Hinweise des
Landesbeauftragten für den Datenschutz Baden-Württemberg
zur

- Stand: 9. Juli 2008 -

Bislang bewahren öffentliche Stellen die Dokumente, die sie zur Erfüllung ihrer laufenden Aufgaben vorhalten müssen, vorwiegend noch in Papierform auf, und zwar vielfach auch dann, wenn sie die entsprechenden Vorgänge elektronisch bearbeitet haben. Immer mehr öffentliche Stellen streben jedoch eine ausschließlich digitale Aufbewahrung an, und zwar nicht zuletzt auch deshalb, weil sie dafür wesentlich weniger Lagerraum benötigen. Die Beschaffung und der Betrieb des EDV-Systems für die digitale Dokumentenaufbewahrung müssen stets auch den Anforderungen des Datenschutzes Rechnung tragen. Dabei sind folgende Punkte besonders zu beachten:

• Zugriffsmöglichkeiten beschränken

Werden Vorgänge in digitaler Form auf optischen (z. B. CD-ROM) oder elektromagnetischen Datenträgern (z. B. Festplatte) gespeichert, so sind dabei
• die Zahl der zugriffsberechtigten Mitarbeiter,
• die Dokumente, auf die ein Mitarbeiter zugreifen kann und
• die Auskunfts- und Bearbeitungsfunktionen, die ein Mitarbeiter nutzen kann,
so zu beschränken, dass nur möglichst wenige Personen Zugriffsmöglichkeiten auf die Daten erhalten und jeder zugriffsberechtigte Mitarbeiter nur auf die Daten und Funktionen zugreifen kann, die er für die Erfüllung seiner dienstlichen Aufgaben benötigt.

• Revisionssicherheit gewährleisten

Die Aufbewahrung von Dokumenten dient unter anderem dem Ziel, bei Bedarf später jederzeit den genauen Ablauf einzelner Vorgänge nachvollziehen zu können. Besondere Bedeutung hat dabei, dass die aufbewahrten Dokumente nicht unerkannt verändert werden können. Technisch lässt sich diese Revisionssicherheit beispielsweise dadurch gewährleisten, dass sie digital signiert werden. Dann lässt sich beim Aufruf eines Dokuments feststellen, ob unberechtigte Änderungen daran vorgenommen wurden. Um darüber hinaus sicherzustellen, dass Dokumente nicht unerkannt aus dem System zur Dokumentenaufbewahrung entfernt werden, kann zusätzlich auch das Verzeichnis aller Dokumente digital signiert werden. Schutz vor unberechtigten Änderungen kann auch die Speicherung auf einem physikalisch nur einmal beschreibbaren optischen Datenträger (CD-ROM) bieten. In diesem Fall ist außerdem dafür zu sorgen, dass nur möglichst wenige Mitarbeiter Zugriff auf die Datenträger erhalten und Datenträger nicht unbemerkt gegen solche mit verändertem Inhalt ausgetauscht werden können.

Um die Revisionssicherheit zu gewährleisten, ist zudem ein Backup-Konzept zu realisieren, das die Verfügbarkeit der Daten auch nach einem Defekt des zur Aufbewahrung verwendeten Datenträgers gewährleistet.

• Passgenaue Löschfunktionen bereitstellen

Dokumente, die über die von einer öffentlichen Stelle bearbeiteten Vorgänge Auskunft geben, dürfen nicht ewig aufbewahrt werden, sondern grundsätzlich nur so lange, wie sie für die Aufgabenerfüllung erforderlich sind. Ein System zur Dokumentenaufbewahrung muss daher Löschfunktionen bieten, mit deren Hilfe alle Vorgänge unverzüglich gelöscht werden können, deren Aufbewahrungsfristen erreicht sind. Unter Löschen ist im Sinne der Datenschutzgesetze stets das "Unkenntlichmachen" der Daten zu verstehen. Diese Anforderung schränkt die Möglichkeiten des Einsatzes nur einmal beschreibbarer Datenträger, z. B. CD-ROM, ein, denn dort können, nachdem die Daten einmal erfasst wurden, Dokumente nicht mehr verändert, also auch nicht unkenntlich gemacht werden. Wird eine CD-ROM oder ein anderer, nur einmal beschreibbarer Datenträger eingesetzt, so genügt es zur Löschung nicht, an Stelle des Dokuments lediglich den Verweis auf dieses Dokument zu löschen, der auf einem mehrfach beschreibbaren Datenträger (z. B. auf einer Festplatte) gespeichert ist, denn auch nach Entfernen eines Verweises ist das Dokument weiterhin im EDV-System zur Dokumentenaufbewahrung gespeichert und der Verweis darauf lässt sich immer wieder rekonstruieren. Will man gleichwohl auf den Einsatz solcher Datenträger nicht verzichten, so muss jedes Mal, wenn eine Löschung ansteht, ein neuer Datenträger angelegt werden, auf den nur noch die weiterhin zu speichernden Datensätze kopiert werden. Der alte Datenträger ist anschließend physisch zu vernichten. Diese Variante bietet sich allerdings nur dann an, wenn die Löschläufe nur relativ selten, also z. B. einmal im Monat, durchgeführt werden müssen.

• Auskunftsrechte bei der Gestaltung des EDV-Systems berücksichtigen

Bürgerinnen und Bürger haben - so sehen es das Landes- und das Bundesdatenschutzgesetz vor - einen Anspruch auf Auskunft über die Daten, die über sie gespeichert sind. Dieser Auskunftsanspruch erstreckt sich auch auf Daten, die in dem EDV-System zur Dokumentenaufbewahrung gespeichert sind. Wer ein solches System einrichtet, sollte daher darauf achten, dass es ihn auch bei derartigen Auskünften unterstützen kann. Dazu sollte das System zumindest eine Suchfunktion bieten, mit deren Hilfe alle gespeicherten Vorgänge nachgewiesen werden können, in denen der Name einer Bürgerin oder eines Bürgers genannt wird. Die entsprechende Suchfunktion darf - da mit ihr auf personenbezogene Daten zugegriffen werden kann - nur denjenigen Bediensteten zur Verfügung gestellt werden, die mit der Erteilung der in den Datenschutzgesetzen vorgesehenen Auskünfte betraut wurden.