-> Home -> Der LfD -> Tätigkeitsberichte -> 2006
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

27. Tätigkeitsbericht 2006 - Inhaltsverzeichnis

 

27. Tätigkeitsbericht 2006 - 5. Teil

5. Teil: Technik und Organisation

1. Datenschutz und Datensicherheit in Verwaltungsnetzen
1.1 Datenschutz- und Sicherheitskonzeptionen für das Landesverwaltungsnetz und den Metronetzverbund
1.1.1 Verschlüsselung der übertragenen Daten
1.1.2 Grundsatz der Datensparsamkeit bei der Netzwerkgestaltung
1.1.3 Einvernehmliche Fortentwicklung der Konzeptionen
1.1.4 Transparente und klar voneinander abgegrenzte Zuständigkeitsbereiche
1.1.5 Regelmäßige Datenschutzrevisionen
1.2 Netzwerksicherheit durch MPLS-Technik

2. Datenschutz bei der Spam-Abwehr

3. Unzureichender Zugriffsschutz im lokalen Netz eines Landratsamts

4. Fernzugriff auf Dateien durch untere Verwaltungsbehörden

5. Clearingstelle für das Meldewesen

6. Das "Elektronische Gewerberegister"

7. Hackers Traum - Bankverbindungen im Internet abrufbar

 

1. Datenschutz und Datensicherheit in Verwaltungsnetzen

Gab es bis vor einigen Jahren im Bereich der Landesverwaltung nur das im Wege des Outsourcings betriebene Landesverwaltungsnetz (LVN), so wird dies heute ergänzt durch eine wachsende Zahl der im sog. Metronetzverbund zusammengeschlossenen Verbindungen, die von der Landesverwaltung selbst administriert werden. Dieser Wandel sowie der Wunsch, andere Übertragungstechniken zu nutzen, machten eine Fortschreibung der Datenschutz- und Sicherheitskonzeptionen für diese Netze erforderlich.

 

1.1 Datenschutz- und Sicherheitskonzeptionen für das Landesverwaltungsnetz und den Metronetzverbund

Die uns vom Innenministerium übersandten Entwürfe der Datenschutz- und Sicherheitskonzeptionen für das Landesverwaltungsnetz und den Metronetzverbund gaben Anlass, u. a. auf Folgendes hinzuweisen:

 

1.1.1 Verschlüsselung der übertragenen Daten

Für das Landesverwaltungsnetz und den Metronetzverbund ist bislang keine generelle Verschlüsselung der darin übertragenen Daten vorgesehen. Daher ist für jede einzelne Anwendung zu prüfen, ob zum Schutz der dabei übertragenen Daten auch deren Verschlüsselung zu realisieren ist. Dies ist aus unserer Sicht zumindest immer dann geboten, wenn besonders schutzbedürftige Daten übertragen werden. Leider gibt es immer wieder Fälle, in denen die Verständigung über die im Einzelfall erforderlichen Sicherheitsmaßnahmen nur sehr schleppend vorankommt.

Ein Beispiel hierfür ist die zwischen dem Innenministerium und unserer Dienststelle bereits seit längerem geführte Erörterung darüber, ob Daten über Sicherheitsbefragungen von Ausländern bei deren Übertragung über das LVN zu verschlüsseln sind. Ein Grund für das Auftreten derartiger Schwierigkeiten mag auch darin liegen, dass die für die Realisierung einzelner Fachverfahren zuständigen Organisationseinheiten vielfach nicht im Detail mit den sicherheitsrelevanten Vereinbarungen über die Sicherheit in den Verwaltungsnetzen vertraut sind und davon ausgehen, dass darüber ohne weiteres auch besonders schutzbedürftige Daten übertragen werden können.

Diese Schwierigkeiten ließen sich umgehen, wenn eine generelle Verschlüsselung der im LVN sowie im Metronetzverbund übertragenen Daten vorgesehen würde. Für eine solche generelle Verschlüsselung sprechen auch noch weitere Argumente:

Auch im Bereich der Verwaltungsnetze ist festzustellen, dass deren Organisation und Technik immer heterogener wird. Dies zeigt sich beispielsweise darin, dass die Landesverwaltung neben dem im Wege des Outsourcings betriebenen LVN zunehmend auch die vom Landesrechenzentrum IZLBW betriebenen Metronetzverbindungen nutzt und darin immer mehr unterschiedliche Übertragungstechniken mit jeweils eigenen Sicherheitsaspekten zum Einsatz kommen sollen.

Hinzu kommt, dass nach dem Aufbau bundesweiter Kommunikationsnetze zahlreiche neue IuK-Verfahren in Betrieb genommen wurden, mit deren Hilfe immer mehr sensible personenbezogene Daten über diese Netzwerke übertragen werden. Nur als Beispiele für diese Entwicklungen sei auf die Vorhaben

  • elektronische Steuererklärung, elektronische Lohnsteuerbescheinigungen (Projekt ELSTER),
  • Teilnahme an der bundesweiten Nutzung des Informationsaustauschs unter Steuerverwaltungen und Banken (Verfahren LUNA, Kontendatenabrufverfahren),
  • Datenübermittlungen im Einwohnermeldewesen,
  • Anbindung der Fahrerlaubnisbehörden an das Kraftfahrt-Bundesamt,
  • elektronische Auskunfts- und Mitteilungsverfahren der Justiz sowie die
  • Abwicklung des Haushaltsmanagements (in dem zum Teil auch sehr sensible Daten verarbeitet werden, beispielsweise über Disziplinarstrafen oder über die Abwicklung von Zahlungen, aus denen besondere soziale Notlagen oder Erkrankungen der Zahlungsempfänger hervorgehen)

verwiesen.

Die Realisierung von IuK-Betriebsmodellen, bei denen die von einer Dienststelle genutzten Datei- oder E-Mail-Server nicht mehr als Teil des jeweiligen lokalen Netzes, sondern an zentralen (Rechenzentrums-)Standorten betrieben werden, führt zudem dazu, dass zunehmend auch rein dienststelleninterne Kommunikation den Bereich des örtlichen lokalen Netzwerks verlässt und über Weitverkehrsnetze wie das Landesverwaltungsnetz oder den Metronetzverbund geführt wird.

Angesichts der geschilderten Entwicklungen und der bisherigen Erfahrungen mit der Realisierung kryptografischer Verfahren halten wir es für angebracht, die in Verwaltungsnetzen übertragenen Daten künftig standardmäßig zu verschlüsseln.

Während andernorts mit der Einführung einer solchen flächendeckenden Verschlüsselung bereits Ernst gemacht wird, hinkt Baden-Württemberg in diesem Punkt noch hinterher.

  • In Rheinland-Pfalz werden sämtliche über das Landesnetz übertragenen Daten durch eine sog. Leitungsverschlüsselung gesichert.

  • Gleiches gilt für das TESTA-Netz, das u. a. die Verwaltungsnetze des Bundes und der Länder verbindet.

  • Schließlich sieht auch die "IuK-Landesstrategie für die bayerische Staatsverwaltung" die Verschlüsselung sämtlicher über das Bayerische Behördennetz übertragenen Daten vor. Der Leitungsverschlüsselung kommt dabei die Aufgabe zu, einen "kryptografischen Grundschutz" zu leisten. Zum Schutz der Übertragung besonders schutzbedürftiger Daten, wie z. B. Personal- oder Sozialdaten, sieht die IuK-Landesstrategie darüber hinaus die Realisierung einer sog. Ende-zu-Ende-Verschlüsselung vor.

Eine derartige, nach dem Schutzbedarf der Daten abgestufte Konzeption für die Verschlüsselung aller übertragenen Daten stellt aus unserer Sicht ein geeignetes Modell zur Gewährleistung von Vertraulichkeit, Integrität und Authentizität der in den hiesigen Verwaltungsnetzen übertragenen Daten dar. Erfreulicherweise signalisierte das federführende Innenministerium mittlerweile in einem Gespräch die Bereitschaft, eine generelle Verschlüsselung der im LVN und dem Metronetzverbund übertragenen Daten als strategisches Ziel anzuerkennen.

 

1.1.2 Grundsatz der Datensparsamkeit bei der Netzwerkgestaltung

Sowohl der im Landesdatenschutzgesetz verankerte Grundsatz der Datensparsamkeit als auch die gesetzlichen Anforderungen an technische und organisatorische Schutzmaßnahmen zielen darauf ab, informationstechnische Systeme so zu gestalten, dass personenbezogene Daten damit nur in dienstlich erforderlichem Umfang verarbeitet werden können. Hinsichtlich der Gestaltung von Kommunikationsnetzen und deren Schnittstellen bedeutet dies, dass auch die durch diese eröffneten Kommunikationsmöglichkeiten stets auf das erforderliche Maß zu begrenzen sind. Da dieser Grundsatz bislang nicht in der notwendigen Klarheit in den vorgelegten Entwürfen berücksichtigt wurde, baten wir um entsprechende Verdeutlichung und Berücksichtigung dieses Grundsatzes.

 

1.1.3 Einvernehmliche Fortentwicklung der Konzeptionen

Ein Datenschutz- und Sicherheitskonzept muss die zu ergreifenden Maßnahmen möglichst konkret benennen. Die rasche Weiterentwicklung der Technik macht es dabei nötig, dass diese Konzepte auch innerhalb der Laufzeit der Outsourcingverträge geänderten technischen Gegebenheiten oder auch neuartigen Risiken angepasst werden müssen. Schon allein aufgrund der sich aus den Regeln zur Auftragsdatenverarbeitung ergebenden Anforderungen muss auch im Fall eines Outsourcings der jeweilige Auftraggeber stets über die aktuellen Sicherheitsmaßnahmen informiert sein. Aus datenschutzrechtlicher Sicht ist daher entscheidend, bei den Regeln zur laufenden Anpassung und Weiterentwicklung der Konzepte darauf zu achten, dass alle datenschutz- und sicherheitsrelevanten Änderungen stets einvernehmlich vorgenommen werden. Da die vorgelegten Entwürfe dieses noch nicht hinreichend deutlich erkennen ließen, baten wir um entsprechende Verdeutlichung. In dem bereits erwähnten Gespräch mit dem Innenministerium sagte dieses zu, dass der Grundsatz für alle Konzepte des Netzbetriebs mit datenschutzrelevantem Inhalt gelte, selbst für diejenigen, deren Inhalt das mit dem LVN-Betrieb beauftragte Unternehmen als Betriebsgeheimnis ansehe.

 

1.1.4 Transparente und klar voneinander abgegrenzte Zuständigkeitsbereiche

Um den Datenschutz bei der Verarbeitung personenbezogener Daten zu wahren, ist darauf zu achten, dass sich die konzipierten Maßnahmen auf alle Systeme erstrecken, die an der Datenverarbeitung beteiligt sind. Die vorgelegten Datenschutz- und Sicherheitskonzeptionen erstrecken sich auf etliche, aber nicht auf alle Aspekte, die sich bei der elektronischen Übertragung personenbezogener Daten über das Landesverwaltungsnetz und den Metronetzverbund ergeben. Da daran angeschlossene Stellen nach unserer Erfahrung darüber mitunter nicht ausreichend informiert sind, haben wir uns dafür ausgesprochen, Maßnahmen zu ergreifen, um die Transparenz gegenüber den nutzenden Stellen sowie den Auftraggebern zu erhöhen. Dabei muss diesen insbesondere deutlich gemacht werden, in welchen Bereichen sie weiterhin eigenständig Lösungen realisieren müssen. Das Innenministerium ließ uns mittlerweile wissen, dass es unser Anliegen teile, aber der Auffassung sei, dass bereits genug für die Information der nutzenden Stellen getan werde.

 

1.1.5 Regelmäßige Datenschutzrevisionen

Um eine Kontrolle der Einhaltung der Datenschutzanforderungen sicherzustellen, sollten von vornherein neben anlassbezogenen auch regelmäßige Überprüfungen vorgesehen werden. Neben Überprüfungen, die der Auftraggeber durchführen kann, kommen dabei auch Überprüfungen durch den Auftragnehmer in Betracht. Die dabei erzielten Ergebnisse sollten schriftlich festgehalten werden. Ferner sind die Auftraggeber über die Ergebnisse der Überprüfungen zu unterrichten. Wir haben angeregt, dass sich Auftraggeber und Auftragnehmer auf die regelmäßige Durchführung derartiger Datenschutzrevisionen verständigen. Das Innenministerium möchte dem jedoch nicht nachkommen. Es hält es für ausreichend, dass von Seiten der Auftraggeber jederzeit bei Bedarf eine solche Überprüfung der Auftragsabwicklung durchgeführt werden kann.

 

1.2 Netzwerksicherheit durch MPLS-Technik

Beim Aufbau und Betrieb von Telekommunikationsnetzen können Kosten seit einiger Zeit dadurch eingespart werden, dass die bisher zum Verbindungsaufbau erforderlichen aufwendigen Netzknotenrechner mit Hilfe von Geräten zur Kommunikation im Internet (Router) simuliert werden und die Kommunikation der einzelnen Benutzergruppen nur noch logisch voneinander getrennt wird. Die hierfür verwendete Technik nennt sich "multi protocol label switching" (MPLS) und soll durch einen Zusatz an jedem Datenpaket einen sicheren Weg durch das Datennetz gewährleisten. Das Innenministerium und die mit dem Betrieb des Landesverwaltungsnetzes (LVN) beauftragte Stelle wollten sich die neue Technik zunutze machen und durch den Aufbau eines sog. Metronetzes als Teil des LVNs Kosten einsparen. Um die datenschutzrechtlichen Anforderungen beim Betrieb dieses Metronetzes einzuhalten, wurde das Datenschutz- und Sicherheitskonzept für das LVN fortgeschrieben und uns zur Prüfung vorgelegt.

Damit die Trennung der Datenströme, wie sie sich bei verbindungsorientierten Netzen bewährt hat, auch bei paketorientierten MPLS-Netzen funktioniert, sind eine Reihe von Maßnahmen zu treffen, die wir zwischenzeitlich dem Innenministerium vorgeschlagen haben. Im Kern geht es darum, die virtuellen Netze der einzelnen Benutzergruppen logisch sauber voneinander zu trennen und die Netzinfrastruktur vor Missbrauch zu schützen. Dies kann z. B. durch eine Trennung der Adressräume und Routinginformationen, durch eine "Unkenntlichmachung" des Kernnetzes und seiner Komponenten gegenüber den Nutzern und durch eine besondere Absicherung der "Randbereiche" und "Übergangsstellen" der virtuellen Netze nach außen erfolgen. 

Die Anforderungen an den Betrieb eines datenschutzrechtlich zulässigen und damit auch sicheren Netzwerks, über das getrennt zu haltende Datenströme verschiedenster Nutzer geleitet werden, sind hoch. Schon in der Zeit vor dem Outsourcing des Landesverwaltungsnetzes haben die beteiligten Stellen Erfahrungen in dieser Richtung sammeln können. Insofern bleibt auch für den Betrieb des Metronetzes zu hoffen, dass böse Überraschungen ausbleiben.

 

2. Datenschutz bei der Spam-Abwehr

Mittlerweile gehört es zu den leidvollen Erfahrungen vieler Computernutzer, mehr unverlangte E-Mail-Werbung und unerwünschte E-Mails zu erhalten als solche, die für sie tatsächlich von Interesse sind. Untersuchungen sprechen davon, dass derartige, vielfach auch als "Spam" bezeichnete E-Mails in den letzten Monaten durchweg mehr als die Hälfte aller im Internet versandten E-Mails ausgemacht haben. Da auch Behörden und andere öffentliche Stellen des Landes davon nicht verschont bleiben, ist es nur zu verständlich, dass auch die Landesverwaltung nach Wegen sucht, um diese Problematik spürbar zu entschärfen. Bei der Planung von Spam-Abwehrmaßnahmen gilt es allerdings auch, den Datenschutz im Blick zu behalten, denn viele Maßnahmen zur Spam-Abwehr erfordern die Verarbeitung personenbezogener Daten. Ferner können derartige Maßnahmen unter Umständen auch einen ungerechtfertigten Eingriff in das Fernmeldegeheimnis darstellen.

Ein unzulässiger Eingriff in das Fernmeldegeheimnis kann beispielsweise dann vorliegen, wenn eine Dienststelle ihren Bediensteten die private Nutzung des E-Mail-Diensts gestattet hat und die Art der Verarbeitung personenbezogener Daten zur Spam-Abwehr nicht mit den zur privaten Nutzung berechtigten Personen abgestimmt worden ist. Ähnliche Konsequenzen kann es haben, wenn eine Schule, eine Hochschule oder eine öffentliche Bibliothek ihren Schülern, Studierenden oder Nutzern einen uneingeschränkten Internetzugang ermöglicht und personenbezogene Daten ohne vorherige Abstimmung mit ihnen zur Spam-Abwehr verarbeitet. Ein unzulässiger Eingriff in das Fernmeldegeheimnis kann ferner auch dann vorliegen, wenn eine Dienststelle den E-Mail-Dienst gegenüber Dritten, etwa Vereinen oder Firmen, anbietet und die für den Datenschutz und das Fernmeldegeheimnis relevanten Modalitäten der Spam-Filterung nicht mit diesen abgestimmt hat. Welche Probleme sich dabei in der Praxis ergeben können, ist z. B. auch der Beschreibung und der datenschutzrechtlichen Bewertung der von einer Universität vorgenommenen E-Mail-Filterung zu entnehmen, die wir in unserem 25. Tätigkeitsbericht (LT-Drucksache 13/3800) sowie in unserem 26. Tätigkeitsbericht (LT-Drucksache 13/4910) angesprochen haben.

Eine vom Innenministerium geplante Vorgehensweise zur Spam-Abwehr trug den datenschutzrechtlichen Anforderungen noch nicht ausreichend Rechnung. Zur Begründung der von ihm vorgeschlagenen Anti-Spam-Maßnahmen verwies es auf folgenden Zusammenhang: Viele an die Landesverwaltung gerichtete Spam-Mails waren nicht an tatsächlich existierende E-Mail-Adressen gerichtet, sondern an Adressen der Form Vorname.Nachname@Dienststelle.bwl.de, bei denen zwar eine zutreffende Dienststellenbezeichnung genannt wurde, die verwendeten Vor- und Nachnamen aber frei erfunden worden waren. Derartige E-Mails konnten an kein E-Mail-Postfach zugestellt werden. Dies wiederum hatte zur Folge, dass dementsprechend auch eine Vielzahl von Unzustellbarkeitsnachrichten durch die E-Mail-Server des Landes versandt wurden. Da vielfach aber auch die Absender-Adressen der Spam-Mails frei erfunden waren, konnten auch etliche Unzustellbarkeitsnachrichten nicht zugestellt werden. Mehr noch: Dies führte dazu, dass E-Mail-Server des Landes in einigen Spam-Filterlisten als Spam-Quellen genannt wurden mit der Folge, dass zwischen der Landesverwaltung und anderen Stellen, die sich auf diese Spam-Filterlisten verließen, keine Kommunikation mehr möglich war. Um diese, wenn auch nur mittelbar durch Spam verursachten Kommunikationsstörungen zu vermeiden, schlug das Innenministerium vor, dass das Land seinerseits Spam-Filterlisten (sog. Blacklists) verwenden solle, in denen jeweils Einrichtungen, Absender oder E-Mail-Server genannt sind, von denen erfahrungsgemäß Spam-Nachrichten ausgehen.

Uns erschien dies so, als wolle das Innenministerium den Teufel mit dem Beelzebub austreiben. Denn wir hielten es zumindest für zweifelhaft, ob gerade die eigene Anwendung von Blacklists diejenigen Probleme lösen kann, die gerade durch eine von anderen Stellen vorgenommene Blacklist-basierte Spam-Filterung hervorgerufen wurden. Zumindest wenn man sich dabei, wie dies häufig geschieht, ohne weitere Prüfung auf die Qualität der von Dritten gepflegten Blacklists verlässt, ist damit zu rechnen, dass darin seriöse Kommunikationspartner ebenso auftreten können, wie Systeme der Landesverwaltung selbst auf einigen derartigen Listen auftraten. Dass das Innenministerium die Verwendung der Blacklists derart in den Mittelpunkt seiner Anti-Spam-Strategie rückte, überraschte uns umso mehr, als das Landesrechenzentrum, das die zentralen E-Mail-Server betreibt, bereits vor Jahren darauf hingewiesen hat, dass auf Blacklists ein "erheblicher Anteil" an "Unschuldigen" geführt werde, die bei deren Anwendung zu Unrecht von der Kommunikation ausgeschlossen werden.

Aus Sicht des Datenschutzes ist für die Spam-Abwehr von Bedeutung, dass  dafür eine Vielzahl an Maßnahmen herangezogen werden kann. Einen Eindruck hierüber vermittelt u. a. die Anti-Spam-Studie des Bundesamts für Sicherheit in der Informationstechnik (http://www.bsi.de/literat/studien/antispam/index.htm). Die einzelnen Maßnahmen sowie denkbare Kombinationen dieser Maßnahmen unterscheiden sich u. a. auch hinsichtlich des Ausmaßes, in dem dabei in die Persönlichkeitsrechte der Kommunikationspartner sowie Dritter eingegriffen wird, deren personenbezogenen Daten in den verarbeiteten E-Mails enthalten sein können. Ziel einer datenschutzgerechten Anti-Spam-Strategie muss es daher sein, nach einer Lösung zu suchen, bei der möglichst wenige personenbezogene Daten verarbeitet werden und möglichst wenig in die Persönlichkeitsrechte der Kommunikationspartner und anderer Betroffener eingegriffen werden muss.

Der Konzeption des Innenministeriums, die allein auf Blacklists setzte, war nicht zu entnehmen, dass eine solche Abwägung der in Betracht kommenden Maßnahmen vorgenommen worden war. Gerade da unzulänglich konzipierte Anti-Spam-Maßnahmen mehr schaden als nutzen können, forderten wir das Innenministerium zu einer entsprechenden Überarbeitung seiner Anti-Spam-Strategie auf.

Um zu vermeiden, dass eine unzureichend konzipierte Anti-Spam-Maßnahme Verletzungen der Persönlichkeitsrechte der Betroffenen oder des Fernmeldegeheimnisses nach sich zieht, sollten bei der Erstellung einer Anti-Spam-Strategie u. a. folgende Hinweise beachtet werden:

  • Eine in der Regel schriftlich auszuarbeitende Anti-Spam-Strategie muss erkennen lassen, dass unter den in Betracht kommenden Maßnahmen diejenigen ausgewählt wurden, die mit den geringsten Eingriffen in die Persönlichkeitsrechte der Betroffenen verbunden sind.

  • Ferner sollten insbesondere solche Maßnahmen in Betracht gezogen werden, die außerhalb der Reichweite des Fernmeldegeheimnisses eingreifen.

  • Nicht zuletzt sollten die Empfänger der Nachrichten in größtmöglicher Autonomie über den Umgang mit den an sie gerichteten E-Mails selbst entscheiden können. Moderne E-Mail-Programme bieten den Nutzern dazu eine Reihe von Möglichkeiten, um die eingehende Post nach bestimmten Kriterien zu sortieren und dementsprechend z. B. in unterschiedlichen Postfächern abzulegen. Zum Teil lassen sich diese Programme bis zu einem gewissem Grad zur Spam-Erkennung "trainieren". Der Nutzer muss dazu zunächst für eine Reihe von E-Mail-Sendungen, die er erhält, angeben, ob er diese als Spam bewertet oder nicht. Ein Vorteil dieses "Trainings" ist, dass sich die Filterung an den Vorstellungen und Bewertungsmaßstäben des trainierenden Nutzers orientiert.

  • Viele Spam-Definitionen umfassen ein subjektives Element. Dies zeigt sich etwa, wenn man Spam als "unerwünschte E-Mail" oder "unerwünschte Werbe-E-Mail" definiert, darin, dass von Nutzer zu Nutzer ganz unterschiedliche Auffassungen darüber bestehen können, was diese jeweils als unerwünscht ansehen. Schon allein aus diesem Grund können Anti-Spam-Maßnahmen in der Regel keine absolut zuverlässige Spam-Erkennung bieten. Anti-Spam-Maßnahmen, die zu einer Markierung einer empfangenen E-Mail führen, sind daher solchen Maßnahmen vorzuziehen, bei denen E-Mails automatisch gelöscht werden.

 

3. Unzureichender Zugriffsschutz im lokalen Netz eines Landratsamts

Wie schon in früheren Jahren mussten wir bei einem Kontrollbesuch auch in diesem Jahr wieder gravierende Unzulänglichkeiten beim Betrieb eines lokalen Computernetzwerks (LAN) feststellen. Die Folge war, dass zahlreiche Nutzer eines Landratsamts auf personenbezogene Daten zugreifen konnten, die sie zur Erledigung ihrer dienstlichen Aufgaben überhaupt nicht benötigten. Unter anderem konnten Bedienstete des Gesundheitsamts auf ca. 15 000 Abfallgebührenbescheide aus dem laufenden Jahr zugreifen. Diesen Bescheiden waren u. a. jeweils Namen und Anschrift des Rechnungsempfängers, das Buchungszeichen, die Anschrift des Objekts, für das die Gebühr erhoben wird, die Anzahl, Größe und der Leerungsrhythmus der in Rechnung gestellten Abfallbehälter (z. B. "Biomüllbehälter 120 l 2-wöchentlich" oder "Windeltonne 120 l 2-wöchentlich"), der Zeitraum, für den die Gebühren jeweils erhoben werden, sowie die Jahresgebühr zu entnehmen. Ferner ließen sich den Bescheiden auch die Fälligkeitsdaten der Rechnungsbeträge sowie Angaben darüber entnehmen, ob das jeweilige Gebührenkonto vor dieser Veranlagung ausgeglichen war. Schließlich enthielten die Bescheide den Hinweis darauf, dass die Gebühren von einem jeweils durch Kontonummer und Bankleitzahl bezeichneten Konto abgebucht werden.

Daneben konnte vom Gesundheitsamt aus auch auf Daten aus dem Zeiterfassungssystem sowie aus anderen Anwendungen zugegriffen werden, die nicht für die Nutzung durch das Gesundheitsamt bestimmt waren. Obwohl an dem überprüften Arbeitsplatz die zur Nutzung dieser Anwendungen bestimmte Software nicht installiert war, war es vielfach mit Hilfe eines einfachen Textverarbeitungsprogramms gleichwohl möglich, die in diesen Anwendungen erfassten Daten, darunter auch personenbezogene Daten, zumindest teilweise zu lesen oder sogar zu ändern. So waren u. a. Uhrzeitangaben und Namen lesbar, die vom Zeiterfassungssystem für die Beschäftigten des Landratsamts gespeichert wurden.

Die Zugriffsberechtigungen waren dabei vielfach so gestaltet, dass nicht nur Bedienstete des Gesundheitsamts, sondern alle Mitarbeiterinnen und Mitarbeiter des Landratsamts, die einen PC nutzen, die genannten Dokumente hätten öffnen, lesen und auch ändern können, und zwar unabhängig davon, ob sie diese Daten zur Erledigung ihrer dienstlichen Aufgaben benötigten oder nicht.

Besonders kritisch daran war, dass der unberechtigte Zugriff gleich auf Daten einer Vielzahl von Personen möglich war. Als kritisch war zudem zu bewerten, dass sich Dateien, die von Fachverfahren (wie z. B. dem Zeiterfassungssystem) verarbeitete Daten enthielten, lesen oder sogar ändern ließen, ohne zuvor das entsprechende Fachverfahren starten zu müssen. Die Zugriffskontrolle der entsprechenden Fachverfahren hätte sich auf diese Weise umgehen lassen und war dadurch deutlich geschwächt.

Alles in allem lag damit ein schwerwiegender Mangel der Zugriffs- und Organisationskontrolle vor, den ich beanstandet habe. Ich forderte das Landratsamt auf, so bald wie möglich Konzeptionen für die Gewährung der Zugriffsmöglichkeiten für die Dateiablage zu erarbeiten und sicherzustellen, dass nicht zulässige Zugriffe technisch auch nicht mehr durchgeführt werden können. Daneben waren im Rahmen des vom Landratsamt zu erstellenden Datenschutz- und Sicherheitskonzepts für den Betrieb des lokalen Netzwerks Ablagekonzepte zu erarbeiten und umzusetzen, die verhindern, dass Nutzer durch Direktzugriff auf die von den Fachverfahren benutzten Dateien an Daten gelangen können, die nicht für sie bestimmt sind. Vorgaben zur Konfiguration der einzelnen Arbeitsplatz-PCs waren dazu ebenso erforderlich wie Richtlinien darüber, wer unter welchen Voraussetzungen Daten für einen Zugriff über Netz freigeben darf.

Zu begrüßen ist, dass das Landratsamt aus den Feststellungen beim Kontrollbesuch Konsequenzen gezogen und umgehend die "Neuregelung und Dokumentation der Zugriffsberechtigungen auf die Dateiablage" in Aussicht gestellt hat.

 

4. Fernzugriff auf Dateien durch untere Verwaltungsbehörden

Schon seit einiger Zeit nutzen die unteren Verwaltungsbehörden, z. B. die Landratsämter, EDV-Verfahren des Landes, die von einem Zentralrechner des Landes zur Verfügung gestellt werden. Durch die Eingliederung zahlreicher Sonderbehörden im Zuge der Verwaltungsreform hat sich dieser Trend noch verstärkt. Technisch läuft die Sache dabei häufig so ab, dass der Arbeitsplatzrechner im Landratsamt als Terminal (Client) des Zentralrechners (Server) fungiert und von dort aus auf im Zentralrechner hinterlegte personenbezogene Daten des jeweiligen Fachverfahrens zugegriffen wird. Bei einem Fachverfahren zur Lebensmittelüberwachung (LÜVIS) im Geschäftsbereich des Ministeriums für Ernährung und Ländlichen Raum, das uns um Rat gefragt hatte, haben wir festgestellt, dass sich dabei unter Umständen empfindliche Sicherheitslücken auftun können. Bei Verwendung eines bestimmten Terminalprogramms ist es nämlich möglich, vom Zentralrechner des Landes aus - also quasi aus der Ferne - auf den Arbeitsplatzrechner und gegebenenfalls auf hiermit verbundene Server beim Landratsamt zuzugreifen.

Dies wäre vielleicht nicht weiter schlimm, wenn dort nur das besagte Fachverfahren abliefe. Nun laufen jedoch auf den Arbeitsplatzrechnern der unteren Verwaltungsbehörden und erst recht auf dort eingesetzten Servern eine Reihe von anderen Fachverfahren ab, die mit dem Fachverfahren des Ministeriums nichts zu tun haben; ebenso sind auf den Festplatten dieser Rechner in der Regel zahlreiche personenbezogene Daten gespeichert, die das Ministerium bzw. den Zentralrechner des LÜVIS-Verfahrens nichts angehen. Da die Anwender in den unteren Verwaltungsbehörden die Daten des Fachverfahrens in einem Textverarbeitungsprogramm weiter verarbeiten müssen, mussten sie sich bisher die jeweilige Datei an die eigene E-Mail-Adresse schicken, was natürlich Verfahrensverzögerungen mit sich brachte. Durch die neue Version des Terminalprogramms sollte der Terminalserver einen schreibenden und lesenden Zugriff auf die lokalen Laufwerke des Arbeitsplatzrechners (Client) erhalten, damit dort die weitere Bearbeitung nahtlos fortgesetzt werden kann. Allerdings hat unsere Untersuchung ergeben, dass die Sache einen Haken hat: Clientseitig ist nämlich nicht kontrollierbar, auf welche Client-Laufwerke der Terminalserver wie zugreifen kann. Alle Client-Laufwerke - auch solche, die über das lokale Netzwerk der unteren Verwaltungsbehörde eingebunden werden - stellt der Client-PC dem Terminalserver für beliebige Zugriffe zur Verfügung. Es war nicht ersichtlich, wie der Zugriff clientseitig durch eine entsprechende Berechtigungsvergabe beschränkt werden kann. Diese offenen Punkte müssen rasch geklärt werden, weil sich hier ein generelles Problem abzeichnet, das weniger mit dem konkreten Fachverfahren des Ministeriums für Ernährung und Ländlichen Raum als vielmehr mit dem - möglicherweise auch bei anderen Fachanwendungen eingesetzten - Terminalprogramm zu tun hat.

Generell halten wir es für erforderlich, dass bei einem Dateizugriff aus der Ferne sowohl auf der speichernden als auch auf der abrufenden Seite Maßnahmen ergriffen werden können, die unberechtigte Zugriffe unterbinden. Der Zugriff sollte zumindest durch Maßnahmen zur Authentisierung und Authentifizierung abgesichert werden. Dabei sollten die Zugriffsmethoden Maßnahmen zur Autorisierung mit der erforderlichen Differenzierung unterstützen. Bei entsprechender Anforderung sollten zusätzliche Maßnahmen zur Gewährleistung der Vertraulichkeit der Datenübertragung ergriffen werden.

Zur Realisierung dieser Anforderungen bieten sich mehrere technische Alternativen an, die wir dem Ministerium für Ernährung und Ländlichen Raum  mitgeteilt haben. Wir können uns durchaus vorstellen, dass der Zugriff auf Client-Laufwerke datenschutzrechtlich unbedenklich gelöst werden kann, wenn - und das ist wesentlich - unter der Zugriffskontrolle des Betriebssystems des Clients wirksam geregelt werden kann, auf welche Client-Laufwerke vom Terminalserver wie zugegriffen wird. Letztlich ist die jeweilige untere Verwaltungsbehörde aber die für den Datenschutz im eigenen Bereich verantwortliche Stelle; sie muss wissen, ob sie sich auf das Risiko eines unkontrollierten Zugriffs auf ihre Datenbestände aus der Ferne einlassen will.

 

5. Clearingstelle für das Meldewesen

Wer seinen Wohnsitz ändert, musste sich bisher bei der alten Meldebehörde abmelden und bei der Meldebehörde des neuen Wohnsitzes anmelden. Zukünftig entfällt die Abmeldung, denn die für den neuen Wohnsitz zuständige Meldebehörde teilt die Abmeldung der alten Meldebehörde in einer sog. Rückmeldung mit. Diese Rückmeldung umfasst nicht nur den Umzug selbst, sondern eine Reihe von personenbezogenen Daten wie beispielsweise gegenwärtige, frühere und künftige Anschriften, Haupt- und Nebenwohnung, bei Zuzug aus dem Ausland auch die letzte frühere Anschrift im Inland oder Angaben zum gesetzlichen Vertreter (Vor- und Familiennamen, Doktorgrad, Anschrift, Tag der Geburt, Sterbetag!). Aber damit nicht genug: Die Rückmeldung soll, statt wie bisher postalisch, in einem elektronischen Verfahren erfolgen. Zwar dürfte das für die Meldeämter keine unüberwindbaren Hürden darstellen, wenn der Umzug innerhalb Baden-Württembergs erfolgt. Die überwiegende Mehrzahl der Kommunen lässt ihre Meldedaten von zwei kommunalen Rechenzentren verarbeiten, die zudem über ein Netzwerk verbunden sind. Die Realisierung der elektronischen Rückmeldung sollte in diesem Fall mit überschaubarem Aufwand erledigt werden können.

Eine ganz andere Sachlage ergibt sich, wenn ein Bürger von einem anderen Bundesland nach Baden-Württemberg zieht oder ein Bürger aus Baden-Württemberg in ein anderes Bundesland. Immerhin gibt es bundesweit ca. 5 400 Meldebehörden. Weiter verkompliziert wird die Sache dadurch, dass nicht nur die Meldebehörde des früheren Wohnorts, sondern auch die Meldebehörden, bei denen der Betroffene mit einer Nebenwohnung gemeldet ist, eine Rückmeldung erhalten müssen. Die zuständigen Meldeämter auszumachen, ist dann nicht ganz einfach.

Damit die Rückmeldung tatsächlich bei der früheren Meldebehörde ankommt und nicht jede Meldebehörde mit großem Aufwand die elektronischen Erreichbarkeitsdaten von ca. 5 400 Meldeämtern aktuell halten und ihre eigene Erreichbarkeit für 5 400 Meldebehörden gewährleisten muss, hat man sich auf Bundes- und Länderebene hinsichtlich der Ländergrenzen überschreitenden Umzüge auf die Schaffung von sog. Clearingstellen geeinigt. Der Vorgang der Rückmeldung stellt sich dann etwa so dar: Die Rückmeldung wird von der Meldebehörde des neuen Wohnsitzes an die Clearingstelle ihres Bundeslands geschickt, diese schickt die Rückmeldung an die Clearingstelle des Bundeslands, in dem der Betroffene seinen alten Wohnsitz hatte. Von dort wird die Rückmeldung an die frühere Meldebehörde weiter vermittelt. Für die Übertragung der Daten wurde mit XMeld eine von allen Beteiligten einzuhaltende Datenbeschreibung geschaffen und für den Datentransport das Protokoll OSCI festgelegt, das die Signatur, Verschlüsselung und Quittierung der Zustellung der Rückmeldung ermöglicht.

Dass bei der Rückmeldung personenbezogene Daten verarbeitet werden, ist angesichts der oben beispielhaft erwähnten Daten unschwer zu erkennen. Wenn eine eigens dafür gebildete Clearingstelle die Übermittlung personenbezogener Daten durchführt, handelt es sich um eine Verarbeitung personenbezogener Daten im Auftrag nach § 7 LDSG. Das hat auch das mit der Realisierung der Clearingstelle beauftragte Rechenzentrum erkannt und uns gebeten, bei der Beantwortung der Frage mitzuwirken, wie seine Beauftragung durch die Kommunen vonstattenzugehen habe. Den Inhalt des bisher geltenden Vertrags über die Verarbeitung von Meldedaten durch das Rechenzentrum gemäß § 7 LDSG hat es uns zur Kenntnis gegeben.

Wir haben dem Rechenzentrum geantwortet, dass wir in der Erweiterung des bisher schon praktizierten Verfahrens um die Funktionalität der elektronischen Rückmeldung eine bloße Verfahrensänderung sehen. Ein neues Verfahren liegt unserer Meinung nach jedoch nicht vor. Daher bedarf es auch keiner erneuten Beauftragung durch die Kommunen. Da das Rechenzentrum Auftragnehmer für die Durchführung des Meldeverfahrens und der Clearingstelle ist, ergibt sich aus dem Vertrag die datenschutzrechtliche Zulässigkeit der Vornahme von Rückmeldungen durch das Rechenzentrum.

Ein anderes Ergebnis könnte sich im Fall des zweiten Rechenzentrums ergeben. Wenn dieses die vom ersten Rechenzentrum betriebene Clearingstelle für die bundesweite Rückmeldung nutzt, dann lässt es personenbezogene Daten in einem Unterauftragsverhältnis verarbeiten. Diese Möglichkeit sieht das Landesdatenschutzgesetz in § 7 ausdrücklich vor. Allerdings müsste sich das Rechenzentrum im Vertrag über die Verarbeitung personenbezogener Daten mit seinen Kommunen das Recht auf Einschaltung Dritter im Unterauftragsverhältnis nach § 7 LDSG ausbedungen haben. Wenn das der Fall ist, wäre die Nutzung der Clearingstelle durch das Rechenzentrum datenschutzrechtlich zulässig. Sollte das Rechenzentrum allerdings für die ihm übertragene Datenverarbeitung keine Unterauftragsverhältnisse eingehen dürfen, dann müssten die an das Rechenzentrum angeschlossenen Kommunen ihm durch Erweiterung des Vertrags oder der Clearingstelle in einem neuen Vertrag den Auftrag zur Vornahme der Rückmeldungen erteilen.

 

6. Das "Elektronische Gewerberegister"

Wie alle Dinge auf Erden unterliegt auch Software der Alterung. Sei es, dass die Softwaresysteme auf neuen Rechnersystemen nicht mehr ablaufen oder dass der technische Fortschritt bei den Benutzerschnittstellen und -oberflächen die Programme "alt" aussehen lässt. So geschehen ist es mit einem Programm für die Verwaltung der Gewerberegister der Kommunen des DV-Verbunds Baden-Württemberg. Deshalb wurde ein neues Programm entwickelt und in zwei Kommunen in Piloteinsatz gebracht. Bei einer der Kommunen führten meine Mitarbeiter einen Kontrollbesuch durch, um sich schon im Frühstadium über die datenschutzrechtlich zulässige Verarbeitung personenbezogener Daten zu vergewissern und gegebenenfalls auf Änderung zu drängen.

Neben der Kontrolle des Verfahrens, das heißt der Prüfung, welche Daten gespeichert werden können und wie die Daten verarbeitet werden, ist regelmäßiger Prüfpunkt, wann, von wem und wie personenbezogene Daten gelöscht werden. Hierbei gibt es unterschiedlichste Ausprägungen. Die Bandbreite reicht von löschfristgerechten taggenauen automatischen Löschläufen bis zur - und das ist mit Hinblick auf den Datenschutz die schlechteste Lösung - manuellen Löschung durch die Mitarbeiter ohne programmseitige Benachrichtigung über die zu löschenden Daten. Dass man bei letzterer Vorgehensweise auch mal das eine oder andere zu löschende Datum übersieht, ist bei der Menge an mittlerweile zu verarbeitenden Daten nahezu zwangsläufig.

In der Praxis sieht es leider oft noch betrüblicher aus, wie meine Mitarbeiter beim Kontrollbesuch einer württembergischen Großen Kreisstadt entdecken mussten:

Die Kommune hatte die Chance für einen Neuanfang ungenutzt verstreichen lassen und die Datensätze vom alten Verfahren ohne Vorverarbeitung, die im Falle der Inbetriebnahme eines neuen Softwaresystems mit Altdaten eigentlich immer durchgeführt werden muss, in das neue Verfahren übernommen. Bei der stichprobenweisen Sichtung der Datenbestände des neuen Verfahrens wurden meine Mitarbeiter in mehrfach bedenklicher Weise fündig. Wir stießen im "Elektronischen Gewerberegister" zum Beispiel auf Gewerbe, die in den Jahren 1971, 1983, 1993 beziehungsweise 1994 abgemeldet worden waren. Dies weist auf Folgendes hin:

  • Obwohl die Stadt für die Löschung in ihrem Verfahrensverzeichnis eine Löschfrist angegeben hat - wobei deren Dauer von zehn Jahren nicht ohne weiteres nachzuvollziehen ist -, ist auch nach Ablauf dieser Zeit die Löschung nicht vorgenommen worden.

  • Die (Gewerbeanzeigen-)Datenbestände der Stadt wurden bei der Migration aus dem früheren Verfahren in das "Elektronische Gewerberegister" in dieses Verfahren auch dann übernommen, wenn sie bereits zu löschen gewesen wären.

  • Auch beim Betrieb des Vorgängerverfahrens war die Löschung der Daten nicht vorgenommen worden.

Was die Löschung personenbezogener Daten betrifft, werden bzw. wurden demnach sowohl das aktuelle Verfahren als auch (das) Vorgängerverfahren nicht datenschutzgerecht betrieben. Wir forderten daher die Stadt auf, Daten, bei denen die Voraussetzungen der Löschung bereits vorliegen, umgehend zu löschen, und uns auch über die Maßnahmen zu unterrichten, die die Stadt ergreift, um zukünftig die fristgerechte Löschung der Daten zu gewährleisten. Die Stadt begründete die äußerst ungenügende Löschpraxis damit, dass bisweilen Gewerbetreibende um einen Nachweis zur Durchsetzung verschiedenster Ansprüche wie beispielsweise gegenüber der Rentenversicherung nachfragten. Hierzu ist Folgendes zu sagen:

  • Jeder Gewerbetreibende ist selbst dafür verantwortlich, dass er seine Unterlagen, die den Gewerbebetrieb nachweisen, über die erforderliche Zeitdauer aufbewahrt.

  • Die Zweckbindung der im Gewerberegister gespeicherten Daten besteht in der Überwachung des Gewerbebetriebs. Wenn ein Gewerbe eröffnet wird, gehen in der Regel Meldungen hierüber an eine Vielzahl von Behörden (Eichamt, Lebensmittelkontrolle, Finanzamt, etc.), worauf diese Behörden ihrerseits die erforderlichen Maßnahmen ergreifen. Die Erfassung der Meldung eines Gewerbebetriebs an einer Stelle und die sich daraus ergebende Verwaltungsvereinfachung ist ein zentraler Gedanke des Gewerberegisters. Der Nachweis des Gewerbebetriebs gegenüber dem Gewerbetreibenden gehört nicht zu diesen Aufgaben.

  • Wenn die Kommune Daten im Interesse der Betroffenen länger speichern möchte, als es der Kommune vorgeschrieben oder zur Erfüllung ihrer Aufgaben erforderlich ist, sollte sie das nur tun, wenn die Betroffenen das wünschen und ihre Einwilligung dazu erklärt haben.

 

7. Hackers Traum - Bankverbindungen im Internet abrufbar

Bisweilen sind die datenschutzrechtlichen Verstöße so schwerwiegend, dass ein sofortiges Einschreiten meinerseits erforderlich ist. Einen in dieser Hinsicht besonderen Fall musste ich im Oktober 2006 feststellen. Und das kam so:

Beschäftigte der Landesverwaltung können seit einiger Zeit ein sog. Job-Ticket der Deutschen Bahn AG für die Fahrt vom Wohnort zum Arbeitsplatz erwerben; ein vergleichbares Angebot gibt es auch für den Nahverkehr des VVS-Verbunds in der Region Stuttgart. Damit sichergestellt ist, dass nur Berechtigte ein Job-Ticket erwerben können, will das (jeweilige) Beförderungsunternehmen nachprüfen, ob die Besteller wirklich für die Landesverwaltung tätig sind. Dazu haben sich das Landesamt für Besoldung und Versorgung und das bzw. die Beförderungsunternehmen ein internetgestütztes Bestellverfahren ausgedacht. Die Beschäftigten der Landesverwaltung melden sich über das Internet beim sog. Kundenportal des Landesamts mit Personalnummer und Kennwort an. Dort müssen sie in einem Dialog eine E-Mail-Adresse und Telefon-Nummer angeben, unter der sie erreichbar sind, und die Richtigkeit der schon beim Landesamt gespeicherten Angaben zu Wohnort, Geburtsdatum und Bankverbindung - bestehend aus Bankleitzahl, Kontonummer und Name des Kontoinhabers - überprüfen und gegebenenfalls korrigieren. Durch Drücken eines entsprechenden graphischen Bedienelements ("Button") wird dann ein weiteres Fenster geöffnet und die Benutzer gelangen entweder zu einem Bestellformular für eine Jahreskarte (der Deutschen Bahn AG) oder zu einem Formular für die Bestellung einer VVS-Jahreswertmarke. In diesem Fenster werden diese Angaben nochmals aufgeführt und können geändert oder bestätigt werden, bevor man durch Drücken eines "Weiter"-Buttons zu einem Formular gelangt, auf dem die gewünschte Verkehrsverbindung oder die Verbundpassnummer des VVS-Ausweises eingegeben werden muss. Nach einer rechtlichen Belehrung erscheint eine Seite, auf der alle Angaben nochmals aufgeführt werden. Durch Drücken des "Bestellen"-Buttons wird eine Bestellung durchgeführt und auf einer weiteren Internet-Seite mitgeteilt, dass die Bestellung entgegengenommen wurde und dass demnächst eine Auftragsbestätigung per E-Mail an die angegebene E-Mail-Adresse erfolgen wird. Zudem besteht auf dieser Seite die Möglichkeit, über einen in den Text eingebauten WWW-Verweis die Auftragsbestätigung als sog. pdf-Dokument abzurufen und auszudrucken. Und genau hier hatte das Verfahren eine erhebliche Sicherheitslücke, konnte doch durch Verändern eines Teils dieses Verweises auf Auftragsbestätigungen von anderen Beschäftigten der Landesverwaltung zugegriffen werden.

In einem Telefax, das Ende Oktober bei der Dienststelle einging, machte uns ein Beschäftigter der Landesverwaltung darauf aufmerksam, dass bei Kenntnis der Zusammensetzung des Verweises jeder über das Internet Auftragsbestätigungen abrufen kann. Meine Mitarbeiter machten sich sofort daran, den Sachverhalt zu überprüfen. Und tatsächlich: Schon der Abruf des WWW-Verweises der eigenen Bestellung in einem neuen Zugriff nach Abschluss des Bestelldialogs funktionierte anstandslos, obwohl man erwarten würde, dass der Verweis nur für den Bestelldialog gültig ist und danach ins Leere führt. Durch Verändern von zwei Angaben, wobei eine die laufende Nummer des Auftragseingangs war, konnten meine Mitarbeiter eine Reihe von Auftragsbestätigungen abrufen. Wir gehen aufgrund unserer Stichprobe davon aus, dass personenbezogene Daten wie Name, Vorname, Wohnort, Straße und Hausnummer, E-Mail-Adresse, Bankleitzahl, Kontonummer, Name des Kontoinhabers und Name des Kreditinstituts sowie die Strecke und Klasse der Bahnverbindung, die mit der Jahreskarte bereist werden kann, von ca. 9 000 Beschäftigten der Landesverwaltung im Internet abrufbar waren. Mit ein wenig Programmieraufwand hätten alle pdf-Dokumente automatisch abgerufen, die personenbezogenen Daten aus den pdf-Dokumenten extrahiert und beliebig weiterverarbeitet werden können. Ein böswilliger Angreifer hätte die Sicherheitslücke möglicherweise zu noch weiter reichenden Offenbarungen personenbezogener Daten ausnutzen können, wenn es ihm gelungen wäre, durch die Sicherheitslücke hindurch eigene Datenbankanfragen an die Datenbank zu stellen.

Wenn derart sensible personenbezogene Daten von jedermann über das Internet abrufbar sind, ist sofortiges Handeln oberstes Gebot. Per Telefax - das Landesamt für Besoldung und Versorgung eröffnet leider nicht die Möglichkeit, ihm verschlüsselte E-Mail-Nachrichten zukommen zu lassen - habe ich die Behörde auf die Sicherheitslücke hingewiesen und gebeten, mir kurzfristig mitzuteilen, was dagegen veranlasst wird. Immerhin übermittelt das Landesamt die personenbezogenen Daten an Dritte, wobei es nicht davon ausgehen kann, dass die Beschäftigten mit Wissen darüber, dass ihre Bankverbindung von jedermann über das Internet abgerufen werden kann, der Übermittlung zugestimmt hätten. Dass das Landesamt mit der Sache etwas zu tun hat, müssen die Besteller schon deshalb annehmen, weil auf jeder Internet-Seite des Bestelldialogs sein Briefkopf eingeblendet wird.

Noch am Nachmittag des Tages, an dem wir uns an das Landesamt gewandt hatten, stellten wir fest, dass der Zugriff auf die Auftragsbestätigungen mit Hinweis auf dringend durchzuführende Wartungsarbeiten unterbunden war. Das Landesamt teilte mir dann in einer Voraberklärung mit, dass es die Übermittlung der Daten unverzüglich unterbunden hat. Die Sicherheitslücke sei auf einen Mangel beim Zusammenwirken von zwei Servern des Beförderungsunternehmens zurückzuführen. Das vom Beförderungsunternehmen mit der Erstellung der Software beauftragte Unternehmen arbeite an der Beseitigung der Sicherheitslücke. Eine abschließende, detaillierte Stellungnahme steht noch aus. Hoffentlich widmen sich die Verantwortlichen der notwendigen datenschutzgerechten Lösung genauso hingebungsvoll, wie sie die Abbuchung des Ticketpreises organisiert hatten: Zur Verärgerung vieler Landesmitarbeiter war das Ticketentgelt nämlich schon von ihren Konten abgebucht, bevor sie das Ticket überhaupt in Händen hatten und lange vor dem Geltungsbeginn der Jahreswertmarke.