21. Tätigkeitsbericht (1999)


4.

Datenschutz in der Verwaltung

4.1

Kommunalbereich

4.1.1

Überblick

Viele Anzeichen deuten darauf hin, daß in den nächsten Jahren in der kommunalen Welt kaum ein Stein auf dem anderen liegen bleiben wird. Die stetige Erweiterung der Aufgabenstellungen und der gleichzeitig steigende Druck, sich den Bürgern als hochflexibles und modernes Dienstleistungsunternehmen zu präsentieren, bedingen grundlegend neue Ansätze bei der Gestaltung der kommunalen Aufbau- und Ablauforganisation. Experimentierklauseln in Gesetzen, Kooperationsmodelle, Privatisierungen, Einbindung externer Dienstleister in Form des Outsourcing, Rezentralisierung von IT-Systemen, interaktive Teilnahme der Bürger an Prozessen der kommunalen Selbstverwaltung, Erweiterung der Kontrollkompetenzen der Selbstverwaltungsorgane usw. sind mehr als nur Schlagworte. Sie sind in einigen Bereichen schon Realität.

Deshalb und weil praktisch alle Einwohner dieses Landes von dieser Entwicklung betroffen sind, bedarf sie einer intensiven konstruktiv-kritischen datenschutzrechtlichen Begleitung, damit die Bürgerrechte bei der Umsetzung dieser Modernisierungsmaßnahmen nicht auf der Stecke bleiben. Die Transparenz der Datenverarbeitung und die Möglichkeiten des Informationszuganges sind zu gewährleisten. Dies hat bereits auf der Ebene der Gesetzgebung und bei der Abfassung interner Verwaltungsvorschriften zu geschehen (Tz. 4.1.4). Außerdem müssen möglichst frühzeitig technische und organisatorische Fehlentwicklungen erkannt und Vorschläge zur Abhilfe unterbreitet werden. Die Grundsatzfragen können zwar am "grünen Tisch" erörtert, die Verwaltungswirklichkeit muß jedoch vor Ort erfaßt und bewertet werden. Aus diesem Grund stand der Bereich "Kommunales" im abgelaufenen Jahr erneut im Zentrum unserer Aktivitäten (vgl. Tz. 4.1.2). Er bindet zur Zeit mehr als ein Drittel unserer personellen Kapazitäten.

4.1.2

Licht und Schatten bei der Datensicherheit im kommunalen Bereich

Mehr und mehr Kommunen bekommen ihre automatisierte Datenverarbeitung gut in den Griff. Der Anteil der mit Sicherheitsmängeln behafteten Systeme ist aber nach wie vor groß. Chefs und Administratoren ohne Durchblick entwickeln sich mehr und mehr zu Sicherheitsrisiken.

Neben den unter Textziffer 4.12 dargestellten "Angemeldeten/Unangemeldeten Kontrollen", bei denen wir auch einen Blick auf die Technik werfen, reicht unsere personelle Kapazität leider nur aus, um jährlich 15 bis 20 umfassende Prüfungen der Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung im kommunalen Bereich durchzuführen. Bei unveränderten Rahmenbedingungen werden wir also frühestens in 10 Jahren eine Flächendeckung erreicht haben. (Dringend notwendige Wiederholungsprüfungen noch nicht eingerechnet.)

Das Fazit der diesjährigen Prüfungen kann man umschreiben mit "Licht und Schatten". Bei der Vorstellung des 20. Tätigkeitsberichtes im Frühjahr 1998 konnten wir mit der Neuigkeit aufwarten, daß gerade der ersten Kommune im Lande bescheinigt werden konnte: "Keine wesentlichen sicherheitstechnischen Beanstandungen, alles o. k.". Erfreulicherweise hat sich dieser Trend fortgesetzt. Zwischenzeitlich haben mehrere Kommunen dieses Testat von uns erhalten. Dabei ist signifikant, daß die positiven Ergebnisse nicht daraus resultierten, daß die betreffenden Verwaltungen alle die gleiche Checkliste, Vordrucksammlung oder Musterlösung genutzt hatten. Auch die getroffenen Sicherheitsmaßnahmen ließen sich nicht alle über einen Leisten schlagen; sie waren genauso unterschiedlich wie die Zielrichtungen der automatisierten Verfahren, die personellen Situationen und die organisatorischen Rahmenbedingungen. Wir können die vorgefundenen Lösungen also auch nicht als "kopierfähige" Beispiele anbieten.

Worin lag also die Ursache für die guten Ergebnisse? Gemeinsam war allen, daß

  • die Absichten von den Verantwortlichen klar definiert worden sind,

  • jede getroffene Maßnahme einen für alle Beteiligten erkennbaren Sinn und Zweck erkennen ließ,

  • Sicherheit und Ordnungsmäßigkeit als nutzbringende, mithin positiv zu bewertende Ziele der Automationsvorhaben angesehen wurden,

  • erst geplant und dann Fakten geschaffen wurden,

  • nicht woanders "blind" abgeschrieben, sondern paßgenau eigene Lösungen entwickelt wurden, nachdem man sich bei anderen Kommunen "schlau" gemacht hatte, und

  • verbliebene Probleme nicht kaschiert, sondern für alle Beteiligten transparent gemacht wurden; dies förderte offenbar die Phantasie für die Entwicklung in der Regel verblüffend einfacher Lösungen in den folgenden Ausbaustufen der Verfahren.

Die Aufzählung zeigt, daß es recht schwer ist, allgemein zu beschreiben, was im einzelnen getan wurde. Weniger erfreulich, aber sehr viel einfacher ist dagegen die Darstellung der Dinge, die den Schatten der automatisierten Datenverarbeitung repräsentieren. Hier gilt es zunächst auf die Aufstellung der Mängel im 20. Tätigkeitsbericht (Tz. 6.7.4) zu verweisen. All dies haben wir auch im abgelaufenen Jahr vorgefunden. Hinzu kamen folgende "Highlights" im negativen Sinn:

  • Mitarbeiter, die nominell als Systembetreuer tätig waren, kannten nicht einmal die entsprechenden Benutzerkennungen und Paßwörter ihrer Systeme. Sie hätten beim Ausfall des regulären Wartungstechnikers nicht einmal von woanders Hilfe bekommen können, denn ohne Benutzerkennung und Paßwort ist jeder Reparaturversuch zum Scheitern verurteilt.

  • Die Systemadministration erfolgte ausschließlich durch externe Dienstleister, ohne daß die Mitarbeiter der Behörde eine Ahnung davon hatten, "was da so läuft". In diesen Fällen hätten die "Externen" Administrationsfehler, z. B. falsche Zugriffsberechtigungen, Einspielung falscher Software-Versionen, Nutzung falscher Sicherungskopien, nachträglich kaschieren können, ohne daß eine Chance bestanden hätte, dies zu bemerken.

  • Der Systemzugang zu einem Zentralrechner war nicht einmal durch ein Paßwort abgesichert. Jeder Nutzer hätte ihn also beliebig manipulieren können. Je unauffälliger die Manipulation, desto unwahrscheinlicher wäre ihre Entdeckung gewesen.

  • Zugangsberechtigungen auf dem Zentralrechner waren vor Jahren von Lieferanten vergeben worden, sie wurden von den Administratoren der datenverarbeitenden Stelle nie wieder geändert. Der Kreis der "Mitwisser" war mittlerweile riesig. Auch in diesem Fall war der Manipulation, Vernichtung oder Verfälschung der Datenbestände Tür und Tor geöffnet.

  • Administratoren verfügten über völlig unzureichende Systemkenntnisse. Da Betriebssysteme in der Regel so ausgeliefert werden, daß "alles möglich ist", können wirksame Abschottungsmaßnahmen nur bei entsprechenden Systemkenntnissen getroffen werden. Unbefugte hätten sich die einladenden Optionen der Betriebssysteme zunutze machen können.

  • Vorgesetzte gewährten für die Administration "großzügig" einen Anteil von 5 % der Gesamtarbeitszeit der Mitarbeiter. Das machte täglich 24 Minuten aus. Solange dauerte wahrscheinlich die Anfertigung der Sicherungskopien der Datenbestände. Administrationsarbeiten "zwischen Tür und Angel" sind eine sehr häufige Ursache für Verarbeitungsfehler, die dann als "menschliches Versagen" hingestellt werden.

  • Ein Administrator bestand aus unerfindlichen Gründen darauf, daß ihm die Paßworte aller Mitarbeiter bekanntgegeben wurden. Dies deute auf Defizite bezüglich seiner Fachkenntnisse hin. Die Paßworte waren damit wirkungslos, denn jede protokollierte Aktivität hätte nicht nur vom registrierten Benutzer, sondern auch vom Administrator unter einer falschen Kennung stammen können.

  • In einem Fall wurden den Mitarbeitern die Paßworte per Telefon zentral vergeben, vermutlich, um eine gewisse "Einheitlichkeit" zu erreichen. Wenn Paßworte "vergeben" werden, verlieren sie ihren Sinn, da dann stets mindestens zwei Personen davon Gebrauch machen könnten. Eine eindeutige Zuordnung von Rechneraktivitäten ist nicht mehr möglich.

  • Man "sicherte" Diskettenlaufwerke noch mit Schlössern, als man längst wußte, daß diese defekt und damit wirkungslos waren. Der Verwaltungschef ging von einem virensicheren System aus, als womöglich über Computerspiele und dergleichen eingeschleppte Viren, Bomben und trojanische Pferde schon lange den Computer infiziert hatten. Ohne deren rechtzeitige Entdeckung hätte großer Schaden auf die Kommune zukommen können.

  • Aus Sicherheitsgründen "vorsorglich" deaktivierte Diskettenlaufwerke konnten von jedermann wieder angeschaltet werden, weil der Administrator nicht wußte, wie man die entsprechenden Systemdateien durch Paßworte schützt. Wer als Administrator über so geringe Fachkenntnisse verfügt, läuft Gefahr, auch andere Sicherheitsmängel nicht zu entdecken. Den Mitarbeitern wäre es möglich gewesen, auch sensible Datenbestände auf Diskette zu ziehen und unauffällig aus dem Dienstgebäude zu bringen.

  • Wegen der praktischen "Einheitlichkeit" erhielten alle Mitarbeiter einen Schlüssel für das Diskettenschloß ihres PC. Auch ein Arbeitsplatzwechsel brachte keine Probleme mit sich, da alle Schlüssel überall paßten. Derartige "Lösungen" lassen Zweifel an der Seriosität der handelnden Personen aufkommen; man muß befürchten, daß auch in anderen Bereichen Datensicherheit gar nicht gewollt war. Der "Schutz" durch das Diskettenschloß war praktisch wertlos.

  • Netzwerkdrucker und Kopierer waren in einem für das Publikum jederzeit zu betretenden Raum installiert, Fehldrucke und Fehlkopien wurden in einem blauen Sack neben den Geräten gesammelt. Immer wieder berichten Datenschützer und Presse über Fahrlässigkeiten beim Umgang mit Papierschrott; hieraus keine Konsequenzen zu ziehen und es statt dessen "darauf ankommen zu lassen", grenzt an grobe Fahrlässigkeit.

  • Pech hatte eine Behörde, der zum Zeitpunkt unserer Prüfung gerade die einzige Mitarbeiterin, die Administrationsaufgaben erledigen konnte, "weggelaufen" war. Mangels ordentlicher Dokumentation konnte niemand wissen, ob das System bis zum letzten Tag korrekt administriert wurde. Der Nachfolger, der vielleicht erst nach Wochen oder Monaten gefunden worden ist, wird ein schweres Erbe angetreten haben.

  • In vielen Fällen wurden die Arbeiten der Administratoren nicht protokolliert. Welche Zugriffsbefugnisse zum Beispiel am Vortag, in der abgelaufenen Woche, vor einigen Monaten, im letzten Jahr usw. vergeben worden waren, ließ sich definitiv nicht rekonstruieren. Wenn Täter sich diese Defizite gezielt zunutze machen, können Betrügereien kaum nachgewiesen werden.

  • In einigen Behörden konnten die Mitarbeiter auch Datenbestände anlegen, in die niemand anderes (vor allem nicht die Vorgesetzten) Einsicht nehmen konnte. "Schwarze Listen" hieß so etwas in der papierenen Welt und war streng verboten. Meistens beginnt derartige, durch den Spieltrieb der Mitarbeiter entfachte privat-/dienstliche Datenverarbeitung ganz harmlos. Wenn Bürger aber Kenntnis von solchen "Schattendateien" erhalten, stehen die Verantwortlichen unter Rechtfertigungszwang.

  • Offene Bürotüren, herumliegende Unterlagen - "vorzugsweise" mit Sozial- und Steuerdaten -, unverschlossene bzw. nicht verschließbare Schränke usw. waren immer wieder festzustellen. Als die "organisatorische Sicherheitslücke des Jahres" konnte man ein Sozialamt bezeichnen, das im Erdgeschoß eines Ferienhauses untergebracht war. Damit die wartenden Antragsteller nicht in einem unbeleuchteten Flur stehen mußten, ließ man die Türen zu den Büroräumen geöffnet. So wußte nach einer halben Stunde Wartezeit jeder über jeden Bescheid und die Feriengäste, die den gleichen Flur nutzten, hatten am Ende ihres Urlaubs einen Gesamtüberblick.



Bei so eklatanten Sicherheitsmängeln hat natürlich keine der geprüften Stellen unseren Beanstandungen widersprochen. Es ist auch zu erwarten, daß man sich "bessert", aber - das ist die entscheidende Frage - warum erst, nachdem mit gehörigem Aufwand geprüft und beanstandet worden ist? Die zunehmende Zahl der positiven Beispiele zeigt, daß es auch anders geht. Warum für viele Kommunen so schwer zu realisieren ist, was für andere längst eine Selbstverständlichkeit ist, kann man kaum nachvollziehen. In der hergebrachten konventionellen Verwaltungswelt würde man sich über die festgestellten Mängel die Haare raufen. Für die Risiken der elektronischen Datenverarbeitung fehlt vielen offenbar die Sensibilität.

Was ist zu tun?
Unsere Prüfungsmaßnahmen werden unvermindert fortgeführt. Selbstverständlich sind aber die datenverarbeitenden Stellen gesetzlich verpflichtet, Mißstände gar nicht erst entstehen zu lassen. Die Kommunalparlamente sollten unsere Prüfberichte beraten, damit die Versäumnisse offenkundig werden.

4.1.3

Prüfung der Versorgungsausgleichskasse

Die Prüfung der Datenverarbeitung bei der Versorgungsausgleichskasse der Kommunalverbände in Schleswig-Holstein (VAK) ergab eine Reihe von Mängeln bei der Personalaktenführung und bezüglich der vertraulichen Behandlung der Beihilfedaten. Ihre Beseitigung packte die geprüfte Stelle mit hoher Priorität an.

Die VAK hat nach ihrer Satzung die Aufgabe, die Versorgungsbezüge der ehemaligen Bediensteten der Kommunen zu berechnen und auszuzahlen. Außerdem können die Kommunen die Beihilfen für ihre Bediensteten bei der VAK komplett bearbeiten lassen. Unsere Prüfung erstreckte sich auf die Beihilfebearbeitung, auf die Versorgung und auf die damit verbundene Umlageerhebung (Bereich Finanzdienstleistungen). Dabei wurden folgende Feststellungen getroffen.:

Fachbereich Beihilfekasse

  • Beihilfeunterlagen für mehrere Arbeitnehmer wurden in einer Akte zusammengefaßt. Dies verstieß gegen die Regelung im Landesbeamtengesetz, wonach alle Unterlagen über einen Mitarbeiter in einer Beihilfeakte zusammenzuführen und von Vorgängen über andere Mitarbeiter getrennt zu führen sind.

  • Belege (z. B. Heil- und Kostenpläne über Zahnbehandlungen, ärztliche Atteste zur Notwendigkeit von Aufwendungen usw.) wurden in den Beihilfeakten gespeichert, obwohl sie nach Abschluß der Bearbeitung mit dem Bescheid an die Betroffenen hätten zurückgegeben werden müssen.

  • Beim Übergang der Beihilfebearbeitung auf die VAK wurden die bestehenden Unterlagen der Kommunen übernommen. Dabei waren die Daten aller Mitarbeiter einer Kommune listenmäßig zusammengestellt an die VAK übermittelt worden. Diese hat dann seitenweise Kopien aus den Listen gefertigt und sie zu den jeweiligen Beihilfeakten genommen, ohne dabei die Daten der anderen Mitarbeiter unkenntlich zu machen. Die Speicherung von Beihilfedaten Dritter in den Beihilfeakten einzelner Mitarbeiter war ebenso zu beanstanden wie die Aufbewahrung der Unterlagen über die gesetzlich vorgeschriebene Speicherfrist von fünf Jahren hinaus.

  • Für Beihilfeberechtigte, die in Pflegeheimen untergebracht waren, wurden Bescheinigungen über den Beihilfebezug ausgestellt und unmittelbar an die Krankenkassen übersandt, ohne daß dafür eine Einwilligung der Betroffenen vorlag. Ebenso wurden Auskünfte aus Beihilfevorgängen an behandelnde Ärzte ohne Einwilligung der Betroffenen erteilt.

  • Das Verfahren der automatisierten Beihilfeabrechnung war nicht revisionsfähig dokumentiert. Ein Sicherheitskonzept fehlte ganz. Auch war die gesetzlich vorgeschriebene Erteilung von Auskünften an Betroffene über die zu ihrer Person gespeicherten Daten programmtechnisch nicht möglich.

Fachbereich Finanzdienstleistungen

  • Für die Umlageerhebung zur Sicherung der Finanzierung von Versorgungsleistungen wurde für jeden Beamten eine sog. Umlageakte geführt. Sie enthielten auch Kopien aus den bei den Kommunen geführten Personalakten, obwohl diese Unterlagen zur Aufgabenerfüllung der VAK nicht erforderlich waren.

  • Bei der Aktenführung wurde nicht zwischen Personalakten der Betroffenen und Umlageakten differenziert. Unterlagen zur Umlageberechnung und dienstrechtliche Entscheidungen gegenüber den Betroffenen wurden gemeinsam in einer Akte abgelegt. Dies entsprach nicht den Vorschriften über den Inhalt von Personalakten.

  • Bei der Aufbewahrung von Umlageakten ausgeschiedener Beamter wurden die Löschungsvorschriften nicht beachtet.

Fachbereich Versorgung

  • Bei der Versetzung von Beamten in den Ruhestand wurde zur Prüfung der Dienstunfähigkeit neben der eigentlichen Begutachtung vom Amtsarzt auch eine dienstrechtliche Bewertung des festgestellten Gesundheitszustandes verlangt. Diese Datenerhebung war nach den Bestimmungen des Landesbeamtengesetzes nicht zulässig.

  • Nach Eintritt eines Versorgungsfalles wurden die Umlageakten als Versorgungsakten und damit als Personalteilakten weitergeführt, ohne vorher die Unterlagen zu entfernen, die nicht mehr benötigt wurden.

  • Die Kommunen wurden über die Höhe der berechneten Versorgungsbezüge unterrichtet. Auch dies war nicht erforderlich und damit unzulässig.

Die VAK hat in ihrer Stellungnahme die dargestellten Mängel eingeräumt. Am Schluß der Stellungnahme kommt sie zu folgendem Ergebnis: "Die VAK wird die Vorgaben des Datenschutzbeauftragten hinsichtlich der Art und Weise der Aktenführung beachten und die bisherige Praxis umstellen. Der Aktenbestand wird, sofern es noch nicht geschehen ist, in angemessener Zeit neu geordnet werden. Nicht notwendige Belege und Unterlagen werden vernichtet bzw. zurückgesandt. Die einzelnen Verfahren werden in notwendiger und gebotener Weise dokumentiert werden."

Was ist zu tun?
Die Kommunen sollten künftig der VAK nur solche Daten bzw. Unterlagen übermitteln, die dort erforderlich sind.

4.1.4

Verwaltungsvorschriften zur Aufstellung von Bauleitplänen verbessert

Die Vorschriften des Baugesetzbuches sehen für die Aufstellung von Bebauungsplänen ein öffentliches Verfahren vor. Dies erfordert jedoch nicht zwangsläufig die namentliche Benennung der Einwender bei der öffentlichen Behandlung von Anregungen und Bedenken .

Wenn natürliche Personen Einwendungen gegen eine Bauleitplanung vortragen, sollten nach einem Runderlaß des Innenministers ihre Anschriften - sofern nicht besondere Vertraulichkeitsgründe vorliegen - in öffentlicher Sitzung genannt werden. Erst aus der Anschrift lasse sich die Belegenheit zum Plangebiet und damit das Maß der Betroffenheit erkennen.

Im Baugesetzbuch ist jedoch eine öffentliche Beratung von Anregungen und Bedenken in personenbezogener Form nicht zwingend vorgeschrieben. Auch erteilen die Betroffenen mit ihren Einwendungen weder durch schlüssiges Handeln noch durch ausdrückliche Erklärung ihre Einwilligung zur öffentlichen Beratung ihres Vorbringens.

Vielmehr ist die Rechtsprechung zu Planfeststellungsbeschlüssen (vgl. Tz. 4.6.3) auf die Bauleitplanung übertragbar. Danach ist es für die ordnungsgemäße Durchführung dieser Verfahren nicht erforderlich, die sachbezogenen Erwägungen zur Beurteilung und Gewichtung der geltend gemachten Einwendungen personenbezogen zu veröffentlichen. Unter dem Gesichtspunkt des Rechtsschutzes Betroffener reicht es aus, jedem Einwender eine Nummer zuzuordnen, ihm diese mitzuteilen und die Beratungen und Entscheidungen über die Einwendungen dann nur noch unter Angabe der Nummer durchzuführen. Auf diese Weise ist eine ausreichende Beratung der Anregungen und Bedenken bei der Bauleitplanung in öffentlicher Sitzung möglich. Es bestehen keine Bedenken dagegen, wenn den Mandatsträgern, soweit im Einzelfall erforderlich, eine entsprechende Referenzliste zur Verfügung gestellt wird.

Der Innenminister hat unsere Hinweise aufgegriffen. Nach einem neuen Erlaß sollen die Namen der Personen, die Anregungen vorgebracht haben, in öffentlicher Sitzung nicht mehr genannt werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel