-> Home -> Der LfD -> Tätigkeitsberichte -> 2007
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

28. Tätigkeitsbericht 2007 - Inhaltsverzeichnis

 

28. Tätigkeitsbericht 2007 - 6. Teil

6. Teil: Technik und Organisation

1. Datenschutzmanagement

2. Datenschutzfreundliche Umsetzung der Europäischen Dienstleistungsrichtlinie bei der Spam-Abwehr
2.1 Eckpunkte der Dienstleistungsrichtlinie
2.2 Datenschutzfreundliche Umsetzung der Datenschutzrichtlinie

3. Der Dokumentensafe für das Verwaltungsdiensteportal service-bw

4. Protokollierung von Zugriffen auf Internet-Angebote

5. Das CERT der Landesverwaltung

6. Das Antragsverfahren für den ePass

7. Das Gästebuch und personenbezogene Daten

8. Meldebehörden unter falschem Verdacht

 

1. Datenschutzmanagement

Jede Stelle, die personenbezogene Daten verarbeitet, muss flankierend dazu technische und organisatorische Schutzmaßnahmen ergreifen. Seitdem Baden-Württemberg über ein Landesdatenschutzgesetz verfügt, sind dessen Vorschriften über technische und organisatorische Schutzmaßnahmen weitgehend unverändert geblieben. Dass Regelungen, die noch aus einer Zeit stammen, als es noch keine PCs, kein Internet, keine drahtlosen Computernetzwerke, keine Handies, keine Chipkarten und keine RFID-Anwendungen gab, auch heute noch anwendbar sind, geht darauf zurück, dass das Landesdatenschutzgesetz lediglich allgemein formulierte Ziele vorgibt und keine bestimmten technischen oder organisatorischen Lösungen vorschreibt.

Das bedeutet jedoch auch, dass einmal getroffene Festlegungen darüber, welche konkreten technischen und organisatorischen Maßnahmen nach dem Landesdatenschutzgesetz notwendig sind, immer wieder aufs Neue zu hinterfragen sind. Änderungen können beispielsweise erforderlich sein, weil die von einer Stelle genutzte IuK-Technik der technischen Entwicklung folgend erneuert wird oder weil Sicherheitslücken der genutzten Produkte bekannt werden, gegen die bislang noch keine Schutzmaßnahmen ergriffen wurden. Die Entwicklung eines Datenschutzkonzepts ist daher eine ständige Aufgabe und keine, die etwa nur einmal bei der Einführung eines neuen Verfahrens zu erledigen wäre. Dabei ist die Aufgabe, ein Datenschutzkonzept stets auf aktuellem Stand zu halten, keineswegs trivial. Insbesondere bei ausgedehnten Computernetzwerken, wie sie heutzutage weit verbreitet sind, finden laufend technische Änderungen und Aktualisierungen statt und diese können gerade aufgrund der Vernetzung der Einzelsysteme immer weiter reichende Auswirkungen haben. Soll es nicht dem Zufall überlassen bleiben, wie systematisch diese Aufgabe bewältigt wird, muss ein umfassendes Datenschutzmanagement betrieben werden. Wer dies tun will, kann seine Vorgehensweise an einer Reihe standardisierter Vorgehensweisen (Managementstandards) orientieren.

  • Allgemeine Standards zum IuK-Management
    Stellen, die möglicherweise bereits aus anderen Gründen eine standardisierte Vorgehensweise in ihrem IuK-Management eingerichtet haben oder gerade dabei sind, ein solches Management einzurichten, können damit in vielen Fällen auch eine Stärkung ihrer Datenschutz- und Datensicherheitsmaßnahmen erreichen. Dies gilt beispielsweise für Stellen, die ihr IuK-Management entsprechend dem ITIL- (Information Technology Infrastructure Library) oder dem COBIT-Standard (Control Objectives for Information and Related Technology) vornehmen. Diese zielen darauf ab, dass möglichst viele interne Betriebsabläufe standardisiert und dokumentiert werden und dass für alle Aufgaben Verantwortliche bestimmt werden. Da Datenschutz und Datensicherheit keine inhaltlichen Kernbestandteile dieser Standards sind, ist durch deren Einsatz auch nicht bereits automatisch sichergestellt, dass der IuK-Betrieb datenschutzgerecht erfolgt. Sofern eine Daten verarbeitende Stelle diese Standards jedoch bewusst auch für datenschutzrelevante Aufgaben einsetzt, kann durch die damit einhergehende Präzisierung und Dokumentation der erforderlichen Abläufe sowie die Festlegung klarer Verantwortlichkeiten das Datenschutzniveau erhöht werden.
     
  • ISO-Normen zum IuK-Sicherheitsmanagement
    Eine aus Sicht des Datenschutzes zielgenauere Unterstützung für das Datenschutzmanagement bietet eine Vorgehensweise, die sich an mehreren international genormten Standards für den Umgang mit IuK-Sicherheitsfragen orientiert. Dafür sind insbesondere die ISO-Normen 27001 ("Information Security Management Systems"), 27002 ("Code of Practice for Information Security Management") sowie die bislang nur als Entwurf vorliegende Norm 27005 ("Information Security Risk Management") von Bedeutung. Im Gegensatz zu den allgemeineren Standards ITIL oder COBIT befassen sich diese ISO-Standards inhaltlich ausdrücklich mit dem Management von IuK-Sicherheitsfragen und benennen in allgemeiner Form Ziele des IuK-Sicherheitsmanagements. Beispiele für diese Ziele sind die Gewährleistung der Netzwerk- und Betriebssicherheit, die Realisierung einer Zugriffskontrolle (Access Control) oder die Einhaltung gesetzlicher Anforderungen (Compliance).
     
    Ferner bieten die Normen Hilfestellung etwa bei der
    • Festlegung des Anwendungsbereichs des zu erstellenden und zu pflegenden Sicherheitskonzepts,
    • Definition der Sicherheitsleitlinien (Policy)
    • Festlegung der Art und Weise des Risikomanagements sowie der
    • Durchführung einer Risikoanalyse.
    Auch wenn diese ISO-Normen bereits spezifisch auf Fragen der IuK-Sicherheit bezogen sind, können diese - und hierin liegt eine bemerkenswerte Analogie zu den in den im Landesdatenschutzgesetz enthaltenen Vorschriften zum technischen und organisatorischen Datenschutz - aufgrund ihrer allgemeinen Fassung vielfach keine Antwort auf die Frage geben, welche Schutzmaßnahmen in konkreten Fällen in Betracht kommen.
     
  • Grundschutz-Vorgehensweise
    Eine Möglichkeit, um auch bei Anwendung der erwähnten ISO-Standards Antworten auf die Frage nach den in bestimmten Fällen notwendigen Sicherheitsmaßnahmen zu erhalten, besteht darin, hierzu auf Kataloge zurückzugreifen, in denen für verschiedenste IuK-Systeme zum einen die damit verbundenen Gefährdungen und zum anderen Maßnahmen benannt werden, die zur Abwehr der genannten Gefährdungen geeignet sind. Solche Kataloge stehen beispielsweise in Gestalt der sog. Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) (www.bsi.bund.de/gshb/index.htm) zur Verfügung. Die darin für viele praxisrelevante Fallkonstellationen gegebene Übersicht über dort bestehende Gefährdungen und die zu deren Abwehr in Frage kommenden Sicherheitsmaßnahmen hat im Laufe der Zeit einen Umfang von mehreren tausend Seiten angenommen.
    Für das IuK-Sicherheitsmanagement hat das BSI ein Modell entwickelt, das die Inhalte der ISO-Normen 27001 und 27002 zum IuK-Sicherheitsmanagement aufgreift und so ergänzt, dass diese in Kombination mit den Grundschutzkatalogen eine systematische Vorgehensweise zur Bestimmung und zur laufenden Aktualisierung der von einer Daten verarbeitenden Stelle zu ergreifenden technischen und organisatorischen Schutzmaßnahmen beschreiben.

 

2. Datenschutzfreundliche Umsetzung der Europäischen Dienstleistungsrichtlinie

Immer mehr Rechts- und Verwaltungsbereiche werden durch Vorgaben der Europäischen Union geprägt. So sorgte die Europäische Union (EU) beispielsweise bereits im Jahr 1995 durch ihre Datenschutzrichtlinie für eine Harmonisierung des Datenschutzrechts in allen Mitgliedstaaten. Auch die mit erheblichen datenschutzrechtlichen Risiken einhergehende Vorratsdatenspeicherung in der Telekommunikation geht in weiten Teilen auf eine entsprechende europäische Richtlinie zurück.

Erhebliche datenschutzrechtliche Relevanz weist auch die im Dezember 2006 verabschiedete Dienstleistungsrichtlinie auf. Mit ihr beabsichtigt die Europäische Union, europaweit eine einfache Nutzbarkeit vieler Behördendienstleistungen zu erreichen. Dieses Vorhaben, dessen Ausmaße bislang nur in Umrissen erkennbar sind, könnte auch bedeutende Auswirkungen auf die Verwaltungsorganisation und viele Verwaltungsabläufe in Baden-Württemberg haben.

2.1 Eckpunkte der Dienstleistungsrichtlinie

Die Dienstleistungsrichtlinie befasst sich mit den für die Aufnahme und Ausübung einer Dienstleistungstätigkeit geltenden Verfahren und Formalitäten. Beispiele hierfür sind die Einrichtung eines Gaststättenbetriebs, Frisörsalons oder eines Architektenbüros. Sie legt u. a. fest:

  • Einheitliche Ansprechpartner
    Die Abwicklung aller dieser Verfahren und Formalitäten muss über sog. einheitliche Ansprechpartner möglich sein. Deren Einrichtung solle aber nicht die "Verteilung von Zuständigkeiten und Befugnissen zwischen Behörden" innerhalb der Mitgliedstaaten berühren.
    Diese Vorgaben bieten noch erheblichen Gestaltungsspielraum, welche Stellen letztendlich die Rolle eines einheitlichen Ansprechpartners übernehmen sollen und welche Aufgaben diesen Stellen dazu konkret zugewiesen werden sollen.
     
  • Vollelektronische Abwicklung
    Die Mitgliedstaaten müssen sicherstellen, dass "alle Verfahren und Formalitäten, die die Aufnahme oder die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können."
     
  • Standardbearbeitungsfristen für Anträge mit Genehmigungsfiktion nach Fristablauf
    Die Dienstleistungsrichtlinie sieht vor, dass Anträge "unverzüglich und in jedem Fall binnen einer vorab festgelegten und bekannt gemachten angemessenen Frist bearbeitet werden" müssen. Wird der Antrag nicht fristgerecht beantwortet, so gilt die beantragte Genehmigung als erteilt.
     
  • Pflicht zu Warnmitteilungen
    Sobald ein Mitgliedstaat Kenntnis von "bestimmten Handlungen oder Umständen im Zusammenhang mit einer Dienstleistungstätigkeit" erhält, "die einen schweren Schaden für die Gesundheit oder Sicherheit von Personen oder für die Umwelt in seinem Hoheitsgebiet oder im Hoheitsgebiet anderer Mitgliedstaaten verursachen können", so muss er die übrigen betroffenen Mitgliedstaaten und die Kommission "so schnell wie möglich" hierüber unterrichten.
     
  • Austausch von Informationen über die Zuverlässigkeit von Dienstleistungserbringern
    "Auf Ersuchen einer zuständigen Behörde eines anderen Mitgliedstaats übermitteln die Mitgliedstaaten unter Beachtung ihres nationalen Rechts Informationen über Disziplinar- oder Verwaltungsmaßnahmen oder strafrechtliche Sanktionen und Entscheidungen wegen Insolvenz oder Konkurs mit betrügerischer Absicht, die von ihren zuständigen Behörden gegen einen Dienstleistungserbringer verhängt wurden und die von direkter Bedeutung für die Kompetenz oder berufliche Zuverlässigkeit des Dienstleistungserbringers sind."

2.2 Datenschutzfreundliche Umsetzung der Dienstleistungsrichtlinie

Die Vorgaben der Dienstleistungsrichtlinie müssen bis Ende des Jahres 2009 in nationales Recht umgesetzt werden. Bedenkt man, dass hiervon sehr viele Verwaltungsbereiche betroffen sind und zur Umsetzung nicht nur Rechtsänderungen vorgenommen, sondern auch IuK-Systeme geplant, realisiert und in Betrieb genommen werden müssen, so wird deutlich, dass die dafür noch zur Verfügung stehenden zwei Jahre knapp bemessen sind. Schon in naher Zukunft müssen daher auch für den Datenschutz relevante Vorentscheidungen zum einen bei der Rechtsetzung und zum anderen bei der IuK-Systemgestaltung getroffen werden. Die Datenschutzberatung hinsichtlich eines solchen Vorhabens befindet sich in einem kaum auflösbaren Dilemma: Auf der einen Seite ist es sinnvoll, Hinweise zur datenschutzgerechten Gestaltung bereits in einer möglichst frühen Phase der Systementwicklung zu geben. Auf der anderen Seite kann sich die Beratung aufgrund des frühen Entwicklungsstands nur auf wenige verlässliche Fakten stützen. Auch wenn in dieser Situation von Seiten des Datenschutzes nur erste, unvollständige Hinweise gegeben werden können, halten wir eine frühzeitige beratende Stellungnahme für sinnvoll. Inhaltlich sind derzeit für uns folgende Punkte besonders wichtig:

  • Klare Rechtsgrundlagen schaffen
    Hinsichtlich der Umsetzung der Dienstleistungsrichtlinie wird gegenwärtig umfassend geprüft, wo dazu noch gesetzgeberischer Handlungsbedarf besteht. Bei der Überprüfung, ob und in wieweit auch noch entsprechende Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu schaffen oder anzupassen sind, sollte auch auf Folgendes geachtet werden:
    Die Dienstleistungsrichtlinie spricht davon, dass Stellen in den Mitgliedstaaten verpflichtet seien, sich gegenseitig "Amtshilfe" zu leisten. Die dafür möglicherweise noch zu schaffenden Regelungen müssen, wenn sie Befugnisse zur Verarbeitung personenbezogener Daten schaffen sollen, die zulässige Art einer solchen Amtshilfe deutlich präzisieren und klar benennen, welche Stellen welche personenbezogenen Daten dazu auf welche Weise erheben, speichern, übermitteln oder in anderer Weise verarbeiten dürfen.
     
  • Datenschutzrechtliche Verantwortlichkeiten klären
    Ein wesentlicher Gesichtspunkt bei der elektronischen Unterstützung der Umsetzung der Dienstleistungsrichtlinie stellt die notwendige Abgrenzung der Rollen und Zuständigkeiten derjenigen Stellen dar, die mit Hilfe dieser IuK-Systeme künftig personenbezogene Daten verarbeiten sollen. Nach gegenwärtigem Informationsstand sollen sowohl die EG-Kommission wie auch zahlreiche bestehende oder neu zu schaffende Stellen in den Mitgliedstaaten einzelne Aufgaben übernehmen. Datenschutzrechtlich ist daran bedeutsam, dass in den zu realisierenden IuK-Systemen in großem Umfang personenbezogene Daten verarbeitet und möglicherweise auch für eine gewisse Zeit gespeichert werden sollen. Und dabei gilt es, Klarheit darüber zu schaffen, welche dieser Stellen datenschutzrechtlich für welche Teile der insgesamt geplanten Verarbeitung personenbezogener Daten verantwortlich sein sollen. Erst wenn dies geklärt ist, kann bestimmt werden, welches Datenschutzrecht für die entsprechenden Teile der Datenverarbeitung Anwendung findet und welche Datenschutzaufsichtsbehörde die entsprechende Datenverarbeitung künftig zu kontrollieren hat.
     
  • Datenschutzrechtliche Auftragsverhältnisse klären
    Es ist damit zu rechnen, dass einige der auf diese Weise bestimmten verantwortlichen Stellen die Verarbeitung personenbezogener Daten nicht selbst auf eigenen IuK-Systemen vornehmen, sondern, im Rahmen einer sog. "Datenverarbeitung im Auftrag", eine oder mehrere andere Stellen damit beauftragen. Soweit baden-württembergische öffentliche Stellen als verantwortliche Stellen an der Verarbeitung personenbezogener Daten beteiligt sind, müssen sie in einem solchen Fall schriftliche Aufträge dazu erteilen.
     
  • Spielräume für datenschutzfreundliche Lösungen nutzen
    Die zur Umsetzung der Dienstleistungsrichtlinie noch notwendigen rechtlichen und technisch-organisatorischen Vorarbeiten bieten gegenwärtig noch erhebliche Spielräume für die konkrete Ausgestaltung, die möglichst datenschutzfreundlich genutzt werden sollten. Dabei sollte auch dann, wenn IuK-Systeme zur Umsetzung der Dienstleistungsrichtlinie eingeführt werden, eine zuständigkeitsbezogene "informationelle Gewaltenteilung" der daran angeschlossenen Behörden insofern erhalten bleiben, als jede Stelle damit nur diejenigen Daten verarbeiten kann, die sie zur Erfüllung ihrer Aufgaben benötigt. Insbesondere im Hinblick auf die Konkretisierung der Rechtsvorschriften über die einheitlichen Ansprechpartner wird dabei von Anfang an darauf zu achten sein, dass diese keinen unbeschränkten Zugriff auf verschiedenste Fachverfahren und die darin gespeicherten personenbezogenen Daten erhalten. Eine Realisierungsvariante ist dabei datenschutzrechtlich umso problematischer, je umfassender die vorgesehenen Zugriffsmöglichkeiten sind.
    Geleitet vom Grundsatz der Datensparsamkeit könnten folgende Punkte zu einer datenschutzfreundlichen Technikgestaltung beitragen:
    • Beschränkung auf die zur Nachrichtenübertragung erforderlichen Funktionen anstreben
      Die zur Umsetzung der Dienstleistungsrichtlinie einzurichtenden IuK-Systeme müssen in jedem Fall ermöglichen, dass elektronische Anträge wahlweise bei den einheitlichen Ansprechpartnern oder direkt bei den zuständigen Fachbehörden gestellt und auch elektronisch beantwortet werden können. Mit anderen Worten: Sie werden eine IuK-Infrastruktur bilden, die den Austausch von Mitteilungen zwischen Bürgern, Unternehmen und öffentlichen Stellen ermöglicht. Dabei stellt sich die Frage, ob man sich bei der Gestaltung der IuK-Systeme hierauf beschränken kann oder ob möglicherweise auch Funktionen eines Informationssystems in die europaweiten IuK-Systeme aufgenommen werden müssen, über die sich personenbezogene Daten der Antragsteller oder anderer Personen auch nach Übertragung der Nachrichten noch abrufen lassen. Aus Sicht des Datenschutzes wäre es sehr zu begrüßen, wenn in den europaweit nutzbaren IuK-Systemen auf eine über die Dauer des Nachrichtentransports hinausgehende Speicherung personenbezogener Daten verzichtet werden könnte. Dadurch ließen sich die vielfältigen, mit einer solchen Informationssystem-Lösung verbundenen datenschutzrechtlichen Fragen und Probleme vermeiden, die beispielsweise bei der Festlegung des Kreises der zugriffsberechtigten Personen, der Realisierung einer passgenauen Zugriffsbeschränkung oder der Gewährleistung der rechtzeitigen Löschung auftreten können.
      Soweit ein einheitlicher Ansprechpartner oder eine andere in die Abwicklung der Verwaltungsverfahren eingebundene Stelle einzelne der übertragenen personenbezogenen Daten für eine gewisse Zeit benötigt (z. B. Informationen über Posteingang, Weiterleitung, bestehende Fristen und Erledigung der elektronisch zugegangenen Anträge), könnten diese in deren lokalen IuK-Systemen gespeichert und verarbeitet werden. Entscheidend wäre dabei jedoch, dass diese Daten einer dienststellenübergreifenden, möglicherweise sogar europaweiten Zugriffsmöglichkeit entzogen werden können.
       
    • Flexible Nutzung vordefinierter Mitteilungen ermöglichen
      Hinsichtlich des Mitteilungs-Austauschs zielen einige Vorschläge darauf, nicht nur den Austausch beliebiger frei formulierter Nachrichten zu ermöglichen, was ja heute schon per E-Mail möglich ist, sondern ein System zur strukturierten Datenkommunikation einzurichten. Dazu könnten etwa Möglichkeiten zum Austausch standardisierter und in allen Sprachen der Mitgliedstaaten vorformulierter Mitteilungen geboten werden.
      Aus Sicht des Datenschutzes könnte es dabei Probleme geben, wenn die durch die Programmentwicklung festgelegten und als einzige zur Auswahl stehenden Mitteilungen mehr personenbezogene Daten umfassten, als dies im konkreten Einzelfall notwendig ist. Diese Probleme können sich insbesondere dann ergeben, wenn nicht die datenschutzrechtlich verantwortlichen Stellen über die Programmentwicklung und -gestaltung entscheiden. Um dem entgegenzuwirken, muss - auch wenn bereits durch die Verfahrensentwicklung bestimmte Standardmitteilungen vordefiniert werden - stets die Möglichkeit bestehen, diese Mitteilungen nach dem für die jeweilige verantwortliche Stelle geltenden Datenschutzrecht zu konfigurieren (datenschutzkonformes Customizing). Beispielsweise sollte bei standardisierten Mitteilungen, die personenbezogene Daten umfassen, konfigurierbar sein, welche der darin enthaltenen Datenfelder eine Stelle belegen darf und welche sie, z. B. mangels Erforderlichkeit der Übermittlung, leer lassen muss. Auf Pflichtfelder sollte dabei so weit wie möglich verzichtet werden.
      Zu bedenken ist auch, dass eine hiesige Stelle auf Anfragen ausländischer Stellen etwa nach den Qualifikationen eines hierzulande ausgebildeten Bürgers den in unterschiedlichen Mitgliedsländern angesiedelten Behörden u. U. auch dann unterschiedliche Daten mitteilen muss, wenn es in allen Fällen um die gleiche Dienstleistung geht. Dies kann etwa dann notwendig sein, wenn die anfragenden ausländischen Behörden über einen unterschiedlichen Aufgabenzuschnitt verfügen. Aber auch dann muss durch technische oder organisatorische Maßnahmen sichergestellt werden, dass jede anfragende Stelle nur diejenigen Informationen erhält, die sie zur Erfüllung ihrer Aufgaben benötigt.
       
    • Beschränkung der Zugriffsmöglichkeiten der einheitlichen Ansprechpartner
      Zur notwendigen Beschränkung der Zugriffsmöglichkeiten der einheitlichen Ansprechpartner könnte entscheidend beitragen, wenn es gelänge, deren Aufgaben und die darauf abgestimmten Zugriffsmöglichkeiten so zu gestalten, dass sie sich nicht mit der inhaltlichen Bearbeitung der ihnen zugehenden Anträge befassen müssen, sondern sich darauf beschränken können, die einzelnen bei ihnen eingehenden Anträge zur inhaltlichen Bearbeitung an die jeweils dafür zuständige Fachbehörde weiterzuleiten.
      So könnte es unter Umständen genügen, wenn die einzurichtenden IuK-Systeme im Wesentlichen folgende Abläufe unterstützen: Die bei einem einheitlichen Ansprechpartner eingehenden Anträge von Dienstleistern werden von ihm an die fachlich zuständigen Stellen weitergeleitet. Der einheitliche Ansprechpartner erhält irgendwann Mitteilungen der fachlich zuständigen Stellen zurück und kontrolliert, ob alle zu beteiligenden Stellen ihre Beurteilung abgeschlossen haben oder ob es im Ablauf irgendwelche Störungen gab. Er achtet auf die Einhaltung der Fristen und wendet sich bei Bedarf an einzelne von ihm eingebundene zuständige Stellen und mahnt dort noch ausstehende Beurteilungen an. Sobald alle beteiligten Stellen dem einheitlichen Ansprechpartner das Ergebnis ihrer inhaltlichen Prüfung mitgeteilt haben, erzeugt dieser hieraus die an den Antragsteller zu sendende Antwort und leitet diese dem Antragsteller elektronisch zu.
      Damit ließen sich die datenschutzrechtlichen Probleme vermeiden, die sich ergäben, wenn man die einheitlichen Ansprechpartner auch in die inhaltliche Bearbeitung der eingehenden Anträge einbeziehen würde. Insbesondere dürfte sich dadurch vermeiden lassen, den einheitlichen Ansprechpartnern Zugriffsmöglichkeiten auf personenbezogene Daten einzuräumen, die die Fachbehörden in ihren Fachanwendungen verarbeiten.
       
    • Zuverlässige Verfahren für die Authentifizierung der Antragsteller und für elektronische Signaturen einsetzen
      Die von der Dienstleistungsrichtlinie geforderte Möglichkeit, alle Formalitäten aus der Ferne elektronisch abwickeln zu können, erfordert, dass die Identität der Antragsteller auch dabei zuverlässig überprüft werden kann. Zudem kann es notwendig sein, wesentliche Mitteilungen, wie z. B. Anträge, elektronisch zu signieren, um damit zu dokumentieren, dass der Unterzeichner die übersandte Erklärung tatsächlich hat abgeben wollen. Leider enthält die Dienstleistungsrichtlinie keinerlei Vorgaben dazu, auf welche Weise dies zu geschehen hat. Aus Sicht des Datenschutzes gilt es, diesen Anforderungen hohe Aufmerksamkeit zu schenken. Hochwertige Verfahren für Signaturen stehen beispielsweise mit der qualifizierten elektronischen Signatur zur Verfügung. Allerdings sind diese bislang noch nicht flächendeckend im Einsatz. Angesichts dessen ist davor zu warnen, "Übergangslösungen" vorzusehen, die mit deutlichen Einbußen gegenüber dem erreichbaren Sicherheitsniveau verbunden sind.

Ich habe das in Baden-Württemberg für die Umsetzung der Dienstleistungsrichtlinie verantwortliche Wirtschaftsministerium sowie das für die IT-Umsetzung federführende Innenministerium gebeten, diese datenschutzrechtlichen Aspekte bei den weiteren Plänen zur Umsetzung der EU-Dienstleistungsrichtlinie zu berücksichtigen.

 

3. Der Dokumentensafe für das Verwaltungsdiensteportal service-bw

Um Bürgern und Unternehmen eine zentrale Anlaufstelle im Internet zu bieten, hat das Land Baden-Württemberg bereits vor Jahren das Verwaltungsdiensteportal service-bw (www.service-bw.de) eingerichtet und seither mehrfach erweitert. Dort kann man sich über die von der Verwaltung angebotenen Dienstleistungen informieren und diese in immer mehr Fällen auch gleich elektronisch abwickeln. Aktuell steht die Bereitstellung eines sog. Dokumentensafes im Mittelpunkt.

Mit dem Dokumentensafe will die Verwaltung allen Bürgern die Möglichkeit zur individuellen Nutzung einer elektronischen Ablage bieten. Gedacht ist dabei in erster Linie daran, dass die Nutzer darin Dokumente ablegen können, die sie für spätere elektronische Antragstellungen benötigen. Daneben soll der Dokumentensafe auch ein elektronisches Postfach für die Bürger darstellen, in das die für sie bestimmten, elektronisch erstellten amtlichen Mitteilungen und Bescheide abgelegt werden können. Dabei ist damit zu rechnen, dass im Dokumentensafe auch Unterlagen mit besonders schutzbedürftigen personenbezogenen Angaben, z. B. Einkommensnachweise oder Steuerbescheide, aufbewahrt werden. Es liegt auf der Hand, dass ein solches System eine Vielzahl datenschutzrechtlicher Fragen aufwirft, etwa:

  • Wer soll unter welchen Bedingungen auf die in einem Dokumentensafe abgelegten Daten zugreifen dürfen?
  • Wie ist sichergestellt, dass Unberechtigte nicht auf die Dokumente zugreifen können?
  • Wie geht man damit um, wenn Bürger dieses Angebot nicht in Anspruch nehmen wollen?

Dazu teilte uns das für dieses Vorhaben federführende Innenministerium mit, dass die Nutzung des Dokumentensafes freiwillig sei und alle im Dokumentensafe gespeicherten personenbezogenen Daten durch Verschlüsselung vor unberechtigter Kenntnisnahme geschützt werden sollen. Um unberechtigte Zugriffe auf die im Dokumentensafe abgelegten Daten so weit wie möglich auszuschließen, solle die Anmeldung zum Dokumentensafe nur für solche Nutzer ermöglicht werden, die sich eine u. a. auch für die digitale Signatur nutzbare Chipkarte haben ausstellen lassen und die sich mit Hilfe dieser Chipkarte am Portal anmelden. Da die Entschlüsselung der in ihrem Dokumentensafe abgelegten Daten nur mit Hilfe eines auf dieser Chipkarte gespeicherten Schlüssels möglich sei, hält das federführende Innenministerium den Schutz vor unberechtigten Zugriffen für gewährleistet.

Diese Eckpunkte stellen auch aus Sicht des Datenschutzes wichtige Ziele dar, an denen keine Abstriche gemacht werden sollten. Gleichwohl ist darauf hinzuweisen, dass sich auch bei Umsetzung der vom Innenministerium vorgesehenen Konzeption eine unberechtigte Kenntnisnahme der im Dokumentensafe hinterlegten Daten technisch nicht vollständig ausschließen lässt. So sieht beispielsweise das Konzept des Innenministeriums vor, dass ein Bürger die Dokumente, die er einem elektronischen Antrag beifügen möchte, vor deren Verwendung entschlüsselt. Somit befinden sich einzelne Dokumente zumindest für einen kurzen, zur Antragstellung genutzten Zeitraum unverschlüsselt im Dokumentensafe. In dieser Zeit ist der Schutz dieser Dokumente vor unberechtigten Zugriffen entsprechend eingeschränkt.

Wir halten es deshalb für erforderlich, dass die Nutzung des Dokumentensafes nur auf freiwilliger Basis erfolgt und die Bürger umfassend über die ergriffenen Sicherheitsmaßnahmen und deren Grenzen unterrichtet werden. Zudem ist wichtig, dass die hierzu stets notwendigen Einwilligungen klar erkenntlich und unmissverständlich eingeholt werden. Leider waren in der Konzeption zur Nutzung des Dokumentensafes zunächst nur unzureichende Anforderungen daran gestellt, wie die Einwilligungen zu erklären seien: So sollte die Einwilligung zum Teil einfach durch die Nutzung einzelner Funktionen oder das Ausfüllen bestimmter elektronischer Formulare gegeben werden. Im Konzept des Innenministeriums war in dem Zusammenhang auch von "impliziter Einwilligung" die Rede. Wir wiesen das Innenministerium darauf hin, dass eine wirksame Einwilligung nach den Anforderungen des Landesdatenschutzgesetzes zwar durchaus auch in elektronischer Form erteilt werden kann; dabei muss aber u. a. sichergestellt werden, dass die Einwilligung nur durch eine eindeutige und bewusste Handlung des Einwilligenden erfolgen kann. Eine implizite oder konkludente elektronische Einwilligung, die das Innenministerium ursprünglich für ausreichend hielt, wird daher den datenschutzrechtlichen Anforderungen nicht gerecht. Das Innenministerium hat die Konzeption mittlerweile unseren Hinweisen entsprechend angepasst.

Neben den Unzulänglichkeiten hinsichtlich der Form wies die Konzeption auch Unzulänglichkeiten hinsichtlich des Inhalts der darin vorgesehenen Einwilligungen auf. Sie sah vor, dass sich die Nutzer per Einwilligung auch mit einer unverschlüsselten Übertragung ihrer Daten einverstanden erklären können. Schon allein weil den Nutzern regelmäßig viel weniger Informationen zur Beurteilung der tatsächlich vorhandenen Gefährdungen zur Verfügung stehen dürften als den Daten verarbeitenden Stellen, wäre es nicht sachgerecht, ihnen die Verantwortung für die in einem sehr komplexen und für Außenstehende kaum durchschaubaren IuK-System zu ergreifenden Datenschutzmaßnahmen auferlegen zu wollen. Aus diesem Grund sieht es das Landesdatenschutzgesetz auch nicht vor, dass sich eine Daten verarbeitende öffentliche Stelle per Einwilligung von ihrer gesetzlichen Verpflichtung zur Realisierung der erforderlichen Schutzmaßnahmen, zu denen vielfach auch die Verschlüsselung elektronisch übertragener Daten gehören dürfte, entbinden lassen kann.

Zudem gab es in diesem Jahr Anlass zu Zweifeln, ob das Innenministerium uneingeschränkt weiterhin an dem Grundsatz der Freiwilligkeit der Nutzung des Dokumentensafes festhalten will. Entgegen unserer Bitte beschlossen die im Arbeitskreis Informationstechnik zusammenwirkenden Vertreter der Landesministerien auf Vorschlag des Innenministeriums im Frühjahr, dass der Dokumentensafe künftig zur "einheitlichen und verbindlichen Nutzung" zur Verfügung gestellt werden soll. Noch deutlicher wurde das Innenministerium vor wenigen Wochen, als es in einem Arbeitspapier darauf hinwies, dass das Angebot von Portalfunktionen wie dem Dokumentensafe eine hoheitliche Aufgabe sei. Es führte dazu u. a. aus:

    "Bürgerinnen und Bürger sind in zunehmendem Maße den Sicherheitsrisiken des Internet ausgesetzt; dies umso mehr, je öfter sie im virtuellen Raum aktiv sind. Die wachsende Bedeutung der elektronischen Kommunikation für Wirtschaft, Verwaltung und Gesellschaft stellt deshalb den modernen Staat vor die Aufgabe, im elektronischen Kommunikationsraum ähnliche hoheitliche Funktionen wie im natürlichen Raum zu übernehmen und dort für Sicherheit, Ordnung und Rechtsverbindlichkeit zu sorgen. In diesem Sinne verhelfen "mein service-bw" und der Dokumentensafe - künftig besonders in Kombination mit der elektronischen Authentifizierungsfunktion des neuen deutschen Personalausweises - dazu, den Bürgerinnen und Bürgern im elektronischen Raum eine Identität zu geben, die von diesen gleichermaßen und einheitlich den Online-Verfahren der Verwaltung und der Privatwirtschaft zur Verfügung gestellt werden kann."

Im Zusammenhang mit dem zuvor erwähnten Beschluss des Arbeitskreises Informationstechnik sahen wir hierin Anzeichen für eine Abkehr von dem Modell der freiwilligen Nutzung des Dokumentensafes. Wir wiesen das Innenministerium darauf hin, dass sich in diesem Fall die Verarbeitung personenbezogener Daten kaum mehr allein auf eine Einwilligung stützen ließe. Es wäre daher zu klären, welche staatlichen Stellen künftig auf der Grundlage welcher rechtlicher Vorschriften welche mit einer Verarbeitung personenbezogener Daten verbundenen hoheitlichen Aufgaben im virtuellen Raum übernehmen sollen. Klärungsbedürftig wäre ferner, welche Portalkomponenten für welche Personenkreise zur verbindlichen Nutzung vorgesehen werden sollen und aus welchen Rechtsvorschriften sich künftig die Nutzungspflicht ergeben soll. Eine Antwort des Innenministeriums auf meine dementsprechende Anfrage steht bislang noch aus.

 

4. Protokollierung von Zugriffen auf Internet-Angebote

Eine datenschutzrechtlich problematische Begleiterscheinung der zunehmenden Nutzung elektronischer Dienstleistungen besteht darin, dass sich Vorgänge, die in der realen Welt ganz selbstverständlich anonym abgewickelt werden können, in der elektronischen Welt vielfach aber nicht ohne weiteres anonym abwickeln lassen. Diese Problematik zeigt sich bereits, wenn man den Umgang mit gedruckten Broschüren dem Zugriff auf Internet-Angebote gegenüberstellt. Insbesondere die Anbieter und Betreiber elektronischer Angebote gehen nicht selten mit einer großen Selbstverständlichkeit davon aus, dass dabei sämtliche Nutzeraktionen detailliert protokolliert und einer späteren Auswertung zugänglich gemacht werden können. Und das, obwohl seit langem Anlass besteht, sorgsam darauf zu achten, dass Dinge, die in der realen Welt anonym erledigt werden können, auch in der elektronischen Welt anonym zu erledigen sind. Denn bereits vor mehr als zehn Jahren sorgten Bund und Länder dafür, dass strenge gesetzliche Regeln für den Umgang mit elektronischen Informationsdiensten und deren Nutzungsspuren aufgestellt wurden.

Ruft jemand eine Web-Seite auf, so bieten die dazu verwendeten Server standardmäßig die Möglichkeit, eine Reihe von Informationen über die einzelnen Zugriffe zu registrieren. Dabei können neben Datum und Uhrzeit des Zugriffs auch die IP-Adresse des abrufenden Computers sowie eine Reihe weiterer Informationen dokumentiert werden. Dazu gehören etwa eine nähere Beschreibung des Zugriffsmodus, die Bezeichnung des Dokuments, auf das zugegriffen wurde, sowie Angaben über das Betriebssystem und den Browser, die auf dem Computer des zugreifenden Internet-Nutzers verwendet werden. Schließlich kann auch der sog. Referrer erfasst werden, also die Bezeichnung derjenigen Web-Seite, von der aus die aktuell besuchte Web-Seite durch Anklicken eines Links aufgerufen wurde. Der Referrer-Eintrag kann insbesondere dann besonders aussagekräftig sein, wenn der Internet-Nutzer über eine Suchmaschine auf das aktuell besuchte Internet-Angebot gelangt ist. In diesem Fall können auch dieser Umstand sowie sämtliche vom Internet-Nutzer zur Suche verwendeten Suchbegriffe im Referrer-Eintrag der Protokolldatei festgehalten werden.

Datenschutzrechtlich ist dabei insbesondere von Bedeutung, dass IP-Adressen mit Hilfe von Zusatzwissen einzelnen Personen zugeordnet werden können und die Protokolldaten somit als personenbezogen anzusehen sind. Dies stellte auch ein wesentliches Argument für das Amtsgericht Berlin Mitte dar, das dem Bundesjustizministerium im März dieses Jahres untersagte, mit vollständigen IP-Adressen versehene Protokolldaten über den Zugriff auf dessen Internet-Angebot über das Ende der einzelnen Nutzung hinaus zu speichern. Dabei stellte es ausdrücklich klar, dass dies auch dann gelte, wenn es sich um IP-Adressen handelt, die den Nutzern von ihren Internet-Zugangs-Providern jeweils nur für eine gewisse Zeit bereitgestellt wurden (dynamische IP-Adressen).

Dass gemessen daran auch hierzulande noch einiger Änderungsbedarf besteht, ergibt sich aus der Antwort des Innenministeriums auf eine im Landtag eingebrachte Kleine Anfrage zur Speicherung von Kommunikationsspuren (LT-Drucksache 14/1830). Danach gibt es neben einigen behördlichen Web-Angeboten, bei deren Nutzung keine der in Rede stehenden Daten protokolliert werden, auch Angebote, bei deren Nutzung Protokolldaten inklusive vollständiger IP-Adresse bis zu 13 Monate oder bei einzelnen Angeboten sogar unbefristet gespeichert werden. Dies macht deutlich, dass noch erhebliche Diskrepanzen zwischen dem erwähnten Urteil des Amtsgerichts Berlin Mitte und der aktuellen Praxis der Landesverwaltung bestehen. Demgegenüber äußerte sich das Innenministerium in seiner Antwort ausweichend und teilte mit, dass "kein unmittelbarer Handlungsbedarf" bestehe. Dies gelang ihm allerdings nur, indem es konsequent vermied, das in der Sache einschlägige Amtsgerichtsurteil anzusprechen, und sich stattdessen nur auf das Urteil des Landgerichts Berlin bezog, das sich allerdings nur mit Teilaspekten des Amtsgerichtsurteils befasste. Dabei ist klar, dass das Urteil des Berliner Amtsgerichts selbstverständlich keine rechtliche Bindungswirkung für das Land Baden-Württemberg entfalten kann, da dieses nicht Prozesspartei war. Gleichwohl empfiehlt es sich, die Verwaltungspraxis im Land an den Maßstäben der amtsgerichtlichen Erkenntnisse zu überprüfen.

Ich habe daher die im Arbeitskreis Informationstechnik zusammenwirkenden IuK-Verantwortlichen der Landesverwaltung gebeten, die Vorgehensweise bei der Protokollierung der Zugriffe auf die von ihnen betriebenen Internet-Angebote zu überprüfen und dafür Sorge zu tragen, dass dabei den Anforderungen des Datenschutzrechts, insbesondere den für Internet-Angebote einschlägigen Spezialvorschriften des Telemediengesetzes, Rechnung getragen wird. Zudem habe ich darauf hingewiesen, dass öffentliche Stellen des Landes auch dann für die Einhaltung der Datenschutzvorschriften verantwortlich bleiben, wenn sie ihre Internet-Angebote nicht auf eigenen Servern bereithalten, sondern Dritte (Provider) damit beauftragt haben. Das Innenministerium reagierte hierauf rasch und teilte mit, dass es gemeinsam mit dem von ihm beauftragten Provider eine Lösung anstrebe, bei der die bislang protokollierten IP-Adressen durch nicht-personenbezogene Daten ersetzt werden. Über das weitere, möglicherweise landesweit abgestimmte Vorgehen soll demnächst auch der Arbeitskreis Informationstechnik beraten. Es ist zu hoffen, dass sich dabei zeitnah und landesweit eine datenschutzgerechte Lösung erreichen lässt.

 

5. Das CERT der Landesverwaltung

Die Sicherheit eines Daten verarbeitenden Systems ist unabdingbare Grundvoraussetzung für einen datenschutzrechtlich zulässigen Betrieb. Insofern begrüße ich alle Anstrengungen der Landesverwaltung, durch geeignete Maßnahmen die Sicherheit der eingesetzten Hard- und Software zu erhöhen. Deshalb waren meine Mitarbeiter und ich auch gespannt darauf, ob und inwieweit sich die Systemsicherheit der EDV der Landesverwaltung verbessert hat, nachdem ein sog. CERT für die Landesverwaltung am 20. November 2006 seinen Betrieb aufgenommen hatte.

Hinter "CERT" verbergen sich die englischen Begriffe computer emergency response team. Das erste CERT wurde Ende der achtziger Jahre des vergangenen Jahrhunderts an einer amerikanischen Elite-Universität gegründet, um Sicherheitsprobleme des Internets zu identifizieren, zu lösen und Anwender bei deren Bewältigung zu unterstützen. Das erste deutsche CERT ist ebenfalls im Hochschulbereich eingerichtet worden.

Seit einigen Jahren sprießen CERTs an allen Ecken und Enden der EDV-Landschaft wie Pilze aus dem Boden. Da wollte anscheinend auch die Landesverwaltung nicht zurückstehen und beschloss, ein CERT BWL beim Informatikzentrum Landesverwaltung Baden-Württemberg (IZLBW) einzurichten. Das ist aber beileibe nicht das einzige CERT im Land. Uns sind eine Universität (seit 1998) und ein kommunaler Informationsverband in Baden-Württemberg bekannt, die ebenfalls ein CERT betreiben.

Interessanterweise kommt diese inflationäre CERT-Gründungsphase zu einem Zeitpunkt, in dem im EDV-Bereich eine Konsolidierung auf wenige Hard- und Softwaresysteme stattgefunden hat, so dass sich die Frage stellt, warum ein einziges deutsches CERT nicht genügt. Über neunzig Prozent aller Rechner werden mit einem Betriebssystem der Firma Microsoft ausgeliefert. Der Marktanteil bei Bürosoftware des Unternehmens dürfte sich in der gleichen Größenordnung bewegen. In der Landesverwaltung ist diese Ausstattung Landesstandard und wird auf nahezu allen Arbeitsplatz-PCs installiert. Bei der Beseitigung von Sicherheitslücken ist die Landesverwaltung wie alle anderen Nutzer auf die Versorgung mit sog. Hotfixes, Updates und Service Packs von Microsoft angewiesen. Welche Rolle einem CERT in dieser Gemengelage zukommen könnte, ist nicht klar. Unter diesem Blickwinkel stellt sich die Frage, was das CERT der Landesverwaltung besser machen will und warum man erst mehr als sieben Jahre nach der ersten Gründung eines CERT an einer baden-württembergischen Universität die Notwendigkeit eines CERT für die Landesverwaltung sieht.

Die Aktivitäten des CERT BWL bestanden nach unserem Eindruck bisher hauptsächlich im Versand von Sicherheitsinformationen. Wenn man sich die Meldungen, von denen meistens mehrere täglich per E-Mail eingehen, genauer anschaut, fallen Ungereimtheiten auf, die den Wert dieser Informationen eher fragwürdig erscheinen lassen. Hier nur wenige Beispiele:

  • Mit wenigen Ausnahmen kommen alle "Sicherheitsinfos" des CERT BWL vom CERT-Bund. Vom CERT BWL werden die Meldungen "umkuvertiert" und an Empfänger in der Landesverwaltung weitergesandt. Aber auch das scheint nicht fehlerfrei zu funktionieren. Bei vielen Meldungen bestehen die Einleitungen aus dem Meldungstext "Sicherheitsinfo des CERT BWL zum Themenbereich HP-Unix/Linux". Bei den betroffenen Plattformen werden dann aus unerklärlichen Gründen die Betriebssysteme "Windows Vista" und "Microsoft Windows XP" genannt. Wenigstens so ausgereift sollte der regelbasierte Weiterleitungsmechanismus schon sein, dass die Sicherheitsverantwortlichen nicht auf die falsche Fährte gelockt werden.
     
  • Vollkommen im Dunkeln tappt man angesichts einer Sicherheitsinformation, die das Programm "Adobe Acrobat Reader" betraf. Lapidar wurde erklärt, dass eine Schwachstelle in dem Programm die Ausführung beliebiger Codes erlaube. Angaben zu der betroffenen Programmversion fehlten. Wenig beruhigend ist auch der Hinweis, dass zurzeit noch kein sog. Hotfix zur Behebung der Schwachstelle vorhanden und sehr wenig Informationen über die Schwachstelle veröffentlicht worden seien. Die Empfehlung, keine PDF-Dokumente aus unsicheren bzw. unbekannten Quellen zu öffnen, erscheint angesichts des Verbreitungsgrads von PDF-Dokumenten etwas praxisfern.
     
  • Die Einleitung einer anderen Meldung lautete "Sicherheitsinfo des CERT BWL zum Themenbereich HP-Unix/Linux" und setzte dann im vom Bund übernommenen Teil fort mit dem Text "Mehrere Schwachstellen in IBM AIX ermöglichen die Ausführung von Programmcode mit administrativen Rechten". Ähnliche Meldungen gibt es auch zum Betriebssystem Solaris und Mac OS X. Auch das deutet darauf hin, dass hinsichtlich des Weiterleitungsmechanismus Verbesserungsmöglichkeiten bestehen.
     
  • Ein Mangel an Genauigkeit ist bei der Meldung "Schwachstelle im ‚QuickTime-Plugin'" zu vermuten. Heißt es darin doch schlicht, dass ein fehlerhaftes QuickTime-Plugin einem Angreifer in verschiedenen Browsern beliebige Codeausführungen erlaube. Wie ein Administrator an Hand dieser Angaben feststellen soll, ob die von ihm betreuten PCs betroffen sind, ist nicht erkennbar.
     
  • Um einen Fehlalarm dürfte es sich bei der Sicherheitsinfo des CERT BWL zum Themenbereich Windows / Microsoft und zum Programm xpdf handeln. In der Rubrik der betroffenen Plattformen werden die Betriebssysteme Linux und Windows genannt. Bei der Nennung von Windows dürfte es sich um einen Irrtum handeln. Xpdf als reinrassige XWindow-Anwendung läuft nicht mit den Betriebssystemen von Microsoft.
     
  • Einen interessanten Aspekt kann man den Sicherheitsinfos schließlich doch abgewinnen. Es ist erstaunlich, wie häufig Software, die der Gewährleistung der Systemsicherheit dienen soll, Gegenstand von Sicherheitsinfos ist. Die Palette reicht von Virenschutzsoftware über Firewalls bis zu Verschlüsselungssoftware. Wer vermutet hat, dass Software, die Rechner und darauf gespeicherte Daten vor Angriffen schützen soll, gegen Sicherheitslücken gefeit ist, wird angesichts der Sicherheitsinfos unsanft eines Besseren belehrt.

Auch zwei selbstverfasste Sicherheitsmeldungen konnten mich von einer nachhaltigen Wirkung des CERT BWL nicht überzeugen. Zum einen wurde davor gewarnt, unbedarft auf HTML-Links in E-Mails zu klicken. Wenn man sich nicht sicher sei, solle man an Hand des Quelltexts prüfen, zu welchem WWW-Server der Link zweige. Die Absicht ist löblich, verkennt aber, dass die wenigsten Mitarbeiter der Landesverwaltung Spezialisten im Lesen von HTML-Code sind. Auch die Warnung, sich nicht als Finanzagent anwerben zu lassen, ist gut gemeint und kann vielleicht den einen oder anderen vor Unbill bewahren. Nicht erkennbar ist jedoch, dass dadurch die Sicherheit der EDV-Systeme der Landesverwaltung erhöht würde.

Zusammenfassend muss festgestellt werden, dass etliche Sicherheitsinfos Sicherheitslücken betreffen, die über den Status einer Machbarkeitsdemonstration noch nicht hinausgekommen sind. Trotzdem ist der Druck auf die für die Sicherheit der EDV-Umgebung Verantwortlichen groß, die Meldungen hinsichtlich der von ihnen betreuten EDV-Umgebung prüfen zu müssen. Fraglich ist, ob dann genügend Zeit verbleibt, zur Abwehr der tatsächlichen Gefahren geeignete Gegenmaßnahmen einzuleiten und sorgfältig durchzuführen. Hier könnte das CERT BWL eine Filterfunktion einnehmen.

Weitere Gebiete, auf denen das CERT BWL Wirkung entfalten könnte, sind naheliegend. So sollten die spezifischen Belange der EDV der Landesverwaltung deutlich herausgearbeitet und ein maßgeschneidertes Konzept erarbeitet werden. Beispielsweise könnte endlich der auch von uns angeregte Aufbau und Betrieb eines für alle Dienststellen des Landes zugreifbaren Windows Software Update Service an zentraler Stelle in Angriff genommen werden. Der Aufbau einer Sicherheitsinfrastruktur ist eine grundlegende Voraussetzung zur Erhöhung der Sicherheit der in der Landesverwaltung eingesetzten Systeme. Bei selbst erstellten verwaltungsspezifischen Anwendungen könnte Kompetenz eingebracht und dadurch proaktiv schon bei der Programmierung auf die Erhöhung der Sicherheit Einfluss genommen werden.

Zunächst ist aber das vorläufige Fazit zu ziehen, dass eine nennenswerte Erhöhung der Sicherheit der EDV-Systeme der Landesverwaltung durch die Schaffung eines CERT BWL wohl noch nicht eingetreten ist.

 

6. Das Antragsverfahren für den ePass

Wenn es nach den Aussagen der Sicherheitspolitiker geht, sind wir am Ziel - vorläufig jedenfalls. Endlich bekommen wir Reisepässe, die uns höchste Sicherheit garantieren. Wurde auf dem RFID-Chip der Reisepässe bisher das Gesichtsbild des Passinhabers gespeichert, so kommen seit dem 1. November 2007 zusätzlich Fingerabdrücke hinzu.

Weil die Erhebung, Verarbeitung und Übermittlung so sensibler biometrischer Daten im öffentlichen Bereich neu ist, wurde vom 1. März 2007 bis zum 30. Juni 2007 ein bundesweiter Testlauf des Passantragsverfahrens durchgeführt, in dem die Eignung von Soft- und Hardware sowie die Anforderungen an die organisatorischen Randbedingungen geprüft werden sollten. In Baden-Württemberg wurden durch Verordnung zwei Städte berechtigt, für die Dauer des Tests zwei Fingerabdrücke von Passantragstellern zu erheben, zu verarbeiten und an den Passaussteller zu übermitteln, sofern die Betroffenen in die Verarbeitung einwilligten. Auf den Chips der Reisepässe dieser Passantragsteller wurden die Fingerabdrücke nicht gespeichert. Um mir möglichst frühzeitig ein Bild von dem Verfahren machen zu können, hat einer meiner Mitarbeiter dem Amt für Bürgerservice einer der beteiligten Städte einen Informationsbesuch abgestattet.

Angesichts der hochsensiblen Daten und der Missbrauchsgefahr sind an die Verarbeitung biometrischer Daten naturgemäß hohe Anforderungen hinsichtlich der Authentizität, der Vertraulichkeit und der Integrität der Daten zu stellen. Beim Passantrag ist insbesondere wichtig, dass die Fingerabdruckdaten nach Ablauf des Antragsverfahrens nur auf dem Chip des Reisepasses und nicht andernorts gespeichert werden; daher müssen auch temporäre Speicherungen unverzüglich gelöscht werden. Auch der Datentransport an den Passaussteller (Bundesdruckerei) muss auf allen Abschnitten der Strecke hohen Sicherheitsstandards genügen.

Im Einzelnen konnten bei dem genannten Informationsbesuch folgende Erkenntnisse gewonnen werden:

  • Der Testbetrieb wurde bei der Stadt am 10. April 2007 aufgenommen. Das Ende des Testbetriebs war bundesweit auf den 30. Juni 2007 datiert. Ungefähr 80% der Antragsteller nahmen an dem Antragsverfahren mit Fingerabdruck teil, wobei der Gebührennachlass in Höhe von 5,00 EUR eine nicht unerhebliche Rolle gespielt haben soll.
  • Die für die Abwicklung des Antragsverfahrens ausgerüsteten Arbeitsplätze der Stadt bestehen aus einem Fingerabdruckscanner und einem Steuerprogramm des Scanners (Treiber). Die Installation der Software muss mit Systemrechten vorgenommen werden. Mit der Installation ist der Fingerabdruckscanner fest an das auf dem PC ablaufende Steuerprogramm gebunden. Wenn man die physikalische Verbindung zwischen Fingerabdruckscanner und Rechner unterbricht, wird der Scanner von dem Steuerprogramm nicht mehr angesteuert. Die Verwendung eines anderen Anschlusses als des bei der Installation verwendeten ist ausgeschlossen. Zur Wiederinbetriebnahme muss eine Neuinstallation der Software erfolgen.
  • Von einem Antragsteller konnten keine Fingerabdrücke genommen werden. Der Antragsteller wurde von dem Programm als "ohne Hand" klassifiziert. Das Verfahren berücksichtigte nicht den seltenen, aber Hautärzten geläufigen Fall, dass von einigen Betroffenen keine verwertbaren Fingerabdrücke genommen werden können. Das Verarbeitungsprogramm sollte aus unserer Sicht umgehend nachgebessert werden.

Hinsichtlich der Sicherheit der Anbindung des Fingerabdrucksensors an den PCs schien die Sache im Lot. Die Anzeichen deuten darauf hin, dass nur mit dem Steuerprogramm Daten aus dem Fingerabdruckscanner ausgelesen werden können. Allerdings besteht das Informationssystem zur Passantragstellung aus mehreren Komponenten. Der Fingerabdruckscanner ist nur ein Glied in der Kette der an der Anwendung beteiligten Komponenten:

  • Arbeitsplatz-PC
    Zwar scheint die Datenübertragung vom Fingerabdruckscanner zum PC sicher zu sein, fraglich ist aber, ob Anwendungen sich gegenüber dem Steuerprogramm identifizieren müssen oder ob beliebige Anwendungen über das Steuerprogramm auf den Fingerabdruckscanner zugreifen können. Der Anschluss des Rechners, mit dem die Fingerabdruckscanner jeweils verbunden werden, wird durch ein Teilsystem des Betriebssystems gesteuert (Treiber für USB-Schnittstelle). Für dieses Teilsystem gibt es im Internet von jedermann abrufbare Monitorprogramme, mit denen die über die Schnittstelle transportierten Daten mitgeschnitten werden könnten. Dies sollte das Steuerprogramm aber zuverlässig unterbinden.
    Die Clientanwendung namens LEWIS Digant auf dem Arbeitsplatz-PC kommuniziert mit dem Großrechner über ein Netzwerk. Hierfür ist auf der Seite des PCs ein Subsystem (TCP/IP-Stack) verantwortlich, das die Übertragung der biometrischen Daten im Intranet mit dem auch im Internet üblichen Protokoll realisiert.
    Bedauerlicherweise ist die Sicherheit jedes PCs durch Viren, Trojaner und andere Schaden stiftende Software bedroht. Zwar gibt es für diese Bedrohungen Abwehrmaßnahmen, aber es dürfte allgemein bekannt sein, dass nicht alle Angriffe damit abgewehrt bzw. die Maßnahmen nur mit einer gewissen zeitlichen Verzögerung ergriffen werden können.
     
  • Großrechnerverfahren
    Auf der Seite des Großrechners wird für die Antragstellung ein datenbankbasiertes Verfahren eingesetzt. Die Benutzer müssen sich über das Clientprogramm am Großrechner anmelden. Die biometrischen Daten werden bis zur Aushändigung des Reisepasses in einer Datenbank gespeichert. Nach erfolgter Aushändigung werden die Daten gelöscht.
    Wir haben die Stadt darauf hingewiesen, dass von der Datenbank vermutlich in regelmäßigen Abständen Sicherungskopien auf Magnetbändern hergestellt werden. Das heißt, dass die biometrischen Daten auch nach der Aushändigung und Löschung in der Datenbank noch auf Magnetbändern gespeichert sind. Diese Speicherung muss im Hinblick auf die Verfügbarkeit und die sequentiellen Speicherstrukturen von Magnetbändern in Kauf genommen werden. Das ist nach § 23 Abs. 4 Nr. 2 LDSG datenschutzrechtlich vertretbar, weil die Löschung unterbleiben darf, wenn sie wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. Durch organisatorische Maßnahmen sollte jedoch sichergestellt werden, dass die Bänder so beschrieben werden, dass zeitnah alle darauf gespeicherten biometrischen Daten gelöscht werden können.
     
  • Transport der Anträge
    Die biometrischen Daten der Antragsteller werden bei der betreffenden Stadt über zwei Netzwerke transportiert. Zum einen zwischen dem Bürgerbüro der Stadt und dem Rechenzentrum des Kommunalen Informationsverbands Baden Franken (KIVBF). Hier handelt es sich um Leitungen der Stadt, die von einem städtischen Dienstleister betrieben werden. Die Übertragung der biometrischen Daten erfolgt auf diesem Abschnitt unverschlüsselt.
    Die Übertragung der Passdaten an die Bundesdruckerei geschieht über das Verwaltungsnetz TESTA. Die Daten werden hier verschlüsselt und mit einer qualifizierten elektronischen Signatur versehen. Hierfür werden der Verwaltungsstandard XPass und das Übertragungsprotokoll OSCI eingesetzt. Insbesondere mit OSCI wird die Anforderung der Verschlüsselung und Authentifizierung der Kommunikationspartner erfüllt.
    Die üblicherweise ergriffenen Maßnahmen der Verschlüsselung sollten durch Maßnahmen der Authentifizierung der Kommunikationspartner auf der gesamten Transportstrecke ergänzt werden.
     
  • Passaussteller
    Zusätzlich sind am Antragsverfahren EDV-Systeme des Passausstellers, nämlich der Bundesdruckerei, für die unser Amt datenschutzrechtlich nicht zuständig ist, beteiligt. Auch bei der Verarbeitung der biometrischen Daten mit diesen Systemen müssen die Daten, wenn sie auf dem Chip gespeichert wurden, gelöscht werden.

Mit der beim Testbetrieb verfügbaren Dokumentation ließen sich die aufgeworfenen Fragen nicht abschließend klären. Wir haben deshalb ein Datenschutz- und Sicherheitskonzept, wie es für den Produktionsbetrieb nach § 11 Abs. 2 Nrn. 9 und 10 LDSG erforderlich ist, gefordert.

Vermutlich Ende November 2007 können die ersten Antragsteller ihre Reisepässe mit darauf gespeicherten Fingerabdruckdaten in Empfang nehmen. Allerdings, so ist zu befürchten, werden nur wenige Dienststellen mit Hilfe von Testgeräten die in RFID-Chips von Reisepässen gespeicherten Fingerabdruckdaten auslesen können. Für den Zugriff auf die Fingerabdruckdaten, so wurde zugesagt, würde ein Zugriffsschutz namens Extended Access Control (EAC) auf der Basis eines asymmetrischen Verschlüsselungsverfahrens verwendet. Hierzu solle eine sog. Public-Key-Infrastruktur für Lesegeräte aufgebaut werden. Hinsichtlich dieser Pläne ist es inzwischen aber still geworden. Es wäre ärgerlich, wenn sich herausstellen sollte, dass die versprochene Sicherheit für längere Zeit ein Wunschtraum bleibt.

Das Verfahren zur Beantragung des ePasses wurde am 1. November 2007 bundesweit in den Produktionsbetrieb übernommen. Ich beabsichtige, das Verfahren im nächsten Jahr zu kontrollieren.

 

7. Das Gästebuch und personenbezogene Daten

Als ein weiteres wichtiges Datum in der Berichtsperiode muss der 1. März 2007 genannt werden. An diesem Tag trat das neue Telemediengesetz (TMG) in Kraft. Es ersetzt das Teledienstegesetz (TDG) und das Teledienstedatenschutzgesetz (TDDSG), die gleichzeitig außer Kraft traten. Dieses Bundesgesetz ist von den Behörden und sonstigen öffentlichen Stellen im Land zu beachten, die ein sog. Internet-Portal betreiben und mit dem Portal Telemedien anbieten. Gemäß § 1 Abs. 1 TMG gilt das Gesetz für alle Anbieter von Telemedien einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird.

Die bisher heikle Prüfung, was ein Teledienst ist, wurde in dem Gesetz dadurch gelöst, dass es als Telemedien alle elektronischen Informations- und Kommunikationsdienste bezeichnet, die nicht Telekommunikationsdienste nach dem Telekommunikationsgesetz (TKG) sind. Dass auch diese Begriffsbestimmung zukünftig Abgrenzungsprobleme aufwirft, ist zu erwarten. Es ist ohnehin fraglich, ob eine saubere begriffliche Trennung der häufig in Mischformen - bekanntestes Beispiel ist wohl die Internet-Telefonie (Voice over IP - VoIP) - auftretenden Dienste bzw. Medien gelingen kann. Außer Frage steht jedoch, dass beispielsweise sog. Internet-Shops, kommerzielle und nicht kommerzielle Internet-Spiele wie beispielsweise Second Life, Diskussionsforen, Dokumentensafes oder E-Mail-Services wie etwa der organisierte Versand eines Newsletters Telemedien sind. Aber auch ein Gästebuch innerhalb eines Internet-Portals ist ein Telemedium, wie ein Fall aus dem Berichtszeitraum kurz nach Inkrafttreten des Gesetzes zeigte:

Eine Gemeinde im Land hatte ihr Internet-Angebot aufgefrischt und dabei auch die Funktion eines elektronischen Gästebuchs realisiert. Nunmehr kann sich jeder, der über einen Zugang zum Internet verfügt, in dem Gästebuch verewigen. Dies hat eine Bürgerin der Gemeinde auch gleich gemacht und gleichzeitig darauf hingewiesen, dass in der Link-Sammlung des Internet-Portals ein Link auf eine Einrichtung der Gemeinde, in der sie mitwirkte, fehle. Eine Mitarbeiterin der Gemeinde antwortete über das Gästebuch und stellte dar, welche Voraussetzungen und Bedingungen erfüllt sein müssen, um in die Linksammlung des Internet-Portals der Gemeinde aufgenommen zu werden. Dieser Nachrichtenaustausch blieb geraume Zeit so im Gästebuch stehen. Nach Aussage der Petentin wandte sie sich nach mehreren Wochen an den Hauptamtsleiter und bat um Löschung ihres Gästebucheintrags. Dieses Anliegen wurde jedoch vom Hauptamtsleiter abgelehnt. Die Petentin sah sich in ihrem Recht auf informationelle Selbstbestimmung verletzt und schaltete uns ein.

Im vorliegenden Fall wurde die Sache durch die Anwendung alten und neuen Rechts zusätzlich verkompliziert. Die Frage, ob und wann im Rahmen von Telemedien erhobene Daten zu löschen sind, beantwortet jedenfalls das neue Telemediengesetz in § 13 Abs. 4 Nr. 1; danach hat ein Diensteanbieter durch technische und organisatorische Vorkehrungen sicherzustellen, dass ein Nutzer die Nutzung eines Dienstes jederzeit beenden kann. Der Anbieter muss hierfür technische oder organisatorische Vorkehrungen treffen, z. B. dadurch, dass der Nutzer im Rahmen der Telemedien durch Maus-Klick erklären kann, dass er den Dienst beenden will. Daraufhin muss der Anbieter die im Rahmen der Telemedien erhobenen personenbezogenen Daten löschen. Den nicht unwahrscheinlichen Fall, dass die personenbezogenen Daten bei einer Systemwiederherstellung nach einem Totalausfall wieder von einem Sicherungsmedium eingespielt werden, sollte die Konzeption des Dienstes berücksichtigen. Außerdem ist eindeutig geregelt, dass der Anbieter nach Beendigung der Telemedien alle angefallenen personenbezogenen Daten über den Ablauf des Zugriffs (also auch Protokollierungsdaten) löschen muss, sofern die Daten nicht für Zwecke der Abrechnung gebraucht werden. Wenn der Anbieter keine technischen Vorkehrungen zur Beendigung des Teledienstes trifft, muss er organisatorische Vorkehrungen ergreifen. Beispielsweise muss er dem Nutzer eröffnen, mit ihm in Kontakt treten zu können. Hierzu sind innerhalb der Telemedien für den Nutzer erkennbar die E-Mail-Adresse oder eine Telefon- bzw. Telefax-Nummer anzugeben.

Im vorliegenden Fall war keine technische Vorkehrung zur Löschung der personenbezogenen Daten getroffen worden, weshalb die Petentin den Leiter des Hauptamts um Löschung ihrer Daten gebeten hatte. Auf die Frage, welche Hinderungsgründe der Löschung entgegenstehen, antwortete die Gemeinde, dass der Eintrag in das Gästebuch freiwillig vorgenommen worden sei; insbesondere habe die Petentin freiwillig ihren Vor- und Familiennamen eingetragen. Insofern sei aus Sicht der Gemeinde davon auszugehen, dass die Petentin mit der Nennung einverstanden war. Anscheinend war man bei der Gemeinde in Verkennung der Rechtslage der Auffassung, dass mit dem Eintrag in das Gästebuch die Daten in das "Eigentum" der Gemeinde übergingen und die Petentin hinsichtlich der Verarbeitung ihrer personenbezogenen Daten keine Rechte mehr habe. Auch der Hinweis der Gemeinde auf die Löschungsregel in § 23 LDSG war nicht zielführend, denn das Landesdatenschutzgesetz ist bei Telemedien nicht einschlägig. Hierüber und über die anzuwendenden Vorschriften habe ich die Gemeinde aufgeklärt und sie gebeten, die personenbezogenen Daten der Petentin umgehend zu löschen. Das hat die Gemeinde allerdings zunächst nicht getan, sondern erklärt, die personenbezogenen Daten stünden im Zusammenhang mit dem Verwaltungshandeln der Gemeinde und könnten deshalb aus Gründen der Dokumentation nicht gelöscht werden. Dieser Auffassung war schon deshalb nicht zu folgen, weil es sich beim Telemediengesetz um Bundesrecht handelt, das Landesrecht bricht. Mit dem Hinweis, gegebenenfalls eine Beanstandung aussprechen zu müssen, habe ich die Gemeinde schließlich doch dazu bewegen können, die personenbezogenen Daten der Petentin zu löschen.

Soweit zur Beendigung eines Teledienstes durch den Nutzer. Der Anbieter selbst hat natürlich auch das Recht, die Nutzung der von ihm angebotenen Telemedien einseitig zu beenden. Da eine zeitliche Beschränkung nicht vorgegeben ist, muss er das aber nicht tun. Wer sich also in einem Gästebuch "verewigt", muss damit rechnen, dass er dies im wahrsten Sinn des Wortes tut. Es sei denn, er wird von sich aus aktiv.

Regelmäßig weisen nicht nur Datenschützer darauf hin, dass jeder, der sich im Internet bewegt, Spuren hinterlässt. Zumindest bei Telemedien, die in Deutschland angeboten werden, haben die Nutzer ein Recht auf Löschung ihrer im Zusammenhang mit der Nutzung gespeicherten personenbezogenen Daten. Die Zahl der angebotenen Telemedien steigt nach wie vor rasant. Für jeden Nutzer wird daher eine wachsende Herausforderung darin bestehen, den Überblick zu behalten, wo personenbezogene Daten über ihn gespeichert sind. Gleichzeitig sollten die Nutzer bedenken, welche Kommunikation sie mit welchen Telemedien abwickeln. Im vorliegenden Fall wäre der Nachrichtenaustausch mit E-Mail vermutlich die datensparsamere Alternative gewesen.

 

8. Meldebehörden unter falschem Verdacht

Adressdaten, möglichst garniert mit weiteren personenbezogenen Daten der Betroffenen, sind ein gefundenes Fressen für Marketingspezialisten jeder Couleur. Insofern ist kaum nachvollziehbar, warum immer noch viele Bürger an in Bahnhofshallen abgehaltenen Traumauto-Lotterien teilnehmen, deren Hauptzweck weniger in einer Preisverleihung als vielmehr im Sammeln von Adressdaten besteht. Welche Auswüchse sich hierbei ergeben können, wurde uns durch den Brief einer Petentin vor Augen geführt. Sie hatte einen Brief von einer ihr unbekannten Person erhalten, in dem diese ihr Folgendes mit blumigen Worten eröffnete:

Sie sei wie sie am 30. Mai 1965 geboren. Da es ihr Wunsch sei, ihren Geburtstag mit Leuten zu feiern, die am gleichen Tag desselben Jahres wie sie geboren wurden, wolle sie eine Geburtstagsparty organisieren und habe zu diesem Zweck eine Liste mit potenziellen Teilnehmern erstellt. Sie sei sich zwar der datenschutzrechtlichen Problematik bewusst, aber die Liste habe nur den Zweck, die Geburtstagsparty zu organisieren. Über eine Rückmeldung würde sie sich freuen.

Dem Schreiben beigelegt war eine Liste mit 40 verschiedenen Einträgen, bestehend jeweils u. a. aus Name, Vorname, Geburtsname, Geburtsdatum, Postleitzahl, Ort, Straße und Hausnummer. Die Petentin äußerte nun den Verdacht, dass es sich bei der Liste um Daten aus Melderegistern handeln könnte und bat um eine datenschutzrechtliche Prüfung.

In diesem Zusammenhang ist erklärungsbedürftig, warum eine Befragung des Absenders für uns nicht in Frage kam. Nach dem Landesdatenschutzgesetz beschränkt sich meine Kontrollzuständigkeit auf Behörden und die sonstigen öffentlichen Stellen im Land. Im Rahmen von datenschutzrechtlichen Prüfungen kann ich daher nur öffentliche Stellen anhören. Die Befragung von Privatpersonen kommt nicht in Betracht.

Mangels anderer Anhaltspunkte war die Kontrolle einer Stadt, in der einige der angeschriebenen Personen lebten, die einzige Option für eine Prüfung. Ich beauftragte deshalb zwei Mitarbeiter, bei der Stadt eine Kontrolle des Melderegisters gemäß § 28 LDSG durchzuführen; dabei wurde Folgendes festgestellt:

  • Für die Verwaltung des Melderegisters nutzt die Stadt das Verfahren LEWIS. Es handelt sich hierbei um ein Großrechnerverfahren, das vom Zweckverband Kommunale Informationsverarbeitung Reutlingen/Ulm (KIRU) betrieben wird. Beim Bürgeramt der Stadt haben 23 Mitarbeiter Zugriff auf die Anwendung. Die Mitarbeiter können in der Anwendung nur auf die Daten des Melderegisters der Stadt zugreifen. Auf Daten aus Melderegistern anderer Gemeinden besteht keine Zugriffsmöglichkeit. Dies wird durch eine verfahrensinterne Berechtigungsverwaltung gewährleistet.
  • Eine Aufstellung aller in der Stadt jemals gemeldeten Personen, die am 30. Mai 1965 geboren wurden, umfasste 22 Personen. Am Tag der Kontrolle waren acht Personen, die an besagtem Datum geboren wurden, in der Stadt gemeldet. Vier Einträge der Liste waren fehlerhaft oder nicht aktuell. Bei zwei Einträgen war ein falscher Geburtsname eingetragen. Eine Person hat 2005 wieder ihren Geburtsnamen angenommen; in der Liste war hingegen noch der frühere Name aufgeführt. Eine Person war 2006 innerhalb der Stadt umgezogen; die Liste enthielt hingegen noch die alte Anschrift.

Auf Grund dieser Ergebnisse kamen wir zu dem Schluss, dass die Liste nicht von Mitarbeitern des Bürgeramts der Stadt erstellt worden sein kann. Denn neben den fünf Einträgen, deren Adresse in der Stadt lag, gab es eben weitere 35 Einträge, deren Anschriften sich in anderen Gemeinden befanden. Und darauf haben die Mitarbeiter des Bürgerbüros keinen Zugriff. Ebenso deuteten die fehlerhaften Einträge darauf hin, dass die Liste nicht aus Daten des Melderegisters der Stadt generiert wurde. Eine Vielzahl sowohl historisch als auch aktuell in dieser Stadt gemeldeter Personen war in der Liste nicht aufgeführt, was ein weiteres Indiz dafür ist, dass die Datenquelle für die Liste nicht das Melderegister der Stadt war.

Da der Zweckverband KIRU das Verfahren LEWIS für viele Gemeinden als Auftragsdatenverarbeiter betreibt, konnte nicht ausgeschlossen werden, dass die Liste dort erstellt wurde. Wir haben deshalb die Stadt bei einer Kontrolle des Zweckverbands begleitet. Dabei haben sich folgende Erkenntnisse ergeben:

  • Der Zweckverband KIRU betreibt das Verfahren LEWIS gemeinsam mit dem Zweckverband Kommunale Datenverarbeitung Region Stuttgart (KDRS). Die Daten sind auf einem Großrechner gespeichert, der sich in Stuttgart befindet. Der Zweckverband KDRS bietet seinerseits den Betrieb des Verfahrens den Gemeinden der Region Stuttgart an.
     
  • Beim Zweckverband KIRU gibt es für die Anwendungsbetreuung von LEWIS 7,5 Mitarbeiterstellen. Für die Betreuung ist es fachlich erforderlich, dass die Mitarbeiter auf die Melderegister der Gemeinden zugreifen können, die ihre Meldedaten im Auftrag bei dem Verband verarbeiten lassen. Beim Zweckverband KDRS sind drei Mitarbeiter mit dem Datenbankmanagement betraut. Im Rahmen dieser Aufgabe können sie, sofern sie über ausreichende Kenntnisse des Aufbaus der Datenbank verfügen, auf der Ebene des Datenbankmanagementsystems auf die in Melderegistern gespeicherten personenbezogenen Daten zugreifen.
     
  • Der Abruf im Melderegister ist den Mitarbeitern des KIRU/KDRS nur hinsichtlich der Gemeinden möglich, für die sie Auftragsdatenverarbeiter sind. Daten aus Melderegistern anderer Gemeinden können die Mitarbeiter des KIRU/KDRS nicht abrufen. Das wird durch das Berechtigungssystem gewährleistet.
     
  • Wenn ein Bürger den Wohnort wechselt, wird im Melderegister der Wegzugsgemeinde die neue Wohnung gespeichert. Insbesondere ein Eintrag in der Liste war insofern bemerkenswert. Die Person hatte früher ihren Wohnsitz in Baden-Württemberg. Bei ihrem Wegzug gab sie eine Anschrift an, die sich in einem außereuropäischen Land befand. Diese Anschrift stimmte nicht mit der in der Liste aufgeführten Anschrift überein. Die in der Liste gefundene Anschrift war im Melderegister nicht gespeichert. Daher war davon auszugehen, dass dieser Eintrag der Liste nicht aus einem Melderegister herrührt.

Zusammenfassend kamen wir zu dem Schluss, dass mit an Sicherheit grenzender Wahrscheinlichkeit Melderegister nicht als Datenquelle für die Liste in Betracht kamen. So bleibt als mutmaßlicher Urheber das eingangs genannte Phänomen: Auch im privaten Bereich verfügen Adresshändler und andere Unternehmen sowie sonstige Organisationen über umfangreiche Datensammlungen, aus denen im vorliegenden Fall vermutlich Listen von potenziellen Partygästen erstellt worden waren.

 

nach oben