22. Tätigkeitsbericht (2000)


4

Datenschutz in der Verwaltung

4.1

Kommunalbereich

4.1.1

Überblick

Der Trend zur Umgestaltung der öffentlichen Verwaltung in flexible, kompetente und bürgernahe Anlaufstellen nach Art von Dienstleistungsunternehmen hat sich auch in den ländlichen Bereichen bis hin in die kleineren Kommunalverwaltungen fortgesetzt. So wird z. B. die Einrichtung "ländlicher Dienstleistungszentren” gefördert. Gaststätten, "Tante-Emma-Läden” oder auch die örtliche Bankfiliale sollen zu Dorfzentren umgewandelt werden, die nicht nur Waren des täglichen Bedarfs anbieten. Hier soll man demnächst im Internet surfen und auf elektronischem Wege Auskunftsterminals oder Ticket-Services nutzen, Reisen buchen und Fahrkarten kaufen oder auch per Bildtelefon in der Amtsverwaltung den eigenen Personalausweis verlängern lassen und den Wohnsitz ummelden können. Die Bürgerinnen und Bürger hätten wenig Verständnis, wenn sie die schöne moderne Verwaltung mit einer Minderung ihrer Datenschutzrechte bezahlen müssten. Hier gilt es, sich rechtzeitig über die datenschutzrechtlichen Anforderungen zu informieren (Tz. 4.1.3).

Immer mehr Kommunen möchten die verschiedenen Internet-Dienste nutzen. Das Angebot an die Bürger, mit ihrer Gemeindeverwaltung elektronisch zu kommunizieren, erscheint attraktiv und könnte zu mehr Kundenorientierung führen. Die Kommunen müssen sich aber, bevor sie "ans Netz” gehen, grundsätzlich darüber im Klaren sein, welche Angriffe aus dem Internet heraus auf die eigenen Datenbestände möglich sind und ob bzw. wie dem wirksam vorgebeugt werden kann (Tz. 4.1.4).

Wie wir im Rahmen unserer durchgeführten Prüfungen im Bereich der Datensicherheit in den Verwaltungen feststellen konnten, wächst bei vielen Behördenleitern das Problembewusstsein für sicherheitstechnische Fragestellungen, sodass die Einhaltung ausreichender Sicherheisstandards immer selbstverständlicher wird. Am Beispiel der Fernwartung durch externe Dienstleister zeigt sich allerdings exemplarisch, dass zugleich auch eine Entwicklung in die entgegengesetzte Richtung stattfindet. Die Distanz zwischen denjenigen, die die Datensicherheitsfragen beherrschen, und denen, die diese aus Gedankenlosigkeit oder Ignoranz übergehen, wird offensichtlich immer größer (Tz. 4.1.5).

Auf dem Gebiet der Gesetzgebung kommt der Verabschiedung der Novelle zum Landesmeldegesetz herausragende Bedeutung zu. Es verbessert die Rechte der Bürgerinnen und Bürger spürbar. Damit die Umsetzung der neuen Regelungen leichter fällt, haben wir ein umfangreiches Fortbildungsprogramm durchgeführt und Informationsschriften herausgegeben (Tz. 4.1.2).

4.1.2

Neues Melderecht verabschiedet

Das im Februar 2000 in Kraft getretene neue Melderecht wird spürbare Verbesserungen für den Umgang mit den in den Melderegistern gespeicherten Daten mit sich bringen. Wir haben die Bürger und die Verwaltung umfassend über die Neuerungen aufgeklärt.

Die Änderung des Landesmeldegesetzes war durch das Melderechtsrahmengesetz des Bundes vorgegeben. Die Entwicklung der Melderegister hin zum "Informationssystem für die unterschiedlichsten kommunalen und staatlichen Dienststellen und Behörden über verwaltungsrelevante Daten der Bürgerinnen und Bürger”, so die amtliche Begründung, führte gleichwohl zu sehr kontroversen Stellungnahmen und Diskussionen.

Auch unsere Vorstellungen von einem optimalen bürgerfreundlichen Melderecht ließen sich nicht alle verwirklichen. Folgende Aspekte können aber als datenschutzrechtliche Verbesserungen verbucht werden:

  • In Zukunft sind die Betroffenen nicht nur darüber aufzuklären, was mit ihren Daten bei der Meldebehörde geschieht, sondern sie haben auch einen verbesserten Auskunftsanspruch.

  • Vor der Erteilung einer Melderegisterauskunft über Bürgerinnen und Bürger hat die Meldebehörde künftig sorgfältiger zu verfahren, um Verwechslungen zu vermeiden.

  • Ist zum Schutz besonders gefährdeter Personen eine Auskunftssperre im Melderegister vermerkt, verbietet diese nicht nur die Weitergabe von Namen und Anschrift bei privaten Anfragen; sie ist auch bei der Datenübermittlung an andere öffentliche Stellen zu berücksichtigen.

Wir hätten uns weitere Verbesserungen gewünscht. Statt der an vielen Stellen vorgesehenen Widerspruchslösung wäre das Erfordernis der Einwilligung bürgerfreundlicher gewesen.

Die umfangreichen Gesetzesänderungen waren für uns Anlass, auch im melderechtlichen Bereich den Schwerpunkt unserer Arbeit weiter auf die Service- und Beratungsebene zu verlagern. In Zusammenarbeit mit der Verwaltungsakademie Bordesholm haben wir für die Mitarbeiterinnen und Mitarbeiter der Meldeämter landesweit 17 Sonderkurse der DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN abgehalten, in denen die Gesetzesänderungen erläutert wurden.

Außerdem haben wir in der Reihe "Datenschutz leicht gemacht ein Heft mit umfangreichen "Erläuterungen und Praxistipps zum neuen Landesmeldegesetz” herausgegeben, das bei den Meldeämtern reißenden Absatz findet.

Der Inhalt ist auch im Internet veröffentlicht unter

www.datenschutzzentrum.de
(Rubrik: Informationen speziell für Behörden).

Parallel dazu beraten wir auch die Hersteller und Vertreiber der in den Meldeämtern eingesetzten Software bei der erforderlichen Umstellung der Programme zur elektronischen Datenverarbeitung.

Für die Bürgerinnen und Bürger haben wir gemeinsam mit dem Innenminister ein Faltblatt "Datenschutz im Melderecht” herausgegeben, um über die Datenverarbeitungsvorgänge in den Meldeämtern und die den Einwohnern zustehenden Rechte zu informieren. Die Faltblätter werden in großer Zahl durch die Meldebehörden abgefordert und durch Verteilung an Haushalte, Auslegung auf Stadtfesten oder Veröffentlichung in gemeindeeigenen Mitteilungsblättern weiterverbreitet.

Der neue Datenschutz setzt auch beim Schutz der Meldedaten vorrangig auf Dienstleistung. Folglich hat unsere Dienststelle im Bereich des Melderechts ein umfassendes Beratungs- und Serviceangebot bereitgestellt, das auf eine selbst für uns überraschend große Nachfrage gestoßen ist.

4.1.3

Tipps zur Verwaltungsmodernisierung

Die Modernisierung in der öffentlichen Verwaltung ist in aller Munde. So weit das Feld der Modernisierungsvorhaben ist, so breit gestreut sind auch die damit verbundenen datenschutzrechtlichen Fragestellungen.

Hinter dem Schlagwort "Modernisierung der öffentlichen Verwaltung” verbergen sich die verschiedensten Bestrebungen und Vorhaben, deren gemeinsame Triebfeder nicht nur die angespannte Haushaltslage der Kommunen ist, sondern auch die Anforderungen der Bürgerinnen und Bürger. Sie erwarten kompetente und schnelle Dienstleistungen. Die Gesetze der Marktwirtschaft erobern klassische Felder der öffentlichen Verwaltung. Diese ist gefordert, sich umfassend zu reorganisieren und sich zu einem auf hohem Standard bürgernah und wirtschaftlich arbeitenden Dienstleistungsbetrieb weiterzuentwickeln.

Die Ziele der Modernisierung lauten daher:

  • Wirtschaftlichere Aufgabenerfüllung,

  • Qualitätsteigerung bei der Aufgabenerfüllung,

  • Verbesserung des Bürgerservice.

Für die "Modernisierer” muss klar sein, dass all diese Vorhaben, Reformen und Projekte ohne Berücksichtigung der datenschutzrechtlichen Belange nicht möglich sind. Die Bürgerinnen und Bürger würden sich schön bedanken, wenn sie die Verwaltungsmodernisierung mit einer Verschlechterung des Schutzes ihrer Daten bezahlen müssten. Je eher dies erkannt wird, umso einfacher lassen sich praxisgerechte Lösungen entwickeln. Dabei stellt sich zumeist heraus, dass sich Modernisierung und Datenschutz keineswegs widersprechen, zumal wir selbst den Datenschutz in organisatorischer und auch technischer Hinsicht modernisieren. Es geht also nicht darum, Modernisierungsvorhaben mit überholten Vorstellungen zu blockieren, sondern neue Perspektiven und neue Lösungsansätze zu entwickeln.

Im Mittelpunkt unserer zeit- und arbeitsaufwändigen Beratungstätigkeit standen bislang folgende Projekte:

  • Personalentwicklung und -management (ressortübergreifend und dezentral),

  • Kosten- und Leistungsrechnung/Berichtswesen,

  • Dezentralisierung/Outsourcing/Privatisierung/Organleihe,

  • Bürgerbüros und Dienstleistungszentren,

  • Vernetzung und Automation in der Datenverarbeitung,

  • digitale Aktenführung,

  • Nutzung des Internet/Verwaltung online.


Die Ergebnisse dieser Arbeit werden in eine Publikation einfließen, die allen interessierten Stellen und Personen als Einstieg in diese Thematik dienen kann. Allerdings kann eine solche Ausarbeitung keine endgültigen und allumfassenden Antworten liefern. Jedes konkrete Projekt gestaltet sich in der Umsetzung vor Ort anders und bedarf auch in Zukunft spezifischer Ideen zur Problemlösung.

Was ist zu tun?
Modernisierungsvorhaben müssen schon in der Planungsphase datenschutzgerecht konzipiert und ebenso realisiert werden.

4.1.4

Kommunen ins Internet?
Das Internet bietet eine kostengünstige Basis für die Beschaffung und Bereitstellung von Informationen. Damit wird es zunehmend auch für die Kommunalverwaltungen zu einem interessanten Präsentations- und Kommunikationsinstrument. Mit dem Anschluss eines Verwaltungsnetzes an das Internet stellen sich allerdings anspruchsvolle datenschutzrechtliche Herausforderungen.

Das Internet hat sich mittlerweile zu einem Massenmedium entwickelt. Das Spektrum der Nutzungsmöglichkeiten, das die Internet-Dienste WWW und E-Mail bieten, ist nahezu unbegrenzt und findet deshalb auch in den Kommunalverwaltungen zunehmend Anklang. Gerade im Rahmen von kommunalen Modernisierungsvorhaben, die sich mit effizienzsteigernden Maßnahmen in der Verwaltung, mit der Vereinfachung und Beschleunigung von Verwaltungsverfahren und dem Ausbau des Bürgerservice (vgl. Tz. 4.1.3) befassen, sollen die Möglichkeiten des Internet nutzbar gemacht werden. Folgende Ideen und Nutzungsmöglichkeiten sind uns bislang in der Praxis begegnet:

  • Kommunen präsentieren sich zu Werbezwecken auf einer eigenen Homepage, veröffentlichen elektronische Stadtpläne, verweisen auf kulturelle und touristische Attraktionen und Adressen und führen ein "Gästebuch”.

  • Auch die einzelnen Verwaltungsbereiche werden auf der Homepage umfassend präsentiert. Beschrieben werden nicht nur die verschiedenen Ämter mit ihren Zuständigkeitsbereichen und Anschriften, sondern auch einzelne Mitarbeiterinnen und Mitarbeiter mit ihren Namen und individuellen Erreichbarkeitsdaten, häufig sogar mit Foto.

  • Dasselbe gilt für die kommunalen Ausschüsse und andere Gremien einschließlich der Daten der ehrenamtlich tätigen Mandatsträgerinnen und ­träger.

  • Die elektronische Post - E-Mail - dient dem schnellen und bequemen Nachrichtenaustausch zwischen den Verwaltungen und auch der Kommunikation mit Außenstehenden.

Viele Kommunalverwaltungen sitzen noch in den Startlöchern, möchten jedoch lieber heute als morgen ein "virtuelles Rathaus” errichten. Dabei hat sich aber bei den Vorreitern schon gezeigt, dass der Anschluss des Verwaltungsnetzes an das Internet mit seinen Diensten nicht ohne Nebenwirkungen bleibt. In diesem Bereich hat sich deshalb ein Schwerpunkt unserer Arbeit, insbesondere der beratenden Tätigkeit, gebildet (vgl. die Beiträge unter Tz. 7.1).

Sinnvoll und überlegt eingesetzt, ist das Internet durchaus als Instrument zur Flexibilisierung und Ökonomisierung der öffentlichen Verwaltung geeignet. Sobald aber über das Internet personenbezogene Daten übermittelt werden sollen, bedarf es umfangreicher Vorkehrungen, bis hinreichend sichere Lösungen präsentiert werden können. Wir geben den nachfragenden Kommunen Folgendes zu bedenken:

  • Rechner, die vom Internet aus erreicht werden können, sind diversen Angriffsmöglichkeiten ausgesetzt, die nicht zuletzt auch die auf ihnen gespeicherten Daten gefährden. Beschränkt sich der Internet-Zugang auf einen unvernetzten Einzelplatzrechner, der nicht zu sonstigen Zwecken genutzt wird, hat dies in der Regel keine gravierenden Auswirkungen. Sobald jedoch eine Öffnung des Verwaltungsnetzes dem Internet gegenüber geschaffen wird, entsteht z. B. die Gefahr der Vireninfizierung der internen IT-Systeme bei Dateiübertragungen, durch die das gesamte Verwaltungsnetz lahm gelegt werden kann. Schlimmstenfalls kann es zum Ausspähen oder zur Manipulation der dienstlichen Daten kommen - spektakuläre Internet-Angriffe, über die die Fachpresse regelmäßig berichtet. Wie man sich durch technische Maßnahmen gegen diese Angriffe schützen kann, wird unter Tz. 7.1.1 dargestellt.


  • Elektronische Nachrichten können auf dem Weg über das Internet mitgelesen, verändert oder verfälscht werden. Eine vertrauliche Kommunikation ist also im Internet ohne eine zuverlässige Verschlüsselung nicht gegeben. Es liegt an der Verwaltung, entsprechende Verschlüsselungsangebote zur Verfügung zu stellen. Die Bürger nehmen das Angebot, unverschlüsselt mit "ihrer Verwaltung” per E-Mail zu kommunizieren, leider häufig an, ohne die damit verbundenen Risiken zu erkennen.



  • Die Veröffentlichung dienstlicher Erreichbarkeitsdaten von Mitarbeiterinnen und Mitarbeitern ist grundsätzlich unbedenklich, solange sie sich auf konventionelle Behördenverzeichnisse oder kommunale Mitteilungsblätter beschränkt. Sie erhält aber eine völlig neue Dimension, wenn sie im Internet erfolgt, da die Daten dann plötzlich weltweit zugänglich und verfügbar sind. Die Daten sind elektronisch auswertbar und können mit anderen elektronischen Datenbeständen zusammengeführt werden. Wegen der damit verbundenen Gefahren dürfen die "Funktionsträger-Daten” nicht gegen den Willen der Betroffenen im Internet veröffentlicht werden (vgl. Tz. 7.1.3).

Was ist zu tun?
Kommunen sollten das Internet nur mit geeigneten Sicherheitsvorkehrungen nutzen. Ein Anschluss an das Internet darf die Sicherheit des gesamten Verwaltungssystems nicht gefährden.

4.1.5

Datensicherheit in der Kommunalverwaltung
Die Diskrepanz zwischen guten oder gar perfekten Sicherheitskonzepten und dem Schlendrian in anderen Verwaltungen wird immer größer. Die Datenzentrale trägt ihren Teil dazu bei. Das Thema Datensicherheit in der Kommunalverwaltung kommt auch bei Mitgliedern von Vertretungskörperschaften an. Sie merken, dass auch im häuslichen Bereich die Vertraulichkeit kommunaler Unterlagen gewahrt werden muss.
Warum immer wieder diese Ausreißer?

Der sich in den letzten Jahren abzeichnende Trend festigt sich: Die Zahl der Kommunalverwaltungen, die ihre automatisierte Datenverarbeitung "im Griff” haben, wird größer. War vor einigen Jahren unsere Meldung, dass wir erstmals bei einer Prüfung keine Sicherheitsmängel feststellen konnten, noch Schlagzeilen wert, so kann man heute sagen, dass derartige Ergebnisse schon fast zur Normalität gehören. Manchmal sind unsere Prüfer von der Selbstverständlichkeit überrascht, mit der ihnen schlüssige Sicherheitskonzepte und vollständige Verfahrensdokumentationen vorgelegt werden. In einem Fall waren diese Unterlagen so aussagefähig und die realisierten Sicherheitsmaßnahmen qualitativ so gut, dass die Prüfung dieser - übrigens durchschnittlich großen - Amtsverwaltung praktisch nach einer Stunde beendet war. Danach entwickelte sich "nur noch” eine intensive Fachdiskussion darüber, wie die gefundenen Lösungen noch optimiert werden könnten und welche sicherheitstechnischen Konsequenzen sich aus den sich abzeichnenden technischen Innovationen ergeben. Bemerkenswert ist, dass in diesen Fällen keine der handelnden Personen über eine Mehrarbeit zur Erlangung des Sicherheitsstandards geklagt hat. Man betrachtete die Aktivitäten auch nicht als eine datenschutzrechtliche Pflichtübung. Vielmehr waren sowohl die betreffenden Behördenleiter als auch die Administratoren davon überzeugt, dass der personelle Aufwand für den laufenden Betrieb eines EDV-Systems umso geringer ist, je sorgfältiger das Organisations-, das Konfigurations- und das Sicherheitskonzept erarbeitet und in die Praxis umgesetzt worden ist.

Vor diesem Hintergrund ist es schwer verständlich, dass es noch immer so viele "Ausreißer” bezüglich der Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung im kommunalen Bereich gibt. In den letzten beiden Tätigkeitsberichten (vgl. 20. TB, Tz. 6.6; 21. TB, Tz. 4.1.2) haben wir ein "Sündenregister” von über dreißig gravierenden Missständen aufgeführt. Die meisten der dargestellten Probleme und Sicherheitslücken haben wir auch in diesem Jahr wieder vorgefunden und beanstandet (schlecht ausgebildete Administratoren, ungesicherte Systemzugänge, Mängel bei der Passwortvergabe, fehlende Abschottung der Administrationsebene der Systeme, undurchschaubare Dokumentationen und Protokollierungen, unzulängliche Zugriffsbeschränkungen auf Datenbestände usw.). Es wäre ermüdend, gleiche Sachverhalte alljährlich erneut in aller Ausführlichkeit darzustellen. Stattdessen soll deshalb anhand eines Einzelfalles deutlich gemacht werden, welche Gedankenlosigkeit auch heute noch besteht.

Spätestens seitdem wir im Jahr 1994 in einer Veröffentlichung im Amtsblatt Kriterien für die Gestaltung von Fernwartungsverfahren beschrieben und erläutert haben, ist unter Fachleuten unbestritten, dass auf diesem Gebiet ohne schriftliche Verträge "gar nichts” geht. Immerhin ist der Zugriff eines externen Dienstleisters auf das Betriebssystem eines Verwaltungscomputers sicherheitstechnisch eine äußerst brisante Aktion, der Externe wird nur eingeschaltet, weil er seine Leistungen billiger erbringt als es das eigene Personal könnte. Dieser wirtschaftliche Vorteil darf nicht durch Sicherheitsrisiken erkauft werden. Das Landesdatenschutzgesetz ist insofern eindeutig. Es fordert schriftliche Verträge, klare Weisungen und die Überwachung der Arbeiten des externen Dienstleisters. Außerdem verpflichtet es öffentliche Stellen, "personenbezogene Daten als Auftragnehmer nur im Rahmen der Weisungen der Auftraggebenden zu verarbeiten”.

Für einige Kommunen und die Datenzentrale waren diese gesetzlichen Regelungen offenbar nicht existent. Bei Prüfungen entdeckten wir nicht nur, dass die Fernwartung ohne jede schriftliche Vereinbarung erfolgte. Die Datenzentrale tummelte sich sogar zur Nachtzeit auf den Systemen, ohne dass die betreffenden Verwaltungen etwas davon wussten. Die Mitarbeiter der Kommunen hatten bis zu unserer Prüfung noch gar nicht entdeckt, dass die Datenzentrale Benutzerkonten eingerichtet hatte, über die sie eine so genannte Softwareinventarisierung betrieb. Dies kam erst heraus, als ein Administrator diese Konten auf unser Anraten hin kurzerhand deaktivierte. Daraufhin beschwerte sich die Datenzentrale, dass sie die Fernwartung in Teilbereichen nicht mehr durchführen konnte.

Das Verfahren der Softwareinventarisierung mag durchaus sinnvoll sein, um Ergänzungslieferungen mit dem bereits vorhandenen Bestand zu synchronisieren. Es ist aber nicht akzeptabel, dass ein DZ-Kunde von diesem Verfahren allenfalls dadurch erfährt, dass er seinen Einzelverbindungsnachweis in der Telefonrechnung daraufhin überprüft, wann die Datenzentrale auf sein Rechnersystem zugegriffen hat. Auf Grund dieser Vorkommnisse haben wir die Fernwartungsaktivitäten der Datenzentrale bei anderen Kunden näher durchleuchtet und weitere Nachlässigkeiten entdeckt. Unter Fachleuten ist unstreitig, dass Folgendes hätte gewährleistet sein müssen:

  • Jeder Fernwartungsvorgang muss von der auftraggebenden Stelle einzeln freigeschaltet werden. Hierauf sollte nicht nur der Auftraggeber, sondern auch das Fernwartungsunternehmen bestehen, um die missbräuchliche Nutzung dieser Zugänge von vornherein zu verhindern.

  • Alle Benutzer der gewarteten Systeme müssen programmgesteuert gezwungen werden, das bei der Eröffnung des Benutzerkontos systemseitig generierte Passwort bei der ersten regulären Anmeldung durch ein individuelles Passwort zu ersetzen. Auch hierfür sollte das Wartungsunternehmen sorgen, um seine Mitarbeiter nicht dem Verdacht auszusetzen, sie könnten unter der Kennung von legalen Nutzern Datenverarbeitungsprozesse ablaufen lassen, denn sie bräuchten nur die ihnen bekannten Systempasswörter zu verwenden.

  • Vor der Auslieferung von vorkonfigurierten Systemen (Slogan: "Hardware und Software aus einer Hand”) müssen alle nicht benötigten Benutzerkonten, die im Zuge der Installation des Betriebssystem und der sonstigen Software eingerichtet worden sind, wieder deaktiviert werden. Salopp formuliert: Jeder ordentliche Handwerker verlässt die Baustelle besenrein.

All dies war nicht geschehen, was wir gegenüber den Kommunen und auch der Datenzentrale nachdrücklich beanstandet haben.


Der Datenzentrale waren die von uns aufgedeckten Versäumnisse offenbar peinlich. Jedenfalls hat sie umgehend reagiert und ihre Verfahrensweise geändert. Die Schwachstellen wurden beseitigt und die Kunden informiert. Wenn allerdings aus derartigen Fehlentscheidungen im Rahmen der "Qualitätssicherung” keine Konsequenzen gezogen werden, sind Wiederholungsfälle nicht ausgeschlossen. Diese Erwartung bzw. Befürchtung äußerten uns gegenüber auch die betroffenen Kunden.

Sicherheitsmaßnahmen im häuslichen Bereich der Mitglieder von Vertretungskörperschaften

Immer wieder wird in Gesprächen mit Bürgermeistern und leitenden Verwaltungsbeamten die Frage erörtert, welche Sicherheitsmaßnahmen die Mitglieder von Gemeinde- und Stadtvertretungen, von Ratsversammlungen und Kreistagen im häuslichen Bereich bezüglich der Beratungsunterlagen, Protokolle und des sonstigen Schriftgutes zu treffen haben, um, so wird formuliert, "den Anforderungen des Datenschutzes gerecht zu werden”. Der vor Jahren ausführlich und teilweise kontrovers diskutierte Aspekt, dass auch Mitglieder von Vertretungskörperschaften die Regeln des Landesdatenschutzgesetzes zu beachten haben (vgl. 18. TB, Tz. 4.1.5; 20. TB, Tz. 4.1.3), ist inzwischen unstreitig. In Anbetracht der Datenmengen, die ihnen von den Verwaltungen wöchentlich ins Haus geschickt werden, und der Tatsache, dass die meisten dieser Unterlagen auch personenbezogene Daten enthalten, werden die Ehrenamtler offensichtlich zunehmend vorsichtig. Sie fragen nach einer Richtschnur, deren Einhaltung sie nicht dem Vorwurf der groben Fahrlässigkeit aussetzt, falls doch einmal etwas passiert.

Zieht man ein Fazit aus diesen Gesprächen, so kann man die nachfolgenden Kriterien als allgemein gültig bezeichnen:

  • Unterlagen, deren Inhalt Gegenstand von Beratungen in öffentlichen Sitzungen ist

Diese müssen im häuslichen Bereich nicht unbedingt unter Verschluss gelagert werden, gehören aber nach Gebrauch auch nicht in den allgemein zugänglichen Müllcontainer. Sobald sie nicht mehr benötigt werden, sollten sie der Verwaltung zur geordneten Entsorgung zurückgegeben werden.

  • Unterlagen, deren Inhalt Gegenstand von Beratungen in nichtöffentlichen Sitzungen ist

Sie gehören im häuslichen Bereich grundsätzlich unter Verschluss, also wie in der Verwaltung in einen abgeschlossenen Schrank, wenn sie nicht bearbeitet werden. Der Schlüssel sollte nicht stecken bleiben, sondern sich am Schlüsselbund befinden, den Reserveschlüssel sollte man bei einer Vertrauensperson deponieren. Der Umfang der Unterlagen sollte auf ein Mindestmaß reduziert werden. "Alte” Beschlussvorlagen und Protokolle können auch in der Verwaltung eingesehen werden. Die Entsorgung nicht mehr benötigter Unterlagen muss grundsätzlich durch die Verwaltung erfolgen.

  • Dienstliche PC im häuslichen Bereich

Wollen die Verwaltung und die (einzelnen) Mitglieder der Vertretungskörperschaft über IT-Systeme kommunizieren, empfiehlt sich die Nutzung normaler Telefonleitungen. Die Systeme bei den Ehrenamtlern sollten von der Verwaltung zur Verfügung gestellt und konfiguriert werden. Wie bei anderen Telearbeitsplätzen auch, trägt die Verwaltung dann die Verantwortung für die Wirksamkeit der Sicherheitsmaßnahmen. Die Benutzer sollten daher auf eine genaue Beschreibung der Sicherheitsregeln bestehen und sie genau beachten, damit man ihnen keinen Vorwurf machen kann, wenn doch einmal etwas schief geht. Die dienstlichen Geräte sollten nicht zu privaten Zwecken und nicht durch Dritte genutzt werden.

  • Benutzung des eigenen PC für "dienstliche” Zwecke

Bei der Benutzung von eigenen PC zur Unterstützung der Arbeit als Mitglied einer Vertretungskörperschaft liegt die Verantwortung für die Datensicherheit ausschließlich beim Systeminhaber. Die Kommune sollte daher eine direkte Vernetzung mit dem Verwaltungsrechner ablehnen. Es mag allenfalls ein Datenträgeraustausch über Disketten vereinbart werden. Sollen Informationen aus nichtöffentlichen Sitzungen gespeichert werden, scheidet in der Regel eine Mitbenutzung des PC durch Dritte (auch durch Familienmitglieder) aus. Hinreichend wirksame Zugriffsbeschränkungen lassen sich durch die Installation einer entsprechenden Sicherheitssoftware realisieren. Vertrauliche Daten (insbesondere auch Textdokumente) sollten in jedem Fall verschlüsselt gespeichert werden. Welche Verschlüsselungsprogramme sinnvoll eingesetzt werden können, sollte man mit der Verwaltung absprechen.

  • Kommunikation zwischen der Verwaltung und den Vertretern über das Internet


Auf die Kommunikation zwischen der Verwaltung und den Mitgliedern der Vertretungskörperschaft über das Internet sollte einstweilen noch verzichtet werden. Dies bedingt nämlich den Einsatz von "Firewalls” (vgl. 21. TB, Tz. 7.1.2) und Verschlüsselungstechnik, z. B. "Virtuellen privaten Netzen” (VPN). Nach unseren Erfahrungen sind diese Hard- und Softwarekomponenten noch nicht so "kommunaltauglich”, dass sie problemlos von den Administratoren in der Verwaltung und den normalen Benutzern im häuslichen Bereich beherrscht werden können (vgl. auch Tz. 4.1.4 und Tz. 7.1.1).

Was ist zu tun?
Die Kommunen sollten sich von der Datenzentrale oder anderen Softwarehäusern schriftlich bestätigen lassen, dass in den Verträgen die Funktionalitäten der gelieferten Produkte vollständig beschrieben sind. Die Mitglieder der Vertretungskörperschaften sollten sich durch die zuständigen Verwaltungsmitarbeiter, z. B. durch die behördlichen Datenschutzbeauftragten, beraten lassen, wenn es um die Datensicherheit im häuslichen Bereich geht. Technische Lösungen müssen von der Verwaltung und von den Ehrenamtlern gemeinsam entwickelt und verantwortet werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel