Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4.12

Angekündigte Unangekündigte Kontrollen (AUK)

Die Ergebnisse der Angekündigten Unangekündigten Kontrollen zeigen, daß in den Verwaltungen zwar überwiegend sorgsam mit personenbezogenen Daten umgegangen wird. Gleichwohl gab es aber fast überall Mängel zu beanstanden. In einzelnen Fällen waren haarsträubende Fehler festzustellen.

Auch in diesem Berichtsjahr haben wir unser 1996 entwickeltes Konzept der Angekündigten Unangekündigten Kontrollen (AUK) fortgesetzt. Bei diesen Kontrollen wird in erster Linie die "äußere" Datensicherheit und der sorgfältige Umgang mit personenbezogenen Daten in öffentlichen Stellen geprüft. Insbesondere geht es darum, ob die einzelnen Behörden die ihnen anvertrauten personenbezogenen Daten wirkungsvoll gegen die Einsichtnahme Unbefugter schützen (vgl. 19. TB, Tz. 1.1). Am Jahresanfang hatten wir 50 Behörden angeschrieben und ihnen mitgeteilt, daß sie mit einer unangemeldeten Kontrolle rechnen müßten. Per Los wurden dann neun Stellen für einen Kontrollbesuch ermittelt.

Bei diesen Kontrollen hat sich erneut gezeigt, daß diese Vorgehensweise unsere sonstigen Prüfungen sinnvoll ergänzt. Auch wenn sich anhand der festgestellten Mängel im Vergleich zum Vorjahr generell eine Verbesserung der Datensicherheit feststellen läßt, mußten wir wiederum zahlreiche einzelne Beanstandungen aussprechen. Einige Verwaltungen vertrauen offensichtlich noch immer recht sorglos darauf, daß niemand ein offen zugängliches und unbesetztes Büro betritt und dort neugierig Einblick in personenbezogene Unterlagen oder Dateien nimmt. Im EDV-Bereich fehlten häufig die vorgeschriebenen technischen und organisatorischen Maßnahmen und entsprechende Dienstanweisungen. Die Mitarbeiterinnen und Mitarbeiter waren im Hinblick auf die Sicherung ihrer PC gegen unbefugten Zugang häufig nicht ausreichend geschult.

Besondere "Highlights" unserer Kontrollen waren in diesem Jahr:

• In einer Behörde fanden wir in einem offenen Raum einen eingeschalteten und ungeschützten PC vor, auf dem sich das Liegenschaftsverzeichnis der Stadt befand. Die darin enthaltenen personenbezogenen Daten hätten ohne weiteres manipuliert werden können, weil der Zugang zur Betriebssystemebene nicht gesichert war. Erschwerend kam hinzu, daß sich die Prüfer in dem Raum zunächst unbehelligt aufhalten konnten. Zwei Mitarbeiter der Verwaltung, die den Raum zwischendurch betraten, wunderten sich nicht über die Anwesenheit behördenfremder Personen und entfernten sich höflich, nachdem ihnen von den Prüfern erklärt worden war, daß "die Arbeiten an dem PC noch einige Zeit in Anspruch nehmen würden".

• Das Sozialamt einer Amtsverwaltung hatte offensichtlich gerade den "Tag der offenen Türen" ausgerufen. Unsere Prüfer konnten die unbesetzten Büros betreten, sich Akteninhalte ansehen und über den eingeschalteten, nicht gesicherten PC Einblick in die dort enthaltenen Daten der Wohngeldempfänger nehmen. Es wäre auch ohne weiteres möglich gewesen, Veränderungen am Datenbestand vorzunehmen. Erst geraume Zeit später kehrte die Mitarbeiterin zurück und fragte empört, wieso wir auf die Idee kämen, ihr - weit offenstehendes - Büro "einfach so" zu betreten.

• In einer Amtsverwaltung war es den Prüfern möglich, in den Serverraum zu gelangen, weil dessen Tür nur angelehnt war. Der Server selbst war nicht durch ein Paßwort geschützt. Dadurch wäre es möglich gewesen, auf alle dort zentral gespeicherten Daten zuzugreifen, um diese beispielsweise zu löschen oder zu verändern.

• Bei einer Gemeindeverwaltung mußten wir im unbesetzten Büro des EDV-Administrators feststellen, daß man sich dort trotz offener Tür zum Nebenzimmer ungestört umsehen konnte. Dabei stellte sich heraus, daß der Bildschirm des laufenden PC nur dunkel geschaltet und nicht mit einem Paßwort gesichert war. Von hier aus wäre es möglich gewesen, Zugriff auf sämtliche Bereiche des Server-Netzwerkes der Behörde zu nehmen. Ausgerechnet der PC des Administrators verfügte über keinerlei Sicherungsmöglichkeiten des Bildschirms.

Die nachfolgenden Diagramme vermitteln einen Gesamtüberblick über das Ergebnis der von uns seit 1996 durchgeführten Kontrollen bei insgesamt 21 Behörden: