15. Tätigkeitsbericht (1993)


6.

Ordnungsmäßigkeit der Datenverarbeitung

6.1

Prüfungen im Bereich der automatisierten Datenverarbeitung

6.1.1

Erst ins Wasser springen, dann das Schwimmen lernen?

Der Einsatz informationstechnischer Systeme in Behörden setzt aus Sicherheitsgründen eine eingehende Planung sowie aufbau- und ablauforganisatorische Änderungen voraus, bevor mit dem praktischen Betrieb begonnen wird. Dies war bei einem geprüften Amt für Land- und Wasserwirtschaft nicht beachtet worden.

Viele Behörden im Landesbereich, aber auch die meisten Kommunen, werden in der Weise an die automatisierte Datenverarbeitung herangeführt, daß sie zunächst an zentralen Verfahren, die in der Regel von der Datenzentrale oder anderen Softwarehäusern und Rechenzentren betrieben werden, teilhaben. In diesen Fällen finden wesentliche Teile der Datenverarbeitung außer Haus statt. Die zu verarbeitenden Daten werden vor Ort erfaßt, dem Rechenzentrum zugeleitet und dort verarbeitet. Die maschinell erzeugten Bescheide und sonstigen Unterlagen gelangen in Papierform zurück und werden nach einer Schlußprüfung versandt. Die Akten enthalten weiterhin alle relevanten Verwaltungsdaten auf papierenden Datenträgern. Die EDV-Dateien im Rechenzentrum dienen nur als "Arbeitskopien". Die zugrundeliegende Software wird in der Regel zentral getestet und zum Einsatz freigegeben. In den Behörden sind folglich nur geringe aufbau- und ablauforganisatorische Veränderungen erforderlich. Typische "Vertreter" dieser Datenverarbeitungskonzeption sind die Basisversionen des Einwohnerinformationssystems, des Besoldungs-und Vergütungs-, des Wohngeld- sowie des Bafög-Verfahrens der Datenzentrale.

Nimmt dann die Zahl der auf diese Weise betriebenden automatisierten Verfahren zu und will man Anwendungen der Textbearbeitung und Bürokommunikation einbeziehen, stehen die Behörden irgendwann vor dem Problem, im eigenen Hause ein Rechnersystem zu installieren und sich datenverarbeitungstechnisch selbständig zu machen. Die sich daraus ergebenden personellen, technischen und organisatorischen Konsequenzen werden allerdings häufig unterschätzt. Dies zeigte sich auch im Rahmen einer Prüfung bei einem Amt für Land- und Wasserwirtschaft, dem nach dem Willen des Ministers für Ernährung, Landwirtschaft, Forsten und Fischerei bei der Einführung der dezentralisierten Informationstechnik eine Art Pilotfunktion zukommen sollte.

Die dort bei einer Kontrolle vorgefundenen Schwachstellen lassen sich wie folgt zusammenfassen:

  • Die Installation des Rechnersystems, an das bereits in der ersten Ausbaustufe 16 Terminals angeschlossen waren, ist zwar vom Ministerium für Ernährung, Landwirtschaft, Forsten und Fischerei angewiesen worden, eine Beschreibung und verbindliche Festlegung der damit verbundenen aufbau-und ablauforganisatorischen Änderungen wurde der Behörde jedoch nicht "mitgeliefert".

  • Ein einige Jahre zuvor entwickeltes Gesamtkonzept für die Automation in den Ämtern für Land- und Wasserwirtschaft wurde nicht fortgeschrieben und war also veraltet. Somit bestanden keine Hilfestellungen bei der Entscheidung der Frage, in welchen Ausbaustufen die Verfahren und das informationstechnische System weiterentwickelt werden sollten und welche Konsequenzen bereits zu Beginn des Betriebes aus der geplanten künftigen Entwicklung zu ziehen waren.

  • Es war seitens des Ministeriums für Ernährung, Landwirtschaft, Forsten und Fischerei geplant, das System in einem weitgehend operatorlosen Betrieb zu fahren und die "kritischen" Systemfunktionen im Rahmen einer Fernwartung zentral zu steuern. Die dafür erforderliche systemnahe Software war im Zeitpunkt der Installation des Betriebssystems aber noch gar nicht fertig. Somit war auch unklar, welche Funktionen die sogenannten Systemkoordinatoren auszuüben hatten, welche Qualifikationen für ihre Arbeit erforderlich waren und welche Überwachungsfunktionen den büroleitenden Beamten zuzuweisen waren.

  • Eine Dienstanweisung für das im Zeitpunkt der Prüfung installierte informationstechnische System und die weiteren Personal-Computer bestanden nicht. Dementsprechend gab es auch keine Festlegungen über den Test und die Freigabe von Software. Das galt auch für Programme und Prozeduren, die Mitarbeiter des Amtes für Land-und Wasserwirtschaft selbst entwickelt haben.

  • Die Systemaktivitäten wurden nicht revisionsfähig dokumentiert.

  • Der zuständige Dezernent war nicht so ausgebildet worden, daß es ihm möglich war, die Tätigkeit seiner Mitarbeiter im Bereich der Systembetreuung wirksam zu überwachen.

Die informationstechnische Situation in dieser Behörde ließ sich also recht gut in der Weise beschreiben, daß man erst einmal begonnen hatte, Daten automatisiert zu verarbeiten, bevor die dafür unabdingbaren Regelungen ergangen waren.

Wir haben diese Vorgehensweise wegen des Verstoßes gegen die im Landesdatenschutzgesetz festgelegten Datensicherungs- und Überwachungsgebote beanstandet und sowohl den Minister für Ernährung, Landwirtschaft, Forsten und Fischerei als weisungsbefugte Aufsichtsbehörde als auch das Amt für Land- und Wasserwirtschaft zur Mängelbeseitigung aufgefordert. Die diesbezüglichen Aktivitäten liefen zunächst zögerlich an. Man rüstete zwar auch die anderen Ämter für Land- und Wasserwirtschaft mit Informationstechnik aus. In Anbetracht der Tatsache, daß auf allen Systemen zunächst im wesentlichen nur Textbearbeitung und Datenerfassung betrieben wurde, meinte man jedoch nach wie vor, die grundsätzlichen organisatorischen und technischen Regelungen erst zu einem späteren Zeitpunkt treffen zu können. Bezeichnend war die Kennzeichnung einer auf unser Drängen geschaffenen Dienstanweisung als "vorläufig". Ungeklärt blieb beispielsweise die Frage, ob das in ihr geregelte Verfahren vorläufig war, oder ob das Verfahren zwar endgültig, die Verfahrensregelungen aber noch nicht abschließend definiert waren.

Die Situation änderte sich schlagartig, als die unter Tz. 4.9.1 dieses Berichtes beschriebene Reform der EG-Agrarpolitik in den Ämtern für Land- und Wasserwirtschaft zu bewältigen war. "Aus dem Stand" mußten nun viele neue automatisierte Verfahren realisiert und eingesetzt werden, die praktisch alle unsere Forderungen an die Sicherheit und Ordnungsmäßigkeit zwingend voraussetzten.

  • In allen Ämtern für Land- und Wasserwirtschaft mußten als neue Organisationseinheiten sogenannten IT-Leitstellen eingerichtet werden.

  • Da die Rechnerkapazitäten zu verdoppeln waren, mußte die Systembetreuung straff organisiert werden (Ausbildung, Vertretungsregelung, Zuständigkeiten, Definition der Schnittstellen zur Datenzentrale und zum Automationsreferat des Ministeriums für Ernährung, Landwirtschaft, Forsten und Fischerei).

  • Die zuständigen Dezernenten mußten kurzfristig in ihre neuen Aufgaben eingewiesen werden.

  • Die Datensicherungsmaßnahmen waren darauf abzustellen, daß mit Hilfe der automatisierten Verfahren Millionenbeträge ausgezahlt werden und riesige revisionsfähige Datenbestände über lange Zeiträume vorzuhalten sind.

  • Im Hinblick auf die Softwarepflege bedurfte es neuer und vor allen Dingen einheitlicher Dokumentationsmethoden für Programme und Verfahren.

  • Die Lösung weiterer Problemstellungen wie die Abnahme, Freigabe, Verteilung und Versionsverwaltung von Programmen, der Schutz gegen Datenverluste, der Transport, die Archivierung, die Löschung und die Entsorgung von Datenträgern, der Brandschutz, die unterbrechungsfreie Stromversorgung usw. erlangte plötzlich höchste Priorität.

    Der Minister für Ernährung, Landwirtschaft, Forsten und Fischerei hat uns über seine Aktivitäten laufend informiert und sich beraten lassen. Wenn in den vorgelegten Verfahrensregelungen auch noch recht häufig "in Vorbereitung" zu lesen ist, so ist doch erkennbar, daß die im Rahmen der Prüfung erhobenen datenschutzrechtlichen Forderungen nunmehr umgesetzt werden. Diese zeitlichen und personellen Engpässe zu vermeiden gewesen, wenn bereits in der Pilotphase auf der Basis eines sorgfältig ausgearbeiteten Organisations- und Sicherheitskonzeptes gearbeitet worden wäre. Dieses Problem begegnet in zunehmendem Maße in allen Verwaltungsbereichen und verlangt eine allgemeinverbindliche administrative Lösung. Die zu erlassene Verordnung nach § 7 Abs. 4 LDSG dürfte hierzu Gelegenheit bieten (vgl. Tz. 6.3.1 dieses Berichtes).



6.1.2

Die automatisierte Datenverarbeitung einer Großstadt

Die Organisation der automatisierten Datenverarbeitung muß ständig den tatsächlichen technischen Gegebenheiten angepaßt werden. Ein veraltetes Regelwerk ist in der Praxis ein ebenso großes Sicherheitsrisiko wie fehlende Regelungen.

Nach der Hansestadt Lübeck, der Datenzentrale, den Rechenzentren der Oberfinanzdirektion und der Ortskrankenkassen sowie der Landesversicherungsanstalt haben wir mit der Landeshauptstadt Kiel im abgelaufenen Jahr einen weiteren der ganz "großen" öffentlichen Datenverarbeiter in unserem Zuständigkeitsbereich einer Prüfung hinsichtlich der Sicherheit und Ordnungsmäßigkeit der automatisierten Verfahren unterzogen. Dabei zeigte sich einmal mehr, daß die datenschutzrechtlichen Problemstellungen bei den vorgenannten datenverarbeitenden Stellen trotz unterschiedlicher Aufgabenstellungen und historischer Entwicklungen (diesen Begriff kann man im Bereich der EDV für einen Zeitraum von nur 25 Jahren durchaus benutzen) in ihren Grundstrukturen zwar nahezu identisch sind, daß aber die Lösungen sehr "individuell" auf die jeweiligen rechtlichen, personellen und örtlichen Gegebenheiten abgestimmt sein müssen, um die nötige Effektivität zu erzielen.

Die automatisierte Datenverarbeitung der Stadt Kiel ist gekennzeichnet durch eine außergewöhnliche Heterogenität und ein signifikantes Volumen. Obwohl im Rahmen der Prüfung wegen der fehlenden zentralen Dokumentation (s.a. weiter unten) die genauen Zahlen nicht ermittelt werden konnten, läßt sich feststellen, daß für die Verwaltung dieser rund 250 000 Einwohner zählenden Stadt

  • mehr als 54 Rechnersysteme unter der Steuerung von

  • 9 unterschiedlichen Betriebssystemen mit einer Kapazität von

  • mehr als 350 MB Hauptspeicher und

  • mehr als 1900 MB Festplattenspeicherplatz sowie

  • mehr als 400 Bildschirmterminals und

  • mehr als 120 Druckerterminals eingesetzt werden.

Welches Volumen an Software mit Hilfe dieser Hardware zum Einsatz gelangt, läßt sich an zwei Zahlen deutlich machen: Allein für die vielfältigen Auswertungen aus dem Melderegister sind mehr als 500 Haupt- und Unterprogramme erforderlich. Das Gesamtverfahren "Personalwesen" setzt sich aus ca. 850 Haupt- und Unterprogrammen zusammen, durch die über 200 Dateien in ca. 50 Abläufen verwaltet werden.

Eine vollständige Bestandsaufnahme und datenschutzrechtliche Überprüfung der gesamten Software und der damit verbundenen automatisierten Verwaltungsabläufe hätte unter diesen Gegebenheiten den zeitlich vorgegebenen Rahmen der Prüfung gesprengt. Aber bereits eine stichprobenweise Überprüfung führte zu zahlreichen Beanstandungen, deren Zielrichtung sich an einer Auswahl der wichtigsten Vorschläge aufzeichen läßt, die wir zur Verbesserung des Datenschutzes gemacht haben:

  • Klarstellung der Aufbauorganisation

    Es sollte dem EDV-Leiter nicht formell die "fachliche und personelle Verantwortung für das gesamte Informationsgeschehen" übertragen sein, wenn die Datenverarbeitung in den Fachämtern tatsächlich längst ein Eigenleben führt.

  • Überarbeitung und Ergänzung der ablauforganisatorischen Regelungen

    Dienst- und Geschäftsanweisungen sollten aktuell sein und so formuliert werden, daß sie klare Handlungsanweisungen für die jeweiligen Adressaten darstellen. Ein Abweichen von den Anweisungen sollte nur mit ausdrücklicher schriftlicher Genehmigung des jeweiligen Amtsleiters möglich sein.

  • Übernahme der Verantwortung durch die anweisende Ebene

    Die Einbeziehung von "Spezialisten" auf der sachbearbeitenden Ebene (Programmierer, Systemkoordinatoren usw.) darf nicht dazu führen, daß kontrollfreie Räume entstehen. Die anweisende Ebene muß in die Pflicht genommen werden, die automatisierten Verfahren in ihrem Zuständigkeitsbereich zumindest in dem gleichen Maße zu beherrschen, wie es bei der konventionellen Abwicklung des Verwaltungshandelns als selbstverständlich angesehen wurde.

  • Definition der Aufgaben der EDV-Koordinatoren

    Mit der Aufgabe der EDV-Koordination sollten nur Mitarbeiter betraut werden, die über die erforderliche Fachkunde auf dem Gebiet der Datenverarbeitung (ausgerichtet auf die tatsächlichen Konfigurationen und Anwendungen in dem jeweiligen Bereich), des Datenverarbeitungs- und des Datenschutzrechts sowie der Verfahrensinhalte verfügen.

  • Neuregelung der Auftragsdatenverarbeitung

    Es sollte in den vertraglichen Vereinbarungen mit dem Rechenzentrum exakt beschrieben werden, durch welche Maßnahmen gewährleistet wird, daß dieses keinen Zugriff auf die Daten bzw. keine sonstigen Einflußmöglichkeiten auf die Produktionsabläufe der Stadt Kiel hat.

  • Schaffung von Sicherheitskonzepten für die Hardware-Komponenten

    Für alle Hardware-Komponenten, die über ein veränderbares Betriebssystem, Programmspeicher usw. verfügen (insbesondere also auch für PC), sollten schriftliche Sicherheitskonzepte erstellt werden, aus denen hervorgeht, welche konkreten Risiken durch welche Maßnahmen auf ein vertretbares Maß reduziert worden sind.

  • Verbesserung des Test- und Freigabeverfahrens

    Das Test- und Freigabeverfahren sollte nicht für die einzelnen Anwendungen unterschiedlich, sondern allgemeinverbindlich festgeschrieben werden. Dabei sollten die testenden Stellen verpflichtet werden, Art und Umfang der Tests so zu dokumentieren, daß später deren Intensität und Ergebnisse nachvollzogen werden können.

  • Realisierung einer umfassenden und einheitlichen Hard- und Software-Dokumentation

    In Anbetracht des umfangreichen Hard- und Software-Potentials und um der Verpflichtung aus dem Landesdatenschutzgesetz, ein "Geräteverzeichnis" über die eingesetzten Geräte, Betriebssysteme und Programme zu führen, nachzukommen, sollte an einer zentralen Stelle eine Hard- und Software-registrierung erfolgen. Es muß im Ergebnis möglich sein, zu jedem Zeitpunkt festzustellen, wo welche Hardware und welche Software zu welchen Zwecken installiert ist. Für die Dokumentation von Software sollten einheitliche und umsetzbare Mindestanforderungen für alle Organisationseinheiten, denen die Befugnis erteilt worden ist, Software zu erstellen und/oder zu implementieren, festgelegt werden. Die Erstellung und Fortschreibung dieser Dokumentation sollte zwingende Voraussetzung für die Freigabe der Verfahren zum Einsatz sein.

  • Beschreibung der Funktion der EDV-Abteilung als "Software-Haus" und "Rechenzentrum"

    In Anbetracht der Tatsache, daß die Software-Erstellung durch eine besondere Abteilung für Informationstechnik lediglich eine Dienstleistung darstellt, sollte die Verantwortung der jeweiligen Fachämter für die Rechtmäßigkeit und Richtigkeit der betreffenden Verwaltungsverfahren eindeutig klargestellt werden. Dem "Software-Haus" müßte darüber hinaus vorgegeben sein, in welcher Form und mit Hilfe welcher Methoden die automatisierten Verfahren zu entwickeln und zu dokumentieren sind. Diese Verfahrensregeln sollten für alle Projekte einheitlich und verbindlich sein. Aus Verantwortungs- und Sicherheitsgründen sollte zwischen der "Verfahrensentwicklung" und dem "Rechenzentrum" unterschieden werden.

  • Verbesserung der Datensicherungsmaßnahmen in den Fachämtern

    Die Fachämter sollten jeweils für ihren Verantwortungsbereich ein schriftliches Sicherheitskonzept erstellen, das dem Datenschutzbeauftragten und der Abteilung für Informationstechnik zur Stellungnahme vorgelegt wird. Soweit an sich erforderliche Maßnahmen aus personellen, räumlichen oder finanziellen Gründen nicht ergriffen werden können bzw. sollen, müßte diese Entscheidung dem zuständigen Dezernenten vorbehalten werden. Um ein einheitliches Sicherheitsniveau zu erreichen, sollten in einer Dienstanweisung Mindestanforderungen an die Maßnahmen zur Datensicherheit definiert werden.

  • Optimierung der Schulungsmaßnahmen

    Die datenschutzrechtliche Belehrung aller Mitarbeiter, die dienstlich mit personenbezogenen Daten in "Kontakt" kommen, und die spezielle (arbeitsplatzbezogene) Schulung derjenigen Personen, die mit der Entwicklung, der Steuerung oder der Benutzung automatisierter Verfahren befaßt sind, sollte verbindlich vorgeschrieben werden. Soweit Aufgabenstellungen spezielle Kenntnisse oder Fähigkeiten voraussetzen, sollten die betreffenden Mitarbeiter mit ihnen erst betraut werden, nachdem sie entsprechend geschult worden sind.

  • Bessere personelle Ausstattung des Datenschutzbeauftragten

    Dem Sozialdatenschutzbeauftragten sind die Personal- und Sachmittel zur Verfügung zu stellen, die es ihm ermöglichen, seinen gesetzlichen Verpflichtungen aus dem Sozialgesetzbuch nachzukommen. Über Art und Umfang der erforderlichen Mittel sollte Einvernehmen mit dem Datenschutzbeauftragten hergestellt werden. Sodann sollte die Behördenleitung darauf hinwirken, daß der Datenschutzbeauftragte seine Überwachungs- und Mitwirkungspflichten auch tatsächlich erfüllt. Ihm sollten nur solche weiteren Aufgaben auf dem Gebiet des Datenschutzes übertragen werden, zu deren Erledigung er personell und sachlich auch tatsächlich in der Lage ist. Es sollte dem Zustand entgegengewirkt werden, daß die Behördenleitung sich auf eine Überwachungsfunktion des behördlichen Datenschutzbeauftragten verläßt, die dieser tatsächlich gar nicht ausübt bzw. ausüben kann. Die diesbezüglichen Aufgaben und die Art ihrer Erledigung sollten beschrieben bzw. dokumentiert werden.

Die Umsetzung unserer Verbesserungsvorschläge stellt die Stadt Kiel offenbar vor größere Probleme. Sie hat jedenfalls allein für die Ausarbeitung einer ersten Stellungnahme eine Frist von vier Monaten erbeten. Die praktischen Ergebnisse der Überprüfung können daher erst im nächsten Tätigkeitsbericht dargestellt werden.

6.1.3

Datenschutzrechtliche Forderungen aus einer Prüfung im Jahr 1989 werden noch immer abgearbeitet

Auch wenn Forderungen aus Prüfungsmaßnahmen von den datenverarbeitenden Stellen akzeptiert werden, dauert es oft lange, bis die tatsächlichen Konsequenzen in der Praxis aus ihnen gezogen werden. Häufig sind ergänzende Kontrollen notwendig.

Zu denjenigen Prüfungsmaßnahmen, deren Abwicklung einen unverhältnismäßig langen Zeitraum erfordert, gehört auch die Nachschau bei der Datenzentrale Schleswig-Holstein aus dem Jahre 1989 (vgl. 14. TB, S. 85). Allerdings kann man in diesem Fall der datenverarbeitenden Stelle keine Untätigkeit vorwerfen. Man mag zwar Zweifel haben, ob die Umsetzung der datenschutzrechtlichen Forderungen und Verbesserungsvorschläge bisher mit dem möglichen Nachdruck erfolgt ist, ob alles nicht etwas zügiger hätte in Angriff genommen werden können. Betrachtet man jedoch das Volumen der sich aus der Überprüfung ergebenden technischen und organisatorischen Veränderungen und den damit verbundenen personellen und finanziellen Aufwand, kann man Verständnis dafür haben, daß die Datenzentrale sich die Entscheidungen reiflich überlegt und - aus ihrer Sicht - die Dinge nicht "über das Knie bricht".

Wir haben aus diesem Grunde Vorsorge getroffen, daß die Abarbeitung unserer als berechtigt akzeptierten Forderungen über einen so langen Zeitraum hinweg letztlich nicht im Sande verläuft. Mit der Datenzentrale ist vereinbart, daß sie uns halbjährlich über den Fortgang der Arbeiten informiert. Die diesjährige Bilanz kann man durchaus als eindrucksvoll bezeichnen. Sie umfaßt nicht weniger als 18 Einzelpositionen, in denen die definitive Erledigung, zumindest aber der Fortgang der Arbeiten zur Erledigung eines im Jahre 1990 vereinbarten Maßnahmenkatalogs dargestellt wird. Worum es dabei geht mag ein Beispiel verdeutlichen: Wir hatten beanstandet, daß der Zugriff der Datenzentrale auf die Kundendaten im Rahmen der Auftragsdatenverarbeitung nicht hinreichend geregelt war. Um dieses Problem mit all seinen Randbedingungen in den Griff zu bekommen, sah sich die Datenzentrale veranlaßt, nicht weniger als 15 Arbeitsanweisungen zu ändern bzw. völlig neu zu gestalten.

Gleichwohl spricht die Datenzentrale selbst erst von "wesentlichen Fortschritten" und daß sie erst zu einem späteren Zeitpunkt über den endgültigen Abschluß der Arbeiten unterrichten könne. Aber auch damit wird man aus unserer Sicht die Prüfungsmaßnahme noch nicht "ad acta" legen können. Zwischen der (positiven) Darstellung, daß man etwas getan hat, und dem, was tatsächlich inhaltlich realisiert worden ist, bestehen nicht selten signifikante Unterschiede. Auch dies läßt sich durch zwei Beispiele verdeutlichen:

  • Leistungsbeschreibungen

    Es ist positiv zu bewerten, daß die Datenzentrale für alle automatisierten Verfahren, die sie im kommunalen Bereich anbietet, sogenannte Leistungsbeschreibungen erstellt hat, aus denen hervorgehen soll, welche Dienstleistungen sie im einzelnen im Rahmen der Auftragsdatenverarbeitung erbringt und welche Aktivitäten auch weiterhin von ihren Kunden erbracht werden müssen. Es handelt sich dabei nicht nur um eine Schnittstellendefinition, sondern auch um ein Element der rechtswirksamen Auftragserteilung durch die Behörde, weil die Leistungsbeschreibungen Bestandteil der Verträge werden. Deshalb erscheint es nicht unproblematisch, wenn in einem Verfahren mit Hilfe dessen Sozialdaten verarbeitet werden, folgende Formulierungen benutzt werden: "Zur ... Untersuchung unklarer betrieblicher Störungszustände ... sind die dazu befugten Mitarbeiter der Datenzentrale ... berechtigt, ... bestandsverändernd auf Wohngelddaten zuzugreifen. Solche bestandsverändernden Zugriffe sind zu dokumentieren und dem Kunden zur Kenntnis zu geben." Bestandsveränderungen an Datenbeständen, die einem besonderen Berufs- und Amtsgeheimnis unterliegen, durch einen Auftragnehmer dürften eine der "brisantesten" denkbaren Aktionen eines Auftragnehmers sein. Deshalb wäre gerade hier eine bis ins kleinste Detail ausformulierte Regelung erforderlich gewesen (Wie werden die entsprechenden Weisungen erteilt? Wie wird dokumentiert? Welche Unterlagen erhält der Kunde? usw.).

    An einer anderen Stelle wird festgelegt: "Ausschußmaterial wird unter Beachtung der notwendigen Sicherungsmaßnahmen von der Datenzentrale vernichtet. Die Datenzentrale ist berechtigt, im Rahmen dieser Sicherungsmaßnahmen hiermit auch Subunternehmer zu beauftragten". Dies kann bedeuten, daß die Schredderung von Wohngeldbescheiden nicht im Haus der Datenzentrale, sondern bei einem privaten Unternehmer stattfindet. Die Bescheide gehen diesem Unternehmen gezwungenermaßen in lesbarer Form zu, bevor aus ihnen Papierschnipsel werden. Eine derartige Einschaltung nichtöffentlicher Auftragnehmer unterliegt besonders strengen Regelungen des SGB X. Auf diese rechtliche Gegebenheit wird in den Leistungsbeschreibungen der Datenzentrale nicht eingegangen.

  • Freigabe von automatisierten Verfahren im kommunalen Bereich

    Nachdem der Innenminister im Jahre 1990 bezüglich des Tests und der Freigabe von Programmen und Verfahren im Rahmen des Einwohnerinformationssystems unseren wiederholten Forderungen nachgekommen ist und durch eine entsprechende Weisung an die Meldebehörden für ein datenschutzrechtlich befriedigendes Verfahren gesorgt hat, ist dies von der Datenzentrale in ihrer Publikation für ihre Kunden (Informationsbrief 3/92) als "positiv" für die Qualität der eingesetzten Programme bezeichnet worden. Auch in dem o.a. Sachstandsbericht der Datenzentrale für das Jahr 1992 wird diese Umstellung als Fortschritt erwähnt. Es muß dabei aber erwähnt werden, daß es neben dem Einwohnerinformationssystem eine Vielzahl weiterer Verfahren gibt, für die das Test-und Freigabeverfahren noch nicht umgestellt ist. Noch verlassen sich die Kommunen hier auf eine Überprüfung der Richtigkeit der Programme durch ein Fachgremium, die in einer hinreichend wirksamen Form gar nicht stattfindet.

Für uns ergibt sich aus derartigen Gegebenheiten die Konsequenz, größere Prüfungsmaßnahmen grundsätzlich um die Komponente "Analyse und Bewertung der tatsächlich getroffenen Maßnahmen zur Verbesserung des Datenschutzes" zu ergänzen. Dies wird auch in bezug auf die Prüfung bei der Datenzentrale geschehen.

6.2

Beachtung der neuen Sicherheits- und Ordnungsmäßigkeitsvorschriften

6.2.1

Alle warten auf die Datensicherungsverordnung

Viele Behörden würden verbindliche Vorschriften zur Einhaltung eines bestimmten Datensicherungsniveaus durchaus begrüßen. Die Verordnung zur Datensicherung sollte deshalb bald verabschiedet werden.

Mit dem Hinweis, daß die Landesregierung "jetzt in der Pflicht" sei, haben wir im letzten Tätigkeitsbericht (vgl. 14. TB, S. 72) darauf aufmerksam gemacht, daß sie durch das seit Anfang 1992 geltende Datenschutzgesetz verpflichtet ist, den datenverarbeitenden Stellen im Lande auf dem Verordnungswege nähere Weisungen zu den Themen "Datensicherheit" und "Ordnungsmäßigkeit der Datenverarbeitung" zu erteilen. Durch die frühzeitige Vorlage eigener Regelungsvorschläge und intensive Mitarbeit in vorbereitenden Arbeitsgruppen haben wir zudem versucht, den Gang des Verfahrens zu beschleunigen.

Nach einjähriger Erfahrung mit dem Versuch der Neuregelung der "technischen und organisatorischen Maßnahmen" im Landesdatenschutzgesetz ist festzustellen, daß eine zügigere Behandlung der Angelegenheit angezeigt ist. Die Tatsache, daß die von den datenverarbeitenden Stellen schlicht als "Datensicherungsverordnung" bezeichnete Rechtsverordnung noch nicht beschlossen ist, führt nämlich bei vielen Behörden zu einem faktischen Stillstand bei der Fortentwicklung der Datensicherungsmaßnahmen. Wer will es einem EDV-Leiter auch verdenken, wenn er im Augenblick Entscheidungen über Investitionen in dem Bereich Datensicherheit vor sich herschiebt, weil er fürchtet, nach Inkrafttreten der Verordnung andere Prioritäten setzen zu müssen.

Wir können eine solche "Verzögerungen" natürlich grundsätzlich nicht akzeptieren. Machen wir etwa im Rahmen von Prüfungen Verbesserungsvorschläge, wird stets auch nach Prioritäten gefragt. Dabei ist es zur Zeit durchaus nicht einfach, die Frage zu beantworten: "Und was ist, wenn die Verordnung in Kraft tritt, und dann kein Geld mehr da ist für die Maßnahmen, die durch sie bindend vorgeschrieben werden?"

In diesen Gesprächen zeigt sich zudem, daß die Datenverarbeiter offensichtlich mehr erwarten, als der Innenminister derzeit zu regeln plant. Dies mag ein Beispiel verdeutlichen: Unter Fachleuten ist es unbestritten, daß die Probleme in der Software-Pflege nur durch detaillierte und einheitliche Dokumentationsvorschriften zu lösen sind. Deshalb werden derartige Regelungen auf dem Verordnungswege als selbstverständlich vorausgesetzt. Diskutiert wird eigentlich nur über die Notwendigkeit, für die bereits bestehenden Programme und Verfahren "großzügige" Übergangsregelungen zu schaffen, damit für die Behebung der "Sünden der Vergangenheit" nicht Personal gebunden wird, das man für die Fortführung der aktuellen Projekte benötigt.

Die schwierige Situation, in der sich der Innenminister befindet, weil es für eine derartige Verordnung bundesweit keine Musterlösung gibt, soll nicht verkannt werden. Wir werden deshalb im nächsten Jahr unser Engagement für den raschen Erlaß der Verordnung weiter verstärken.

6.2.2

Datenverarbeitende Stellen versäumen Übersendung der Dateibeschreibungen

Obwohl die datenverarbeitenden Stellen bei der Meldung von Dateien, in denen personenbezogene Daten gespeichert sind, durch Technikeinsatz entlastet werden, kommen viele Behörden ihren Meldepflichten nicht nach.

Auch das neue Datenschutzgesetz sieht vor, daß die datenverarbeitenden Stellen für alle Dateien, in denen personenbezogene Daten gespeichert sind, Dateibeschreibungen zu erstellen haben. Diese Dateibeschreibungen sind bei der Aufnahme der Verarbeitung in Kopie an uns zu übersenden und regelmäßig zu aktualisieren. Wir führen auf der Grundlage der übersandten Unterlagen eine Dateienübersicht, in die jede Person Einsicht nehmen kann. Die Dateienübersicht wird von uns mindestens alle fünf Jahre in geeigneter Weise veröffentlicht.

Da sich die Art und der Umfang der Angaben in den Dateibeschreibungen nach altem und nach neuem Recht nicht vollständig decken, hätten eigentlich auch diejenigen Dateien neu gemeldet und registriert werden müssen, die bereits seit Jahren benutzt werden. Es handelt sich dabei um eine Größenordnung von mehreren tausend Dateien.

Unter Berücksichtigung der Schwierigkeiten, die beim Aufbau des bisherigen Dateienregisters zu überwinden waren, galt es, ein Verfahren zu entwickeln, das die datenverarbeitenden Stellen soweit wie möglich entlastet, gleichzeitig aber zu einem Register führt, das im Hinblick auf die Vollständigkeit und Richtigkeit der erfaßten Dateien diese Bezeichnung auch verdient.

Die Dateienübersicht soll in Form einer Datenbank auf dem in der Dienststelle bereits für andere Zwecke installierten Rechnersystem geführt werden. Zu diesem Zweck wurden spezielle Erhebungsvordrucke für alle manuellen Dateien und für alle neuen automatisierten Dateien entwickelt. Mit ihnen werden auch ergänzende Angaben erfaßt, die für die Klassifizierung und Gewichtung der Dateien im Hinblick auf die spätere Veröffentlichung von Bedeutung sind.

Als ein besonderer Vorteil dieser Datenbanklösung und als einen Service für die datenverarbeitenden Stellen ist die Tatsache anzusehen, daß es uns möglich sein wird, die bisherigen Meldungen weitgehend in den neuen Bestand zu übernehmen. Den Behörden werden dann sukzessiv in der Art von "Kontoauszügen" die Dateibeschreibungen zum Zweck der Kontrolle der Aktualität und der Ergänzung der fehlenden Eintragungen übersandt. Das gilt auch für die standardisierten Dateibeschreibungen der Datenzentrale. Die Maßnahme wird sich in Abhängigkeit von der personellen Kapazität zwar über einen längeren Zeitraum erstrecken, sie entlastet die datenverarbeitenden Stellen aber erheblich.

Im September haben wir die Behörden durch eine Veröffentlichung im Amtsblatt Schleswig-Holstein (Nr. 40, S. 674) auf die neue Rechtslage und Verfahrensweise aufmerksam gemacht. Bis zum Ende des Jahres sind daraufhin ein knappes Dutzend Meldungen auf der Grundlage des neuen LDSG eingegangen. Es hätten mehrere Hundert sein müssen, da alle nicht automatisierten Dateien nachzumelden sind und seit Inkrafttreten des neuen Landesdatenschutzgesetzes sicherlich viele neue EDV-Dateien entstanden sind. Es ist zu hoffen, daß die datenverarbeitenden Stellen unseren Service nicht dahingehend mißverstanden haben, daß sie gar nichts mehr zu veranlassen hätten.

6.2.3

Geräteverzeichnisse - mehr als bloße Formalität?

Konfigurationspläne und Programmverzeichnisse sind als rechtliche Voraussetzungen für die Inbetriebnahme informationstechnischer Systeme anzusehen.

Professionelle Datenverarbeiter haben sich verwundert gezeigt, als sie im Entwurf des neuen Landesdatenschutzgesetzes die Bestimmung fanden, die datenverarbeitenden Stellen hätten ein Geräteverzeichnis zu führen, aus dem sich ergibt, wo welche Computer installiert sind, welche Betriebssysteme und Programme benutzt werden und wie die Geräte gesichert sind. Sogenannte Konfigurationspläne seien doch eine Selbstverständlichkeit, da bedürfe es doch keiner besonderen gesetzlichen Regelung.

Nach unseren Prüferfahrungen ist es aber selbst nach Einführung der gesetzlichen Regelung bei mittleren Behörden die Regel, bei großen Datenverarbeitern nicht unbedingt eine Ausnahme, daß auf der Ebene der Amts- und Verwaltungsleitung kein Überblick über die aktuelle Konfiguration besteht. Meistens ist lediglich bekannt und dokumentiert, welcher Gerätebestand geplant war. Die tatsächliche Realisierung beziehungsweise die Fortschreibung des EDV-Konzeptes bleibt den Amts- und Behördenleitern offenbar häufig verborgen. Hierin ist die Ursache vieler Datensicherungsmängel zu sehen. Standortänderungen, Nutzungsänderungen, Aufgabenerweiterungen usw., führen fast immer dazu, daß ursprünglich funktionierende Sicherheitskonzepte ihre Wirkung verlieren.

Wir setzen uns daher mit Nachdruck dafür ein, daß die Erfassung der eingesetzten Hard- und Software in dem Geräteverzeichnis generell als rechtliche Voraussetzung für den Betrieb automatisierter Verfahren angesehen wird. Nur auf diese Weise wird man der Verbreitung von sicherheitsbedrohenden Viren und der unbefugten Nutzung von Computersystemen entgegenwirken können. Dies haben die Erfahrungen in der sicherheitsempfindlichen Groß-EDV eindeutig bewiesen. Dieser Problembereich wird deshalb bei den Prüfungen in der nächsten Zeit als ein besonderer Schwerpunkt berücksichtigt.

6.2.4

Kein Datenschutz beim Funkverkehr?

Eine neue EG-Regelung erleichtert das Abhören des Funkverkehrs. Die Behörden, die auf dem Funkwege kommunizieren, müssen durch zusätzliche technische und organisatorische Maßnahmen die Datensicherheit gewährleisten. Hierzu ist die Verschlüsselung ein geeignetes Mittel.

Als vor einigen Monaten in der Presse berichtet wurde, daß der Bundespostminister im Zuge der Harmonisierung von Rechtsvorschriften in den EG-Mitgliedsstaaten beabsichtige, die Benutzung von Geräten zu "liberalisieren", die geeignet sind, auch den Funkverkehr abzuhören, gelangte ein Thema in die datenschutzrechtliche Diskussion, das wir bereits vor mehr als zehn Jahren (vgl. 3. Tätigkeitsbericht, S. 13) problematisiert hatten. Wenn Behörden untereinander oder mit Bürgern kommunizieren, dann geschieht das in der Regel durch den Versand verschlossener Briefumschläge oder telefonisch. Man geht in beiden Fällen davon aus, daß der Inhalt der ausgetauschten Informationen dem unbefugten Zugriff Dritter entzogen ist, die Amtsverschwiegenheit bzw. die besonderen Berufs- und Amtsgeheimnisse mithin gewahrt bleiben.

Diejenigen Behörden, die mit ihren Mitarbeitern bzw. mit Dritten im Wege des Funkverkehrs kommunizieren, das sind z.B. die Polizei, die Rettungsleitstellen und die Feuerwehr, nehmen seit jeher in Kauf, daß die so ausgetauschten Informationen nicht in gleichem Maße geheimgehalten werden können. Bastlern und anderen interessierten Personen war es zwar untersagt, gleichwohl aber mit einem gewissen technischen Aufwand möglich, die entsprechenden Frequenzen abzuhören, um z.B. an polizeiliche Daten zu gelangen. Beispiele hierfür hat es genug gegeben. Die größte Publizität erlangte vor einigen Jahren der vollständige Mitschnitt und die systematische Auswertung des polizeilichen Funkverkehrs während der Studentenunruhen in Göttingen.

Zur Rechtfertigung/Entschuldigung dieser Sicherheitslücke haben sich die betreffenden Behörden bisher immer darauf berufen, daß der Besitz und die Benutzung derartiger Geräte unzulässig sei, und daß man sich gegen strafbare Handlungen nicht hundertprozentig schützen könne. Diese Argumentation greift spätestens seit der Neuregelung zu kurz. Die Tatsache, daß künftig praktisch jeder, der nur hinreichend neugierig ist, die Möglichkeit hat, die betreffenden Frequenzen mit handelsüblicher Technik abzuhören, zwingt zu Reaktionen derjenigen, die zur Wahrung der Datensicherungs- und Verschwiegenheitsvorschriften verpflichtet sind.

Eine adäquate Maßnahme im Sinne der datenschutzrechtlichen "Transportkontrolle" wäre die Verschlüsselung des Funkverkehrs der o.a. Behörden. Dies ist kein technisches, sondern "nur" ein finanzielles Problem. Immerhin sind Technikinvestitionen in der Größenordnung von mehreren Millionen DM (nach derzeitigem Preisniveau) zu erwarten. Gleichwohl kann das Kostenargument nicht auf Dauer die Rechtfertigung dafür sein, daß von der Realisierung der Verschlüsselungstechnik abgesehen wird.

Immerhin geht es beispielsweise beim polizeilichen Funkverkehr um sensible personenbezogene Daten, von den Sicherheitsaspekten ganz zu schweigen. Ob es um das Ergebnis einer Abfrage in der Fahndungs- oder einer sonstigen polizeilichen Datei geht, die Beorderung eines Funkstreifenwagens zum Einsatzort, die ersten, per Funk übermittelten Berichte vom "Tatort": in jedem Fall kann es zur Übermittlung und - unter den gegebenen Umständen - Offenbarung von besonders schützenswerten personenbezogenen Daten gehen.

Bis die Verschlüsselungstechnik angeschafft ist, müssen bereits jetzt Maßnahmen zur Reduzierung des Risikos ergriffen werden. Eine Einschränkung der unbefugten Offenbarung (hierum handelt es sich, wenn eine Behörde nicht unterbindet, daß man ihren Funkverkehr mithört) läßt sich z.B. dadurch erreichen, daß außer den unvermeidlichen personenbezogenen Angaben (Name, Anschrift usw.) alle "inhaltlichen" Merkmale (Grund der Anfrage, Inhalt der Antwort usw.) in Form von Schlüsselwerten übermittelt werden. Den "Mithörern" wird auf diese Weise nur bekannt, daß eine bestimmte Person Kontakt mit der Polizei, dem Rettungsdienst usw. hat. Es bedürfte jedoch einer systematischen Recherche, um herauszufinden, in welchem Kontext diese Information steht. In anderen Fällen, wenn beide Funkpartner ohnehin wissen, von wem die Rede ist, kann auf die Nennung des Namens verzichtet werden.

6.3

Aus der Arbeit der IT-Kommission des Landes und der Automationskommission der Kommunen

6.3.1

Musterregelung für den Einsatz privater Personal-Computer

Private PC dürfen für dienstliche Zwecke nur eingesetzt werden, wenn die Behörden die volle Verfügungsgewalt über die Geräte besitzen. Hierfür hat die IT-Kommission Richtlinien erarbeitet.

Seit Jahren wird heftig darüber diskutiert, ob und ggf. unter welchen Voraussetzungen Mitarbeiter in den Behörden ihre privaten PC für dienstliche Zwecke benutzen dürfen. Von den Datenverarbeitern werden als Gründe für die Genehmigung derartiger Privatinitiativen u.a. genannt: Erhöhte Motivation der Mitarbeiter, bessere Akzeptanz für den Umgang mit der Informationstechnik, Erhöhung der Arbeitsplatzeffektivität, Ausgleich fehlender finanzieller Mittel zur sachgerechten technischen Ausstattung der Arbeitsplätze. Dagegen sprechen aus datenschutzrechtlicher Sicht: Fehlende Kontrollmöglichkeiten durch die Behörden, somit Verstoß gegen die datenschutzrechtliche Überwachungspflicht, erhöhte Sicherheitsrisiken, fehlende Dokumentation, Unmöglichkeit einer wirkungsvollen Revision.

Da trotz dieser Vorbehalte Behörden den Einsatz privater PC für dienstliche Zwecke tolerieren, hat sich die IT-Kommission des Landes veranlaßt gesehen, in einer "Richtlinie für die Nutzung privater Datenverarbeitungsanlagen in Diensträumen" die Rahmenbedingungen abzustecken, unter denen die ökonomischen Notwendigkeiten sowie die datenschutzrechtlichen und die technisch-organisatorischen Erfordernisse "unter einen Hut zu bringen" sind.

Wir haben an den Beratungen dieser Richtlinie mitgewirkt. Sie geht von dem Grundsatz aus, daß die Benutzung privater Datenverarbeitungsanlagen in Diensträumen grundsätzlich untersagt ist. Im Einzelfall kann die Benutzung für einen begrenzten Zeitraum gestattet werden, wenn u.a. folgende Bedingungen erfüllt sind:

  • vertragliche Regelung zwischen dem Eigentümer der Datenverarbeitungsanlage und der Behörde auf der Grundlage eines der Richtlinie beigefügten Mustervertrages,

  • Verpflichtung, nur genehmigte Hard- und Software einzusetzen,

  • Gewährleistung einer "normalen Aktenführung" durch eine umfassende Dokumentation der Arbeitsergebnisse,

  • Sicherstellung, daß keine Datenbestände angelegt werden, von denen die Dienststelle nichts weiß,

  • Möglichkeit für die Behörde, jederzeit ihre uneingeschränkte Verfügungsgewalt über alle dienstlichen Daten ausüben zu können; daher müssen Eigentumsvorbehalte Dritter an der Hardware ausgeschlossen sein, dürfen Verschlüsselungscodes nur mit Einwilligung der Behörde benutzt werden.

  • Gewährleistung der Mitbestimmungs- und Beteiligungsrechte des Personalrates und der Gleichstellungsbeauftragten.

Sowohl die Vorgehensweise wie auch das Ergebnis der Arbeit der IT-Kommission sind bemerkenswert. Die geschaffene Richtlinie reagiert mit konkreten Lösungsvorschlägen auf eine aktuelle Problemstellung. Sie drängt die Behörden durch die Praxisnähe der in ihr enthaltenen Regelungen (z.B. durch einen Mustervertrag) zum Handeln.

6.3.2

Mindestanforderungen an die Verfahrensdokumentation in Kraft

Mit den Mindestanforderungen an die Dokumentation von informationstechnischen Maßnahmen ist eine Grundlage für eine landesweite Standardisierung geschaffen worden.

Die Diskussionen über die Notwendigkeit und die Art der Dokumentation von einzelnen Computerprogrammen und komplexen automatisierten Verfahren ist vermutlich so alt wie die Datenverarbeitung in der öffentlichen Verwaltung, in jedem Fall aber so alt, wie das Datenschutzrecht. Wer die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit Hilfe derer personenbezogene Daten verarbeitet werden, nach den Regeln des Landesdatenschutzgesetzes zu überwachen hat, muß in einer Programm- und Verfahrensdokumentation auch nachlesen können, was als "der Ordnung gemäß" anzusehen ist.

Es hat zwar in früheren Verwaltungsanweisungen und in den Anforderungen der Rechnungshöfe Versuche gegeben, derartige Dokumentationen zu standardisieren, damit sachverständige Dritte in die Lage versetzt werden, in angemessener Zeit die Inhalte und die Zielrichtung der betreffenden automatisierten Verfahren nachzuvollziehen. Das hat aber nicht dazu geführt, daß alle Behörden im Lande die von ihnen eingesetzte Software konsequent dokumentieren und noch viel weniger dazu, daß die benutzten Dokumentationsmethoden ein Mindestmaß an Ähnlichkeit aufweisen (vgl. 14. TB, S. 75).

Deshalb haben wir die Initiative der IT-Kommission, (neue) "Mindestanforderungen an die Verfahrensdokumentation" auf der Grundlage der "IT-Verfahrensregelung" zu schaffen, begrüßt und unterstützt. In der nunmehr von der IT-Kommission beschlossenen Richtlinie werden erfreulicherweise eine Reihe seiner datenschutzrechtlichen Forderungen berücksichtigt. So wird z. B. bestimmt,

  • daß nicht nur die fertigen Programme und Verfahren, sondern auch deren Grundlagen, nämlich die Ergebnisse der Vor- und Hauptuntersuchungen als "Beschreibung der Aufgabenstellung" zu dokumentieren sind,

  • daß die nach dem Landesdatenschutzgesetz erforderlichen Dateibeschreibungen in der Form von logischen und physischen Datenmodellen Bestandteil der Dokumentation sind,

  • daß für jedes einzelne Programm ein Logbuch zu führen ist, aus dem sich ergibt, ab wann welche Programmversion eingesetzt worden ist,

  • daß jede Veränderung am Programmcode zu einer neuen Programmversion führen muß,

  • daß nachvollziehbar sein muß, welche Programme in welchen Verfahren eingesetzt werden,

  • daß die Ergebnisse der Tests so aufzubewahren sind, daß Vergleiche zwischen den erwarteten und den tatsächlichen Ergebnissen möglich sind,

  • daß für jede Verfahrensversion die Freigabe zum Einsatz in Form einer Freigabebescheinigung nachgewiesen werden muß.

Die vorstehenden und die in der Richtlinie enthaltenen weiteren Mindestanforderungen verzichten bewußt auf die Festlegung von "Formalitäten" (wie Vordruckmuster usw.), sondern definieren statt dessen Zielvorgaben. Dies dürfte dem praktischen Einsatz in den verschiedensten Verwaltungsbereichen dienlich sein. Wichtig ist jetzt, daß den Richtlinien das Maß an Verbindlichkeit zukommt, das erforderlich ist, um ihre Beachtung bei allen Datenverarbeitungsstellen im Lande obligatorisch zu machen. Die Verordnung zu § 7 LDSG (vgl. Tz. 6.2.1) sollte daher die Grundüberlegungen dieser Richtlinie übernehmen und sie bezüglich ihrer Detailregelungen für allgemeinverbindlich erklären.

6.3.3

Die IT-Verfahrensregelung wird nicht immer beachtet

Bei der Entwicklung automatisierter Verfahren sind nach der IT-Verfahrensregelung Datenschutz- und Datensicherungsfragen rechtzeitig zu lösen. Die Praxis sieht häufig anders aus.

Auf unsere Initiative enthält die IT-Verfahrensregelung des Landes die Verpflichtung für die Behörden, bereits in einem frühen Stadium der Entwicklung automatisierter Verfahren eine "Darstellung der vorgesehenen Maßnahmen zur Verfahrenssicherheit und zum Datenschutz" vorzunehmen. Diese Konzeptionen sind dann der IT-Kommission als Bestandteil der Beschlußunterlagen vorzulegen, aufgrund derer sie ihre gutachterliche Stellungnahme bezüglich der Realisierung der Verfahren abgibt.

Leider war in der Vergangenheit des öfteren festzustellen, daß selbst bei datenschutzrechtlich durchaus nicht unproblematischen Automationsvorhaben unter der betreffenden Textziffer der Beschlußvorlagen "Platzhalter" wie z. B. "... werden zu einem späteren Zeitpunkt festgelegt" zu finden sind. Wir haben in den Sitzungen der IT-Kommission stets auf diesen Mangel aufmerksam gemacht. Gleichwohl hat sich die Kommission bisher noch nicht veranlaßt gesehen, deshalb ein positives Votum zu verweigern und eine Ergänzung der vorgelegten Planungsunterlagen zu fordern.

Sollten sich die datenverarbeitenden Stellen hierdurch ermuntert sehen, entgegen den Bestimmungen der IT-Verfahrensregelung die Lösung der Datenschutz-und Datensicherheitsfragen bei der Realisierung von Automationsvorhaben regelmäßig sehr spät, unter Umständen zu spät, in Angriff zu nehmen, entstehen nicht nur gravierende Rechtsprobleme (vgl. Tz. 4.9.2), sondern verstärkt auch Änderungskosten (vgl. z.B. 13. TB, S. 8 und 49).

6.3.4

Richtungweisende Empfehlungen der Automationskommission der Arbeitsgemeinschaft der kommunalen Landesverbände

Im Juli 1991 hat die Automationskommission der Arbeitsgemeinschaft der kommunalen Landesverbände "Empfehlungen zur Weiterentwicklung der technikunterstützten Informationsverarbeitung in den Kommunalverwaltungen Schleswig-Holsteins" veröffentlicht, die aus datenschutzrechtlicher Sicht in vielen Punkten als richtungweisend angesehen werden können.

Die Automationskommission sieht (wie auch die Kommunale Gemeinschaftsstelle für Verwaltungsvereinfachung) für die Entwicklung der technikunterstützten Informationsverarbeitung drei konzeptionelle Schwerpunkte.

- Infrastrukturansatz

Jeder Verwaltung wird empfohlen, eine informationstechnische Infrastruktur nach einheitlichen Grundsätzen fachbereichsübergreifend zu planen und zu verwirklichen. Sie müsse das von der Verwaltung gewollte Entscheidungsergebnis sein, "das aufgrund von immer wieder notwendigen Organisationsüberlegungen und Wirtschaftlichkeitsbetrachtungen im Rahmen eines dynamisch fortzuschreibenden Technologiekonzeptes ganzheitlich realisiert, ständig weiterentwickelt und in der Routine verläßlich betrieben wird".

Mit dem Infrastrukturansatz werde die Dezentralisierung der Technik gefördert. Dies bedeute für die Verwaltung, daß Systemverantwortliche die sich aus dem laufenden Betrieb auf der Ebene des Arbeitsplatzes wie auch der Verwaltungsrechnerebene ergebenden Bedieneraktivitäten beherrschen müßten. Der Umfang des Know-hows in der Verwaltung sei so weit aufzubauen, daß die Systemverantwortlichen alltägliche Probleme einschließlich der Einarbeitung und Schulung neuer Mitarbeiter selbständig erledigen könnten. Es sei eine sinnvolle Abgrenzung zu Spezialistenwissen in zentralen Stellen der eigenen Verwaltung, in der Datenzentrale beziehungsweise bei Herstellern zu finden und dort in Anspruch zu nehmen.

- Verwaltungsreformansatz

Der Übergang der Verwaltung in eine weitreichende technische Unterstützung der Verwaltungsarbeit könne nur als umfassend anzulegender Modernisierungs- und Erneuerungsprozeß verstanden und behandelt werden. Dieser Prozeß sei gerichtet auf eine Produktivitätssteigerung der Verwaltung und insbesondere auf die Veränderung ihrer inneren und äußeren Strukturen.

Bei der Planung derartiger Vorhaben seien die möglichen Folgen des Ausfalls und nicht ordnungsgemäßer, insbesondere mißbräuchlicher Nutzungen von technischen Einrichtungen zu prüfen. Die festgestellten Risiken und Auswirkungen seien unter Beachtung der Wirtschaftlichkeit durch organisatorische, personelle und technische Maßnahmen zu begrenzen. Wenn dies nicht möglich sei, müsse von der Realisierung des betreffenden Vorhabens abgesehen werden.

Zudem seien die rechtlichen Rahmenbedingungen zu beachten. Hierzu gehörten insbesondere:

  • die Tarifvorschriften, insbesondere der Tarifvertrag über die Arbeitsbedingungen von Arbeitnehmern auf Arbeitsplätzen mit Geräten der Informations- und Kommunikationstechnik,

  • Vorschriften des Arbeitsschutzes, insbesondere über die Gestaltung von Bildschirmarbeitsplätzen,

  • die Gemeindeordnung und das kommunale Finanz-und Kassenrecht,

  • die Bestimmungen zur Ordnungsmäßigkeit von Verfahren,

  • die Bestimmungen des Datenschutzrechts sowie

  • die personalvertretungsrechtlichen Belange und eventuelle Mitbestimmungsrechte.

Beim Technikeinsatz seien Vorkehrungen zur Gewährleistung der Vollständigkeit, Richtigkeit und Aktualität der zu verarbeitenden Daten sowie ordnungsgemäßer und fachlich fehlerfreier Verfahrensabläufe (Daten- und Verfahrenssicherheit) zu treffen.

- Sozialverträglichkeitsansatz

Der Übergang in die technikunterstützte Informationsverarbeitung sei ein langfristiger sozialer Gestaltungsprozeß. Die Nutzenpotentiale für den Reformansatz korrespondierten mit den Gefährdungspotentialen für die Mitarbeiter, für das soziale System Verwaltung und für die Gesellschaft. Der sozialverträglichen Technikeinführung müsse deswegen aus personalwirtschaftlicher, organisatorischer, rechts- und gesellschaftspolitischer sowie ökonomischer Sicht die gleiche Aufmerksamkeit und Sorgfalt zugewendet werden wie dem Infrastruktur- und dem Reformansatz. Sie sei anwendungsfreundlich, arbeitsangemessen und im Rahmen von tätigkeits- sowie technikorientierten Perspektiven zu planen und einzurichten. Insbesondere sollten die Beschäftigten nach angemessener Einarbeitungszeit aufgabengerecht und effizient mit den Geräten und Verfahren arbeiten können. Auf kurze Rüst- und Antwortzeiten sowie Fehlertoleranz, weitgehende Selbstbeschreibungsfähigkeit und leichte Bedienbarkeit sei bei der einzuführenden Hard- und Software Wert zu legen. Bei der Arbeitsplatzgestaltung sei auf ergonomische Anforderungen, die Möglichkeit von Belastungswechseln und die Einhaltung von Bildschirmpausen zu achten.

Wir hatten erwartet, daß derartig grundlegende und zutreffende Aussagen der Automationskommission zu einer nachhaltigen Diskussion innerhalb der Kommunen und zu Konsequenzen hinsichtlich des Hard- und Software-Angebotes der Datenzentrale und anderer Dienstleister auf diesem Gebiet führen würden. 18 Monate nach Veröffentlichung der Empfehlungen ist aber zu vermuten, daß dieses Papier in vielen Behörden offenbar "zu den Akten" verfügt worden ist.

Weder sind wir im Rahmen von Prüfungen und Informationsbesuchen auf diese Thematik angesprochen worden, noch haben wir feststellen können, daß die Kommunen ihre Planungen und Realisierungen unter dem Eindruck der Empfehlungen in entscheidender Weise neu ausgerichtet haben. Wir werden bei künftigen Prüfungen im kommunalen Bereich die vorgenannten Grundsätze als Maßstab benutzen, um mit dazu beizutragen, daß die Grundlagen der Automationskommission auch ihren Niederschlag im täglichen Verwaltungshandeln finden.

6.4

Was IT-Führungskräfte wissen sollten

Der Ausbildungsbedarf für IT-Führungskräfte ist unbestritten. Zur Zeit fehlen noch die Konzepte und Träger für entsprechende Seminare.

In unserem 14. Tätigkeitsbericht (S. 78) haben wir gefordert, daß sich die IT-Kommission des Landes, die Arbeitsgemeinschaft der kommunalen Landesverbände, die Datenzentrale und die Hersteller und Vertreiber von Computer-Systemen an einen Tisch setzen sollten, um ein praktikables Konzept für die Vermittlung der erforderlichen Sachkunde für diejenigen Mitarbeiter der öffentlichen Verwaltung, die für den Einsatz informationstechnischer Systeme die Verantwortung tragen, zu entwickeln. Zu einer gemeinsamen Erörterung der Problematik mit allen beteiligten Stellen ist es im abgelaufenen Jahr noch nicht bekommen. In vielen Gesprächen haben wir aber eine breite Zustimmung zu einem Vorschlag gefunden, in dem wir unsere Vorstellungen über die Ausbildungsstrukturen für IT-Führungskräfte über die rein datenschutzrechtlichen Aspekte hinaus zusammengefaßt haben.

Nach unseren Erfahrungen ist davon auszugehen, daß die angehenden IT-Verantwortlichen, aber auch viele Mitarbeiter, die bereits seit Jahren die Verantwortung tragen, i. d. R. nur geringe bzw. fragmentarische Vorkenntnisse auf dem Gebiet der Planung, Realisierung und Handhabung von informationstechnischen Systemen besitzen. Deshalb dürfte die Vermittlung der erforderlichen Lerninhalte insgesamt mindestens eine vierwöchige Ausbildung erforderlich machen. Um für Mitarbeiter mit Vorkenntnissen in Teilbereichen diese Zeitdauer verkürzen zu können und um die praktische Durchführung der Ausbildung möglichst flexibel zu handhaben, sollte sie in vier selbständige Seminare aufgegliedert sein. Die Reihenfolge der Seminare sollte beliebig gewählt werden können. Dabei bietet sich folgende Themengliederung an:

  • Informatik/Informationstechnik

  • Planung und Realisierung von IT-Systemen

  • Rechtsvorschriften zur Datenverarbeitung und zum Datenschutz

  • Revision/Kosten-Nutzen-Analysen.

Aus unserer Sicht müßte den IT-Führungskräften zu den einzelnen Themenbereichen im wesentlichen folgendes Wissen vermittelt werden:

  • Bereich "Informatik/Informationstechnik"

    • Grundlagen der Informatik,

    • grundsätzliche Unterschiede zwischen den verschiedenen Rechnerarchitekturen, die aktuell in der Verwaltung eingesetzt werden,

    • künftige Entwicklungen in der Kommunikations-und Informationstechnik,

    • Grundzüge der verschiedenen Betriebssysteme, Programmiersprachen und Datenbanken,

    • rechtliche Bedeutung und Methoden der Programm- und Verfahrenstests und -freigabe,

    • allgemeine Sicherheitsüberlegungen im Zusammenhang mit den Begriffen "Integrität", "Vertraulichkeit" und "Verfügbarkeit",

    • Manipulationsmöglichkeiten an und mit IT-Systemen.

  • Bereich "Planung und Realisierung von IT-Systemen"

    • Rechtliche Problemstellungen beim Verwaltungshandeln unter Einsatz von IT-Systemen,

    • aufbauorganisatorische Änderungen und Maßnahmen bei der Umstellung von der konventionellen auf die automatisierte Datenverarbeitung,

    • Auswirkung des Technikeinsatzes auf die Ablauforganisation einer Behörde,

    • Beteiligungsrechte der Mitarbeiter und des Personalrates nach dem Mitbestimmungsgesetz,

    • Anforderungen an die Arbeitsplatzergonomie,

      • arbeits- und tariftrechtliche Fragen im Zusammenhang mit Bildschirmarbeitsplätzen,

      Gestaltung von Arbeitsanweisungen,

    • Anforderungen an die Dokumentation von IT-Systemen,

  • Bereich "Rechtsvorschriften zur Datenverarbeitung und zum Datenschutz"

    • Das Recht auf informationelle Selbstbestimmung,

    • das Landesdatenschutzgesetz und sein Verhältnis zum Verwaltungsverfahrensrecht,

    • materielles Datenschutzrecht im Landesdatenschutzgesetz, im Sozialgesetzbuch, im Polizeirecht, im Verfassungsschutzrecht, im Archivrecht, im Steuerrecht usw.,

    • formale Pflichten der datenverarbeitenden Stelle,

    • Besonderheiten bei der Auftragsdatenverarbeitung,

    • technische und organisatorische Sicherheitsmaßnahmen, Überwachung der ordnungsgemäßen Anwendung der IT-Verfahren,

    • Vergleich des Datenschutzes in der Verwaltung und in der Wirtschaft,

    • strafrechtliche Aspekte des Datenschutzes,

  • Bereich "Revision/Kosten-Nutzen-Analysen"

    • Rechtliche Grundlagen für die Revision und die Kosten-Nutzen-Analysen,

    • Kosten-Nutzen-Betrachtungen für IT-Systeme,

      • computergestützte Anwendungsentwicklung,

    • Dokumentation der einzelnen Entwicklungsphasen von IT-Systemen,

    • haushaltsrechtliche Anforderungen an die Dokumentation von IT-Systemen,

    • Protokollierung von Systemaktivitäten,

      • Schäden durch ausfalltechnischer Systeme,

    • Produkthaftung, Amtshaftung, Schadenersatz.

Wir sind bemüht, möglichst bald das Seminar zu dem Thema "Rechtsvorschriften zur Datenverarbeitung und zum Datenschutz" anbieten zu können und hoffen, daß dies dann eine Signalwirkung für diejenigen Institutionen hat, die in der Lage sind, die Wissensvermittlung auf den anderen Teilgebieten zu übernehmen. Daß der Bedarf seitens der datenverarbeitenden Stellen vorhanden ist, zeigt sich z. B. daran, daß eintägige Veranstaltungen, die wir in Zusammenarbeit mit der Datenzentrale durchführen sowie andere vergleichbare Veranstaltungen, stets über Monate im voraus ausgebucht sind.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten TB