25. Tätigkeitsbericht 2004 - Inhaltsverzeichnis

5. Teil: Technik und Organisation

1. Sensible Daten auf dem Präsentierteller
1.1 Mängel im Netz der Justizvollzugsanstalten
1.2 Mängel im Netz eines Landratsamts
1.3 Mängel im Netz eines weiteren Landratsamts
1.4 Mängel im Netz eines Staatlichen Schulamts
1.5 Woran haperte es?
1.5.1 Nachlässiger Umgang mit Dateifreigaben
1.5.2 Nachlässige Konfiguration der Arbeitsplatz-PC
1.5.3 Installation von Fachverfahren unzulänglich
1.5.4 Unzulänglichkeiten beim Betrieb und bei der Nutzung von Terminalservern
1.5.5 Unzureichende Sicherheitsmaßnahmen bei der Netzkoppelung
1.5.6 Unsachgemäße Nutzung vorhandener Ablagestrukturen
1.5.7 Unzulänglichkeiten im Sicherheitskonzept
1.6 Datenschutzrechtliche Beurteilung

3. Virenschutz im LVN

5. Überraschungen beim Kauf eines Softwarepakets

1. Sensible Daten auf dem Präsentierteller

Die Vernetzung dienstlicher Arbeitsplatzcomputer ist in den vergangenen Jahren immer weiter vorangeschritten. Mittlerweile gibt es kaum noch einen Computer, der nicht Teil eines lokalen oder überregionalen Verwaltungsnetzes ist. Neben vielfältigen nützlichen Funktionen birgt diese zunehmende Vernetzung erhebliche Sicherheitsrisiken. Unzulängliche Sicherheitsmaßnahmen können in einer vernetzten Umgebung dazu führen, dass eine Vielzahl von Personen auf Daten zugreifen kann, die nicht für sie bestimmt sind. Gleich mehrere in diesem Jahr durchgeführte Kontrollen offenbarten eklatante Netzwerkmängel in Bereichen, in denen besonders schutzbedürftige Daten verarbeitet werden: Unter anderem waren medizinische Daten, Justizdaten, Personaldaten sowie Daten eines Gesundheitsamts, eines Sozialamts und einer Psychologischen Beratungsstelle nur unzulänglich vor unberechtigten Zugriffen geschützt. Folgende Mängel stellten wir bei unseren Kontrollen in einer Justizvollzugsanstalt, in zwei Landratsämtern sowie in einem Staatlichen Schulamt fest:

1.1 Mängel im Netz der Justizvollzugsanstalten

Bei einer Kontrolle einer Justizvollzugsanstalt stellte sich heraus, dass die dortigen Bediensteten auf zahlreiche Dokumente zugreifen konnten, die auf Computern anderer Justizvollzugsanstalten gespeichert waren, ohne dass dafür eine dienstliche Notwendigkeit bestand. Unter anderem war es ohne weiteres möglich, von Computern der Justizvollzugsanstalt aus auf folgende Dokumente zuzugreifen:

• Dokumente des Justizvollzugskrankenhauses
   
• Über 3 100 jeweils mit Vor- und Nachnamen sowie zum Teil auch mit dem Geburtsdatum versehene Fotos von Gefangenen.
• Bis zu sechs Jahre alte Protokolle von Teamsitzungen. Darin war beispielsweise notiert, welcher Gefangene welchen Geldbetrag für einen Einkauf bei einem Versandhaus verwenden darf, oder wann, aus welchem Anlass und in Begleitung welcher Personen welcher Gefangene Ausgang erhält.
• Mehrere, jeweils auf ein Quartal bezogene tabellarische Übersichten über die Ergebnisse von Urinkontrollen bei Gefangenen. Darin waren jeweils unter anderem Vorname, Name und Geburtsdatum der Gefangenen, die Häuser und Bereiche, in denen sie untergebracht waren sowie das Datum der Kontrollen genannt. Ferner war angegeben, wer die Kontrollen angeordnet hatte und ob die Tests auf Kokain, Amphetamine sowie andere Substanzen jeweils positiv oder negativ ausgefallen waren.
• Eine Personalliste, der sich Namen, Vornamen und Geburtsdaten der Beschäftigten entnehmen ließen.

Mit der Zugriffsberechtigung eines lokalen Administrators der Justizvollzugsanstalt ließen sich darüber hinaus weitere Dokumente mit sensiblen personenbezogenen Daten öffnen, beispielsweise

• ein Schreiben des Justizvollzugskrankenhauses in Sachen eines darin mit Namen und Geburtsdatum genannten Gefangenen. Darin hieß es unter anderem über den Gefangenen:
  "Herr X ist zum körperlichen Drogenentzug ... im Justizvollzugskrankenhaus. ... Herr X hat ... wegen gefährlicher Körperverletzung eine dreimonatige Strafe zu verbüßen. ... Wegen familiärer Probleme habe er begonnen, Heroin zu konsumieren. ... Nach Auskunft des ihn betreuenden Pflegepersonals kommt es hier zu sozialen Unverträglichkeiten mit Mitgefangenen".
• ein Schreiben des Justizvollzugskrankenhauses an ein Notariat unter dem Betreff "Anregung einer Betreuung gemäß § 896 BGB". Darin ist zu einem durch Namen, Geburtsdatum und Geburtsort bezeichneten Gefangenen ausgeführt:
  "Wegen einer geistig-seelischen Störung ist er nicht in der Lage, seine Angelegenheiten zu besorgen. Wir regen daher für Herrn X eine Betreuungsbeiordnung an. Die Betreuung sollte die Gesundheits- und Vermögensfürsorge sowie die Bestimmung des Aufenthalts umfassen."
   
• Dokumente einer anderen Justizvollzugsanstalt
   
• Eine Übersicht der Vollzugsbediensteten dieser Justizvollzugsanstalt mit Angabe ihrer Vor- und Nachnamen, privater Anschriften sowie Telefonnummern.
• Ein mit "Schießausbildung" überschriebenes Dokument, das für mehrere namentlich genannte Bedienstete die Teilnahme am Übungsschießen anordnet.
• Angaben über die Durchführung der Briefkontrolle bei Untersuchungshäftlingen. Neben den Namen der Häftlinge war daraus zu entnehmen, welcher Stelle die Briefe zur Kontrolle vorzulegen sind und welches Aktenzeichen dabei jeweils anzugeben ist.
   
• Dokumente einer weiteren Justizvollzugsanstalt

Es war möglich, die auf den Arbeitsplatzcomputern dieser Justizvollzugsanstalt gespeicherten Benutzerprofile namentlich genannter Anwender einzusehen und dabei auch Informationen über Internet-Angebote zu erhalten, die diese Nutzer in Anspruch genommen haben.

Die hier erwähnten Dokumente stellen nur einen Teil der zahlreichen Dokumente anderer Justizvollzugsanstalten dar, auf die von Arbeitsplatz-PC der kontrollierten Justizvollzugsanstalt aus zugegriffen werden konnte. Die Zugriffsberechtigungen waren dabei zudem vielfach so gestaltet, dass diese Dokumente nicht nur hätten gelesen, sondern auch verändert werden können. Eine entsprechende Konfiguration der lokalen Arbeitsplatz-PC vorausgesetzt, bestanden die genannten Zugriffsmöglichkeiten nicht nur für Bedienstete dieser Justizvollzugsanstalt, sondern auch für Bedienstete anderer Justizvollzugsanstalten.

1.2 Mängel im Netz eines Landratsamts

Das Landratsamt betreibt in seiner Hauptstelle sowie in mehreren Außenstellen mehrere hundert Arbeitsplatz-PC sowie mehrere von diesen PC aus zugängliche Server. Bei einer an einem Arbeitsplatz des Sozialamts in der Hauptstelle durchgeführten stichprobenweisen Überprüfung ergab sich, dass von diesem PC aus eine Vielzahl personenbezogener Dokumente anderer Organisationseinheiten ohne weiteres gelesen und vielfach auch geändert werden konnte, ohne dass dies dienstlich erforderlich war. Im Einzelnen waren beispielsweise folgende Zugriffe möglich:

• Zugriff auf Dokumente einer Psychologischen Beratungsstelle des Landratsamts
   
• Eine Aktennotiz, in der über einen namentlich genannten Klienten unter anderem ausgeführt war, dass dieser wegen Vergewaltigung im Wiederholungsfall in einem Zentrum für Psychiatrie untergebracht ist und in der beschrieben wird, wie er nach der Haftentlassung betreut werden kann. Die Aktennotiz enthielt ferner eine Darstellung der Schwierigkeiten, die im Zusammenhang mit der Entlassung des Klienten aus dem Zentrum für Psychiatrie und dessen Aufnahme in eine Einrichtung der ambulanten Betreuung bislang aufgetreten waren.
• Ein an eine Stellenbewerberin adressiertes Schreiben, in dem ihr unter anderem mitgeteilt wurde, dass das mit der Stellenbesetzung betraute Team zwar ihre fachliche Qualifikation und Berufserfahrung anerkennt, sich aber gleichwohl mehrheitlich für eine andere Bewerberin entschieden hat.
• Mehrere sozialtherapeutische Dokumentationen, in denen unter anderem die einzelnen soziotherapeutischen Maßnahmen aufgezählt und dazu das Datum der Maßnahme, die Dauer, das jeweilige Ziel, der Inhalt und der Behandlungsverlauf dargestellt waren. In einer dieser Dokumentationen war beispielsweise ausgeführt: "Terminabsprache schwierig", "Keine Motivation, hat Ängste", "Verfolgungswahn", "Er hat 30 Tropfen Haloperlidol zu viel genommen", "Suizidgedanken". Daneben war in einer weiteren Tabelle die Zusammenarbeit mit verordnendem Arzt und sonstigen Leistungserbringern dargestellt. Darin war neben dem jeweiligen Datum u. a. vermerkt: "Arztgespräch, es geht mit den Medikamenten besser. Problem bleibt Alkohol", "Arztbesuch: Kontrolle, dass er seine Spritze abholt" oder "Erstgespräch mit dem Betreuten Wohnen. Arbeitsbündnis konnte mit Herrn X und der Familie erzielt werden".
• Einverständniserklärung, mit der eine durch Namen und Anschrift bezeichnete Person ihr Einverständnis dazu erklären sollte, dass die Arbeit ihres Kindes am Tonfeld per Videokamera aufgezeichnet wird.
• Ein Schreiben an eine durch Namen und Anschrift bezeichnete Person, in dem ihr der Termin für ein Erstgespräch mitgeteilt wurde.
   
• Fotos aus der Kfz-Geschwindigkeitsüberwachung

Zugegriffen werden konnte auf etwa 100 000 Bilddateien mit Fotos und Fotoausschnitten, von denen jeweils fünf einen Geschwindigkeitsverstoß dokumentieren. Dabei zeigte ein Großbild das Fahrzeug mit Insassen. Ferner waren darin als Messdaten Tagesdatum und Uhrzeit sowie die gemessene Geschwindigkeit eingeblendet. Ein zweites Bild enthielt einen vergrößerten Bildausschnitt, der in der Regel die Fahrerin oder den Fahrer zeigte. Weitere Fotos gaben das Kfz-Kennzeichen wieder. Daneben konnte auf andere Dateien zugegriffen werden, die weitere im Zuge der Ahndung der Geschwindigkeitsverstöße verarbeitete Daten enthielten.

• Dokumente einer Außenstelle des Sozialamts
   
• Ein Aktenvermerk, in dem die Situation einer durch Namen, Geburtsdatum und Wohnanschrift bezeichneten Klientin beschrieben und dazu unter anderem ausgeführt wurde:
  "Die Situation von Frau X wurde im Arbeitskreis ‚Betreutes Wohnen' am ... besprochen und es wurde dort beschlossen, Frau X in das Betreute Wohnen aufzunehmen.
  ...
  Frau X stammt aus ... und betrachtet den Ort auch als ihre Heimat.
  ...
  Vom ... bis ... befand sich Frau X im Zentrum für Psychiatrie XY zur stationären Behandlung. Gem. dem dortigen Attest liegt eine schwere depressive Störung mit Suicidalität sowie zeitweise auftretenden Panikattacken bei abhängiger Persönlichkeitsstörung vor. Nach ihrer Entlassung wohnte sie zunächst bei ... in ..., wo es jedoch zu größeren Schwierigkeiten kam, so dass sie am ... wieder nach ... übersiedelte.
  Aufgrund ihrer psych. Erkrankung braucht Frau X umfassende Anleitung und Versorgung im Alltag, wenngleich sie nicht pflegebedürftig ist."
• Ein "Freier Mitarbeiter-Vertrag", dem neben Name und Anschrift des Mitarbeiters unter anderem Art und Inhalt der Aufgaben sowie die Honorarvereinbarung zu entnehmen waren.
• Ein an eine Hochschule adressiertes Schreiben, in dem es über eine ehemalige Praktikantin hieß:
  "In Ergänzung unseres Dienstzeugnisses vom ... teilen wir mit, dass Frau X im Rahmen der von uns beurteilbaren Leistungen für ihr Praktikum vom ... bis ... eine Gesamtnote von 10 Punkten erhält."
• Zugegriffen werden konnte auf eine Datei, in der offenbar personenbezogene Buchungsdaten eines Fachverfahrens des Jugendamts gespeichert waren und die zumindest teilweise lesbar gemacht werden konnten, ohne dafür das entsprechende Fachverfahren aufrufen zu müssen. Vielmehr war es möglich, die Datei mit Hilfe eines einfachen Dateieditors zu öffnen. So ließen sich zahlreiche personenbezogene Angaben im Klartext lesen. Unter anderem fanden sich in den einzelnen Datensätzen Buchungszeichen, Datumsangaben sowie Betreffeinträge wie "Unterhaltsvorschuss", "Erstattung UVG-Leist", wobei jeweils auch Vor- und Nachnamen genannt waren.

Die Zugriffsberechtigungen waren dabei vielfach so gestaltet, dass alle Mitarbeiterinnen und Mitarbeiter des Landratsamts, die einen PC nutzen, die genannten Dokumente nicht nur öffnen und lesen konnten, sondern die Dokumente auch hätten ändern können. Zum Teil waren die Zugriffsberechtigungen auf die Bediensteten des Sozialamts beschränkt.

1.3 Mängel im Netz eines weiteren Landratsamts

Bei einer stichprobenweisen Überprüfung an einem Arbeitsplatz des Sozialamts war es möglich, beispielsweise auf folgende Dokumente des Gesundheitsamts zuzugreifen:

• Das Protokoll einer mündlichen Heilpraktiker-Prüfung, die von Vertretern des Gesundheitsamts durchgeführt wurde. Darin waren zunächst die jeweiligen Fragen und Antworten des Prüflings protokolliert. Anschließend erfolgte eine Bewertung der Antworten. Das Protokoll endet mit der Feststellung:
  "Nach ausführlicher Diskussion wird übereinstimmend festgestellt, dass die Überprüfung aufgrund erheblicher Kenntnislücken im Bereich des Basiswissens nicht bestanden ist."
• Ein per Einschreiben zu versendender Brief an einen Heilpraktiker, dem zu entnehmen ist, wann ihm von wem die Erlaubnis zur Ausübung der Heilkunde erteilt wurde. Ferner heißt es:
  "Dem Landratsamt - Gesundheitsamt - wurden Tatsachen bekannt, nach denen es nicht länger möglich ist, dass Sie weiterhin als Heilpraktiker tätig sind.
  ...
  Uns liegt ein Urteil des Amtsgerichts ... vom ... Aktenzeichen ... vor, mit dem Sie rechtskräftig wegen Missbrauchs von Titeln, Berufsbezeichnungen und Abzeichen in ... Fällen und wegen Betruges verurteilt wurden.
  ...
  Sie haben sich in mindestens ... nachgewiesenen Fällen insbesondere im Rahmen Ihrer Tätigkeit als Heilpraktiker des Doktortitels bedient, obwohl Ihnen dieser - wie Sie sehr wohl wussten - nicht verliehen worden war. ... Das vorliegende Verhalten lässt den Schluss zu, dass Ihnen die nach § 2 Abs. 1f 1 DV HprG notwendige sittliche bzw. berufliche Zuverlässigkeit fehlt."
• Ein Vermerk über den Entzug der Heilpraktikererlaubnis eines Heilpraktikers. Ergänzend war diesem Vermerk zu entnehmen:
  "Gegen den Betreffenden wird seit Jahren ermittelt. Zunächst wegen des Betreibens der Arztpraxis, die von Herrn X nicht ordnungsgemäß als Heilpraktikerpraxis ausgewiesen wurde. Des Weiteren hatte er bei einem Besuch der Gesundheitsbehörde verschreibungspflichtige und zudem abgelaufene Medikamente im Schrank. Anschließend wegen erheblicher Steuerschulden aus einer vorherigen selbständigen Tätigkeit."
• Ein Schreiben an einen Heilpraktiker, in dem es heißt:
  "Wie uns von der Staatsanwaltschaft ... mitgeteilt wurde, sind Sie bereits zum zweiten Mal wegen Diebstahl rechtskräftig verurteilt worden. ... Die vorliegenden Straftaten begründen eine Rücknahme der Erlaubnis [gemeint ist die Heilpraktikererlaubnis] noch nicht. Wir möchten Sie jedoch auf die Möglichkeit hinweisen, wenn zusätzliche Tatsachen eintreten, die eine berufliche Unzuverlässigkeit vermuten lassen."

1.4 Mängel im Netz eines Staatlichen Schulamts

Das Kultusministerium hat bereits vor Jahren ein privates Unternehmen mit dem Betrieb der PC und lokalen Netzwerke des Kultusministeriums, der Oberschulämter, der staatlichen Schulämter und weiterer, der Kultusverwaltung angehörender Einrichtungen beauftragt. Dabei wurde auch festgelegt, dass für jede Dienststelle eine sog. allgemeine Ablage einzurichten ist. Daneben sollten, je nach Bedarf der einzelnen Dienststellen, weitere Ablagen eingerichtet werden, auf die nicht die gesamte Dienststelle, sondern nur ein Teil der Bediensteten zugreifen können soll. Die Einrichtung und Nutzung derartiger Ablagen ist datenschutzrechtlich immer dann erforderlich, wenn personenbezogene Daten verarbeitet werden und nicht alle Bediensteten, die auf die allgemeine Ablage zugreifen können, Kenntnis von diesen Daten erhalten dürfen. Demgegenüber speicherte das von uns kontrollierte Staatliche Schulamt grundsätzlich sämtliche Daten im Verzeichnis "Allgemeines". Dazu gehören unter anderem auch Daten über die Durchführung der sonderpädagogischen Untersuchung einzelner Schülerinnen und Schüler, bei denen darüber zu entscheiden ist, ob sie einen besonderen Förderungsbedarf haben und, wenn ja, ob die notwendige besondere Förderung an der bisherigen Schule oder an einer anderen Schule erbracht werden kann. Es liegt in der Natur der Sache, dass dabei zum Teil medizinische und andere sensible personenbezogene Daten verarbeitet werden. Bei stichprobenweisen weiteren Kontrollen ergab sich, dass in der allgemeinen Ablage auch Daten über Bewerber und andere im Zusammenhang mit einer Stellenbesetzung erfasste Daten sowie beispielsweise auch Arbeitszeitblätter einzelner Mitarbeiter abgelegt waren.

1.5 Woran haperte es?

Die bei mehreren Kontrollen festgestellten gravierenden Datenschutzmängel im Umgang mit lokalen und überregionalen Computernetzwerken machen deutlich, dass offenbar nicht nur in Einzelfällen erheblicher Nachholbedarf in Sachen Netzwerksicherheit besteht. Um durchgreifende Verbesserungen erzielen zu können, galt es zunächst, die Ursachen dieser Datenschutzmängel zu ermitteln. Dabei stellte sich heraus, dass die festgestellten Mängel insbesondere auf folgende Fehler zurückzuführen waren:

1.5.1 Nachlässiger Umgang mit Dateifreigaben

Schließt man mehrere Computer zu einem Netzwerk zusammen, so können über die Funktion der so genannten Dateifreigabe die auf einem Computer gespeicherten Daten für einen Zugriff durch andere am Netz angeschlossene Computer bereitgestellt werden. Die bei den Justizvollzugsanstalten sowie einem Landratsamt festgestellten Mängel gingen jeweils darauf zurück, dass solche Dateifreigaben für Verzeichnisse eingerichtet waren, für die sie nicht hätten eingerichtet werden dürfen. Diese höchst kritische Eigenschaft von Verzeichnissen erfordert, dass Freigaben nur nach gründlicher Planung und kritischer Prüfung der dadurch gewährten Zugriffsmöglichkeiten eingerichtet werden dürfen.

1.5.2 Nachlässige Konfiguration der Arbeitsplatz-PC

Aufgrund ihrer datenschutzkritischen Rolle dürfen Freigaben nur von autorisierten Personen, in der Regel somit von Netzwerkadministratoren, eingerichtet werden. Das bedeutet zugleich, dass die Bildschirmarbeitsplätze so eingerichtet werden müssen, dass die dort tätigen Sachbearbeiter keine solchen Dateifreigaben einrichten können. Leider waren in den betroffenen Dienststellen die Computer häufig so eingerichtet, dass jeder Nutzer Freigaben einrichten konnte.

1.5.3 Installation von Fachverfahren unzulänglich

Die Mängel bei den Freigaben lenkten den Blick auch auf folgendes Problem: Mitunter waren Fachverfahren so installiert, dass man mit ganz einfachen Mitteln, wie einem in jedem Windows-System verfügbaren Texteditor (z. B. Notepad), unter Umgehung der von den Fachverfahren selbst realisierten Zugriffsbeschränkungen quasi geradewegs und ungefiltert auf die von diesen Verfahren bearbeiteten Daten zugreifen konnte. Alle innerhalb des Verfahrens gebotenen Maßnahmen zur Zugriffsverwaltung und -beschränkung laufen dann ins Leere, wenn ein solcher unmittelbarer Zugriff nicht verhindert wird.

1.5.4 Unzulänglichkeiten beim Betrieb und bei der Nutzung von Terminalservern

Um sich die Bereitstellung und Pflege einheitlich ausgestatteter Bildschirmarbeitsplätze zu erleichtern, setzen einige Dienststellen sog. Terminalserver ein. Dabei werden alle diejenigen Anwendungen und Daten, die ansonsten lokal auf jedem einzelnen Arbeitsplatz-PC installiert und gespeichert werden, nur noch auf einem oder einigen wenigen Terminalservern installiert. Der lokale PC dient dann nur noch dazu, die Tastatureingaben des Benutzers an den Terminalserver zu leiten und den vom Terminalserver erzeugten Bildschirminhalt am Monitor des Arbeitsplatz-PC anzuzeigen. In einem der oben genannten Fälle wurden die unberechtigten Zugriffsmöglichkeiten dadurch eröffnet, dass ein Nutzer die schutzbedürftigen Daten auf der lokalen Festplatte des Terminalservers gespeichert hatte. Da die dafür eingerichteten Zugriffsberechtigungen einen Vollzugriff durch alle Nutzer des Terminalservers vorsahen, hätten auch sämtliche anderen Nutzer dieses Terminalservers ohne weiteres auf diese lokal gespeicherten Daten zugreifen können, auch wenn sie dies zur Erfüllung ihrer dienstlichen Aufgaben gar nicht benötigten.

1.5.5 Unzureichende Sicherheitsmaßnahmen bei der Netzkoppelung

Zumindest die im Netz der Justizvollzugsanstalten sowie die im Netz eines Landratsamts festgestellten standort- und dienststellenübergreifenden Netzzugriffe sind nur dann möglich, wenn die zur Verknüpfung der verschiedenen lokalen Netze dienenden Netzknotencomputer (die sog. Router) die dazu benötigten Kommunikationswege bereitstellen. Welche Kommunikationsmöglichkeiten ein Router unterstützt und welche nicht, lässt sich vom Betreiber des Netzwerks in sog. Routing- und Filtertabellen festlegen. Die festgestellten Mängel machen deutlich, dass die Netzbetreiber nur unzureichend von dieser Möglichkeit Gebrauch gemacht haben, denn die Netzknotencomputer ermöglichten netzübergreifende Zugriffe im Rahmen der Dateifreigabe, die dienstlich nicht erforderlich sind. Hätten die Dienststellen die Möglichkeit genutzt, die Netzknotencomputer so zu konfigurieren, dass diese nur die erforderlichen Datenströme über die Grenzen des eigenen lokalen Netzes hinaus an andere Computer und Netzwerke weiterleiten, so hätten die unter Nummern 1.5.1 bis 1.5.3 beschriebenen Fehler zumindest nur die jeweiligen lokalen Netze berührt.

1.5.6 Unsachgemäße Nutzung vorhandener Ablagestrukturen

Die beim Staatlichen Schulamt festgestellten Mängel rührten daher, dass dort - offenbar aufgrund fehlenden Problembewusstseins - ein auf einem Server eingerichtetes Dateiverzeichnis, auf das alle Bediensteten Zugriff hatten, genutzt wurde, um schutzbedürftige personenbezogene Daten zu speichern, auf die nur einige wenige Bedienstete zur Erfüllung ihrer dienstlichen Aufgaben zugreifen können müssen.

1.5.7 Unzulänglichkeiten im Sicherheitskonzept

Um ein möglicherweise sogar über mehrere Standorte verteiltes Computernetzwerk datenschutzgerecht zu betreiben, ist eine Vielzahl technischer und organisatorischer Aspekte zu berücksichtigen. Schon weil diese auf der einen Seite netzwerkweit abgestimmt sein müssen, auf der anderen Seite aber oft von mehreren, zum Teil nur örtlich tätigen Systembetreuern umgesetzt werden müssen, ist es notwendig, die insgesamt notwendigen Datenschutzmaßnahmen in einem IT-Sicherheitskonzept für den Betrieb dieses Netzwerks zusammenzufassen. Die vorgefundenen Mängel machen deutlich, dass diese Konzepte, soweit überhaupt vorhanden, unzulänglich waren. Zwar hätte allein das Vorhandensein eines solchen Konzepts noch nicht ausschließen können, dass einmal eine darin vorgesehene Maßnahme nicht korrekt umgesetzt wird. Angesichts der Tatsache, dass die beschriebenen Mängel teilweise mehrere der oben genannten einzelnen Fehler voraussetzen, muss aber davon ausgegangen werden, dass die Erarbeitung und konsequente Umsetzung eines solchen Konzepts dazu beigetragen hätte, das Auftreten solch folgenschwerer Fehler zu vermeiden.

1.6 Datenschutzrechtliche Beurteilung

Die gewährten, aber nicht erforderlichen Möglichkeiten zum Zugriff auf die genannten, vielfach besonders sensiblen Justiz-, Personal- und Gesundheitsdaten habe ich gegenüber dem Justizministerium sowie gegenüber den betroffenen Landratsämtern beanstandet. Im Hinblick auf die Beanstandung des oben erstgenannten Landratsamts spielte für mich dabei auch eine Rolle, dass Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung nämlich nach § 203 Abs. 1 des Strafgesetzbuchs all das, was ihnen bei der Ausübung ihrer Tätigkeit anvertraut oder sonst bekannt wird, nicht unbefugt offenbaren dürfen. Diese strafbewehrte berufliche Schweigeverpflichtung gilt in gleichem Maße für staatlich anerkannte Sozialarbeiter und staatlich anerkannte Sozialpädagogen. Unter anderem war bei etlichen der unzureichend geschützten Dokumente der hier angesprochenen Psychologischen Beratungsstelle von solchermaßen anvertrauten Informationen auszugehen. Ferner war zu berücksichtigen, dass die unzureichend geschützten Dokumente teilweise auch Personalaktendaten enthielten, die dem Personalaktendatengeheimnis unterliegen.

Mein Kontrollbericht hinsichtlich der Mängel bei dem kontrollierten Staatlichen Schulamt wird dieser Tage versandt. Um die Mängel auszuräumen, forderte ich die Landratsämter, das Justizministerium und die Justizvollzugsanstalten auf, ihre Konzeptionen für netzinterne und netzübergreifende Zugriffsmöglichkeiten zu überprüfen und sicherzustellen, dass nichtzulässige Zugriffe technisch auch nicht durchgeführt werden können. Daneben sind für Fachverfahren Ablagekonzepte zu erarbeiten und umzusetzen, die es künftig verhindern, dass Nutzer unmittelbar auf die von den Fachverfahren benutzten Dateien zugreifen und dadurch Daten in Erfahrung bringen können, die nicht für sie bestimmt sind.

Ferner sind Sicherheitskonzepte für die im standortübergreifenden Verbund betriebenen lokalen Netzwerke zu erarbeiten, die verhindern, dass Daten für einen Zugriff über Netz freigegeben werden, ohne dass dies zuvor unter Berücksichtigung der Konsequenzen ausdrücklich so festgelegt wurde. Vorgaben hinsichtlich der Konfiguration der einzelnen Arbeitsplatz-PC sind dazu ebenso erforderlich wie Richtlinien darüber, wer unter welchen Voraussetzungen Freigaben einrichten darf. Generell sollten diese Konzeptionen so gestaltet sein, dass auch Mitarbeiter, die zur Wahrnehmung ausschließlich lokaler Systemverwaltertätigkeit über Administrationsberechtigungen verfügen, damit nicht auf personenbezogene oder andere schutzbedürftige Daten zugreifen können, die in anderen lokalen Netzen gespeichert sind.

Beim Einsatz von Terminalservern ist darauf zu achten, dass durch entsprechende Zugriffsberechtigungen die Speichermöglichkeiten auf der lokalen Festplatte möglichst weitgehend unterbunden werden und die Nutzer zudem für die Problematik sensibilisiert werden.

Im Hinblick auf die Nutzung zentraler Dateiablagestrukturen muss sichergestellt sein, dass diese - insbesondere im Hinblick auf die damit verbundenen Zugriffsberechtigungen - auf die dienstlichen Bedürfnisse der nutzenden Dienststelle abgestimmt sind und dass die Bediensteten dafür sensibilisiert werden, personenbezogene oder andere schutzbedürftige Daten nur in solchen Ablagen zu speichern, auf die jeweils nur diejenigen anderen Nutzer zugreifen können, die dies zur Erfüllung ihrer Aufgaben benötigen.

Zu begrüßen ist, dass alle betroffenen Stellen rasch reagiert und Abhilfe zugesichert haben.

2. Gravierende Mängel in Computernetzen

2.1 Auf Gemeindeebene

Bei der Kontrolle einer Gemeinde stießen wir erneut auf Unzulänglichkeiten, wobei wir eigentlich gehofft hatten, diese nicht mehr vorfinden zu müssen. Konkret ging es um die Einstellungen hinsichtlich der Kennwörter, die beim Start eines Rechners bei der Anmeldung einzugeben sind, und um die Anforderungen an die Durchführung von Anmeldungen. Diese Festlegungen sind deshalb wichtig, weil mit der Anmeldung und dem Kennwort der im Landesdatenschutzgesetz geforderten Benutzerkontrolle Genüge getan werden soll. Die Risiken bei unachtsamer Wahl des Kennworts und ungenügender Anmeldeprozedur bestehen darin, dass Kennwörter leichter abgehört oder erraten werden können und dann unberechtigterweise auf personenbezogene Daten zugegriffen werden kann. Die Brisanz der ungenügenden Maßnahmen wird dadurch verschärft, dass bei dem von der Gemeinde verwendeten Betriebssystem sehr häufig, ohne dass die Benutzer es merken, automatisch Anmeldungen in ihrem Namen an anderen Systemen durchgeführt werden, sobald beispielsweise auf so genannte Netzlaufwerke, Netzdrucker oder Postfächer zugegriffen wird. Im Einzelnen wurde Folgendes festgestellt:

• Fehlende minimale Kennwortlänge

Moderne Betriebssysteme erlauben es normalerweise, dass eingestellt werden kann, wie lange ein Kennwort für eine Anmeldung mindestens sein muss. Die Einstellung der minimalen Länge der Kennworte war bei der Gemeinde nicht vorgenommen worden. Das hat dann meist zur Folge, dass Benutzer, um sich nicht ein Kennwort merken zu müssen, das aus acht oder mehr Zeichen besteht, und um sich Tipparbeit bei der Eingabe zu sparen, ein Kennwort wählen, das aus einem oder - wohl um das Sicherheitsniveau um rechnerisch ja richtige 100 Prozent zu "steigern" - zwei Zeichen besteht. Dabei wird einfallsreich häufig auf die Initialen des eigenen Vor- und Nachnamens zurückgegriffen. Den Benutzern ist häufig nicht bekannt, dass Unbefugte unter ihrem Namen über andere Rechner auf die von ihnen verarbeiteten personenbezogenen Daten zugreifen können - wenn vor diesem Hintergrund Benutzer auf ein Benutzerkennwort sogar gänzlich verzichten, ist dies besonders bedenklich. Dem muss die Gemeinde dadurch präventiv entgegenwirken, dass sie die Mindestlänge eines Benutzerkennworts auf acht Zeichen festlegt.

• Vermeidung der Kennwortalterung

Moderne Betriebssysteme erlauben es normalerweise, dass eingestellt werden kann, wie lange ein Kennwort gültig ist. Wenn die Gültigkeit des Kennworts erloschen ist, wird der Benutzer aufgefordert, ein neues Kennwort einzugeben. Seit langem empfehlen technische Datenschützer, zur Erhöhung der Systemsicherheit einen Mechanismus zur Vermeidung der Kennwortalterung zu nutzen, da ein Kennwort immer wieder einmal, etwa durch versehentliches lautes Buchstabieren bei der Eingabe oder dadurch, dass Dritte bei der Eingabe auf die Tastatur blicken, offenbart werden kann. Anscheinend war der Gemeinde dies nicht bekannt, denn dieser Empfehlung hatte sie sich nicht angeschlossen und darauf verzichtet, den entsprechenden Systemschutz einzuschalten. Das muss sie jetzt nachholen.

• Fehlende Kennworthistorie

Hat man den Mechanismus zur Vermeidung der Kennwortalterung eingeschaltet, versuchen Benutzer diesen häufig dadurch zu umgehen, dass sie das Kennwort nach erzwungenem Kennwortwechsel sofort auf das alte Kennwort zurücksetzen. Moderne Betriebssysteme erlauben es daher nicht nur, die Dauer, für die ein Kennwort mindestens gültig sein muss, einzustellen, sondern sie führen für jeden Benutzer eine Liste der Kennwörter, die der Benutzer schon verwendet hat. Das Führen einer solchen Kennworthistorie wird dringend empfohlen. Sie sollte ausreichend umfangreich sein, so dass sichergestellt ist, dass die Benutzer bei jedem erzwungenen Kennwortwechsel ein neues Kennwort wählen müssen.

Um der Neigung vorzubeugen, dass Benutzer Begriffe aus einem Lexikon als Kennwörter verwenden, ist noch anzumerken, dass die Zusammensetzung von Kennwörtern bei modernen Betriebssystemen auch vorgegeben werden kann. Schwer zu erratende Kennwörter sollten aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie Punkt, Komma oder Ausrufungszeichen bestehen.

• Fehlende Anmeldesperre

Moderne Betriebssysteme erlauben es, missbräuchliche Anmeldeversuche dadurch zu blockieren, dass die Benutzerkennung nach einer bestimmten Anzahl von Anmeldeversuchen deaktiviert wird und Anmeldungen mit dieser Benutzerkennung ohne Freischaltung der Benutzerkennung durch einen Systemadministrator nicht mehr möglich sind. Diese Vorkehrung ist notwendig, weil innerhalb eines Netzwerks Anmeldungen von jedem Rechner durchgeführt werden können. Die dafür notwendigen Benutzernamen können auf vielfältige Weise in Erfahrung gebracht werden. Es kann dann unter Nutzung des Benutzernamens auf die in einem System gespeicherten Daten zugegriffen werden, indem Anmeldungen vorgenommen werden, wobei versucht wird, das Kennwort, das der Benutzerkennung zugeordnet ist, zu erraten. Die Rateversuche werden automatisch von einem anderen Rechner über ein Netzwerk durchgeführt und als Kennwörter beispielsweise Begriffe aus einem Lexikon oder einem Wörterbuch benutzt. Wenn das Kennwort, wie bei den Einstellungen dieser Gemeinde möglich, einfach aufgebaut ist, dann führen die Rateversuche, die auch bei langsameren Systemen mindestens fünfmal pro Sekunde durchgeführt werden können, früher oder später zum Erfolg. Deshalb ist es erforderlich, eine Maßnahme zu ergreifen, die dies verhindert, indem weitere Versuche, eine Anmeldung mit der Benutzerkennung durchzuführen, nach einer festen Anzahl fehlgeschlagener Anmeldeversuche unterbunden werden. Aber genau diese Einstellung hatte die Gemeinde nicht getroffen. Bei den angetroffenen Einstellungen war es möglich, beliebig viele Anmeldeversuche mit einer Benutzerkennung zu unternehmen. Verschlimmert wird das Ganze noch dadurch, dass dies häufig von den Benutzern gar nicht bemerkt wird. Erst wenn eine Anmeldesperre greift, würde erkennbar, dass fehlgeschlagene Anmeldungen mit einer Benutzerkennung durchgeführt wurden.

Neben diesen Mängeln stießen meine Mitarbeiter bei der Überprüfung des Aktenmanagementsystems auf einen weiteren datenschutzrechtlichen Fehltritt: Die Gemeinde verwaltet ihre Akten rechnergestützt mit einem Aktenmanagementsystem. Damit bildet sie den Landesaktenplan ab. Eine Akte besteht hierbei aus Informationen zur Akte und aus Dokumenten. Die Informationen, die der Suche und Auswertung dienen, werden in einem Datenbanksystem hinterlegt. Die Dokumente, die zu einer Akte gehören, werden im Dateisystem eines Servers gespeichert. Das Aktenmanagementsystem erlaubt sehr spezialisierte Einstellungen dahingehend, wer worauf Zugriff hat. Diese Zugriffsmechanismen wurden von der Gemeinde auch genutzt, indem sie die Mitarbeiter der Gemeindeverwaltung entsprechend den einzelnen Ämtern so in Gruppen eingeteilt hatte, wie die Tätigkeiten der Mitarbeiter den Zugriff auf die einzelnen Akten erfordern. Sowohl auf der Ebene des Datenbanksystems als auch auf der des Dateisystems wurden die Akten und Dokumente durch Gruppenattribute geschützt. Nur Mitgliedern der entsprechenden Gruppen wurde der Zugriff auf die Dokumente gewährt. Insofern gab es nichts zu bemängeln. Dennoch hatte die Gemeinde einen datenschutzrechtlich schweren Fehler begangen. Sie hatte nämlich eine Akte "Alles" angelegt und geführt, auf die jeder Mitarbeiter der Gemeindeverwaltung lesenden und schreibenden Zugriff hatte. In dieser Akte wurden beispielsweise die Ratsvorlagen für Gemeinderatssitzungen gesammelt. Darunter befanden sich Vorgänge zu Anträgen auf Stundungen von Bestattungsgebühren, zu unbefristeten Niederschlagungen von Zahlungsrückständen und zur Vergabe von Bauplätzen. Hierbei wurden nicht nur die Namen der Antragsteller und die Höhe der Geldforderungen, sondern auch Einzelheiten aus dem familiären Umfeld der Betroffenen in den Dokumenten offenbart. Die Gemeinde wurde auf die datenschutzrechtlich nicht zulässige Verarbeitung personenbezogener Daten hingewiesen; sie hat die Fehler eingeräumt und zugesagt, dass die Akte gelöscht und zukünftig bei der Vorbereitung von Gemeinderatssitzungen ein datenschutzrechtlich korrektes Verfahren angewandt wird.

2.2 Das neue Lebensmittelüberwachungs- und Veterinärinformationssystem LÜVIS

Was wir tagtäglich an Nahrung zu uns nehmen, soll höchsten Qualitätsansprüchen genügen. Ungenießbares oder sogar Gesundheitsgefährdendes gehört weder in die Verkaufsregale noch auf den Teller. Deshalb werden Lebensmittelerzeugung und Lebensmittelvertrieb gründlich überwacht. Dienststellen bei Gemeinden, Kreisen, Regierungspräsidien und Ministerien des Landes nehmen hierbei unterschiedlichste Aufgaben wahr. Um die Aufgaben, die zukünftig an die Lebensmittelüberwachung gestellt werden, bewältigen zu können, mussten die bisher verwendeten Systeme - Lebensmittelbetriebsdatei (LmBD) und Veterinärinformationssystem (VIS) - durch ein neues Informationssystem abgelöst werden. Mit dem neuen Verfahren LÜVIS wird ein Informationssystem zum Einsatz kommen, das den Behörden einen umfassenden Überblick im Lebensmittel- und Veterinärbereich geben soll. Jeder Betrieb, der im Land mit der Herstellung und dem Import von Lebensmitteln sowie mit dem Lebensmittelhandel zu tun hat, wird in diesem System gespeichert. Ebenso erstreckt sich die Kontrolle auf die Aufzucht von Tieren und die daran beteiligten Personen wie etwa Landwirte oder Tierärzte. Aber auch personenbezogene Angaben von Bürgern, die sich über ein Produkt eines Betriebes beschwert haben, werden in dem System erfasst.

Das bedeutet, dass in dem Informationssystem Daten einer Vielzahl von Personen gespeichert werden. Das System muss daher den Anforderungen gerecht werden, die das Datenschutzrecht an die Verarbeitung personenbezogener Daten stellt. Besonders zu beachten ist dabei, dass die Daten von unterschiedlichen Stellen erhoben und gespeichert werden, dass aber alle mit der Lebensmittelüberwachung beauftragten Stellen auf die Informationen ihres Verwaltungsbereichs zugreifen können müssen. Dass das Verfahren im Rahmen einer Datenverarbeitung im Auftrag von einer Dienststelle des Ministeriums für Ernährung und Ländlichen Raum für die nutzenden Kommunal- und Landesbehörden betrieben wird, macht die Sache nicht einfacher. Das hat das Ministerium, das den Entwicklungsauftrag für die Anwendung gegeben hat, erkannt und uns um beratende Mitwirkung gebeten.

Im Einzelnen haben wir uns zu folgenden Problemen geäußert:

• Automatisiertes Abrufverfahren

In dem System werden von unterschiedlichen Stellen personenbezogene Daten eingegeben und abgerufen. Es müssen dann die nach dem Landesdatenschutzgesetz für einen Abruf erforderlichen Maßnahmen getroffen werden. Insbesondere muss mindestens im Rahmen eines Stichprobenverfahrens die Zulässigkeit einer Übermittlung festgestellt und überprüft werden können. Hierfür sind entsprechende Protokollierungsmechanismen bereitzustellen.

• Speicherung von Bürgern als Beschwerdeführer

Die grundsätzliche Erforderlichkeit der Speicherung von personenbezogenen Daten von Bürgern, die an eine Behörde mit der Bitte um Prüfung herangetreten sind, ist nicht von der Hand zu weisen. Schließlich hat der Bürger ein Recht darauf, dass seine Eingabe beschieden wird, und dazu muss ihm mitgeteilt werden können, ob seine Beschwerde begründet war und welche Maßnahmen zur Wiederherstellung der Lebensmittelsicherheit ergriffen wurden. Hieraus ergibt sich auch, dass die Daten des Bürgers in einen Zusammenhang mit Ermittlungen, die beispielsweise in Probeentnahmen bestehen können, gebracht werden müssen. Wichtig ist jedoch, dass sich die Speicherfrist für die Daten des Bürgers von der Speicherfrist der im Zusammenhang mit der Beschwerde erhobenen Daten unterscheidet. Während Probedaten mehrere Jahre gespeichert werden dürfen, können die Daten von Bürgern häufig viel früher gelöscht werden. Wir haben darauf hingewiesen, dass die Systemarchitektur dem Grundsatz der Datenvermeidung Rechnung tragen muss.

• Speicherung von Betriebsangehörigen

Bei diversen Maßnahmen ist es aus Gründen der Beweissicherung notwendig, dass neben dem Geschäftsführer, dessen Identitätsdaten im Allgemeinen gespeichert sind, die Identität von anwesendem Betriebspersonal gespeichert wird, da diese Mitarbeiter möglicherweise als Zeuge auftreten müssen. Die gespeicherten Daten von Betriebsangehörigen sollten unverzüglich gelöscht werden, wenn absehbar ist, dass es zu keiner verwaltungsgerichtlichen Überprüfung der Maßnahme kommt. Gibt es ein verwaltungsgerichtliches Verfahren, so sollten die personenbezogenen Daten der Betriebsangehörigen nach Abschluss des Verfahrens gelöscht werden - die Daten einer Probeentnahme bleiben regelmäßig über den Zeitpunkt eines verwaltungsgerichtlichen Verfahrens hinaus gespeichert. Auch hier ist darauf hinzuwirken, dass unterschiedliche Speicherfristen systemtechnisch eingehalten werden können.

• Freitextfelder

Es ist nachzuvollziehen, dass nicht alle Daten eines Informationssystems, in dem Daten eines so breit gefächerten Anwendungsbereichs gespeichert werden, aus standardisierten Einzelangaben, wie beispielsweise Namen, Messwerten und Katalogbegriffen, bestehen können. Daher werden an einer Vielzahl von Stellen innerhalb der Anwendung sog. Freitextfelder verwendet. Allerdings bergen Freitextfelder, sofern die gespeicherten Daten einen Personenbezug haben, folgende Risiken:

• Die in Freitextfeldern gespeicherten Daten könnten einer unterschiedlichen Speicherfrist unterliegen. Eine automatische Löschung scheidet auf Grund der Unstrukturiertheit der Daten aus. Das heißt, dass eine datenschutzrechtlich zulässige Löschung nur dadurch bewerkstelligt werden kann, dass jeder Datensatz eines Freitextfelds manuell von einem Sachbearbeiter überprüft und gegebenenfalls Teile davon gelöscht werden. Dass diese Verfahrensweise ab einer bestimmten Anzahl von Datensätzen an seine Realisierungsgrenzen stößt, bedarf keiner weiteren Erklärung.
• Die in den Freitextfeldern gespeicherten Daten könnten nicht der Zweckbindung unterliegen, wobei wir regelmäßig davon ausgehen, dass die Lösung vom Zweckbindungsgebot nicht absichtlich erfolgt. Wenn man wie bei dieser Anwendung die Möglichkeit hat, in nahezu unbegrenztem Umfang Freitext einzugeben, besteht die Gefahr, dass man persönliche oder sachliche Verhältnisse des Betroffenen festhält, obwohl deren Speicherung nicht erforderlich ist und nach dem Datenvermeidungsgrundsatz unterbleiben sollte.

Es ist daher immer zu prüfen, ob die Daten, die in einem Freitextfeld gespeichert werden sollen, nicht ganz oder teilweise in Einzeldatenfeldern gespeichert werden können.

• Revisionsfähigkeit

Das Landesdatenschutzgesetz fordert von einer Anwendung, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in ein Datenverarbeitungssystem eingegeben worden sind.

Dieser Anforderung wird durch LÜVIS in vollem Umfang Rechnung getragen. Jeder Datensatz besteht neben den Anwendungsdaten aus weiteren Datenfeldern, in denen abgespeichert wird, wann und von wem der Datensatz angelegt und zuletzt geändert wurde.

• Löschung

Daten, die für das weitere Verwaltungshandeln nicht mehr erforderlich sind, müssen gelöscht werden. Dies ist ein eherner Grundsatz des Datenschutzrechts. Ihm muss man auch nachkommen, wenn die Datenbestände, die eine Person betreffen, aus unterschiedlichen Quellen herrühren können. Die Löschung darf sich dabei nicht wie in dem Verfahren darauf beschränken, zu löschende Datensätze als "gelöscht" zu markieren und bei einer Abfrage nicht mehr anzuzeigen. Dann handelt es sich nämlich nicht um eine Löschung, sondern lediglich um eine Sperrung. Voraussetzung für eine Sperrung ist aber, dass die Richtigkeit der Daten entweder vom Betroffenen bestritten wird, Grund zur Annahme besteht, dass schutzwürdige Interessen des Betroffenen beeinträchtigt werden oder dass die Löschung nur mit unverhältnismäßig hohem Aufwand möglich ist. Liegen diese Voraussetzungen nicht vor, muss die dann gebotene Löschung in Form einer physikalischen Löschung, die zur Unkenntlichkeit der Daten führt, durchgeführt werden.

• Datenexport in Excel-Tabellen

An mehreren Stellen des Verfahrens besteht die Möglichkeit, die Daten aus der Anwendung zu exportieren und in einem anderen Programm weiter zu verarbeiten. Hinsichtlich des technischen Datenschutzes ist dann zu befürchten, dass auf den lokalen Festplatten einer Vielzahl von PC personenbezogene Daten gespeichert werden. Diese Vorgehensweise birgt unkontrollierbare Risiken, denn es kann dann nicht kontrolliert werden, ob

• diese Daten entsprechend der Zweckbindung verarbeitet werden,
• der Zugriff auf die Daten nur durch Befugte möglich ist und
• die Daten entsprechend des Erforderlichkeitsgrundsatzes gelöscht werden.

Aus diesem Grund halten wir folgende Maßnahmen für erforderlich, wenn ein sog. Download aus einer Anwendung unterstützt werden soll:

• Durch einen Berechtigungsmechanismus muss sichergestellt sein, dass nur für den Download Berechtigte diesen durchführen können. Der Kreis der Berechtigten ist minimal zu halten.
• Die Speicherung von personenbezogenen Daten im Rahmen eines Downloads sollte nur auf Festplatten von Servern geschehen. Es ist sicherzustellen, dass die Speicherung in Speicherbereichen erfolgt, die Zugriffsregelungen unterliegen, so dass nur Berechtigte auf die Daten zugreifen können.

Häufig wird unsere Frage, warum ein Download notwendig sei und warum die nach dem Download beabsichtigte Verarbeitung nicht im Verfahren selbst durchgeführt werde, damit beantwortet, dass man die konkrete Verarbeitung noch nicht im Detail festlegen könne. Wenn aber der Umfang der Verarbeitung noch nicht feststeht, kann es mit der Einhaltung des Zweckbindungsgrundsatzes wohl nicht so weit her sein. Für eine Verarbeitung außerhalb des eigentlichen Verfahrens spricht nämlich nur, dass die Anwendung, mit der die Daten weiterverarbeitet werden, schon besteht und durch Verwendung dieser bereits bestehenden Anwendung ein Einspareffekt hinsichtlich der Programmierung erzielt werden kann.

• Ein nicht unwesentlicher Zweck der Anwendung besteht darin, den gesetzlichen Berichtspflichten nachzukommen. Hierfür soll der Datenbestand statistisch ausgewertet werden. Dabei war das Problem zu erörtern, dass bei statistischen Auswertungen die Treffermenge bisweilen aus einem Exemplar der Grundgesamtheit bestehen kann. Wenn sich dies so verhält, kann nicht mehr generell davon gesprochen werden, dass eine Statistik nur aus anonymisierten Daten besteht. Wir sind in der Sache so verblieben, dass versucht wird, die Grundgesamtheit für die Auswertungen so groß wie möglich zu wählen. Dadurch erhöht sich die Wahrscheinlichkeit, dass Treffermengen aus mehreren Exemplaren der Grundgesamtheit bestehen.

Die Entwicklung von LÜVIS, das schon produktiv eingesetzt wird, ist noch nicht beendet. Es ist beabsichtigt, weitere Anwendungsfelder in das System zu integrieren. Hierbei wird darauf zu achten sein, dass auch hinsichtlich der Erweiterungen die datenschutzrechtlichen Anforderungen angemessen berücksichtigt werden.

3. Virenschutz im LVN

Mittlerweile hat wahrscheinlich schon jeder von Computer-Viren und deren unheilvoller Wirkung gehört oder gelesen. Dazu kommen noch die Unannehmlichkeiten, wenn der am Arbeitsplatz oder zu Hause genutzte PC von einem Computer-Virus befallen ist. Eine unwillkommene Unterbrechung eigener Tätigkeiten ist noch das Harmloseste, wenn sich der Computer-Virus - im besten Fall - durch allerlei Schabernack zu erkennen gibt. Um den Computer-Virus zu entfernen, sollte man sich aus dem Internet Antikörper in Form von Virensignaturen besorgen, mit denen die Dateien auf Virenbefall geprüft und die Computer-Viren auf Wunsch entfernt werden, und mit einem Virenprüfprogramm den Rechner säubern. Die Wirkung von Computer-Viren beschränkt sich aber nicht nur darauf, die Benutzer von produktiver Arbeit abzuhalten, sondern es gibt beispielsweise auch Computer-Viren, die klammheimlich Dateien des Rechners, auf dem sie sich eingenistet haben, an beliebige, auf dem Rechner vorgefundene E-Mail-Adressen verschicken. Andere ermöglichen es Dritten, den Rechner aus der Ferne zu steuern und beispielsweise abzuhören, welche Tasten betätigt wurden, oder Dateien zu übertragen. Da in den so versendeten Dateien personenbezogene Daten gespeichert sein könnten, greift für Rechner von Behörden das Landesdatenschutzgesetz. Danach sind dem technischen Stand entsprechende Maßnahmen gegen die unbefugte Kenntnisnahme und Nutzung personenbezogener Daten zu ergreifen. Das machen die Behörden anscheinend auch, denn im abgelaufenen Berichtsjahr haben wir bei den durchgeführten Kontrollen keine Rechner vorgefunden, auf denen nicht ein Virenschutzprogramm installiert gewesen wäre. Aber welchen Erfolg haben die Behörden bei der Virenbekämpfung? Zur Erörterung dieser Frage muss man zunächst die Bedrohungslage erläutern. Alle Behörden des Landes sind an das Landesverwaltungsnetz (LVN) angeschlossen. Das LVN selbst ist - etwas anderes wäre heutzutage undenkbar - mit dem Internet gekoppelt. Innerhalb dieses Netzverbunds können die Mitarbeiter Nachrichten durch elektronische Post austauschen, die sie nach Landesstandard mit dem Programm Outlook empfangen, lesen und gegebenenfalls weiterverarbeiten. Wenn man nun weiß, dass Computer-Viren bevorzugt mit Anhängen dieser Nachrichten verbreitet werden, weil mit Outlook eine Infizierung schon durch einen unbedachten Mausklick eines Benutzers bewirkt werden kann, ist klar, dass die Bedrohung durch einen Computer-Virus nicht zu unterschätzen ist.

Die Netzwerkstruktur des LVNs erlaubt es, an einer zentralen Stelle, an der die Koppelung der Netze der einzelnen Ressorts und des LVNs mit dem Internet realisiert wird, einen Viren-Scanner zu installieren, der eine detaillierte Statistik über sein Tun führt. Dieser Statistik ist Folgendes zu entnehmen:

• Im Jahr 2003 hat der zentrale Viren-Scanner in E-Mails, die zwischen den Ressorts ausgetauscht wurden - also nur im Intranet der Landesverwaltung - über 2 100 Nachrichten entdeckt, die virenverseucht waren. Vom 1. Januar 2004 bis Mitte November 2004 wurden in den E-Mails über 90 000 verseuchte Nachrichten entdeckt. Dies entspricht einer Steigerung von mehr als 4 200 % gegenüber dem Vorjahr.
• Im Jahr 2003 wurden in E-Mails aus dem Internet über 370 000 Computer-Viren entdeckt. Vom 1. Januar 2004 bis zum 18. November 2004 waren es über 7 300 000 verseuchte Nachrichten. Dies entspricht einer Steigerung von mehr als 1 900 % gegenüber dem Vorjahr.
• Der März 2004 mit ca. 38 000 und der April 2004 mit ungefähr 21 500 Nachrichten waren die Monate mit dem größten Aufkommen an verseuchten E-Mails. Im Durchschnitt belief sich das monatliche Aufkommen im Jahr 2004 auf ungefähr 9 000 Nachrichten, mit einer Schwankungsbreite zwischen 1 700 und besagten 38 000 Nachrichten.
• Während 2003 bei den internen Computer-Viren der Computer-Virus namens Sobig-F nur knapp vor Brod-A und Dumaru-A lag, die in der Summe nicht auf über 1 000 verseuchte E-Mails kamen, ist im Jahr 2004 Netsky-D mit mehr als 60 000 verseuchten Nachrichten einsamer Spitzenreiter. Den Grundstein hierfür legte er im März 2004 mit über 37 000 und im April 2004 mit mehr als 17 500 Nachrichten, in denen er sich einnisten konnte. Abgeschlagener Zweiter im Jahr 2004 ist MyDoom-A mit ca. 7 800 Nachrichten. Noch nicht entschieden ist das Rennen um Platz drei zwischen Netsky-B mit ca. 3 600 und MyDoom-O mit ungefähr 4 600 Nachrichten pro Jahr.
• Obwohl er im LVN wohl der am meisten verbreitete Computer-Virus ist, ist Netsky-D interessanterweise weder im März noch im April 2004 und auch nicht im laufenden Jahr der in E-Mails aus dem Internet am häufigsten enthaltene Computer-Virus. Auf Monatsbasis können Roca-A im März mit 436 000 und Netsky-P im April mit 310 000 Nachrichten punkten. Im laufenden Jahr führt bei E-Mails aus dem Internet Netsky-P mit ca. 1 900 000 verseuchten Nachrichten.

Dass nach wie vor eine erhebliche Zahl von Computer-Viren in E-Mails verbreitet wird, was gleichzeitig bedeutet, dass auch eine nicht unerhebliche Anzahl von PC, von denen die E-Mails abgeschickt wurden, infiziert sind, liegt an mehreren Faktoren:

• Die Hersteller von Virenprüfprogrammen können nur auf neue Computer-Viren reagieren. Wegen der hohen Verbreitungsgeschwindigkeit kommt es zu einer Vielzahl von Infektionen, bevor ein wirksames Gegenmittel entwickelt wurde. Das hat zur Folge, dass die Vorlaufzeit, die die Systemadministratoren haben, um die Virensignaturen auf den Rechnern des LVNs zu installieren, sehr kurz ist. Deshalb gelingt es den Computer-Viren vermehrt, in das LVN einzudringen, bevor der zentrale Viren-Scanner mit aktuellen Virensignaturen ausgestattet werden kann.
• Die Verbreitung von Computer-Viren ist - zumindest bei den Computer-Viren, die sich über Anhänge in E-Mails verbreiten - abhängig von der Mitwirkung der Benutzer.
• Es ist möglich, dass durch den Einsatz von Notebooks eine Infektion eingeschleppt wird, wenn beispielsweise auf Postfächer von externen Mail-Providern zugegriffen wird.
• In seltenen Fällen werden von den Virenherstellern Virensignaturen verbreitet, die einen neuen Computer-Virus nicht effektiv bekämpfen, oder die Installation der Virensignaturen funktioniert nicht reibungslos.

Eine Analyse des derzeitigen Zustandes kann sich nicht darauf beschränken, die Defizite aufzuzeigen. Für eine verbesserte Bekämpfung von Computer-Viren gibt es folgende Ansatzpunkte:

• Bei den Computer-Viren, die sich nicht über eine E-Mail verbreiten, sondern das System direkt zu infizieren versuchen, sind die Hersteller gefordert. Die Sicherheit der Software muss erhöht werden. Eine Infektion, die dadurch herbeigeführt wird, dass ein Bild in einem Internet-Browser angezeigt wird, oder dass man, während man im Internet surft, mit der Maus eine bestimmte Aktion durchführt, kann nur durch entsprechend sichere Software verhindert werden. Gegebenenfalls sollte der Einsatz alternativer Produkte erwogen werden.
• Die Bekämpfung von Computer-Viren, die sich über E-Mail weiterverbreiten, kann durch Schulung der Benutzer verbessert werden. Noch immer klicken Benutzer unbesehen auf E-Mail-Anhänge von Nachrichten, deren Absender sie nicht kennen und die die Neugier der Empfänger zu wecken verstehen.

Die Antwort auf die eingangs gestellte Frage, wie erfolgreich die Behörden des Landes im Kampf gegen die Flut von Computer-Viren sind, kann angesichts der geschilderten Feststellungen nicht durchweg positiv ausfallen. Dass Sicherheit etwas Relatives sei, erklären uns die Experten bei jeder Infektionswelle, die von einem neuen Computer-Virus ausgelöst wird. Das gilt anscheinend auch im LVN. Der Glaube, die Rechner im LVN seien hinsichtlich der Infektion mit Computer-Viren sicher, muss angesichts der Zahlen zu Grabe getragen werden. Wenn man die Steigerungsraten betrachtet, schneidet das LVN sogar schlechter ab als das Internet, da die prozentuale Steigerungsrate der virenverseuchten internen E-Mails doppelt so hoch ist wie bei E-Mails aus dem Internet. Täglich - außer an Feiertagen - werden im Intranet der Landesverwaltung im Durchschnitt ca. 250 infizierte E-Mails verschickt. Dabei kann es sich nicht immer nur um die gleichen PC handeln. An einem Tag, an dem über 4 500 virenverseuchte E-Mails von Rechnern des LVNs verschickt werden, muss davon ausgegangen werden, dass zu diesem Zeitpunkt ca. 40 PC verseucht sind. Andererseits bedeutet dies auch, dass permanent die Gefahr besteht, personenbezogene Daten gegenüber Unbefugten zu offenbaren. Und das sind nur die bekannten Zahlen. Daneben gibt es natürlich noch eine Dunkelziffer von nicht erkennbaren Vorgängen.

4. Datensicherheit in Funknetzwerken

Die zunehmende Verbreitung funkgestützter Computernetzwerke (WLAN) haben wir bereits in unserem vergangenen Tätigkeitsbericht zum Anlass genommen, auf die damit verbundenen Datenschutzrisiken und entsprechende Lösungsmöglichkeiten hinzuweisen. Auch in diesem Jahr beschäftigte uns das Thema.

4.1 Ungesichertes WLAN eines Staatlichen Seminars für Lehrerbildung

Unzureichend gesicherte WLANs stellen in verschiedener Hinsicht ein Risiko für den Betreiber dar. Zum einen können dessen Daten Unberechtigten bekannt werden, zum anderen kann dem Betreiber eines solchen Netzwerks auch ein handfester finanzieller Schaden entstehen, etwa wenn Fremde über die Funkverbindung eine kostenpflichtige Internet-Verbindung des Betreibers in Anspruch nehmen. Vor diesem Hintergrund führten Computer-Fachzeitschriften und Verbraucher-Magazine des Fernsehens stichprobenweise Tests durch, in denen sie untersuchten, wie leicht es gelingt, in fremde WLANs einzudringen. Die dabei zu Tage tretenden Erkenntnisse sind alarmierend: Trotz aller Versuche, die Sicherheitsprobleme und auch die finanziellen Risiken eines schlecht konfigurierten WLANs zu vermitteln, macht eine Mehrzahl der Betreiber nicht einmal von den einfachsten Sicherheitstechniken Gebrauch. Darüber, dass es derartige Sicherheitslücken auch bei einem Staatlichen Seminar für Lehrerbildung nachweisen konnte, unterrichtete uns ein Fernseh-Team. Es hatte herausgefunden, dass man auch noch auf der Straße und auf dem Fußweg vor dem Bürogebäude des Seminars ohne weiteres Zugang zu dessen WLAN erhalten konnte. Unsere daraufhin durchgeführte Kontrolle bestätigte, dass das Seminar bei der Einrichtung des WLANs offenbar nicht an die Möglichkeit einer unberechtigten Nutzung gedacht und entsprechend keinerlei Schutzmaßnahmen ergriffen hatte. Das Computernetz, das auf diese Weise zugänglich war, dient Ausbildungszwecken, und es ist davon auszugehen, dass darin in der Regel keine personenbezogenen Daten verarbeitet werden. Gleichwohl ist auch der Betrieb eines solchen Netzwerks datenschutzrechtlich nicht ohne Risiko. Sind etwa auf einem Notebook, das gerade drahtlos mit diesem Schulungs-WLAN verbunden ist, Dateien, Verzeichnisse oder ganze lokale Laufwerke zum Zugriff über Netz freigegeben (vgl. die in Nr. 1.5.1 dargestellte Problematik), so könnten Personen, die sich ihrerseits drahtlosen Zugang zu dem Netz verschafft haben, unberechtigt auf diese Daten zugreifen. Das Seminar hat mittlerweile Maßnahmen zum Schutz seines WLANs ergriffen.

4.2 Weiterentwicklung der Sicherheitstechniken

Die in unserem letzten Tätigkeitsbericht enthaltene Übersicht über die standardmäßig in den WLAN-Produkten verfügbaren Sicherheitstechniken machte deutlich, dass diese insgesamt nicht ausreichen, um etwa auch die Verarbeitung sensibler personenbezogener Daten zu schützen. Die bis dahin verabschiedeten Sicherheitsstandards haben sich vielmehr als in vielfältiger Weise unzulänglich erwiesen. Es ist deshalb sehr zu begrüßen, dass der lange in Aussicht gestellte neue Sicherheitsstandard (der sog. IEEE 802.11i-Standard) im Juni dieses Jahres verabschiedet wurde. Da dessen Umsetzung eine erhöhte Sicherheit gewährleistet, sollten alle Dienststellen, die ein WLAN betreiben oder dies beabsichtigen, auf Komponenten zurückgreifen, die diesen Standard unterstützen. Zu einem leichtfertigen Einsatz eines WLANs darf aber auch dieser neue Sicherheitsstandard nicht verleiten. Denn zum einen bleibt abzuwarten, ob sich die neuen Produkte auch in der Praxis als so verlässlich erweisen, wie dies die Theorie verheißt. Und zum anderen erfordert auch eine Technik, die zahlreiche Sicherheitsfunktionen bietet, dass die Nutzer verantwortungsvoll damit umgehen und diese Sicherheitsfunktionen nicht ungenutzt lassen oder gar absichtlich deaktivieren.

5. Überraschungen beim Kauf eines Softwarepakets

Wir erhielten einen Hinweis darauf, dass zwei baden-württembergische Universitäten ein Softwareentwicklungspaket erworben haben sollen, das neben den von den Universitäten benötigten Entwicklungswerkzeugen auch eine Datenbank umfasste, die personenbezogene Daten ehemaliger Beschäftigter und Kunden des Softwareunternehmens enthalten habe. Auf unsere Nachfragen bestätigten die Universitäten, dass in der zum Softwarepaket gehörenden Datenbank personenbezogene Daten gespeichert waren, die die Universitäten weder benötigten noch haben erwerben wollen. Datenschutzrechtlich ist diese Speicherung personenbezogener Daten durch die Universitäten aus zwei Gründen problematisch:

Zum einen speicherten die Universitäten, wenn auch möglicherweise zunächst, ohne dass ihnen das überhaupt bewusst war, personenbezogene Daten, die sie nicht benötigen.

Zum anderen waren die in der Software enthaltenen personenbezogenen Daten zum Teil in Form von persönlichen Benutzerberechtigungen und den zur Nutzung einzugebenden Passwörtern gespeichert, die möglicherweise nach Installation der Software durch die Universitäten von Dritten hätten genutzt werden können. Diese könnten dann missbräuchlich auf die Software und die damit verarbeiteten Daten zugreifen.

Wir forderten die Universitäten daher auf, die im Softwareentwicklungspaket gespeicherten und von den Universitäten nicht benötigten personenbezogenen Daten umgehend zu löschen. Dem kamen beide Universitäten nach.