24. Tätigkeitsbericht (2002)

14

Rückblick

14.1

Krankenhausinformationssysteme

In den vergangenen Jahren haben wir eine größere Anzahl von öffentlichen Krankenhäusern einer sicherheitstechnischen Überprüfung unterzogen. In praktisch allen Fällen stellten wir Sicherheitsprobleme mit den im Einsatz befindlichen Krankenhausinformationssystemen fest. Häufig konnten wir auch erkennen, dass die beabsichtigte Fortentwicklung der automatisierten Datenverarbeitung im medizinischen und im Abrechnungsbereich mit einer hohen Wahrscheinlichkeit zu Defiziten bei der Gestaltung von Zugriffsrechten, der Synchronisation zwischen den papierenen und den elektronischen Datenbeständen, bei der Administration der Systeme und Datenbestände und vor allen Dingen bei der Überwachung der ordnungsgemäßen Anwendung der automatisierten Verfahren führen würde. Die Probleme haben wir vor zwei Jahren (vgl. 22. TB, Tz. 6.5) ausführlich dargestellt in der Erwartung, dass die Verantwortlichen sich mit uns an einen Tisch setzen würden, um gemeinsame Lösungsmöglichkeiten zu erarbeiten. Obwohl uns die Notwendigkeit einer derartigen Vorgehensweise immer wieder in Gesprächen bestätigt wird, hat bisher kein geprüftes Krankenhaus die Initiative ergriffen. Es ist also bei Lippenbekenntnissen geblieben, man laviert weiter, die Hersteller von Software und die Anbieter von Konzepten werden nicht mit konkreten Forderungen konfrontiert. Uns bleibt nur, durch regelmäßige Prüfungen (in diesem Fall ausdrücklich im übertragenen Sinne) immer wieder den Finger in die Wunden zu legen.

14.2

Revisionsfähigkeit automatisierter Verfahren

Die Fortschritte in der Leistungsfähigkeit von IT-Systemen sind nach wie vor rasant. Die automatisierten Verfahren werden im gleichen Maße komplexer. Diese Entwicklung hat uns bereits im Jahr 1998 veranlasst anzumahnen, dass das verfassungsrechtlich begründete Prinzip der Revisionsfähigkeit des Verwaltungshandelns auch im Zeitalter vernetzter Informationssysteme seine Gültigkeit behalten hat (vgl. 20. TB, Tz. 6.6). Wer die Aussagen dieses Berichtes zu den diesbezüglichen Problemen z. B. im Sprach- und Datennetz (Tz. 7.2 und Tz. 7.3) mit unseren immerhin vier Jahre alten Forderungen und Vorschlägen vergleicht und berücksichtigt, dass die Grundsätze ordnungsgemäßer Datenverarbeitung in der Datenschutzverordnung immerhin auch schon vor acht Jahren festgelegt worden sind, muss zu dem Schluss kommen, dass die Verwaltung in diesem Punkt nicht dazugelernt hat. Sie versucht, weiter von der Hand in den Mund zu leben und immer nur die Sicherheitslöcher zu stopfen, die aktuell auftauchen.

14.3

KomFIT macht CeBIT Konkurrenz

Über die Gründung von KomFIT hatten wir mehrfach berichtet (vgl. 20. TB, Tz. 6.2; 22. TB, Tz. 12.5). Seit einigen Jahren veranstaltet die Arbeitsgemeinschaft der Kommunalen Landesverbände über ihre gemeinsame Einrichtung KomFIT einen zentralen Informationstag zum Thema Informationstechnik. Dieses Ereignis, das im Jahr 2001 in Neumünster stattfand, hat sich aus kleinen Anfängen zu einem veritablen Kongress entwickelt. Die geschickte Auswahl von Ausstellern und Vortragenden und die strikte Konzentration auf die im kommunalen Bereich vorrangigen Fragestellungen führte zu einem außergewöhnlich hohen Informationsgehalt. Die aus unserer Sicht besonders wichtige Praxisnähe der Themen initiierte auch bezüglich der datenschutzrechtlich und sicherheitstechnisch bedeutsamen Aspekte intensive Diskussionen und Erörterungen "am Rande”. Wie in den vergangenen Jahren haben wir uns gerne durch die Entsendung von Referenten beteiligt und die Präsentationen und Vorträge besucht. Zusammenfassend ist festzustellen, dass die Führungskräfte und die Verwaltungspraktiker im IT-Bereich eher auf einen CeBIT-Besuch verzichten sollten, als diese KomFIT-Veranstaltung zu versäumen.

14.4

Unerbetene Faxwerbung

Auch im Berichtszeitraum erreichten uns wieder zahlreiche Beschwerden gegen die Zusendung unerbetener und nach der Rechtsprechung auch unerlaubter Faxwerbung durch zumeist ausländische Unternehmen. Inzwischen reift die Erkenntnis, dass es den werbenden Firmen vordergründig gar nicht um den Verkauf von Produkten oder Dienstleistungen geht. Die Empfänger der Werbefaxe sollen vielmehr dazu angehalten werden, gebührenintensive 0190-er Anschlüsse (bis zu 3,63 DM pro Minute!) anzurufen oder dort hin zu faxen, entweder um eine Bestellung aufzugeben, an einer Meinungsumfrage teilzunehmen oder um von ihrem Widerspruchsrecht Gebrauch zu machen. Wegen der fehlenden Zuständigkeit können wir in den meisten Fällen nicht direkt helfen und die Petenten lediglich an andere Ansprechpartner oder Institutionen (wie z. B. die Verbraucherschutzverbände, ausländische Datenschutzkontrollbehörden bzw. Beschwerdestellen oder den Verbraucherservice der Regulierungsbehörde für Telekommunikation und Post) verweisen. Insbesondere der zuletzt aufgeführte Weg verspricht in Zukunft vielleicht Erfolg, da nach unserer Auffassung der von den betroffenen Firmen nachhaltig betriebene Missbrauch der 0190-er Nummern letztendlich wohl nur mit dem Mittel des Lizenzentzuges gestoppt werden kann.

14.5

Sichtschutzfilter bei der Sparkasse

Im letzten Tätigkeitsbericht haben wir darauf hingewiesen, dass immer noch nicht alle Sparkassen im Lande moderne Selbstbedienungsterminals mit Sichtschutzfiltern einsetzen (vgl. 23. TB, Tz. 6.3.5). Nur diese neue Technik erfüllt jedoch die datenschutzrechtlichen Anforderungen an die gebotene Diskretion. Im Berichtszeitraum hat uns eine große Sparkasse aus dem Kieler Raum mitgeteilt, dass der Austausch veralteter Terminals gegen neue Geräte in ihrem Hause nunmehr abgeschlossen sei und künftig nur noch Terminals mit Sichtschutzfiltern im Einsatz seien.

14.6

PC-Welt in den Finanzämtern

Erst waren es die umfangreichen Gesetzesänderungen durch die Steuerreform, dann das Jahr-2000-Problem, dann die Euro-Umstellung, immer wieder wurden von der Oberfinanzdirektion "wichtige” Gründe genannt, die sie daran hinderten, ein schlüssiges Konzept für die aufbau- und ablauforganisatorischen sowie die sicherheitstechnischen Rahmenbedingungen des PC-Einsatzes in den Finanzämtern vorzulegen (vgl. 23. TB, Tz. 4.9.3). Trotz vieler Planungen und Abstimmungsgespräche ist im Ergebnis bisher nichts passiert. Es ist zu vermuten, dass die von uns bereits vor Jahren festgestellten Defizite nach wie vor bestehen. Wir werden uns hierüber demnächst durch erneute Prüfungen Gewissheit verschaffen.

14.7

Gleichstellung der elektronischen Signatur mit der Schriftform im Zivilrecht


Im 23. Tätigkeitsbericht hatten wir unter Tz. 8.8 darüber berichtet, dass das Signaturgesetz, das die elektronische Signatur regelt, verabschiedet wurde. Zwischenzeitlich wurden auf Bundesebene auch Änderungen des bürgerlichen Gesetzbuches vorgenommen, mit denen qualifizierte elektronische Signaturen nach dem Signaturgesetz mit herkömmlichen Unterschriften rechtlich gleichgestellt werden. In vielen Fällen, in denen gesetzlich die Schriftform vorgeschrieben ist, genügt es, wenn die Erklärungen mit einer elektronischen Signatur versehen sind. Durch eine Beweiserleichterung in der Zivilprozessordnung wird vermutet, dass ein solcher Art signiertes elektronisches Dokument eine Erklärung enthält, die von der Person stammt, der der dazugehörige öffentliche Schlüssel zugeordnet ist. Damit sollen elektronische Geschäftsschlüssel - vor allem im Internet - erleichtert werden.






Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel