20. Tätigkeitsbericht (1998)
6. |
Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung |
|
6.1 |
30 Jahre EDV in der Verwaltung - und kein bißchen weise?
|
|
Seit langem bekannte gravierende sicherheitstechnische Problemstellungen sind von den Behörden auch im Verlaufe der letzten 10 Jahre nicht gelöst worden. Der Drang nach immer mehr Informationstechnik vergrößert die Risiken.
In einem Schreiben mit Datum vom 21.10.1968 teilte der damalige Ministerpräsident seinen Kabinettskollegen mit, daß die Datenzentrale Schleswig-Holstein nunmehr ihre Arbeit in vollem Umfang aufgenommen habe, um die Erledigung von Aufgaben der öffentlichen Verwaltung im Lande durch Computer zu ermöglichen. Die damaligen EDV-Entscheidungsträger dürften zwischenzeitlich aus dem aktiven Dienst ausgeschieden sein und ihre Erfahrungen an die nächste Generation der Datenverarbeiter weitergegeben haben, in vielen Verwaltungen haben bereits die "Enkel" die Verantwortung übernommen. Vor dem Hintergrund, daß das Datenschutzrecht zwanzig dieser dreißig Jahre "regelnd und steuernd" begleitet hat, sollte man annehmen, daß alle wesentlichen und grundsätzlichen sicherheitstechnischen Problemstellungen, die beim Einsatz von Computern zur Bewältigung der personenbezogenen Datenverarbeitung in der Verwaltung auftreten und einer allseits befriedigenden Lösung zugeführt worden sind. Dreißig Jahre Erfahrung mit den technischen Systemen und zwanzig Jahre Erfahrung mit den Datensicherheitsvorschriften sollten ausreichen, um Kinderkrankheiten zu überwinden und um im Tagesgeschäft der Praxis Datensicherheit und Ordnungsmäßigkeit der Datenverarbeitung auf einem hohen Niveau zu gewährleisten, auch wenn ständig technische Neuerungen einzubinden sind.
Das Ende einer Dekade gibt Anlaß zu einer vergleichenden Betrachtung und einem Resümee. So ist es vor zehn Jahren geschehen (vgl. 10. TB, Tz. 1) und das Fazit lautete 1987: Das Datenschutzrecht hat in zehn Jahren mehr bewirkt als zunächst zu erwarten war. Es sind aber nicht alle Probleme gelöst worden, die bei konsequenter Umsetzung der gesetzlichen Bestimmungen lösbar gewesen wären.
Weitere zehn Jahre später stellt sich erneut die Frage nach Defiziten inhaltlicher und methodischer Art. Deshalb soll die nachfolgende Darstellung der kritischen Anmerkungen aus den Tätigkeitsberichten der Jahre 1986 bis 1988 den Vergleich mit der heutigen Situation ermöglichen. Einige der damaligen Schlagzeilen lauteten:
Betrachtet man das Inhaltsverzeichnis des vorliegenden Tätigkeitsberichtes und das der Tätigkeitsberichte der letzten Jahre, wird man feststellen, daß die Verantwortlichen kaum eines der vorstehenden - immerhin zehn Jahre alten - Probleme zwischenzeitlich in den Griff bekommen haben. Dies muß als ein Alarmsignal
betrachtet werden. Zu den bekannten Defiziten kommen nämlich offensichtlich immer neue hinzu. Zu nennen sind in diesem Zusammenhang:
Wer nur den Ausstattungsgrad der Behörden mit PC an den Arbeitsplätzen als Maßstab sieht, der wird stolz auf die zurückliegenden zehn Jahre blicken können. Wer sich aber die Kriterien "Beherrschbarkeit", "Sicherheit" und "Revisionsfähigkeit" der Informationstechnik auf die Fahnen geschrieben hat, der wird auch nach dreißig Jahren EDV-Entwicklung und nach zwanzig Jahren Datensicherheitsrecht mit dem gleichen, wenn nicht gar mit größeren Sorgen als vor zehn Jahren die Tagesaktualität und die künftigen Entwicklungen betrachten. Dies ist aus der Sicht der von der Datenverarbeitung der öffentlichen Verwaltung betroffenen Bürger kein beruhigendes Fazit. Sie werden zu Recht die Frage nach der Verantwortung für diese Situation stellen.
|
||
6.2 |
Automationskommission der kommunalen Landesverbände - gute Vorsätze drohen zu verwässern
|
|
Das Konzept für ein effektives Testverfahren für Kommunalsoftware ist seit einem Jahr fertig. Es schmort in der Schublade, weil man sich nicht über die Finanzierung einigen kann.
Das Thema "Test von Hard- und Softwareprodukten für den kommunalen Bereich" ist bereits in vielen Tätigkeitsberichten angesprochen worden (vgl. 13. TB, Tz. 6.3, 19. TB, Tz. 6.3). Es geht dabei seit Jahren um immer die gleiche Frage: Wie kann man erreichen, daß sich nicht jede kleine Amtsverwaltung erneut von der richtigen Funktionsweise der von der Datenzentrale oder anderen Anbietern erworbenen Programme oder Paketlösungen überzeugen muß? Allen Beteiligten ist klar, daß es viel effektiver wäre, wenn einige kompetente Kommunen diese Prüfungen vornehmen und hierüber Testate erstellen würden, auf die sich die anderen dann verlassen könnten.
Wie im letzten Tätigkeitsbericht dargestellt, hat die Automationskommission der kommunalen Landesverbände hierzu ein in sich schlüssiges, alle derzeitigen Defizite behebendes Konzept erarbeitet, an dem wir beratend mitgewirkt haben. Die Entscheidungsgremien der kommunalen Landesverbände haben dieses auch zustimmend zur Kenntnis genommen. In einem Punkt halten sie sich aber nun schon ein ganzes Jahr "bedeckt": Das Verfahren funktioniert nur dann, wenn eine zentrale Überwachung erfolgt. Die Anbieter von Hard- und Software brauchen eine Ansprechstelle; die ordnungsgemäße Durchführung der Tests muß kontrolliert werden, die Testate und Freigabeempfehlungen müssen dokumentiert werden, es muß überwacht werden, daß die Anbieter die Freigabeempfehlungen nicht unbefugt verwenden usw.
Dies alles ist der Automationskommission und den Kommunen seit langem klar, weil die erheblichen Arbeitsersparnisse bei den einzelnen datenverarbeitenden Stellen selbstverständlich an einer anderen Stelle einen (natürlich sehr viel geringeren) hohen Aufwand erzeugen. Kurz und gut: Die Automationskommission braucht einen hauptamtlichen Geschäftsführer und keiner will ihn bezahlen. Solange aber kein Geld zur Verfügung steht, bleibt auch das schöne Konzept in der Schublade liegen, und die Kommunen setzen weiterhin Software ein, die nicht ausreichend getestet worden ist. Die Bürgermeister und leitenden Verwaltungsbeamten ärgern sich darüber. Sie schimpfen und fragen nach dem Sinn und Zweck der Automationskommission. Der Datenschutzbeauftragte legt bei allen Beratungsgesprächen und Überprüfungen sowie in seinen Tätigkeitsberichten erneut den Finger in die Wunde, aber ... nichts Entscheidendes passiert.
Vielleicht sind die Anbieter die einzigen, die sich (natürlich hinter verschlossenen Türen) die Hände reiben. Sie verkaufen ihre Produkte, auch ohne daß sie einer strengen Kontrolle unterzogen worden sind. Praktisch alle Verträge enthalten Klauseln wie: "Das Programm gilt als abgenommen, wenn binnen 30 Tagen keine Mängelreklamation erfolgt ist." Welcher Leiter eines Meldeamtes mit zwei bis drei Mitarbeitern kann z. B. ein komplexes Einwohnerinformationssystem (vgl. Tz. 9) innerhalb dieser kurzen Frist auf Herz und Nieren prüfen? Wer den Nutzen hat und wer den Schaden, braucht nicht näher erläutert zu werden.
Dabei geht es nicht nur um datenschutzrechtlich und sicherheitstechnisch relevante Verfahrensmängel. Wenn nicht schnell gehandelt wird, stehen die kleinen Kommunen auch bei der Umstellung auf den Euro und bei dem Jahrtausendwechsel programmtechnisch "allein und im Regen".
|
||
6.3 |
PERMIS - wie die Technik den Weg diktiert
|
|
Während überall zentralisierte EDV-Verfahren abgelöst und die Datenbestände vor Ort vorgehalten werden, schwimmt man ausgerechnet bei der Personaldatenverwaltung gegen den Strom. Aus "Kostengründen" können diese sensiblen Daten nicht in den Personalstellen gespeichert, sondern "müssen" in ein zentrales Rechenzentrum übertragen werden.
Traditionell geht man in der Verwaltung mit den Personalakten eigentlich sehr sorgfältig um. Es mögen zwar häufig viel zu viele Daten erhoben und gespeichert werden, aber kaum ein Datenbestand wird so gut abgeschottet wie die Personalakten. Es fehlt nicht an verschließbaren Stahlschränken; Aktenböcke und Schreibtische werden bei Dienstschluß abgeräumt; selbst der Aktentransport innerhalb der Behörde erfolgt in der Regel in versiegelten Aktendeckeln. Da hätte es des neuerdings in § 106 a Landesbeamtengesetz (LBG) gesetzlich geregelten besonderen Personaldatengeheimnisses (vgl. 19. TB, Tz. 4.11.3) eigentlich gar nicht bedurft, wenn denn nicht auch in diesem Bereich zwischenzeitlich die Informationstechnik ihren Einzug gehalten hätte.
In den nächsten Monaten soll nämlich in allen Ressorts ein automatisiertes Verfahren zur Verwaltung von Personaldaten mit dem Namen PERMIS eingesetzt werden, das auch eine Schnittstelle zu einem Personalcontrollingsystem enthält, welches wiederum eine bessere Finanzkontrolle über die Personalkosten ermöglichen soll.
Man hätte eigentlich erwarten können, daß dieses Verfahren dem gleichen Abschottungsprinzip gehorcht wie die papierene Personaldatenverarbeitung. Folgendes Szenario wäre naheliegend gewesen: Im Zimmer des Personalreferenten steht ein Abteilungsrechner speziell für Personaldaten, dessen Administration durch Techniker nur in seinem Beisein möglich ist. Dieses Gerät ist nur mit den Arbeitsplatzrechnern der Personalsachbearbeiter vernetzt; alle Personaldaten sind zentral gespeichert; wer nicht Mitarbeiter der Personalstelle ist, bekommt keinen Kontakt mit den Datenbeständen.
Bei dem Verfahren PERMIS hat man sich allerdings für Programme entschieden, die eine sehr aufwendige Datenbanksoftware voraussetzen, obwohl die meisten Behörden nur wenige hundert Datensätze zu verwalten haben. Da diese Software außerdem noch hohe Lizenzgebühren kostet, lief das Verfahren Gefahr, für viele Behörden unwirtschaftlich zu werden. Dies wurde allerdings erst bemerkt, als die Programme bereits fertig waren. Um die Investitionen zu retten und um den kurzfristigen Einsatz des Personalmanagementsystems nicht zu gefährden, warf man das Abschottungsprinzip kurzerhand über Bord und wählte die Lösung "PERMIS-Zentral". Zentral bedeutet nichts anderes, als daß jeder zu speichernde Personaldatensatz zunächst über das Campus-Netz
(vgl. Tz. 6.7.6) in den Bereich des Innenministeriums und von dort im Rahmen des Schleswig-Holstein-Netzes (vgl. Tz. 6.7.7) in die Datenzentrale übertragen wird. In der DZ stehen wiederum Server, die die Personaldaten in separaten Datenbeständen speichern. Bei jeder Auswertung werden die betreffenden Datensätze auf dem gleichen Wege zurückübertragen. Das ganze rechnet sich nur deshalb, weil nicht jede Behörde einzeln, sondern die DZ nur einmal die Lizenzgebühren für die Datenbank-Software zu zahlen hat. Hätte man von vornherein eine billigere Datenbank-Konzeption gewählt, wäre wohl keine Personalstelle auf die Idee gekommen, z. B. für zweihundert Datensätze eine Datenbank im Großrechenzentrum in Altenholz anzulegen, anstatt sie auf dem zumeist ohnehin vorhandenen Rechner des Personalreferenten zu speichern.
Selbst wenn man unserer Forderung nach einer Verschlüsselung der Daten auf dem Transportweg folgt und die Aktivitäten der Systemadministrationen im Innenministerium und in der Datenzentrale sorgfältig überwacht, es bleibt nur die zweitbeste Lösung. Jedenfalls ist es ein Musterbeispiel dafür, daß nicht die Logik, sondern vermeintlich technische Zwänge (oder "nur" eine Fehlentscheidung bei der Softwareauswahl?) das Ergebnis bestimmt haben.
|
||
6.4 |
Datenschutzrechtliche Einordnung von Telearbeit
|
|
Im Zeichen des immer breiteren Einsatzspektrums der Informationstechnik wird die "Heimarbeit" wieder interessant. Unternehmen und Verwaltungen planen Telearbeitsplätze und sehen sich mit vielfältigen sicherheitstechnischen Problemen konfrontiert.
Immer mehr Behörden prüfen derzeit, ob mit der Einrichtung von Telearbeitsplätzen nicht zwei Fliegen mit einer Klappe zu schlagen sind. Zum einen könnten gut ausgebildete und erfahrene Mitarbeiter davon abgehalten werden, aus dem Berufsleben auszuscheiden, wenn sie z. B. aus familiären Gründen nicht mehr in der Lage sind, täglich ihren Arbeitsplatz in der Behörde aufzusuchen. Zum anderen bräuchte man für Telearbeiter keinen Büroraum vorzuhalten, was Kosteneinsparungen verspricht. Obwohl es typische "Heimarbeiter" bereits seit langem auch in der Verwaltung gibt (z. B. Gerichtsvollzieher, Lehrer, Betriebsprüfer), besteht bei den Behörden offenbar eine große Verunsicherung darüber, wie man speziell technikgestützte Arbeitsplätze so ausgestalten kann, daß neben dienstlichen Aspekten auch die datenschutzrechtlichen und sicherheitstechnischen Anforderungen erfüllt werden.
Auf Einladung der Technologie-Transfer-Zentrale haben wir uns deshalb an sogenannten Workshops beteiligt, in denen sich Unternehmensberater, Hard- und Softwareanbieter sowie interessierte Wirtschaftsunternehmen und Verwaltungen zusammenfinden und die vielfältigen betriebswirtschaftlichen, arbeitsrechtlichen, mitbestimmungsrechtlichen und eben auch sicherheitstechnischen Fragestellungen diskutieren. Wir haben in diesen Gesprächen geraten, für die Telearbeitsplätze die Vorschriften über die Auftragsdatenverarbeitung analog anzuwenden.
Es macht nämlich keinen gravierenden Unterschied, ob es sich bei dem "externen Dienstleister" um einen selbständigen Unternehmer oder um einen Mitarbeiter handelt. Entscheidend ist, daß in beiden Fällen die datenverarbeitende Stelle die unmittelbare Verfügungsgewalt über die Daten verliert. Die Organisationshoheit eines Dienststellenleiters endet nun einmal an der Haustür seiner Behörde. In den häuslichen Bereich seines Mitarbeiters kann er nur auf der Basis einer ausdrücklichen vertraglichen Vereinbarung hineinwirken. Andererseits muß kein Bürger dulden, daß sein Recht auf eine hinreichend abgesicherte Verarbeitung seiner personenbezogenen Daten deshalb eingeschränkt wird, weil aus Kostengründen die Behörde nur noch "virtuell" besteht und die Daten tatsächlich "in den Wohnzimmern der Bediensteten herumschwirren".
Aus den gesetzlichen Regelungen zur Auftragsdatenverarbeitung lassen sich für Telearbeitsplätze zum Beispiel die folgenden grundsätzlichen Sicherheitsanforderungen ableiten:
Bei allen Sicherheitsüberlegungen darf aber nicht übersehen werden, daß in bestimmten Bereichen eine Heimarbeit aus Rechtsgründen von vornherein ausscheidet bzw. von der Einwilligung der Betroffenen abhängig ist. Das gilt z. B. für die Verarbeitung medizinischer Daten, die der ärztlichen Schweigepflicht unterliegen (vgl. 18. TB, Tz. 4.8.3), für Verschlußsachen und für sonstige vertrauliche Datenbestände.
|
||
6.5 |
Wenn externe Berater das Konzept für das IT-System machen
|
|
Wer einen externen Berater einschaltet, um sich ein IT-Konzept entwickeln zu lassen, kann nicht immer auf zufriedenstellende Ergebnisse vertrauen. In vielen Fällen resultieren die Verfahrensmängel nicht aus der schlechten Arbeit der Berater, sondern aus fehlenden Vorgaben und Abstimmungen.
Wenn es um die Planung von neuen IT-Systemen geht, stehen viele Verwaltungen mangels hinreichenden Fachwissens "auf verlorenem Posten". Einige versuchen, sich mit dem Mut zum Risiko durchzulavieren, die Vorsichtigeren engagieren externe Berater, die für entsprechende Honorare sogenannte IT-Konzepte erstellen. Verständlicherweise geht man in diesen Fällen aber allzuhäufig davon aus, daß etwas, was viel Geld kostet, auch gut sein muß. Wenn dann die Planungs- in die Realisierungsphase und diese dann schließlich in den Echtbetrieb übergeht, stellt man nicht selten fest, daß viele der dann auftretenden Probleme nicht oder nur unzulänglich in dem IT-Konzept behandelt worden sind. Besonders überrascht ist man, wenn wir im Rahmen von Prüfungen (vgl. Tz. 6.7) Sicherheitslücken entdecken, deren Vermeidung der externe Berater gerade gewährleisten sollte.
Das Bestehen derartiger Defizite deutet allerdings nicht in jedem Fall auf eine schlechte Arbeit der Berater hin. In vielen Fällen liegt die Ursache in ungenauen Vorgaben, in Mißverständnissen oder in einer völlig unkritischen Übernahme der Vorschläge. "Da beißt sich die Katze in den Schwanz" wurde einem unserer Prüfer von einem Behördenleiter vorgehalten: "Ich hole mir den Berater doch gerade deshalb ins Haus, weil bei uns keiner Ahnung von der Technik hat; wer von uns soll denn die Frage klären, ob der verstanden hat, was wir von ihm wollen und das Ergebnis seiner Arbeit überprüfen?"
Das Dilemma ist in der Tat nicht so einfach zu beheben, allerdings ist es auch nicht ganz neu. Auch bei der Planung und Realisierung von öffentlichen Gebäuden, von Klärwerken, Straßen usw. befinden sich gerade die kleineren Verwaltungsbehörden in der Situation, daß sie sich nicht auf die Vorschläge eines einzelnen Beraters verlassen können. Sofern ihnen nicht Normen und Standards bzw. Vergleichsobjekte zur Verfügung stehen, bedarf es bis zu einem gewissen Grade des eigenen Sachverstandes oder aber der Einschaltung einer Art von "Prüfstatiker".
|
||
Dies wird natürlich teuer. Deshalb schlagen wir den Behörden im Lande immer und immer wieder die gemeinsam von mehreren Organisationseinheiten getragene Entwicklung von IT-Musterlösungen vor. Einen ersten, allerdings dornenreichen Einstieg in diese Vorgehensweise hat das Innenministerium mit der Gestaltung der IKOTECH-Arbeitsplätze vollzogen. Trotz vieler Rückschläge in den vergangenen Jahren ist ein De-facto-Standard entwickelt worden, der die Risiken für die einzelne Behörde heute weitgehend behebt. Im kommunalen Bereich ist man noch lange nicht so weit. Es ist zu hoffen, daß sich die Automationskommission der kommunalen Landesverbände auch dieser Problematik kurzfristig annehmen wird (vgl. Tz. 6.2).
|
||
6.6 |
Wird der Siegeszug der Informationstechnik zu einem Waterloo für die Revisionsfähigkeit der Verwaltungsabläufe?
|
|
Die neuen Informationssysteme führen dazu, daß sich das Verwaltungshandeln mehr und mehr "im Computer abspielt". Die papierenen Akten verlieren im gleichen Maße ihre Funktion als Grundlage für Kontrollmaßnahmen. Noch fehlen verbindliche Protokollierungsregelungen für IT-Systeme.
Das Datenschutzrecht hat auf die bisherigen Erscheinungsformen der personenbezogenen Datenverarbeitung mit zwei Grundforderungen reagiert:
Nur wenige gesetzliche Bestimmungen wie z. B. die Pflicht zur Protokollierung von Dateneingaben und -übermittlungen und die Pflicht zur Dokumentation automatisierter Verfahren bringen den Aspekt der Revisionsfähigkeit des Verwaltungshandelns
ins Spiel. Das hat historische Gründe. Solange sich das Datenschutzrecht lediglich auf die Regelung der dateimäßigen Datenverarbeitung beschränkte, unterstellte es de facto eine Zweischichtigkeit der Datenbestände. Es gab die Originaldaten in den Akten und die "Arbeitsbestände" in Dateien. Wurde das Verwaltungshandeln einer aufsichtsbehördlichen oder richterlichen Kontrolle unterzogen, ließ man sich die Akte vorlegen; was darin dokumentiert war, galt als authentisch.
Hier tritt seit einigen Jahren mit zunehmender Geschwindigkeit ein gravierender Wandel ein. Die neuen Verfahren sind nicht nur bei weitem komplexer als alles, was bisher realisiert wurde, sie sind auch dadurch gekennzeichnet, daß immer mehr Teile des Verwaltungshandelns sich nur noch in den elektronischen Datenspeichern
der Rechnersysteme nachvollziehen lassen. In diesem Zusammenhang sind insbesondere die neuen Verfahren der Justizverwaltung (MEGA, MESTA, automatisiertes Grundbuch), der Polizei (INPOL-Neu, COMPAS), der Katasterverwaltung (ALK, ALB), der Steuerverwaltung (FISKUS), der Kommunen (EIS, FIS) und der Umweltverwaltung (Umweltinformationssysteme) zu nennen. Auf den Punkt gebracht: Wer in diesen Bereichen künftig wissen will, was zu einem zurückliegenden Zeitpunkt über eine bestimmte Person wo bekannt war, wird diese Frage bestimmt nicht nach Aktenlage beantworten können.
Dies mag ein einfaches Beispiel verdeutlichen. Immer mehr Behörden gestatten ihren Mitarbeitern, innerhalb der Behörde, aber auch mit anderen Behörden per elektronischer Post
(E-Mail) zu kommunizieren. Das bedeutet, daß Informationen in einem PC erzeugt und auf einen anderen PC übertragen werden. Sie können sowohl beim Absender wie auch beim Empfänger zu jedem beliebigen Zeitpunkt "rückstandsfrei" gelöscht werden, so daß die Tatsache der Datenübermittlung dann nicht mehr nachvollziehbar ist. Andererseits können die Daten aber auch in den PC endlos gespeichert bleiben, ohne daß aus der Akte hervorgeht, daß weitere Informationen zum betreffenden Vorgang vorliegen und wo sie sich befinden.
Überträgt man diesen Effekt auf die ins Haus stehenden großen Informationssysteme, läßt sich ermessen, welche Bedeutung die Forderung nach einer umfassenden Revisionsfähigkeit
automatisierter Verfahren in Zukunft erlangen wird. Werden insoweit nicht stringente Protokollierungs- und Dokumentationsvorschriften erlassen, ist letztlich die Rechtswegegarantie des Art. 19 Abs. 4 Grundgesetz gefährdet. Denn diese setzt voraus, daß der Bürger überhaupt eine Chance hat, sich über die mögliche Verletzung seiner Rechte zu informieren.
In die Überlegungen zur Novellierung der Datenschutzgesetze wird man folgenden Gedanken mit einfließen lassen müssen: Eine Speicherung personenbezogener Daten ausschließlich in automatisierten Dateien ist nur zu akzeptieren, wenn alle
Aktivitäten der technischen Systeme, die den Zugriff auf die betreffenden Daten realisieren, protokolliert werden und die Systeme selbst detailliert dokumentiert sind. Außerdem müssen die Möglichkeiten der digitalen Signatur genutzt werden, damit die Protokolldaten unverfälschbar sind und sicher zugeordnet werden können.
Dieses wird zwar zu sehr umfangreichen Protokollbeständen führen. Jedoch nur die Vollständigkeit der Protokollierung und die strikte Zweckbindung der Daten zu Revisionszwecken wird gewährleisten, daß elektronisches Verwaltungshandeln auch bezogen auf den Einzelfall wirklich transparent gemacht werden kann. Leider sind diese Überlegungen in die Konzeption der o. a. neuen Informationssysteme bisher nur unzulänglich eingeflossen.
|
||
6.7 |
Kontrollen im Bereich der automatisierten Datenverarbeitung |
|
6.7.1 |
Zögerliche Behebung von Sicherheitsmängeln in einem Kreiskrankenhaus
|
|
Selbst die landesweite Publizität aufgrund der im letzten Jahr festgestellten gravierenden Mängel haben die Leitung und den Träger eines Kreiskrankenhauses nicht zu einer unverzüglichen und konsequenten Behebung der Schwachstellen bewogen. Angeblicher Grund: die finanziellen Rahmenbedingungen.
Die im 19. Tätigkeitsbericht (Tz. 6.6.2) dargestellten Mängel im Kreiskrankenhaus Elmshorn haben in der Öffentlichkeit und in der Presse eine breite kritische Resonanz hervorgerufen. Da die Krankenhausleitung und der Kreis Pinneberg als Träger der geprüften Stelle die datenschutzrechtlichen Beanstandungen
weitestgehend als berechtigt akzeptiert haben, hätte man also erwarten können, daß kurzfristig für Abhilfe gesorgt worden wäre.
Leider ist dies nicht der Fall. In einer ersten Stellungnahme machte das Kreiskrankenhaus geltend, daß die geforderten EDV-technischen und organisatorischen Maßnahmen nicht nur differenzierte, sorgfältige interne Überlegungen und Abstimmungsprozesse voraussetzen, sondern auch die Einbeziehung des Softwarehauses erfordern würden. Dabei müßten auch die finanziellen Rahmenbedingungen im Krankenhausbereich berücksichtigt werden. Bei jedem Kritikpunkt sei abzuwägen, was zwingend erforderlich und was wünschbar, aber vor diesem finanziellen Hintergrund nicht kurzfristig machbar sei.
Dieser "Auslegung" der datenschutzrechtlichen Bestimmungen haben wir widersprochen und darauf hingewiesen, daß datenschutzrechtlich bedenkliche Zustände gerade in einem Bereich, der einem besonderen Berufs- und Amtsgeheimnis unterliegt, unverzüglich behoben werden müßten. Das gelte insbesondere für Maßnahmen, die keine größeren finanziellen Investitionen, sondern lediglich organisatorische Neuregelungen oder die Nutzung bereits bestehender technischer Möglichkeiten bedingen. Auf unsere detaillierten Fragen nach dem Stand der Arbeiten zur Umsetzung unserer Vorschläge zur Verbesserung des Datenschutzes erhielten wir ein Jahr nach Durchführung der Prüfung lediglich einen weiteren Zwischenbericht. Ihm ist zum Beispiel zu entnehmen:
Vor diesem Hintergrund stellt sich die Frage, ob es überhaupt einen Sinn macht, dem Krankenhaus wiederholt unsere Beratung bei der Lösung der Probleme anzubieten. Wenn finanzielle Überlegungen zum Maß aller Dinge erklärt werden, wird offensichtlich die strafrechtliche Seite der Angelegenheit außer acht gelassen. Aber noch steht die abschließende Stellungnahme des Kreises Pinneberg ja aus.
|
||
6.7.2 |
Tja, wenn's ums Geld geht
|
|
Viele fehlerhafte Verarbeitungsvorgänge und Sicherheitsrisiken resultieren aus unzureichenden Tests. Immer wieder wird behauptet, das Fehlerrisiko müsse man eingehen, Tests seien zu teuer. Das Landesbesoldungsamt hingegen ist ausgesprochen "risikoscheu". Aus gutem Grund.
Datensicherheit bedeutet auch, daß sich die datenverarbeitenden Stellen vor dem Echteinsatz ihrer automatisierten Verfahren davon überzeugen, daß sie in allen Einzelheiten so funktionieren, wie es geplant war. Diese Tests werden von vielen Behörden seit jeher nur unzulänglich durchgeführt, weil sie mühsam und personalaufwendig sind und somit viel Geld kosten (vgl. z. B. 19. TB, Tz. 6.3). Da hält man es häufig mit der fragwürdigen Erkenntnis: "Nach jedem im Echtbetrieb gefundenen und dann ausgemerzten Fehler ist das Programm doch besser als vorher."
Wenn viel Geld auf dem Spiel steht, geht es offenbar auch anders. Das zeigte unsere Prüfung beim Landesbesoldungsamt, das mittels der automatisierten Verfahren PERS-SH und BABSY Monat für Monat viele Millionen an Gehältern, Löhnen, Versorgungsleistungen und Beihilfen auszahlt. Programmfehler hätten mithin fatale finanzielle Folgen. Das Testverfahren läuft so perfekt ab, als hätte das Landesbesoldungsamt aus einem Lehrbuch über Datenschutz und Datensicherheit abgeschrieben:
Nach Aussage des Landesbesoldungsamtes hat diese seit Jahren praktizierte Verfahrensweise dazu geführt, daß gravierende Softwarefehler und sonstige Unregelmäßigkeiten weitestgehend vermieden wurden. Wen wundert's?
|
||
6.7.3 |
Wenn die automatisierte Datenverarbeitung wirklich Chefsache ist
|
|
Es ist selten, daß sich Behördenleiter tatsächlich für die automatisierte Datenverarbeitung in ihrem Haus verantwortlich fühlen. Ist dies der Fall, entstehen zwar nicht automatisch perfekte Lösungen, aber in der Regel führt es zu Konzepten "aus einem Guß".
Seit mehreren Jahren führen wir schwerpunktmäßig im kommunalen Bereich sicherheitstechnische Überprüfungen durch, um Schwachstellen aufzudecken, und insbesondere auch, um im konkreten Einzelfall durch Beratung zu einer Problemlösung beizutragen (vgl. 19. TB, Tz. 6.6.1). Bei den meisten dieser Prüfungsmaßnahmen finden wir vergleichbare Sachverhalte vor, einige Verwaltungen fallen allerdings "aus dem Rahmen", im positiven wie auch im negativen Sinne. Bemerkenswert waren z. B. im abgelaufenen Jahr die Verhältnisse in der Stadtverwaltung Plön: Hier war der "EDV-Macher" nicht - wie sonst häufig anzutreffen - ein zeitlich und fachlich überforderter Mitarbeiter im Hauptamt, der das "Geschäft" nebenbei mitzuerledigen hatte, sondern das "EDV-Team" bestand aus dem Bürgermeister selbst und dem büroleitenden Beamten sowie einem Sachbearbeiter, der die Weisungen der Entscheidungsträger umzusetzen hatte.
Während der gesamten Prüfung standen dementsprechend der Bürgermeister und der Büroleiter Rede und Antwort und konnten die Gründe für ihre Hardware-, Software- und Organisationsentscheidungen der letzten Jahre im Detail erläutern. Nicht ein einziges Mal bekam unser Prüfer die sonst übliche Antwort zu hören: "Darum habe ich mich nicht gekümmert, da müssen Sie unseren Techniker oder das Softwarehaus fragen."
Das bedeutete nicht, daß wir keine sicherheitstechnischen Mängel vorgefunden haben. Die schwierige Abschottung der Benutzerebene der Systeme zur Administrationsebene hatte man z. B. auch hier nicht voll in den Griff bekommen. Auch fehlte die Dokumentation der Verfahren, was fast schon verständlich war, hatten die beiden Chefs ihr Gesamtsystem doch im Kopf. Dabei handelte es sich bei ihnen durchaus nicht um EDV-Freaks, die im Dienst ihrem Hobby frönten. Es waren vielmehr gestandene Verwaltungsprofis, die nur nicht bereit waren, die Entscheidungen über den Einsatz von Informationstechnik in ihrer Verwaltung aus der Hand zu geben. Wenn sich einzelne Maßnahmen im nachhinein als nicht zweckmäßig oder sachgerecht herausstellten, wurden die Korrekturen mit der selben "Souveränität" vorgenommen, wie man die ursprünglichen Entscheidungen getroffen hatte. Entsprechend schnörkellos wurden die Beanstandungen, die aus unserer Prüfung resultierten, abgearbeitet.
|
||
6.7.4 |
Der Inhalt eines typischen Prüfberichts
|
|
Die Diskrepanz zwischen den gesetzlichen Anforderungen und der Wirklichkeit in bezug auf die Datensicherheit und die Ordnungsmäßigkeit der Datenverarbeitung ist gravierend. Das zeigen immer wieder die im Rahmen von Prüfungen vorgefundenen Sachverhalte. Sie müßten selbst die schärfsten Datenschutzkritiker nachdenklich stimmen.
In den Diskussionen um die Datensicherheit und die Ordnungsmäßigkeit der personenbezogenen Datenverarbeitung in der Verwaltung wird uns immer wieder vorgehalten, unsere Forderungen seien zu puristisch und berücksichtigten nicht die "Sachzwänge der Praxis". Es erscheint daher angebracht, einmal transparent zu machen, welche Sachverhalte wir typischerweise bei unseren Prüfungen vorfinden. Bei dem nachfolgenden Text handelt es sich um einen lediglich redaktionell gekürzten wörtlichen Auszug aus dem Abschnitt "Einzelfeststellungen" einer Prüfungsniederschrift:
|
||
Diese Ergebnisse sprechen unseres Erachtens für sich. Es muß nochmals betont werden, daß es sich um übliche Prüfungsergebnisse handelt, die im vergangenen Jahr in ähnlicher Form mehr als einem halben Dutzend Behörden "ins Stammbuch geschrieben" werden mußte. Daß derartige Gegebenheiten nicht unbeanstandet bleiben können, dürfte ebenso einleuchten wie die nachdrückliche Forderung nach einer unverzüglichen Behebung der Mängel.
|
||
6.7.5 |
Wer überwacht die Fernwartung?
|
|
Den Fernwartungsunternehmen wird oft blindes Vertrauen entgegengebracht, obwohl deren Aktivitäten sich im sensibelsten Bereich eines Computersystems vollziehen. Bindende Sicherheitsvorschriften werden dabei mißachtet.
Der Zugang zur Betriebssystemebene eines Computers ist unter sicherheitstechnischen Aspekten zu vergleichen mit der Übergabe der Verfügungsgewalt über den Tresorschlüssel einer Bank. Diese Erkenntnis hat ihren Niederschlag auch in der von der Landesregierung im Jahr 1994 erlassenen Datenschutzverordnung gefunden.
Die Gründe hierfür liegen auf der Hand und sind in ausführlichen Hinweisen im Amtsblatt 1994, Seite 140, dargelegt worden. Wer auf die Betriebssystemebene eines Computers gelangt, kann nämlich meist "ohne Fingerabdrücke zu hinterlassen", Daten löschen, Daten hinzufügen, Daten inhaltlich verändern, Protokollbestände modifizieren, Benutzerrechte erweitern und die Verarbeitungslogik von Programmen beeinflussen. Dies alles kann erforderlich und sinnvoll sein, es kann aber auch versehentlich und ungewollt passieren, letztlich sind auch Absicht und kriminelle Energie nicht auszuschließen. Auch die Konsequenzen sind höchst unterschiedlich. In dem einen Fall werden fehlerhafte Systemzustände korrigiert. In dem anderen Fall Ergebnisse verfälscht, Daten unbefugt offenbart oder wichtige Informationen unwiederbringlich vernichtet.
Bei der Systemadministration handelt es sich also um eine so wichtige Schlüsselfunktion, daß sie kein EDV-Verantwortlicher ohne Grund aus der Hand geben dürfte. Was aber, wenn man selbst nicht über die Kenntnisse verfügt, die erforderlich sind, um ein kompliziertes Computersystem zu steuern? Man kauft sich das nötige Know-how bei einem externen Dienstleister ein. Und damit der nicht bei jeder Kleinigkeit ins Haus kommen muß, vereinbart man eine sogenannte Fernwartung. Über eine Telefonleitung werden dabei der Computer der Behörde und der des Wartungsunternehmens zusammengeschaltet, und der Dienstleister kann alle Systemsteuerungsaktivitäten vom eigenen Schreibtisch aus vollziehen.
Da stellt sich natürlich das Problem der Überwachung durch die Behörde. Wie nachlässig dabei verfahren wird, haben in jüngster Zeit mehrere Prüfungen gezeigt. Selbst bei Fernwartungen durch die Datenzentrale waren die Sicherheitsmängel so gravierend, daß sie in diesem Bericht nicht alle detailliert dargestellt werden können. Es ist nicht auszuschließen, daß sie bei einigen Behörden nach wie vor bestehen und eine Publizierung zu unvertretbaren Risiken führen würde. Daher nur ein Auszug aus der Mängelliste:
Zusammengefaßt kann festgestellt werden, daß sowohl die betreffenden Behörden wie auch die Datenzentrale massiv gegen die datenschutzrechtlichen Sicherheitsbestimmungen verstoßen haben. Alle Beteiligten haben dies eingesehen und Besserung gelobt. Ob sie dies auch einhalten, werden die nächsten Prüfungen zeigen.
|
||
6.7.6 |
Noch immer nicht alle Sicherheitsprobleme im IKONET/Campus-Netz gelöst
|
|
Gerade wenn Ministerien über Computersysteme miteinander kommunizieren wollen, müssen hinreichend sichere sicherheitstechnische Rahmenbedingungen geschaffen werden. Dies kann nicht gewährleistet werden, wenn sich niemand als Netzbetreiber verantwortlich fühlt.
Die Überprüfung der Sicherheitskomponenten im internen Datennetz der Landesregierung hat bereits im Oktober 1996 stattgefunden. Auf die Grundsatzprobleme und die Sicherheitslücken haben wir im Dezember 1996 schriftlich hingewiesen (vgl. 19. TB, Tz. 7.9). Im abgelaufenen Jahr sind zwar im Detail sicherheitstechnische Verbesserungen vorgenommen worden. Die grundsätzlichen Problemstellungen wurden aber noch immer nicht angepackt. Der Grund hierfür liegt darin, daß nach wie vor Unklarheit darüber besteht, wer als der verantwortliche Betreiber des Netzes anzusehen ist. Zudem bestreitet das Innenministerium, daß es sich bei dem Netz um ein automatisiertes Verfahren im Sinne des Datenschutzrechts handelt.
Die Verantwortungsfrage ist nach unserer Auffassung vorrangig zu klären (vgl. hierzu auch Tz. 6.7.7). Wenn ein Ministerium sich entscheidet, z. B. personenbezogene Daten über dieses Netz in ein anderes Ministerium zu übertragen, muß es wissen, welche Sicherheitsmaßnahmen unterwegs greifen. Bevor der Ministeriumscomputer mit dem Netz verknüpft wird, um über das Internet mit der Welt zu kommunizieren, muß geklärt sein, welche Abschottungen die Netz-Firewall
übernimmt und welche Aktivitäten man selbst ergreifen muß, um zu verhindern, daß "angriffslustige Hacker" nachweisen, wie man Behördenrechner manipulieren kann. Wenn der Zugang zu externen Netzen nur über einen einzigen, gesicherten Ein- und Ausgang erfolgen soll, müssen sich alle Teilnehmer verpflichten, keine eigenen Öffnungen einzurichten.
Wer definiert aber diese Regeln, und wer überwacht ihre Einhaltung? Vor allem wer entscheidet, ob sich alle Teilnehmer "netzkonform" verhalten, und wer möglicherweise wegen der Verletzung der "Spielregeln" von der Netzbenutzung ausgeschlossen wird? Wer definiert und erweitert kontinuierlich die einzelnen Filterfunktionen der Firewalls an der Schnittstelle zum Internet, und wer testet die gewünschte Funktionsweise dieser von externen Softwarehäusern generierten Software? Wer gewährleistet letztlich die Ordnungsmäßigkeitskriterien der Datenschutzverordnung (Sicherheitskonzept, Dokumentation, Test, Freigabe, Administrationsüberwachung usw.)? Zur Zeit geschieht dies alles auf der Basis einer lockeren interministeriellen Zusammenarbeit der IT-Leitstellen. Das Innenministerium schafft Regelungen für das eigene Haus und gibt sie den IT-Leitstellen der anderen Ressorts mit der Anregung zur Nachahmung weiter. Die Verantwortung für das Datennetz tragen die beteiligten Ministerien also praktisch "zur gesamten Hand" bzw. nach der Devise "Vertrauen gegen Vertrauen".
Es wird zudem bestritten, daß im Campus-Netz
personenbezogene Datenverarbeitung stattfindet. Das Netz sei nur die technische Voraussetzung für die gesondert zu betrachtenden Verarbeitungsprozesse, vergleichbar der Strom-, Wasser- und Wärmeversorgung. Diese Auffassung verkennt, daß ein solches Netz Hard- und Softwarekomponenten enthält, die so modifizierbar sind, daß die Ergebnisse der Verarbeitung beeinflußt werden. Niemand käme beispielsweise auf die Idee, den Botendienst eines Ministeriums aus den Sicherheitsüberlegungen auszublenden, weil die Mitarbeiter in diesem Bereich keine Daten "verarbeiten", oder das Innenministerium aus der datenschutzrechtlichen Pflicht zu entlassen, die gemeinsame Telefonanlage der Ministerien und des Landtages so zu konfiguieren, daß z. B. das Fernmeldegeheimnis der Abgeordneten gewährleistet wird.
Wir haben deshalb das Innenministerium nochmals darauf aufmerksam gemacht, daß
|
||
nur in einem definierten und dokumentierten Abstimmungsprozeß zwischen allen Ressorts verbindlich festgemacht werden können. Das gleiche gilt für die Frage, ob die Fortentwicklung des Netzes künftig der Datenzentrale im Wege der Auftragsdatenverarbeitung übertragen werden kann. Nach unserer Auffassung sind schriftliche und bindende Vereinbarungen unverzichtbar.
|
||
6.7.7 |
Nachbesserungen im Schleswig-Holstein-Netz - "nur auf freiwilliger Basis"?
|
|
Der Datenzentrale fällt es schwer, ihr Schleswig-Holstein-Netz als "normales" automatisiertes Verfahren zu betrachten. Sie reklamiert hierfür einen Sonderstatus und will das "zu strenge" Datenschutzrecht nur analog anwenden.
Im Tätigkeitsbericht für das Jahr 1996 haben wir von der Datenzentrale gefordert, das von ihr betriebene Schleswig-Holstein-Netz
sicherheitstechnisch nachzubessern und die Datensicherheitsmaßnahmen zu dokumentieren. Ihre Kunden haben wir aufgefordert, darauf zu achten, daß in den Nutzungsverträgen das erforderliche Sicherheitsniveau festgeschrieben ist (vgl. 19. TB, Tz. 7.8).
Wie berechtigt unsere Forderungen waren, machte die Prüfung bei einer größeren Kommune deutlich, die den Datentransfer in das Rechenzentrum der Datenzentrale über das Schleswig-Holstein-Netz abwickelt. Zum Zeitpunkt der Prüfung (März 1997) stellte sich die Situation dort wie folgt dar: Die Datenzentrale hatte der Stadtverwaltung die Nutzung des Schleswig-Holstein-Netzes mit den Argumenten angeboten, es werde bereits von mehr als 80 Kunden benutzt; es erfülle vor allem die Anforderungen der öffentlichen Verwaltung an Datensicherheit und Datenschutz; in den Netzknoten seien Komponenten der DZ installiert, die von ihr selbst administriert und gewartet würden; der besondere Vorteil des Schleswig-Holstein-Netzes liege in der Geschlossenheit, die als Basis für den Datenschutz und die Datensicherheit eine günstige Voraussetzung biete.
Die Inanspruchnahme des Netzes erfolgte daraufhin ohne weitere Prüfung. Ein schriftlicher Vertrag zwischen der DZ und der Stadtverwaltung wurde nicht geschlossen. Das Verfahren ist bezüglich der Sicherheitskriterien nicht getestet und freigegeben worden. Die Stadtverwaltung wurde von der DZ zum Beispiel nicht über den Ort des Einwahl- bzw. Netzknotens, die Konfiguration der Leitungen für die Datenkommunikation, die Abschottung der Daten vor unbefugten Zugriffen auf dem Übertragungswege sowie die Absicherung der Netzknoten bzw. der Datenvermittlungsstellen informiert. Erst im Rahmen unserer Prüfung wurde der Kommune klar, wo sich z. B. die technischen Komponenten des Netzknotens befinden und daß die dort getroffenen Sicherheitsmaßnahmen keineswegs den "Anforderungen an den Datenschutz und die Datensicherheit" entsprachen.
Die Datenzentrale reagierte auf diese Feststellungen mit einer an sich nicht gebotenen Gelassenheit. Zwar wurden den Kunden ab Oktober 1997 schriftliche Verträge ausgehändigt und ein Sicherheitskonzept erstellt. Insgesamt ist man allerdings, wie auch das Innenministerium bezüglich des Campus-Netzes (vgl. Tz. 6.7.6), der Auffassung, daß ein solches Netz nicht nach datenschutzrechtlichen Kriterien zu beurteilen sei, weil es sich bei dem Transport von Daten nicht um eine Datenverarbeitung im Auftrag handele. Die Daten würden nicht zweckgerichtet genutzt. Die Übertragung oder der Transport von Daten seien nur Mittel, um einen bestimmten Zweck zu erfüllen. Man sei aber gleichwohl bereit, das Datenschutzrecht analog anzuwenden, gleichsam auf freiwilliger Basis.
|
||
Das Datenschutzrecht kennt keinen Datentransport als Datenverarbeitung "sui generis". Deshalb können die von der Datenzentrale bedauerten "strengen Anforderungen an die Organisation einer Auftragsdatenverarbeitung mit schriftlichen Weisungen und den Folgen hohen Aufwandes bei Änderungen im Leistungsumfang oder in den Abläufen" nicht dazu führen, daß das Datenschutzrecht auf das Schleswig-Holstein-Netz nur auf freiwilliger Basis angewendet wird. Im Vordergrund der Betrachtungen muß vielmehr das Rechtsverhältnis zwischen den Betroffenen und den datenverarbeitenden Stellen stehen. Wenn sich eine Behörde aus ökonomischen Gründen entscheidet, Teile des Verarbeitungsprozesses in die Hände externer Dienstleister zu geben, muß durch konkrete Weisungen in schriftlichen Verträgen und durch entsprechende Kontrollmaßnahmen gewährleistet werden, daß das datenschutzrechtlich gebotene Sicherheitsniveau auch außerhalb der unmittelbaren Einflußsphäre der verantwortlichen Stelle gewahrt wird.
|