Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

6.

Ordnungsmäßigkeit der Datenverarbeitung

6.1

Leitaussagen zur Informationstechnik in der öffentlichen Verwaltung - IT-Szenario -

Der Kooperationsausschuß ADV legt ein Grundsatzpapier mit Leitaussagen zur EDV in der öffentlichen Verwaltung vor, die sich weitgehend mit Positionen des Datenschutzes decken.

Im letzten Tätigkeitsbericht (15. TB, Tz. 6.3.4) wurde über richtungsweisende Empfehlungen der Automationskommission der kommunalen Landesverbände zur Weiterentwicklung der technikunterstützten Informationsverarbeitung in der Kommunalverwaltung Schleswig-Holsteins berichtet. Zugleich wurde bedauert, daß die Feststellungen und Aussagen dieses Gremiums so wenig Widerhall in der Verwaltung und bei den Herstellern und Vertreibern von Informationstechnik gefunden haben.

Es bleibt zu hoffen, daß ein mindestens ebenso bedeutsames (weil bundesweit abgestimmtes) Grundsatzpapier des "Kooperationsausschusses ADV Bund/Länder/kommunaler Bereich" mit Leitaussagen zur Informationstechnik in der öffentlichen Verwaltung, das auch ein sogenanntes "IT-Szenario" enthält, mehr Beachtung erfährt.

Aus unserer Sicht sind folgende Feststellungen dieses Arbeitskreises von IT-Fachleuten aus allen Verwaltungsbereichen von besonderer datenschutzrechtlicher Bedeutung:

• Die Nutzung von Informationstechnik hat erhebliche wirtschaftliche und soziale Folgen. Sie bestimmt maßgebend die Aufgabenwahrnehmung öffentlicher Verwaltungen gegenüber Bürgerinnen und Bürgern sowie der Wirtschaft und hat daneben wesentliche Auswirkungen auf einen Großteil der Beschäftigten in der Verwaltung.
  
• Eine Sättigung des Bedarfs an weiterer Informationstechnik ist in der Verwaltung nicht erkennbar. Der gegenwärtige Ausstattungsstand dürfte sich bis zum Ende dieses Jahrzehnts mindestens verdoppeln bis verdreifachen.
  
• Mit jeder erreichten Technikausstattung tritt eine unumkehrbare Veränderung ein, die eine verstärkte Sicherung und Vorsorge gegen Risiken der gravierend gesteigerten Verwundbarkeit der Verwaltung erfordert.
  
• Grundlage für die Nutzung der Informationstechnik müssen Organisations-, Technik- und Sicherheits-konzepte sein, in denen die fachlichen und organisatorischen Voraussetzungen für die Nutzung von Informationstechnik analysiert sowie die potentiellen Anwendungen der betreffenden Informationstechnik grob beschrieben und zusammengefaßt werden.
  
• Wegen der Anforderungen an die Gestaltungs- und Integrationskraft werden kleinere Verwaltungen zunehmend außerstande sein, komplexe IT-Anwendungen selbst zu erstellen.
  
• Der Einsatz konfektionierter IT-Anwendungen auf der Basis übergreifender Zielsetzungen und Vorgaben sowie von Normen und Standards sollte der dem fachlichen Einzelfall optimal angepaßten IT-Anwendung vorgezogen werden. Die jeweilige Entscheidung sollte dabei im Zweifel eher im Sinne kostengünstiger, schnell verfügbarer und übertragbarer IT-Anwendungen getroffen werden.

  Durch die Abwägung von Qualitätsanforderungen muß jedoch zugleich deutlich werden, daß es sich nicht um eine einseitige Orientierung an den zu minimierenden Kosten handelt.
  

• Die zunehmende Nutzung der Informationstechnik bringt eine Erhöhung der Gefahr durch unrichtige, unbefugt gesteuerte, fehlende oder rechtsgutgefährdende Informationen mit sich. Deshalb kommt der IT-Sicherheit eine besondere Bedeutung zu. Hierbei geht es um den Schutz vor möglichen Bedrohungen, die die Verfügbarkeit der Informationstechnik sowie die Integrität und die Vertraulichkeit der verarbeiteten Informationen gefährden.
  
• Die grundlegenden Forderungen nach IT-Sicherheit haben zur Folge, daß dieser Anspruch als ein gleichrangiges Ziel neben die allgemeinen Nutzungs- und Leistungsmerkmale der Informationstechnik tritt. Als notwendig erkannte Maßnahmen der IT-Sicherheit sind auch dann zu treffen, wenn sie die Entwicklung einer IT-Anwendung erschweren. Dies kann sogar so weit gehen, daß im Einzelfall von der Nutzung der Informationstechnik abzusehen ist, wenn notwendige Sicherheitsforderungen nicht erfüllbar sind.
  
• Neue IT-Anwendungen verlangen Aufklärung, Schulung und Betreuung der Beschäftigten. Hiermit ist eine besondere Herausforderung an die Personalführung verbunden. Die Schulung und die mit ihr angestrebte Beherrschung der Technik dienen der Sicherung der Akzeptanz, eröffnen den Benutzern aber auch die Möglichkeit, den von der Anwendungssoftware gebotenen Freiraum eigenständig zu gestalten. Eine vernünftige Schulung und Einweisung schafft damit die Voraussetzung für den "mündigen" Benutzer.
  
• Akzeptanzsicherung bedeutet jedoch nicht nur, daß personelle und organisatorische Maßnahmen im Interesse der Beschäftigten zu treffen und ergonomische Normen und Standards zu beachten sind. Dazu gehört insbesondere auch, daß das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung gewahrt wird, so daß sie ihre Daten bei der Verwaltung in sicheren Händen wissen.
  
• Auf der Führungs- und Leitungsebene sind Problembewußtsein und auch Fachkenntnis über Nutzungspotentiale und Entscheidungskriterien in bezug auf Informationstechnik nachdrücklich weiter zu fördern, damit die durch die Nutzung von Informationstechnik herbeigeführte Verwaltungsinnovation nicht allein eine Angelegenheit der hierfür eingesetzten Spezialisten bleibt, sondern von den hierfür verantwortlichen Leitungs- und Führungskräften kompetent und bewußt geplant, gesteuert und überwacht werden kann.
  

Der Kooperationsausschuß ADV geht davon aus, daß die folgenden Entwicklungen die Nutzung der Informationstechnik in den nächsten Jahren bestimmen werden:

• Papierloses Büro bleibt Utopie,
  
• elektronische Kommunikation nimmt weiter zu,
  
• grafische Benutzeroberflächen werden sich verbreiten,
  
• der integrierte Arbeitsplatz rückt näher,
  
• elektronische Vorgangsbearbeitung kommt,
  
• offene Systeme setzen sich durch,
  
• verteilte Anwendungen erhalten größere Bedeutung,
  
• grafische Informationsverarbeitung wird wichtig,
  
• Sprachverarbeitung steigt in der Bedeutung,
  
• Software-Engineering ersetzt "freies Künstlertum",
  
• Anforderungen an die Sicherheit der Informationstechnik nehmen zu,
  
• entscheidungsunterstützende Informationssysteme werden praktikabler,
  
• Akzeptanz steigt,
  
• Umgang wird selbstverständlich.
  

Wir halten die vorstehenden Überlegungen deshalb für so wichtig, weil sie sich nicht nur in weiten Teilen mit den Erfahrungen von Datenschutzbeauftragten decken, sondern von professionellen Datenverarbeitern erarbeitet worden sind. Sie sind deshalb nicht nur als abstrakte Konzeption zu verstehen, sondern eignen sich auch als ein wesentlicher Maßstab für die datenschutzrechtliche Beurteilung von Sachverhalten, die im Rahmen von Prüfungen und Beratungen bekannt werden.

Auch in den Erörterungen über die datenschutzrechtlichen Aspekte der Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung werden wir uns an den Aussagen des "IT-Szenarios" orientieren.

6.2

Entwurf der Datenschutzverordnung in der Anhörung

Der Entwurf der Verordnung über die Sicherheit und Ordnungsmäßigkeit bei der automatisierten Verarbeitung personenbezogener Daten berücksichtigt inhaltlich die wesentlichen Vorstellungen des Landesbeauftragten

Trotz der wiederholt dargestellten und begründeten Dringlichkeit (vgl. 15. TB, Tz. 6.2) ist es bisher noch nicht gelungen, die Landesverordnung über die Sicherheit und Ordnungsmäßigkeit bei der automatisierten Verarbeitung personenbezogener Daten zu verabschieden.

Wegen der unbestreitbaren Schwierigkeit, technikorientierte Sachverhalte durch rechtliche Normen zu erfassen, haben wir uns zu Beginn des Berichtsjahres entschlossen, dem Innenminister einen eigenen Verordnungsentwurf zur Verfügung zu stellen. Diese Initiative führte immerhin dazu, daß im August ein Innenminister-Entwurf in die Ressortanhörung gehen konnte und uns gem. § 7 Abs. 4 Satz 3 Landesdatenschutzgesetz zur Stellungnahme vorgelegt wurde.

In unserer Antwort haben wir deutlich gemacht, daß sich die Verordnungsermächtigung im Landesdatenschutzgesetz gerade dadurch auszeichnet, daß dem Verordnungsgeber detaillierte Vorgaben bezüglich der Struktur und des Inhalts der zu schaffenden Regelungen gemacht worden sind. Deshalb hätten wir es vorgezogen, die Verordnung in 5 Regelungskomplexe zu gliedern:

• Allgemeine Beschreibung des Begriffes "ordnungsgemäße Datenverarbeitung",
  
• Konkretisierung von technischen und organisatorischen Maßnahmen für bestimmte Systemkonfigurationen und Anwendungsbereiche,
  
• Definition von Mindestanforderungen an die Dokumentation von automatisierten Datenverarbeitungsprozessen,
  
• Regelungen zur formalen Darstellung von Verfahrensdokumentationen,
  
• Festlegung von Aufbewahrungsfristen für Dokumentationsunterlagen.
  

Eine solche Strukturierung hätte die Fortschreibungen von Einzelbestimmungen, wie sie in Zukunft insbesondere im Bereich "Anpassung an den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen" in relativ kurzen Zeitabständen erforderlich sein werden, vereinfacht.

Der vom Innenminister zur Stellungnahme vorgelegte Entwurf geht von einem anderen Aufbau aus. Es ist versucht worden, das Textvolumen möglichst gering zu halten und sich weitgehend der Begriffe aus dem Bereich der "konventionellen" Organisation zu bedienen.

So sehr die Komprimierung auf der einen Seite Vorteile hat, so sehr befürchten wir andererseits, daß der Entwurf der vom Verfassungsgericht geforderten Normenklarheit insoweit nicht hinreichend gerecht wird.

Da allerdings die überwiegende Mehrzahl unserer Regelungsvorschläge inhaltlich in dem Entwurf ihren Niederschlag gefunden hat und die datenverarbeitenden Stellen im Lande auf ein kurzfristiges Inkrafttreten der Verordnung drängen, haben wir diese grundsätzlichen Bedenken zurückgestellt und unsere Stellungnahme auf einzelne Tatbestände des Verordnungsentwurfes beschränkt.

Im Verlaufe der Anhörung zum Kabinettsentwurf der Verordnung werden wir diejenigen Punkte zur Sprache bringen, die unseres Erachtens noch nicht sachgerecht geregelt sind. Dazu gehört z.B. die Problematik der Dokumentation automatisierter Verfahren mit Hilfe von "CASE-Tools". In diesen Fällen ist nämlich auch die Dokumentation in einem Computer gespeichert und nur lesbar, wenn die "Sprache" des Speicherprogramms (Tool) bekannt ist.

6.3

Automatisierte Textbearbeitung "verführt" zu überflüssigen Datenbeständen

In den meisten Dienststellen kommen inzwischen "Schreibautomaten" zum Einsatz. In deren Speicher entstehen Sammlungen mit "Kopien" aller gefertigten Schreiben. Die daraus resultierenden Datenschutzprobleme werden häufig unterschätzt.

Entsprechend der technischen Entwicklung wird in den letzten Jahren in praktisch allen Behörden der Schreibdienst einer grundlegenden Neuorganisation unterzogen. Auf den ersten Blick dokumentiert sich dies lediglich in dem Austausch der Schreibmaschinen gegen Personalcomputer mit angeschlossenen Druckern und einer Reduzierung der Schreibdienst-Arbeitsplätze wegen der größeren Effektivität im Korrektur- und Änderungsdienst und der Rückverlagerung der Schreibarbeiten in die sachbearbeitende Ebene. Häufig bleibt hinter dieser Oberfläche aber verborgen, daß die automatisierte Textbearbeitung bisher nicht bekannte personenbezogene Datenbestände erzeugt.

Wurde in der Vergangenheit im Sekretariat ein Schreiben gefertigt, gelangte die Durchschrift in die Akte und das Original wurde abgesandt. Das Sekretariat arbeitete "rückstandsfrei", weil die Seiten mit Tippfehlern und dergleichen spätestens abends vernichtet wurden.

Heute werden auf den Festplatten der PC von allen Schreiben Kopien angelegt, damit bei Korrekturwünschen nur die geänderten Texte einzugeben sind und das Dokument neu ausgedruckt werden kann. Wegen der praktisch kostenlosen Speicherkapazitäten (bereits die gängigen Minimalkonfigurationen der PC lassen die Speicherung der Inhalte ganzer Aktenschränke zu) macht man sich über Löschungsfristen in der Regel keine Gedanken.

Das führt zu umfangreichen Sammlungen von Dokumenten mit teilweise "hochbrisanten" Inhalten. Wenn man nur wollte, könnte man diese Dateien mit "Standardwerkzeugen" der benutzten Texteditoren nach allen interessanten Merkmalen durchsuchen. Obwohl die Schreiben als "unformatiert" gelten, stellen sie in ihrer Summe eine große Datenbank dar.

Dies zwingt eigentlich dazu, die Daten zum frühestmöglichen Zeitpunkt zu löschen und sie bis dahin besonders wirksamen Sicherungsmaßnahmen zu unterwerfen. Der Sicherheitsstandard müßte sich nach den Erfordernissen des jeweils "sensibelsten" Schreibens richten.

Soweit die Theorie. Die Praxis zeichnet ein anderes Bild:

• Den Dateien der Texteditoren wird sowohl von den Datenverarbeitungsabteilungen wie auch von den Fachabteilungen in der Regel nur eine geringe Beachtung beigemessen. Für die einen geht es vorrangig um das Funktionieren der Software, für die anderen steht im wesentlichen der Änderungskomfort für die Schriftstücke im Vordergrund.
  
• Wegen des sehr heterogenen Inhalts der Dateien erscheint die Zuweisung einer hohen Sicherheitsstufe unangemessen und wegen der damit verbundenen Restriktionen "anwenderunfreundlich".
  
• Da man sich nie ganz sicher sein kann, wann man einen Text noch einmal "gebrauchen" könnte, wirken kurze Löschungsfristen vermeintlich nur störend.
  

Der Blick der Verantwortlichen für die Risiken (und Überflüssigkeiten) wird sich wohl erst aufgrund der zu erwartenden künftigen Datenschutzskandale und "Skandälchen" schärfen. Dies ist jedenfalls nach unseren Erfahrungen zu befürchten.

6.4

"Spätfolgen" bei Telefax-Anschlüssen

Eine sehr spezifische Form der Technikfolgenabschätzung ist erforderlich, wenn Behörden Telefaxgeräte einsetzen. Ein späterer Wechsel der Telefaxnummer muß rechtzeitig bedacht werden.

Wechselt ein Telefax-Anschlußinhaber (also jeder, der mit oder ohne Wissen der Telekom ein Faxgerät an einen normalen Telefonanschluß angeschlossen hat) seine Telefonnummer, weil er z.B. sein Büro in einen anderen Stadtteil verlegt hat, wird die alte Nummer nach einer in der Regel recht kurzen Zeit von der Post einem neuen Fernsprechteilnehmer zugewiesen. Dieser Umstand läßt zunächst keine datenschutzrechtliche Relevanz erkennen. Sie ergibt sich erst bei einem Szenario, das künftig in der Praxis häufiger eintreten wird, als es den Beteiligten lieb sein dürfte:

• Eine Behörde schließt ein Fax-Gerät an und macht in ihrem Briefkopf allen Korrespondenzpartnern deutlich, daß sie bereit ist, neben Briefen und Telefonanrufen auch Telefaxe (unter der angegebenen Nummer) zu empfangen.
  
• Über die Jahre "streut" sie diese Fax-Nummer (mit jedem ausgehenden Brief) an tausende von Stellen und Personen.
  
• Die Behörde zieht um und erhält gezwungenermaßen eine neue Telefon-/Telefax-Nummer.
  
• In der ersten Zeit wundern sich einige Bürger, daß die von ihnen abgesandten Faxe von der Behörde nicht ordnungsgemäß empfangen werden können. Erst auf Nachfragen werden sie von der Behörde über die neue Fax-Nummer aufgeklärt.
  
• Ein Teil der Korrespondenzpartner erfährt zwar von dem Umzug durch den neuen Briefkopf der Behörde, durch unzustellbare Schreiben oder im Rahmen von Telefonkontakten. Ein anderer Teil geht aber auch nach längerer Zeit davon aus, daß die in den Unterlagen vorhandenen Angaben nach wie vor aktuell sind. Wird weiterhin "reibungslos" über Telefax kommuniziert, obwohl inzwischen ein ganz anderer Teilnehmer an die bisherige Behördennummer sein eigenes Telefax-Gerät angeschlossen hat, so merken die Absender nichts von den von ihnen erzeugten "Irrläufern". Wenn der falsche Adressat sie zudem nicht auf den Fehler aufmerksam macht, kann er über lange Zeiträume die an die Behörde gerichtete Korrespondenz mitlesen.
  

Aus diesen durchaus praxisnahen Gegebenheiten gilt es Folgen zu ziehen. Gefordert sind insbesondere die Behörden,

• bei denen ein künftiger Rufnummernwechsel wahrscheinlich ist (z.B. weil sie gemietete Räume nutzen),
  
• die mit einer so großen Anzahl von Bürgern korrespondieren, daß nicht alle von einem Fax-Nummernwechsel unterrichtet werden können (z.B. Kommunal-, Steuer- oder Sozialbehörden),
  
• die damit rechnen müssen, daß Bürger in Erwartung einer hinreichend abgesicherten Behandlung der Faxe im Behördenbereich auf diesem Wege Daten übermitteln, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen oder die sonst als besonders "sensibel" gelten (Sicherheitsbehörden, Amtsärzte, Finanzämter, Sozialämter, Krankenhäuser).
  

Diejenigen, die Bürgerinnen und Bürger zu einer Korrespondenz via Telefax auffordern, können sich der Verantwortung für einen ordnungsgemäßen Empfang nicht entziehen. Ggf. muß deshalb eine Neubelegung der betreffenden Telefonnummer durch vertragliche Vereinbarungen mit der Telekom ausgeschlossen werden. Eine andere Möglichkeit wäre, die alte Telefonnummer für einen angemessenen Zeitraum noch bei der Telekom zu mieten, was lediglich die Kosten für die Grundgebühr verursachen würde.

Behörden müssen sich, bevor sie einen Fax-Anschluß einrichten, über diese Aspekte klar werden und rechtzeitig an ggf. notwendige Vorkehrungen denken (vgl. hierzu auch 14. TB, S. 69).

6.5

Von der Realität eingeholt

Der zunehmende Einsatz tragbarer Datenverarbeitungsgeräte erhöht die Gefahr des Datendiebstahls. Die Verschlüsselung der Daten könnte das Schlimmste verhindern.

Seitdem in der Verwaltung tragbare Personalcomputer, sogenannte Laptops, eingesetzt werden, fordern wir die betreffenden Behörden dazu auf, nicht nur die Betriebssysteme und Programme durch Überprüfung der Identität der Benutzer (Eingabe einer Benutzerkennung und Überprüfung anhand eines zusätzlichen persönlichen Schlüsselwortes) gegen unbefugte Zugriffe zu sichern, sondern auch die Dateien zu verschlüsseln. Auf andere Weise ist die unbefugte Kenntnisnahme der gespeicherten Daten nämlich nicht wirksam zu verhindern, da bei diesen Geräten (wenn sie z.B. gestohlen oder auf andere Weise in fremde Hände gelangt sind) die Festplatten relativ leicht ausgebaut und in anderen Geräten (ohne Sicherheitskontrollen) gelesen werden können. Wegen der stark steigenden Tendenz der Verwendung dieser Geräte in den Behörden außerhalb der Diensträume haben wir auch vorgeschlagen, derartige Sicherungsmaßnahmen im Rahmen der Datenschutzverordnung (vgl. Tz. 6.2 dieses Berichtes) den datenverarbeitenden Stellen als Pflicht aufzuerlegen.

Auf eine besondere Resonanz sind diese Aktivitäten bisher nicht gestoßen. Die Gesprächspartner hielten das Risiko des Diebstahls oder Verlustes für so gering, daß der Verschlüsselungsaufwand (gemeint waren offenbar die Kosten in Höhe von wenigen hundert Markt pro Gerät, denn die Verschlüsselung selbst führt zu kaum meßbaren Zeitverlusten) nicht gerechtfertigt sei. Daß eine solche Einschätzung sehr schnell von der Realität überholt werden kann, wird durch nachstehende Annonce (durch uns anonymisiert) belegt:

6.6

Ergebnisse von Prüfungsmaßnahmen im Bereich der automatisierten Datenverarbeitung

6.6.1

Datenzentrale meldet Abschluß der Maßnahmenumsetzung

Die Umsetzung unserer Beanstandungen und Verbesserungsvorschläge gegenüber der Datenzentrale ist abgeschlossen.

Die datenschutzrechtlichen Beanstandungen und Verbesserungsvorschläge datieren vom Oktober 1990. Mit Schreiben vom Dezember 1993 hat die Datenzentrale Schleswig-Holstein nunmehr "Vollzug gemeldet". Sie hatte zwar in einem Halbjahresrhythmus stets über den Fortgang der Arbeiten zur Umsetzung der Forderungen und Anregungen aus einer Prüfungsmaßnahme im Jahr 1990 unterrichtet (vgl. 13. TB, S. 73, 14. TB, S. 25), es bedurfte aber eines Zeitraumes von fast 40 Monaten, um zu einem Abschluß zu gelangen. Auf die grundsätzlichen Probleme der Zeitkomponente bei der Behebung von festgestellten Mängeln haben wir bereits an anderer Stelle hingewiesen (vgl. 15. TB, Tz. 1.3 und Textziffer 6.6.2 dieses Berichtes).

Unabhängig davon ist in bezug auf die Aktivitäten der Datenzentrale festzustellen, daß unsere Forderungen und die neue Unternehmensphilosophie der Datenzentrale einige grundlegende Veränderungen bewirkt haben. Es besteht nunmehr Übereinstimmung darin, daß auch sicherheitstechnisch zwischen den Funktionen der Datenzentrale als Hardware-Lieferant, als Software-Haus und als Rechenzentrum unterschieden werden muß. Hieraus ergibt sich z.B. die praktische Konsequenz, daß Mitarbeiter aus den Verkaufs-und Entwicklungsbereichen nicht im Rechenzentrum und Kundendaten nichts in den Verkaufs- und Entwicklungsbereichen "zu suchen haben". Außerdem darf das Rechenzentrum grundsätzlich nur mit solchen Programmen arbeiten, die von den Auftraggebern der Datenzentrale ein Freigabetestat erhalten haben.

Die Realisierung allein dieser beiden Forderungen hat die Datenzentrale offenbar vor signifikante Probleme gestellt. Immerhin spricht sie auch in ihrem Abschlußbericht davon, daß in einzelnen Bereichen "wegen Überbeanspruchung unserer Programmierkapazitäten noch keine weiteren Fortschritte gemacht worden sind"; seit Oktober 1993 habe sie deshalb eine Interimslösung realisiert.

Die Optimierung von Maßnahmen zum Datenschutz und zur Datensicherheit sehe sie aber als Daueraufgabe auch im Zusammenhang mit Änderungen in der Organisationsstruktur aufgrund der Realisierung des neuen Unternehmenskonzeptes an.

Wir werden die tatsächlichen Auswirkungen der getroffenen Maßnahmen in den nächsten Jahren im Rahmen von punktuellen Prüfungsmaßnahmen untersuchen und bewerten.

6.6.2

Beanstandungen akzeptiert - Abhilfe auf die lange Bank geschoben?

Die Stadt Kiel hat umfangreiche Konsequenzen aus der datenschutzrechtlichen Kontrolle angekündigt. Konkrete Maßnahmen und präzise Terminvorstellungen wurden aber noch nicht genannt.

Im letzten Tätigkeitsbericht (15. TB, Tz. 6.1.3) haben wir über die Ergebnisse einer umfassenden Überprüfung der automatisierten Datenverarbeitung bei der Landeshauptstadt Kiel berichtet und angekündigt, wir würden die von der Stadt konkret getroffenen Maßnahmen demnächst darstellen.

Hierzu sehen wir uns leider noch nicht in der Lage, weil die geprüfte Stelle bisher lediglich Absichtserklärungen abgegeben hat. Die Auswertung der sechs Monate nach Übersendung der Prüfungsniederschrift eingegangenen Stellungnahme der Stadt hat zwar ergeben, daß in allen wesentlichen Punkten Übereinstimmung in der datenschutzrechtlichen Bewertung der im Rahmen der Prüfung festgestellten Sachverhalte besteht. Hierin ist ein positiver Ansatz für die konkrete Behebung der festgestellten datenschutzrechtlichen Defizite und die Realisierung der Verbesserungsvorschläge zu sehen.

Trotz der als Grund für die Verzögerung genannten organisatorischen Umstellungen im Bereich des Amtes für Organisation und Verwaltungsreform erscheint es uns aber angesichts der rechtlichen Tragweite der festgestellten Mängel unumgänglich, daß die Absichtserklärungen der betroffenen Ämter und Personen in einem definierten Zeitrahmen umgesetzt werden. Wir haben die Stadt deshalb aufgefordert mitzuteilen, wann jeweils mit der Umsetzung begonnen wird und wann mit einem Abschluß zu rechnen ist.

Die Bandbreite der erforderlichen Aktivitäten ergibt sich aus folgender Zusammenstellung der "offenen Posten":

• Überarbeitung der Geschäftsanweisung für die EDV-Abteilung,
  
• Schaffung eines Gesamtkonfigurationsplanes und eines einheitlichen, vollständigen und aktuellen Geräteverzeichnisses,
  
• Regelung der Funktionen der EDV-Verbindungsleute in einer Dienstanweisung,
  
• Überarbeitung der Geschäftsanweisung zum Schutz der Datenträger,
  
• Neuerstellung der Dateibeschreibungen,
  
• Anonymisierung von Testdaten,
  
• Veränderung bzw. Vervollständigung des Testdatenbestandes im Einwohnerwesen,
  
• Protokollierung von Zugriffen der Programmierer auf "Echtbestände",
  
• schriftliche Fixierung der Konventionen für die Behandlung von Meldedaten,
  
• Erstellung einer Dienstanweisung für Systemkoordinatoren,
  
• Verbesserung der Eingabekontrolle,
  
• Verbesserung der Raumsituation im Einwohnermeldeamt,
  
• Erstellung von Dienstanweisungen und Erarbeitung spezifizierter Datensicherungsmaßnahmen in mehreren Bereichen der Stadtverwaltung,
  
• Erstellung eines Schulungskonzeptes,
  
• Verabschiedung eines von allen Beteiligten akzeptierten Konzeptes für die Fortentwicklung der automatisierten Datenverarbeitung,
  
• Neuregelung der Aufgabenabgrenzung zwischen den Fachabteilungen und der EDV-Abteilung,
  
• Verhandlung über Vertragsänderung mit einem Service-Rechenzentrum.
  

Der Oberbürgermeister der Landeshauptstadt Kiel hat daraufhin seine terminlichen Vorstellungen in einigen Punkten konkretisiert, aber keine definitiven Zeitpunkte für das Wirksamwerden konkreter Maßnahmen genannt. Formulierungen wie "der Erledigungszeitpunkt ist bisher noch nicht abzusehen", "ein konkreter Termin kann nicht festgelegt sein" und "... -Konzept wird erarbeitet" lassen befürchten, daß damit ein Hinausschieben "auf die lange Bank" nicht anzuschließen ist. Wir werden deshalb darauf drängen, daß den guten Absichten bald auch Taten folgen. Denn angesichts der umfangreichen Automatisierungsvorhaben bei der Stadt Kiel kommt der rechtzeitigen datenschutzgerechten Gestaltung der Abläufe eine besondere Bedeutung zu.

6.6.3

Die automatisierte Datenverarbeitung in einer anderen Großstadt - wie die Probleme sich gleichen

Die Kontrollen der automatisierten Datenverarbeitung in mittleren und größeren Kommunalverwaltungen haben

im Berichtsjahr sowie in den vergangenen Jahren zur Feststellung übereinstimmender Mängel geführt.

Überprüfungen "vor Ort" haben in erster Linie den Zweck, Mängel und Schwachstellen bei den betreffenden datenverarbeitenden Stellen aufzudecken und ihre Behebung, zumindest aber eine Verbesserung des Datenschutzes zu bewirken. Daneben dienen sie aber auch dazu, über den Einzelfall hinausgehende Grundsatzfragen und -probleme aufzuzeigen sowie allgemeine sicherheitstechnische Fragestellungen im Zusammenhang mit dem Einsatz von Informationstechnik in der öffentlichen Verwaltung einer vergleichenden Analyse zu unterziehen.

Aus diesem Grunde haben wir unmittelbar im Anschluß an die Nachschau bei der Stadt Kiel (vgl. 15. TB, Tz. 6.1.2 und Tz. 6.6.2 dieses Berichts) mit einer gleichartigen Prüfungsmaßnahme bei der Stadt Flensburg begonnen. Die Ergebnisse zeigen eine weitgehende Übereinstimmung bezüglich der datenschutzrechtlichen Mängel und Schwachstellen im Bereich der technischen und organisatorischen Sicherheitsmaßnahmen. Faßt man diese und die Ergebnisse aus anderen Prüfungen zusammen, können folgende Sachverhalte als generelle Probleme beim Einsatz von Informationstechnik in mittleren und großen Kommunalverwaltungen angesehen werden:

• Es mangelt an klaren aufbauorganisatorischen Maßnahmen. Die Einbettung der Organisationseinheiten, die als "Dienstleister" auf dem Gebiet der Informationstechnik fungieren, in das Gesamtgefüge der Behörde ist nicht frei von Schnittstellenproblemen. Bezüglich der konkreten Verantwortung für Mängel und Sicherheitsrisiken verweist nicht selten die EDV-Abteilung auf die Fachabteilung und umgekehrt (Beispiel: Wer entscheidet über die sicherheitstechnische Minimalausstattung von Personalcomputern in einem Gesundheitsamt, der Amtsarzt oder der EDV-Leiter? Wer trägt die Verantwortung für sicherheitstechnische "Restrisiken"? Wer ist gegenüber den Systemadministratoren weisungsberechtigt?).
  
• Aus den aufbauorganisatorischen Schwachstellen folgen ablauforganisatorische Mängel. Die entsprechenden Anweisungen und Regelungen sind unvollständig oder so veraltet, daß eine Nichtbeachtung "in der Natur der Sache" liegt (Beispiel: Wenn eine Dienstanweisung zwar die DV-Organisation von vor fünf Jahren durchaus sachgerecht reglementiert, auf die Besonderheiten des aktuellen PC-Einsatzes aber nicht eingeht, ist es nicht verwunderlich, wenn sie insgesamt nicht mehr beachtet wird.).
  
• Einzelnen Mitarbeitern in den Fachabteilungen werden EDV-orientierte Funktionen übertragen, ohne daß sie entsprechend ausgebildet sind und schriftlich festgelegt ist, welche Verantwortung und Befugnisse damit verbunden sind (Beispiel: Bevor jemand zum EDV-Koordinator, Systembetreuer oder zum Datenschutzbeauftragten ernannt wird, muß ihm gesagt werden, welche Arbeitsergebnisse von ihm erwartet werden und auf welche Art und Weise sie erbracht werden sollen.).
  
• Werden Fachabteilungen erstmals mit informationstechnischen Systemen ausgerüstet und die Verfahrensabläufe automatisiert, wird aus Zeit- und Kostengründen die Schulung der Mitarbeiter auf die verfahrensspezifischen Aspekte begrenzt (Beispiel: Vorgesetzte und Sachbearbeiter erfahren zwar, wie Daten einzugeben sind, nicht aber wann und wie eine Löschung zu erfolgen hat; in der Fachabteilung bleibt weitgehend unbekannt, welche Konsequenzen sich ergeben, wenn ein IT-Gerät nicht so benutzt wird, wie es eigentlich vorgeschrieben ist oder was passiert, wenn - was an sich verboten ist - doch eine Diskette in das entsprechende Laufwerk eingeschoben wird oder welche Folgen ein "Programmabsturz" hat.).
  
• "Durchgängige", gleichwohl "angemessene" Sicherheitskonzepte für die gesamte datenverarbeitende Stelle sind insbesondere bei großen Behörden sehr selten zu finden. Einerseits gibt es immer wieder Fachabteilungen, die für sich Sonderrechte reklamieren und zugestanden bekommen, so daß Insellösungen toleriert werden. Andererseits werden die Fachabteilungen nicht grundsätzlich in die Pflicht genommen, ihre spezifischen (rechtlich begründeten) Sicherheitsanforderungen selbst zu definieren und der EDV-Abteilung als Vorgabe für die Hardware- und Softwareauswahl zur Verfügung zu stellen (Beispiel: Die zweckgebundene Bereitstellung von Haushaltsmitteln für bestimmte IT-Projekte durch politische Gremien befreit nicht von einer "professionellen" Erarbeitung eines Sicherheitskonzeptes; das Problem der Zugriffsberechtigung auf Datenbestände in einem Gesund-heitsamt oder in einem Krankenhaus ist mit Rechtsfragen verbunden, deren Klärung nicht von der EDV-Abteilung erwartet werden kann.).
  
• Der Übergang von der Entwicklung (Erprobung) der automatisierten Verfahren in die Produktionsphase erfolgt fast immer "fließend". Ein systematischer Verfahrenstest und eine schriftliche Freigabe zum Einsatz ist weder beim ersten Einsatz noch nach Änderungen gängige Praxis. (Beispiel: Änderungsbefugnisse der EDV-Abteilung für Datenbestände sind in der Testphase eines Verfahrens unbedingt notwendig, im Echtbetrieb aus der Sicht der Fachabteilung jedoch nicht zu verantworten - im wahrsten Sinne des Wortes.).
  
• Die sicherheitstechnisch "brisantesten" Aktivitäten in einem informationstechnischen System, die verändernden Zugriffe auf das Betriebssystem und die systemnahe Software werden nicht revisionsfähig protokolliert (Beispiel: Wenn der Verdacht auftaucht, ein Systembetreuer habe manipuliert, kann er den Gegenbeweis nicht antreten, da er zweifellos die Möglichkeit gehabt hätte, aber nicht registriert ist, was er und was er nicht getan hat.).
  
• Obwohl es seit vielen Jahren gesetzlich vorgeschrieben ist, mangelt es an der korrekten Dokumentation der eingesetzten Hardware und Software sowie der Datenbestände (Beispiel: Aussage eines Mitarbeiters in der EDV-Abteilung: "Mir fehlt die Zeit, das Verfahren vernünftig zu dokumentieren".).
  
• In dem Maße, wie die Anzahl der informationstechnischen Systeme in der Verwaltung steigt, wächst die Abhängigkeit von externen Dienstleistern; deren Tätigkeit führt fast zwangsläufig zur Kenntnisnahme geschützter personenbezogener Daten (Beispiel: Speicherfehler auf einer Magnetplatte werden in der Regel in der Weise behoben, daß die betreffende Platte zur Fehleranalyse "eingeschickt" wird; zum Nachweis von Programmfehlern wird die Kopie eines Bildschirminhalts übergeben.).
  

Über die spezifischen Problemstellungen bei der Stadt Flensburg und ihre Lösung kann erst im nächsten Jahr berichtet werden, da eine Stellungnahme bis zum Redaktionsschluß dieses Tätigkeitsberichtes noch nicht vorlag.

6.6.4

EDV im Krankenhaus - technischer Fortschritt pro oder contra Patientengeheimnis?

Im Jahre 1993 haben wir uns im Rahmen unserer Prüfungsmaßnahmen einem Bereich zugewandt, in dem der Wunsch bzw. der Zwang, die technische Entwicklung auf dem Gebiet der Informationsverarbeitung voll auszuschöpfen, zu erheblichen Rechtsproblemen führen wird.

Krankenhäuser gehören zu den wenigen öffentlichen Stellen, die nach kaufmännischen und nicht nach kameralistischen Grundsätzen zu kalkulieren haben. Dies führt vor dem Hintergrund des Drängens der Sozialleistungsträger (Krankenkassen), die Behandlungskosten (Tagesätze) zu reduzieren, zur Offenlegung von Kostenstrukturen (Kostenstellen- und Kostenträgerrechnung). Da erscheint der konsequente Einsatz von Datenverarbeitungssystemen im Bereich der Krankenhausverwaltung, aber auch unmittelbar im medizinischen Bereich ein probates Mittel zur Effizienzsteigerung und zur Rationalisierung. Wie schnell bei einem nur an den Kosten orientierten Ansatz die rechtlichen Voraussetzungen und die sicherheitstechnischen Rahmenbedingungen zu einer Nebensache werden können, haben Prüfungen in einem Kreiskrankenhaus und in einem Universitätsklinikum gezeigt.

Folgende Feststellungen in dem Kreiskrankenhaus dürften auch für andere kommunale Krankenhäuser zutreffend sein:

• Ausgangspunkt für die automatisierte Datenverarbeitung waren Verfahren im Bereich der Krankenhausverwaltung. Es handelte sich dabei um die Abrechnung der Behandlungen, die Fakturierung, die Debitoren- und Kreditorenbuchhaltung sowie die Finanz- und Anlagenbuchhaltung. Aber auch in den rein medizinischen Bereich hat die Informationstechnik Einzug erhalten, zunächst bei der Labormedizin, sodann auch zur Unterstützung der Behandlungen.
  
• Die Tatsache, daß es sich auch bei den Verwaltungsdaten zumindest zum Teil um solche handelt, die einem besonderen Berufs- und Amtsgeheimnis unterliegen (Name des Patienten, Dauer der Behandlung und Diagnose, therapeutische Maßnahmen), fand in der Praxis keine entsprechende Beachtung. So war es nahezu selbstverständlich, daß die Hard- und Softwaretechniker der Computerlieferanten und Softwarehäuser bei Routinearbeiten am System, insbesondere aber bei Systemfehlern, Kenntnis von diesen Patientendaten bekamen.
  
• Für die Administration der technischen Systeme und der Software waren in der Verwaltung des Krankenhauses Mitarbeiter zuständig, deren Aktivitäten durch die Vorgesetzten mangels Fachwissen auf dem Gebiet der automatisierten Datenverarbeitung nicht überwacht werden konnten. Eine Protokollierung ihrer Aktivitäten fand nicht statt.
  
• Der automatisierten Datenverarbeitung lag kein schriftlich formuliertes Sicherheits- und Verfahrenskonzept zugrunde, das als Basis für detailierte Anweisungen für die beteiligten Systemadministratoren und Systembenutzer hätte dienen können.
  
• Die Verantwortungsaufteilung zwischen dem medizinischen-, dem pflegerischen- und dem Verwaltungsbereich korrespondierte nicht mit der Datenverarbeitungsorganisation. Es war z.B. nicht geklärt, ob und ggf. welche Befugnisse bzw. Verantwortung eine im Krankenhausverwaltungsamt des Kreises eingerichtete, jedoch nur mit einem Mitarbeiter besetzte, Stabsstelle bezüglich des medizinischen und des pflegerischen Bereichs hatte.
  
• Dementsprechend unzureichend war auch die Administration der datenverarbeitungstechnischen Systeme im medizinischen Bereich. Teilweise lag die ausschließliche Verantwortung beim leitenden Arzt, in einem anderen Fall hatte dieser die Systembetreuung an einen anderen Arzt delegiert. Beide verfügten jedoch nicht über eine entsprechende Ausbildung. Der ärztliche Direktor übte keine unmittelbare Kontrollfunktion aus.
  
• Die gesetzlich vorgeschriebenen Dateibeschreibungen und Geräteverzeichnisse wurden nicht geführt. Insbesondere im medizinischen Bereich bestanden Unklarheiten bezüglich der Inhalte der gespeicherten Daten und der Löschungsfristen.
  

Aufgrund unserer Beanstandungen hat sich die Krankenhausleitung veranlaßt gesehen, mit der Behebung der Schwachstellen und Mängel zu beginnen. Als erster Schritt ist der Entwurf einer Dienstanweisung formuliert worden. Dieser konnte allerdings noch nicht überzeugen. Dies mag an dem von der Krankenhausleitung gewählten Ansatz gelegen haben, daß in der Dienstanweisung (Zitat) "nur solche Vorgaben gemacht werden, die letztendlich die Datenverarbeitung nicht deutlich beeinträchtigen". An anderer Stelle heißt es: "Bei der Einführung neuer automatisierter Verfahren werden die Sicherheitskonzepte stärker berücksichtigt werden. Hierzu muß jedoch angemerkt werden, daß aufgrund der personellen Ausstattung sich diese Konzepte auf das unbedingt vertretbare Maß beschränken müssen." oder "Die Überlegung, den Zugriff von echten Daten für Mitarbeiter der Systemhäuser auszuschließen, ist theoretisch".

Wir haben den Kreis auf die rechtliche und sicherheitstechnische Brisanz, die in derartigen Aussagen liegt, hingewiesen und auf wirksame Verbesserungen gedrängt.

Die als eine vergleichende Analyse gedachte Prüfung in einem Universitätsklinikum mußte abgebrochen werden, da keine ausreichend prüffähigen Unterlagen über die installierten Datenverarbeitungssysteme und benutzte Software vorgelegt werden konnten.

Gleichwohl hat bereits eine erste Nachschau "vor Ort" ergeben, daß einheitliche konzeptionelle Vorgaben (EDV-Konzept, EDV-Dienstanweisungen, Mindestanforderungen an die Datensicherung, Form und Inhalt von Dokumentationen) weder für die automatisierten Verfahren, die von der Universitäts-bzw. Klinikverwaltung eingesetzt werden, noch für solche, die aufgrund der Initiative der einzelnen Kliniken und Institute in eigener Verantwortung realisiert worden sind, bestehen.

Allerdings sind im August 1993 (die schriftliche Ankündigung der Prüfung erfolgte im Juli) sogenannte "Datenschutzrichtlinien" in Kraft gesetzt geworden, die jedoch bis zum Prüfungszeitpunkt (September) noch keine wesentlichen Wirkungen entfaltet hatten. Trotz der komplexen Struktur des Universitätsklinikums enthalten sie keine konkrete schriftliche Fixierung der personellen Zuständigkeiten bezüglich der Administration der eingesetzten Hardware, der Software und der Datenbestände. Festgeschrieben ist allerdings, daß die Abteilungsdirektoren für die Einhaltung des Datenschutzes als "Herren der Daten" die Verantwortung tragen. Eine Differenzierung dieser Verantwortung im Hinblick auf die innere Organisation einerseits und die Verantwortung im Außenverhältnis andererseits ist nicht vorgenommen worden. Ein im Jahr 1988 erstelltes Konzept für ein Datenschutz- und Datensicherheitssystem läßt weder den Auftraggeber noch den Verfasser erkennen. Es hat offenbar nicht die Absicht bestanden, es in die Praxis umzusetzen.

Besondere Schwierigkeiten ergaben sich daraus, daß die gesetzlich vorgeschriebenen Dateibeschreibungen und das Geräteverzeichnis seit einigen Jahren nicht mehr fortgeschrieben bzw. nicht erstellt worden sind und daß es der Klinikverwaltung nicht gelang, in dem Zeitraum zwischen der Ankündigung der Prüfung und ihrer Durchführung die entsprechenden Daten nachzuerheben. Von den fünfzig Kliniken, Instituten und Verwaltungsstellen, in denen personenbezogene Daten verarbeitet werden, hatten bis zum Zeitpunkt der Prüfung trotz schriftlicher Aufforderung neunzehn Stellen keine Angaben gemacht, vierzehn Stellen haben mitgeteilt, daß sie keine Dateien mit personenbezogenen Daten führen, in den übrigen siebzehn Stellen sind ca. 150 Rechnersysteme und Einzelplatzrechner sowie 25 Bildschirmarbeitsplätze mit acht unterschiedlichen Betriebssystemen und vierzig verschiedenen Software-Paketen zum Zweck der personenbezogenen Datenverarbeitung im Einsatz. Diese Zahlen geben allerdings nur einen ungefähren Anhaltspunkt über die Vielzahl der in diesen Bereichen vorhandenen automatisierten und nichtautomatisierten Dateien.

Zu den entsprechenden datenschutzrechtlichen Beanstandungen hat der Rektor der Universität in einer ersten Stellungnahme mitgeteilt, daß er zu vielen Punkten eine abweichende Position vertrete. Die Registrierung der Dateien und der Hardware sei aus seiner Sicht vollständig. Die ablauforganisatorischen Regelungen seien im Hochschulgesetz des Landes Schleswig-Holstein abschließend dargestellt. Darüber hinaus existierende Regelungen würden jedoch aufgrund unserer Vorschläge grundsätzlich überarbeitet. Zudem würde eine Stabsstelle zur Erarbeitung eines DV-Gesamtkonzeptes und eine Datenschutzkommission eingerichtet werden. Über den Fortgang der Prüfung werden wir im nächsten Tätigkeitsbericht berichten.

6.6.5

Verdeckte Videoüberwachung - der Datenschutz-"Skandal" des Jahres 1993

Nicht böser Wille, sondern Unkenntnis des Rechts und der datenverarbeitungstechnischen Möglichkeiten waren Ursache von gravierenden Fehlentscheidungen. Dies führte zur Installation einer verbotenen geheimen Videoüberwachung.

Kaum ein anderer "Datenschutzunfall" im Lande Schleswig-Holstein hat in den vergangenen Jahren ein solches Presseecho hervorgerufen, wie eine verdeckte Videoüberwachung in der Amtsverwaltung Bargteheide-Land. "Video-Skandal", "Bespitzelung im Amt", "Bargteheide-Gate" lauteten nur einige der Überschriften in praktisch allen regionalen und einigen überregionalen Zeitungen, Rundfunk und Fernsehen berichteten mit ähnlichem Inhalt.

In der Tat, es war zu einer rechtlich unzulässigen Datenverarbeitung gekommen. Aber was war die Ursache, was die Wirkung? Der Sachverhalt stellte sich wie folgt dar:

Im Oktober 1992 wurden von den Mitarbeitern des Amtes Manipulationen an der EDV-Anlage im Kämmereiamt bemerkt. Es waren Haushaltsdaten offenkundig verfälscht worden. Da es sich vermeintlich nur um einen Einzelfall handelte, wurden die falschen Angaben wieder richtiggestellt. Ein Manipulationsverdacht kam erst auf, als man auch von Unstimmigkeiten in anderen Bereichen der Verwaltung zu früheren Zeitpunkten hörte. Auf dem PC im Vorzimmer des Leitenden Verwaltungsbeamten waren Zahlen geändert worden. Im Bereich der technischen Abteilung hatte es Unstimmigkeiten mit der automatisierten Abwasserabgabenberechnung gegeben und ein ganzes Programm war zeitweise verschwunden. Später wurde dann festgestellt, daß ein Lehrling es mit nach Hause genommen und dort privat bearbeitet hatte.

Wegen dieser Unstimmigkeiten wandte sich eine Mitarbeiterin des vom Amt beauftragten EDV-Beratungsunternehmens seinerzeit auch an uns und ließ sich - ohne die Sachverhalte darzulegen - ganz allgemein bezüglich der Ausgestaltung von Dienstanweisungen beraten.

Später ist auch die Beschaffung einer speziellen Sicherheitssoftware erwogen, aber nicht realisiert worden. Auf Anraten der Unternehmensberatungsfirma wurde statt dessen die Videoüberwachung durch den Amtsvorsteher veranlaßt. Man wollte auf diese Weise feststellen, wer sich unbefugt an den Datenverarbeitungsgeräten zu schaffen machen würde. Auf die Rechtswidrigkeit der Maßnahme ist der Amtsvorsteher von der Unternehmensberatungsfirma und von den Mitarbeitern der Amtsverwaltung, die eingeweiht waren, nicht aufmerksam gemacht worden. Nach anderen Sicherungsmöglichkeiten hat er nicht gefragt.

Die Mitarbeiter der Amtsverwaltung, an deren Arbeitsplätzen die Anlagen verdeckt installiert wurden, waren informiert. Allerdings herrschte in den überwachten Räumen Publikumsverkehr. Die Überwachungsmaßnahme lief ca. vier Wochen. In dieser Zeit wurden insgesamt vier Video-Bänder beschrieben. Eine Tonaufzeichnung erfolgte nicht.

Der behördliche Datenschutzbeauftragte hat auf einem privaten Spielgerät die Bänder eingesehen. Er übergab sie nach dem Ende der Überwachungsmaßnahme dem Leiter des Ordnungsamtes. Dieser verwahrte sie vorübergehend in seiner Privatwohnung.

Nach Aufdeckung durch einen Mitarbeiter, der einen als Tarnung verwendeten Leitz-Ordner benutzen wollte, wurde in einer außerordentlichen Amtsausschußsitzung beschlossen, die Kriminalpolizei einzuschalten und Anzeige gegen Unbekannt zu erstatten. Die Video-Bänder mit den Aufzeichnungen wurden der Polizei übergeben. Sie verbleiben dort als Beweismittel bis zum Ende des strafrechtlichen Ermittlungsverfahrens. Die Presse und der Datenschutzbeauftragte wurden ebenfalls informiert.

Aufgrund der von uns durchgeführten Nachschau wurde "die Aufzeichnung des Verhaltens von Personen in zwei Räumen der Amtsverwaltung auf optisch-elektronischen Bildträgern (Video-Aufzeichnung) gem. § 25 Abs. 2 i. V. m. § 32 LDSG beanstandet, da die Tatsache der Aufzeichnung für die Betroffenen (Mitarbeiter und Besucher der Amtsverwaltung) nicht erkennbar gemacht worden ist (§ 32 Abs. 1 Satz 2 LDSG)."

Soweit die Fakten, die eigentlichen Ursachen für diese rechtlich unzulässige Verfahrensweise lagen nach unseren Erkenntnissen nicht in der Absicht begründet, schutzwürdige Belange von Betroffenen zu beeinträchtigen, sondern in einer dreifachen Unkenntnis. Dem ehrenamtlich tätigen Amtsvorsteher und den ihn beratenden Mitarbeitern der Verwaltung und des Unternehmens war offenbar nicht bekannt,

• daß diese Art der Video-Überwachung ein höchst unwirksames Mittel zur Aufdeckung von Manipulationen an Datenverarbeitungsgeräten darstellt, da dabei der eigentliche Vorgang der Manipulation nicht protokolliert wird,
  
• daß Videoaufzeichnungen durch öffentliche Stellen an die datenschutzrechtliche Bedingung geknüpft sind, daß "die Tatsache der Aufzeichnung für die Betroffenen durch geeignete Maßnahmen erkennbar gemacht wird", und
  
• daß es auf dem Markt bewährte Software-Produkte gibt, die derartige Manipulationen unmöglich machen und bereits entsprechende Versuche protokollieren.
  

Bereits durch einen Blick in das Landesdatenschutzgesetz sowie in die von uns im Amtsblatt (1992, S. 753) veröffentlichten Hinweise hätte der Wissensstand der handelnden Personen so weit angehoben werden können, daß dieser "Skandal" zu vermeiden gewesen wäre. Für uns ist dieser Fall ein Lehrstück dafür, daß neben der Fahrlässigkeit die Unwissenheit als häufigster auslösender Faktor für Datenschutzverletzungen anzusehen ist. Hierauf weisen wir in den Informationsveranstaltungen der DATENSCHUTZAKADEMIE seit Jahren immer wieder hin.