17. Tätigkeitsbericht (1995)


6.

Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung

6.1

Datenschutzverordnung in Kraft getreten - Schleswig-Holstein setzt Maßstäbe

In der neuen Datenschutzverordnung werden erstmals "Grundsätze ordnungsgemäßer Datenverarbeitung" formuliert. Für die Praktiker enthält sie konkrete Handlungsanweisungen.

Wir hatten bei der Landesregierung mehrfach die Fertigstellung der nach dem LDSG zu erlassenden Rechtsverordnung angemahnt (vgl. 15. TB Tz. 6.2, 16. TB Tz. 6.2). Zur Erinnerung: Der Gesetzgeber hat im Oktober 1991 in § 7 Abs. 4 LDSG bestimmt, daß die Landesregierung "durch Verordnung die Einzelheiten einer ordnungsgemäßen automatisierten Datenverarbeitung durch öffentliche Stellen" zu regeln hat. Dabei sollte sie "insbesondere die im LDSG genannten Datensicherheitsmaßnahmen nach dem Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen fortschreiben und Anforderungen an Verfahren sowie die Dokumentation und deren Aufbewahrungsfristen" festlegen.

Das Ergebnis dieses Auftrages ist nunmehr mit der "Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO -)" vom 12.09.1994 (GVOBl Schl.-H. S. 473) vorgelegt worden. Obwohl nicht alle Regelungsvorschläge, die wir der Landesregierung unterbreitet hatten, berücksichtigt worden sind, haben wir dieser Verordnung unsere Zustimmung nicht versagt. Wir haben uns dabei auch von der Überlegung leiten lassen, daß es sich hierbei bislang um ein Unikat handelt. Schleswig-Holstein hat insoweit bundesweit eine anerkennenswerte Vorreiterrolle übernommen und "verordnungsgeberisches" Neuland betreten.

Das der Datenschutzverordnung zugrundeliegende Konzept läßt sich wie folgt charakterisieren:

- Einheitliche Regelungen für alle Behörden

Die Verordnung ist gleichermaßen verbindlich für Landes- und Kommunalbehörden wie auch für alle sonstigen öffentlichen Stellen, soweit sie der Landesaufsicht unterliegen, da sie an den Geltungsbereich des LDSG anknüpft. Dies führt zu einer Vereinheitlichung der (bisher in Form von divergierenden Verwaltungsanweisungen) bestehenden Regelungen zur Ordnungsmäßigkeit der Datenverarbeitung.

- Schaffung von "Grundsätzen ordnungsgemäßer Datenverarbeitung" in Form von Mindestanforderungen

Durch die Verordnung werden Mindestanforderungen an die Gestaltung und Durchführung automatisierter Verwaltungsabläufe definiert, deren Unterschreiten grundsätzlich nicht akzeptabel ist, weil damit in der Regel neben Sicherheits- auch Rechtsprobleme verbunden wären (z.B. Gefahr unzulässiger Datenerhebungen bzw. Datenübermittlungen).

- Orientierung an dem Standard, der bei "professionellen" Datenverarbeitern bereits jetzt erreicht ist

Es werden den Behörden keine Auflagen gemacht, die nicht bereits von vielen datenverarbeitenden Stellen erfüllt wurden, bevor die Verordnung in Kraft getreten ist.

- Stärkung der Position der Sicherheitsverantwortlichen gegenüber den "Geldgebern"

Der durch die Verordnung vorgegebene Mindeststandard setzt den immer wieder festzustellenden Versuchen Grenzen, bei anstehenden IT-Investitionen die Gewichte zu Lasten der Datensicherheit und Revisionsfähigkeit der Datenverarbeitung in Richtung der Maxime "lieber billigere und dafür mehr IT-Arbeitsplätze" zu verschieben.

- Trennung zwischen den Verantwortungsbereichen der IT-Stellen und den Verfahrensbenutzern

Die Entwicklung und Administration von automatisierten Verfahren wird als eine Dienstleistung angesehen, die gegenüber den Benutzern (Fachabteilungen) erbracht wird und die unabhängig ist von den eigentlichen Verwaltungsverfahren (z.B. Erlaß eines Verwaltungsaktes). Obligatorisch ist daher eine zumindest logische - in der Regel auch eine organisatorische - Abgrenzung der jeweiligen Verantwortungsbereiche zueinander.

- Verzicht auf Formvorschriften, statt dessen Definition von Zielvorgaben

Der Vielgestaltigkeit der Aufgabenstellungen und der Verwaltungsabläufe in Behörden wird dadurch Rechnung getragen, daß keine bestimmten Darstellungsformen (z.B. für die Dokumentation oder Sicherheitskonzepte) vorgeschrieben werden. Die Regelungen orientieren sich am Ergebnis und fordern ansonsten "nur" die Nachvollziehbarkeit durch sachkundige Dritte.

Als wesentliche Regelungsinhalte sind zu nennen:

- Definition des Begriffs "ordnungsgemäß"

Die Behörden können nur dann für sich in Anspruch nehmen, personenbezogene Daten in einem automatisierten Verfahren ordnungsgemäß zu verarbeiten, wenn

  • die Datenverarbeitung in Übereinstimmung mit dem geltenden Recht erfolgt,

  • ein Sicherheitskonzept vorliegt,

  • die Programme und Verfahren dokumentiert sind,

  • ein Test durchgeführt wurde und

  • eine Freigabe erteilt worden ist.

- Definition der Begriffe "Programm" und "Verfahren"

Um das Sprachbabylon auf diesem Gebiet zu beenden, wird festgelegt, daß als Programme alle Arbeitsanweisungen (Software) an informationstechnische Geräte (Hardware) anzusehen sind. Die Funktionsweise, die Herkunft, die Programmiersprache spielen also keine Rolle. Es kommt nur auf die Tatsache an, daß die Anweisungen Einfluß auf das Ergebnis der maschinellen Verarbeitung haben können. "Automatisierte Verfahren" sind nicht nur die Summe mehrerer Programme, sondern die gesamten Arbeitsabläufe mit Hilfe automatisierter Datenverarbeitung. Sie umfassen also Hardware, Software und Orgware.

- Pflicht zur Erstellung einer nachvollziehbaren Dokumentation

Die Verordnung legt fest, daß die Dokumentation eines automatisierten Verfahrens mindestens eine Beschreibung

  • der jeweiligen Aufgaben,

  • des Verfahrensablaufs einschließlich der Darstellung der eingesetzten Programme und

  • des Programm- und Verfahrenstests

enthalten muß. Diese Dokumentation ist nach jeder Änderung von Programmen oder Verfahrensabläufen fortzuschreiben. Sie muß so gestaltet sein, daß sie für sachkundige, nicht am automatisierten Verfahren beteiligte Personen nachvollziehbar ist.

- Festlegung der Aufbewahrungsvorschriften für die Dokumentation

Es werden drei Fallgruppen unterschieden:

  • Verfahren, bei denen die Ergebnisse der maschinellen Verarbeitung vollständig in Papierform vorliegen: Die Unterlagen sind mindestens solange aufzubewahren, wie mit den betreffenden Programmen auf die Daten zugegriffen werden kann.

  • Verfahren, die Datenbestände erzeugen, die ausschließlich in automatisierten Dateien abgelegt werden: Die Aufbewahrungspflicht für die Dokumentation besteht bis zum Zeitpunkt der Löschung (oder des Ausdrucks) der Daten.

  • Verfahren, mit denen Daten an andere Stellen übermittelt werden: Die Mindestaufbewahrungsdauer ist auf sechs Jahre festgelegt. Das gilt nicht, wenn die übermittelten Daten (beim Absender) "in lesbarer Form vorhanden sind".

- Sonderregelung für die Dokumentation von Fremdsoftware

Die Dokumentationspflicht bezieht sich nicht auf Software, die die datenverarbeitende Stelle nicht selbst entwickelt, sondern an der sie nur Nutzungsrechte erworben hat. In der entsprechenden Regelung der Verordnung kommt der Grundsatz zum Tragen, daß die datenverarbeitenden Stellen nur diejenigen Elemente eines automatisierten Verfahrens zu dokumentieren haben, die sie selbst ändern können.

- Sicherheitskonzepte

Alle technischen und organisatorischen Sicherheitsmaßnahmen sind in Sicherheitskonzepten festzulegen. In ihnen sind die tatsächlichen örtlichen und personellen Gegebenheiten zu berücksichtigen. Außerdem ist festzulegen, in welchem Umfang Protokollierungen über die Nutzung der Verfahren (Übermittlungs-, Zugriffs-, Eingabekontrollen) vorzunehmen sind. Die Unterlagen enthalten somit die Sicherheitsvorgaben, deren Berücksichtigung bzw. Einhaltung im Rahmen der Freigaben und des praktischen Einsatzes der Verfahren zu überprüfen ist.

- Risikoanalysen

Werden personenbezogene Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen oder die sonst als besonders schutzwürdig gelten, automatisiert verarbeitet, ist neben der Darstellung der Sicherheitsmaßnahmen in einer Risikoanalyse zu beschreiben, welche Risiken aus welchen Gründen nicht oder nur zum Teil durch getroffene Schutzmaßnahmen ausgeschlossen werden können. Damit sind Sicherheitslücken nicht mehr nur Sache der Techniker. Die Verantwortung für die Risiken liegt bei der Leitung der datenverarbeitenden Stelle. Sie kann sich nicht auf Unwissenheit berufen, da die Risikoanalysen Teil der freigegebenen Verfahrensbeschreibung sind.

- Trennung zwischen der Administration und der Benutzung automatisierter Verfahren, Pflicht zur Kontrolle der Systembetreuer

Durch technische und organisatorische Maßnahmen ist sicherzustellen, daß verändernde Zugriffe auf Programme zur Systemsteuerung und auf freigegebene Anwendungsprogramme und Verfahren nur durch dazu ausdrücklich befugte Personen erfolgen können. Diese Systembetreuer sind durch weisungsbefugte Mitarbeiter oder deren Beauftragte zu kontrollieren. Diese Trennungs- und Überwachungspflicht gilt nicht für "persönliche", gleichwohl dienstliche IT-Geräte (z.B. PC eines Richters).

- Pflicht zur Dateiverschlüsselung

Dateien auf Datenträgern mobiler Geräte (Laptops, Notebooks und dergleichen), die von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten eingesetzt werden, sind zu verschlüsseln. Damit soll dem erhöhten Risiko einer unbefugten Kenntnisnahme von Daten nach einem Verlust der Geräte (z.B. durch Diebstahl) entgegengewirkt werden (vgl. 16. TB, Tz. 6.5).

- Pflicht zum Test und zur Freigabe

Die in einem automatisierten Verfahren eingesetzten Programme (soweit es sich nicht um Fremdsoftware handelt) sowie das gesamte Verfahren sind vor Aufnahme der Verarbeitung personenbezogener Daten daraufhin zu testen, ob die in den Vorgaben festgelegten Ergebnisse erzielt werden. Mit der anschließenden Freigabe übernimmt die datenverarbeitende Stelle die Verantwortung für die Ordnungsmäßigkeit des Verfahrens.

- Übergangsregelungen

Die Verordnung ist am 13.09.1994 in Kraft getreten. Bereits eingesetzte Verfahren müssen die in ihr festgelegten Anforderungen jedoch erst spätestens fünf Jahre nach dem Inkrafttreten erfüllen. Die Dokumentations-, Test- und Freigabepflichten gelten für Programm- und Verfahrensänderungen allerdings davon abweichend bereits ab April 1995.

Unsere Prüfungs- und Beratungsaktivitäten in den Bereichen "Datensicherheit" und "Ordnungsmäßigkeit der Datenverarbeitung" werden durch diese Verordnung auf eine neue Grundlage gestellt. Zwar enthält sie keine Regelungen, die nicht unseren bereits in der Vergangenheit erhobenen Forderungen entsprechen. Der in der öffentlichen Verwaltung für erforderlich und angemessen gehaltene Sicherheits- und Revisionsstandard ist jedoch nunmehr rechtsverbindlich festgeschrieben worden. Es muß von den datenverarbeitenden Stellen erwartet werden, daß sie in Zukunft weniger um einzelne Maßnahmen feilschen, sondern statt dessen handeln (vgl. hierzu z.B. Tz. 6.4).

Über die Erfahrungen mit dieser neuen Rechtsmaterie wird in den nächsten Jahren zu berichten sein.

6.2

Ergebnisse von Prüfungsmaßnahmen im Bereich der automatisierten Datenverarbeitung

6.2.1

Beanstandungen akzeptiert - Abhilfe auf die lange Bank geschoben (2. Aufl.)

Nach Kontrollen bei der Stadt Kiel und bei der Stadt Flensburg wurden Mängel eingeräumt und Abhilfe versprochen. Geschehen ist aber bis heute nicht allzuviel.

Erstmals in der nunmehr 17jährigen Praxis des Landesbeauftragten ist ein Sachverhalt im Tätigkeitsbericht genauso überschrieben wie im Jahr zuvor. "Beanstandungen akzeptiert - Abhilfe auf die lange Bank geschoben" hieß es bereits im Kapitel 6.6.2 des 16. Tätigkeitsberichtes. Die Wiederholung ist angezeigt, weil sich im laufe des letzten Jahres an dem dargestellten Problem nichts geändert hat.

Im Jahr 1992 haben wir bei der Landeshauptstadt Kiel eine datenschutzrechtliche Prüfung durchgeführt (vgl. 15. TB, Tz. 6.1.2). In einer Stellungnahme vom Mai 1993 wurden die Beanstandungen und Vorschläge zur Behebung der Mängel und zur Verbesserung des Datenschutzes von der Stadt weitgehend akzeptiert. Über die Zeitpunkte der Realisierung wurden jedoch keine konkreten Angaben gemacht. Das war nicht verwunderlich, denn es lagen noch nicht einmal die Äußerungen aller Fachämter vor. Eine weitere Stellungnahme vom Oktober 1993 wiederholte faktisch die Aussagen, die 5 Monate früher auch schon getroffen worden waren. Selbst persönliche Kontakte des Landesbeauftragten mit dem Oberbürgermeister hatten keinen Einfluß auf die offensichtliche Verzögerungstaktik einiger Fachämter wie Zitate aus einem Schreiben des Oberbürgermeisters vom September 1994 belegen:

  • Die Beantwortung bzw. Umsetzung ... verzögert sich durch einen Brandanschlag ...".

  • "Die Beantwortung ... verzögert sich aus personellen Gründen".

  • "Die Stellungnahmen ... werden im Oktober erwartet." (Anm.: Sie sind offensichtlich bisher nicht beim Oberbürgermeister eingegangen, jedenfalls sind wir noch nicht unterrichtet worden).

  • "Es werden ... Dienstanweisungen erstellt."

  • "Die Raumsituation konnte bisher nicht grundlegend verbessert werden."

  • "Als zentrales Problem steht ferner noch ... aus."

Was uns mit Sorge erfüllt, ist die Tatsache, daß sich die Abarbeitung unserer Beanstandungen aufgrund einer datenschutzrechtlichen Überprüfung im September 1993 bei der Stadt Flensburg (vgl. 16. TB, Tz. 6.6.3) möglicherweise ähnlich entwickelt.

In ihrer Stellungnahme vom April 1994 hat auch die Stadt Flensburg die festgestellten datenschutzrechtlichen Mängel und den sich daraus ergebenden Handlungsbedarf bestätigt. Weiterhin wurden eine Vielzahl von Absichtserklärungen abgegeben. Die Formulierungen gleichen denen der Stadt Kiel teilweise aufs Wort:

  • "Wir werden die erforderlichen Anweisungen und Regelungen jetzt neu festlegen."

  • "Wir werden jetzt damit beginnen ... ."

  • "Zu datenschutzrechtlichen Maßnahmen in den Fachämtern werden wir gesondert Stellung nehmen."

  • "Wir werden ... die sich daraus ergebenden Maßnahmen umsetzen."

  • "Wir bemühen uns, ... ."

  • "Wir stimmen mit Ihnen überein, daß der Zeitpunkt erreicht ist, formelle Grundlagen für eine Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen zu schaffen ... . Wir werden ein Konzept entwickeln ... ."

  • "Über die Umsetzung der aufgezeigten Maßnahmen werden wir Ihnen berichten."

Allerdings ist auch in diesem Fall bis zum Ende des Berichtszeitraums noch nichts Konkretes geschehen. Jedenfalls hat man uns nicht entsprechend unterrichtet.

Zwei Schlußfolgerungen gilt es aus diesen Gegebenheiten zu ziehen:

  • Unsere Prüfungsmaßnahmen sind, wie man so schön sagt, "für die Katz", wenn die geprüften Stellen uns in bezug auf die festgestellten Mängel Recht geben, es aber damit bewenden lassen.

  • Die betreffenden Behörden verarbeiten personenbezogene Daten in Kenntnis der Mißachtung bindender gesetzlicher Vorschriften und tun über einen längeren Zeitraum nichts, um diesen Zustand zu ändern.

Beides ist nicht hinnehmbar. Der Datenschutzgesetzgeber wird sich fragen müssen, ob in dem Landesdatenschutzgesetz für derartige Fälle nicht doch Sanktionen hätten vorgesehen werden müssen. Besonders bemerkenswert ist die zögerliche Haltung der Stadt Kiel aus zwei Gründen. Die Stadt hat die Absicht umfangreicher weiterer Automatisierungsvorhaben bekundet. Da sollte man erwarten können, daß zuvor die Verfahrensregeln in dem erforderlichen Maße geschaffen oder überarbeitet werden. Zum anderen möchte die Stadt ihre Verwaltung modernisieren, d.h. leistungsstärker und effizienter gestalten. Die bislang gezeigte Reaktion auf unsere Beanstandungen entspricht diesem Ideal noch in keiner Weise.

6.2.2

Kontrolle der Medizinischen Universität zu Lübeck abgeschlossen

Die Kontrolle der Datenverarbeitung im Klinikum der Medizinischen Universität zu Lübeck ergab Sicherheitsmängel und schwerwiegende Rechtsprobleme bei der Forschung mit Patientendaten.

Im 16. Tätigkeitsbericht (Tz. 6.6.4) ist darüber berichtet worden, daß im Herbst 1993 eine Prüfungsmaßnahme im Klinikum der Medizinischen Universität zu Lübeck (MUL) abgebrochen werden mußte, weil keine ausreichend prüffähigen Unterlagen über die installierten Datenverarbeitungsgeräte und die benutzte Software vorgelegt werden konnten. Deshalb wurden der MUL zunächst nur die Teilergebnisse der Prüfung mitgeteilt und sie zur Stellungnahme und Behebung der Mängel aufgefordert. Der überwiegende Teil der Beanstandungen und der Verbesserungsvorschläge wurden seitens der MUL akzeptiert und umfangreiche Absichtserklärungen abgegeben.

Der zweite Teil der Prüfung bezog sich auf die konkreten Datenverarbeitungsabläufe in sechs ausgewählten Kliniken und Instituten (von insgesamt über 40).

Dabei zeigte sich, daß die Ergebnisse der ersten Teilprüfung auch sechs Monate später noch keine wesentlichen Auswirkungen auf die Organisation, Absicherung und Überwachung der automatisierten Verarbeitung der Patientendaten gehabt haben. Positive Ansätze waren lediglich in zwei der überprüften Organisationseinheiten festzustellen.

Die einzelnen Beanstandungen lassen sich zu folgenden Schwerpunkten zusammenfassen:

  • Es stellt die MUL vor offenbar kaum zu lösende organisatorische Probleme, den tatsächlichen Einsatz der ca. 600 vernetzten und unvernetzten PC im Klinikum zu erfassen und zu ermitteln, auf welchen Geräten welche personenbezogenen Daten zu welchen Zwecken mit welchen Programmen verarbeitet werden. Ein dem Prüfer als authentisch übergebenes Geräteverzeichnis erwies sich als unvollständig und bereits während der Prüfung als überholt (6 Wochen nach der Erstellung des Verzeichnisses).

  • Die vorgelegten Dateibeschreibungen waren nach wie vor überwiegend falsch, unvollständig oder für Dritte inhaltlich nicht nachvollziehbar.

  • Die tatsächlich realisierten Datensicherungsmaßnahmen konnten insgesamt nicht als angemessen angesehen werden.

    • Es bestehen weder allgemeine noch (mit einer Ausnahme) klinikspezifische Sicherheitskonzepte.

    • Die Übernahme und weitere Nutzung von Daten aus Patientenakten in "Sekundärdatenbestände" (Dateien in PC) wird teilweise nicht wirksam überwacht.

    • PC und Datenträger sind in vielen Fällen unzureichend gegen eine unbefugte Entfernung aus dem Bereich des Klinikums gesichert.

    • Als unzulänglich ist auch die Sicherung der PC gegen unbefugte Nutzungen anzusehen.

    • Auf eine "Sicherung durch Anonymisierung" wurde vielfach verzichtet, obwohl dies ohne Einschränkung der Qualität der medizinischen Versorgung möglich wäre.

  • Im Zusammenhang mit der Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme ist noch immer nicht geklärt, wer im Innenverhältnis für die Überwachung der Einhaltung der gesetzlichen Vorgaben verantwortlich ist bzw. auf wen diese Überwachungsfunktionen delegiert sind.

  • Die Kontrollaufgaben der klinikinternen Datenschutzbeauftragten sind überwiegend gar nicht oder nur unvollständig definiert.

  • Für das Installieren von Computern und das Anlegen von Datenbeständen besteht in der Regel keine Genehmigungspflicht.

  • Die Nutzung von Patientenakten zum Aufbau von automatisierten Datenbeständen, die nicht unmittelbar der medizinischen Versorgung dienen, wird im allgemeinen nicht überwacht.

  • Viele Datenbestände unterliegen keiner effektiven Nutzungskontrolle. Das gilt in vielen Fällen auch für Patientenakten.

Die Zielrichtung der Prüfungsmaßnahme war ausgerichtet auf die Sicherheitsaspekte im Zusammenhang mit der personenbezogenen Datenverarbeitung. Bei den Erhebungen zur Sicherung von Datenbeständen, die im Rahmen der medizinischen Versorgung der Patienten angelegt worden sind, waren jedoch grundsätzliche rechtliche Problemstellungen bezüglich der Nutzung dieser Datenbestände zum Zwecke der Forschung und Lehre unübersehbar.

  • In einem signifikanten Umfang werden personenbezogene Daten, die im Rahmen der medizinischen Versorgung von Patienten erhoben worden sind, von Personen, die nicht an der Behandlung als Konsiliarärzte oder ärztliches Hilfspersonal beteiligt gewesen sind, später zu Forschungszwecken genutzt bzw. gelangen diesen Personen zur Kenntnis.

  • Nur in wenigen Fällen (gemessen an der Gesamtzahl) haben die Patienten hierzu ihre Einwilligung gegeben.

  • Auch wenn keine Einwilligungen erteilt worden sind, werden die Daten im weiteren Verlauf der Forschungsarbeiten gar nicht oder nur unzureichend anonymisiert.

  • Die Verfahrensweisen sind "gängig" und der Leitung des Klinikums und dem Rektorat der MUL offenbar bekannt.

  • Es werden zwar zwingende Notwendigkeiten für diese Verfahrensweisen geltend gemacht, Alternativen wurden jedoch offenbar nicht von allen Beteiligten eingehend untersucht und realisiert.

Die Rechtslage stellt sich wie folgt dar:

  • § 4 der Berufsordnung der Ärztekammer Schleswig-Holstein legt als vorrangiges bereichsspezifisches Recht zur Schweigepflicht der Ärzte u.a. fest: "Zum Zwecke der wissenschaftlichen Forschung und Lehre dürfen die der Schweigepflicht unterliegenden Tatsachen und Befunde nur soweit mitgeteilt werden, als dabei die Anonymität des Patienten gesichert ist oder dieser ausdrücklich zustimmt".

  • Das Landesdatenschutzgesetz läßt eine zweckändernde Nutzung von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ohne Einwilligung Betroffener nur zu, wenn eine Rechtsvorschrift dies erlaubt oder im Einzelfall zwingend voraussetzt.

  • § 203 Strafgesetzbuch stellt denjenigen unter Strafe, der als Arzt ... unbefugt ein fremdes Geheimnis ... offenbart.

Ohne näher auf die strafrechtlichen Aspekte einzugehen, haben wir die Verfahrensweise aus datenschutzrechtlichen Gründen beanstandet. Im Hinblick darauf, daß nach Aussage der befragten Ärzte der MUL in vergleichbaren Universitätskliniken gleich oder zumindest ähnlich verfahren wird, liegt hier offenbar ein Grundsatzproblem vor, zu dessen Lösung die Ministerin für Wissenschaft, Forschung und Kultur um ein Votum gebeten wurde.

In ihrer Stellungnahme hat die MUL die Beanstandungen akzeptiert. Zur Lösung der Probleme hat sie einen "externen" behördlichen Datenschutzbeauftragten bestellt. Man erhofft sich offenbar von diesem neutralen Fachmann die Durchschlagskraft, die erforderlich ist, um die widerstreitenden Interessen innerhalb des Klinikums unter einen datenschutzrechtlichen Hut zu bringen. Uns ist ein Aktivitäten- und Maßnahmenkatalog für 1995 vorgelegt worden. Er umfaßt 46 Positionen. Werden sie alle termingerecht umgesetzt, wird man dem vom Gesetzgeber geforderten Sicherheitsniveau ein gutes Stück näher gekommen sein. Wir werden den Fortgang dieser Arbeiten konstruktiv-kritisch begleiten.

6.2.3

Ein etwas anderes Prüfungsergebnis

Eine Kontrolle bei der Stadt Norderstedt hat ergeben, daß dort in weiten Bereichen vorbildliche Regelungen zum IT-Einsatz bestehen. An der konsequenten Umsetzung mangelte es in Teilbereichen.

Es kommt nicht eben häufig vor, daß von einer datenverarbeitenden Stelle zu Beginn einer Datenschutzkontrolle ganz selbstverständlich ein aktuelles EDV-Konzept, eine allgemeine Dienstanweisung für die elektronische Datenverarbeitung, eine spezielle Dienstanweisung über den Einsatz und die Nutzung von PC und eine vollständige Dokumentation über die Benutzer im PC-Netz und ihre Befugnisse präsentiert werden. Auch inhaltlich konnten die unserem Prüfer von der Stadt Norderstedt vorgelegten Unterlagen den datenschutzrechtlichen Anforderungen weitgehend genügen. Hierzu einige Beispiele:

  • Die Stadt geht richtigerweise davon aus, daß die Unterstützung der Verwaltungsarbeit durch Datenverarbeitungsverfahren "einen langen und schrittweisen Änderungsprozeß erfordert, der nicht nur geräte-, verkabelungs- und programmtechnisch vollzogen werden muß, sondern auch mit Änderungen im Aufbau und im Ablauf der Verwaltung verbunden ist".

  • Sie will den Weg zur technikunterstützten Informationsverarbeitung sowohl auf der Ebene der Endgeräte als auch auf der Ebene der Anwendungen und der Ebene der Vernetzung vollziehen.

  • Vor der Einführung und Änderung von EDV-Verfahren in einem Fachamt wird unter Beteiligung einer Arbeitsgruppe "Automation" durch die Organisationsabteilung die Zweckmäßigkeit des EDV-Einsatzes geprüft.

  • Neue EDV-Verfahren sind vom jeweiligen Fachamt zu prüfen und freizugeben. Die Form der Überprüfung und das Ergebnis sind schriftlich festzuhalten und dem Hauptamt und dem Rechnungsprüfungsamt mitzuteilen.

  • Die "Einrichtung" von Benutzern und die Festlegung ihrer Rechte erfolgt zwar durch die EDV-Abteilung. Die Personen und ihre Befugnisse werden aber durch die jeweiligen Fachämter bestimmt.

  • Die Mitarbeiter, die EDV-Anlagen und EDV-Verfahren nutzen dürfen, erhalten zu Beginn ihrer Tätigkeit ein persönliches Kennwort.

  • Es dürfen nur solche Daten erfaßt werden, die in der entsprechenden Dateibeschreibung genannt sind. Nach dem Anlegen neuer Dateien ist das Rechnungsprüfungsamt zwecks Meldung der Datei an den Landesdatenschutzbeauftragten zu informieren.

  • Die Bedienung der zentralen EDV-Anlage erfolgt ausschließlich durch die Systemkoordinatoren. Die Bedienungsvorgänge sind zu protokollieren. Der Zutritt zum EDV-Raum ist nur befugten Mitarbeitern gestattet.

  • Die Zuständigkeit zwischen der EDV-Abteilung im Hauptamt und den Fachämtern bezüglich der Datensicherung ist durch eine abschließende Aufzählung eindeutig abgegrenzt.

  • Die Beschaffung von EDV-Programmen für PC darf nicht ohne Beteiligung der Arbeitsgruppe "Automation" erfolgen. Die Erstellung eigener Software für PC durch Mitarbeiter der Stadt ist grundsätzlich untersagt.

  • PC sind nach Möglichkeit in ein Netzwerk einzubinden, um die Zugriffsmöglichkeiten auf Datenbestände zu beschränken und Datensicherung besser zu gewährleisten.

Diese Vorgaben entsprechen also im wesentlichen den Regelungen in der neuen Datenschutzverordnung (vgl. Tz. 6.1). Trotzdem mußten auch gegenüber dieser geprüften Stelle Beanstandungen ausgesprochen werden. Es mangelte nämlich in einigen Bereichen an der konsequenten Umsetzung der Erkenntnisse und Absichten, die man selbst "für gut und richtig" hält, in die Praxis.

Die Ursachen lagen offensichtlich nicht in Unkenntnis, Fahrlässigkeit oder mangelndem Engagement der Mitarbeiter, sondern in "Kapazitätsgrenzen". Das machen folgende Zahlen deutlich. Es wurden von der Stadt zum Zeitpunkt der Prüfung

  • 8 Rechnersysteme mit über

  • 180 Endgeräten unter der Steuerung von

  • 4 verschiedenen Betriebssystemen zur Abwicklung von

  • 23 automatisierten Verfahren in

  • 29 (von insgesamt 34) Ämtern bzw. Abteilungen

eingesetzt.

Das Management für diese nicht gerade kleine "IT-Welt" sollte von nur einem Abteilungsleiter und zwei Sachbearbeitern bewältigt werden. Die Folge war, daß man wegen der "kurzen Personaldecke" notgedrungen nach der Devise arbeitete, "erst einmal den Betrieb aufrechterhalten und ausbauen - alles andere ist zweitrangig". So blieben Mängel in der Dokumentation, der Datensicherheit und hinsichtlich der Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme nicht aus.

Unsere Vorschläge zur Behebung der Mängel und zur Verbesserung des Datenschutzes wurden von der Stadt überwiegend akzeptiert. Bezüglich der Angemessenheit von konkreten Datensicherheitsmaßnahmen und der Wirksamkeit von Überwachungsfunktionen hat sie unserer Auffassung in einer ersten Stellungnahme widersprochen. Insoweit besteht also noch Erörterungsbedarf.

Ungeachtet dieser in Teilbereichen durchaus unterschiedlichen Beurteilung der festgestellten Sachverhalte und Kritikpunkte kann man der Stadt Norderstedt nur empfehlen, auf dem eingeschlagenen Weg weiterzumachen. Wenn es möglich ist, Hardware- und Softwareinvestitionen in Größenordnungen von mehreren hunderttausend Mark zu tätigen, müßte es auch möglich sein, so viel Geld in die "Brainware" (sprich: in Personal) zu investieren, daß die richtigen Vorsätze auch in die Tat umgesetzt werden können. Ein gut ausgebildeter und motivierter IT-Mitarbeiter bringt sicher eine höhere Produktivitätssteigerung als zehn zwar funktionierende, aber schlecht organisierte (gesicherte) Bildschirmarbeitsplätze (wegen der ähnlichen Problemstellung vgl. auch Tz. 6.2.4).

6.2.4

Technische und organisatorische Anforderungen an ein "Ministeriumsrechenzentrum"

Die Automatisierung der Datenverarbeitung in der Verwaltung bedarf gründlicher konzeptioneller, sicherheitstechnischer und organisatorischer Vorarbeiten. In der Praxis müssen die Regelungen auch tatsächlich eingehalten werden.

Anders als im kommunalen Bereich und für die sonstigen öffentlichen Stellen bestehen seit einigen Jahren für den Landesbereich recht detaillierte Verfahrensvorschriften für den Einsatz informationstechnischer Systeme (IT-Systeme). Es sind dies im wesentlichen

  • die IT-Richtlinien,

  • die IT-Planungsgrundsätze,

  • die IT-Verfahrensregelung und

  • das IT-Leitstellenkonzept.

Das IT-Leitstellenkonzept, das auf einem Beschluß der Staatssekretärskonferenz vom Juni 1987 beruht, haben die Ministerien ihre automatisierte Datenverarbeitung mittels sogenannter IT-Leitstellen zu organisieren. Die Aufgaben dieser neuen Organisationseinheiten sind:

  • Beratung der Benutzer von IT-Systemen,

  • Planung von IT-Anwendungen,

  • Programmentwicklung für dezentrale Fachanwendungen sowie Büroautomations- und Kommunikationslösungen auf Abteilungsrechnern und Arbeitsplatzendgeräten,

  • Beschaffung von Hard- und Software,

  • Betrieb der örtlichen IT-Systeme.

Dieses Aufgabenspektrum umfaßt prinzipiell die gleichen Geschäftsfelder, die auch die "große" Datenzentrale abdeckt. So lag es nahe, nach Abschluß der Prüfung bei der Datenzentrale (vgl. 16. TB, Tz. 6.6.1) durch eine Nachschau vor Ort festzustellen, wie in IT-Leitstellen die datenschutzrechtlichen Problemstellungen in bezug auf die Datensicherheit und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme gelöst worden sind. Kurz gesagt: Wie sind die neuen Dienstleistungseinheiten "Ministeriumsrechenzentrum" aufbau- und ablauforganisatorisch mit den auftraggebenden Fachabteilungen verknüpft worden. Hierfür ausgewählt wurde die IT-Leitstelle der Ministerin für Natur und Umwelt. Es ergaben sich folgende Erkenntnisse:

  • Von einem Referenten und zwei Sachbearbeitern werden fünf Rechnersysteme und ca. 70 Arbeitsplatzendgeräte unter der Steuerung von drei Betriebssystemen und ca. 20 Softwarepaketen bzw. automatisierten Verfahren betreut.

  • Aus nicht nachvollziehbaren Gründen ist ein Teilbereich der Datenverarbeitung im Ministerium für Natur und Umwelt mit 8 Terminals und 48 "Anwendungen" der Zuständigkeit der IT-Leitstelle entzogen.

  • Neben der Beachtung der vorgenannten allgemeinen Regelungen obliegt es der IT-Leitstelle, auch das spezielle IT-Konzept des Ministeriums für Natur und Umwelt aus dem Jahre 1991 umzusetzen.

  • Dieses Konzept enthält relativ konkrete grundsätzliche Anweisungen zu den Problembereichen: IT-Beauftragte in den Fachabteilungen, automatisierte Textbearbeitung, Schulung und Datenschutz.

  • Zum Thema Datenschutz ist darin z.B. folgendes ausgeführt: "Mit dem Ausbau des DV-Systems im Ministerium muß die Entwicklung eines Datenschutzkonzeptes verbunden sein. Hierzu ist es erforderlich, sukzessive für die Datenverarbeitung auf den Abteilungsrechnern und an den jeweiligen Arbeitsplätzen eine Risikoanalyse zu erstellen und darauf aufbauend ein angepaßtes Schutzkonzept zu entwickeln. Schwerpunktmäßig müssen noch in diesem Jahr (1991) die Arbeiten für ein Schutzkonzept für die Bereiche Texterstellung und -speicherung, Systemadministration Abteilungsrechner, Datenhaltung auf Abteilungsrechner (Datenbank) und PC im Netz begonnen werden".

Bezüglich der Umsetzung dieser Vorgaben in die Praxis waren Defizite jedoch nicht zu übersehen. Zum Zeitpunkt der Prüfung waren z.B. folgende Mängel festzustellen:

  • Nicht alle eingesetzten Verfahren waren dokumentiert.

  • Nicht in allen Fällen waren die Tests und die Freigabe durch die Fachabteilung erfolgt.

  • Ein Datenschutzkonzept lag noch nicht vor.

  • Das gleiche gilt für das Schulungskonzept.

  • Auch verfahrensspezifische Risikoanalysen und Schutzkonzepte sind nicht erstellt worden.

  • Mehrere, auch von der geprüften Stelle für erforderlich gehaltene ablauforganisatorische Regelungen waren noch nicht fertiggestellt.

  • Einerseits hat die IT-Leitstelle einen unbeschränkten und unkontrollierbaren Zugriff auf alle Datenbestände, andererseits hat sie keinen Einfluß auf die Datensicherungsmaßnahmen in den Fachabteilungen.

  • Aufträge der Fachabteilungen an die Leitstelle waren nicht immer schriftlich fixiert.

  • Die Leitstelle sah sich selbst personell nicht in der Lage, alle ihr auferlegten Weisungen und Vorgaben zu erfüllen.

Dieser Umstand hatte eine Reihe von datenschutzrechtlichen Beanstandungen zur Folge. Die Ministerin für Natur und Umwelt hat in einer ersten Stellungnahme die von uns gegebenen Empfehlungen begrüßt. Sie würden "sowohl der Abklärung der genauen praktischen Ausgestaltung von Datenschutzmaßnahmen als auch der Klärung von Verantwortlichkeiten, damit auch dem Schutz der in der IT-Leitstelle tätigen Personen" dienen. Im Laufe des Jahres 1994 seien bereits Maßnahmen zur Verbesserung der Situation ergriffen worden:

  • Die Datenzentrale werde künftig Systemaufgaben unterstützen.

  • Durch Umsetzung sei die Systemunterstützung personell verstärkt worden.

  • Im Vorgriff auf eine bereichsbezogene Sicherheitsrichtlinie seien für alle von der IT-Leitstelle betreuten PC konkrete Maßnahmen unter "Safe-Guard" realisiert worden.

  • Zum zentralen Rechnerraum sei eine Stahltür eingebaut und für die Aufbewahrung von Datenträgern ein Tresor beschafft worden.

Als allgemeine Erkenntnis läßt sich aus der Prüfung bereits jetzt folgendes ableiten:

  • Die Einbindung einer technikorientierten Dienstleistungseinrichtung in eine bis dahin papierorientierte Verwaltungsorganisation mit einer so heterogenen Aufgabenstellung wie die eines Ministeriums bedarf sehr gründlicher konzeptioneller, sicherheitstechnischer und organisatorischer Vorarbeiten.

  • Wenn zum Zweck der Koordinierung vom Innenministerium bzw. von der IT-Kommission ressortübergreifende, allgemeinverbindliche Vorgaben gemacht werden, so sollten diese erkennen lassen, welche Teile als Mindestanforderungen anzusehen sind und welche eher den Charakter von Empfehlungen haben. Die Aktualität dieses Regelwerkes spielt dabei eine besondere Rolle.

  • Ist eine bestimmte Vorgehensweise seitens der datenverarbeitenden Stelle für erforderlich und angemessen befunden worden, muß gewährleistet sein, daß diese Soll-Regelung auch in die Praxis umgesetzt wird. Abweichungen vom "rechten Weg" können nur von demjenigen genehmigt werden, der die Soll-Regelung in Kraft gesetzt hat. Alle anderen Abweichungen müssen als unzulässig angesehen werden.

  • Die Dienstleistungsfunktion und der Verantwortungsbereich der IT-Leitstelle muß eindeutig definiert sein. Sie darf sich den verfahrensverantwortlichen Fachabteilungen nicht als unkontrollierbare "black box" darstellen.

  • Die personelle Besetzung der IT-Leitstelle muß es ihr ermöglichen, die ihr übertragenen Aufgaben auch tatsächlich zu bewältigen. Es muß nicht nur ihr Recht, sondern ihre Pflicht sein, neue Aufgaben erst dann anzunehmen, wenn die bestehenden unter rechtlichen und sicherheitstechnischen Aspekten ordnungsgemäß abgewickelt sind.

  • Deshalb dürfen Sicherheitsrisiken, die aufgrund personeller oder finanzieller Engpässe entstehen, weder der "Spitze des Hauses" noch den Fachabteilungen verborgen bleiben. Sie haben im Gegenteil hierfür die Verantwortung zu übernehmen.

6.3

Mindestanforderungen an den Grundschutz für IT-Systeme

Eine Checkliste der IT-Kommission legt Mindestanforderungen für durchschnittliche Arbeitsplätze in der Verwaltung fest, an denen mit IT-Systemen gearbeitet wird.

In den vergangenen Jahren sind wir von den datenverarbeitenden Stellen immer wieder aufgefordert worden, die von uns bei Prüfungen benutzten Checklisten mit Kriterien für die Sicherheit von IT-Systemen zu veröffentlichen. Zur Begründung wurde angeführt, die Behörden hätten dadurch eine Richtschnur zur Beantwortung der Frage: "Haben wir genug in Datensicherheit investiert oder wird der Datenschutzbeauftragte bei einer Überprüfung Anlaß zu Beanstandungen haben?". Wir sind dem Drängen aus mehreren Gründen bisher nicht gefolgt:

  • Wir verfügen nicht über eine einheitliche und umfassende Checkliste, sondern "nur" über vielfältige Materialsammlungen, die bei der Vorbereitung von Prüfungen ausgewertet werden.

  • Es ist nicht möglich, alle denkbaren automatisierten Verfahren "über einen Leisten" zu schlagen. Die Gefahr, in dem einen Fall über das Ziel hinaus zu schießen, ist ebenso groß, wie das Risiko, in dem anderen Fall bei der Benutzung der gleichen Checkliste spezifische Sicherheitsrisiken nicht zu erfassen.

  • Nicht zuletzt erschien es uns auch nicht sinnvoll, für die datenverarbeitenden Stellen "berechenbar" zu werden.

Das Inkrafttreten der Datenschutzverordnung (vgl. Tz. 6.1) mit der bindenden Verpflichtung, für alle automatisierten Verfahren Sicherheitskonzepte zu entwickeln und umzusetzen, hat die Diskussion um Checklisten erneut angefacht. Ein "Entscheidungsträger" hat das Problem mit folgender Frage auf den Punkt gebracht: "Wenn meine EDV-Abteilung mir den Entwurf eines Sicherheitskonzeptes zur Entscheidung vorlegt, gegen welchen Maßstab soll ich ihn abgleichen? Die Gesetz- und Verordnungstexte sind viel zu abstrakt, um daraus abzuleiten, was im konkreten Fall "erforderlich und angemessen" ist".

Vor diesem Hintergrund haben wir dem Wunsch der IT-Kommission des Landes entsprochen, an der Entwicklung einer Checkliste mit dem Titel "Mindestanforderungen an den Grundschutz für Standard-IT-Systeme" mitzuwirken. Von besonderem Interesse war dabei, wie die beiden Begriffe "Grundschutz" und "Standard-IT-Systeme" definiert werden konnten, um eine große, aber nicht zu große Anwendungsbreite für dieses Arbeitsmittel zu erreichen.

Der Versuch scheint gelungen, weil folgende Rahmenbedingungen eingehalten worden sind:

  • Es wird ausgegangen von der Verarbeitung von Daten im Rahmen eines typischen Verwaltungsverfahrens. Gemeint ist also Verwaltungshandeln, das aktenmäßig zu dokumentieren ist und in der Regel in einen Verwaltungsakt einmündet, in dem zwar personenbezogene Daten verarbeitet werden, die Daten jedoch keinen besonderen Sicherheitsanforderungen unterliegen.

  • Für die Verarbeitung von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, für Verschlußsachen, Personalvorgänge oder Abläufe in den Sicherheitsbehörden ist in der Regel ein höherer Maßstab anzulegen als in der Checkliste definiert.

  • Die Checkliste ist anwendbar für Standard-Arbeitsplätze wie z.B. vernetzte und unvernetzte PC sowie für übergeordnete Systeme wie z.B. Abteilungsrechner und Server.

  • Gewährleistet werden soll

    • die Verfügbarkeit der Systeme (z.B. Schutz vor Diebstahl, Zerstörung, Ausfallzeiten, Verlust von Datenträgern),

    • die Integrität der Software und der Daten (z.B. Schutz vor vorsätzlicher oder fahrlässiger Verfälschung von Programmen, Manipulation von Dateien),

    • die Vertraulichkeit von Daten (z.B. Schutz vor unbefugte Kenntnisnahme von Dateiinhalten, Diebstahl von Datenträgern).

  • Die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung verfahrensspezifischer Pflichten (Mitbestimmung, Meldepflichten, spezielle datenschutzrechtliche Pflichten etc.) sowie die ergonomischen Erfordernisse können nicht mittels der Checkliste überprüft werden.

  • Die Positionen der Checkliste repräsentieren im einzelnen und in ihrer Gesamtheit Mindestanforderungen in dem Sinne, daß ein Begründungszwang ausgelöst wird, wenn im Einzelfall eine Anforderung nicht erfüllt wird.

  • Die Checkliste soll die IT-Verantwortlichen unterstützen, bei der Beschaffung von neuen IT-Systemen Mindestanforderungen zu formulieren. Sie kann auch bei bereits installierten Systemen zur qualitativen Überprüfung von realisierten Maßnahmen dienen.

  • Sie ist nicht primär unter datenschutzrechtlichen Aspekten entwickelt worden, sondern unter Berücksichtigung allgemeiner (teilweise weitergehender) Sicherheitsüberlegungen. Gleichwohl kann sie aber auch bei der Erstellung von datenschutzrechtlichen Sicherheitskonzepten behilflich sein.

Die Checkliste besteht aus nur ca. 30 Einzelpositionen. Das ist im Verhältnis zu anderen in der Fachliteratur veröffentlichten Konzepten dieser Art recht "dünn". Gleichwohl wären wir froh, den von der IT-Kommission definierten Standard bei unseren Prüfungen vor Ort regelmäßig vorzufinden. Die Anzahl der Beanstandungen wegen struktureller Sicherheitsmängel würde sich schlagartig reduzieren. Den Entscheidungsträgern in den Behörden ist diese Ausarbeitung deshalb als "Pflichtlektüre" zu empfehlen.

6.4

Sicherheitsvorkehrungen bei der Wartung von Computern

Die Dezentralisierung der Datenverarbeitung läßt den Markt für Fernwartung blühen. Behörden müssen beim Abschluß von Wartungsverträgen Schutzvorkehrungen treffen.

Durch die derzeitige Wandlung der EDV-Konzeptionen weg von der zentralisierten Verarbeitung in Rechenzentren (z.B. in der Datenzentrale) hin zu dezentralen Einzelplatzlösungen oder lokalen Netzwerken (Schlagwort: "Jeder Abteilung ihren Rechner") erhält die Problematik der Wartung dieser technischen Systeme durch Dienstleister aus datenschutzrechtlicher Sicht ein neues Gewicht. Die regelmäßigen (präventiven) Wartungszyklen zu festen Zeiten in großen Rechenzentren lassen sich technisch und organisatorisch leichter in den Griff bekommen, als die neuerdings übliche Ad-hoc-Wartung nach Eintritt von Defekten oder Softwarefehlern.

Außerdem ist festzustellen, daß viele Behörden noch nicht über hinreichende Erfahrungen bezüglich der Ausgestaltung von Wartungsverträgen verfügen, insbesondere wenn es sich um die Vereinbarung von Fernwartung handelt. Die einschlägigen datenschutzrechtlichen Bestimmungen legen folgende Anforderungen an die vertraglichen Vereinbarungen fest:

  • Auftragnehmer sind unter besonderer Berücksichtigung ihrer Eignung für die Gewährleistung der technischen und organisatorischen Sicherungsmaßnahmen sorgfältig auszuwählen.

  • Aufträge und ergänzende Weisungen sind schriftlich festzulegen.

  • Die erhöhten Anforderungen der Verarbeitung von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, sind zu beachten.

  • Es ist eine Verfahrensweise zu vereinbaren, die gewährleistet, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

  • Die Zulässigkeit von Unterauftragsverhältnissen und die Kontrollkompetenzen sind schriftlich festzulegen.

Dies alles ist für kleinere und mittlere Behörden nicht ganz einfach in die Praxis umzusetzen. Deshalb haben wir den datenverarbeitenden Stellen im Lande in einem 15-Punkte-Katalog, der im Amtsblatt (Amtsbl. Schl-H. 1994, S. 140) veröffentlicht worden ist, dargestellt, welche praktischen Konsequenzen sich aus den jeweiligen gesetzlichen Regelungen ergeben. Diese Empfehlungen sollten als Checkliste benutzt werden. Nur wenn alle Punkte mit einem "Okay" versehen werden können, darf der Behördenleiter hinreichend sicher sein, daß unbefugte (in der Regel fahrlässige) Modifikationen an Hardware, Software und Daten durch den Dienstleister nicht zu befürchten sind. Anderenfalls sind Erörterungen mit dem Anbieter von Fernwartungsdienstleistungen und ggf. Beratungsgespräche mit uns angezeigt.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel