Der Bayerische Landesbeauftragte für den Datenschutz; 17. Tätigkeitsbericht, 1996; Stand: 13.12.1996

18. Technischer und organisatorischer Bereich

18.1 Grundsatzfragen

18.1.1 Voraussetzungen für die Nutzung von Internet-Diensten

Die Bayerische Staatsregierung fördert aus den Privatisierungserlösen seit 1995 im Rahmen des Projektes "Bayern Online" eine Reihe von Telekommunikationsprojekten. Grundlage für die meisten Teilprojekte - auf manche wird im einzelnen noch einzugehen sein - ist das Vorhandensein einer flächendeckenden, leistungsfähigen Kommunikationsinfrastruktur, auf der eine multimediale Kommunikation abgewickelt werden kann. Da ein solches Netz auch für jedermann zur Verfügung stehen und selbstverständlich auch Anschlußstellen zum Internet haben soll, sind als Grundversorgung bestimmte Basissicherheitsmaßnahmen zur Verfügung zu stellen. Im einzelnen handelt es sich um folgende Maßnahmenbündel:

• Verschlüsselungsroutinen zur Sicherung der Vertraulichkeit von übertragenen Informationen

• Sicherung der Integrität und Authentität der übertragenen Informationen durch elektronische Signaturverfahren

• Einrichtungen zur Abschottung von internen Netzen gegen Zugriffe Unbefugter von außen (Installation geeigneter Firewall-Systeme)

• Führung von revisionsfähigen Nachweisen für die Beweissicherung

• Maßnahmen zur ständigen Verfügbarkeit der Netzinfrastruktur

Ich bin von der Staatsregierung über den Führungskreis an der Umsetzung des Projektes Bayern Online beteiligt und habe auf die Notwendigkeit dieser Maßnahmen hingewiesen. Es liegen einige Projekte in dieser Richtung vor. Ich werde die Maßnahmen weiter begleiten.

Aus der Sicht des Datenschutzes sind weiter folgende Hinweise im Zusammenhang mit der Internetschulung wichtig, deren Nichtbeachtung entweder zu einer zweckentfremdeten Nutzung von Benutzerdaten führen oder ungewollt Benutzer- und Benutzungsdaten an Dritte offenbaren kann:

• Bei der Paßwortwahl sind gewisse Grundregeln zu beachten:
  • Keine Worte oder Wortteile verwenden, da diese mit Hilfe elektronischer Wörterbücher sehr schnell geknackt werden können.
  • Das Paßwort mindestens alle 3 Monate wechseln.
  • Das Paßwort sollte mindestens 6 Zeichen und ein Sonderzeichen enthalten.
  • Für verschiedene Rechner sind verschiedene Paßworte zu verwenden.

• Service-Provider speichern zu Abrechnungszwecken Zugangs- und Verbindungsdaten. Bei einer Speicherung im Ausland gibt es meist keine eindeutigen gesetzlichen Regelungen über die Verwendung dieser Daten.

• In den Log-Files wird aufgezeichnet, welcher Rechner auf welche Informationsangebote zugegriffen hat. Kann ein Rechner einem ganz bestimmten Benutzer zugeordnet werden, sind diese Daten personenbezogen und unterfallen somit dem Datenschutzrecht.

• Internet-Zusatzprogramme können manchmal unbemerkt Identifikationsdaten zum Internet-Rechner übertragen, wenn der Benutzer keine Sicherheitsmaßnahmen (Setzen des Schreibschutzes für sog. "Cookie-Dateien") vorsieht.

• Der Benutzer muß bezüglich der Sicherheitslücken und Schwächen von Internetprogrammen, etwa von Browsern, am laufenden bleiben. (So empfiehlt es sich beispielsweise, Javascript von Netscape zu deaktivieren, weil damit ganze Dateien, auch Paßwortdateien, vom lokalen Rechner ausgelesen werden können.)

• Als weitere Vorsorgemaßnahme empfiehlt es sich, nicht immer mit den neuesten Versionen solcher Programme zu arbeiten, da erst eine weltweite Nutzung deren Schwächen offenbart.
  

18.1.2 Bayerisches Gesundheitsnetz

Zu den rechtlichen Fragen im Zusammenhang mit der Telemedizin, die sich auch im Rahmen des Bayerisches Gesundheitsnetzes - Bayern Online stellen, wird zunächst auf den Beitrag unter Nr. 3.1.2 verwiesen. Aus der technisch organisatorischen Sicht muß nachstehendes sichergestellt werden.

Wegen der besonderen Geheimhaltungspflicht medizinischer Daten muß beim Austausch von Patientendaten im Rahmen einer Telekonsultation ausgeschlossen werden, daß diese Daten auf dem Übertragungswege Dritten zugänglich werden, unabhängig davon, ob der Zugang mißbräuchlich geschieht. Eine vertrauliche Kommunikation wird nur dann sichergestellt, wenn die Daten durch zuverlässige Algorithmen verschlüsselt werden, bevor sie auf das Transportmedium gebracht werden.

Dabei können Kompatibilitätsprobleme auftreten, wenn die in Kommunikation tretenden Stellen unterschiedliche Hard- und Betriebs-Software einsetzen, auf denen die vereinbarten Verschlüsselungsverfahren nicht ablauffähig sind. Auch die Modalitäten der Schlüsselerzeugung und -verteilung sind rechtzeitig abzuklären. Aus diesem Grunde ist dringend geboten, daß bereits vor dem Beginn der Pilotversuche im Rahmen von Bayern Online Spezifikationen für diese unverzichtbaren Sicherheitsmaßnahmen entwickelt sind. Inzwischen liegt auch ein Projekt mit diesen Zielvorstellungen vor. Eines muß allen Beteiligten dabei klar sein: der Einsatz dieser Sicherheitskomponenten ist nicht zum Nulltarif zu haben. Die Akzeptanz dieser Verfahren wird jedoch von der Gesamtsicherheit des Systems abhängen.

Mit der Verwendung des preiswerten Internets handelt man sich im übrigen nicht zu unterschätzende weitere Sicherheitsrisiken ein: Um Angriffe von Hackern aus dem Internet abzuwehren, benötigt man sowohl an zentraler Stelle als auch bei den Abfragestationen (also bei jedem Arztsystem) geeignete Schutzmechanismen (Firewall-Konzepte), die Eindringversuchen in interne Netze oder Rechner wirksam begegnen.

Ich habe meine Vorstellungen über die zu realisierenden Sicherheitsmaßnahmen in den Arbeitskreis "Telemedizin" eingebracht und werde die Entwicklung aufmerksam beobachten.

Zu einem Projekt ist noch folgendes zu bemerken:

Im Projekt ByMedCard wird eine Patientenkarte für Diabetiker entwickelt, die als Kommunikationsinstrument zwischen niedergelassenem Arzt und dem Krankenhaus (dem Diabeteszentrum) sowie innerhalb des Krankenhauses zwischen den einzelnen Fachabteilungen dienen soll. Darüberhinaus soll noch eine professionelle Arztkarte zur Steuerung der Zugriffsberechtigungen, Signierung von Nachrichten und Verschlüsselung von Nutzdaten entwickelt werden. Auf der Patientenkarte müssen neben der Speicherung von Daten (eine Art Krankengeschichte) auch Autorisierungs- und Verschlüsselungsalgorithmen implementiert sein. Bei Einsatz von Public-Key-Systemen sind schließlich Vorgaben über die Einrichtung eines sog. Trust Centers (Trusted Third Party) zu machen, das als Aufgaben die Schlüsselgenerierung, -verwaltung und -verteilung sowie die Personalisierung der Karten hat. Auch über diese Arbeitsschritte sollen im ByMedCard Erfahrungen gesammelt werden.

18.1.3 Sicherheit von Chipkarten

Chipkarten haben Eingang ins tägliche Leben gefunden und gewinnen zunehmend an gesellschaftlicher und wirtschaftlicher Bedeutung. Aufgrund ihrer mannigfachen Ausprägungsformen und vielfältigen Anwendungsmöglichkeiten bedürfen sie zur Wahrung der informationellen Selbstbestimmung und der informationstechnischen Sicherheit größter Aufmerksamkeit.

Chipkarten sind miniaturisierte Computer im Scheckkartenformat, die über keine eigenen Ein- und Ausgabegeräte als Schnittstelle zum Menschen verfügen.

Heutzutage sind im wesentlichen zwei Varianten von Chipkarten auf dem Markt verfügbar:

• Speicherchipkarten
  • mit nicht-flüchtigem Speicher (z.B. Krankenversichertenkarten und sonstige Identifikationskarten)
  • intelligente Speicherchipkarten (z.B. Telefonkarten)

• Prozessorchipkarten
  • mit Speichereinrichtungen und einem Prozessor
  • mit Speichereinrichtungen und Co-Prozessoren (für kryptographische Verfahren)

Die Sicherheit einer Chipkarte stützt sich auf vier Komponenten:

• Kartenkörper

• Chip (Prozessor und Speicher)

• Betriebssystem-Software

• Anwendungs-Software

Chipkarten können jedoch nicht nur für sich gesehen als sicher oder unsicher bewertet werden, sondern müssen hierzu immer in ihrem gesamten Umfeld betrachtet werden.

Zu diesem Umfeld gehören insbesondere Kartenterminals, die als Schnittstelle zwischen dem Kartenbenutzer und der Chipkarte verwendet werden, da Chipkarten über keine eigenen Ein- und Ausgabegeräte (wie ein "richtiger" Computer) zur Kommunikation mit dem Menschen verfügen. Aber auch die hinter den Kartenterminals liegenden Datenverarbeitungssysteme müssen in die Betrachtung mit einbezogen werden.

Durch die rasant fortschreitende Entwicklung der Halbleitertechnologie kann davon ausgegangen werden, daß sowohl die Leistungsfähigkeit der Mikroprozessoren als auch die Speicherkapazität von Chipkarten in wenigen Jahren der von heutigen Personal Computern entspricht.

Der technologische Fortschritt und der Anwendungstrend gehen eindeutig in Richtung multifunktionale Chipkarte, d.h. Vereinigung mehrerer, unterschiedlichster Anwendungen auf einer einzigen Chipkarte.

Um zukünftig einen möglichst hohen Sicherheits- und Zuverlässigkeitsstandard zu gewährleisten, ist es erforderlich, daß bereits beim Design von Kartenbetriebssystemen und Kartenanwendungen Standards und Regeln eingehalten werden.

Der Arbeitskreis "Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich ausführlich mit diesem Thema befaßt und ein Papier mit "Anforderungen zur informationstechnischen Sicherheit bei Chipkarten" erstellt (Anlage 4).

18.1.4 Verschlüsselungstechniken

Im Zusammenhang mit der ständig zunehmenden Benutzung von offenen Computer-Netzwerken, wie z.B. dem Internet, kommt der Sicherung der Daten bei der Übertragung vor unbefugter Kenntnisnahme und unbefugter Veränderung größte Bedeutung zu. Vor diesem Hintergrund haben die Datenschutzbeauftragten des Bundes und der Länder im Frühjahr 1996 die "Entschließung zur sicheren Übertragung elektronisch gespeicherter personenbezogener Daten" gefaßt (siehe Anlage 7).

Mit der Anwendung zuverlässiger und geeigneter kryptographischer Verfahren können die o.a. Schutzziele, für deren Einhaltung stets der Absender einer Nachricht verantwortlich ist, erreicht werden.

Durch Verschlüsselung (Kryptierung, Chiffrierung) wird eine lesbare Nachricht in eine Nachricht aus scheinbar sinnlos aufeinanderfolgenden Zeichen (Chiffrat) verändert. Die Rückumformung des Chiffrats in die ursprüngliche Nachricht (Klartext) wird als Entschlüsselung (Dekryptierung, Dechiffrierung) bezeichnet. Die Vorgänge der Ver- und Entschlüsselung können durch Software und/oder Hardware durchgeführt werden.

Im wesentlichen gibt es drei Verschlüsselungstechniken:

• symmetrische Verschlüsselung

• asymmetrische Verschlüsselung

• hybride Verschlüsselung

Die symmetrischen Verschlüsselungsverfahren sind dadurch charaktierisiert, daß für die Verschlüsselung und für die Entschlüsselung jeweils der gleiche Schlüssel verwendet wird. Dies bedeutet, daß sowohl der Absender als auch der Empfänger einer verschlüsselten Nachricht über den gleichen Schlüssel verfügen müssen. Die bekanntesten Verfahren sind der Data Encryption Standard (DES), Triple DES und der International Data Encryption Algorithm (IDEA).

Die asymmetrischen Verschlüsselungsverfahren sind dadurch charaktierisiert, daß für die Verschlüsselung und für die Entschlüsselung von Nachrichten jeweils unterschiedliche Schlüssel verwendet werden. Dies bedeutet, daß jedem Kommunikationsteilnehmer nicht ein Schlüssel, sondern ein Schlüsselpaar zugeordnet sein muß, nämlich ein sog. öffentlicher Schlüssel (public key) und ein privater Schlüssel (private key). Aus den Bezeichnungen für diese beiden Schlüsselteile rührt auch der Name Public-Key-Verfahren. Das bekannteste Verfahren ist das RSA-Verfahren, welches von Rivest, Shamir und Adleman entwickelt wurde. Der RSA-Algorithmus ermöglicht grundsätzlich zwei verschiedene Anwendungen, nämlich das Verschlüsseln einer Nachricht und das Authentifizieren einer Nachricht mit Hilfe einer sog. digitalen Signatur. Mit einer digitalen Signatur werden "Unterschriften" elektronisch nachgebildet. Da die elektronische Unterschrift auf Basis der Nachricht ermittelt wird, wird diese Nachricht gleichzeitig quasi versiegelt.

Hybride Verschlüsselungsverfahren vereinen die Vorteile der symmetrischen mit den Vorteilen der asymmetrischen Verfahren, ohne jeweils die Nachteile der einen oder anderen mit zu übernehmen. Sie bestehen überwiegend aus einer Kombination des RSA- mit dem DES-Algorithmus sowie einer Kombination des RSA- mit dem IDEA-Algorithmus. Mit hybriden Verfahren können Nachrichten i.d.R.

• nur verschlüsselt,

• nur digital signiert oder

• verschlüsselt und digital signiert

werden. Bei den hybriden Verfahren werden die symmetrischen Verfahren zur Verschlüsselung der Nachricht an sich verwendet. Das asymmetrische Verfahren dient zur digitalen Signatur und zur Verschlüsselung des benutzten symmetrischen Schlüssels, der mit der Nachricht übertragen wird.

Ein Hauptproblem bei allen Verfahren ist das Schlüsselmanagement, d.h.

• die Erzeugung sicherer Schlüssel,

• die sichere Verwaltung der Schlüssel sowie

• die Sicherstellung der Authentizität der öffentlichen Schlüssel der Teilnehmer bei den asymmetrischen Verfahren.

Um dieses Problem zu lösen, gibt es mittlerweile vielfältige Ansätze in Industrie, Forschung und Verwaltung.

18.1.5 Firewall-Techniken

Firewall-Systeme (aus dem Englischen: Brandschutzmauern) sind Lösungen und Konzepte, die ein eigenes sicheres Netzwerk vor der Außenwelt schützen sollen. Sie bestehen aus einer oder mehreren Hard- und/oder Softwarekomponenten oder nur aus Software, die einen kontrollierten zentralen Übergang zwischen zwei Netzen darstellen.

Ein Firewall-System kann im wesentlichen mit zwei Grundtechniken realisiert werden:

• Paketfilterung (Packet filtering)

• Gateway auf Anwendungsebene (Application Gateway)

Bei der Paketfilterung unterscheidet ein Router anhand der IP-Pakete zwischen erlaubten und unerlaubten Diensten. Paketfilter können nach Quell- und Zieladresse sowie nach Quell- und Zielort filtern. Damit sind sowohl die für eine Kommunikation zugelassenen Rechner von den nicht zugelassenen Rechnern als auch die zugelassenen Dienste von den nicht zugelassenen Diensten zu unterscheiden. Eine benutzerbezogene Authentisierung ist nicht möglich.

Ein Gateway auf Anwendungsebene ist ein speziell konfigurierter Rechner, der als Übergangstelle vom eigenen zum offenen Netz dient. Da es auf Anwendungsebene greift, besteht hier z.B. die Möglichkeit, ausführliche Protokolle zu führen und eine benutzerbezogene Authentisierung für die einzelnen Dienste durchzuführen.

Durch Kombination der Grundtechniken sowie deren unterschiedlicher Anordnung werden die klassischen Firewall-Architekturen realisiert:

• Screening Router

• Screened Gateway

• Dual Homed Gateway

• Screened Subnet

Damit sind individuelle Realisierungen von zentralen FirewallSystemen für unterschiedlichste Kommunikations- und Sicherheitsbedürfnisse in einem homogenen Netzwerk möglich.

Für komplexe Netzwerke und insbesondere für Netze mit heterogenen Schutzbedürfnissen von Teilnetz zu Teilnetz oder gar von Rechner zu Rechner sind diese o.a. Architekturen in ihrer reinen Ausprägung nicht angemessen und nicht ausreichend. In diesen Fällen kann eine Kaskadierung von Firewall-Systemen erforderlich sein, d.h. einzelne oder alle Teilnetze schützen sich ihrerseits nochmals selbst durch ein geeignetes Firewall-System gegenüber den anderen Teilnetzen. Dadurch ist eine feinere Abstimmung auf die spezifischen Schutzbedürfnisse in jedem einzelnen Teilnetz möglich, der finanzielle, administrative und organisatorische Aufwand steigt allerdings entsprechend an. Auch hier gilt der Satz, daß Sicherheit nicht umsonst zu haben ist.

Mittlerweile sind auch Firewall-Systeme auf dem Markt verfügbar, die über die sog. Tunnelling-Funktion verfügen. Mit diesen Systemen können über verschiedene Standorte verteilte lokale Netze über ein offenes unsicheres Netz sicher miteinander kommunizieren, wobei die zu übertragenden Daten vom absendenden Firewall-System verschlüsselt und vom empfangenden Firewall-System wieder entschlüsselt werden.

Darüberhinaus sind derzeit auch Firewall-Systeme verfügbar, die für Remote-Anmeldungen berechtigter Benutzer die Verwendung starker Authentifizierungshilfsmittel, wie z.B. Chipkarten, unterstützen.

Wie jede Brandschutzmauer in einem Gebäude kann aber auch ein Firewall-System keinen hundertprozentigen Schutz gegen alle Risiken bieten. Die Schutzwirkung von Firewall-Systemen kann sich nur unter wohl definierten Umständen und Konfigurationen und nur gegenüber bestimmten, d.h. bekannten, Risiken und Angriffsversuchen entfalten. Die Stärke eines Firewall-Systems hängt wesentlich von der eingesetzten Technik und ihrer korrekten Konfiguration und Administration ab.

Da

• sich die EDV-Technologie permanent fortentwickelt,

• die Angriffsmethoden und -techniken immer raffinierter und gleichzeitig leichter anwendbar werden und

• auch in bereits langjährig eingesetzten Betriebssystemen und Anwendungen immer wieder neue Mängel entdeckt werden,

sind eine permanente Pflege, Wartung und Fortentwicklung eines eingesetzten Firewall-Systems unbedingt notwendig.

Es sei deutlich nochmals darauf hingewiesen, daß

• Firewall-Systeme nur gegen derzeit bekannte Angriffsformen schützen können,

• kein Firewall-System evtl. vorhandene Sicherheitslücken im eigenen "sicheren" Netz schließen kann,

• Firewall-Systeme grundsätzlich keinen Schutz vor Computer-Viren bieten,

• Firewall-Systeme i.d.R. keine Mechanismen zum Schutz der Daten vor unberechtigter Kenntnisnahme oder Veränderung während ihrer Übertragung über das offene Netz bieten (Ausnahme: Systeme mit sog. "Tunnelling-Funktion"),

• Firewall-Systeme einer permanenten Überwachung, Anpassung und Pflege bedürfen,

• mit Firewall-Systemen derzeit nur Teilbereiche der gesamten Sicherheitsproblematik bei Anbindung an und Nutzung von offenen Netzen abgedeckt werden können und

• keine Technik oder Firewall-Architektur das Sicherheitsproblem umfassend lösen kann.

Zu Firewall-Techniken und Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet hat der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Datenschutzbeauftragten des Bundes und der Länder eine Orientierungshilfe erarbeitet, die bei meiner Geschäftsstelle angefordert werden kann.

18.1.6 Datenschutzfreundliche Technik

Durch die Fortentwicklung und zunehmende Verbreitung moderner Informations- und Kommunikationstechnik (IuK-Technik) wird z. B. über die Speicherung von Nutzerdaten die Privatsphäre des Bürgers mehr und mehr gefährdet. Die Technologie, die dafür gesorgt hat, daß personenbezogene Daten gespeichert, genutzt und weitergegeben werden können, läßt sich aber auch zum Schutz der Privatsphäre nutzen. Diese Möglichkeiten der modernen Datenschutztechnologie, die mit dem Begriff "Privacy enhancing technology (PET)" eine Philosophie der Datensparsamkeit beschreibt und ein ganzes System technischer Maßnahmen umfaßt, sollten hierfür genutzt werden.

Die zunehmende Verbreitung, Nutzung und Verknüpfbarkeit von IuK-Technik führt dazu, daß jeder der Benutzer in zunehmendem Maße elektronische Spuren hinterläßt. In der Regel hat der Benutzer über Art, Umfang, Speicherort, Speicherungsdauer und Verwendungszweck der über ihn gespeicherten Daten keine Kontrolle.

Der Schutz der Privatsphäre des Benutzers wird bisher i.d.R. dadurch erreicht, daß der Zugang und der Zugriff zu bereits gespeicherten personenbezogenen Daten mittels rechtlicher, technischer und organisatorischer Maßnahmen beschränkt wird.

Der Schutz der Privatsphäre hängt somit lediglich von der Wirksamkeit der ergriffenen Maßnahmen und der Gewissenhaftigkeit ab, mit der diese vollzogen werden. Und je mehr personenbezogene Daten erhoben und gespeichert werden, desto größer wird die Gefahr für die Privatsphäre.

Mit den technischen Sicherheitsmaßnahmen werden die klassischen Schutzziele

• Integrität,

• Vertraulichkeit und

• Verfügbarkeit

der gespeicherten Daten verfolgt.

Das Erreichen dieser Schutzziele reicht in Anbetracht der Entwicklungen in der IuK-Technik heutzutage jedoch nicht mehr aus. Nur durch eine weitgehende Reduzierung der Menge der gespeicherten Daten kann der Gefährdung der Privatsphäre auch zukünftig wirksam begegnet werden. Der Grundsatz der Datensparsamkeit muß zu einem vierten, klassischen Schutzziel werden.

Bereits bei der Konzeption von Verfahren und Systemen der IuK-Technik ist daher nach Lösungsformen und -wegen zu suchen, die vollständig auf die Erhebung und Verarbeitung personenbezogener Daten verzichten, d.h. Datenvermeidung als zunächst anzustrebende Form der Datensparsamkeit.

Gelungene Beispiele für solche, bereits eingesetzten bzw. projektierten Systeme sind das bargeldlose Telefonieren mit der vorausbezahlten, anonymen Telefonkarte, das bargeldlose Parken mit der vorausbezahlten, anonymen Münchener Parkkarte oder die beabsichtigte Geldkarte der bayerischen Raiffeisen- und Volksbanken.

Wo solche Lösungen nicht machbar sind, sollte zum Schutz der Privatsphäre von der schwächeren Form der Datensparsamkeit, der Anonymisierung Gebrauch gemacht werden. In der Praxis bedeutet dies, daß zum frühest möglichen Zeitpunkt eine Anonymisierung der erhobenen, personenbezogenen Daten erfolgt. Dabei ist darauf zu achten, daß eine Rekonstruktion des Personenbezugs nicht bzw. nur mit unverhältnismäßig hohem Aufwand möglich sein kann und darf.

Diese Methodik wird beispielsweise im Bereich der Statistik bereits seit langem praktiziert. Die Daten einer repräsentativen Personengruppe werden zunächst mit Personenbezug erhoben. Für die statistische Auswertung erfolgt dann aber die sofortige Anonymisierung.

Dieses Verfahren ist aber dann nicht anwendbar, wenn nachträglich Daten einer bestimmten Person zugeordnet werden müssen und die bereits vorhandenen Daten ohne Personenbezug gespeichert wurden. Hier kann die schwächste Form der Datensparsamkeit, die Pseudonymisierung, angewendet werden.

Pseudonyme werden anstelle unmittelbar personenbezogener Identifikationsdaten verwendet. Aus sich heraus ermöglichen sie keinen unmittelbaren Rückschluß auf die tatsächliche Identität des Betroffenen. Nur bei Bedarf und unter Einhaltung vorher zu definierender Rahmenbedingungen ist es möglich, den Personenbezug wieder herzustellen. Es sind grundsätzlich drei Klassen von Pseudonymen möglich, die sich nach ihrer Schutzwirkung hinsichtlich der Zusammenführbarkeit des Pseudonyms mit der wahren Identität des Betroffenen unterscheiden:

• vom Betroffenen selbst generierte Pseudonyme,

• von Dritten vergebene und nur über eine Referenzliste rückbeziehbare Pseudonyme (Referenz-Pseudonyme),

• Einweg-Pseudonyme, die nicht oder nur mit unverhältnismäßigem Aufwand rückgeführt werden können.

Als ein Beispiel sei hier auf die medizinische Forschung verwiesen, wo nachträglich erhobene Daten zu einem Patientenstammdatensatz zugewiesen werden müssen, ohne daß in diesem Stammdatensatz personenbezogene Daten gespeichert wären (z.B. Krebsregister).

Ein in Entwicklung befindliches System, das Datensparsamkeit durch Datenvermeidung zusammen mit einer Variante der Pseudonymisierung realisiert, ist das derzeitige Pilotprojekt für eine Multifunktionale Universitäts-Chipkarte (MUCK) an der Universität Würzburg. Die Chipkarte soll dabei einerseits als eine wiederaufladbare anonyme elektronische Geldbörse (ZKA-genormte Geldkarte; zentraler Kreditausschuß) und andererseits als starkes Authentifizierungshilfsmittel für Zugangs- und Zugriffskontrollsysteme (unter Verwendung des freien Speichers der Geldkarte) dienen. Dabei kommt diese Karte ohne direkten Personenbezug aus, indem lediglich eine eindeutige Identifikationsnummer benutzt wird.

Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Datenschutzbeauftragten des Bundes und der Länder ist derzeit mit diesen Aspekten der datenschutzfreundlichen Technologien befaßt und erstellt ein entsprechendes Grundsatz- und Arbeitspapier.

18.1.7 Makroviren

Nachdem sich bislang Computerviren ausschließlich über bootfähige Disketten und ausführbare Programmdateien ausbreiteten, kann seit Mitte 1995 ein neuer Typ von Computerviren beobachtet werden, der sich dadruch auszeichnet, daß er Textverarbeitungs- oder Tabellenkalkulations-Dokumente befällt und diese Dateien als Wirt zur Vermehrung benutzt, indem er sich mittels eines Makros (Folge von Befehlen, die sich wiederholt ausführen lassen (z. B. Formatierung von Texten)) an einen gewöhnlichen Text anhängt. Wenn dann z. B. das Textverarbeitungsprogramm den Text lädt, führt es den Makrocode aus, der dann weitere Dateien verseucht und irgendwann beginnt, die definierten Funktionen auszuführen. Dieser Virustyp wird dementsprechend als Makrovirus bezeichnet. Makroviren stellten Mitte 1996 nach den Ermittlungen des Virus Bulletins mit ca. 20 % nach den Bootsektorviren bereits die zweithäufigste Virenart dar.

Ein Makrovirus ist eine in der Makrosprache (z. B. WordBasic von WinWord) eines Anwendungsprogrammes geschriebene Routine. Diese Makroroutinen sind in den zu bearbeitendem Text, einer Tabelle oder ähnlichem eingebettet. Damit sind sie an ihr Objekt gebunden. Der Anwender aktiviert diese Routinen automatisch, wenn er das Objekt mit einem Anwendungsprogramm bearbeitet.

Über Makrosprachen verfügen so gut wie alle Textverarbeitungen (z. B. WinWord, Wordperfect, Starwriter und Wordpro), Tabellenkalkulationen (z. B. Excel oder Lotus 1-2-3), Datenbanken (Access u. a.), aber auch Programme wie Powerpoint und Autocad.

Ein Makrovirus kann auch als Trojanisches Pferd fungieren. Zum Beispiel könnte ein Hacker einen unauffälligen Makrovirus in ein Behördennetz einschleußen, um alle von einem Anwender geladenen Dateien einer Textverarbeitung oder Tabellenkalkulation zu kopieren und über das Netz an sich selbst zu schicken, um sich so unerlaubt Informationen zu verschaffen.

Neu an dem Makrovirus ist auch seine Betriebssystemunabhängigkeit. Der Makrovirus kann gleichermaßen Windows-, OS/2- und DOS-PC als auch Macintosh-Computer befallen.

Bisher sind die Schäden durch Makroviren zwar noch gering (so sind vor allem Veränderungen des Druckergebnisses, der Bildschirmdarstellung und Manipulationen beim Speichern verursacht worden), doch steckt in ihnen ein großes Gefahrenpotential. Es ist abzusehen, daß sich die Klasse der systemübergreifenden Makroviren sowohl zahlenmäßig als auch qualitativ sehr bald vermehren werden. Auch größere, komplizierte Makros mit Tarnkappenfunktionen oder polymorphen Eigenschaften scheinen durch die Mächtigkeit der Makrosprachen in absehbarer Zeit realisierbar. Um Makroviren zu programmieren, sind keine Kenntnisse der Maschinensprache und der Systemarchitektur nötig. War es bislang ohne tiefgehende Kenntnisse der C- oder Assembler-Sprache praktisch unmöglich, einen Virus zu erzeugen (mit Ausnahme der Viren-Toolkits), kann mit den Hilfedateien der Makrosprachen auch ein Laie in wenigen Stunden einen Virus programmieren. So ist es beispielsweise für einen durchschnittlich begabten Word-Anwender kein Problem, den Inhalt der Festplatte aus einem Makro heraus zu löschen. Ein entsprechendes WordBasic-Makro, das gleich die ganze Festplatte formatiert, existiert bereits. Aber auch bereits durch veränderte Werte in einer Tabelle können sich verhängnisvolle Fehlentscheidungen ergeben. Ein Makrovirus, der in einer großen Datenbank Datensätze durcheinanderwürfelt, macht den gesamten Datenbestand in kürzester Zeit völlig wertlos. Solche Schäden können fatale Folgen für eine Behörde haben.

Ein Makrovirus verbreitet sich durch das Laden der infizierten Datei mit dem vorgesehenen Programm, z. B. durch das Lesen des verseuchten Dokumentes mit Hilfe einer Textverarbeitung und durch das damit verbundene Abarbeiten der eingebetteten Makros. Die Herkunft des Dokumentes (ob von Diskette, als E-Mail über LAN oder WAN (Internet) oder über Mailbox-Download) und die jeweilige Landessprache des Programms spielen keine Rolle. Risikobehaftet sind vor allem Textdateien unbekannter Herkunft - egal, ob sie über Diskette oder über Online-Dienste in das System eingespeist werden. Auch beim Anklicken von Internet Seiten, die z. B. mit WinWord geschriebene Texte enthalten, besteht bereits ein Infektionsrisiko.

Durch den Aufruf des verseuchten Dokumentes ist der Virus aktiviert, infiziert als erstes die globale Dokumentenvorlage NORMAL.DOT, indem er z. B. neue Makros mit den Namen "AAAZ...", "AutoOpen", "FileSaveAs" und "PayLoad" einfügt, beziehungsweise, falls diese bereits vorhanden sind, modifiziert und kopiert sich danach unbemerkt in jedes neues Dokument, das der Benutzer in seine Textverarbeitung lädt. Über diese Dokumente können natürlich auch alle eingesetzten Server befallen werden.

Bisher können die Makroviren auch ohne Virenscanner noch relativ leicht erkannt werden. Zum Beispiel erscheint bei der Infizierung der globalen Dokumentenvorlage NORMAL.DOT durch den Concept-Virus auf dem Bildschirm ein kleines Dialog- oder Nachrichten-Fenster, in welchem eine einzelne Zahl - normalerweise die 1 (damit wird festgelegt, daß Word jedes Dokument als Vorlage speichert) - zu sehen ist. Dieses Fenster läßt sich nur durch ein Klicken auf "OK" schließen, um weiterarbeiten zu können. Allerdings erscheint diese verdächtige Meldung in allen Folgeoperationen (also auch bei der Weiterverbreitung des Virus) nicht mehr.

Eine weitere Erkennungsmöglichkeit ist das Überprüfen der globalen Makros (Menüpunkt Extras-Makro im WinWord). Existieren hier Makros mit den Anfangsbuchstaben "AAAZ" oder ein Makro namens "Payload", so ist der Computer vermutlich verseucht. Auch der Eintrag WW6I=1 in der WINWORD6.INI deutet auf einen etwaigen Virenbefall hin.

Gute Virenschutzprogramme können die Makroviren erkennen und beseitigen. Eine weitere Entfernungsmöglichkeit besteht zumindest beim Concept-Virus darin, alle Makros, welche mit den Anfangsbuchstaben "AAAZ" beginnen, sowie die Makros "AutoOpen", "FileSaveAs" und - soweit vorhanden - "Payload" in der NORMAL.DOT und in den einzelnen infizierten Dokumenten zu löschen. Wichtig dabei ist, daß die gesäuberten Dokumente nur mit "Speichern" und nicht mit "Speichern unter" gesichert werden. Sonst bleibt der Schädling virulent.

Zur Vorsorge vor einem Virenbefall der NORMAL.DOT sollte die Sicherheitsabfrage bei Veränderungen der Dokumentenvorlage (Optionsmenü-Speichern, Automatische Abfrage bei Speicherung der NORMAL.DOT) aktiviert werden. Außerdem kann die Datei NORMAL.DOT mittels DOS-Attributen geschützt werden. (Die Eingabe des Befehls ATTRIB +R NORMAL.DOT im entsprechenden Verzeichnis bewirkt, daß die Datei nur gelesen und nicht verändert werden kann.)

Eine weitere Möglichkeit zum Schutz vor dem Makrovirus ist das Drücken der Shift- (Hoch-) Taste beim Öffnen eines Dokumentes. Dadurch wird die Ausführung von AutoMakros beim Öffnen unterbunden.

Da diese Aktion aber leicht vergessen werden kann, sollte - zum Erreichen des gleichen Zweckes - folgendes AutoExec-Makro in der NORMAL.DOT integriert werden:

Sub MAIN

DisableAutoMacros (bzw. AutoMakroUnterdrücken für die deutsche Version)

End Sub

Der Nachteil dieser Lösung ist allerdings, daß auch eigene Makros nicht mehr automatisch ausgeführt werden können.

Ein weiterer Virenschutz besteht darin, keine fremden/unbekannten Dokumente mit Textverarbeitungs- bzw. Tabellenkalkulationsprogramme zu laden, ohne sie vorher mit einem bekanntermaßen guten Virenschutzprogramm geprüft zu haben.

18.2 Prüfungstätigkeit

18.2.1 Kontrolle und Beratung

Die Kontrolle der technischen und organisatorischen Datensicherheitsmaßnahmen war wiederum ein Schwerpunkt im Berichtszeitraum.

Bei folgenden Dienststellen habe ich Datenverarbeitungseinrichtungen nach Art. 7 BayDSG (z.T. i.V.m. § 9 BDSG und Anlage) kontrolliert:

• Amt für Landwirtschaft Passau
• Amtsgericht München (Verfahren SOLUM-STAR)
• AOK-Direktion Wunsiedel
• Bayerische Verwaltungsschule
• Bayerischer Oberster Rechnungshof
• Betriebskrankenkasse (BKK) Hutschenreuther, Selb
• Fachhochschule München
• Gemeinde Hausen
• Klinikum Nürnberg
• Landbauamt München
• Landesamt für Statistik und Datenverarbeitung
• Landeshauptstadt München (Inkassostelle der wahlärztl. Leistungen)
• Landeskriminalamt (Dokumentation des ADOK-Verfahrens)
• Landratsamt Augsburg
• Landratsamt Hof
• Landratsamt Landsberg
• Landratsamt Oberallgäu
• Polizeiverwaltungsamt, Viechtach
• Rechenzentrum der Staatsforstverwaltung
• Staatliches Hochbauamt Passau
• Stadt Aschaffenburg
• Stadt Fürstenfeldbruck
• Stadt Immenstadt
• Stadt Lindau
• Stadt Memmingen
• Stadt Passau
• Stadt Schrobenhausen
• Stadt Schwabach
• Stadt Weilheim
• Stadtwerke Wunsiedel
• Tumorregister, Klinikum Großhadern
• Universität Bayreuth, Verwaltung
• Universitätsklinikum Würzburg (SAP-Verfahren)

Einige Prüfungsverfahren sind bei Drucklegung dieses Tätigkeitsberichtes hinsichtlich der Berichtserstellung allerdings noch nicht abgeschlossen.

Die Prüfung beim Bayerischen Landeskriminalamt betraf die Dokumentation und Abschottung der ADOK-Verfahren Bayern und Baden-Württemberg (Einzelheiten dazu unter 18.2.3).

Beim Amtsgericht München habe ich die Datensicherheitsmaßnahmen des auch im Rahmen von Bayern Online geförderten Verfahrens SOLUM-STAR geprüft (Ergebnisse siehe 18.2.4).

Bei der Prüfung im Landesamt für Statistik und Datenverarbeitung war die Abschottung der Auftragsdatenverarbeitung für bayer. Behörden von den eigenen Statistikanwendungen Gegenstand der Prüfung. Die Abschottung ist gewährleistet.

Dazu habe ich wieder zahlreiche Dienststellen beraten. Die Zahl der Dienststellen steigt ständig, die im Vorfeld von Um- oder Neubauaktivitäten oder vor Einführung neuer EDV-Verfahren Anregungen hinsichtlich der gebotenen Datenschutz- und Datensicherheitsmaßnahmen (Objektschutz, DV-Organisation, Notfallvorsorge) erhalten. Wegen der ständig steigenden DV-Vernetzung, vor allem aber wegen des Anschlusses an Internet, haben auch die Beratungen auf diesem Gebiet zugenommen. Schließlich werde ich den technischen Einsatz von SAP im Klinikbereich begleiten.

18.2.2 Ergebnisse der Kontrolltätigkeit

Auch für diesen Berichtszeitraum konnte bei den Kontrollen festgestellt werden, daß der Stand der technischen und organisatorischen Maßnahmen zur Datensicherheit recht unterschiedlich ist. Zum Teil wurden Datensicherheitsmaßnahmen von hoher Qualität angetroffen, aber ich mußte auch immer wieder teilweise erhebliche Mängel feststellen.

Wegen ihrer generellen Bedeutung möchte ich auf einige Mängel nachfolgend ausführlicher eingehen:

Absicherung von Server- und Netzverteilungsräumen

Auch Server- und Netzverteilungsräume sind gegen unbefugtes Betreten abzusichern. Dazu müssen als Mindestmaßnahmen alle zu diesen Räumen führenden Türen mit mechanischen Türschließern und Türknaufe (statt Türgriffe) ausgestattet sein. In diesen Räumen dürfen auch keine größeren Papiervorräte oder Putzmittel gelagert werden, da dies eine vermeidbare Brandlast darstellt.

Revisionsfähige Dokumentation der Zugriffsberechtigungen

Trotz wiederholter Hinweise in den letzten Tätigkeitsberichten ist es leider bei vielen Dienststellen immer noch üblich, daß Zugriffsrechte auf telefonische Anweisung eingerichtet werden. Eine revisionsfähige Dokumentation der Vergabe von Benutzerberechtigungen ist jedoch nur möglich, wenn eine schriftliche Beantragung der Zugriffsrechte durch die Fachdienststellen vorliegt.

Paßwortänderung

Die Paßwortvergabe und -änderung muß bei allen Rechnern, auf denen personenbezogene Daten verarbeitet werden, durch den Anwender selbst erfolgen können. Die Gültigkeit der Paßworte sollte ca. 90 Tage betragen. Nähere Hinweise zur Paßwortvergabe, -wahl und -verwaltung können einer Orientierungshilfe entnommen werden, die bei meiner Geschäftsstelle kostenlos erhältlich ist.

Protokollauswertung

Alle anomalen Betriebszustände und Sicherheitsverletzungen an den DV-Anlagen sind durch Auswertung der entsprechenden Log-Dateien in einem täglichen Sicherheitsbericht aufzuzeigen und zu überprüfen, damit Sicherheitsverletzungen und vor allem Versuchen von unzulässigen Aktionen rechtzeitig nachgegangen werden kann.

Datenfernverarbeitung

Die Modems von Wählleitungsanschlüssen sind außerhalb der Zeiten der Datenfernverarbeitung inaktiv zu schalten, damit ein Verbindungsaufbau nur mit Wissen der EDV-Stelle stattfinden kann und ein mißbräuchlicher Anschluß ausgeschlossen wird, soweit nicht anderweitige technische Einrichtungen vorhanden sind, die unbekannte Verbindungsaufbauversuche unterbinden.

Bestellung und Einbindung eines Datenschutzbeauftragten

Gemäß Nr. 3.1 der "Gemeinsamen Bekanntmachung der Bayerischen Staatskanzlei und der Bayerischen Staatsministerien vom 01.07.1994 zum Vollzug des Bayerischen Datenschutzgesetzes" haben Gerichte, Behörden und sonstige öffentliche Stellen des Freistaates Bayern zur Sicherstellung des Datenschutzes bei Vorliegen folgender Voraussetzungen behördliche Datenschutzbeauftragte zu bestellen:

• wenn in der Regel mindestens fünf Beschäftigte ständig in automatisierten Dateien personenbezogene Daten verarbeiten, oder

• wenn in der Regel mindestens 20 Beschäftigte ständig in nicht-automatisierten Dateien personenbezogene Daten verarbeiten, oder

• wenn die öffentliche Stelle Daten im Auftrag anderer Stellen verarbeitet, oder

• in Krankenhäusern, die über mehr als 100 Betten verfügen.

Den Gemeinden, den Gemeindeverbänden und den sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechtes und den privatrechtlichen Vereinigungen, auf die das BayDSG nach Art. 2 Abs. 2 anwendbar ist, wird empfohlen, bei Vorliegen dieser Voraussetzungen ebenfalls behördliche Datenschutzbeauftragte zu bestellen. Dieser Datenschutzbeauftragte sollte besonders in alle EDV-Verfahrensabläufe aber auch in sonstige Datenverarbeitungsvorgänge mit grundsätzlicher Bedeutung eingebunden werden. So sollte er bei der Vergabe von Benutzerberechtigungen beteiligt werden und eine entsprechende Dokumentation führen. Diese Tätigkeiten können von einem Bediensteten außerhalb der EDV meistens miterledigt werden. Nähere Informationen zu den Aufgaben eines behördlichen Datenschutzbeauftragten sind bei meiner Geschäftsstelle erhältlich.

Anlagen- und Verfahrensverzeichnis

Ich möchte an dieser Stelle noch einmal darauf hinweisen, daß gemäß Art. 27 Bayer. Datenschutzgesetz jede öffentliche Stelle ein Anlagen und Verfahrensverzeichnis führen muß. Mustervordrucke liegen bei meiner Geschäftsstelle auf.

18.2.3 Prüfung des ADOK-Verfahrens beim Bayerischen Landeskriminalamt

Die Auftragsdatenverarbeitung des bayerischen Landeskriminalamtes für das baden-württembergische Landeskriminalamt gibt keinen Anlaß zu einer Beanstandung.

In ihrem 15. Tätigkeitsbericht hat meine baden-württembergische Kollegin die Fragen der Abschottung der bayerischen von den baden-württembergischen ADOK-Daten sowie der Zugriffsberechtigungen bayerischer Beamter auf baden-württembergische ADOK-Daten angesprochen.

Ich habe daher im Frühjahr 1995 im Bayerischen Landeskriminalamt die Maßnahmen überprüft, die zur Abschottung und zum Schutze der für das Landeskriminalamt Baden-Württemberg gespeicherten Daten getroffen wurden.

Das Bayerische Landeskriminalamt nutzt die selbstentwickelte "Arbeitsdatei Organisierte Kriminalität (ADOK)" einerseits selbst für eigene Zwecke und hat diese andererseits dem Landeskriminalamt Baden-Württemberg in Kopie (ADOK-BW) zur Nutzung überlassen. ADOK-BW läuft im Auftrag auf dem Rechnersystem des Bayerischen LKA ab. Die software-technische Wartung und Pflege obliegen dem Bayerischen Landeskriminalamt.

Eine Trennung des bayerischen vom baden-württembergischen ADOK ist sowohl bzgl. der Programme als auch der Daten gegeben.

Die Zugriffskontrolle für das Verfahren wird auf der Ebene der Bildschirmberechtigung und auf der Ebene der Benutzerberechtigung durchgeführt wird. Alle Eintragungen in den entsprechenden Berechtigungsdateien werden von den Mitarbeitern des Bayerischen LKA ausschließlich auf schriftlichen Auftrag des LKA Baden-Württemberg vorgenommen. Diese Benutzerverwaltung geschieht in revisionsfähiger Form.

Die Verfahrensdokumentation liegt als Kurzbeschreibung in Papierform vor. Eine ausführliche Programmdokumentation steht auf der EDV-Anlage online zur Verfügung. Darüberhinaus ist ein ausführliches Benutzerhandbuch verfügbar.

Pflege und Wartung der Programme des ADOK-BW erfolgen revisionsfähig aufgrund eines formalen, schriftlichen Auftrags.

Alle Zugriffe auf die Dateien werden automatisch protokolliert. Die Protokolldatei wird regelmäßig gesichert und der jeweilige Datenträger wird für die Dauer von einem Jahr aufbewahrt. Die Protokolldaten stehen dem behördlichen Datenschutzbeauftragten auf Anforderung zur Auswertung zur Verfügung. Vorbereitete Auswerteprogramme gibt es nicht.

Ein selektiver Zugriff des Bayerischen LKA auf die im Rahmen der technischen Datensicherung auf externen Datenträgern gespeicherten Daten des ADOK-BW (sowohl in der Gesamtheit als auch auf einzelne Datensätze) ist aufgrund des eingesetzten Datenbanksystems und der gewählten Sicherungstechnik nicht möglich.

Zum Prüfzeitpunkt lagen die für eine derartige Auftragsdatenverarbeitung erforderlichen, schriftlichen Vorgaben des LKA Baden-Württemberg zu Datenschutz- und Datensicherungsmaßnahmen an das LKA Bayern nicht vor. Dies ist zwischenzeitlich erfolgt und auch meine sonstigen, gemachten Anregungen zur Verbesserung des Datenschutzes und der Datensicherheit wurden umgehend umgesetzt.

Die Prüfung ergab, daß zu Beanstandungen meinerseits kein Anlaß gegeben war.

18.2.4 Das Verfahren SOLUM-STAR im Grundbuchamt München

Das elektronische Grundbuchamt SOLUM-STAR erreicht durch geschickte Organisation und durch Einsatz kryptographischer Verfahren ein hohes Maß an Datenintegrität und -vertraulichkeit auch bei der Kommunikation über offene und öffentliche Netze.

Im Rahmen des von der Bayerischen Staatsregierung initiierten Programms "Bayern Online" soll mit dem Projekt SOLUM-STAR die Umstellung und die Führung von Grundbüchern in München und zunächst in Nürnberg auf elektronische Verarbeitung pilothaft erprobt werden. Das Projekt umfaßt auch ein automatisiertes Abrufverfahren aus dem zentral geführten Grundbuch sowie die Kommunikation mit externen Nutzern wie Notaren und Banken im Rahmen der gesetzlichen Vorschriften.

Insbesondere den Aspekten der Benutzerverwaltung, der Zugriffskontrolle, der Unverfälschbarkeit gespeicherter Dokumente sowie der Datensicherheit bei ihrer Übertragung über offene und öffentliche Netze kommt hier besondere Bedeutung zu.

Im Frühjahr 1996 besuchten daher meine Mitarbeiter das Grundbuchamt München, um sich über die ergriffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit zu informieren. Sie stellten dabei fest, daß die ergriffenen Maßnahmen der Benutzerverwaltung, der Zugriffssicherung - u.a. durch Paßwort mit Zeitsperre nach drei Fehlversuchen -, der Protokollierung der externen Recherchen, der digitalen Signatur zum Nachweis der Änderungsberechtigung und der Verschlüsselung der Daten während der Übertragung über Netze ein hohes Maß an Datenintegrität und Vertraulichkeit gewährleisten.

18.3 Technische Einzelfragen

18.3.1 Datenaustausch zwischen Leistungserbringern und Krankenkassen

Ursprünglich war vorgesehen, daß der Datenaustausch zwischen Leistungserbringern und Krankenkassen bzw. den Kassenärztlichen Vereinigungen in maschinenlesbarer Form ab 1.1.1996 beginnen sollte. Da sich der Aufbau der DV-Infrastruktur verzögerte, ist damit erst 1997 zu rechnen.

Aus Gründen der Datensicherung gegen unbefugte Kenntnisnahme auf dem Transportweg wurden für diesen Datenaustausch folgende Sicherheitsmaßnahmen gefordert:

• Bei der Übermittlung auf dem Leitungsweg (Online-Übermittlung) sind die Nutzdaten (Patientendaten) zu verschlüsseln.

Gründe dafür sind: Abhörrisiko, Ungewißheit über welche Leitungswege die Datenübermittlung führen bzw. denkbare Zwischenspeicherung in den Vermittlungsstellen.

• Bei der Übermittlung der Daten auf Diskette oder Magnetband lassen sich folgende zwei Fälle unterschieden:

a) Direkte Übermittlung an die Krankenkassen oder kassenärztliche Vereinigung auf dem Postwege.

b) Einschaltung von Auftragnehmern (z.B. nach § 80 SBG X bzw. Vermittlungsstellen nach § 69d Abs. 4 SGB X), die die Weiterleitung an die zuständige Krankenkasse oder kassenärztliche Vereinigung steuern und nicht Teil der empfangenden Stelle sind.

• Fall a): Die Daten sind wegen des hohen Vertraulichkeitsgrades zu verschlüsseln, falls nur eine normale Versandart (Brief, Paket) gewählt wird. Übergangsweise und nur solange und soweit keine technische Möglichkeiten zur Verschlüsselung bestehen, ist eine unverschlüsselte Speicherung der personenbezogenen zulässig, wenn eine höherwertige Versandart (z. B. Wertbrief, -paket) gewählt wird.

• Fall b): Die Daten sind zu verschlüsseln, wenn sie zur Weiterleitung an die Krankenkassen von Diskette auf Leitung etwa durch Dritte umgesetzt werden müssen (eine Kenntnisnahme der Inhalte kann sonst nicht ausgeschlossen werden, diese wäre aber durch durch den Umfang des Vermittlungsauftrags nicht gedeckt).
  

• Werden die Abrechnungsdaten vom Leistungserbringer auf Papier zur Verfügung gestellt, müssen sie ohne Umweg direkt an die Krankenkasse gesandt werden. Der Versand erfolgt über Wertbrief oder -paket.

Die Datenübermittlung vom Leistungserbringer zur Krankenkasse mittels maschinenlesbaren Datenträger und auf dem Leitungswege muß also grundsätzlich verschlüsselt erfolgen. Als Übergangsregelung wird lediglich die folgende Ausnahme akzeptiert: Diskettenversand direkt zur Krankenkasse mit höherwertiger Versandart, wenn und solange die Hard- und Software des Leistungserbringers den Einsatz des von der Krankenkasse gewählten Verschlüsselungsverfahrens nicht zulassen.

Trotz rechtzeitiger Bekanntgabe meiner Forderungen, die mit den Datenschutzbeauftragten des Bundes und der Länder abgestimmt wurden, und in Anbetracht der Vertraulichkeit und Integrität der zu übertragenden Daten war es für einige Institutionen, die von Leistungserbringern patientenbezogene Abrechnungsdaten erhalten, bisher nicht möglich, mir den Einsatz eines geeigneten Sicherungssystems zu melden.

Einige Krankenkassen richten für diesen Datenaustausch eigene Vermittlungsstellen (sog. Clearingstellen) ein. Sofern diese Stellen nicht zur Krankenkasse oder kassen(zahn)ärztlichen Vereinigung gehören, dürfen ihnen keine Inhaltsdaten (patientenbezogene Abrechnungsdaten) offenbart werden. Ihre Aufgaben beschränken sich lediglich auf die Annahme und formale Überprüfung von Absender und Empfänger sowie auf die Weiterleitung der Daten an die Krankenkasse. Für den Fall, daß diesen Vermittlungsstellen eine Einsicht in die Inhaltsdaten möglich ist, werde ich dies bei den unter meine Zuständigkeit fallenden Stellen wegen eines Verstoßes gegen Art. 22 BayDSG und § 81 Abs. 2 SGB X gemäß Art. 31 BayDSG beanstanden.

18.3.2 Sicherheitsmaßnahmen im Behördennetz

Ein Ziel von Bayern Online ist es, daß alle bayerischen Behörden zukünftig ihre gesamte Datenkommunikation auf einem gemeinsamen Netz, dem sog. Behördennetz abwickeln. Das kann aus Datensicherheitsgründen aber nur dann akzeptiert werden, wenn das Behördennetz die gleichen Sicherheiten bietet, wie es bisher bei den geschlossenen Netzen der Fall war. Bei der Einbindung bereits bestehender Rechnernetze in das Behördennetz ist also darauf zu achten, daß die bereits heute verfügbare Datensicherheit keinesfalls gemindert wird.

Im bayerischen Behördennetz werden eine Vielzahl von vertraulichen Informationen, sei es im Rahmen von Datenabrufen aus zentralen Datenbeständen, sei es als elektronische Mitteilungen (E-Mails) zwischen zwei oder mehreren Partnern übertragen. Schließlich wird es vorkommen, daß umfangreiche Dokumente, ganze Datenbestände und Bilder über das Netz gehen werden. Um die Vertraulichkeit dieser Informationen und die Unverletzlichkeit der angeschlossenen internen Netze sicherzustellen, sind von allen Betroffenen geeignete Sicherheitsmaßnahmen zu ergreifen. Im einzelnen handelt es sich dabei um folgende, im Zusammenhang mit der Nutzung des Internets erwähnte Maßnahmen:

• Verschlüsselungsverfahren zum Schutze der Vertraulichkeit der übertragenen Informationen

• Sicherung der Integrität und Authentität der übertragenen Daten durch deren Signierung (elektronische Unterschrift)

• Sicherung der internen Netze gegen Eingriffe unbefugter Dritter durch Abschottung mit geeigneten Firewall-Systemen

• Führung von revisionsfähigen Nachweisen zur Beweissicherung der Datenkommunikation. Maßnahmen der Verschlüsselung und der Signierung von übertragenen Informationen hängen selbstverständlich von der Sensibilität der übertragenen Informationen ab.

Die Datenschutzbeauftragten des Bundes und der Länder haben sich am 9.5.1996 unter meiner Mitwirkung angesichts der Zunahme der elektronischen Datenkommunikation in einer Entschließung zu "Forderungen einer sicheren Übertragung elektronisch gespeicherter personenbezogener Daten" geäußert und gefordert, daß "sichere kryptografische Verfahren beim Transport elektronisch gespeicherter personenbezogener Daten unter Berücksichtigung ihrer Schutzwürdigkeit anzuwenden" sind (siehe Anlage 7).

In einem Netz, wie es das Bayer. Behördennetz darstellen wird, das von einer Vielzahl unterschiedlicher Benutzer genutzt werden wird, gilt schließlich die Faustregel: Alles was in herkömmlicher Art in einem umschlossenen Umschlag versandt wird, muß bei der Übertragung im Netz verschlüsselt werden. Eine unverschlüsselte Informationsübertragung entspräche der herkömmlichen Versandart auf einer Postkarte.

18.3.3 Sicherheitsanforderungen an Telearbeitsplätze

Die Telearbeit wird eine immer größere Bedeutung erlangen. Bereits heute gibt es in der öffentlichen Verwaltung dafür Ansätze. So erkundigte sich im Berichtszeitraum eine Behörde aus dem Sozialbereich unbeschadet der rechtlichen Rahmenbedingungen darüber, welche Anforderungen an technische und organisatorische Sicherungsmaßnahmen für Telearbeitsplätze im häuslichen Bereich zu stellen sind.

Im einzelnen war dazu folgendes zu bemerken:

• Die Telearbeiter bleiben Bedienstete des Amtes; es findet keine Auftragsdatenverarbeitung statt.

• Der Dienstherr bleibt weisungsbefugt, er bestimmt die Art und Weise, wie die Aufgaben zu erledigen sind.

• In einer Dienstanweisung sind die Telearbeiter auf die Einhaltung aller vorgebenen Sicherheitsmaßnahmen schriftlich zu verpflichten.

• Sicherheitsvorgaben, die in einer solchen Dienstanweisung vorgegeben werden sollten, sind:

• Der Aktentransport erfolgt in verschlossenen Behältnissen, die der Dienstherr zur Verfügung stellt. Soweit beim Transport öffentliche Verkehrmittel benützt werden, ist darauf zu achten, daß die Behältnisse dort nicht unbeaufsichtigt abgestellt oder ganz vergessen werden.

• Für die Aufbewahrung der dienstlichen Unterlagen im häuslichen Bereich muß ein verschließbarer Schrank oder Teil eines Schrankes vorhanden sein; unter Umständen lassen sich auch die verschließbaren Transportbehältnisse zur Aufbewahrung heranziehen. Die Unterlagen dürfen in der Wohnung nicht offen herumliegen, Familienangehörige dürfen keinen Zugang zu den Unterlagen erhalten.

• Werden für die Bearbeitung elektronische Rechner eingesetzt, sind diese einschließlich der benötigten Datenträger vom Dienstherrn zur Verfügung zu stellen. Rechner und Datenträger sind gegen den Zugriff Unberechtigter zu schützen.

• Auf dem Rechner dürfen keine anderen, als dienstlichen Aufgaben zum Ablauf kommen.

• Der Rechner ist mit einer Sicherheitskomponente gegen die Inbetriebnahme Unbefugter abzusichern. Gegebenenfalls sollte täglich ein Virenerkennungsprogramm ablaufen.

• Das DV-System zeichnet Inbetriebnahme, Benutzungen und Sicherheitsverstöße in einem Protokoll auf. Die Protokolle sind dem Dienstherrn monatlich zur Verfügung zu stellen. Da diese Protokolle zur Verhaltenskontrolle geeignet sind, ist eine Mitbestimmung durch den Personalrat nach Art. 75 a Abs.1 Nr.1 BayPVG zwingend. Unabhängig davon empfiehlt es sich, für die Verarbeitung dieser Protokolle eine strikte Zweckbindung zu vereinbaren.

• Wenn Datenbestände länger als einen Tag gespeichert werden, ist täglich eine Datensicherung auf Diskette oder ähnlichen Datenträger zu ziehen. Diese Sicherungsdatenträger sind unter Verschluß zu halten.

• Der elektronisch gespeicherte Datenbestand ist so gering wie möglich zu halten.

• Ein Online-Anschluß des Rechners an das Rechnersystem des Dienstherrn setzt Sicherheitsmaßnahmen auf dem Übertragungswege und Abschottungsmaßnahmen sowohl beim zentralen, wie beim dezentralen System voraus. Da die Kosten für diese Sicherheitsmaßnahmen doch beträchtlich sein dürften, wird man zweckmäßigerweise vor deren Einführung eine Kosten-Nutzen-Analyse durchführen.

• Da es sich um keine Auftragsdatenverarbeitung handelt, sind die Vorgaben des SGB an diese Art der Verarbeitung gegenstandslos.

• Auf die Bearbeitung von sensitiven Daten, insbesondere von Personaldaten im häuslichen Bereich sollte verzichtet werden. Einige Geschäftsbereiche haben dies durch entsprechende Weisungen bereits ausgeschlossen (vgl. 16. TB Nr. 12.3).
  

18.3.4 96-Stunden-Stromzähler (LZ96)

Der Konflikt zwischen Kundenservice und berechtigtem Anspruch eines Leistungserbringers einerseits und der Wahrung der Privatsphäre sowie der Vermeidung der Bildung von Persönlichkeitsprofilen andererseits wird am Beispiel des von einem Energieversorger verwendeten Stromzählers deutlich.

Gem. §§ 4 und 5 der Bundestarifordnung Elektrizität 1990 (BTO Elt 1990) vom 18. Dezember 1989, setzt sich der von einem Kunden eines Energieversorgungsunternehmens zu entrichtende Pflichttarif aus den Bestandteilen Arbeitspreis, Leistungspreis und Verrechnungspreis zusammen.

Der Arbeitspreis wird für jede abgenommene Kilowattstunde berechnet, der Leistungspreis ist ein Entgelt für die Bereitstellung von elektrischer Leistung. Der Verrechnungspreis ist das Entgelt für die Kosten der Verrechnung, des Inkassos sowie der technisch notwendigen Meß- und Steuereinrichtungen.

Der Leistungspreis kann entweder durch Messung der in Anspruch genommenen Leistung (§ 5 BTO Elt 1990) oder nach (Jahres)Durchschnittswerten bzw. nach Mengenzonen (§ 6 BTO Elt 1990) berechnet werden.

Auf der Grundlage des § 5 BTO Elt 1990 "Berechnung des Leistungspreises durch Messung" i.V.m. dem jeweiligen Allgemeinen Tarif haben einige bayerische Energieversorgungsunternehmen bei ihren Kunden mit einem Jahresstromverbrauch von mehr als 10.000 kWh die sog. 96-Stunden-Messung mittels eines dafür vorgesehenen Meßgerätes (LZ96) eingeführt, das anstelle des üblichen Stromzählers beim Kunden eingebaut wird.

Dazu hat jeder betroffene Kunde vom Energieversorgungsunternehmen vorab ein Schreiben erhalten, in dem ihm der Umfang und der Grund der mit dem LZ96 durchgeführten Datenspeicherungen erläutert werden. Dabei geht das EVU davon aus, daß ein Kunde, solange er nicht explizit widerspricht, mit der umfassenden Aufzeichnung und Speicherung der vom LZ 96 erhebbaren Verbrauchsdaten einverstanden ist.

Der LZ96 ermittelt stündlich die in diesem Zeitraum verbrauchten Kilowattstunden, bestimmt aus den Meßwerten der zurückliegenden 96 Stunden den Höchstwert und speichert diesen mit einer Tagesnummer ab. Außerdem wird für jedes 30-Tage-Intervall ein solches Wertepaar als "Monatsmaximum" im Meßgerät abgespeichert. Auf der Basis des höchsten dieser Maximalwerte bestimmt sich dann der vom Kunden zu entrichtende Tarif.

Mit

• diesen zwölf Monatsmaxima,

• den Einzelwerten der unmittelbar zurückliegenden 96 Stunden und

• dem aktuellen Höchstwert aus diesen sowie mit

• den erforderlichen zähleridentifizierenden Angaben

werden somit ca. 140 Werte im LZ96 festgehalten.

Die Ablesung dieser gespeicherten Werte ist durch den Kunden jederzeit selbst möglich. So soll ihm die Gelegenheit gegeben werden, sein Verbrauchsverhalten selbst kontrollieren und ggf. beeinflussen zu können. Auf ausdrücklichen Wunsch des Kunden wird die Ausleseeinrichtung am LZ96 verplombt, wodurch aber er nicht mehr in der Lage ist, die gespeicherten Werte jederzeit selbst abzurufen.

Das Energieversorgungsunternehmen liest die gespeicherten Werte zur Zeit über eine mobile Datenerfassungseinheit (MDE) vor Ort beim Kunden aus. Ein Fernabruf der gespeicherten Daten über das Stromversorgungsnetz ist u.a. aufgrund der Bauart des LZ96 nicht möglich. Es ist jedoch beabsichtigt in nicht allzu ferner Zukunft den Fernabruf der gespeicherten Daten mittels separater MODEM-Leitungen über das Telefonnetz abzuwickeln.

Beim Ablesevorgang werden alle im LZ96 gespeicherten Daten abgezogen. Von der mobilen Datenerfassungseinheit werden die Daten in einen PC und von dort in die zentrale EDV-Anlage übertragen. In der MDE werden die Daten mit dem nächsten Ablesevorgang überschrieben, auf dem PC bleiben die Daten einen Tag gespeichert. Auf der zentralen EDV-Anlage werden die Daten etwa drei bis sechs Monate online vorgehalten und danach auf CD-ROM ausgelagert. Bei etwaigen Zweifeln des Kunden an der Richtigkeit der Rechnungsstellung kann auf diesen Datenbestand (für die vergangene Abrechnungsperiode) zurückgegriffen werden.

Vor diesem Hintergrund habe ich nachfolgende Hinweise für ein datenschutzgerechtes Vorgehen gegeben:

1. Die Praxis der Widerspruchslösung soll auf eine Erklärungslösung umgestellt werden.

Bisher geht - wie ausgeführt - das Energieversorgungsunternehmen davon aus, daß ein Kunde, solange er nicht explizit widerspricht, mit der umfassenden Aufzeichnung und Speicherung der vom LZ 96 erhebbaren Verbrauchsdaten einverstanden ist.

Statt dessen sollte dem Kunden bei Aufnahme der Geschäftsbeziehungen bzw. vor Einbau des LZ 96 ein Formblatt vorgelegt werden, in dem er über die beiden möglichen und bzgl. des erhobenen Datenumfangs unterschiedlichen Speicherungsformen samt jeweiligen Folgen ausführlich unterrichtet wird. Mit diesem Formblatt kann der Kunde sodann den von ihm gewünschten Aufzeichnungs- und Speicherumfang (d. h. Basisdaten oder erweiterter Datenumfang) wählen.

In diesem Zusammenhang ist es jedoch erforderlich, daß auch Bauformen des LZ 96 auf dem Markt zur Verfügung stehen, die einen reduzierten Datenumfang erheben und speichern können. Die Energieversorgungsunternehmen sollten deshalb entsprechend auf die Gerätehersteller einwirken.

2. Eine Fernablesung von Verbrauchsdaten darf nur mit Wissen und schriftlich erklärtem Willen des Kunden erfolgen.

Für Sonderkunden (Großkunden) des Energieversorgungsunternehmens ist die Einführung von Fernwirken und Fernablesen derzeit in Projektierung. Langfristig gesehen ist es nur eine Frage der Zeit, daß derartige Techniken auch für Privathaushalte zur Verfügung stehen und dann auch genutzt werden.

Gemäß Art. 35 Abs. 1 Satz 1 Bayer. Mediengesetz ist in diesen Fällen eine schriftliche Einwilligung nach Information über Verwendungszweck und Wirkungsweise des Dienstes erforderlich.

Weiter sind in diesem Fall geeignete technische und organisatorische Maßnahmen und Geräte vorzusehen, die den Kunden in die Lage versetzen, sowohl die Tatsache als auch den Vorgang des Fernwirkens und der Fernablesung unter seiner unmittelbaren Kontrolle zu behalten.

3. Die Abrechnung anderer Energieformen und Leistungen muß den gleichen Grundsätzen genügen.

Derzeit stellt sich die unter 1. beschriebene Situation nur in Verbindung mit der Bereitstellung und Abrechnung von elektrischer Energie (abgesehen von o.a. Projekt für Sonderkunden).

Die vorstehenden Anregungen und Forderungen sind für evtl. zukünftige Anwendungen aus dem Bereich anderer Energieformen (z. B. Gas, Fernwärme) und Leistungsbereitstellungen (z. B. Wasser) jedoch analog anzuwenden und zu berücksichtigen.

18.3.5 Kostenrechnung von Protokollauswertungen

Auf einer DSB-Konferenz wurde das Problem der In-Rechnung-Stellung von Protokollauswertungen behandelt. Dabei wurde von spürbaren Erschwerungen der Datenschutzkontrolle bei Wegfall der Ablaufprotokolle als Folge von Einsparungsmaßnahmen in der Informationsverarbeitung, insbesondere beim Outsourcing, berichtet.

Die Ablaufprotokolle (Loggings) in der automatisierten Datenverarbeitung sind für die DV-Revision und die Datenschutzkontrolle ein unverzichtbares Instrument. Für die Gewährleistung eines ordnungsgemäßen DV-Betriebs sind diese Informationen wichtige Beweismittel für die Betriebssicherheit und die Ordnungsmäßigkeit der gesamten Datenverarbeitung, insbesonders dort, wo die Datenverarbeitung einen hohen Grad an Komplexität erreicht hat.

Für die DV-Sicherheit haben Protokolle deshalb einen hohen Stellenwert. Das spiegelt sich auch in den IT-Sicherheitskriterien (ITSEC) wider, die Maßnahmen zur Beweissicherung schon bei mittleren Sicherheitsanforderungen vorsehen. Bei einer komplexen DV-Struktur sorgen Protokolle letztlich für die notwendige Transparenz.

Schließlich haben Protokolle für eine effektive Datenschutzkontrolle eine zentrale Bedeutung: Fehlen Protokolle, existieren keine maschinellen Hilfsmittel für eine effektive Anlaßkontrolle. Für Routinekontrollen genügt es häufig, daß die Protokolloberfläche lediglich für einen gewissen Zeitraum aktiv geschaltet wird (sofern die notwendige Software dafür vorhanden ist), um die notwendigen Unterlagen für eine Überprüfung verfügbar zu haben.

Für den Betreiber wie für den Auftraggeber (im Falle des Outsourcings) gibt es bei Fehlen von aussagefähigen Ablaufprotokollen keinerlei Möglichkeiten, folgende Aktivitäten durchzuführen:

• Überprüfung des ordnungsgemäßen Ablaufs der DV-Programme

• Aufdecken von Sicherheitsverstößen

• Prüfung der Wirksamkeit des Sicherheitssystems

• Aufdecken von Lücken im Sicherheitssystem

• Schaffung einer Transparenz in der automatisierten Datenverarbeitung

Ablaufdaten, die von der Protokollebene der DV-Systeme erzeugt werden, und geeignete Auswertewerkzeuge sind also für die Transparenz und Kontrolle der automatisierten Datenverarbeitung sowie für die DV-Sicherheit unverzichtbar. In der Auftragsdatenverarbeitung (Outsourcing) wäre es geradezu absurd, auf Ablaufprotokolle zu verzichten, weil diese doch einen Anhaltspunkt dafür liefern, daß die Aufgaben ordnungs- und vertragsgemäß abgewickelt wurden. Sie sind somit als Nachweis der ordnungsgemäßen Abwicklung der DV-Programme notwendig, die dadurch entstehenden Kosten hat die datenverarbeitende Institution zu tragen.

Die Kosten für die Erzeugung und Auswertung von Ablaufdaten sind im übrigen wohl in erster Linie solche für die SoftwareBeschaffung und geringe zusätzliche Personalkosten, die bei der regelmäßigen Auswertung und Kontrolle dieser Informationen entstehen; Performance-Verluste bezüglich Rechnerleistung dürften in aller Regel vernachlässigbar sein.

18.3.6 Datensicherheit beim Versand schutzwürdiger Informationen mit dem Telefax

Der Telefax-Dienst der Deutschen Telekom AG hat sich zu einer beliebten und vor allem recht wirtschaftlichen Möglichkeit des Dokumententransports entwickelt. Er ist damit eine echte Alternative zur herkömmlichen Briefpost geworden.

Im Gegensatz zur Briefpost handelt es sich beim Telefax aber um eine Art offener Zustellung. In meinem 15. Tätigkeitsbericht (1993, Tz. 19.3.3, Seite 99) bin ich ausführlich auf die damit verbundenen Risiken und auf mögliche Sicherheitsmaßnahmen eingegangen.

Aus gegebenem Anlaß möchte ich erneut darauf hinweisen, daß trotz aller möglicher ergriffener technischer und organisatorischer Maßnahmen es immer wieder zu Fehlübertragungen kommen kann. Als häufigste Ursache dafür ist meist menschliches Versagen verantwortlich, etwa nicht erkannte Tippfehler bei der Eingabe der Zielnummer.

Insbesondere bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt (sensible personenbezogenen Daten) kann eine Fehlzustellung gravierende Folgen für den Absender, Empfänger und Betroffene haben.

Alle verantwortlichen Stellen möchte ich daher an ihre Pflicht erinnern, in ihrem unmittelbaren Bereich darauf hinzuwirken,

• daß vor Versand von schutzwürdigen Daten mit dem TelefaxDienst geprüft wird, ob diese Versandart wirklich erforderlich und nicht eine andere Versandart angemessener ist und

• daß bei Benutzung des Telefax-Dienstes die den zu übertragenden Informationen angemessene Sorgfalt bei der Eingabe der jeweiligen Zielnummer aufgebracht wird.
  

Soweit technische Hilfsmittel dafür vorhanden sind, ist von ihnen Gebrauch zu machen. Dazu einige Beispiele:

• Um Fehler bei der Zielnummerneingabe zu vermeiden, können die Zielnummern eingespeichert werden.

• Ist der Fax-Anschluß an eine Nebenstellenanlage angeschlossen, kann eine Nebenstellennummer verwendet werden, die möglichst wenig Spielraum für Fehleingaben durch den Absender zuläßt (Vermeidung ähnlicher Fax-Nummern bei anderen Stellen, soweit das bekannt ist).

• Zum Schutze gegen unbefugte Kenntnisnahme auf dem Übertragungsweg oder im Falle einer Fehlleitung kann das Fax durch den Einsatz von Zusatzkomponenten verschlüsselt werden. Eine Entschlüsselung ist dann nur dem rechtmäßigen Empfänger möglich. Hierzu sind jedoch entsprechende, nicht ganz billige Zusatzeinrichtungen bei Absender und Empfänger erforderlich. Da es sich hier um Einmalinvestitionen handelt, sollte das jedoch nicht zu stark ins Gewicht fallen.

Vorsicht ist überall dort geboten, wo ein Fax-Gerät mit einer eigenen Amtsnummer an einer ISDN-Nebenstellenanlage hängt. Hier muß, um ins Netz zu gelangen, eine "0" gewählt werden. Wird das unterlassen, kommt es in manchen Fällen zu Fehlleitungen, nämlich dann, wenn die verkürzte Nummer einen Fax-Anschluß darstellt.

18.3.7 Feldversuch: Automatische Gebührenerhebung auf Autobahnen

Im 16. Tätigkeitsbericht (Nr. 21.1.2, Seite 94) wurde über das Vorhaben des Bundesverkehrministeriums zur automatischen Gebührenerhebung auf Autobahnen ausführlich berichtet. Im Berichtszeitraum wurde auf der A 555 zwischen Köln und Bonn ein Feldversuch abgeschlossen, an dem sich 10 Privatfirmen mit unterschiedlichen Technologien beteiligten. Der mit der Durchführung beauftragte TÜV Rheinland stellte die Ergebnisse des Feldversuches in einem Abschlußbericht vor.

Zusammengefaßt stellen sich diese wie folgt dar:

• Die Gebührenerhebung ist mit der derzeit verfügbaren Technologie bereits mit hoher Erfolgsquote durchführbar. Bei geeigneter Weiterentwicklung wäre eine flächendeckende Einführung mit einsatzreifen Erhebungseinrichtungen aus technischer Sicht in wenigen Jahren möglich.

• Die Kontrolle (Verifikation) der Gebührenerhebung ist hinsichtlich der Anforderungen auf ausreichende Zuverlässigkeit, auch zu Beweissicherungszwecken, derzeit nicht zu gewährleisten.

• Die datenschutzrechtlichen Forderungen wie eindeutige Anonymisierung, Trennung von Zahlungs- und Nutzungsdaten sowie die Transparenz der Erhebungs- und Kontrollvorgänge konnten von den eingesetzten Systemen nicht vollständig erfüllt werden.

Wie bekannt, soll die bundesweite Einführung der automatisierten Gebührenerfassung auf Autobahnen vorerst nicht weiterverfolgt werden. Den Medien sind aber auch Informationen über anderweitige Bestrebungen zu entnehmen. Auch die Modellwirkung ähnlicher Vorhaben in Österreich verdient Beachtung. Aufmerksamkeit ist deshalb weiterhin geboten.

18.3.8 Nutzung eines Privatraums als Dienstzimmer (Amtsverschwiegenheit)

Ein Petent hatte sich mit der Bitte an mich gewandt, zu überprüfen und sicherzustellen, daß der Schutz personenbezogener Daten in seiner Gemeinde gewährleistet ist.

Er führte u. a. aus, daß das Arbeitszimmer des ersten Bürgermeisters grundsätzlich unversperrt sei und sich auch in Abwesenheit des Bürgermeisters Unberechtigte darin aufhielten, obwohl in diesem Zimmer sensible personenbezogene Daten aufbewahrt würden.

Mitarbeiter meiner Geschäftsstelle informierten sich daraufhin unangemeldet beim Bürgermeister dieser Gemeinde über die in dessen (privaten) Arbeitszimmer aufbewahrten personenbezogenen Unterlagen der Gemeinde.

Diese Überprüfung ergab, daß die entsprechende Gemeinde - als Teil einer Verwaltungsgemeinschaft - über keine eigenen Diensträume verfügt. Aus diesem Grunde benutzt der Bürgermeister sein privates Arbeitszimmer auch für die zwischenzeitliche Lagerung von dienstlichen Unterlagen der Gemeinde. Beim Besuch wurden zwar lediglich nichtpersonenbezogene Unterlagen (Statistiken) vorgefunden, es ist aber nicht auszuschließen, daß gelegentlich auch Unterlagen mit personenbezogenen Daten, etwa Bauanträge, dort aufbewahrt werden.

Desweiteren befand sich im Arbeitszimmer des Bürgermeisters ein Telefonapparat mit integrierten Faxgerät, das ausschließlich für dienstliche Zwecke benutzt wird. In der Abwesenheit des Bürgermeisters nahmen die Familienangehörigen die dort auflaufenden Gespräche entgegen.

Zur Absicherung des Arbeitszimmers gegen unbefugtes Betreten (auch durch Angehörige) und unbefugter Entnahme von dienstlichen Unterlagen wurde der Bürgermeister aufgefordert, diesen Raum stets verschlossen zu halten. Zur zukünftigen Vermeidung der Entgegennahme dienstlicher Gespräche durch Familienangehörige wurde ihm die Anschaffung eines Anrufbeantworters oder eines Mobiltelefons (Handy) angeraten.

Im übrigen sind Anrufbeantworter dort besonders zu schützen, wo Informationen von besonderem Geheimhaltungsgrad (z.B. Arztgeheimnis) auflaufen. Diese Geräte dürfen erst nach Eingabe einer vierstelligen PIN-Nummer abgefragt werden können.

18.4 Orientierungshilfen

18.4.1 Gedanken zum Grundschutz

Bei jeder Verwendung eines EDV-Systems, mit dem personenbezogene Daten be- und verarbeitet werden, sind eine ganze Reihe von Maßnahmen zu ergreifen, um den gesetzlichen Forderungen nach Datenschutz gerecht zu werden.

Der Rahmen für diese zu ergreifenden Maßnahmen ist im Bayerischen Datenschutzgesetz in Art. 7 "Technische und organisatorische Maßnahmen" in Form der sog. "10 Gebote des Datenschutzes" umfassend abgesteckt.

In der Praxis herrscht häufig Unsicherheit darüber, welche Mindestmaßnahmen zu ergreifen sind. Aus diesem Grunde hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) u.a. in Zusammenarbeit mit einigen Aufsichtsbehörden ein sog. IT-Grundschutzhandbuch entwickelt und in überarbeiteter Fassung im Jahre 1996 herausgegeben.

Ziel des Grundschutzes ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standardsicherheitsmaßnahmen ein grundlegendes Sicherheitsniveau für EDV-Systeme zu erreichen, das für einen mittleren Schutzbedarf angemessen und ausreichend ist. Für EDV-Systeme mit höherem Schutzbedarf kann der Grundschutz als Ausgangsbasis dienen.

Dazu werden im IT-Grundschutzhandbuch Maßnahmenbündel für typische EDV-Konfigurationen, Umfeld- und Organisationsbedingungen bereitgestellt und empfohlen.

Auf Basis dieses IT-Grundschutzhandbuches wurde in meiner Dienststelle eine Orientierungshilfe für "Erforderliche Maßnahmen der technischen und organisatorischen Sicherheit" erstellt. Diese Orientierungshilfe kann bei meiner Geschäftsstelle angefordert werden.

Für einzelne Maßnahmen oder Maßnahmenbündel liegen darüber hinaus spezielle und detaillierte Orientierungshilfen vor, die bei Bedarf angefordert werden können.

Im Einzelfall kann es sich durchaus herausstellen, daß die empfohlenen Maßnahmen zu weitgehend oder auch nicht weit genug gehend sind. Eine pauschale Beurteilung und Wertung, welche Maßnahme im einzelnen erforderlich ist oder nicht, kann meiner Meinung nach nicht getroffen, sondern nur am Einzelfall entschieden werden.

Gleichwohl können und sollen die Orientierungshilfen dazu dienen, zunächst Anregungen für die Erstellung eines eigenes Sicherheitskonzeptes zu geben. Die Verfeinerung des Sicherheitskonzeptes ergibt sich meist aus der Diskussion mit allen Beteiligten.

18.4.2 Zusammenstellung der neuen Orientierungshilfen

Im Berichtszeitraum wurden in meiner Dienststelle folgende Orientierungshilfen neu erstellt bzw. überarbeitet:

• Orientierungshilfe für erforderliche Maßnahmen der technischen und organisatorischen Sicherheit

• Datenschutzrechtliche Protokollierung beim Betrieb informationstechnischer Systeme (IT-Systeme) - (Grundlage war ein Papier des Arbeitskreises Technik der Datenschutzbeauftragten des Bundes und der Länder)

• Datensicherheit bei der Installation und beim Betrieb von Datenverarbeitungsanlagen - HP 3000 - der Hewlett Packard GmbH

• Regeln für den sicheren PC-Einsatz (im Stand-Alone-Betrieb)

• Orientierungshilfe für Paßwortvergabe, -wahl und -verwaltung

• Orientierungshilfe für Maßnahmen zur baulichen und organisatorischen Sicherheit von DV-Komponenten.

Im Rahmen meiner Beteiligung am Projekt Bayern Online, Anschluß von Behördennetzen an das Internet, habe ich "Grundsätze für Benutzerrichtlinien für die Nutzung des Internet" sowie die dazu notwendigen Benutzer-Musterrichtlinien erarbeitet.

Alle Unterlagen können bei meiner Geschäftstelle kostenlos angefordert werden.