26. Tätigkeitsbericht 2005 - Inhaltsverzeichnis

5. Teil: Technik und Organisation

1. 1. Entwicklungen in der IuK in den letzten Jahren
1.1 EDV-Einsatz in der Verwaltung
1.2 Neue Herausforderungen für den Datenschutz
2. RFID
2.1 Was leistet die RFID-Technik?
2.2 Die virtuelle Welt integriert vernetzte Gegenstände

3. Dokumentenmanagementsysteme

1. Entwicklungen in der IuK in den letzten Jahren

In diesem Jahr feierte unsere Dienststelle ihr 25-jähriges Bestehen. Im Vergleich mit anderen Rechtsgebieten ist der Datenschutz damit noch sehr jung. Gemessen an der Lebensdauer informationstechnischer Produkte und Trends stellen die 25 Jahre hingegen einen Zeitraum dar, innerhalb dessen sich viele grundlegende Veränderungen ergeben haben. Das 25-jährige Jubiläum soll daher Anlass sein, einige wichtige Änderungen aus dieser Zeit Revue passieren zu lassen:

1.1 EDV-Einsatz in der Verwaltung

Als die Dienststelle der Landesbeauftragten für den Datenschutz im Jahr 1980 ihre Arbeit aufnahm, fand die elektronische Verarbeitung personenbezogener Daten noch vorwiegend in Großrechnern statt, die in einigen wenigen staatlichen und kommunalen Rechenzentren betrieben wurden. Auf diese Weise nutzte beispielsweise die Polizei ihre Personenauskunftsdatei (PAD), die Finanzämter ließen Steuerbescheide maschinell ausfertigen und die Kommunen nutzten die Großrechnertechnik, um ihre Melderegister automatisiert zu führen. Viele Behörden verfügten noch nicht über eigene Computer und am typischen Büroarbeitsplatz befand sich weder ein zur Nutzung der Großrechner verwendbares Terminal noch gar ein PC. Wie eh und je spielte sich die Datenverarbeitung der Verwaltung noch vorwiegend in Akten und Karteien ab.

Mit dem im Jahr 1985 verabschiedeten Landessystemkonzept kamen ressortübergreifende EDV-Projekte in Gang. Damit fiel auch der Startschuss für den Aufbau des speziell für die Behördenkommunikation vorgesehenen Landesverwaltungsnetzes. Bis dahin hatten einzelne Ressorts unabhängig voneinander überregionale Datennetze aufgebaut. Der Polizei stand beispielsweise ein landesweites Netz zur Verfügung, an das weniger als 300 Terminals angeschlossen waren. Diese Netze wurden ab 1986 Schritt für Schritt im Landesverwaltungsnetz zusammengeführt. Als Datendrehscheibe diente eine Dreiecksverbindung (Backbone) zwischen Rechenzentren in Stuttgart, Karlsruhe und Freiburg. Noch bis 1991 wurden die Daten dabei mit einer aus heutiger Sicht bescheidenen Übertragungsrate von 19 200 Bit pro Sekunde übertragen. Heute steht jedem Internet-Nutzer, der die ISDN- oder DSL-Technik einsetzt, ein Vielfaches davon zur Verfügung.

Mit der weiteren Verbreitung der Arbeitsplatz-PCs, dem Ausbau der lokalen Netzwerke und deren Anschluss an das Landesverwaltungsnetz ging eine immer intensivere Nutzung der elektronischen Kommunikationsmöglichkeiten einher. Folgende Zahlen mögen dies verdeutlichen:

• Im September 1993 tauschten die Ministerien 5 000 E-Mails aus.
• Im April 1999 versandten und empfingen die an das LVN angeschlossenen Stellen bereits 370 000 Mails. Nach der Koppelung des LVN mit dem Internet hat sich die Anzahl weiter sprunghaft erhöht.
• Im Jahr 2004 wurden monatlich im Durchschnitt mehr als 5 Millionen E-Mails über das LVN ausgetauscht, viele davon waren an Empfänger im Internet gerichtet oder stammten aus dem Internet. Die damit verbundenen Sicherheitsprobleme lassen sich erahnen, wenn man bedenkt, dass mehr als ein Drittel aller aus dem Internet kommenden E-Mails virenverseucht war.

1.2 Neue Herausforderungen für den Datenschutz

Die neuen technischen Möglichkeiten brachten auch neue Herausforderungen für den Datenschutz mit sich:

• Zunehmende Nutzung der PCs

Die Verbreitung der PCs führt dazu, dass die EDV auch physisch die Rechenzentren verließ und mittlerweile an fast jedem Büroarbeitsplatz Datenverarbeitungsmöglichkeiten bereitstellt. Maus und grafische Benutzeroberfläche machen den Einsatz vieler Computerprogramme inzwischen fast zum Kinderspiel. Der Nutzungskomfort ging zumindest zeitweise mit Einbußen in der Sicherheit einher, denn PC-Betriebssysteme boten lange Zeit keinen ausreichenden Schutz gegen unberechtigte Zugriffe. Aufgrund der starken Zunahme dezentraler Speicher- und Verarbeitungsmöglichkeiten können heutzutage Daten prinzipiell in zahllosen Computern gespeichert sein. Dies erschwert die Umsetzung der Datenschutzrechte der Betroffenen auf Auskunft, Berichtigung und Löschung.

• Verbreitung von Telefaxgeräten

Insbesondere wenn Telefaxgeräte an Telefonnebenstellenanlagen betrieben werden, kann es leicht zu Irrläufern kommen. Anders als beim Telefon bemerkt der Absender eine Telefax-Fehlleitung oft erst, nachdem die Daten bereits übermittelt wurden. Ein weiteres Datenschutzproblem besteht darin, dass die empfangenen Nachrichten offen im Gerät des Empfängers liegen und dieses vielfach so aufgestellt ist, dass viele Personen diese Nachrichten lesen können.

• Immer mehr, immer komplexere Anwendungen

Diese Entwicklung führt dazu, dass die Systeme immer schwerer zu durchschauen sind. Die Beteiligung mehrerer Stellen führt dazu, dass auch datenschutzrechtlich relevante Verantwortlichkeiten verschwimmen (vgl. Nr. 4.2 dieses Teils).

• Integrierte Verwaltungsnetze

Der Aufbau landesweiter Kommunikationsnetze, die von allen staatlichen und zum Teil auch kommunalen Behörden genutzt werden können, macht eine Abschottung der verschiedenen Verwaltungszweigen angehörenden Nutzergruppen und der bereitgestellten Kommunikationsdienste erforderlich.

• Automatisierte Abrufverfahren

Die Besonderheit bei automatisierten Abrufverfahren besteht darin, dass sich die abrufende Stelle im Datenpool einer anderen Stelle selbst bedienen kann. Dies eröffnet auch die Möglichkeit missbräuchlicher Nutzung. Die Kontrolle der Rechtmäßigkeit der einzelnen Abrufe ist in der Praxis jedoch meist nur stichprobenweise möglich.

• Koppelung der Verwaltungsnetze mit dem Internet und anderen öffentlichen Netzen

Mit der Koppelung der Verwaltungsnetzwerke mit dem Internet oder anderen öffentlichen Kommunikationsnetzen erhöhen sich die für die Verwaltungscomputer und die darin verarbeiteten Daten bestehenden Sicherheitsrisiken erheblich. Man denke hier nur an die von Hackern und Viren ausgehenden Gefahren. Zudem wächst die Gefahr, dass Unberechtigte von übertragenen schutzbedürftigen Daten Kenntnis erhalten, diese speichern oder verändern.

• Chipkarten

Die Ausgabe von Chipkarten an Bürgerinnen und Bürger führt dazu, dass ein Teil der von der ausgebenden Stelle betriebenen Hard- und Software nicht mehr im Besitz und unter ständiger Kontrolle der öffentlichen Stelle verbleibt. Dies führt zu besonderen datenschutzrechtlichen Anforderungen. Beispielsweise muss sichergestellt sein, dass nur berechtigte Stellen die auf einer Chipkarte gespeicherten personenbezogenen Daten lesen oder ändern können. Um dieser Besonderheit Rechnung zu tragen, wurden spezielle Vorschriften in die Datenschutzgesetze des Bundes und der Länder aufgenommen.

• Videoüberwachung

Bei den meisten EDV-Verfahren, mit denen personenbezogene Daten verarbeitet werden, besteht ein unmittelbarer Zusammenhang zwischen dem Zweck des Verfahrens und jeder einzelnen Person, deren Daten damit verarbeitet werden. Bei einer Videoüberwachung, die etwa der Verfolgung und der Verhinderung von Straftaten dienen soll, besteht ein solcher Zusammenhang für den weit überwiegenden Teil der von dieser Maßnahme betroffenen Personen gerade nicht.

• Outsourcing des EDV-Betriebs

Die in vielen Verwaltungsbereichen bestehende Möglichkeit, Datenverarbeitungsaufgaben von Dritten erledigen zu lassen, wirft spezifische Datenschutzprobleme auf. Beispielsweise besteht in einer solchen Konstellation die Gefahr des Mitlesens und Veränderns schutzbedürftiger Daten durch Mitarbeiter der mit der Durchführung der Datenverarbeitung beauftragten öffentlichen oder privaten Stelle. Weitere Fragen ergeben sich, wenn der Auftrag an einen Auftragnehmer mit Sitz außerhalb der EU erteilt werden soll.

• eGovernment; elektronische Bürgerdienste

Eine zuverlässige Identifizierung der Beteiligten, eine sichere und vertrauliche Kommunikation und ein angemessener Schutz personenbezogener Daten müssen gewährleistet sein. Mehr Datenspuren als unbedingt nötig dürfen nicht entstehen.

• Zunehmende Nutzung bundesweit ausgerichteter EDV-Verfahren

Mittlerweile machen immer mehr Computeranwendungen etwa im Gesundheitswesen (z. B. Anwendung der elektronischen Gesundheitskarte, Krebsregistrierung), der Sozialverwaltung (z. B. Job-Card-Verfahren), der Steuerverwaltung (z. B. Kontendatenabrufe, ELSTER-Lohn), der Justiz (z. B. elektronisches Grundbuch, zentrales Staatsanwaltschaftliches Verfahrensverzeichnis), im Bereich der zur Betreuung der Hilfeempfänger des Arbeitslosengeldes II eingerichteten Arbeitsgemeinschaften (z. B. Nutzung des Verfahrens A2LL) oder anderen Verwaltungszweigen von der bestehenden Vernetzung Gebrauch und ermöglichen nicht selten bundesweite Zugriffe auf personenbezogene Daten. Datenschutzrechtlich bedeutsam ist dabei, dass konzeptionelle oder technische Unzulänglichkeiten, etwa hinsichtlich der differenzierten Zugriffskonzepte, dabei weitaus schwerer wiegende Folgen haben als dies bei einem Einsatz in engerem Rahmen der Fall wäre.

• Allgegenwärtige Datenverarbeitung (Ubiquitous/pervasive computing)

Die intensive Nutzung mobiler Kommunikationstechniken sowie der unter Nr. 2 beschriebenen RFID-Technik ermöglicht die Durchdringung aller Lebensbereiche mit informationsverarbeitenden Systemen. Dies macht es möglich, vielfältige Aktivitäten des täglichen Lebens zu erfassen, zu speichern und zu verknüpfen. Durch Auswertung dieser Datenbestände lassen sich Bewegungs-, Konsum- und Nutzungsprofile erstellen. Ziel des Datenschutzes muss es sein, auf die Gestaltung der Verfahren dahingehend einzuwirken, dass die Anonymität bei Handlungen des Alltagslebens erhalten bleibt.

2. RFID

In "intelligenten Mülltonnen" sind sie ebenso zu finden, wie in den seit November dieses Jahres ausgegebenen neuen Reisepässen. Die Stadtbücherei Stuttgart markiert damit ihre Medien und auch in den zur Fußball-WM ausgegebenen Eintrittskarten werden sie zu finden sein. Sie können in Ausweisen verwendet werden, die zur Zutrittskontrolle dienen und manch ein Auto lässt sich nur starten, wenn auch der Autoschlüssel mit dieser Technik ausgerüstet ist. Nicht zuletzt sollen sie die bislang schon auf vielen Produkten aufgedruckten Barcodes ablösen und daher in immer mehr Gegenstände des täglichen Lebens integriert werden. Die Rede ist von RFID-Tags. RFID ist die Abkürzung von "Radio Frequency Identification" und steht für eine Technik, bei der sich alles um winzig kleine und in der Massenproduktion nur wenige Cent teure Minicomputer, eben die RFID-Tags, dreht. Da diese ausschließlich drahtlos mit anderen Systemen Daten austauschen und zum Teil nicht einmal auf eine eigene Stromversorgung angewiesen sind, können RFID-Tags beispielsweise so in ein Plastikgehäuse eingebettet sein, dass sie auch bei genauem Hinschauen nicht zu erkennen sind.

2.1 Was leistet die RFID-Technik?

Auf den ersten Blick kann der Eindruck entstehen, hier handele es sich um eine Entwicklung wie viele andere, die mit Datenschutz allenfalls am Rande zu tun hat. Denn die Verkleinerung elektronischer Bauteile gehört für uns schon ebenso zu den Selbstverständlichkeiten wie die Reduzierung der Herstellungskosten. Und auch von der Möglichkeit der drahtlosen Kommunikation wird in der Computertechnik mittlerweile vielfach Gebrauch gemacht. Zudem können manche Anbieter derartiger Systeme auch darauf verweisen, dass in den von ihnen in Umlauf gebrachten RFID-Tags keine personenbezogenen Daten, sondern beispielsweise nur Bezeichnungen der jeweiligen Gegenstände gespeichert sind, in denen sie eingebaut sind.

Bei näherem Hinsehen wird jedoch rasch deutlich, dass die RFID-Technik schon bald unser künftiges Alltagsleben verändern und dabei auch vielfältige Auswirkungen auf den Datenschutz haben kann:

• Gegenstände werden "smart"

Die RFID-Technik macht es möglich, jeden Gegenstand mit der Fähigkeit zur Datenverarbeitung auszustatten. Er kann dann viel mehr, als nur auf Anforderung eine Produktnummer mitzuteilen. Vielmehr ist beispielsweise denkbar, dass die Produkte die Nutzer erkennen (etwa weil diese ebenfalls individuelle RFID-Tags mit sich führen) und dementsprechend nutzerspezifische Funktionen zur Verfügung stellen. Somit werden die Produkte in die Lage versetzt, interaktiv und situationsbezogen zu reagieren.

• Gegenstände werden vernetzt

Derart ertüchtigte Produkte können untereinander sowie mit herkömmlichen Computersystemen Daten austauschen. Der bereits zur Marktreife entwickelte "intelligente" Kühlschrank erkennt, welche mit RFID-Tags versehene Produkte mit welchen Haltbarkeitsfristen noch vorrätig sind und welche wann ersetzt werden müssen. Er kann selbstständig Einkaufslisten zusammenstellen und diese dem Nutzer etwa per E-Mail oder SMS mitteilen.

2.2 Die virtuelle Welt integriert vernetzte Gegenstände

Bisher bildeten die vernetzten Computer eine virtuelle Welt, in der Gegenstände bildlich und in vielen anderen Eigenschaften immer überzeugender abgebildet und ihr Verhalten simuliert werden konnten. Gleichwohl stand ihr die reale Welt der Gegenstände weitgehend unvermittelt gegenüber. Mit der RFID-Technik ist die Entwicklung jedoch so weit, dass praktisch jeder Gegenstand mit einem speziell darauf zugeschnittenen RFID-Tag versehen und damit unmittelbar auch Teil der virtuellen Welt werden kann. Manche Anwendungen sehen darüber hinaus auch vor, Tiere oder sogar Menschen mit RFID-Tags zu versehen.

Grundlegende technische Entwicklungen wie diese werfen eine Vielzahl neuer Fragen auch für den Datenschutz auf. In der Vergangenheit führte die Realisierung solcher Entwicklungen, wie am Beispiel der Vernetzung stationärer Computer oder dem Aufkommen des Internets zu beobachten, dazu, dass bereits vorhandene Datenschutz- und Sicherheitsprobleme in dem neuen Zusammenhang wie in einem Brennglas gebündelt wurden und noch größere Schäden hervorrufen konnten. Es ist abzusehen, dass auch die RFID-Technik solche Folgen nach sich ziehen kann: Man denke nur daran, was geschehen kann, wenn Computerviren, die bereits heute erhebliche wirtschaftliche Schäden verursachen, künftig auch vernetzte Gegenstände befallen und etwa massenhaft Gefriertruhen abtauen oder gar sicherheitsrelevante Fahrzeugelektronik beeinflussen.

2.3 Datenschutzrisiken der RFID-Technik

Bei der datenschutzrechtlichen Bewertung der RFID-Technik stellt sich zunächst die Frage, inwieweit durch diese Technik personenbezogene Daten berührt sind. Bei einigen Anwendungen wie etwa den biometrischen Reisepässen und Personalausweisen werden die RFID-Tags selbst personenbezogene Daten enthalten. Auch in Krankenhäusern wird RFID-Technik bereits zur Identifizierung der Patienten erprobt. In Patientenarmbänder integrierte RFID-Tags sollen es Ärzten und Pflegepersonal im Notfall ermöglichen, schnell auf die Krankengeschichte und Medikamentendosierung zugreifen zu können. Aber auch, wenn ein RFID-Tag selbst keine personenbezogenen Daten enthält, kann dessen Verwendung dazu beitragen, dass personenbezogene Daten über den Inhaber des mit dem RFID-Tag versehenen Gegenstands wesentlich leichter als bisher gesammelt und ausgewertet werden können. Folgende datenschutzrechtliche Risiken gehen mit der Nutzung der RFID-Technik einher:

• Bewegungsprofile

Insbesondere wenn Personen bestimmte mit RFID-Tag versehene Gegenstände häufig mit sich führen (z. B. bestimmte Kleidungsstücke, Schuhe, Taschen, Handys), kann jeder, der einmal die Zuordnung zwischen Person und der Produkt-ID vorgenommen hat, ein Bewegungsprofil der Person erstellen. Dies ist umso leichter möglich, je mehr Geräte zum Auslesen der Daten in Behörden, Unternehmen oder öffentlichen Bereichen betrieben werden und je intensiver deren Betreiber die erfassten Daten untereinander austauschen.

• Nutzungs- und Verhaltensprofile

Verknüpft man Daten über Personen mit den per RFID bei ihnen nachgewiesenen Waren, lässt dies Rückschlüsse auf Interessen, Vorlieben und andere Persönlichkeitsmerkmale zu. Da beim Einsatz der RFID-Technik zur Warenkennzeichnung vorgesehen ist, jedes einzelne Produkt mit einer individuellen Nummer zu versehen, wird sich unter Umständen für jeden Gegenstand, der künftig irgendwo angetroffen wird, nachvollziehen lassen, wer diesen Gegenstand wann wo gekauft hat. Solche Informationen, die in erster Linie den Verkäufern der Waren zur Verfügung stehen, können bei Vorliegen entsprechender Voraussetzungen aber auch von Strafverfolgungsbehörden oder anderen Sicherheitsbehörden für deren Zwecke genutzt werden.

• Fehlende Transparenz

RFID-Tags können versteckt an oder in Waren angebracht sein. Da der Inhaber eines mit RFID-Tag versehenen Gegenstands auch nicht ohne weiteres etwas davon bemerkt, wenn ein RFID-Tag mit einem externen System Daten austauscht, besteht beim Einsatz der RFID-Technik das Risiko, dass unbemerkt Daten über den Inhaber der Gegenstände erhoben werden.

• Große Datenmengen

Bei einer systematischen Ausstattung der Alltagsgegenstände mit RFID-Tags und einer systematischen Speicherung der mit Hilfe der RFID-Technik ausgetauschten Daten können riesige Datenbestände entstehen.

• Komplexe Auswertungen

Diese Datenmengen können auf vielfältige Weise automatisiert ausgewertet werden. Insbesondere können in diesen Datenbeständen Verfahren des sog. Data Mining zum Einsatz kommen, bei denen - zunächst noch ohne bestimmtes Ziel - diese auf formale Besonderheiten hin untersucht werden können.

• "Datenschatten"

Führt jemand mit RFID-Tags versehene Gegenstände in Taschen oder einem Rucksack mit sich, so können diese von einem Dritten, der über ein RFID-Lesegerät verfügt, identifiziert werden. Der Einblick in den Tascheninhalt wird damit auch gegen den Willen des Inhabers der Gegenstände möglich. Die dabei gewonnenen Erkenntnisse können zudem mit weiteren, zu der Person bekannten Informationen zusammengeführt werden. Auch wenn auf diese Weise der Name der Person noch nicht direkt ermittelt werden kann, wirft der Einzelne einen "Datenschatten", der von Dritten wahrgenommen und für deren Zwecke ausgewertet werden kann.

• RFID-Funkverkehr abhörbar

Wenn keine weiteren Schutzmaßnahmen ergriffen werden, können die zwischen einem RFID-Tag und dessen Kommunikationspartnern ausgetauschten Daten von Dritten abgehört werden.

2.4 Datenschutzmaßnahmen bei RFID-Systemen, die unmittelbar zur Verarbeitung personenbezogener Daten dienen

Dass Systeme, bei denen personenbezogene Daten in den RFID-Tags gespeichert werden, datenschutzrechtlich sorgsam konzipiert werden müssen, entspricht den auch bislang schon geltenden Regeln des Datenschutzes. Derartige Systeme müssen insbesondere folgenden Anforderungen entsprechen:

• Es ist eine Vorabkontrolle durchzuführen. Dabei ist zu prüfen, welche Gefahren sich bei Realisierung des geplanten Projekts für die Persönlichkeitsrechte der Betroffenen ergeben, was zur Reduzierung dieser Gefahren getan werden soll sowie ob das danach verbleibende Restrisiko tragbar ist.
   
• Spätestens mit Beginn des Echtbetriebs müssen technisch-organisatorische Datenschutzmaßnahmen ergriffen werden und nachvollziehbar dokumentiert sein.
   
• Es muss sichergestellt sein, dass die Betroffenen die ihnen zustehenden Rechte ohne unvertretbaren Aufwand wahrnehmen und so etwa Auskunft über die zu ihrer Person gespeicherten Daten erhalten oder die Berichtigung unrichtiger Daten verlangen können.
   

2.5 Datenschutzmaßnahmen bei RFID-Systemen, die nicht unmittelbar zur Verarbeitung personenbezogener Daten dienen sollen

Eine Besonderheit der RFID-Technik liegt darin, dass auch Systeme, die nicht unmittelbar zur Verarbeitung personenbezogener Daten genutzt werden sollen, nachhaltig in die Persönlichkeitsrechte von Bürgerinnen und Bürgern eingreifen können. Denn ein Personenbezug lässt sich mitunter auch in diesen Fällen leicht herstellen, etwa wenn die Identität der Person, die RFID-markierte Waren bei sich trägt, durch Auslesen personenbezogener Daten etwa aus einer Kreditkarte bestimmt werden kann. Werden die aus RFID-Tags ausgelesenen Daten z.B. in zentralen Datenbanken gespeichert, so können Bewegungs-, Nutzungs- und letztlich auch Persönlichkeitsprofile erstellt werden, deren Zustandekommen für den Betroffenen vollkommen intransparent ist und auf deren Entstehen er keinen Einfluss hat. Das bedeutet, dass das Recht des Betroffenen auf informationelle Selbstbestimmung durch diese Technologie erheblich gefährdet ist. Geboten ist daher eine frühzeitige Berücksichtigung datenschutzrechtlicher Anforderungen auch bei solchen RFID-Anwendungen, die unmittelbar nur auf die Verarbeitung nicht-personenbezogener Daten gerichtet sind.

2.6 Generelle Datenschutzmaßnahmen bei RFID-Systemen

Bei allen datenschutzrechtlich relevanten RFID-Anwendungen ist zu fordern, dass

• der Grundsatz der Erforderlichkeit der Datenverarbeitung beachtet wird,
• dem Grundsatz der Datensparsamkeit folgend die Systeme so gestaltet werden, dass so weit wie möglich auf die Verarbeitung personenbezogener Daten verzichtet wird,
• die Bürgerinnen und Bürger stets erkennen können, wenn eine Ware mit dieser Technik ausgestattet ist; ferner muss zu erkennen sein, welche Daten damit verarbeitet werden und welche Art der Datenverarbeitung damit ermöglicht wird,
• technische Maßnahmen gegen das unbefugte Auslesen von auf RFID-Tags gespeicherten Daten und das Abhören der drahtlos übertragenen Daten ergriffen werden,
• den Betroffenen die Möglichkeit geboten werden sollte, die Funktion der RFID-Tags zu deaktivieren, sofern diese ihre Aufgabe erfüllt haben.

Insbesondere hinsichtlich des Umgangs mit RFID-Tags, die nicht unmittelbar der Verarbeitung personenbezogener Daten dienen sollen, bleibt abzuwarten, ob deren Anbieter die hier dargestellten Maßnahmen ergreifen. Sofern dies nicht in ausreichendem Maße geschieht, ist eine entsprechende gesetzliche Verpflichtung zu erwägen.

3. Dokumentenmanagementsysteme

Die Einführung durchgängiger elektronischer Arbeitsabläufe rückt neben der Verbesserung der Kommunikationsinfrastruktur (z. B. durch virtuelle Poststellen) oder der Erreichbarkeit interaktiver Bürgerdienste (z. B. durch Einrichtung von Internet-Portalen) auch dienststelleninterne Veränderungen in den Blickpunkt. Dokumentenmanagementsysteme sollen die Sachbearbeitung zunehmend von der Notwendigkeit entlasten, sich zu einem Vorgang stets erst die Papierakten kommen zu lassen und sich ggf. erst noch mit anderen Kollegen abzustimmen, die diese Akten zur gleichen Zeit ebenfalls benötigen. Außerdem zielen die entsprechenden Vorhaben darauf ab, einen "elektronischen Aktenlauf" einzurichten. Einige Bundesländer haben bereits Projekte auf den Weg gebracht, die dazu führen sollen, dass derartige Systeme in der gesamten Landesverwaltung eingeführt werden.

Auch in Baden-Württemberg befasst sich der vom Innenministerium geleitete und mit Fragen ressortübergreifender IuK-Projekte betraute Arbeitskreis Informationstechnik mit der Auswahl eines für die Zwecke der Landesverwaltung geeigneten Dokumentenmanagementsystems, das das bisherige, als technisch überholt geltende Verfahren ersetzen soll. Auch wenn dieser Auswahlprozess noch am Anfang steht, ist es wichtig, bereits jetzt zu berücksichtigen, dass ein solches Vorhaben stets auch die möglichen datenschutzrechtlichen Auswirkungen im Blick haben muss. Aus Sicht des Datenschutzes kommt dabei der Gewährleistung des Zugriffsschutzes zentrale Bedeutung zu. Ganz entscheidendes Merkmal eines jeden solchen Systems muss sein, dass sich darin genau festlegen lässt, welche Nutzer auf welche Dokumente zugreifen dürfen. Auch bei der Nutzung elektronischer Systeme dürfen jedem Bediensteten nur die Möglichkeiten zum Zugriff auf diejenigen Daten gewährt werden, die er zur Erfüllung seiner dienstlichen Aufgaben benötigt.

Bei einer im Arbeitskreis Informationstechnik geführten Diskussion zu diesem Thema zeigte sich freilich, dass aus dem Kreis der IuK-Verantwortlichen teilweise ganz andere Erwartungen mit einem elektronischen Dokumentenmanagementsystem verbunden werden. Es wurde deutlich, dass die bisherige Form des Umgangs mit Papierakten sowie mit elektronischen Dokumenten aus Sicht einiger IuK-Verantwortlicher zu viele Einschränkungen für einen Zugriff auf Unterlagen mit sich bringe und sie sich stattdessen eine einfache Such- und Zugriffsmöglichkeit innerhalb des gesamten Dokumentenbestands wünschen. Die Suche soll dabei - so die in einem Diskussionsbeitrag geäußerte Vorstellung - so einfach zu handhaben sein wie die mit Google oder mit einer vergleichbaren Suchmaschine im Internet durchgeführte Informationssuche. Dabei rückte neben den bislang schon auf zentralen Servern abgelegten elektronischen Dokumentenbeständen auch beispielsweise der Inhalt persönlicher E-Mail-Postfächer der Bediensteten ins Blickfeld.

Zwar ist es verständlich, dass die Verwaltung die Einführung eines geeigneten Dokumentenmanagementsystems anstrebt, um zu erreichen, dass sich vorhandene Dokumente leichter finden lassen. Dabei darf die Verwaltung aber nicht über das Ziel hinausschießen. Es muss sichergestellt sein, dass jeder Nutzer nur solche Suchergebnisse angezeigt erhält und nur auf solche personenbezogenen Informationen zugreifen kann, die er zur Erfüllung seiner dienstlichen Aufgaben benötigt. Zweifellos stellt dies eine anspruchsvolle Aufgabe dar: Denn durch die mit der Einführung eines neuen Systems verbundene Erwartung, viel mehr Datenbestände erfassen zu können, als dies bislang möglich war, wachsen auch die Anforderungen an die Festlegung und Fortschreibung sachgerechter Zugriffsberechtigungen für die in all diesen Datenbeständen enthaltenen Dokumente. Da bei der Auswahl eines solchen Dokumentenmanagementsystems der Aspekt der nutzerfreundlichen Handhabbarkeit eine entscheidende Rolle spielt, sollte zudem darauf geachtet werden, dass jedes in die engere Wahl gezogene System nicht nur überhaupt die Möglichkeit bietet, eine entsprechende Zugriffsberechtigungsverwaltung vorzunehmen, sondern dass auch diese Möglichkeiten komfortabel ausgestaltet sind.

4. eGovernment

Wer sich heutzutage mit dem EDV-Einsatz in der Verwaltung auseinander setzt, kommt um den Begriff eGovernment nicht herum. Nicht alle Beteiligten verstehen hierunter das Gleiche: Mitunter richtet sich der Blick vorwiegend auf elektronische Datenflüsse, die zwischen Verwaltung und Bürgern oder zwischen Verwaltung und Unternehmen stattfinden. Während mittlerweile vielen Beteiligten diese Sichtweise zu eng ist und der Blick daher vielfach auch auf verwaltungsinterne Datenflüsse gerichtet wird, wird möglicherweise nicht jeder bereit sein, eGovernment so umfassend zu sehen, wie es die Landesverwaltung im Rahmen ihrer eGovernment-Richtlinie tut: Dort wird jedes IuK-Vorhaben der Verwaltung zum eGovernment gezählt. Zur besseren Einordnung der folgenden Ausführungen sei darauf hingewiesen, dass wir unter eGovernment-Projekten solche verstehen, die darauf gerichtet sind, elektronische Wege zur Kommunikation zwischen Verwaltung und Bürgern einzurichten und auch verwaltungsintern elektronische Wege zur Bearbeitung einer bestimmten Art von Vorgängen einzurichten. Unter diesem Blickwinkel waren in den vergangenen Monaten für uns folgende Aspekte des eGovernment von besonderer Bedeutung:

4.1 Virtuelle Poststellen

Der Austausch von E-Mails ist mittlerweile zum festen Bestandteil heutiger Kommunikation zwischen Bürgern und Behörden sowie zwischen Behörden untereinander geworden. Ohne weitere Schutzmaßnahmen sind über Internet versandte E-Mails wegen der fehlenden Vertraulichkeit jedoch nicht zur Übertragung schutzbedürftiger Dokumente geeignet. Ebenso wenig sind diese geeignet, wenn Absender und Empfänger sicherstellen wollen, dass der Absender zuverlässig als solcher zu identifizieren ist. Um einen E-Mail-Austausch zu ermöglichen, der auch diesen Anforderungen gerecht wird, müssen sich die Dienststellen darauf vorbereiten, auch den Austausch verschlüsselter und digital signierter Dokumente zu ermöglichen. Da die Bearbeitung derartiger E-Mails zusätzliche Arbeitsschritte und entsprechendes Know-how erfordert, beabsichtigen manche Dienststellen, diese Funktionen dienststellenintern oder sogar dienststellenübergreifend in einer sog. virtuellen Poststelle zu bündeln.

Zwar stellen Behörden im Einzelnen oft unterschiedliche Anforderungen an eine solche virtuelle Poststelle. In der Regel soll sie aber zumindest folgende Grundfunktionen erfüllen:

• Entschlüsselung eingehender E-Mails,
• Verschlüsselung ausgehender E-Mails,
• Überprüfung der Signaturen eingehender E-Mails sowie das
• Signieren ausgehender E-Mails.

Darüber hinaus sollen virtuelle Poststellen mitunter auch

• eingehende Nachrichten auf Computerviren oder andere schädliche Inhalte überprüfen,
• behördeninterne E-Mail-Adressbücher und Schlüsselverzeichnisse pflegen,
• elektronische Laufzettel für die empfangenen elektronischen Dokumente erzeugen und diese gemeinsam mit den Dokumenten an die zuständigen Bearbeiter weiterleiten,
• ein- oder ausgehende Nachrichten mit einem Zeitstempel versehen.

Eine virtuelle Poststelle erfüllt somit im Einzelfall ganz unterschiedliche, meist jedoch komplexe Funktionen in vernetzten IuK-Umgebungen. Ein solches Projekt wirft daher zahlreiche datenschutzrechtliche Fragen auf. Gerade wegen der vielfältigen möglichen Erscheinungsformen virtueller Poststellen gibt es dafür auch von Seiten des Datenschutzes keine Patentlösung. Vielmehr ist jede ins Auge gefasste Lösung auf die damit einhergehenden datenschutzrechtlichen Auswirkungen zu überprüfen. Gleichwohl lassen sich einige allgemeine Hinweise geben, welche Datenschutzprobleme sich bei der Realisierung einer virtuellen Poststelle ergeben können und wie damit umgegangen werden kann:

• Vertraulichkeit empfangener Nachrichten

Wenn die virtuelle Poststelle verschlüsselte Nachrichten entschlüsselt, so haben die dort beschäftigten Bediensteten im Rahmen der für sie gewährten Zugriffsberechtigungen die Möglichkeit, die Nachrichten im Klartext zu lesen. Dies kann insbesondere dann ein Problem darstellen, wenn es sich bei den übertragenen Inhalten um besonders schutzbedürftige Daten handelt, die vor ihrer Zustellung an den Empfänger (z. B. einen Sozialarbeiter oder einen Amtsarzt) nicht von anderen Bediensteten zur Kenntnis genommen werden dürfen. Dieses Problem ergibt sich in verstärktem Maße bei dienststellenübergreifenden virtuellen Poststellen.

Ein datenschutzgerechter Umgang mit dieser Problematik kann so aussehen, dass die virtuelle Poststelle nur solche verschlüsselten Nachrichten entschlüsselt, die explizit an eine der virtuellen Poststelle zugeordnete E-Mail-Adresse (z. B. poststelle@behörde.de) gesandt wurden. Hingegen sollte - auch wenn dies technisch ermöglicht werden könnte - nicht zugelassen werden, dass Bedienstete der virtuellen Poststelle auch solche Nachrichten entschlüsseln, die an die persönlichen E-Mail-Adressen einzelner Bediensteter gerichtet wurden und die unter Umständen sogar mit einem für diese Bediensteten individuell ausgestellten Schlüssel verschlüsselt wurden.

Eingehende Nachrichten, die an Organisationseinheiten gerichtet sind, in denen besonders sensible Daten verarbeitet werden (innerhalb eines Landratsamts etwa an das Sozial- oder Jugendamt, die (Schul-)Psychologische Beratungsstelle oder das Gesundheitsamt) sollten nicht in der virtuellen Poststelle entschlüsselt werden können. Stattdessen sollten dafür amtsbezogene Postfächer eingerichtet werden, auf die nur eine amtsinterne Poststelle Zugriff hat. Soweit die Daten der ärztlichen Schweigepflicht oder einem anderen besonderen Berufsgeheimnis unterliegen, sollte eine verschlüsselte Kommunikation nur mit dem jeweiligen Bediensteten ermöglicht werden.

• Signatur ausgehender Dokumente

Sofern die virtuelle Poststelle ausgehende Dokumente mit qualifizierten elektronischen Signaturen versehen soll, ist zu berücksichtigen, dass derartige Signaturen nicht im Namen einer Behörde, sondern stets nur im Namen einer natürlichen Person, hier also eines Bediensteten der virtuellen Poststelle erfolgen können. Da die qualifizierten Signaturen rechtlich vielfach auf eine Stufe mit eigenhändigen Unterschriften gestellt werden, sollte Folgendes beachtet werden:

• Es sollte nicht zugelassen werden, dass jemand mit fremdem Namen signiert (etwa weil ihm der zur Signatur Berechtigte seine Signaturkarte sowie die zur Nutzung erforderliche PIN zur Verfügung stellt).
• Es sollte ferner nicht zugelassen werden, dass eine Vielzahl von Dokumenten von einem Programm und ohne individuelle Mitwirkung des Signaturinhabers signiert werden.
• Außerdem sollte bei jedem Signaturvorgang sichergestellt werden, dass der zur Signatur Berechtigte den Signaturvorgang veranlasst. Das bedeutet, dass es bei eingesteckter Signaturkarte nicht genügt, nur einmal am Tag, etwa nach dem Einschalten des PCs, die zur Nutzung des Signaturschlüssels erforderliche PIN einzugeben. Denn ansonsten könnten auch Dritte, die zufällig in die Nähe des PCs kommen, per Mausklick Signaturen unter fremdem Namen vornehmen. Um dies zu verhindern, sollte bei jedem Signaturvorgang die PIN eingegeben werden (keine Signatur auf Mausklick).
   
• Outsourcing der virtuellen Poststelle

Übernimmt die Dienststelle die Funktion der virtuellen Poststelle nicht selbst, sondern will sie damit einen öffentlichen oder privaten Auftragnehmer betrauen, so sind dabei die Anforderungen an eine derartige Datenverarbeitung im Auftrag einzuhalten. Der Auftrag ist beispielsweise schriftlich zu erteilen und es sind darin u. a. die vom Auftragnehmer zu ergreifenden technischen und organisatorischen Sicherheitsmaßnahmen zu dokumentieren. Gleichwohl bleibt der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.

Beim Outsourcing der virtuellen Poststelle verschärfen sich die mit der Signatur ausgehender Nachrichten verbundenen Probleme hinsichtlich der Zeichnungsbefugnisse: Bedienstete eines Unternehmens, die möglicherweise auch ausgehende Nachrichten signieren sollen, dürfen dies jedoch nicht mit Signaturen tun, die den Eindruck erwecken, die Bediensteten gehörten der Auftrag gebenden Behörde an.

• Berücksichtigung des Telekommunikations- und Telediensterechts

Bei den über eine virtuelle Poststelle erbrachten Dienstleistungen kann es sich auch um Telekommunikationsdienste (z. B. im Fall der E-Mail-Weiterleitung) oder um Teledienste (z. B. im Fall einer interaktiv nutzbaren Web-Mail-Oberfläche) handeln. In diesen Fällen sind die Datenschutzvorschriften des Telekommunikationsgesetzes (z. B. Wahrung des Fernmeldegeheimnisses bei den erbrachten Telekommunikationsdienstleistungen) oder des Teledienstegesetzes sowie des Teledienstedatenschutzgesetzes zu beachten.

• Weitere Informationen zum Datenschutz bei virtuellen Poststellen

Unter Leitung des Landesbeauftragten für den Datenschutz Niedersachsen wurde die Handreichung "Die virtuelle Poststelle im datenschutzgerechten Einsatz" erarbeitet. Dieses auch über das Internet-Angebot unserer Dienststelle (www.baden-wuerttemberg.datenschutz.de) abrufbare Dokument behandelt datenschutzrechtliche Fragestellungen, die sich insbesondere auf solche Lösungen beziehen, die unter Verwendung des ursprünglich für Bundesbehörden entwickelten Produkts "VPS des Bundes" (Vers. 2.0) sowie der Basiskomponente "Datensicherheit" des Vorhabens BundOnline 2005 realisiert werden.

Ferner behandelt auch das Bundesamt für Sicherheit in der Informationstechnik in seinem "E-Government-Handbuch" (www.bsi.bund.de/fachthem/egov/vps.htm) datenschutzrechtliche Fragen hinsichtlich der Realisierung einer virtuellen Poststelle.

4.2 Das Problem unklarer Zuständigkeiten

Die Vernetzung behördlicher EDV-Systeme ermöglicht mittlerweile die dienststellenübergreifende, elektronische Verarbeitung personenbezogener Daten, etwa im Rahmen elektronischer Bürgerdienste. Zudem ermöglicht die Vernetzung, dass EDV-technische Unterstützungsleistungen räumlich weit entfernt von den rechtlich verantwortlichen Dienststellen durchgeführt werden können. Ein Beispiel stellt das Verfahren ELSTER-Lohn dar (s. 4. Teil, 4. Abschnitt, Nr. 2): Dabei nutzen alle Länder eine bundesweit einheitliche, aber nur von zwei Länderfinanzverwaltungen betriebene EDV-Infrastruktur. ELSTER-Lohn ist dabei beileibe nicht das einzige Beispiel für diese Entwicklung: Bei dem Verfahren E-Stat (s. 4. Teil, 3. Abschnitt, Nr. 3) kooperieren Schulen, die Regierungspräsidien, das Statistische Landesamt sowie das Kultusministerium bei der Verarbeitung personenbezogener Daten insbesondere von Schülern, Erziehungsberechtigten und Lehrern. Im Rahmen der Verwaltungsreform in Baden-Württemberg wurde ferner ausdrücklich die Möglichkeit sog. "gemeinsamer Dienststellen" geschaffen, bei denen Mitarbeiter unterschiedlicher Stellen unter einem Dach zusammenarbeiten. Schließlich nutzen auch die zur Betreuung der Hilfeempfänger des Arbeitslosengeldes II eingerichteten Arbeitsgemeinschaften zwischen der Bundesagentur für Arbeit und den Stadt- und Landkreisen von der Bundesagentur entwickelte und betriebene Datenverarbeitungsverfahren. Im Rahmen der Realisierung von eGovernment-Anwendungen nehmen aber nicht nur solche Kooperationen mehrerer öffentlicher Stellen zu, sondern es werden vermehrt auch Möglichkeiten zur Zusammenarbeit zwischen öffentlichen und privaten Stellen gesucht. Als Beispiel hierfür können medizinische Forschungsprojekte dienen, bei denen vielfach zahlreiche öffentliche und private Stellen intensiv zusammenarbeiten.

Mit diesen Entwicklungen befasst sich auch ein Positionspapier des "Strategiezirkels eGovernment" der Kommunalen Gemeinschaftsstelle für Verwaltungsvereinfachung (KGSt). Danach könne sich die Verwaltung künftig darauf beschränken, gegenüber den Bürgern ein "Front-Office" einzurichten, an das sich die Bürger mit ihren Anliegen wenden können. Die in dem Positionspapier als "Produktion" bezeichnete Bearbeitung dieser Anliegen könne anschließend unabhängig davon in einem sog. BackOffice erfolgen, das weder räumlich noch organisatorisch mit der örtlichen Verwaltung verbunden sein muss. Folgende Zitate mögen verdeutlichen, mit welchen Veränderungen die KGSt in diesem Zusammenhang rechnet:

" ...Die Produktion der Leistungen im BackOffice erfolgt seltener als heute in der Verwaltung selbst. Vielmehr bewegt sich die Verwaltung in einem vielfältigen Geflecht von arbeitsteiligen Leistungsprozessen, von öffentlichen und privaten Akteuren. ...

Die Verwaltung versteht sich weniger als Produzent, sondern mehr als Garant, Initiator, Partner in Netzwerken und Steuerer ...

Die Produktion erfolgt ... vermehrt auch außerhalb der Verwaltung oder in Mischformen in einem Produktionsnetzwerk mit öffentlichen und privaten Partnern. Dabei gewinnen externe Leistungserstellung und Mischformen erheblich an Bedeutung. ..."

Datenschutzrechtlich sind solche Formen der Kooperation keineswegs unzulässig. Schon seit jeher kennt das Datenschutzrecht die sog. Datenverarbeitung im Auftrag, bei der eine Stelle eine andere Stelle damit beauftragen kann, bestimmte Datenverarbeitungsaufgaben für sie durchzuführen. Datenschutzrechtlich bleibt der Auftraggeber dabei für die Einhaltung der Datenschutzvorschriften auch in den Phasen der Datenverarbeitung verantwortlich, in denen diese vom Auftragnehmer durchgeführt wird. Mitunter soll bei einer Kooperation verschiedener Stellen der Auftragnehmer aber nicht nur eine Bearbeitung nach den Weisungen des Auftraggebers vornehmen, sondern es soll ihm beispielsweise auch zugestanden werden, Ermessensentscheidungen eigenständig zu treffen. In einem solchen Fall spricht man von einer Funktionsübertragung. Die mit der heutigen, vernetzten EDV-Infrastruktur möglich gewordenen Kooperationsformen können in vielfältiger Weise von diesen Möglichkeiten Gebrauch machen. Datenschutzrechtlich ist dabei entscheidend, dass neben den Rollen, die die einzelnen Beteiligten dabei einnehmen, auch geklärt wird, in welchem Ausmaß jeder einzelne Beteiligte für die im gemeinsamen Projekt durchgeführte Verarbeitung personenbezogener Daten verantwortlich ist. Fehlt es daran, wirft dies nicht selten erhebliche datenschutzrechtliche Probleme auf. Bereits die Beantwortung der Frage, welches Datenschutzrecht für welche Teile der gemeinschaftlich durchgeführten Datenverarbeitungsvorgänge anzuwenden ist, setzt eine klare Zuständigkeitsabgrenzung voraus. Als Folge davon ist bei einem solchen Projekt mitunter auch nicht mehr auf Anhieb zu erkennen, welche Datenschutz-Aufsichtsbehörde für die Kontrolle des Datenschutzes in diesem Projekt zuständig ist. Leider stellen wir in unserer Beratungs- und Kontrolltätigkeit immer wieder Unzulänglichkeiten hinsichtlich der nötigen Abgrenzung der Rollen, Aufgaben und Verantwortlichkeiten der an einem Projekt Beteiligten fest. Hier seien nur drei Beispiele dafür genannt:

• Für das gemeinsam von den Länderfinanzministerien und dem Bundesministerium der Finanzen genutzte Verfahren ELSTER-Lohn fehlen ausreichend klare Vereinbarungen der kooperierenden Finanzverwaltungen, aus denen sich ergibt, wer dabei datenschutzrechtlich für die Verarbeitung personenbezogener Daten verantwortlich ist (s. auch 4. Teil, 4. Abschnitt, Nr. 2).
   
• Im Rahmen unserer Beratung des Kultusministeriums hinsichtlich der datenschutzrechtlichen Grundlagen für das Projekt E-Stat lag ein inhaltlicher Schwerpunkt auf der Erörterung der Frage, inwieweit zum einen das Kultusministerium und zum anderen die Schulen für die in E-Stat vorgesehene Verarbeitung personenbezogener Daten datenschutzrechtlich verantwortlich sein können.
   
• Hinsichtlich der für die Bearbeitung der Anträge auf Arbeitslosengeld II zuständigen Arbeitsgemeinschaften zwischen der Bundesagentur für Arbeit und den Stadt- und Landkreisen ist leider festzustellen, dass die beteiligten Akteure völlig unterschiedliche Auffassungen über den rechtlichen Status der Arbeitsgemeinschaften haben. Dies zieht auch Probleme bei der datenschutzrechtlichen Beurteilung der von den Arbeitsgemeinschaften sowie der Bundesagentur gemeinsam genutzten EDV-Verfahren nach sich (s. Anhang 9).

Um diesen Schwierigkeiten aus dem Weg zu gehen, ist bei solchen Projekten von Anfang an für die notwendige datenschutzrechtliche Klarheit zu sorgen. Insbesondere sollte dieses Anliegen bei der Abfassung schriftlicher Vereinbarungen über die gemeinsame Durchführung des Vorhabens sowie bei der Formulierung mitunter notwendiger Rechtsvorschriften berücksichtigt werden.

4.3 Überprüfung der Identität bei elektronischer Antragstellung

Sieht eine öffentliche Stelle eine elektronische Antragstellung vor, muss sie damit rechnen, dass ihr gelegentlich auch manipulierte Anträge, z. B. Anträge unter falschem Namen, zugehen. Sie muss daher auch dafür sorgen, dass sie zuverlässig erkennen kann, ob die als Antragsteller bezeichnete Person den entsprechenden Antrag tatsächlich hat stellen wollen. Die sorgfältige Beachtung dieses Aspekts ist auch von entscheidender datenschutzrechtlicher Relevanz: Wenn es nämlich möglich wäre, im Rahmen eines solchen elektronischen Bürgerdienstes Anträge oder Erklärungen im Namen Dritter abzugeben, die davon gar nichts wissen, so könnte dies dazu führen, dass die Behörde falsche personenbezogene Daten über diesen Dritten speichert, verarbeitet oder an andere Stellen übermittelt.

Dass diese Frage auch in der Praxis von Bedeutung ist, zeigte sich in diesem Jahr im Zusammenhang mit dem von der Steuerverwaltung vorgesehenen Verfahren zur elektronischen Datenübermittlung für die Lohnsteuer-Anmeldung sowie die Umsatzsteuer-Voranmeldung:

• Das Antragsverfahren

Unternehmen, die der Steuerverwaltung regelmäßig Angaben im Rahmen der Lohnsteuer-Anmeldung sowie der Umsatzsteuer-Voranmeldung machen müssen, sind seit Anfang 2005 verpflichtet, diese Angaben grundsätzlich in elektronischer Form zu übermitteln. Das Bundesfinanzministerium und die Finanzministerien der Länder stellen den Unternehmen dazu spezielle Computerprogramme zur Verfügung.

• Datenschutzrechtliche Risiken

Zur Identifizierung des Steuerpflichtigen muss dabei neben dessen Namen auch dessen Steuernummer angegeben werden. Da die meldepflichtigen Unternehmen diese Steuernummer auch auf ihren Rechnungen angeben müssen, erscheint es nicht ausgeschlossen, dass jemand, dem diese Informationen über einen Dritten bekannt sind, eine solche elektronische Datenübermittlung an die Steuerverwaltung unter dessen Namen vornimmt. Sofern die Steuerverwaltung eine derart manipulierte Mitteilung als authentisch ansieht, können diese Angaben zur Steuerveranlagung herangezogen werden und auf diese Weise unter Umständen auch eine Zahlungsforderung der Steuerverwaltung gegenüber dem Unternehmer begründen.

• Reaktion der Finanzministerien

Das hiesige Finanzministerium hat die Manipulationsanfälligkeit des Steueranmeldungsverfahrens bestätigt und den Verzicht auf eine elektronische Unterschrift u. a. mit dem Ziel der Verfahrensvereinfachung in diesem weitgehend automatisierten und bearbeiterlosen Massenverfahren begründet. Zudem hat es auf eine geringe Zahl aufgetretener Manipulationsversuche sowie auf das aus seiner Sicht "überschaubare Risikopotential" verwiesen und sieht daher keinen "akuten Handlungsbedarf". Gleichwohl - und das ist aus meiner Sicht die entscheidende Mitteilung - stellt es Abhilfe in Aussicht. Im kommenden Jahr sollen die Manipulationsmöglichkeiten durch ein in das elektronische Mitteilungssystem integriertes Authentifizierungsverfahren beseitigt werden, das zur Überprüfung der Identität der Antragsteller dienen soll.

Auch wenn es bislang nicht zu einer größeren Zahl von Missbrauchsfällen gekommen ist, bleibt festzustellen, dass die Steuerverwaltung mit der Entscheidung, die elektronische Meldung zum einen verbindlich vorzuschreiben, es zum anderen aber an den zur Prüfung der Authentizität erforderlichen Maßnahmen fehlen zu lassen, wohl kaum dazu beitragen konnte, die Akzeptanz elektronischer Bürgerdienste zu fördern. Es bleibt zu hoffen, dass mit dem in Aussicht gestellten geänderten Verfahren die bestehenden Mängel künftig ausgeräumt werden können. Anbieter vergleichbarer elektronischer Dienstleistungen sollten daraus die Lehre ziehen und jeweils von vornherein Maßnahmen einplanen, anhand derer sich die Identität der Antragsteller zuverlässig überprüfen lässt.

4.4 Portal "service-bw"

Um den Bürgern des Landes im Internet eine zentrale Anlaufstelle für elektronische Bürgerdienste anzubieten, richtete das Innenministerium das Internetportal www.service-bw.de ein. In früheren Jahren haben wir bereits mehrfach zu den mit diesem Portal verbundenen Datenschutzfragen Stellung genommen (vgl. 24. Tätigkeitsbericht, LT-Drucksache 13/2650, 23. Tätigkeitsbericht, LT-Drucksache 13/1500, 22. Tätigkeitsbericht, LT-Drucksache 13/520). In diesem Jahr wurden zusätzliche Portalfunktionen freigeschaltet, die erneut datenschutzrechtliche Fragen aufwarfen. Dabei ging es insbesondere um Funktionen, mit denen Nutzer eine Regionalisierung und eine Kategorisierung des Angebots durchführen können sowie um die Funktion des sog. One-Stop-Government:

Regionalisierung und Kategorisierung:

• Im Fall der Regionalisierung können die Nutzer einen Ort auswählen, der bei der weiteren Nutzung der Portalfunktionen als örtliche Voreinstellung verwendet wird. Die Nutzung im Portal könnte dann beispielsweise wie folgt aussehen: Sucht eine Bürgerin oder ein Bürger die Anschrift der Kfz-Zulassungsstelle, so präsentiert das Portal die Anschrift der für den voreingestellten Ort zuständigen Kfz-Zulassungsstelle.
   
• Im Fall der Kategorisierung können sich die Nutzenden einer oder zwei Personengruppen zuordnen (z. B. Zuordnung zur Gruppe "Studierende"). Bei der weiteren Nutzung präsentiert das Portal an den Stellen, an denen es unterschiedliche Informationen für unterschiedliche Personengruppen enthält, den Nutzern diejenigen Informationen, die sich speziell auf die von ihnen ausgewählten Personengruppen beziehen.

Die im Wege der Regionalisierung und der Kategorisierung voreingestellten Werte werden auf jeder Portalseite angezeigt und können jederzeit geändert werden.

Diese Funktionen können ohne vorherige Registrierung genutzt werden. In diesem Fall stehen die voreingestellten Werte nur für die Dauer der Session zur Verfügung. Nutzer, die diese voreingestellten Werte auch bei kommenden Nutzungen verwenden und nicht jedes Mal erneut eingeben wollen, können die im Rahmen der Regionalisierung und Kategorisierung ausgewählten Werte im Portal hinterlegen. Die Nutzenden müssen dazu eine von ihnen frei wählbare Benutzerkennung eingeben. Es entspricht den Anforderungen an eine datenschutzfreundliche Systemgestaltung, dass sie dabei nicht ihren Namen eingeben müssen, sondern auch eine frei gewählte Bezeichnung verwenden können. Datenschutzfreundlich ist daran auch, dass die Nutzenden jederzeit die Löschung der Benutzerkennung sowie der dazu hinterlegten Daten veranlassen können.

One-Stop-Government (OSG):

Den Nutzern des One-Stop-Government stehen zum einen die Funktionen der Regionalisierung und Kategorisierung zur Verfügung. Zum anderen können sie personenbezogene Daten im Portal hinterlegen. Spezielle eBürgerdienste, die auf diese Funktion hin abgestimmt sein müssen, bieten den Nutzenden die Möglichkeit, die hinterlegten Daten per Mausklick in elektronische Antragsformulare zu übernehmen. Es handelt sich hierbei um ein Angebot, das den Nutzenden die wiederholte Eingabe dieser personenbezogenen Daten ersparen soll. Die OSG-Funktion ist wie folgt realisiert:

• Die Funktion OSG wird nur für Nutzer angeboten, die sich mit Hilfe einer Chipkarte identifizieren.
   
• Im Portal können gegenwärtig folgende Angaben hinterlegt werden: Titel, Nachname, Namensbestandteil, Vorname, Rufname, Geburtstag, Hausnummer, Postleitzahl, Straße, Wohnort. Dabei steht es den Nutzenden frei, ob sie alle, einige oder keines der Felder ausfüllen.
   
• Die Nutzer sehen in allen Fällen, welche personenbezogenen Daten in ein Formular übernommen werden, und können diese vor Absenden des Formulars ändern.
   
• Die im Portal hinterlegten personenbezogenen Daten werden verschlüsselt gespeichert. Meldet sich ein Bürger mit seiner Chipkarte am Portal an, so werden die hinterlegten Daten mit Hilfe eines auf der Chipkarte gespeicherten Schlüssels entschlüsselt und stehen dann bis zum Ende der Session unverschlüsselt zur Nutzung zur Verfügung.
   
• Melden sich Nutzer 24 Monate lang nicht mit ihrer Chipkarte am Portal an, so werden deren Benutzerkennungen sowie die von ihnen im Portal hinterlegten Daten automatisch gelöscht.

Da die für diese Funktionen erstellten Sicherheitskonzeptionen aus Sicht des Datenschutzes noch verbesserungsbedürftig waren, forderten wir das Innenministerium zu entsprechenden Änderungen auf. Neben der Präzisierung der Rechtsgrundlagen für die mit der OSG-Funktion verbundene Verarbeitung personenbezogener Daten kam es uns dabei vor allem darauf an, dass die in den Erläuterungen zum OSG gegebenen Zusicherungen hinsichtlich des Zugriffsschutzes tatsächlich zuverlässig umgesetzt werden. Dies war bislang nicht ausreichend der Fall. Das Innenministerium hat inzwischen mitgeteilt, dass es unsere Hinweise beachten wird.

5. Vorratsdatenspeicherung von Telekommunikations- und Internet-Verbindungsdaten

Wenn heute jemand ein Telefonat führt, eine SMS sendet, ein Fax verschickt oder sich ins Internet einwählt, werden darüber bei den Telekommunikationsunternehmen sog. Verbindungsdaten gespeichert. In diesen, vorrangig der Abrechnung dienenden Datensätzen erfassen die Telekommunikationsunternehmen, von welchem Anschluss aus wann mit welchen anderen Anschlüssen Telefonate oder andere Kommunikationsverbindungen zustande kamen. Selbst wenn sich diesen Angaben nicht entnehmen lässt, um welche Inhalte es bei den Telefonaten, den SMS, den Telefax-Sendungen und den Internet-Verbindungen ging, stellen diese Verbindungsdaten sensible Daten dar. Denn sie gewähren bereits detaillierte Einblicke in die Lebens- und Verhaltensweisen der Kommunikationsteilnehmer. Aufgrund dessen unterliegen die Verbindungsdaten auch dem durch Artikel 10 des Grundgesetzes garantierten Fernmeldegeheimnis.

In der Vergangenheit wurde immer wieder erörtert, in welchen Fällen Telekommunikationsunternehmen solche Verbindungsdaten an Strafverfolgungsbehörden herauszugeben haben. Bislang können diese oder andere Sicherheitsbehörden von Telekommunikationsunternehmen in bestimmten, gesetzlich festgelegten Fällen Auskunft über diejenigen Verbindungsdaten verlangen, die die Telekommunikationsunternehmen zur Erstellung ihrer Rechnungen oder für andere gesetzlich zugelassene Zwecke speichern. Strafverfolgungs- und andere Sicherheitsbehörden beklagen dabei mitunter, dass ihre Auskunftsersuchen unbeantwortet bleiben, da das Telekommunikationsunternehmen die gewünschten Verbindungsdaten bereits gelöscht hat. Sie fordern deshalb bereits seit längerem, die Telekommunikations- sowie die Internet-Diensteanbieter zu verpflichten, Verbindungsdaten, die Auskunft über die Nutzung der Dienstleistungen geben, selbst dann für eine bestimmte Mindestdauer zu speichern, wenn das Unternehmen diese Daten zur Abrechnung oder anderen gesetzlich zugelassenen Zwecken gar nicht oder nicht mehr benötigt.

• Mit mehreren Initiativen versuchte der Bundesrat in der Vergangenheit, eine Vorratsspeicherung für Telekommunikationsverbindungsdaten einzuführen. Diese scheiterten jedoch an der ablehnenden Haltung der Bundesregierung.
   
• Im vergangenen Jahr beantragten Frankreich, Irland, Schweden und Großbritannien, durch einen Ministerratsbeschluss der EU eine Vorratsspeicherung von Verbindungsdaten auf europäischer Ebene einzuführen. Datenschutzrechtlich höchst bedenklich war daran nicht nur, dass eine Speicherdauer von bis zu 36 Monaten ins Auge gefasst wurde, sondern auch, dass neben den Telekommunikationsdiensten wie Telefon, E-Mail und SMS auch die Nutzung sämtlicher Internet-Dienste erfasst werden sollte. Aus Sicht des Datenschutzes war es daher sehr zu begrüßen, dass der Bundestag die Bundesregierung am 17. Februar 2005 aufgefordert hat, diese Pläne abzulehnen.
   
• Mittlerweile hat auch die EU-Kommission das Thema Vorratsdatenspeicherung aufgegriffen und einen Entwurf für eine entsprechende EU-Richtlinie vorgelegt. Darin ist vorgesehen, Telekommunikationsverbindungsdaten zwölf Monate lang und Internet-bezogene Verbindungsdaten sechs Monate lang aufzubewahren. Die Umsetzung dieses Vorschlags hätte zur Folge, dass nicht nur Daten über die an sämtlichen Telefongesprächen, SMS und Telefax-Sendungen beteiligten Kommunikationspartner erfasst werden, sondern etwa auch Zeitpunkt und Dauer der Einwahl ins Internet, die dabei zugeteilte IP-Adresse, Daten über den Versand jeder einzelnen E-Mail sowie stets auch die Standorte bei der Mobilkommunikation. Allein die auf diese Weise erfassten Standortdaten würden es mit sich bringen, dass für einen großen Teil der Bevölkerung europaweite Bewegungsprofile erstellt und für jeweils ein Jahr auf Vorrat gespeichert werden.
   

In den letzten Wochen haben auch das hiesige Innen- und das Justizministerium zu dem Thema Position bezogen:

• Das Innenministerium hält eine Vorratsdatenspeicherung wie im Entwurf der EU-Richtlinie vorgeschlagen, für unzureichend. Insbesondere sieht das Innenministerium die von der EU-Kommission geplante Sechsmonatsfrist für die Speicherung der Internet-Verbindungsdaten als zu kurz an und verlangt auch für diese eine mindestens zwölfmonatige Speicherdauer.
   
• Demgegenüber gehen dem Justizminister die Vorschläge der EU-Kommission deutlich zu weit. Ihn erinnerten diese, so erklärte er in einer Pressemitteilung, an ein "emsiges Eichhörnchen, das für den Winter Vorräte in einem Umfang sammle, der in keinem Verhältnis zum tatsächlichen Nutzen stehe". Ferner bestehe "die Gefahr, dass eine sinnvolle Verwendung der Datenflut gar nicht mehr möglich ist und wir uns in einem gigantischen Datenberg verlieren". Und da sei für ihn die Grenze der Verhältnismäßigkeit überschritten. Trotz dieser deutlichen Worte lehnt der Justizminister die Pläne zur Vorratsdatenspeicherung allerdings nicht per se ab, sondern plädiert für eine Vorratsdatenspeicherung von maximal drei Monaten.

Die Datenschutzbeauftragten des Bundes und der Länder haben sich zuletzt im Rahmen ihrer Herbstkonferenz am 27. und 28. Oktober 2005 mit der Vorratsdatenspeicherung befasst und in einer Entschließung (s. Anhang 6) hierzu deutlich gemacht, dass sie ein solches Vorhaben unabhängig von der dafür vorgesehenen Speicherdauer ablehnen. Dabei stehen für sie folgende Aspekte im Mittelpunkt:

• Der Kommissionsvorschlag und erst recht der Ministerratsvorschlag würden zu einer personenbezogenen Datensammlung von beispiellosem Ausmaß und zweifelhafter Eignung führen.
   
• Jede Person, die in Zukunft solche Netze nutzt, würde unter Generalverdacht gestellt.
   
• Jeder Versuch, die zweckgebundene oder befristete Verwendung dieser Datensammlung auf Dauer sichern zu wollen, wäre zum Scheitern verurteilt. Derartige Datenbestände würden Begehrlichkeiten wecken, aufgrund derer die Hürde für einen Zugriff auf diese Daten immer weiter abgesenkt werden könnten. Auch aus diesem Grund müsse bereits den ersten Versuchen, eine solche Vorratsdatenspeicherung einzuführen, entschieden entgegengetreten werden.
   
• Zudem sei eine Ausweitung der Vorratsdatenspeicherung auch auf Inhaltsdaten zu befürchten. Schon jetzt sei die Trennlinie zwischen Verbindungs- und Inhaltsdaten gerade bei der Internet-Nutzung nicht mehr zuverlässig zu ziehen. Dieselben unzutreffenden Argumente, die jetzt für eine flächendeckende Speicherung von Verkehrsdaten angeführt werden, würden nach deren Einführung alsbald auch für die anlassfreie Vorratsspeicherung von Kommunikationsinhalten ins Feld geführt werden.

Im Übrigen kann es auch bei der Diskussion derartiger Vorschläge hilfreich sein, einmal 25 Jahre in der Technikgeschichte zurückzublicken. Seinerzeit wurden Kommunikationsverbindungen noch mit elektro-mechanischen Anlagen vermittelt, die lediglich die Anzahl der in Anspruch genommenen Gebühreneinheiten, aber keine Angaben über die jeweiligen Kommunikationspartner, die Uhrzeit oder die Dauer der Verbindungen registrierten. In den heutigen digitalen Vermittlungsstellen der Telekommunikationsunternehmen werden dagegen für Abrechnungszwecke wesentlich detailliertere Verbindungsdaten gespeichert. Diese stehen den Sicherheitsbehörden schon heute bei Vorliegen der dafür relevanten gesetzlichen Voraussetzungen zur Verfügung. Die Ablösung der elektro-mechanischen durch digitale Vermittlungsstellen führte somit stillschweigend dazu, dass den Sicherheitsbehörden heutzutage weitaus umfassendere und detailliertere Informationen über das Kommunikationsverhalten der Bürger zur Verfügung stehen, als das noch vor Jahren der Fall war. Die Nutzung immer mehr elektronischer Kommunikationsdienste führt ebenso stillschweigend dazu, dass den Sicherheitsbehörden Informationen aus immer mehr Lebensbereichen zugänglich sind. Auch unter Berücksichtigung dieser Entwicklungen ist eine Ausweitung der Speicherung und Verarbeitung von Telekommunikations- und Internet-Verbindungsdaten als, wie sie mit der Vorratsdatenspeicherung einherginge, unverhältnismäßig anzusehen.

6. Datenschutz bei VoIP

Der Ausbau des Internets ist mittlerweile so weit fortgeschritten, dass an jedem Anschluss so viel Bandbreite zu konkurrenzfähigen Preisen zur Verfügung gestellt werden kann, dass Benutzer über das Internet auch miteinander telefonieren können. Hierfür wurde der Begriff VoIP (Voice over IP) geprägt. Die entsprechenden Protokolle wurden im Jahr 2002 definiert und stehen jetzt in Form von Anwendungen zur Verfügung. Findige Provider bieten ihren Kunden neben der reinen Internet-Telefonie auch an, Kommunikationspartner in herkömmlichen Telefonnetzen anzurufen bzw. von ihnen angerufen zu werden.

Technisch deckt VoIP ein breites Spektrum ab. Angefangen bei Telefonanlagen von Unternehmen, die von den Benutzern unbemerkt Gespräche in oder über das Internet vermitteln, bis zu Lösungen, bei denen mit Kopfhörer und Mikrofon ausgerüstete PCs und bestimmte darauf ablaufende Programme, sog. Softphones, herkömmliche Telefone überflüssig machen. Andere Lösungen sehen spezielle Telefone vor, die über einen LAN-Anschluss verfügen und mit Hilfe weiterer Server Verbindungen in das Internet aufbauen können.

Die Betreiber und Anbieter von herkömmlichen Telefondiensten unterliegen den gesetzlichen Regelungen des Telekommunikationsgesetzes. Insbesondere müssen sie in einem Sicherheitskonzept darlegen, dass sie Maßnahmen zur Gewährleistung des Fernmeldegeheimnisses ergriffen haben. Entsprechende gesetzliche Regelungen gibt es für VoIP noch nicht. Die Einbindung derjenigen Anbieter, die ihren Sitz in einem außereuropäischen Land haben, dürfte dabei noch besondere Probleme bereiten. Wie beim herkömmlichen Telefonsystem ist aber auch beim Telefonieren mit der VoIP-Technik zu verlangen, dass das Fernmeldegeheimnis gewahrt wird. Bei den technischen Maßnahmen, die ein Anbieter zum Schutz von personenbezogenen Daten ergreift, sind zwei Aspekte besonders zu beachten: Wie bei herkömmlichen Telefonsystemen muss die Vertraulichkeit der Mediendaten, d. h. der Daten der Sprach- und ggf. Bildkommunikation gewährleistet werden. Zum anderen können auch die Signaldaten, die zum Aufbau einer Verbindung ausgetauscht werden, personenbezogene Daten enthalten. Auch deren Vertraulichkeit muss gewahrt bleiben.

Während der Berichtsperiode wurden wir von Kommunen hinsichtlich der datenschutzrechtlichen Anforderungen an VoIP um Rat gebeten. Wir haben ihnen sinngemäß Folgendes geantwortet:

VoIP-Lösungen übertragen Daten, die auch personenbezogen sein können, über das öffentliche Internet. Damit ist die Kommunikation den gleichen Gefahren ausgesetzt, wie wir sie vom Surfen im WWW oder von der E-Mail her kennen. Zu nennen sind hier Programme, die es Unbefugten erlauben, einen PC fernzusteuern (Trojaner), Viren sowie Programme, mit denen Teilnehmer im Internet getäuscht werden können, indem man ihnen gefälschte Daten schickt. Auch besteht die Gefahr, dass durch bewusst herbeigeführte Störungen ein Internet-Telefonanschluss nicht genutzt werden kann (denial-of-service). Jeder einzelne Teilnehmer setzt sich bei der Nutzung von VoIP daher einem erheblichen zusätzlichen Risiko aus. Dass beispielsweise sog. Trojaner vor dem Fernmeldegeheimnis Halt machen und Telefonate über das Internet nicht ausspionieren, ist nicht zu erwarten.

Daneben gibt es weitere Gefahren, die mit der eingesetzten Technik zusammenhängen:

• Vertraulichkeit

Die Vertraulichkeit von personenbezogenen Daten bei der Internet-Telefonie ist in verschiedener Hinsicht bedroht:

• Verbindungsaufbau

Der Aufbau einer Verbindung zwischen zwei Kommunikationspartnern wird bei VoIP wie beim herkömmlichen Telefonsystem durch Vermittlungsinstanzen hergestellt. Dabei wird häufig das Protokoll SIP (session initiation protocol) verwendet. Das Protokoll selbst bietet die Möglichkeit der Verschlüsselung bestimmter Teile der Kommunikation. Allerdings werden andere Teile im Klartext übertragen. Dieser Klartext könnte, wie bei E-Mail, an mehreren Stellen im Internet von Personen eingesehen werden. Im Gegensatz zum herkömmlichen Telefonsystem sind diese jedoch nicht auf das Fernmeldegeheimnis verpflichtet. Besonders problematisch ist die Übermittlung des Anrufers und des Angerufenen im Klartext dann, wenn einer der Kommunikationsteilnehmer zu einer Berufsgruppe gehört, die einem besonderen Berufsgeheimnis, wie beispielsweise Ärzte, unterliegt. Hier muss nicht nur der Inhalt des Gesprächs geschützt sein, sondern es dürfen auch die Kommunikationspartner nicht offenbart werden. Diese Gruppe von Bediensteten sollte, solange keine gesetzlichen Regelungen getroffen werden, von der Nutzung von VoIP für dienstliche Zwecke absehen, wenn die Kommunikation zwischen Teilnehmer und Vermittlungsinstanz oder zwischen zwei Vermittlungsinstanzen unverschlüsselt durchgeführt wird.

• Mediendaten

Nachdem die Verbindung zwischen zwei Kommunikationspartnern hergestellt wurde, weiß die Software der verwendeten Rechner, wo sich der jeweils andere Kommunikationspartner befindet. Jetzt können die Teilnehmer mit dem Telefongespräch beginnen. Die digitalisierten Sprachdaten werden dabei mit einem speziellen Protokoll in Echtzeit (real time protocol/RTP) direkt zwischen den Teilnehmern übertragen. Aber was heißt im Internet schon direkt? Dass keine exklusiv für das Gespräch geschaltete Leitung zwischen den teilnehmenden Stellen existiert, dürfte heutzutage allgemeiner Erkenntnisstand sein. Deshalb muss darauf geachtet werden, dass die Mediendaten verschlüsselt übertragen werden. Ansonsten könnten sie von Dritten abgehört werden. Entsprechende Programme, mit denen man in einem sog. LAN die unverschlüsselte Kommunikation mit RTP mithören kann, sind im Internet frei erhältlich. Die Entwickler des Protokolls haben diese Möglichkeit bedacht und festgelegt, dass der Standard VoIP mehrere Verschlüsselungsmechanismen, die bei der Übertragung der Mediendaten verwendet werden können, unterstützt. So kann beispielsweise das von https-Verbindungen im WWW her bekannte Verschlüsselungsverfahren SSL/TLS, die verschlüsselte Variante des RTP-Protokolls SRTP (secure RTP) oder die Standardverschlüsselung von TCP/IP namens IPSec verwendet werden. Da die Unterstützung von SSL/TLS durch Firewalls im Allgemeinen gegeben ist, spricht nichts dagegen, dass die Mediendaten von Telefongesprächen über das Internet verschlüsselt übertragen werden.

• Anrufumleitung

Eine weitere Bedrohung besteht darin, dass Dritte, die sich netztechnisch zwischen Vermittlungsserver und Kommunikationspartner befinden, den Verbindungsaufbau umleiten könnten. Die dabei verwendete Technik - sog. spoofing - ist schon im Zusammenhang mit anderen Internet-Diensten bekannt.

• Authentifizierung

Um dem VoIP-System mitzuteilen, dass ein Empfänger für Verbindungen bereit ist, meldet sich dieser bei der Vermittlungsstelle mit dem Protokoll SIP an. Das ist bei Telefonen, die jederzeit einen Anruf entgegennehmen können, kein Problem. Anders ist es bei sog. Softphones, d. h. einer Software, die wie beispielsweise ein E-Mail-Programm auf einem Rechner aufgerufen werden muss. Gelingt es beispielsweise jemandem in einem Rechnernetz, die Identität eines anderen anzunehmen, dann könnte er auch Anrufe in dessen Namen tätigen bzw. entgegennehmen. Und dies selbst dann, wenn der Betreffende an seinem Rechner sitzt. Denn genau wie bei vielen anderen Internet-Diensten können PCs von der Nutzung eines Dienstes ausgeschlossen werden, indem man den PC durch einen sog. Denial-of-service-Angriff blockiert.

Berichtet wird außerdem von der Möglichkeit, dass Dritte während des Signalisierungsablaufs gezielt Veränderungen der Signalisierungsdaten vornehmen könnten, um sich als gewünschter Kommunikationspartner auszugeben. Es ist dann auch nur eine Frage der Zeit, bis Anrufe eingehen, in denen sich ein angeblicher Mitarbeiter der Bank, bei der der Angerufene ein Konto unterhält, darum bittet, man möge doch das persönliche Passwort für das Online-Banking mitteilen, da es zur Wartung des Kontos benötigt werde. Tatsächlich dürfte es sich aber mit an Sicherheit grenzender Wahrscheinlichkeit um sog. Telefon-Phishing handeln, d. h. dem Anrufer ist es gelungen, einen falschen Anschluss vorzuspiegeln.

Ein weiteres Problem wird vermutlich darin bestehen, dass für Dritte nachvollziehbar wird, wer wann und wo Telefonanrufe über das Internet entgegennehmen kann, ohne direkt anzurufen. Wir gehen nicht so weit zu sagen, dass mit diesen Daten aussagefähige Bewegungsprofile erstellt werden könnten, aber personenbezogen sind sie allemal. Denn wer will schon, dass Dritte wissen, wann er morgens an seinen Arbeitsplatz kommt und wann er ihn abends wieder verlässt.

• Firewall-Systeme

Damit es mit der Internet-Telefonie richtig klappt, will man natürlich nicht nur anrufen, sondern auch angerufen werden. Und da man im Allgemeinen nicht weiß, wer anrufen will, muss das Ganze so konfiguriert sein, dass auch jedermann anrufen kann. Technisch bedeutet das, dass man seinen PC für Anrufe von jedem beliebigen Rechner im Internet öffnen muss. Das allein ist schon ein Problem, weil ein Angreifer diesen Umstand dazu ausnützen könnte, durch irreguläre Datenpakete das Betriebssystem durcheinander zu bringen. Auf diese Weise könnte er eventuell vorhandene Lücken, deren es in der Vergangenheit leider viele gab, nutzen, um die Sicherheit der Rechner auf vielfältige Weise zu untergraben. Vor solchen Angriffen sollen eigentlich sog. Firewall-Systeme schützen. Um aber ein eingehendes Telefonat passieren zu lassen, müssen Firewall-Systeme so konfiguriert werden, dass sie auch irregulär aufgebaute Datenpakete passieren lassen. Ein Angriffsszenario könnte darin bestehen, einem Softphone laufend ein Klingel-Signal zu schicken und es so lahm zu legen. Wenn es dem Angreifer jetzt noch gelingt, Gegenstellen zu täuschen, könnte er Telefonate anstatt des Angegriffenen entgegennehmen oder mit dessen Kennung und auf dessen Rechnung vornehmen. Die eigentliche Aufgabe von Firewall-Systemen, die unsicheren Rechner eines Intranets vor Angriffen aus dem Internet zu schützen, wird dann, wenn VoIP unterstützt wird, konterkariert. Und ob sog. Intrusion Detection Systeme (IDS), die den Netzverkehr eines Intranets auf Angriffe überwachen, diese Bedrohung abwehren können, muss sich zeigen.

• Verfügbarkeit

Weiterhin ist zu bedenken, dass bei VoIP-Lösungen die Ausfallsicherheit wesentlich geringer ist als bei herkömmlichen Telefonsystemen. Dies liegt zum einen daran, dass bei VoIP mehr Komponenten im Spiel sind, die die Funktionalität des Ganzen mittragen müssen. Die Wahrscheinlichkeit des Ausfalls erhöht sich grundsätzlich mit jeder zusätzlichen Komponente. Ist das Telefonsystem auf VoIP umgestellt, dann werden die Benutzer den IT-Administratoren nicht mehr telefonisch mitteilen können, dass der Server abgestürzt ist, denn mit dem Ausfall ist vermutlich auch die Funktion des Telefonierens gestört. Auch nicht unterschätzt werden sollte, dass das herkömmliche Telefonsystem selbst bei Stromausfall noch funktioniert, ein im Notfall nicht zu unterschätzender Vorteil. Wenn man mit VoIP die gleiche Verfügbarkeit erreichen will, muss die Dimensionierung der Notstromversorgung des gesamten Systems (Server, PCs, Netzkomponenten) entsprechend erweitert werden.

• Separation der Netze

Mit einer Trennung von IP-Sprach- und IP-Datennetz könnte an sich ein sicherer Betrieb mit relativ hoher Verfügbarkeit erreicht werden. Diese Möglichkeit, die gelegentlich als Kernstück einer Sicherheitsstrategie empfohlen wird, verlangt allerdings in den meisten Fällen, dass entweder sog. virtuelle lokale Netze (VLANs) aufgebaut werden oder eine zusätzliche Verkabelung erfolgt, ganz zu schweigen von den erhöhten Kosten für zusätzliche Serverfunktionalität und den zweiten Internet-Anschluss. Ob die Internet-Telefonie dann auch noch die wirtschaftlich günstigere Variante ist, muss wohl mit spitzem Stift nachgerechnet werden.

Lediglich eine Frage der Zeit dürfte es auch sein, bis bei der Internet-Telefonie die von E-Mail und Instant-Messaging bekannten Missbrauchsformen wie z. B. unaufgeforderte Werbeanrufe um sich greifen. Einen Namen dafür gibt es auch schon: SPIT (Spam über Internet-Telefonie). Neue Deliktsformen wie Anrufe auf Kosten anderer und Entgelt-Betrug zeichnen sich ebenfalls ab.

Die in diesem Rahmen nur ansatzweise erläuterten datenschutzrechtlichen Probleme bei VoIP mündeten in eine Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, in der die Hersteller, Anbieter und Anwender der VoIP-Technik aufgefordert werden, die zum Schutz von personenbezogenen Daten erforderlichen Maßnahmen zu ergreifen und den Schutz des Fernmeldegeheimnisses bei VoIP ebenso zu wahren wie bei der herkömmlichen Telefonie (s. Anhang 7).

7. Datenschutz bei mobilen Geräten

Vorbei sind die Zeiten, als die Damen und Herren des gemeindlichen Vollzugsdienstes einer badischen Kommune mit Kugelschreiber und Notizblock bewaffnet dem Geschäft der Parkraumüberwachung nachgingen. Bietet die Computerindustrie doch kleine handliche Geräte an, mit denen die Datenerfassung genauso gut durchgeführt werden kann und bei denen die Weiterverarbeitung der personenbezogenen Daten von Parksündern auf zentralen Systemen nur eines Mausklicks bedarf. Aber auch die Fahrkartenkontrolleure einer württembergischen Stadt nutzen für die Erfassung von Bürgern, die ohne gültigen Fahrausweis in öffentlichen Verkehrsmitteln angetroffen werden, die handlichen Geräte. Und wie es sich für eine fortschrittliche Verwaltung gehört, können Bedienstete der Landesverwaltung, die zu jeder Tages- und Nachtzeit an jedem Ort auf ihr dienstliches E-Mail-Postfach zugreifen müssen, beim Provider des Landesverwaltungsnetzes (LVN) handflächengroße Computer, sog. MDAs (mobile digital assistants) erhalten, mit denen sie über ein GSM-Netz ihre E-Mails abrufen können.

Technisch gesehen handelt es sich bei diesen Geräten um Computer, die über einen nicht-flüchtigen Speicher verfügen. Der Datenaustausch zwischen den Geräten und der EDV der jeweiligen Dienststelle wird dadurch bewerkstelligt, dass man die Rechner an einen mit einem speziellen Anschluss ausgerüsteten PC, der sich in der Dienststelle befindet, anschließt und mit spezieller Software den Datentransport durchführt. Aber auch die Variante, dass nur die Speicherkarte entnommen und in den Kartenleser eines PCs gesteckt wird und dann die gespeicherten Daten auf den Rechner der Dienststelle übertragen werden, haben wir angetroffen. MDAs dagegen brauchen gar keine feste Verbindung zu anderen Rechnern, da sie mit Schnittstellen ausgerüstet sind, über die sie sich an einem Funknetz anmelden und Daten versenden und empfangen können. Und weil es sich anbietet, haben die meisten Geräte dieser Klasse auch eine Schnittstelle, um in ein sog. WLAN eingebunden zu werden oder um mit anderen Geräten eine Bluetooth-Verbindung aufzubauen. Auf den Geräten wird mindestens eine Anwendung zur Erfassung von Daten oder zur Anzeige von E-Mails ausgeführt. Fortschrittlichere Modelle werden mit einem Betriebssystem betrieben, das mehrere Anwendungen ausführen kann und Verbindungen zu den oben genannten Netzen unterstützt.

Durch Eingaben und Anfragen wurden wir in der Berichtsperiode erstmals auf Fragen zum technischen Datenschutz bei mobilen Geräten gelenkt. Dazu haben wir Folgendes gesagt:

• Zugriffsschutz

Bei keinem technischen Gerät ist das Problem des Zugriffsschutzes von so zweischneidiger Natur wie bei mobilen Geräten. Das kommt daher, dass der Sachbearbeiter im Regelfall das Gerät mit sich trägt und es praktisch immer beaufsichtigt. Daher kann jedem Unbefugten effektiv der Zugriff verwehrt werden. Aber bedingt durch die Größe kann es sein, dass das Gerät liegen gelassen wird oder abhanden kommt. Wenn dann keine Maßnahmen zum Schutz der mit den Geräten gespeicherten Daten getroffen wurden, werden möglicherweise personenbezogene Daten gegenüber Dritten offenbart. Wenn der Bedienstete das Gerät über Nacht in seine Privatwohnung mitnehmen kann, sollten von ihm Vorkehrungen zur Sicherung gegen unerlaubten Zugriff getroffen werden, indem das Gerät beispielsweise unter Verschluss aufbewahrt wird.

• Datenträgerkontrolle

Weil die Geräte so klein sind, müssen die darin enthaltenen Datenträger nicht erst umständlich ausgebaut werden, um in ihren Besitz zu gelangen; dies erschwert die Datenträgerkontrolle erheblich. Häufig sind auch Geräte anzutreffen, deren Speicher durch zusätzliche Speicherkarten, die die Größe einer Briefmarke haben, aufgerüstet werden können. Und diese Aufrüstung - es soll ja schnell gehen - geschieht einfach dadurch, dass man die Karten an von außen zugänglichen und ungesicherten Kartenschächten einstecken bzw. auch entnehmen kann. Da eine effektive Datenträgerkontrolle sehr schwierig ist, sollten unbedingt Maßnahmen der Verschlüsselung ergriffen werden, damit personenbezogene Daten nicht offenbart werden. Bei MDAs wird vom Provider des LVN sogar die Funktionalität angeboten, dass nur durch ihn autorisierte Speicherkarten in den Geräten verwendet werden können. Von dieser Möglichkeit sollte immer dann, wenn personenbezogene Daten mit im Spiel sind, Gebrauch gemacht werden.

• Speicherkontrolle

Bei einfacheren Geräten ist der Speicher gegenüber dem Benutzer transparent. Die Einsicht in die gespeicherten Daten erfolgt über das zur Erfassung eingesetzte Programm. Geräte mit Betriebssystem verfügen über ein Dateisystem, auf das zugegriffen werden kann. Bei diesen Geräten und bei Geräten, deren Speicher mit Zusatzkarten erweitert werden können, sollten Maßnahmen zur Speicherkontrolle ergriffen werden. Sofern das System Zugriffsrechte auf der Dateisystemebene unterstützt, sollten diese entsprechend konfiguriert werden. Ansonsten sollte die Anwendung, mit der personenbezogene Daten verarbeitet werden, die Daten nur in verschlüsselter Form in den Speicher schreiben, wenn ein alternativer Zugriff möglich ist.

• Benutzerkontrolle

Um mit dem mobilen Gerät arbeiten zu können, musste bei den von uns in Augenschein genommenen Geräten zur Aktivierung ein mehrstelliger Zahlencode, der von Benutzer zu Benutzer unterschiedlich war, eingegeben werden. Im Unterschied dazu sind Geräte, die keine Benutzeranmeldung erfordern, das heißt, die wie Taschenrechner nach dem Einschalten von jedermann benutzt werden können, datenschutzrechtlich äußerst problematisch.

• Zugriffskontrolle

Maßnahmen der Zugriffskontrolle müssen bei einfachen Geräten, auf denen nur eine Anwendung abläuft, durch die Anwendung realisiert werden. Bei einem von uns untersuchten Gerät mussten sich die Benutzer, nachdem sie das Gerät mit einer mehrstelligen Zahlenkombination aktiviert hatten, nochmals mit einer mehrstelligen Zahlenkombination an der Anwendung anmelden. Maßnahmen der Zugriffskontrolle bei Geräten, die mit einem Betriebssystem arbeiten, das mehrere Anwendungen unterstützt, müssen ebenfalls von den Anwendungen selbst getroffen werden.

• Eingabekontrolle

Vorbildlich war die Eingabekontrolle in einem Fall gelöst: Die Anwendung zeichnete die Benutzerkennung bei jedem neu eingegebenen Fall auf, so dass später am Auswertungs-PC nachvollziehbar war, wer wann mit dem Gerät welche personenbezogenen Daten erfasst hat.

Die Löschung der Daten erfolgt bei einfachen Geräten, indem die personenbezogenen Daten im Speicher der Geräte gelöscht werden, wenn die Geräte an eine Feststation angeschlossen und die Daten in einen zentralen Datenbestand überführt worden sind. Bei MDAs hingegen muss die Löschung von personenbezogenen Daten durch den Benutzer erfolgen. Eine automatische Löschung ist im Allgemeinen nicht vorgesehen.

• Auftragskontrolle

Wird, wie bei den MDAs, das Gerät von einem Provider in vorkonfigurierter Form zur Verfügung gestellt und haben die IT-Administratoren der betreffenden Dienststelle keine Möglichkeit, das Gerät zu administrieren, dann wäre zu prüfen, ob es sich dabei um eine Datenverarbeitung im Auftrag handelt, wenn personenbezogene Daten mit dem Gerät gespeichert werden. Auf unsere Anfrage, ob die Geräte laufend administriert werden oder ob nur einmalig bei der Ausgabe eine Vorkonfiguration erfolgt, haben wir bisher noch keine Antwort erhalten. Wenn sich herausstellen sollte, dass die Administratoren des Providers regelmäßig auf die Rechner zugreifen, dann handelt es sich unserer Meinung nach wie bei der Fernwartung von stationären Systemen um eine Datenverarbeitung im Auftrag. Hierzu wäre ein entsprechender datenschutzrechtlicher Vertrag abzuschließen.

• Transportkontrolle

Maßnahmen zur Transportkontrolle müssen bei den Geräten ergriffen werden, die über eine Netzwerkschnittstelle verfügen. Über diese Schnittstelle können sie in ein Funknetz wie ein GSM-Netz, ein WLAN oder ein Bluetooth-Netz eingebunden werden. Die Maßnahmen können beispielsweise darin bestehen, dass über das GSM-Netz eine Segmentierung erfolgt, die die Einteilung in einzelne Benutzergruppen erlaubt. Dann können MDAs nur mit Teilnehmern dieses Segments in Verbindung treten, von denen ein Teilnehmer ein sog. Einwahlpunkt ist, über den in einem Festnetz die Verbindung zu Servern der Verwaltung aufgebaut wird. Bei WLAN-Netzen sollte bei der Übertragung über öffentliche TCP/IP-Netze ein sog. virtuelles privates Netz (VPN) gebildet werden. Außerdem muss darauf geachtet werden, dass die Rechner in diesen Netzen nicht angreifbar sind. Ob auf den Rechnern die entsprechenden Vorkehrungen wie beispielsweise ein Firewall-System getroffen werden können, ist uns nicht bekannt, aber die im 24. Tätigkeitsbericht (LT-Drucksache 13/3800) im fünften Abschnitt unter der Nummer 5.1 und 5.2 formulierten Anforderungen gelten sinngemäß.

Der Erfolg der mobilen Kleinrechner beruht auf der Möglichkeit, überall auf seine Daten zugreifen zu können. Dies lässt auch die Hersteller von Speichersticks, daumengroßen Halbleiterspeichern, die an jeden gängigen PC angeschlossen werden können, nicht ruhen. Sie haben eine Technik ersonnen und standardisiert, mit der man seine Arbeitsumgebung auf einem USB-Speicherstick speichern und an jeden PC, der natürlich mit dem gleichen Betriebssystem arbeiten muss, übertragen kann, indem man den Speicher einsteckt und durch ein Passwort den Zugriff darauf legitimiert. Dadurch sollen die Benutzer auf jedem Wirts-PC, z.B. im Internet-Cafe, bei Bekannten oder zu Hause mit ihrer vom Büro her gewohnten Umgebung arbeiten können. Hinsichtlich des technischen Datenschutzes ist dabei wichtig, dass auf dem Wirts-PC keine Rückstände und insbesondere keine personenbezogenen Daten nach der Benutzung zurückbleiben. Das versprechen die Anbieter dieser U3 genannten Technik. Die Zukunft wird zeigen, ob dieser Anspruch auch immer sicher, d. h. frei von Viren und sog. Trojanern, erfüllt werden kann. Unsere bisherige Erfahrung ist die, dass nach Benutzung eines PCs eigentlich immer Spuren zurückbleiben. Aber immerhin: Die Daten auf dem Speicherstick sind durch ein Passwort vor unbefugtem Zugriff geschützt.

8. Personenbezogene Daten in Web-Angeboten und Internet-Suchmaschinen

Wenn eine öffentliche Stelle in ihrem Internet-Angebot personenbezogene Daten von Beschäftigten und Bürgern veröffentlicht, dann sollte sie dabei so vorgehen, dass die personenbezogenen Daten nicht bei den automatischen Suchanfragen einer Suchmaschine sichtbar werden. In der Berichtsperiode hatten wir die Eingaben mehrerer Petenten, von denen personenbezogene Daten auf behördlichen Web-Sites veröffentlicht wurden, zu bearbeiten. Wir haben ihnen Folgendes mitgeteilt.

8.1 Es gibt ein Entkommen vor den Suchmaschinen

Wenn es zulässig ist, Beschäftigte mit ihrer Funktion im Internet namentlich zu veröffentlichen, wie wir oben dargestellt haben (4. Teil, 2. Abschnitt, Nr. 2), dann sollte dabei so vorgegangen werden, dass die personenbezogenen Daten lokal auf den Aufgabenbereich der betreffenden Stelle beschränkt werden. Dies setzt aber voraus, dass die Daten nicht gegenüber Suchmaschinen offenbart werden und von Dritten durch Suchanfragen weltweit abgerufen werden können. Die Vorgehensweise von Suchmaschinen besteht darin, dass sie die Inhalte von Web-Sites katalogisieren, indem sie die in einer WWW-Seite gespeicherten Verweise auf weitere Seiten analysieren, diesen Verweisen folgen und die Seiten abrufen. Diese so gewonnenen neuen Seiten werden dann mit dem gleichen Mechanismus wieder auf Verweise durchsucht. Dieses Spiel wiederholt sich so lange, bis die Suchmaschine auf einer Seite angelangt ist, die keine Verweise enthält.

Will man nicht die Aufmerksamkeit von Suchmaschinen auf Seiten lenken, die personenbezogene Daten enthalten, bieten sich zwei Möglichkeiten an, die Suche in einem WWW-Angebot auf bestimmte Seiten zu beschränken:

• Eine Möglichkeit besteht darin, die Seiten, deren Indexierung durch Suchmaschinen nicht gewünscht wird, zu kennzeichnen. Die Kennzeichnung besteht aus einer Datei mit Namen "robots.txt", in der ein bestimmter Text gespeichert sein muss. Im Allgemeinen muss die Datei in Verzeichnissen stehen, in denen nur der Systemverwalter der Web-Site Dateien speichern kann.

In einer abgewandelten Form dieser Methode wird im Kopftext aller Seiten, die nicht indexiert werden sollen, ein entsprechender Vermerk in Form eines sog. "META"-Elements eingefügt.

• Eine weitere Möglichkeit besteht darin, dafür zu sorgen, dass die Verweise auf Seiten, in denen personenbezogene Daten von Mitarbeitern veröffentlicht werden, nicht im Klartext auftreten, sondern dass entweder die Verweise oder die Seiten dynamisch erzeugt werden. Das bedeutet, dass die Verweise nicht im Klartext erscheinen und sie dadurch vor den Analysemechanismen der Suchmaschinen geschützt sind. Konkret könnten in einem Auswahlmenü die zu veröffentlichenden Sachbereiche wie Personal, Haushalt, etc. aufgeführt werden. Nur bei expliziter Selektion durch einen Benutzer würden die dahinter stehenden Inhalte, die dann personenbezogene Daten enthalten können, abgerufen bzw. dargestellt. Hierbei könnte entweder eine direkte Abbildung von Menübegriffen auf statischen Seiten erfolgen oder die Seiten selbst könnten mit Rückgriff auf eine Datenbank dynamisch generiert werden. Da Suchmaschinen Dialoge nicht abarbeiten können, bleiben ihnen die dahinter stehenden Seiten verborgen.

Außerdem muss noch darauf geachtet werden, dass auf den so erzeugten Seiten keine Verweise auf andere Seiten enthalten sind. Dies deshalb, weil sonst die Adresse einer geheim zu haltenden Seite in einer Hinweisdatei des Servers gespeichert wird, wenn aus ihr heraus einem Verweis gefolgt wird. Nicht selten können diese Hinweisdateien abgerufen werden. Auf diese Weise könnte die Adresse dann einer Suchmaschine bekannt werden.

Insgesamt ist die zweite Methode aufwändiger zu realisieren als die erste Alternative. Sie hat aber den Vorteil, dass sie auch dann funktioniert, wenn sich die Suchmaschinen nicht an die Konvention halten und Seiten, die mit dem "robots.txt"-Mechanismus verborgen werden sollten, indexieren.

8.2 Löschungen personenbezogener Daten in Suchmaschinen

Aber was ist zu tun, wenn das Kind schon in den Brunnen gefallen ist, d. h. wenn das Internet-Angebot der Stelle, die unzulässigerweise personenbezogene Daten veröffentlicht hat, von einer Suchmaschine erfasst und die Inhalte indexiert worden sind? Das führt häufig nicht nur dazu, dass die personenbezogenen Daten mit einfachen Anfragen in Erfahrung gebracht, sondern mit weiteren in Suchmaschinen gespeicherten personenbezogenen Daten (Veröffentlichung in der Vereinsrangliste des Tennis-Clubs, Aktivitäten im Schulförderverein, Anbieter bei Online-Versteigerungen, etc.) verknüpft werden können. Selbst wenn die Stelle einsichtig ist und die personenbezogenen Daten aus ihrem Angebot entfernt, wird möglicherweise von Suchmaschinen die Originalseite in einem sog. Cache zwischengespeichert und kann von jedermann abgerufen werden.

Zunächst muss gesagt werden, dass im Allgemeinen die Betreiber von Suchmaschinen Unternehmen des privaten Bereichs sind und daher nicht der Kontrolle des Landesbeauftragten für den Datenschutz unterliegen. Es bestehen daher keine direkten Einwirkungsmöglichkeiten von Seiten des Landesbeauftragten für den Datenschutz auf die Unternehmen, die darüber hinaus meist ihren Firmensitz im Ausland haben.

Die Betroffenen selbst können sich zwar mit den Betreibern der Suchmaschinen in Verbindung setzten, erhalten aber für gewöhnlich als Antwort den Hinweis, dass die Daten von einer öffentlichen Web-Site erhoben wurden. Und genau diese Verarbeitung, d. h. die Speicherung und den Abruf von personenbezogenen Daten aus öffentlich zugänglichen Quellen, erlauben sowohl das Bundesdatenschutzgesetz wie auch das Landesdatenschutzgesetz, das bei öffentlichen Stellen des Landes anzuwenden ist. Die Betreiber von Suchmaschinen sind also in rechtlicher Hinsicht auf der sicheren Seite.

Es sind die Betreiber der Web-Site, die Anstrengungen unternehmen müssen, um den Missstand zu beseitigen. Sie können gegenüber den Suchmaschinenbetreibern die zeitnahe Löschung von personenbezogenen Daten, die sie in ihrem Angebot veröffentlicht haben, beantragen. Ist der Betreiber einer Web-Site eine öffentliche Stelle und unterliegt damit dem Landesdatenschutzgesetz, besteht insofern eine Einwirkungsmöglichkeit des Landesbeauftragten gegenüber der öffentlichen Stelle. Wenn nämlich die datenschutzrechtliche Prüfung ergeben hat, dass personenbezogene Daten unzulässigerweise auf dem WWW-Server der Stelle veröffentlicht wurden, dann wird die Stelle regelmäßig aufgefordert, die Daten aus ihrem Angebot zu löschen. Ist das Angebot der Stelle zum Zeitpunkt, in dem die personenbezogenen Daten veröffentlicht wurden, von einer Suchmaschine indexiert worden, ist es sachgerecht, dass der Betreiber der Web-Site die Löschung der zu Unrecht veröffentlichten personenbezogenen Daten aus dem Suchindex beim Suchmaschinenbetreiber beantragt. Ebenso sollte er darauf hinwirken, dass die Daten in Zwischenspeichern des Suchmaschinenbetreibers gelöscht werden.

Um ganz sicher zu gehen, dass die Betroffenen die sie betreffenden Seiten nicht mehr sehen, müssen sie diese dann nur noch aus dem lokalen Zwischenspeicher auf ihrem PC, in dem der Browser Kopien der abgerufenen Seiten speichert, löschen.