23. Tätigkeitsbericht (2001)



4

Datenschutz in der Verwaltung

4.1

Kommunalbereich

4.1.1

Behördliche Datenschutzbeauftragte sind kein Kosten-, sondern ein Rationalisierungsfaktor


Manche Behördenleitungen meinen, dass behördliche Datenschutzbeauftragte nur Zeit und Geld kosten sowie Ärger verursachen. Sie übersehen, dass diese Spezialisten ihnen helfen können, den Aufwand für eine korrekte und sichere personenbezogene Datenverarbeitung zu verringern.

Aus guten Gründen hat der Gesetzgeber im neuen LDSG den Daten verarbeitenden Stellen im Lande nicht zwingend vorgeschrieben, behördliche Datenschutzbeauftragte zu bestellen. Es gibt sehr kleine Organisationseinheiten bzw. solche, in denen nur in einem ganz geringen Umfang personenbezogene Daten verarbeitet werden. In diesen Fällen hätte man eine Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten als eine bürokratische Überreaktion ansehen können.

Was als eine sinnvolle Ausnahme gedacht war, wird insbesondere im kommunalen Bereich aber offensichtlich als der Normalfall missverstanden. Da es sich um eine "Kannbestimmung" handelt, werden zurzeit nur relativ wenige förmliche Bestellungen zu behördlichen Datenschutzbeauftragten vorgenommen. Viele Behördenleitungen gehen offenbar von der irrigen Annahme aus, diese Position erfordere - wenn nicht gar eine neue Planstelle - zumindest aber einen zusätzlichen Arbeitsaufwand. Dabei wird übersehen, dass bei richtiger Organisation des behördlichen Datenschutzbeauftragten das Gegenteil der Fall sein kann.

Zunächst muss man sich nämlich darüber klar werden, dass die datenschutzrechtlichen und sicherheitstechnischen Problemstellungen in einer Behörde die gleichen bleiben, unabhängig davon, wer sich mit ihrer Lösung befasst: In Krankenhäusern ist auf allen Stationen das Patientengeheimnis während und nach der Behandlung zu wahren. Alle Mitarbeiterinnen und Mitarbeiter der Finanzämter haben das Steuergeheimnis zu beachten. Krankenkassen und Sozialämter haben die "Abfertigungsschalter" (modern: Kundencenter) so zu gestalten, dass über soziale Verhältnisse gesprochen werden kann, ohne dass andere Personen mithören. Polizeibehörden und Staatsanwaltschaften haben Verdachtsmomente, die sich nicht als stichhaltig erwiesen haben, zu löschen. Auskünfte aus behördlichen Datenbeständen dürfen nur erteilt werden, wenn der Empfänger hierauf einen Anspruch hat. Computersysteme dürfen nicht missbräuchlich genutzt werden können. Die Aufzählung dieser Selbstverständlichkeiten könnte um viele Positionen fortgesetzt werden.

Hinzu kommt, dass die Rechtsgrundlagen für die personenbezogene Datenverarbeitung sich nicht nur im Landesdatenschutzgesetz selbst, sondern in einer Vielzahl bereichsspezifischer Regelungen finden (eine einschlägige Publikation weist nicht weniger als 45 Gesetze, Rechtsverordnungen und Satzungen allein auf Landesebene auf). Berücksichtigt man außerdem, dass die Ausgestaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit sehr stark von der Art und dem Hersteller der eingesetzten Hard- und Software abhängt, so wird deutlich, dass bereits Behörden mittlerer Größe besser daran tun, die Bearbeitung dieser Fragestellungen einem spezialisierten Mitarbeiter zu übertragen, anstatt von Fall zu Fall immer andere Personen mit der Materie befassen zu lassen. Im letzteren Fall erfindet man nur allzu oft das Rad wieder neu, vergeudet viel Zeit durch das Beschreiten und Korrigieren von Irrwegen und geht das Risiko suboptimaler Lösungen ein.

Bezeichnend ist, dass diejenigen Daten verarbeitenden Stellen, die aufgrund der Regelungen im SGB X Sozialdatenschutzbeauftragte zu bestellen haben, und die, die bereits in der Vergangenheit die Zuständigkeit für alle Fragen des Datenschutzes und der Datensicherheit auf einen internen Datenschutzbeauftragten konzentriert haben, sich mit dieser Lösung sehr zufrieden zeigen und nicht bestrebt sind, zu der früheren Zersplitterung zurückzukehren.







Befürchtungen, dass durch die gesetzlich vorgeschriebene Anbindung des behördlichen Datenschutzbeauftragten unmittelbar an die Behördenleitung, durch die Weisungsfreiheit und das Benachteiligungsverbot eine "Behörde in der Behörde" aufgebaut wird, sind unbegründet. Falsch ist auch die Annahme, die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften, die Unterrichtung der Beschäftigten über das Datenschutzrecht und die Beratung der Behörden bei der Gestaltung automatisierter Verfahren würden zu mehr behördeninterner Bürokratie führen. Dass das Gegenteil vom Gesetzgeber gewollt ist, zeigt sich daran, dass das Verfahrensverzeichnis und die Unterlagen über besonders sensible automatisierte Verfahren nicht dem Unabhängigen Landeszentrum für Datenschutz übersandt bzw. zur Prüfung vorgelegt werden müssen, wenn ein behördlicher Datenschutzbeauftragter bestellt ist und dieser die entsprechenden Kontrollaufgaben (im Hause) übernimmt. Außerdem ist es auch völlig unschädlich, wenn dem behördlichen Datenschutzbeauftragten neben seiner eigentlichen Aufgabe auch andere Zuständigkeiten übertragen werden. Sehr effektiv lassen sich Organisations-, Revisions- und Controllingfunktionen sowie die Auskunftserteilung und die Öffentlichkeitsarbeit mit dieser Aufgabenstellung kombinieren. Manche Behördenchefs, die verzweifelt fragen, wie sie denn ihrer Leitungsfunktion im Bereich der automatisierten Datenverarbeitung nachkommen sollen, können in der Bestellung eines kompetenten behördlichen Datenschutzbeauftragten die Lösung ihres Problems finden.

Sicherlich muss einem behördlichen Datenschutzbeauftragten für seine Aufgabe und die Vorbereitung darauf (Schulung) ein angemessenes Zeitkontingent zur Verfügung stehen. Dies ist aber kein zusätzlicher Aufwand, sondern in der Regel weniger, als an anderen Stellen eingespart wird. Per Saldo ergibt sich also ein Zeit- und Qualitätsgewinn. Wo dies nicht der Fall ist, wurden möglicherweise die Datenschutzaufgaben bislang vernachlässigt. Für die Erfüllung der gesetzlichen Aufgaben bedarf es eines behördlichen "Full-Time-Datenschutzbeauftragten" nur in großen Behörden oder wenn mehrere Behörden ihn gemeinsam bestellt haben.

Was ist zu tun?
Zumindest Kommunalbehörden mit mehr als 20 Mitarbeitern sollten zeitnah behördliche Datenschutzbeauftragte bestellen. Wird hierauf verzichtet, sind die Verfahrensverzeichnisse und die Unterlagen über besonders sensible Verfahren unverzüglich dem ULD zur Dokumentation bzw. Kontrolle zu übersenden.

4.1.2

Unkalkulierbare Risiken bei Internet-Anschlüssen

Für die Verknüpfung der Rechnersysteme von Behörden mit dem Internet gibt es noch keine Standardsicherheitspakete. Der Glaube vieler Verantwortlicher an die "Wunderwirkung" von Firewalls führt dazu, dass die tatsächlichen Sicherheitsrisiken übersehen werden. Datenschutzgerechte Lösungen führen im Augenblick nur über eine Selbstbeschränkung der Behörden und die Erarbeitung von maßgeschneiderten Sicherheitskonzepten.

Voll Erstaunen und Bewunderung werden immer wieder die großen Technologiesprünge im Bereich der Informationsverarbeitung beschrieben. Die Rechnergeschwindigkeiten, die Speicherkapazitäten und die Übertragungsbandbreiten weisen in der Tat nach wie vor eine steil nach oben zeigende Tendenz auf. Ganz anders sieht es in einigen Teilbereichen der Softwareentwicklung aus; hier scheint die Zeit stehen geblieben zu sein. Ein hierfür typisches Segment ist die Verknüpfung lokaler Netzwerke mit anderen Netzen, insbesondere mit dem Internet. Die Probleme sind seit mehreren Jahren bekannt und vielfach beschrieben (vgl. z. B. 20. TB, Tz. 7.5.1; 21. TB, Tz. 7.1.2 und 22. TB, Tz. 7.1.1 sowie die nebenstehenden aktuellen Zitate).

Die Gegebenheiten in der Praxis haben sich gleichwohl nicht entscheidend geändert. Immer mehr Behörden eröffnen den E-Mail-Verkehr mit der "ganzen Welt" und lassen ihre Mitarbeiterinnen und Mitarbeiter im Internet surfen, wo immer es ihnen beliebt, nur Porno und Gewaltverherrlichung sind verboten. Auf die Frage nach den Sicherheitsvorkehrungen kommt die Antwort: "Wir haben eine Firewall."

Diese Softwareprodukte sind offenbar in den Augen vieler Behördenleiter eine Wunderwaffe in Bezug auf die Datensicherheit. Hat man eine Firewall, glaubt man die Welt in Ordnung und das böse Internet gezähmt. Welche Funktionalitäten die eingekaufte Software wirklich hat, welche Internet-Angriffe herausgefiltert werden können und welche tatsächlich unerkannt durchgelassen werden, wird meist nicht hinterfragt. Auch die Warnungen einiger Anbieter von Firewalls, wie z. B. der Datenzentrale in ihrer Leistungsbeschreibung ("Die Firewall bietet keinen Schutz vor der Übertragung gefährlicher Daten, wie z. B. mit Viren verseuchte Programme oder Dokumente/
Dateianlagen bei elektronischer Post. Es liegt in der Verantwortung des Anwenders, selbst geeignete Maßnahmen zur Erkennung und Abwehr derartiger Angriffe zu treffen."), führen nur selten zu maßgeschneiderten Sicherheitskonzepten, mit denen die Risiken auf ein vertretbares Maß reduziert werden.

Es fällt vielen Verantwortlichen schwer, die Tatsache zur Kenntnis zu nehmen, dass es in diesem Bereich (noch) keine Sicherheitspakete gibt, die man "von der Stange" kaufen kann. Ebenso schwer ist ihnen zu vermitteln, dass die Angreifbarkeit ihrer Behördenrechner aus den externen Netzen nicht mit "ein bisschen Software" behoben werden kann, solange selbst die von ihnen eingesetzten Betriebssysteme strukturelle Sicherheitslücken aufweisen. Fakt ist, dass die IT-Industrie zurzeit zwar die Taktraten der PC im Jahresrhythmus verdoppeln, nicht aber deren Sicherheitsprobleme halbieren kann.

In dieser Situation wird verstärkt nach Lösungen durch den Datenschutzbeauftragten gerufen. Wer die personelle und finanzielle Ausstattung des Unabhängigen Landeszentrums für Datenschutz kennt, dem dürfte klar sein, dass es nicht die Rolle des "Trouble-Shooters" für Microsoft, INTEL usw. bzw. für die großen IT-Abteilungen in Wirtschaft und Verwaltung übernehmen kann. Gleichwohl versuchen wir, im Rahmen von zwei Projekten mit unterschiedlichen Ansätzen zu Lösungen zu gelangen, die in der Verwaltungspraxis als Muster dienen können.

Das Virtual Network Computing (VNC), das im Rahmen des virtuellen Datenschutzbüros erprobt wird, haben wir bereits im letzten Tätigkeitsbericht (vgl. 22. TB, Tz. 7.1.1) erläutert. Das Konzept, das auf einer spezifischen Kombination von Hard- und Softwarekomponenten aufbaut, befindet sich seit Dezember 2000 im Echtbetrieb (vgl. Tz. 10.4). Aussagefähige Erfahrungen werden etwa Mitte 2001 vorliegen. Wir werden sie dann den Daten verarbeitenden Stellen im Lande zur Verfügung stellen.

An dem zweiten Projekt ist ganz wesentlich der Kreis Ostholstein beteiligt. Hier wird versucht, die Wirkungsweise gängiger Sicherheitsprodukte dadurch zu optimieren, dass durch einen genau definierten "Strauß" von technischen und organisatorischen Maßnahmen zwar die erforderlichen Internet-Funktionalitäten zur Verfügung gestellt, die riskanten aber eliminiert werden. Die Vorgehensweise des Kreises ist in doppelter Hinsicht bemerkenswert: Zunächst wurde bereits während der Planungsphase festgelegt, welche Formen der Internet-Nutzung durch die Mitarbeiterinnen und Mitarbeiter einen Sinn machen und bei welchen die damit verbundenen Risiken in einem unangemessenen Verhältnis zum Nutzen stehen. Auf diese Weise war es z. B. möglich, einen Katalog nutzbringender und gleichzeitig vertrauenswürdiger WWW-Sites aufzustellen und E-Mails mit Anhängen als so unerwünscht zu klassifizieren, dass sie erst nach einer individuellen Überprüfung durch die IT-Abteilung ausnahmsweise auf dem Arbeitsplatz zur Verfügung gestellt werden. Ein weiterer wesentlicher Punkt des Sicherheitskonzeptes besteht in der Absicht, die realisierte Lösung vor ihrem Echteinsatz von einem versierten externen Internet-Dienstleistungsunternehmen auf ihre Wirksamkeit hin testen zu lassen. Die Finanzmittel hierfür waren von vornherein eingeplant. Dabei gehen die Projektverantwortlichen nicht davon aus, dass sie bereits im ersten Anlauf eine schlechthin "sichere" Lösung gefunden haben. Die Tests sollen vielmehr zu weiteren Optimierungen führen, sodass sich Erfolg versprechende Angriffe aus den fremden Netzen so aufwändig gestalten, dass potenzielle Angreifer hinreichend wirksam abgeschreckt werden. Das Projekt wird Anfang 2001 in die Testphase gehen. Auch über dessen Ergebnisse werden wir berichten.

Was ist zu tun?
Wer nicht die Geduld aufbringt, bis zur Entwicklung und Erprobung von Musterlösungen die Internet-Kommunikation über isolierte Rechner zu realisieren, kommt an der Entwicklung eines maßgeschneiderten Sicherheitskonzeptes nicht vorbei. Die derzeit auf dem Markt angebotenen Sicherheitsprodukte sind zwar nützlich, führen aber ohne eine Anpassung an die jeweiligen Gegebenheiten nicht zu dem erforderlichen Sicherheitsgewinn.

4.1.3

Datenschutz bei Mandatsträgern

Die Einhaltung des Datenschutzes ist auch im ehrenamtlichen Bereich der Gemeinden sicherzustellen. Eine Gemeinde hat aus diesem Grund in Zusammenarbeit mit uns vorbildliche Regelungen für die Geschäftsordnung der Gemeindevertretung und die Ausschüsse entworfen.

Auch kommunale Mandatsträger dürfen als Funktionsträger der Behörde personenbezogene Daten nur verarbeiten, soweit dies für ihre rechtmäßige Aufgabenerfüllung erforderlich ist. Diese Datenverarbeitung ist sowohl im automatisierten wie im konventionellen Bereich durch ausreichende technische und organisatorische Datensicherheitsmaßnahmen zu schützen. Dazu gehören z. B. auch Regelungen über die Speicherung und Verwendung vertraulicher Sitzungsunterlagen durch Mandatsträger.

Notwendige Detailregelungen für die Daten verarbeitende Stelle können bei einer Gemeinde nicht durch den Bürgermeister getroffen werden, da er insoweit keine Weisungsbefugnisse gegenüber der Gemeindevertretung als Organ der Behörde hat. Selbst bei Kommunen, die bereits über eine allgemeine Datenschutzdienstanweisung für die Verwaltung verfügen, entfaltet diese gegenüber den Mandatsträgern keine Wirkung.

In einem Pilotprojekt haben wir jetzt die Gemeinde Henstedt-Ulzburg bei der Aufnahme entsprechender Regelungen in die Geschäftsordnung der Gemeindevertretung beraten. Zunächst wurden die Gemeindevertreter im Rahmen einer Informationsveranstaltung von uns über die rechtlichen Rahmenbedingungen aufgeklärt. Anschließend konnten sie selbst unter Beachtung der gesetzlichen Maßgaben, insbesondere des Landesdatenschutzgesetzes sowie der Gemeindeordnung, in der Geschäftsordnung den Begriff des Erforderlichen für ihre Arbeit konkretisieren sowie einheitliche Datenschutzstandards für alle Mandatsträger in geeigneter Weise verbindlich festlegen.

Die inzwischen beschlossene Geschäftsordnung ist aus unserer Sicht geeignet, einen guten und wichtigen Beitrag zur Regelung der Datenverarbeitung durch kommunale Mandatsträger zu leisten. Die Stadt Kaltenkirchen hat sich dem Beispiel bereits angeschlossen und eine entsprechende Novellierung ihrer Geschäftsordnung verabschiedet. Andere Kommunen befinden sich noch in der Beratungsphase. Die von der Gemeinde Henstedt-Ulzburg beschlossenen Regelungen können auf unserer Homepage nachgelesen werden unter:

www.datenschutzzentrum.de/material/themen/divers/dsingo.htm

Was ist zu tun?
Jede Kommune sollte für ihren Bereich prüfen, ob sie über ausreichende Regelungen zum Datenschutz für ihren ehrenamtlichen Bereich verfügt. Die Regelungen der Gemeinde Henstedt-Ulzburg können dabei als Messlatte herangezogen werden.

4.1.4

Welche von den Kommunen betriebene Gesellschaften "müssen" das LDSG anwenden?

Viele Kommunen haben GmbHs und andere Gesellschaften gegründet, die die Ver- und Entsorgung oder den Nahverkehr abwickeln. Für die Datenverarbeitung dieser Gesellschaften gilt das LDSG, wenn sie Aufgaben der Daseinsvorsorge erbringen.

Die Stadtwerke, Verkehrs- und Entsorgungsbetriebe vieler größerer Kommunen Schleswig-Holsteins werden neuerdings als GmbH organisiert, an der die öffentliche Hand die Mehrheit der Anteile hält. Sie betreiben ihrerseits nicht selten verschiedene privatrechtlich organisierte Tochtergesellschaften, deren Geschäftszwecke im Bereich der Energie- und Wasserversorgung sowie in der Durchführung des öffentlichen Personennahverkehrs angesiedelt sind, teilweise werden Telekommunikationsdienstleistungen und dergleichen erbracht.

Im Rahmen von Beratungen wiesen wir auf Folgendes hin: Das neue LDSG findet auch Anwendung auf Vereinigungen des privaten Rechts, die von juristischen Personen des öffentlichen Rechts beherrscht werden und die Aufgaben der öffentlichen Verwaltung wahrnehmen. Der Gesetzgeber hat so einer Verschlechterung des Datenschutzes der Bürgerinnen und Bürger durch Privatisierung entgegengewirkt. Entscheidendes Kriterium für die Anwendung des LDSG ist nämlich die Erfüllung öffentlicher Aufgaben, insbesondere im Bereich der Daseinsvorsorge. Die Energie- und Wasserversorgung sowie die Gewährleistung des öffentlichen Personennahverkehrs gehören zur Daseinsvorsorge, was für die Energieversorgung ausdrücklich durch das Bundesverfassungsgericht festgestellt wurde. Dagegen zählt die Erbringung von Telekommunikationsdienstleistungen seit der Liberalisierung dieses Sektors nicht mehr zur Daseinsvorsorge, sondern es handelt sich hierbei um eine privatwirtschaftliche Tätigkeit, sodass das LDSG nicht zwingend anzuwenden ist.

Wir wiesen aber auf Folgendes hin: Auch wenn das Landesdatenschutzgesetz nicht zwingend auf juristische Personen des Privatrechts angewandt werden muss, so ist dies natürlich keineswegs "verboten". Im Zeitalter der Service- und Kundenorientierung steht es Unternehmen der öffentlichen Hand gut an, ihren Kunden den Service des schleswig-holsteinischen Landesdatenschutzgesetzes anzubieten, der besser ist als der des Bundesdatenschutzgesetzes. Viele Kunden wissen es zu schätzen, wenn ihnen ein gutes, einheitliches Datenschutzniveau auch dann geboten wird, wenn die öffentliche Hand private Gesellschaften betreibt.

Was ist zu tun?
Privatrechtliche Vereinigungen, an denen öffentliche Stellen die Mehrheit der Anteile halten, müssen das LDSG anwenden, wenn sie Leistungen der Daseinsvorsorge erbringen. Das ist bei vielen Infrastrukturleistungen der Fall. Es steht ihnen frei, den Datenschutzservice des LDSG auch darüber hinausgehend anzubieten.

4.1.5

Nachweis der Elterndaten bei der melderechtlichen Anmeldung

Bisher mussten "Kinder" bis zur Vollendung des 27. Lebensjahres bei der melderechtlichen Anmeldung die Daten ihrer Eltern nachweisen. Dieses bürokratische Verfahren wird jetzt abgeschafft.

Nach der Änderung des schleswig-holsteinischen Meldegesetzes und der Meldescheinverordnung wurde auch das im Melderegister zu speichernde Datenprofil geändert. Die Meldeämter sind seitdem verpflichtet, von Meldepflichtigen, die das 27. Lebensjahr noch nicht vollendet haben, Name, Anschrift und Geburtsdatum der Eltern zu erheben. Laut amtlicher Begründung zum Meldegesetz sollten durch die Änderung die melderechtlichen Voraussetzungen für die Berücksichtigung der vielfältigen Eltern-Kind-Beziehungen, die auch nach Vollendung des 18. Lebensjahres eines Kindes bestehen, geschaffen werden. Insbesondere sollte damit die Erteilung notwendiger Bescheinigungen für den Bereich der sozialen Sicherung (z. B. an die Zentralstelle für die Vergabe von Studienplätzen) erleichtert werden. Die Altersgrenze von 27 Jahren wurde gewählt, weil sie auch in anderen Rechtsbereichen (z. B. bei der Gewährung von Kindergeld) maßgeblich ist.

Bereits bei der Einführung der neuen Regelung in die Praxis hat sich gezeigt, dass damit ein erheblicher bürokratischer Mehraufwand verbunden ist, der in Anbetracht der großen Fallzahlen bei der meldebehördlichen Anmeldung spürbare Auswirkungen auf die gesamte Arbeitsbelastung der Meldebehörden haben musste. Hinzu kam in vielen Fällen der Unmut der Betroffenen, die den Sinn der Datenspeicherung bei volljährigen Personen nicht einzusehen vermochten.

Da die Daten im Einzelfall Grundlage für Bescheinigungen oder für Datenübermittlungen sein sollen, muss natürlich auch deren Richtigkeit von der Meldebehörde in einem Mindestmaß überprüft werden. Bei einer kreisfreien Stadt wurden zu diesem Zweck von den Meldepflichtigen regelmäßig Kopien der Personalausweise der Eltern gefordert und gegebenenfalls bei Nichtvorlage ein Bußgeldverfahren eingeleitet. Aufgrund unseres Hinweises, dass solche Unterlagen nicht der Verfügungsgewalt und damit der Auskunftspflicht der meldepflichtigen Kinder unterliegen, sind die anhängigen Bußgeldverfahren eingestellt worden.

Aus datenschutzrechtlicher Sicht rechtfertigen die in der amtlichen Begründung angegebenen Zwecke nicht eine derart komplizierte Datenerhebung. In Gesprächen mit dem Innenministerium konnte jetzt Einvernehmen darüber erzielt werden, die Meldescheinverordnung so abzuändern, dass nur noch von Minderjährigen im Zuge der Anmeldung Angaben zu ihren Eltern erhoben werden. Wir sehen darin einen begrüßenswerten Beitrag zur Entbürokratisierung des Meldewesens.

Was ist zu tun?
Die Meldebehörden können künftig auf die Erhebung der Elterndaten bei der Anmeldung volljähriger Personen verzichten.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel