung dann in einer Eingabemaske erfasst und diese anschließend versendet. Dabei werden die erfassten Daten mit der in allen gängigen Browsern eingebauten SSL-Technik (SSL: Secure Sockets Layer) verschlüsselt und anschließend an die AOK übertragen. Deren Antwort wird in einem von der AOK bereitgestellten elektronischen Briefkasten abgelegt, auf den der Versicherte wiederum mit Hilfe seines Web-Browsers geschützt zugreifen kann. Um unberechtigte Zugriffe auf diese Briefkästen zu verhindern, muss sich der Versicherte mit einer nach der Registrierung zugewiesenen Benutzerkennung und einem von ihm gewählten persönlichen Passwort identifizieren.

Die Justizminister des Bundes und der Länder haben in diesem Jahr organisatorisch-technische Leitlinien verabschiedet, die sich mit der Frage befassen, wie Bürger und Justizbehörden künftig mit der nötigen Sicherheit und Rechtsverbindlichkeit miteinander elektronisch kommunizieren können. Inhaltlich sehen diese Leitlinien vor, dass elektronische Dokumente zwischen Bürgern und Dienststellen stets verschlüsselt und digital signiert übertragen werden sollen. Daneben geht es auch um die Frage, welche Arten von Textdokumenten für den elektronischen Rechtsverkehr in Frage kommen. Im Hinblick auf das insbesondere von dem Textverarbeitungsprogramm Word verwendete Dokumentenformat (*.doc) wird dabei eine Reihe von Eigenschaften erwähnt, die einer Verwendung für den elektronischen Rechtsverkehr entgegenstehen. Im Kern geht es darum, dass es sein kann, dass das Programm nicht alle Textpassagen am Bildschirm darstellt, die in dem entsprechenden Dokument enthalten sind. In einem solchen Dokument können, je nach eingesetzter Version und den Einstellungen des Programms, noch Textabschnitte zu finden sein, die der Bearbeiter längst schon "gelöscht" hat, die durch das Löschen aber nicht aus dem Dokument, sondern nur aus dem angezeigten Teil verschwinden. Wird nun ein solches Dokument digital signiert, so stellt sich die Frage, ob die zwar vorhandenen, aber nicht ohne weiteres angezeigten Textabschnitte als autorisiert gelten sollen oder nicht. Diese Problematik, die auch aus anderem Grund datenschutzrechtliche Probleme aufwirft, haben wir unter der Überschrift "Was Texte so alles verraten können" in unserem 20. Tätigkeitsbericht (LT-Drs. 12/4600, S. 27 f.) genauer dargestellt. Obwohl die Justizministerien diese Problematik erkannt haben, sollen entsprechende Dokumente im Hinblick auf deren weite Verbreitung gleichwohl zum elektronischen Rechtsverkehr zugelassen werden. Wir hätten es begrüßt, wenn die Justizministerien ihre eigenen Überlegungen zum Anlass genommen hätten, nur solche Dokumententypen zum elektronischen Rechtsverkehr zuzulassen, bei denen Zweifelsfälle der beschriebenen Art gar nicht erst auftreten können.

Nicht nur in Baden-Württemberg erfordern e-Government-Projekte neue Antworten für die datenschutzgerechte Gestaltung der Systeme. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder richtete daher eine Arbeitsgruppe ein, die Möglichkeiten darstellen sollte, wie e-Government datenschutzgerecht zu gestalten ist. Die Ergebnisse der Arbeitsgruppe sind in einer Broschüre mit dem Titel "Datenschutzgerechtes e-Government" zusammengefasst, die der Konferenz der Datenschutzbeauftragten dieser Tage zur abschließenden Beschlussfassung vorgelegt wird. Danach ist die Broschüre in elektronischer Form unter www.baden-wuerttemberg.datenschutz.de/gem-materialien/default.htm abrufbar.

Gedruckte Exemplare der Broschüre können kostenlos bei uns angefordert werden.

Im Laufe des Jahres hatten wir im Rahmen unserer Beratungstätigkeit mit unterschiedlichsten Fragen aus dem Bereich des technisch-organisatorischen Datenschutzes zu tun. Folgende Projekte illustrieren, worum es dabei unter anderem ging:

Eine Gemeinde hat sich die Steigerung der Attraktivität des ländlichen Raums auf die Fahnen geschrieben. In einem Dienstleistungszentrum bietet sie mittelbar durch eine Betreibergesellschaft eine Reihe von privaten und öffentlichen Dienstleistungen an. Von dem Vorhaben war der Innenminister anscheinend so begeistert, dass er sich laut Presseberichten zu der euphorischen Äußerung "Super, machet's" hinreißen ließ. Dass die Gemeinde, getragen von solcher Zustimmung, mit dieser Form der Bürgernähe unter dem Aspekt des technischen Datenschutzes dann allerdings über das Ziel hinausschoss, davon wird in diesem Abschnitt die Rede sein.

Die EDV-Infrastruktur dieses Zentrums bestand aus drei PC, die untereinander sowie mit der EDV der Gemeinde vernetzt waren. Alle drei PC waren über ein Firewall-System mit dem Internet verbunden. Ein PC wurde ausschließlich von einer Mitarbeiterin des Dienstleistungszentrums genutzt. Die beiden anderen, von denen einer in einer so genannten Diskretionszone, der andere für jedermann zugänglich im Raum stand, wurden sowohl von Mitarbeiterinnen als auch von der Bevölkerung genutzt. Die PC wurden mit dem Betriebssystem Windows 98 betrieben, d. h. eine Benutzeranmeldung mit einem Passwort war nicht notwendig; lediglich der Bildschirmschoner musste am Publikums-PC, wenn er denn eingeschaltet war, durch ein biometrisches Fingerabdrucksystem von einer der Mitarbeiterinnen deaktiviert werden. Da die Mitarbeiterinnen auch mit dem System arbeiteten, waren ständig Verzeichnisse, die sich auf den Festplatten eines Gemeinde-Servers befanden, ebenfalls auf den einzelnen PC eingebunden. Dadurch konnte am Publikums-PC nicht nur auf die Dateien der Mitarbeiterinnen zugegriffen werden, sondern - lesend und schreibend - auf alle Dateien aller Bediensteten, weil auf dem Gemeinde-Server kein Zugriffsschutz realisiert war. Die Gemeinde verwendet nämlich ein Dokumentmanagementsystem, das die Dokumente in einem separaten Zweig des Dateisystems speichert. Unsere Mitarbeiter waren erstaunt, als sie entgegen ihrer Vorstellung, jeder Mitarbeiter könne nur auf seine Dokumente zugreifen, entdeckten, dass jedermann vom Publikums-PC aus hätte alle Dokumente des Dokumentmanagementsystems auf dem Gemeinde-Server lesen, verändern oder löschen können. Bei der Kontrolle förderten wir unter anderem Dokumente zu Verwaltungsverfahren in Erbangelegenheiten und etwa zu Rentenversicherungsauskünften zu Tage.

Aber nicht nur in der Dateiablage des Dokumentmanagementsystems, sondern auch im normalen Dateisystem konnten wir Dokumente finden, die personenbezogene Daten enthielten, von denen man annehmen würde, dass nicht Hinz und Kunz sie lesen können sollte. Unter anderem handelte es sich um Eingänge zu Angebotsaufforderungen und Einschätzungen zur Gebäudequalität des Ortskerns, ferner um für Abrechnungen notwendige minutiöse Aufstellungen aller erbrachten Dienstleistungen mit Namen der die Dienstleistung in Anspruch nehmenden Bürger sowie um Altersstatistiken über ausländische Mitbürger.

Erschwerend kommt hinzu, dass es unterlassen wurde, die Diskettenlaufwerke der PC zu sperren. So konnten nicht nur die Dokumente eingesehen werden, sondern Unbefugte hätten sich eine Kopie anfertigen und diese auf Diskette mit nach Hause nehmen können. Sie hätten aber, was noch schwerer wiegt, auch von zu Hause Programme mitbringen können, die dazu hätten dienen können, aus der Ferne die mit diesen Programmen infizierten PC auszuspionieren. Der Installation auf den durch die Öffentlichkeit nutzbaren PC und einer Weiterverbreitung bis in das Netz des Rathauses hätte jedenfalls nichts entgegengestanden, und zwar deshalb nicht, weil man der Auffassung war, durch das Firewall-System würden derartige Programme abgewehrt und deshalb müsse auf den einzelnen Arbeitsplatz-PC kein Virenschutzprogramm installiert werden. Diese Auffassung erwies sich schon deshalb als falsch, weil wir auf dem Publikums-PC noch Spuren eines Programms namens "Hackers-Welt" fanden. Nur nebenbei sei noch erwähnt, dass sich auch jemand an den Einstellungen des WWW-Browsers auf dem Publikums-PC zu schaffen gemacht hatte. Im Gegensatz zu den zwei anderen PC war auf dem Publikums-PC eine niedrige Sicherheitsstufe konfiguriert.

Auch sonst baute man keine nennenswerten Hürden auf, um Manipulationen der Systeme und unberechtigte Zugriffe auf personenbezogene Daten zu verhindern. So war beispielsweise die Benutzerverwaltung des Gemeinde-Servers so konfiguriert, dass fehlgeschlagene Versuche, sich an den Systemen der Gemeinde anzumelden, nicht wie üblich zu einer Sperrung der Benutzerkennung führten. Eine Mindestlänge für Benutzerkennworte war auch nicht eingestellt, was erfahrungsgemäß dazu führt, dass Benutzer besonders einfache Kennworte wählen, die von Hackern unter Einsatz spezieller Programme leicht zu erraten sind. Und das alles wäre wohl unbeobachtet geblieben, da man wegen der unzureichend vorgesehenen Protokollierung aus den entsprechenden Aufzeichnungen keine Anhaltspunkte für Eindringversuche hätte entnehmen können.

Unsere Bedenken und Ausführungen konnten die Gemeinde davon überzeugen, dass weit reichende Änderungen an der EDV des Dienstleistungszentrums notwendig sind, um einen Betrieb zu ermöglichen, der mit datenschutzrechtlichen Regelungen in Einklang steht.

Mit der Verschlüsselungstechnik steht ein leistungsfähiges Werkzeug zur Verfügung, um Daten vor unberechtigter Kenntnisnahme sowie vor unbemerkten Änderungen zu schützen.

• Schutz der Daten einer Psychologischen Beratungsstelle
  Ein Mitarbeiter einer organisatorisch dem Landratsamt zugeordneten Psychologischen Beratungsstelle bat um Rat, wie sich erreichen lässt, dass nicht einmal die Systemverwalter des Landratsamtes auf die von der Beratungsstelle bearbeiteten Daten zugreifen können, die im Netz des Landratsamtes übertragen und auf dessen Servern gespeichert werden. Dabei ist zu bedenken, dass medizinische Daten, um die es hier geht, zum einen der ärztlichen Schweigepflicht unterliegen und zum anderen zu den besonders sensiblen Datenarten zählen, die nur unter besonders engen Voraussetzungen verarbeitet werden dürfen. Insbesondere muss vor deren erstmaliger Verarbeitung eine so genannte Vorabkontrolle durchgeführt werden. Die für den Einsatz oder die wesentliche Änderung des entsprechenden EDV-Verfahrens zuständige Stelle muss dabei untersuchen, ob von dem Verfahren besondere Gefahren für das Persönlichkeitsrecht ausgehen, und darf das Verfahren erst einsetzen, wenn sie nachgewiesen hat, dass dies nicht der Fall ist oder dass die Gefahren durch technische und organisatorische Schutzmaßnahmen verhindert werden können. Inhaltlich ist dabei unter anderem zu berücksichtigen, dass spezielle LAN-Verschlüsselungsprodukte den Schutz der von der Beratungsstelle verarbeiteten Daten auch dann ermöglichen können, wenn deren Daten auf Servern des Landratsamtes gespeichert sind. Damit ist es möglich,
• die Daten in verschlüsselter Form auf einem Server im lokalen Netz zu speichern,
• die Daten verschlüsselt vom Server über das lokale Netz an die Arbeitsplatz-PC (Clients) der Beratungsstelle zu übertragen und
• die Daten erst auf einem Arbeitsplatz-PC der Beratungsstelle zu entschlüsseln.

Will man mit dem Einsatz des Verschlüsselungsprodukts erreichen, dass auch Server- und Netzadministratoren nicht auf die Daten zugreifen können, so muss die Schlüsselverwaltung von anderen Personen wahrgenommen werden.

• Durchgängiger Schutz durch Verschlüsselung
  Betrachtet man Verschlüsselungsprojekte wie das oben erwähnte Projekt zum Schutz der Daten einer Beratungsstelle oder das in Nr. 2.2.2 dieses Teils genannte Beispiel der durch Verschlüsselung geschützten E-Mail-Kommunikation, so stellt man fest, dass diese Projekte stets nur einen Teil der Datenverarbeitungsvorgänge einer öffentlichen Stelle schützen können. Lösungen, bei denen personenbezogene Daten praktisch während aller vorstellbarer Verarbeitungsphasen geschützt werden, sind bislang nur selten anzutreffen. Wie die verschiedenen Anwendungsbereiche der Verschlüsselung miteinander verbunden werden können, soll ein von der Stadt Stuttgart geplantes Projekt aufzeigen.
  Angefangen von den ein- und ausgehenden E-Mails über die Kommunikation im lokalen Netzwerk der Stadt bis hin zur Bearbeitung der Daten in Fachverfahren und der Ablage elektronischer Unterlagen auf den städtischen Servern: Alle diese Bereiche sollen durch die Verschlüsselung geschützt werden. Aber nicht nur das: Die zur Verschlüsselung eingesetzten kryptografischen Verfahren sollen in Verbindung mit Chipkarten auch dazu dienen, die Anmeldung der Benutzer und die zur korrekten Zuweisung der individuellen Zugriffsberechtigung erforderliche Prüfung der Authentizität dieser Anmeldung mit höherer Zuverlässigkeit vornehmen zu können, als dies mit den bislang gängigen Passwortverfahren möglich ist. Ziel des Gesamtprojekts ist dabei unter anderem, dass die Schlüsselverwaltung für alle diese Anwendungsbereiche möglichst einheitlich erfolgen kann. Die ebenfalls angestrebte Möglichkeit, auch innerhalb der Verwaltung digital signierte Vorgänge zu verarbeiten, soll die Grundlage für die vollelektronische Abwicklung interner Arbeitsabläufe bilden. Zu hoffen ist, dass die Stadt dieses Projekt wie geplant zügig angeht und dass dessen Ergebnisse möglichst bald dazu beitragen, einen durchgängigen Schutz personenbezogener Daten zu gewährleisten.

Wer Computersysteme betreibt, muss bei einem Personalwechsel den Namen des ausscheidenden Mitarbeiters, dessen Benutzerkennungen und E-Mail-Konten sowie eine Reihe weiterer personenbezogener Angaben aus Mitarbeiter- und Benutzerverzeichnissen, aus Telefonlisten sowie aus etlichen anderen elektronischen Verzeichnissen löschen und den neuen Mitarbeiter entsprechend in all diese Verzeichnisse aufnehmen. Zentrale Verzeichnisdienste, die das Ziel haben, den mit einem Stellenwechsel verbundenen Änderungsaufwand zu reduzieren, haben daher Konjunktur. Ein solches zentrales Verzeichnis soll künftig das so genannte Active Directory des Landes sein, in dem Informationen über die Benutzer der lokalen Computersysteme, über deren Zugriffsberechtigungen sowie über deren E-Mail-Konten erfasst und verwaltet werden. Dabei wird angestrebt, dass sich möglichst viele Behörden diesem zentralen Verzeichnis anschließen.

Datenschutzrechtlich ist dabei die Rolle der zentralen Administratoren von Bedeutung. Deren Zugriffsberechtigungen können zwar so gestaltet werden, dass sie nicht unmittelbar auf Daten aller mit diesem Active Directory verbundenen Computersysteme zugreifen können. Dieser Schutz ist allerdings in sofern unzulänglich, als die Administratoren diese Beschränkung selbst aufheben und sich umfassende Zugriffsberechtigungen für beliebige, daran angeschlossene Computersysteme verschaffen können. Man muss sich vergegenwärtigen, dass in den angeschlossenen Systemen auch schutzbedürftige personenbezogene Daten, inklusive besonders sensibler Daten der Polizei, der Staatsanwaltschaften, der Gerichte, der Steuerverwaltung, der Personalverwaltung sowie mitunter auch Gesundheits- und Sozialdaten verarbeitet werden können. Hieraus wird deutlich, dass Schutzmaßnahmen erforderlich sind, um zu gewährleisten, dass die zentralen Administratoren nicht auf die in den angeschlossenen Computern gespeicherten Daten zugreifen können. Dabei ist eine Lösung zu favorisieren, die dies technisch sicherstellt. Neben der Möglichkeit, die eingesetzte Software entsprechend zu modifizieren, lässt sich dies auch durch die Verschlüsselung der schutzbedürftigen Daten erreichen. Zudem sollte durch eine sog. Terminalbeschränkung sichergestellt werden, dass sich die Administratoren nur von einzelnen, wenigen Arbeitsplatz-PC aus anmelden können. Eine solche Lösung wirkt auch dem Risiko entgegen, dass es Unberechtigten gelingt, aufgrund von Programmierungs-, Konfigurations- oder Betriebsfehlern in die Rolle eines "allmächtigen" Administrators zu schlüpfen und damit unberechtigt personenbezogene Daten zu lesen oder zu ändern.

Daneben stellt sich beim Active Directory, wie bei anderen elektronischen Verzeichnisdiensten auch, die Frage, welche personenbezogenen Daten darin über die einzelnen Bediensteten gespeichert werden dürfen und wer auf welche dieser Daten zugreifen darf.

All dies macht deutlich, dass die Einführung eines Active-Directory in jedem Fall eines zwischen allen beteiligten Stellen abgestimmten Datenschutz- und Sicherheitskonzeptes bedarf. Mittlerweile gab der mit Vertretern aller Ministerien besetzte Arbeitskreis Informationstechnik ein solches Sicherheitskonzept in Auftrag.

Die Bedienung eines PC ist in den vergangenen Jahren durch die Verwendung von graphischen Bedienoberflächen immer einfacher geworden. Daneben ist zu beobachten, dass die so genannten Backoffice-Systeme wie beispielsweise Datenbanksysteme, Bürokommunikationssysteme, Terminalsysteme oder geographische Informationssysteme, die der Benutzer nicht sieht, auf die er bei seiner Arbeit aber ständig zugreift, immer komplexer werden. Vielfach ist für die Installation, Fehlerbehebung und Wartung detailliertes Expertenwissen notwendig. Deshalb gehen viele öffentliche Stellen dazu über, darauf spezialisierte Unternehmen mit Aufgaben der Wartung und Instandhaltung zu beauftragen. Zur datenschutzrechtlich korrekten Gestaltung und Durchführung dieser Auftragsverhältnisse wurden an uns im Berichtszeitraum mehrere Ersuchen um Beratung herangetragen.

Bei der Wartung von Systemen durch ein Unternehmen handelt es sich regelmäßig um eine Datenverarbeitung im Auftrag. Hierzu bedarf es immer des Abschlusses eines Vertrags, dessen Inhalt sich unter anderem an § 7 LDSG ausrichten muss.

Bei der Durchführung von Installations- und Wartungsarbeiten greift das Wartungspersonal meist über Weitverkehrsnetzwerkverbindungen auf die zu wartenden Rechner-Systeme zu. Aus der Sicht des technischen Datenschutzes ist für diese Netzwerkverbindungen zu fordern:

• Der Aufbau einer Verbindung durch Unbefugte darf nicht möglich sein. Dies kann bei dedizierten Verbindungen dadurch erreicht werden, dass ein Verbindungswunsch durch einen Rückruf erfüllt wird. Ebenso sollte von der Möglichkeit, die Verbindung über eine Benutzerkennung und ein Passwort abzusichern (CHAP), Gebrauch gemacht werden.
• Der gesamte Datenverkehr zwischen zu wartendem Rechner-System und Rechner des Wartungspersonals muss verschlüsselt erfolgen, soweit dabei personenbezogene Daten übermittelt werden. Kein Kennwort darf unverschlüsselt übertragen werden. Bei Verbindungen über das Internet sollte die Schlüssellänge mindestens 128 Bit betragen.
• Bei Verbindungen über das Internet wird die Kommunikation am zweckmäßigsten über so genannte virtuelle private Netzwerke (VPN) abgewickelt. Die Prüfung der Authentizität eines Kommunikationspartners sollte sich nicht auf das Wissen einer Benutzerkennung und eines Kennworts beschränken, sondern auch den Besitz eines physischen Merkmals wie beispielsweise einer Chipkarte umfassen.
• Der Aufbau einer Verbindung darf auf der Netzwerkebene nur unter Mitwirkung eines Mitarbeiters der Dienststelle möglich sein. Dies kann dadurch geschehen, dass die Verbindung beispielsweise erst in einem Firewall-System freigeschaltet werden muss oder dass auf dem entsprechenden Telekommunikationsendgerät keine eingehende Verbindung angenommen wird . Eine permanente Verbindung darf nur in Ausnahmefällen wie beispielsweise besonders schwieriger Fehlerbehebung gestattet werden.
• Der passive oder aktive Aufbau einer weiteren Netzwerkverbindung durch den Rechner des Wartungspersonals darf während der Wartungsarbeiten nicht möglich sein.

Bei den Zugriffen durch externes Wartungspersonal sind unterschiedliche Vorgehensweisen anzutreffen. Es sind dabei allerdings immer gewisse Regeln einzuhalten und Maßnahmen zu ergreifen, wenn personenbezogene Daten mit im Spiel sind. Im Einzelnen sind aus der Sicht des technischen Datenschutzes auf der Programmebene folgende Anforderungen zu erfüllen:

• Es muss nachvollziehbar sein, auf welche personenbezogenen Daten während der Wartungsarbeiten zugegriffen wurde. Werden die Wartungsarbeiten mit Programmen durchgeführt, die eine Kopie des Bildschirminhalts des zu wartenden Systems auf den Rechner des Wartungspersonals übertragen, dann kann der Mitarbeiter im Allgemeinen am Bildschirm des zu administrierenden Rechners die Zugriffe beobachten.
• Werden für die Arbeiten spezielle Administrationsprogramme eingesetzt, dann sollte die Protokollierung dieser Programme so umfangreich sein, dass später nachvollzogen werden kann, auf welche Daten zugegriffen wurde. Gegebenenfalls muss einem Mitarbeiter der Behörde der Zugriff auf die Protokollierung des Rechners des Wartungspersonals eingeräumt werden. Unter diesen Protokollierungsbedingungen können auch Terminaldienste eingesetzt werden.

Aus der Sicht des organisatorischen Datenschutzes ist bei Zugriffen auf personenbezogene Daten während Wartungsarbeiten Folgendes zu fordern:

• Grundsätzlich ist der Zugriff auf das Erforderliche zu beschränken. Dies bedeutet, dass dann keine Rechte eines Systemadministrators an externe Personen vergeben werden dürfen, wenn dies wegen des zu administrierenden Gegenstandes nicht erforderlich ist. Datenbanksysteme beispielsweise verfügen über eine leistungsfähige Benutzerverwaltung, die von der Benutzerverwaltung des Betriebssystems entkoppelt ist. Ein Datenbankadministrator muss nicht zwingend auch die Rolle eines Systemadministrators einnehmen. Es empfiehlt sich daher, dass für unterschiedliche Teilsysteme wie beispielsweise Datenbanksysteme oder Bürokommunikationssysteme unterschiedliche Benutzerkennungen zur Wartung benutzt werden.
• Es sollten für die Administration durch externes Wartungspersonal spezifische Benutzerkennungen angelegt werden. Diese Benutzerkennungen müssen nach erfolgter Administration deaktiviert werden. Die Kennwörter von Benutzerkennungen, die nicht deaktiviert werden können und die zur Kenntnis des externen Wartungspersonals gelangt sind, müssen nach erfolgter Wartung geändert werden.
• Wird parallel zum Produktionssystem ein Testsystem eingesetzt, auf dem die Wartungseingriffe zunächst auf ihre Wirksamkeit hin geprüft werden, dann dürfen auf diesem Testsystem nur personenbezogene Daten in anonymisierter Form oder reine Testdaten gespeichert und verarbeitet werden.

Es versteht sich von selbst, dass daneben noch Maßnahmen wie der lückenlose Einsatz von Virenschutzprogrammen auf allen beteiligten Systemen und die Verwendung von Firewall-Systemen bei Verbindungen über das Internet getroffen sein müssen.

Auch in diesem Jahr legten uns mehrere Hochschulen die Ergebnisse von Vorabkontrollen vor, die sie im Zuge des von ihnen geplanten Chipkarteneinsatzes vorgenommen hatten. Eine solche Vorabkontrolle muss durchführen, so sieht es das Landesdatenschutzgesetz vor, "wer für den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten zuständig ist, das mit besonderen Gefahren für das Persönlichkeitsrecht verbunden sein kann". Neben automatisierten Abrufverfahren und Verfahren, mit denen besonders schutzbedürftige Daten verarbeitet werden, zählen dazu auch Projekte, bei denen Chipkarten ausgegeben und genutzt werden. Die Vorabkontrollen belegten durchweg, dass die jeweiligen Hochschulen die damit verbundene Aufgabe ernst nehmen und sich darum bemühten, die mit dem Chipkarteneinsatz zusammenhängenden datenschutzrechtlichen Fragestellungen und die dazu gehörenden Schutzmaßnahmen herauszuarbeiten. Gleichwohl machten wir eine Reihe von Vorschlägen zur Verbesserung der Vorabkontrollen. Dabei spielten unter anderem folgende Punkte eine Rolle:

• In einer Vorabkontrolle sollten nur solche Aspekte behandelt werden, die für den geplanten Betrieb relevant sind. Möglichkeiten für zukünftige Lösungen und Funktionen gehören nicht dorthin. Auf der anderen Seite ist es unzureichend, wenn Lösungen zu Sicherheitsfragen nur in Aussicht gestellt, nicht aber beschrieben werden.
• Nicht-personalisierte Chipkarten sollen zum Teil an Gäste der Hochschule ausgegeben werden, damit diese in der Mensa oder an anderen Stellen bezahlen können. Auf Wunsch sollten aber auch Studierende oder Mitarbeiter neben einer personalisierten Karte, die ihnen als Studierenden- oder Mitarbeiterausweis dient, eine anonyme Karte erhalten können, die sie zum Bezahlen oder für andere Nutzungen einsetzen können, die keine persönliche Identifikation erfordern.
• Bei einigen der personenbezogenen Daten, die auf den Chipkarten oder in den Hintergrundsystemen gespeichert werden sollten, wurde nicht klar, wofür diese benötigt werden.
• Zum Teil war auch nicht erkennbar, wie lange die Daten im Einzelnen gespeichert, wer darauf Zugriffsmöglichkeiten erhalten und welchen anderen Stellen sie mitgeteilt werden sollen.
• Fragen ergaben sich dazu, wie bei der Erstvergabe sowie im Fall einer notwendig werdenden Rücksetzung von PIN-Nummern, die die Chipkarteninhaber in manchen Fällen eingeben müssen, vorzugehen ist.
• Weiterer Klärungsbedarf ergab sich etwa im Hinblick auf den Schutz der computerbasierten Selbstbedienungsstationen oder im Hinblick auf die Wirksamkeit der Zugriffsschutzmaßnahmen, die gewährleisten sollen, dass unter mehreren Organisationseinheiten, die die Chipkarten nutzen, jede nur auf die Daten zugreifen kann, die sie benötigt.

Jede öffentliche Stelle führt, so sieht es das Landesdatenschutzgesetz vor, ein Verzeichnis der automatisierten Verfahren, mit denen sie personenbezogene Daten verarbeitet. Eine Reihe von Verfahrensverzeichnissen, mit denen wir in diesem Jahr zu tun hatten, erwies sich als unzulänglich. Oft sind die darin enthaltenen Angaben zu allgemein formuliert und lassen es daher nicht zu, sich davon zu überzeugen, dass die Daten verarbeitende Stelle ausreichende technische und organisatorische Schutzmaßnahmen vorsieht. Folgende allgemeine Hinweise sollten bei der Erstellung des Verfahrensverzeichnisses beachtet werden:

• Gelegentlich werden im Zusammenhang mit den Maßnahmen der Zugriffskontrolle, die einen unberechtigten Zugriff auf personenbezogene Daten verhindern sollen, lediglich Stichwörter wie "Passwortschutz", "Zugriffsberechtigungen" oder "Dienstanweisung" genannt. Diese Maßnahmen sind zwar in der Regel allesamt notwendig, offen bleibt jedoch, wie sie umgesetzt werden. Um auch das zu verdeutlichen, sollte im Zusammenhang mit dem Passwortschutz beispielsweise die technisch sichergestellte Mindestlänge und das Höchstalter der Passwörter genannt werden. Auch im Hinblick auf weitere Gestaltungsmöglichkeiten des Passwortschutzes, wie sie beispielsweise in unserem Merkblatt zum Umgang mit Passwörtern beschrieben sind (im Internet unter www.baden-wuerttemberg.datenschutz.de/service/lfd-merkblaetter/passwort.htm abrufbar), sollte dargestellt werden, welche Optionen in den jeweiligen Installationen gewählt wurden und welche Anforderungen an Passwörter technisch und welche organisatorisch sichergestellt werden.
  Im Hinblick auf die Gestaltung der Zugriffsberechtigungen sollte auch angegeben werden, welches Dateisystem gewählt wird. In Abhängigkeit vom Datenhaltungskonzept sollte dargelegt werden, welche Zugriffsberechtigungen dafür erforderlich sind (z. B. individuelle Ablagen, Ablagen für Gruppenverzeichnisse, Ablagen für Daten der Anwendungsprogramme).
• Es sollte erkennbar sein, ob und wofür Verzeichnisfreigaben (Shares) verwendet werden. Nach Möglichkeit sollten Benutzer keine Freigaben vornehmen oder vorhandene nutzen können.
• Soweit die Anwendungsprogramme selbst sicherheitsrelevante Funktionen bieten (z. B. einen eigenen Passwortschutz oder eigene Zugriffsberechtigungsverwaltung), ist auch darauf einzugehen und zu beschreiben, wie diese Funktionen genutzt werden.
• Auch im Hinblick auf weitere, sicherheitsrelevante Einstellungen der Betriebssysteme und Anwendungsprogramme sollte angegeben werden, wie davon Gebrauch gemacht wird.
• Was eventuell vorgesehene Fernsteuerungs- und Fernwartungsmaßnahmen betrifft, so sollte erwähnt werden, wie dieser Zugriff jeweils erfolgen soll (z. B. über Landesverwaltungsnetz, ISDN-Wählverbindung oder über Internet) und welche sicherheitsrelevanten Parameter und welche sonstigen Schutzmaßnahmen dafür getroffen werden (z. B. Option zur Einwahl von außen deaktiviert, Mitwirkung der Systemverantwortlichen vor Ort beim Verbindungsaufbau, Protokollierung der durchgeführten Arbeiten).
• Im Zusammenhang mit der Anbindung lokaler Computer und Netzwerke an Verwaltungsnetze oder öffentliche Netze (z. B. ISDN-Netz, Internet) ist auch darzustellen, was getan wird, um einen unberechtigten Verbindungsaufbau zu verhindern.
• Sofern über die lokalen Netze auch E-Mails ausgetauscht oder im Internet gesurft werden soll, sind auch dafür entsprechende Sicherheitsmaßnahmen vorzusehen.
• Soweit ein Teil der Datenverarbeitung von einem externen Auftragnehmer, etwa einem regionalen Rechenzentrum ausgeführt wird, kann das Verfahrensverzeichnis auf Datenschutz- und Sicherheitskonzepte des Rechenzentrums verweisen, sofern deren Umsetzung zwischen Auftraggeber und Auftragnehmer vereinbart ist. Wichtig ist dabei dann allerdings, dass die Auftraggeber diese Konzeptionen vor Auftragserteilung und auch später jederzeit einsehen können, dass die Verweise auf konkrete Inhalte (also z. B. Gliederungsnummern oder Kapitel von genau bezeichneten Dokumenten - Angabe des genauen Titels und Stand) gerichtet sind und dass die Umsetzung der genannten Maßnahmen zwischen Auftraggeber und Auftragnehmer vertraglich vereinbart ist.

Die hier genannten Punkte können nur beispielhaft für Fragestellungen stehen, die im Verfahrensverzeichnis zu berücksichtigen sind. Je nach der Nutzungssituation vor Ort kann die Behandlung weiterer Punkte im Verfahrensverzeichnis erforderlich sein. Weitere in Frage kommende Maßnahmen werden etwa in unseren Merkblättern zu folgenden Themen angesprochen:

• Einsatz von PC und lokalen Netzwerken
• Fernsteuerung
• Fernwartung
• Internet und Datenschutz

Ist es im Einzelfall unklar, ob und mit welcher Ausführlichkeit bestimmte Fragestellungen im Verfahrensverzeichnis angesprochen werden sollen, so kann es hilfreich sein, sich in die Rolle eines Lesers zu versetzen, der der öffentlichen Stelle nicht angehört, aber anhand des Verfahrensverzeichnisses darüber informiert werden soll, welche Datenverarbeitungsvorgänge ablaufen, auf welcher Rechtsgrundlage dies erfolgt und ob dafür ausreichende technische und organisatorische Schutzmaßnahmen ergriffen wurden.

Vor dem Hintergrund dieser praktischen Erfahrungen haben wir auch unser Merkblatt zum Führen eines Verfahrensverzeichnisses überarbeitet. Die aktuelle Fassung ist unter http://www.baden-wuerttemberg.datenschutz.de/service/lfd-merkblaetter/verfahrensverzeichnis.htm abrufbar.