Der Bayerische Landesbeauftragte für den Datenschutz; 16. Tätigkeitsbericht, 1994; Stand: 07.02.1995
Im Juli 1994 wurden die Ergebnisse einer Sicherheitsstudie einer führenden
deutschen Fachzeitschrift für Informationssicherheit veröffentlicht. Bemerkenswert war
u.a., daß die DV-Anwender der Meinung sind, daß für die Datensicherheit die Risiken aus
Software-Defekten eher zunehmen werden, während die Risiken, die durch Hardware-Defekte
entstehen können, eher abnehmen sollen. Die zunehmend stabiler werdende Hardware und die
immer komplexer und umfangreicher werdenden Software-Programme, die nur noch für einige
wenige Experten überschaubar und daher fehleranfälliger als früher sind, prägten wohl
diese Meinung.
Auch auf dem DV-Markt fand in den letzten Jahren eine recht stürmische
Entwicklung statt: Die Hardware-Bauteile wurden ständig kleiner und zugleich
leistungsfähiger. Alle vier Jahre vervierfachte sich die Speicherkapazität der Chips,
bei nahezu konstant gebliebenen Preisen für den Endanwender. Bezogen auf die
Speicherkapazität und die Verarbeitungsgeschwindigkeit sind heutige Personal Computer mit
Großrechnern der 70-er Jahre vergleichbar. Auch die Programmierwerkzeuge wurden
mächtiger, was sich besonders in der Leistungsfähigkeit der Computer-Programme im
PC-Bereich bemerkbar macht. Im Großrechnerbereich, wo die Programme über Jahrzehnte
gewachsen sind, hat die Software diesen Entwicklungsschub aus Kosten- und
Kapazitätsgründen nicht erfahren können.
Für die Kontrolle der Datensicherungsmaßnahmen bedeutet das, daß dort, wo die
Leistungsfähigkeit geradezu explodierte, die Möglichkeiten sowohl für Risiken der
Fehlanwendungen als auch für Sicherheitsmaßnahmen ständigen Änderungen unterworfen
sind. Der Weiterbildungsbedarf ist einerseits gestiegen, andererseits muß man bei der
begrenzten Personalkapaziät der Kontrollinstanzen vom Universalistentum Abschied nehmen.
So wie die Hardware-Hersteller, um die Qualität und Wettbewerbsfähigkeit ihrer Produkte
halten zu können, Kooperationen mit Partnern (Beispiel: Chip-Herstellung) eingehen, muß
sich auch die Datenschutzkontrolle vermehrt das Know-how von externen Spezialisten zu
eigen machen. Die Kontrollinstanzen müssen jedoch noch genügend eigenen Sachverstand zur
Wertung der oft komplexen Sachverhalte selbst aufbringen.
Der Wettbewerbsdruck läßt es nicht zu, daß sich DV-Hersteller mit instabilen
Produkten auf dem Markt behaupten. Der Markt würde schnell reagieren und große
Umsatzeinbußen wären die Folge. Viele DV-Hersteller wurden von anderen Unternehmen
übernommen oder sind gänzlich vom Markt verschwunden, weil sie der Entwicklung nicht
standhalten konnten oder weil sie zur Anpassung ihrer Produkte an die veränderten
Bedingungen nicht mehr in der Lage waren. Bei vielen Anwendungsprogrammpaketen mußte aus
Kostengründen die Weiterentwicklung und Wartung eingestellt werden. Auf der anderen Seite
tun sich ständig neue Anwendungsbereiche auf (z.B. medizinische Datenverarbeitung). Der
harte Konkurrenzkampf verträgt es allerdings nicht, schlechte und mangelhaft ausgetestete
Hard- und Software auf den Markt zu bringen, so daß diese von vornerherein keine großen
Marktchancen hätte.
Insgesamt läßt sich jedoch sagen, daß die heute eingesetzte Hard- und
Software trotz der Tatsache, daß sie preiswerter geworden sind, den allgemeinen
Qualitätsmaßstäben genügen. Der Anwender muß allerdings aufpassen, daß er sich nicht
für den Einsatz eines scheinbar billigeren Konkurrenzprodukts eines sog. DV-Exoten
entschließt, der nach einigen Jahren vom Marktverschwunden ist. Die Kosten für eine
Migration auf ein anderes, zukunftsträchtigeres System wären dann doch recht beachtlich.
Auch umfangreiche Eigenentwicklungen sind heute für den Anwender meist unwirtschaftlich
geworden. Viele Anwender haben sich deshalb für Gemeinschaftsentwicklungen entschieden,
etwa die Verfahren der AKDB oder die Dachverbände der Krankenversicherungsanstalten (etwa
der AOK-Bundesverband bzw. der AOK-Landesverband Bayern). Davon kann auch der
Datenschutzbeauftragte profitieren, denn er braucht nur noch ein Verfahren intensiv zu
prüfen und nicht eine Vielzahl von ähnlichen.
Bereits im letzten Tätigkeitsbericht wurde über das Vorhaben des
Bundesverkehrministeriums zur automatischen Gebührenerhebung auf Autobahnen berichtet. Im
Berichtszeitraum begann nun dazu auf der A 555 zwischen Köln und Bonn ein Feldversuch.
Der Bundesbeauftragte für den Datenschutz hatte im April 1994 die Landesbeauftragten für
den Datenschutz zu einer Präsentation dieses Feldversuches eingeladen. Mit der
Durchführung des Feldversuches, an dem sich 10 Privatfirmen mit unterschiedlicher Technik
beteiligen, wurde der TÜV Rheinland und die Firma Heusch/Boesefeldt beauftragt. Die
Ergebnisse des Feldversuches dürften Mitte 1995 vorliegen.
Aus der Sicht des Datenschutzes ergeben sich folgende Forderungen:
Alle zum Einsatz kommenden technischen Geräte müssen der
Qualitätssicherungsnorm ISO 9001 genügen. Etwaige Störungen bei den im PKW
installierten Geräten müssen dem Benutzer sofort angezeigt werden. Die Anfälligkeit des
Funksystems gegen Störungen von außen ist im Feldversuch zu untersuchen und zu bewerten.
Aus datenschutzrechtlicher Sicht ist im Hinblick auf den verfassungsrechtlichen
Grundsatz der Erforderlichkeit, d. h. des geringstmöglichen Eingriffs, zu fordern, daß
zur Gebührenerhebung und zur Überwachung Verfahren gewählt werden, bei denen möglichst
wenig, d. h. nur die für die Zweckerreichung notwendigen personenbezogenen
Daten erhoben werden müssen. Bei der Gebührenerhebung ist deshalb nach
gegenwärtiger Kenntnis eher einem Wertkartensystem der Vorzug zu geben, bei dem
sämtliche Vorgänge der Gebührenabbuchung und ggf. auch der -berechnung im Fahrzeug
stattfinden und eine Erhebung personenbezogner Daten durch externe Stellen lediglich im
Rahmen der Überwachung in Betracht kommt. Für die Überwachung ist ein Verfahren
zu wählen, bei dem nur bei den sog. "Schlechtfällen" eine Erhebung und
Speicherung personenbezogener Daten stattfindet.
Die zur Gebührenberechnung erhobenen personenbezogenen Daten dürfen nur zu
diesem Zweck verwendet werden (strikte Zweckbindung). Das läßt sich am besten durch die
Verwendung von Verfahren unterstützen, die für andere Zwecke nicht geeignet sind
(Monostruktur).
Der Arbeitskreis "Technik" der Datenschutzbeauftragten des Bundes und
der Länder hat Mitte 1994 einstimmig ein Grundsatzpapier erstellt, an dem die einzelnen,
in Frage kommenden Verfahren gemessen werden sollen. Die datenschutzrechtlichen
Anforderungen beziehen sich dabei auf folgende Aspekte:
Das Grundsatzpapier liegt dem Tätigkeitsbericht als Anlage 3
bei.
Im übrigen wurden die beiden für die Autobahngebührenerhebung möglichen
Verfahren (pre-paid- oder post-paid-Verfahren) im letzten Tätigkeitsbericht ausführlich
beschrieben.
Das Bayerische Datenschutzgesetz vom 23.7.1993 verlangt nach Art. 27 in Verbindung mit Art. 39 Abs. 4, daß speichernde Stellen, soweit
personenbezogene Daten automatisiert verarbeitet werden, bis zum 1.3.1995 dafür ein
Anlagen- und Verfahrensverzeichnis (in einigen Datenschutzgesetzen auch als
Dateiverzeichnis bezeichnet) aufbauen. Diese beiden Verzeichnisse sollen als Ersatz für
das früher zentral beim Landesdatenschutzbeauftragten geführte Datenschutzregister
gelten.
Der Inhalt des Verfahrensverzeichnisses richtet sich nach Art. 26 Abs 2. Bayer. Datenschutzgesetz. Die
Angaben, die für die datenschutzrechtliche Freigabe erforderlich sind, werden auch in das
Verfahrensverzeichnis übernommen. Der Inhalt des Anlagenverzeichnisses ist im Bayer.
Datenschutzgesetz jedoch nicht näher geregelt. Er wurde in einer Verwaltungsvorschrift
(gemeinsame Bekanntmachung der Bayer. Staatskanzlei und der Bayer. Staatsministerien vom
11.3.1994) festgelegt.
Nach der Vollzugsbekanntmachung zum Bayerischen Datenschutzgesetz vom 11.3.1994 ist jede Datenverarbeitungsanlage in das Anlagenverzeichnis aufzunehmen, auf der im Verfahrensverzeichnis beschriebene Verfahren ablaufen. Es hat Angaben zu enthalten über
Das Anlagenverzeichnis muß selbstverständlich auch Hinweise über den Standort
einer DV-Anlage vermitteln, damit der behördliche Datenschutzbeauftragte seine gesetzlich
vorgegebenen Kontrollaufgaben wahrnehmen kann. Die Sensibilität der auf einer Anlage
ablaufenden Verfahren sollte schließlich ein Anhaltspunkt für die Stärke der
Datensicherungsmaßnahmen sein.
Die Bayerische Datenschutzverordnung schränkt jedoch die Aufnahme von Verfahren in das Anlagen- und Verfahrensverzeichnis ein. So brauchen nicht in das Verfahrensverzeichnis aufgenommen zu werden:
Ganz wesentlich ist, daß Verfahrens- und Anlagenverzeichnis verknüpfbar sind.
Deshalb sind ins Anlagenverzeichnis eindeutige Hinweise über die auf der DV-Anlage
ablaufenden Verfahren aufzunehmen. Damit das Anlagenverzeichnis nicht so
ändernungsintensiv wird, können Angaben über den Software-Versionsstand entfallen,
soweit diese Information nicht den Sicherheitsstandard kennzeichnet. Grundsätzlich ist
jede DV-Anlage, auf der meldepflichtige personenbezogene Verfahren ablaufen, also auch
jeder Personal Computer, einzeln ins Anlagenverzeichnis zu übernehmen. Aus Transparenz-
und Vereinfachungsgründen wäre es auch denkbar, für DV-Anlagen (PC-Netz) im gleichen
Sachgebiet und mit identischen Aufgaben eine Art Sammelmeldung für das Anlagenverzeichnis
zu erstellen.
Für ihre Kunden hat die AKDB geeignete Formblätter für das Anlagen- und
Verfahrensverzeichnis entwickelt.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat am
27.3.1994 einen Beschluß zur Einfuhrung von Chipkarten im Krankenversicherungs- und
Gesundheitsbereich gefaßt (siehe Anlage).
In Bayern wurden Anfang 1994 von den Krankenkassen der gesetzlichen
Krankenversicherung an alle Mitglieder die elektronisch lesbaren
Krankenversicherungskarten ausgegeben. Die Krankenversicherungskarte ersetzt das bisherige
Versichertenscheckheft. Die Krankenversicherungskarte wird in Bayern wie früher das
Versichertenscheckheft, z. B. für die bayerischen AOKs, bei der Fa. Systemform in Prien
in Auftragsdatenverarbeitung zentral erstellt und an die Mitglieder versandt.
Sicherheitsgrundsätze
Die Krankenversicherungskarte enthält einen Chip mit 256 Byte Speicherkapazität. Die Speicherkapazität des Chips ist nicht erweiterbar. Gespeichert werden auf Grund der gesetzlichen Gebote in § 291 Abs 2 SGB V lediglich die sog. Versichertengrunddaten:
Name, Anschrift, Geburtsdatum, Krankenkasse, Versicherungsnummer,
Versichertenstatus, Tag des Beginns des Versicherungsschutzes und bei befristeter
Gültigkeit das Datum des Fristablaufs.
Zur Kontrolle werden für jedermann lesbar auf die Karte folgende Feldinhalte
gedruckt: Name, Krankenkassennummer, Versicherungsnummer, Status und Gültigkeitsdatum.
Der Versichertenstatus kennzeichnet, ob der Versicherte selbstversichert,
Familienmitglied oder Rentner ist und enthält ein Merkmal zur Zugehörigkeit zum
Personenkreis des sog. "Risikostrukturausgleich" innerhalb der Krankenkassen,
sowie für diesen Personenkreis einen Hinweis auf Rentenbezug.
Eine Manipulation der auf dem Chip gespeicherten Daten würde beim Benutzen der
Karte offenkundig.
Auf dem Chip sind die Versichertendaten im variablen Feldformat aufgezeichnet,
d. h., am Ende des Speichers bleiben freie Speicherstellen übrig, die theoretisch für
andere Zwecke genützt werden könnten. Diese freien Speicherstellen werden bei der
Beschreibung auf binär "blank" (Leerstellen) gesetzt. Zur Feststellung der
Authentität der gespeicherten Daten enthält der Chip eine Prüfsumme, die die
Unverfälschtheit der gespeicherten Informationen attestieren soll. In diese Prüfsumme
geht auch die Anzahl der vorhandenen Leerstellen ein. Das Prüfsummenverfahren soll
allerdings professionellen Manipulationen nicht standhalten (es ist mit der sog. digitale
Unterschrift nicht vergleichbar).
Manipulierte Karten können jedoch von den bei den Ärzten im Einsatz
befindlichen Programmen und den entsprechenden Lesegeräten nicht gelesen werden. Das
gleiche gilt, wenn auf die Karte zusätzliche Informationen gespeichert würden.
Der Arzt ist nicht befugt, Datenänderungen auf der Chipkarte durchzuführen. Er
verfügt obendrein nur über Leseeinrichtungen. Die Krankenkassen können lediglich
Adreßdaten verändern. Andere Daten können mit den im Einsatz befindlichen Programmen
nicht verändert werden, da die Funktionen nicht programmiert wurden. Ändert sich
beispielsweise der Versichertenstatus oder der Name, muß eine neue Versichertenkarte
ausgegeben werden, weil diese Daten auch auf die Karte gedruckt werden müssen.
Die Kassenärztlichen Vereinigungen empfehlen den Ärzten geprüfte Hard- und
Software zu verwenden. Einige Lesegeräte sind vom BSI zertifiziert worden und garantieren
den Mindestsicherheitsstandard nach E2 (ausreichende Sicherheit). Die Software wurde vom
Bundesverband der Kassenärztlichen Vereinigungen auf ihre Richtigkeit geprüft.
Nichtgeprüfte Hard- und Software darf nicht eingesetzt werden. Es ist davon auszugehen,
daß die Kassenärzte die offiziellen DV-Systeme einsetzen, da nur für solche Systeme ein
finanzieller Zuschuß gewährt wird.
Mißbrauchsmöglichkeiten
Ein Mißbrauch mit der Krankenversichertenkarte ist - wie bisher schon beim
Krankenschein - nicht auszuschließen. Eignet sich beispielsweise jemand eine fremde
Krankenversicherungskarte an, kann er sich kostenlos behandeln lassen, sofern der Arzt
seine Identität nicht überprüft. Die Folgen von Datenmanipulationen sind aber
verhältnismäßig unbedeutend und nicht gravierender, als beim Einsatz des herkömmlichen
Versichertenscheckheftes. Trotzdem sind die Kassenärztlichen Vereinigungen und die
Krankenkassen aufgerufen, im Rahmen der gesetzlichen Möglichkeiten nach Lösungen zu
suchen, den Einsatz der Krankenversichertenkarte sicherer zu machen, um
Mißbrauchsmöglichkeiten vorzubeugen oder zu verhindern. Ansätze dazu sind bereits
erkennbar.
Erfahrungen
In jeder Krankenkasse steht ein Lesegerät bereit, um den Versicherten zeigen zu
können, welche Daten auf seiner Karte gespeichert sind. Von dieser Möglichkeit haben bei
den Allgemeinen Ortskrankenkassen bisher nur verschwindend wenig Versicherte Gebrauch
gemacht.
Beschwerden von Versicherten sind bei verschiedenen Krankenkassen vereinzelt von
solchen Versicherten eingegangen, deren Name aufgrund der Umstellung von Großschreibung
auf Groß-Kleinschreibweise unkorrekt auf der Karte aufgedruckt war. Wegen des Einsatzes
von Großrechnern ist es bisher immer noch nicht wirtschaftlich lösbar, zwischen den
Umlauten ä, ö und ü und den Zeichenfolgen ae, oe oder ue zu unterscheiden. Eine
automatische Umsetzung würde auch wieder falsche Schreibweisen liefern, nicht alle
Mueller schreiben sich Müller und aus Goethe würde Göthe.
Schließlich hat die Ausgabe der Krankenversichertenkarte auch noch einen
wirtschaftlichen Aspekt: Bei der neuen konnten gegenüber der herkömmlichen Lösung
Kosten eingespart werden.
Die Kontrolle der technischen und organisatorischen Datensicherheitsmaßnahmen
war wiederum ein Schwerpunkt im Berichtszeitraum.
Folgende Dienststellen habe ich nach Art. 7 BayDSG (teilweise i.V.m. § 9 BDSG und Anlage) kontrolliert:
Die Prüfung bei der AKDB München war schwerpunktmäßig auf die neuen
Zugriffsschutzsteuerungsprogramme für die HP3000-, Unix- und PC-Verfahren ausgerichtet.
Bei der Prüfung der AOK Würzburg war einer der Prüfungspunkte die
Gewährleistung der Datensicherheit bei der Einführung der neuen
Krankenversicherungskarte.
Die Entsorgung von Datenträgern mit personenbezogenem Inhalt habe ich
zusätzlich bei etwa 10 bayerischen Dienststellen überprüft.
Schließlich habe ich wieder zahlreiche Dienststellen beraten. Die Zahl der
Dienststellen steigt ständig, die im Vorfeld von Um- oder Neubauten ihrer Gebäude oder
von EDV-Bereichen um Hinweise hinsichtlich notwendiger Datenschutz- und
Datensicherheitsmaßnahmen (Zutrittsschutz, Objektsicherung, Katastrophenvorsorge,
Entsorgung von Datenträgern) erhalten. Im Zuge der weiter ansteigenden Vernetzung der
Rechnerleistung wurde ich auch vielfach gebeten, zur Gewährleistung der Datensicherheit
in einem LAN Stellung zu nehmen.
Die angespannte Haushaltslage zwingt viele öffentliche Stellen zum Sparen an
den Finanzmitteln. Trotzdem bemühten sich alle kontrollierten Dienststellen, die
erforderlichen Maßnahmen zum Datenschutz und zur Datensicherheit zu treffen. Auf einige
verbliebene Mängel, die entweder übersehen oder deren Behebung zurückgestellt worden
war, möchte ich nachfolgend näher eingehen:
Dokumentation der Zugriffsberechtigungen
Bei vielen Dienststellen ist es immer noch üblich, daß Zugriffsrechte aufgrund
einer telefonischen Anweisung eingerichtet werden. Eine revisionsfähige Dokumentation der
Vergabe von Benutzerberechtigungen ist jedoch nur möglich, wenn eine schriftliche
Beantragung der Zugriffsrechte durch die Fachdienststellen vorliegt. Bei der Zuteilung der
Benutzerberechtigungen, insbesondere bei der Gestaltung des Verfahrens, sollte auch der
behördliche Datenschutzbeauftragte beteiligt werden.
Zusatzsoftware für PC
Bei PC, auf denen sensible personenbezogene Daten verarbeitet werden, ist neben
der konsequenten Nutzung der vorhandenen Sicherheitsmaßnahmen (Abschließen der Geräte
oder Diskettenlaufwerke, Einsatz von Boot- oder Setup-Paßwörtern) eine wirksame
Zugriffschutzsoftware einzusetzen, um eine unberechtigte Kenntnisnahme der gespeicherten
Daten zu verhindern. Der Zugriff auf die Betriebssystemebene muß für den normalen
Anwender mit Hilfe dieses Produktes gesperrt werden.
Deaktivierung von Bildschirmplätzen
Bei einem ganztägigen Rechnerbetrieb sind außerhalb der regelmäßigen
Dienstzeiten sämtliche nicht benötigte Bildschirmarbeitsplätze vom DV-System zu
deaktivieren, um einen unberechtigten Zugriff auf die gespeicherten Daten zu erschweren,
zumal dann, wenn bei fehlerhaften Zugriffsversuchen systemseitig keine Sanktionen (z. B.
Sperrung der Benutzerberechtigung bzw. des Endgeräts) ergriffen werden können.
Bedienerloses Ausschalten einer MX300
Im Bereich der Bayerischen Verwaltung ist der Einsatz von MX300-Rechnern der SNI
AG weit verbreitet. Häufig müssen diese Rechner noch einige Zeit nach Beendigung der
allgemeinen Bürozeit für einzelne Benutzer zur Verfügung stehen. Da viele Dienststellen
aus Kostengründen keine zusätzliche Bedienkraft für die verspätete Beendigung des
Rechnerbetriebs einstellen können, laufen die Rechner zumeist im (z. T. bedienerlosen)
24-Stunden-Betrieb. Damit steigt natürlich die Gefahr eines unerlaubten Rechnerzugriffs.
Die Firma Josef Bauer hat nunmehr einen Schaltcomputer entwickelt, der Rechenanlagen der
Serie MX300 zu vorher festgesetzten Zeiten ein- und ausschalten kann. Diese Schaltcomputer
werden seit einiger Zeit vor allem im Justiz- und Finanzbereich eingesetzt. Probleme sind
bisher nicht bekannt geworden.
Schlüsselverwaltung
Jede Dienststelle muß darauf achten, daß jederzeit nachvollziehbar ist,
welcher Mitarbeiter welche Art von Schlüssel (General-, Gruppen- oder Einzelschlüssel)
besitzt oder besessen hat. Zu diesem Zwecke muß ein revisionsfähiges
Schlüsselverzeichnis geführt werden. Auch für die Aufbewahrung der Zweitschlüssel von
Schränken und Schreibtischen ist eine einheitliche Regelung erforderlich. Die Mitnahme
des Haus- oder Gruppenschlüssels für einzelne Stockwerke einer Dienststelle durch
Mitarbeiter einer Putzfirma sollte tunlichst vermieden werden.
Fremdreinigung
Die Einhaltung des Datenschutzes bei Fremdreinigung hat mich in den letzten
Jahren des öfteren beschäftigt. Besonders problematisch erscheint mir dabei die
Fremdreinigung in sensiblen Amtsbereichen. Nachdem aufgrund einer Empfehlung durch den
Obersten Bayerischen Rechnungshof nunmehr sogar Finanzämter gehalten sind, die
Eigenreinigung aus Kostengründen auf Fremdreinigung umzustellen, wird die Gefahr einer
unberechtigten Kenntnisnahme von Daten durch Außenstehende weiter wachsen. Zur
Entschärfung dieser Gefahr verpflichten die Finanzämter beispielsweise die bei der
Reinigungsfirma beschäftigten Personen nach dem Verpflichtungsgesetz (BGBl I 1974, 547)
auf das Steuergeheimnis. Außerdem findet die Reinigung von Räumen mit sensiblen
Unterlagen zu einer Zeit statt, in der Bedienstete das Reinigungspersonal kontollieren
können (Vier-Augen-Prinzip).
Eine derartige Regelung wäre auch für andere Behörden erwägenswert.
Darüberhinaus muß mit der Reinigungsfirma eine schriftliche Vereinbarung getroffen
werden, die den Geschäftsführer der Firma in die Pflicht nimmt, daß sich die bei der
Firma beschäftigten und bei der Behörde eingesetzten Personen an die Weisungen der
Behörde zu halten haben. Die Behörde sollte außerdem eine aktuelle Aufstellung aller
Personen (insbesondere bei Änderungen) erhalten, die für die Reinigung ihrer Räume
eingesetzt werden.
Entsorgung von Datenträgern
Auch in diesem Berichtszeitraum wurden wieder eine Anzahl von Behörden speziell
hinsichtlich der datenschutzgerechten Entsorgung von Datenträgern mit personenbezogenen
Inhalt überprüft. Ich konnte dabei feststellen, daß immer mehr Dienststellen ihre
Papierunterlagen mit schutzwürdigen personenbezogenen Daten durch eine beauftragte Firma
entsorgen lassen. Eine Polizeidienststelle erlebte dabei eine unangenehme Überraschung,
als sie einer Zeitung entnehmen konnte, daß ihre Akten von spielenden Kindern
ungeschützt in dem Hof eines Altpapierhändlers direkt an einer Straße gefunden wurden.
Ein Teil der personenbezogenen Unterlagen war bereits über den Zaun auf die Straße
gefallen. Aus diesem Anlaß bitte ich alle Dienststellen, die eine Datenträgerentsorung
im Auftrag vornehmen lassen, die Kontrollen über die mit der Entsorgung beauftragten
Vertragsfirmen zu verstärken, um mögliche Schwachstellen leichter zuerkennen. So sollte
sich der Auftraggeber vor einer Vertragsunterzeichnung durch eine Besichtigung vor Ort
davon vergewissern, ob die eingesetzten Gerätschaften den Anforderungen der DIN 32757
Teil 1 entsprechen. Bei der Vertragsgestaltung mit den beauftragten Entsorgungsunternehmen
sollten schließlich auch das Recht auf unangemeldete Kontrollen bei der Entsorgung und
angemessene Vertragsstrafen für den Fall der Verletzung von Datenschutzvorschriften durch
das beauftragte Unternehmen vereinbart werden. Die datenschutzgerechte Entsorgung des
Papiergutes sollte der Auftragnehmer jeweils schriftlich bescheinigen.
Neben der weiterhin zum Teil fahrlässigen Entsorgung von Papierunterlagen mit
personenbezogenem Inhalt bleibt die Entsorgung maschinenlesbarer Datenträger ein Problem
für viele Dienststellen und hierbei insbesonders die steigende Anzahl zu vernichtender
Streamer Tapes. Ich möchte daher noch einmal darauf hinweisen, daß diese Datenträger
entweder physisch vernichtet oder - soweit möglich - durch eine Neuformatierung
physikalisch gelöscht werden müssen. Ist die Formatierung wegen eines Defektes nicht
mehr möglich, so müssen andere wirksame Maßnahmen (z. B. Einsatz eines starken
Elektromagneten) ergriffen werden.
Kuvertieren von Postsendungen durch Fremdfirmen
Einige Behörden lassen einen Teil ihrer Postsendungen (z. B. Bescheide über
die Abfallentsorgungsgebühren) durch Privatfirmen versenden. Dagegen bestehen
grundsätzlich keine Bedenken. Ich gehe allerdings davon aus, daß der Auftragnehmer unter
besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und
organisatorischen Maßnahmen ausgewählt wird und mit der Privatfirma ein Vertrag
geschlossen wird, in dem die erforderlichen Sicherheitsmaßnahmen (Verarbeitungsvorgaben,
Transportmaßnahmen, Vollständigkeitskontrolle o.ä.) näher erläutert werden. Im
Vertrag sind außerdem Vertragsstrafen vorzusehen, wenn sich der Auftragnehmer
weisungswidrig verhalten sollte.
Die von DV-Benutzern verursachten Systemaktionen werden zur Nachvollziehbarkeit
der maschinellen Datenverarbeitung in nahezu allen größeren DV-Systemen automatisch in
sogenannten Log-Dateien protokolliert. Dabei wird auch die Berechtigung der Zugriffe und
die Art des Zugriffs (lesen, kopieren, verändern, löschen oder übermitteln) auf die
Datenbestände überwacht.
Das Wissen der Bediensteten um bestehende Aufzeichnungen und damit um die
Möglichkeit umfassender nachträglicher Aufklärung eventueller auch länger
zurückliegender Unregelmäßigkeiten trägt wesentlich dazu bei, bereits auf den Versuch
eines Mißbrauchs der Datenverarbeitungsprogramme zu verzichten.
Alle anomalen Betriebszustände und Sicherheitsverletzungen an den DV-Anlagen
müssen durch eine regelmäßige (tägliche) Auswertung der entsprechenden Log-Dateien
festgestellt werden, damit die Dienststelle auf Sicherheitsverletzungen (z. B.
Eindringversuchen) und alle anderen Versuchen von unzulässigen Aktionen rechtzeitig
reagieren kann.
Da bei Stand-alone-PC von den eingesetzten Betriebssystemen grundsätzlich
nichts oder zumindest sehr wenig protokolliert wird, ist im Einzelfall - unter
Berücksichtigung der Sensibilität der Daten - zu prüfen, ob bei diesen Rechnern genauso
wie beim Einsatz der meisten Unix-Rechner - die Installation einer geeigneten
Zusatzsoftware für die Revisionsfähigkeit der Datenverarbeitung notwendig ist. Wird der
PC im Multi-User-Betrieb (Benutzung durch mehrere Personen) eingesezt, ist eine
Protokollierung der DV-Aktivitäten grundsätzlich erforderlich. Zur gezielten Auswertung
und regelmäßigen Kontrolle der vorhandenen Protokolldatei ist auch bei manchen anderen
Rechnern (z. B. HP 3000) der Einsatz einer Zusatzsoftware erforderlich.
Insbesondere müssen bei einer Auswertung von Protokollen folgende Fragen
beantwortet werden können:
Gemäß Art. 17 Abs. 4 BayDSG ist
eine Speicherung von Protokolldaten nur zulässig, wenn sie auch erforderlich sind und
ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur
Sicherstellung eines ordnungsgemäßen Betriebes der Datenverarbeitungsanlage dienen. In
einer Vereinbarung mit dem Personalrat sollten die Einzelheiten der in diesem Rahmen
erfolgenden Auswertungen und ihrer Nutzungen festgelegt werden (wer darf diese wie, mit
welchen Hilfsmitteln und zu welchem Zweck auswerten). Hierdurch wird auch gewährleistet,
daß das Instrument der Protokollierung nicht zweckentfremdet verwendet wird, etwa für
die Durchführung einer unzulässigen Verhaltens- oder Leistungskontrolle der Mitarbeiter.
Der Einsatz von Kommunikationsnetzen setzt sich in der öffentlichen Verwaltung immer mehr durch. Viele Behörden vernetzen ihre Computer zu LAN (Local Area Netzwork) oder WAN (Wide Area Network) bzw. Unterformen dieser Netzarten. Während sich Stand-alone-Systeme ohne Anschlüsse an Netze zumindest im Großrechnerbereich - relativ leicht absichern lassen, entstehen im Zuge einer Vernetzung - neben den Sicherheitslücken des Netzwerkbetriebssystems - natürlich zusätzliche Sicherheitsprobleme auf und für den Transportweg (z. B. Gefahr einer Abhörung des Netzes). Die Bedrohung des nicht autorisierten Zugriffs auf ein Netz oder der an diesem Netz angeschlossenen Rechner geht im wesentlichen von den Einwahlzugängen oder Gateways zu fremden Netzen aus.
Zur Sicherung der Netzkommunikation ist der Einbau von Sicherheitsmechanismen unbedingt erforderlich. In Frage kommen dabei insbesondere:
Hardware-Zugriffsschutzsysteme
Zwischen dem jeweiligen Rechner oder Endgerät und dem Netzanschluß (Modem) werden Einrichtungen (sog. Black Boxes) geschaltet, die sich zu beiden Seiten hin schnittstellenneutral verhalten. In Zusammenarbeit mit einer entsprechenden Sicherheitseinrichtung auf der Gegenseite sorgen sie für die Sicherung der Netzkommunikation. Der Zugang zum Rechner wird erst nach Anruferidentifikation gewährt, wobei die jeweilige Zugriffsberechtigung überprüft und der Anrufer erst nach Authentisierung durchgeschaltet wird.
Vorteile dieser Lösung sind:
Einsatz kryptographischer Verfahren
Sicherheitsfunktionen gegen unbefugtes Mithören der Kommunikation und unbemerkte Veränderung der übertragenen Daten können auch direkt in das Endgerät integriert werden. Hierbei ist zu entscheiden, in welche der sieben ISO-Schichten diese, in erster Linie kryptographischen Mechanismen integriert werden. So kann z. B. eine ganze Anwendung (Schicht 7), ein Darstellungsprotokoll (Schicht 6) oder auch nur das Transportprotokoll (Schicht 4) kryptographisch gesichert werden.
Man unterscheidet bei der Kryptographie zwischen symmetrischen und asymmetrischen Verfahren. Symmetrische Verfahren arbeiten mit einem Schlüssel für die Ver- und Entschlüsselung (Privat Key), der allen beim Nachrichtenaustausch beteiligten Partnern bekannt ist. Bei diesem Verfahren ist die Gefahr einer Weitergabe des Schlüssels relativ groß. Das derzeit am weitesten verbreitete symmetrische Chiffrierverfahren ist der 1977 vom amerikanischen National Bureau of Standards (NBS) normierte Data Encryption Standard (DES).
Sicherer sind asymmetrische Verfahren (Public-Key-Verfahren), bei denen ein Schlüsselpaar verwendet wird: ein geheimer privater Schlüssel und ein öffentlicher Schlüssel, der beliebigen Partnern bekannt gegeben werden kann. Mit dem öffentlichen Schlüssel wird die Nachricht verschlüsselt und nur mit dem privaten Schlüssel läßt sich die Nachricht entschlüsseln und zweifelsfrei nachweisen, daß nur der Eigentümer des privaten Schlüssels die Nachricht abgesandt haben kann. Darüberhinaus lassen sich Nachrichten und Dokumente signieren (elektronische Unterschriften), um so deren Integrität sowie deren Herkunft und Empfang einwandfrei nachweisen zu können. Das bekannteste asymetrische Verfahren ist das RSA-Verfahren (benannt nach Rivest, Shamir, Adleman, die es zum ersten Mal vorgeschlagen haben). Es tut der Sicherheit keinen Abbruch, daß ein spezieller, relativ kleiner RSA-Schlüssel (rund 130 Stellen) in den Vereinigten Staaten mit großem, unverhältnismäßig hohem Aufwand entschlüsselt wurde. (Quelle: Orgatec-Beilage der Süddeutschen Zeitung vom 19.10.1994). Schlüssel, die mehr als 200 Stellen umfassen, können derzeit weiterhin als sicher betrachtet werden.
Vorteile dieser Lösung sind:
Chipkarten
Chipkarten sind ein Instrument zur Anwendung kryptographischer Verfahren in Informationssystemen. Sie enthalten in einer Plastikkarte einen Mikroprozessor und geschützte, auslesesichere Speicher, in denen Verschlüsselungsalgorithmen und andere sicherheitsrelevante Funktionen gespeichert sind. Der System- und Netzzugang erfolgt in zwei Schritten. Zunächst weist der Benutzer durch ein persönliches - jederzeit selbst änderbares - Kennwort (PIN) nach, daß er der rechtmäßige Eigentümer der Chipkarte ist. Anschließend weist die Chipkarte gegenüber dem System über kryptographisch ermittelte Parameter ihre Zugangsberechtigung nach.
Verliert ein Anwender seine Chipkarte, dann kann ein Finder diese ohne Kenntnis der individuellen PIN nicht verwenden.
Chipkarten eignen sich für die Realisierung wichtiger Sicherheitsmaßnahmen in Netzwerken (Zugriffskontrolle, Nachrichtenauthentifikation, Nachrichtenverschlüsselung, elektronische Unterschrift).
Der Datenaustausch über den Telebox-400-Dienst der Deutschen Bundespost Telekom gewinnt zunehmend an Bedeutung, weil dieser Mailbox-Dienst eine recht interessante Art darstellt, wirtschaftlich Daten auszutauschen. Der Telebox-400-Dienst verfügt in seiner heutigen Ausbaustufe nach der Empfehlung der CCITT X.400 von 1984 über einen gewissen sicherheitstechnischen Grundschutz, der sich allerdings nur auf den Zugangsschutz über Benutzerkennung und Paßwort sowie auf die Sanktionen nach mehrmaligen ungültigen Zugriffsversuchen in ununterbrochener Folge bezieht.
In einer weiteren Ausbaustufe sollen die Sicherheitsmechnismen der Empfehlung der CCITT X.400 von 1988 zur Verfügung gestellt werden. Dabei handelt es sich in erster Linie um den Einsatz von kryptographischen Verfahren bei der Identifizierung und beim Nachrichtentransport sowie um Maßnahmen zur Verifizierung der Dokumentenechtheit. In der Zwischenzeit hat sich der Anwender um die Realisierung dieser unverzichtbaren Funktionen selbst zu kümmern (siehe dazu "Übermittlung von Steuererklärungsdaten auf elektronischem Weg").
Neben den Telebox-Anwendungen, bei denen die Telekom die gesamte technische Infrastruktur stellt, gewinnen private elektronische Mitteilungssysteme immer mehr an Bedeutung. In Deutschland existieren auf diesem Gebiet schon über 100 Betreiber, hauptsächlich aus dem Bereich der Privatwirtschaft.
In der bayerischen Staatsverwaltung gibt es zur Zeit einige Projektgruppen, die sich mit dem Aufbau eines Elektronischen Mitteilungssystems befassen. In einer Besprechung des Führungskreises des Projekts "Hochgeschwindigkeitsnetze" wurde am 22.9.1994 eine Projektgruppe "Behördennetz" unter dem Vorsitz der Bayer. Staatskanzlei eingerichtet. Auch der Koordinierungsausschuß "Datenverarbeitung" unterhält seit längerem eine Arbeitsgruppe, die an einige in Deutschland tätige Privatfirmen Preisanfragen bezüglich der Einrichtung eines gemeinsamen Transportnetzes im staatlichen Bereich gerichtet hat. Mit der Organisation einer ressortübergreifenden Kommunikation auf der Basis des X.400-Standards beschäftigt sich auf Initiative des Bayer. Staatsministerium des Innern eine weitere Arbeitsgruppe des Koordinierungsausschusses, die die ersten Ergebnisse (technisches Konzept) Ende des Jahres vorgelegt hat.
Hochgeschwindigkeitsnetze werden überall dort benötigt, wo es um die schnelle Übertragung großer Datenmengen geht. Dazu einige Beispiele: Nutzung der Rechnerkapazität von leistungsfähigen Vektorrechnern im Wissenschaftsbereich, Übertragung von Raster- und Vektorgraphiken, Übertragung von Bewegt-Bildern (Video-Konferenzen), Multimedia-Anwendungen.
In einem Behördennetz sollen neben dem Fernsprechen auch Texte und Dokumente (Bilder, Tabellen) übertragen werden. In der Pilotphase ist zunächst daran gedacht, umfangreiche Texte ohne Personenbezug (etwa Bundesratsangelegenheiten, Sachabstimmungen in der Länderkommunikation, Parlamentsdrucksachen) zu übertragen. Anzumerken ist, daß auch diese Texte vertrauliche Informationen enthalten können. Bei der Übertragung von Texten und Dokumenten sensiblen, personenbezogenen Inhalts sind jedoch bestimmte Sicherheitsstandards einzuhalten, die sich mindestens an dem X.400-Sicherheitsstandard von 1988 orientieren.
Im einzelnen handelt es dabei im wesentlichen um folgende Sicherheitsmaßnahmen:
Bei der Auftragsvergabe an einen privaten Netzanbieter, bei dem unter Umständen Texte zwischengespeichert werden, sind schließlich die Vorschriften des Art. 6 BayDSG über "die Verarbeitung personenbezogener Daten im Auftrag" zu beachten, wonach der Auftragnehmer unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatischen Maßnahmen sorgfältig auszuwählen ist.
All diese Forderungen werden bisher noch von keinem Anbieter in vollem Unfang erfüllt. Es gibt jedoch Hersteller, die in ihrer Produktpalette verschiedene Systemkomponenten entwickelt haben, die manche Sicherheitsmaßnahmen unterstützen, so daß ich bei der Übertragung personenbezogener Daten auf die Einhaltung dieser Maßnahmen drängen werde.
Im Rahmen meiner Kontrollen und Beratungen weise ich immer wieder auf das Risiko einer Gefährdung der Datenverarbeitung durch Computerviren hin und zeige dabei die nachfolgenden Hauptgefahrenquellen eines Virenbefalls auf:
Zur möglichst schnellen Erkennung eines eventuellen Virenbefalls sollte man auf einige Anzeichen achten, die für Infektionen typisch sind. Dies sind beispielsweise:
(Jedes infizierte Programm macht mehr als das, wofür es ursprünglich geschrieben wurde. Es infiziert zum Beispiel andere Programme. Das erfordert zusätzliche Rechnerleistung, worunter die Leistungsfähigkeit des Systems leidet. Da die meisten Virenproduzenten den Ehrgeiz haben, daß ihre Viren jedes Programm nur einmal infizieren soll, muß die Virussequenz jedes Programm daraufhin untersuchen, ob es bereits infiziert ist. Mit zunehmender Verseuchung der Programme muß ein solcher Virus hierzu immer länger suchen, um ein noch nicht infiziertes Programm zu finden. Dies führt ebenfalls zu einem Anstieg der verbrauchten Rechnerleistung.)
(Nicht jeder Fehler, der während der Arbeit am Computer auftritt und einen Programmabsturz zur Folge hat, ist auf einen Virus zurückzuführen. Es könnte sich auch um einen Software-Fehler handeln. Stellen sich jedoch Fehler ein, die unter denselben Bedingungen bisher nicht auftraten, ist unbedingt eine Virenüberprüfung zu starten.)
(Nach Einbau eines Virus sind die Programme größer als vorher und benötigen folglich mehr Speicherplatz. Speicherresidente Viren fressen langsam aber sicher den freien Hauptspeicherplatz auf.)
Das Bayer. Staatsministerium der Finanzen hat im Zuge möglicher Rationalisierungsmaßnahmen im Steuerfestsetzungsverfahren ein Verfahren entwickelt, bei dem Einkommensteuererklärungsdaten auf elektronischem Weg vom Steuerpflichtigen an das Finanzamt übermittelt werden können. Dazu werden in Pilotversuchen von der Lohnsteuerhilfe Bayern e.V. und von der DATEV e.G. die Daten der Einkommensteuererklärung neben der bisherigen Papierform zusätzlich durch Datenfernübertragung an das zuständige Rechenzentrum der Finanzverwaltung (EDV-Stelle) in München und Nürnberg gesandt. Die elektronische Übertragung erfolgt bei der Lohnsteuerhilfe Bayern e.V. über den Telebox-400-Dienst der Telekom, bei der DATEV e.G. direkt über Wählleitung mit dem Übertragungsverfahren FTAM.
Der Rationalisierungseffekt soll darin bestehen, daß die bisherige Datenerfassung im Finanzamt entfällt bzw. vermindert wird und die elektronisch übertragenen Daten direkt für die Erstellung des Steuerbescheids verwendet werden können.
Das Bayer. Staatsministerium der Finanzen hat mich bei diesem Projekt frühzeitig beteiligt, damit mögliche Sicherheitsrisiken aus der Sicht des Datenschutzes rechtzeitig erkannt und bei der weiteren Verfahrensentwicklung durch entsprechende Sicherheitsmaßnahmen verhindert werden.
An den Pilotverfahren nehmen auf seiten der Finanzverwaltung Finanzämter aus den OF-Bezirken München und Nürnberg sowie die EDV-Stellen der Steuerverwaltung in München und Nürnberg, auf seiten der steuerberatenden Berufe die Lohnsteuerhilfe Bayern e.V. und die DATEV e.G. teil. Maschinell unterstützt wird beim Versuch mit der Lohnsteuerhilfe Bayern e.V. die Abgabe der Einkommensteuererklärung für Arbeitnehmer, beim Versuch mit der DATEV e.G. auch die Einkommensteuererklärung von Unternehmern.
Die Lohnsteuerhilfe Bayern e.V. überträgt die Erklärungsdaten verschlüsselt über eine Wählleitung in die Telebox im Telekom-Rechenzentrum in Mannheim. Die EDV-Stelle ruft die Daten ebenfalls über eine Wählleitung, die zu einem PC geschaltet ist, aus der Telebox ab. Diese Wählleitung ist nur während der Übertragungs- bzw. Abrufzeit aktiv geschaltet. Der Zugriff auf die Telebox ist für beide Teilnehmer durch Paßwort abgesichert. Will die EDV-Stelle auf die Telebox zugreifen, muß es sich durch Benutzerkennung und Paßwort authentifizieren. Nach dem Datenabruf muß die EDV-Stelle ein zweites Paßwort eingeben, um die aus der Telebox übertragenen Daten entschlüsseln zu können. Zwischen der Lohnsteuerhilfe und der EDV-Stelle wird ein Ver- und Entschlüsselungspaßwort vereinbart, das im 2-Monatsturnus geändert wird. Die Verschlüsselung bewirkt, daß die Daten, solange sie sich außer Haus befinden (auf Leitung, beim elektronischen Postamt), verschlüsselt und für Außenstehende nicht verständlich sind. Die eingesetzte Software sorgt vor der Verschlüsselung zusätzlich noch für eine Verdichtung der Datenmenge. Beim elektronischen Postamt in Mannheim sind getrennte "elektronische Briefkästen" für den Datenempfang (Senden durch die Lohnsteuerhilfe) und für den Datenabruf (durch die EDV-Stelle) eingerichtet. Die datenabgebenden Stellen können auf die Daten im "Briefkasten" des Abrufberechtigten nicht mehr zugreifen. Der für den Datenabruf bestimmte "Briefkasten" ist nur von der datenempfangenden Stelle (die jeweilige EDV-Stelle der Steuerverwaltung) anwählbar.
Das Datenabrufverfahren läuft menueunterstützt ab. Sind in der Telebox neue, noch nicht abgerufene Daten gespeichert, erhält der Benutzer nach dem Anwählen einen Hinweis (Absender, Empfänger, Datenmenge). Nach dem Abruf werden die Daten in der EDV-Stelle entschlüsselt und entpackt und über eine Diskette zur Weiterverarbeitung auf den Großrechner gebracht (PC und Host-Rechner sind nicht miteinander verbunden; sog. Vorrechner-Konzept). Dieser Schritt soll später einmal automatisiert ablaufen, wobei dann nur der Host-Rechner abrufberechtigt sein wird, um ein Eindringen über die PC-Wählleitung in das DV-System der EDV-Stelle zu verhindern. 24 Stunden nach Abruf durch die EDV-Stelle werden die verschlüsselten Daten in der Telebox gelöscht.
Beim derzeitigen Verfahrensstand werden zwischen der Lohnsteuerhilfe und der EDV-Stelle über die Telebox nur Berechnungsdaten mit Steuernummer aber keine Daten des Grundinformationsdienstes (persönliche Daten, wie Name und Anschrift) ausgetauscht. Wollten die übermittelten Daten einer Person zugeordnet werden, müßte bekannt sein, wem die übermittelte Steuernummer zugeteilt worden ist. Dazu wäre Zusatzwissen aus dem Grundinformationsdienst der Steuererkärung erforderlich. Die Daten des Grundinformationsdienstes erhält das zuständige Finanzamt über die herkömmliche Steuererklärung auf Papier, die bei der jeweiligen Geschäftsstelle der Lohnsteuerhilfe erstellt, mit einer sog. Tele-Nummer, die als Zuordnungsmerkmal für die maschinell übermittelten Daten gilt, versehen und unterschrieben an das Finanzamt geschickt wird. Die über die Telebox übermittelten Daten kann das Finanzamt auf herkömmlichem Weg bei der EDV-Stelle abrufen, mit den Erklärungsdaten vergleichen und zur Berechnung der Einkommensteuer freigeben.
Beim Versuch mit der DATEV e.G. werden die Daten über Wählleitungen vom Steuerberater zur DATEV e.G. und von dort zu den jeweiligen EDV-Stellen der Steuerverwaltung übermittelt. Verschlüsselung und Vorrechner-Konzept entsprechen dem Verfahren der Lohnsteuerhilfe Bayern e.V.
Das DV-Verfahren zur Unterstützung des Erklärungseingangs soll dann weiterentwickelt werden, wenn eine entsprechende Akzeptanz seitens der Partner festzustellen ist.
Die Steuerverwaltung ist bestrebt, mit wenigen DA-Partnern (DA bedeutet Datenaustausch) einen möglichst großen Kreis von Steuerpflichtigen zu erreichen. Die DA-Partner müssen den Vorgaben der Steuerverwaltung entsprechen. Die Zahl der Partner im maschinellen Verfahren wird deshalb gering sein.
Die Steuerverwaltung hat - soweit erkennbar - alle Möglichkeiten für eine sichere Datenübertragung der Steuererklärungsdaten ausgeschöpft.
Sie setzt eine Zusatzsoftware ein, die eine Verschlüsselung und Komprimierung der Daten ermöglicht und eine Offenbarung dieser Daten durch Unbefugte weitgehend ausschließt. Für den Datenabruf wurde eine eigene Wählleitung angemietet, die nicht über die zentrale Telefonvermittlung läuft. Es wird außerdem sichergestellt, daß der Datenabruf nur aus einer Richtung möglich ist. Der Wählleitungsanschluß ist nur während des Datenzugriffs aktiviert, so daß fremde Dritte nicht in den PC bzw. Vorrechner der EDV-Stelle der Steuerverwaltung eindringen können.
Gegen dieses DV-Verfahren bestehen aus Gründen der Datensicherheit keine grundsätzlichen Bedenken, soweit das beim gegenwärtigen Verfahrensstand beurteilt werden kann.
Zur Verbesserung der Datensicherheit wurden angeregt:
Bereits im 15. Tätigkeitsbericht habe ich darauf hingewiesen, daß durch das Bayerische Datenschutzgesetz vom 23. Juli 1993 die Verordnung über das Datenschutzregister vom 23. November 1978 und Art. 7 des Bayerischen Datenschutzgesetzes vom 28. April 1978 mit Wirkung vom 1. August 1993 außer Kraft getreten ist. Von diesem Zeitpunkt an fielen die Registermeldungen ersatzlos weg. Davon ausgenommen waren aber noch Sozialbehörden, die unter die Regelungen des § 79 des Zehnten Buches des Sozialgesetzbuchs (SGB X) fallen.
Durch das Zweite Gesetz zur Änderung des Sozialgesetzbuchs (2. SGBÄndG) vom 13. Juni 1994 wurde in § 81 SGB X die bisherige Regelung des § 79 SGB X dahingehend klargestellt, daß bei öffentlichen Stellen der Länder, die unter § 35 SGB I fallen, sich die Aufgaben und Befugnisse der Landesbeauftragten für den Datenschutz nach dem jeweiligen Landesrecht richten. Durch diese Änderung ist auch eine Registermeldung für bayerische Sozialbehörden entfallen (siehe auch unter Sozialbehörden - Änderung von Rechtsvorschriften unter Nr. 3.1.1).
Die Zahl der Bürger, die sich schriftlich an mich gewandt und um Auskunft aus dem Datenschutzregister gebeten haben, hat sich im Berichtsjahr weiter verringert.
Als Ersatz für das Datenschutzregister gilt das sog. Anlagen- und Verfahrensverzeichnis, das die speichernden Stellen zum 1. März 1995 eingerichtet haben müssen.