≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.01.2015

2. Informations- und Kommunikationstechnik und Organisation

2.1. Grundsatzthemen

2.1.1. Empfehlungen aus der Vergangenheit für Gefährdungen in der Gegenwart

Gerade in diesem Berichtszeitraum sind durch die Veröffentlichungen in den Medien über die Tätigkeiten und Möglichkeiten vor allem US-amerikanischer Nachrichtendienste die Gefahren bei der IuK-gestützten Übertragung und Verarbeitung von personenbezogenen Daten in den Fokus der öffentlichen Diskussion gerückt.

Unabhängig davon musste eine Übertragung von Daten über das Internet schon seit den Anfängen des Internets als unsicher gelten. Während zu den Anfangszeiten des Internets Daten inklusive Kennungen und Passwörtern in der Regel unverschlüsselt - beispielsweise mittels telnet - übertragen wurden, ersetzten mit dem zunehmenden Wachstum des Netzes in den 1990er Jahren vermehrt verschlüsselte Alternativen (ssh) diese Protokolle. Damals war es nicht unüblich, dass sich Dritte unberechtigt Zugriff auf Teile der Netzwerkinfrastruktur verschafften und dort versuchten, Kennungen und Passwörter abzugreifen. Lange vor der Entwicklung und Inbetriebnahme des World Wide Web (WWW) enthielt mein 5. Tätigkeitsbericht 1982 deshalb bereits folgenden Hinweis:

5. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz 1982

Kapitel 5.1.1 Datensicherung und moderne Technologie

Eine Reihe von Problemen zeichnet sich schon jetzt bei der Gewährleistung des Zugriffsschutzes der in Konzentratoren und Zentralen gespeicherten Daten und der allgemeinen Datensicherheit auf dem Übertragungsweg ab. Im Zusammenhang damit tauchen die Fragen der Verschlüsselung und Authentifikation auf, die zwar allgemein bekannt sind, im öffentlichen Bereich jedoch bisher - wohl auch wegen der damit verbundenen Kosten - nur vereinzelt gelöst wurden.

Im Jahr 1988 wurde die Bedeutung der Sicherheit bei der Datenübertragung immer deutlicher:

10. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz 1988

Kapitel 21.1.1 Fortentwicklung der Datensicherung

In der Datenkommunikation ist es weiter von großer Bedeutung, dass auf Leitungen übertragene Informationen nicht unbemerkt verfälscht oder von Lauschern interpretiert werden können.

Auch mein 12. Tätigkeitsbericht aus dem Jahre 1990 hat selbst 25 Jahre später immer noch eine erschreckende Aktualität:

12. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz 1990

Kapitel 22.3.4 Datensicherheit bei der Datenübertragung

Was bleibt, ist aber vor allem das Risiko, dass die Datenübertragungsstrecken abgehört werden. Große Verunsicherung herrschte, als (...) in der Öffentlichkeit bekannt wurde, dass fremde Geheimdienste regelmäßig und in manchen Gebieten vollständig den Fernsprechverkehr abgehört haben. ... Der Anwender kann sich nur insofern gegen das Abhören schützen, als er die auf die Leitung geschickten Daten verschlüsselt.

Dies zeigt, dass seit dem Beginn der elektronischen Datenübertragung deren Sicherung stets eine wichtige Aufgabe war oder zumindest hätte gewesen sein müssen. Meine Warnungen und Forderungen nach zu ergreifenden zusätzlichen Sicherungsmaßnahmen wie etwa einer Ende-zu-Ende-Verschlüsselung zur Wahrung der Vertraulichkeit werden nunmehr schon seit mehr als 30 Jahren oft dem Kosten- und Aufwand-Argument gegenübergestellt.

Allerdings darf bei Sicherheitsmaßnahmen nicht nur an die verschlüsselte Übertragung gedacht werden. Auch sollten ausländische Nachrichtendienste nicht als einzige Bedrohung angesehen werden. Ich warne davor, die anderen Gefahren (unberechtigtes Eindringen in Computernetzwerke etwa durch nicht-staatliche Hacker, Trojaner und andere Schadsoftware, Sicherheitslücken in Netzwerkdiensten usw.) zu vernachlässigen. Ein durchgehender IT-Grundschutz gegen die bekannten und weitverbreiteten Gefahren der Datenverarbeitung und -übertragung ist eine Grundvoraussetzung auch für die technische Abwehr von hochprofessionellen Angreifern.

Deshalb sind gerade bei neuen Projekten die Informationssicherheit und der Datenschutz bereits bei der Planung zu berücksichtigen ("Security and Privacy by Design"). Hohe Kosten für die Abwehr von IT-Gefahren entstehen vor allem dann, wenn Sicherheitsmaßnahmen erst nachträglich eingeführt werden müssen. Neben den Anfangskosten sind aber auch für den fortlaufenden Betrieb Mittel und Personalressourcen einzuplanen, sodass das anfänglich erreichte Sicherheits- und Datenschutzniveau immer wieder geprüft und dauerhaft sichergestellt werden kann.

Auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in der Anlage zur Entschließung "Gewährleistung der Menschenrechte bei der elektronischen Kommunikation" vom 27./28.03.2014 Maßnahmen aufgeführt, von denen ich folgende gerade auch für öffentliche Stellen herausheben möchte:

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Gewährleistung der Menschenrechte bei der elektronischen Kommunikation(Auszug aus der Anlage zur Entschließung)

  1. Sichere Verschlüsselung beim Transport und bei der Speicherung von Daten als wesentliches Element für den Schutz von Daten Der verschlüsselte Transport und die verschlüsselte Speicherung von Daten müssen zu einem in Produkte und Verfahren integrierten Standard werden, der durch jedermann einfach zu nutzen ist. Sichere kryptographischen Algorithmen, die seit vielen Jahren zur Verfügung stehen, stellen auch für Geheimdienste eine erhebliche Hürde dar und erschweren die unberechtigte Kenntnisnahme der so geschützten Daten wesentlich. Für die Sicherung der Übertragungswege sollen Verfahren zum Einsatz kommen, die eine nachträgliche Entschlüsselung des abgeschöpften Datenverkehrs erschweren (perfect forward secrecy).
  2. Bereitstellung einer von jeder Person einfach bedienbaren VerschlüsselungsinfrastrukturFür eine breite Anwendung von Verschlüsselung durch die Bürgerinnen und Bürger wird eine Infrastruktur benötigt, die es jeder Person weitgehend ohne Barrieren (in Form von Wissen, nötiger spezieller Software oder finanziellen Mitteln) ermöglicht, den von ihr verwendeten Kommunikationsadressen Schlüssel authentisch zuzuordnen und die anderer zu nutzen. Die Entstehung dieser Infrastruktur bedarf der Förderung durch den Staat unter Einbeziehung bestehender Instrumente bspw. durch Entwicklung kryptografischer Zusatzfunktionen des neuen Personalausweises. Es mangelt also nicht vorrangig an theoretischen Konzepten, sondern an einer ausreichenden Durchdringung in der Praxis. Der öffentliche wie der private Sektor müssen daher ihre Anstrengungen erhöhen, Verschlüsselungstechniken selbst einzusetzen und in ihre Produkte und Dienstleistungen einzubinden.
  3. Einsatz von Ende-zu-Ende-Verschlüsselung in Kombination mit VerbindungsverschlüsselungDer Einsatz von Mechanismen für eine Ende-zu-Ende-Verschlüsselung muss gefördert werden. Die Enthüllungen von Edward Snowden haben gezeigt, dass der Zugriff auf Daten besonders einfach ist, wenn sie an Netzknoten unverschlüsselt vorliegen oder innerhalb interner Netze unverschlüsselt übertragen werden. Nur eine Ende-zu-Ende-Verschlüsselung ist in der Lage, die Inhaltsdaten auch an diesen Stellen zu schützen. Die zusätzliche Verschlüsselung der Verbindungen zwischen den an der Übertragung beteiligten Netzknoten (Verbindungsverschlüsselung) hingegen schützt die Metadaten der Kommunikation in allen Zwischenknoten der verschlüsselten Wegstrecke. Durch die Kombination beider Verfahren kann ein Optimum an Schutz zwischen den Endpunkten erreicht werden. Für beide Ansätze stehen etablierte Verfahren zur Verfügung, sowohl in Bezug auf kryptografische Verfahren und Datenformate, als auch in Bezug auf das Identitäts- und Schlüsselmanagement, von dessen Stringenz die Sicherheit wesentlich abhängt.
  4. Sichere und vertrauenswürdige Bereitstellung von Internetangeboten Sämtliche Internetangebote öffentlicher Stellen sollten standardmäßig über TLS (Transport Layer Security)/SSL (Secure Socket Layer) unter Beachtung der Empfehlungen des Bundesamtes für Sicherheit in der Informa-tionstechnik angeboten werden. Die Behörden sollten sich hierbei mit Zertifikaten ausweisen, die von vertrauenswürdigen Ausstellern herausgegeben wurden, die sich in europäischer, und vorzugsweise in öffentlicher Hand befinden. Nichtöffentliche Stellen stehen gleichermaßen in der Verpflichtung, die Nutzung von ihnen angebotener Telemedien einschließlich der von einem Nutzer abgerufenen URIs (Uniform Resource Identifier) gegen Kenntnisnahme Dritter im Rahmen der Verhältnismäßigkeit durch Verschlüsselung zu schützen.
  5. Sichere Verschlüsselung der Mobilkommunikation und Einschränkung der Möglichkeiten der Geolokalisierung (...) Wie für TK-Anbieter, so gilt auch für Anbieter von Telemedien für die mobile Nutzung, insbesondere in Form mobiler Anwendungen (Apps), dass sie die Erhebung von personenbezogenen Daten auf das für die jeweils erbrachte Dienstleistung erforderliche Minimum beschränken müssen und die Übertragung dieser Daten durch Verschlüsselung schützen sollten. Apps sollten künftig so durch Nutzerinnen und Nutzer konfigurierbar sein, dass diese selbst bestimmen können, wem welche Daten zu welchem Zweck übermittelt werden.
  6. Beschränkung des Cloud Computings mit personenbezogenen Daten auf vertrauenswürdige Anbieter mit zertifizierter InformationssicherheitstechnikSollen personenbezogene Daten in einer Cloud-Anwendung verarbeitet werden, so dürfen nur Anbieter zum Zuge kommen, deren Vertrauenswürdigkeit sowohl in Bezug auf die Gewährleistung der Informationssicherheit, als auch in Bezug auf den Rechtsrahmen, innerhalb dessen sie operieren, gegeben ist. Dazu gehören unter anderem ein (zertifiziertes) Informationssicherheitsmanagement, die sichere Verschlüsselung der zu verarbeitenden Daten sowohl bei ihrer Übertragung in und aus der Cloud als auch bei ihrer Speicherung und eine durch den Auftraggeber kontrollierte Vergabe von Unteraufträgen. Das Datenschutzniveau dieser Dienste sollte durch unabhängige und fachkundige Auditoren geprüft und zertifiziert werden.
  7. Förderung der Vertrauenswürdigkeit informationstechnischer Systeme durch Zertifizierung Hard- und Software sollten so entwickelt und hergestellt werden, dass Anwenderinnen und Anwender und unabhängige Dritte sich jederzeit von der Wirksamkeit der getroffenen Sicherheitsvorkehrungen überzeugen können. Open-Source-Produkte ermöglichen derartige Prüfungen besonders gut. Daher ist der Einsatz von Open-Source-Produkten zu fördern. Darüber hinaus ist es erforderlich, die bereits bestehenden Zertifizierungsverfahren für informationstechnische Produkte und die Informationssicherheit von Verarbeitungsvorgängen breiter zur Anwendung zu bringen und um weitere Zertifizierungsverfahren zu ergänzen, um die Vertrauenswürdigkeit von informationstechnischen Produkten zu stärken. Voraussetzung dafür sind unabhängige und fachkundige Auditoren sowie transparente Kriterienkataloge und Zertifizierungsprozesse.
  8. Ausreichende Finanzierung für Maßnahmen der InformationssicherheitDie Ausgaben der öffentlichen Hand für Informationssicherheit müssen erhöht werden und in einem angemessenen Verhältnis zum gesamten IT-Budget stehen. Die Koalitionspartner auf Bundesebene haben die Bundesbehörden bereits verpflichtet, zehn Prozent des IT-Budgets für die Sicherheit zu verwenden. Dies muss in angemessener Weise auch für Landesbehörden und andere öffentliche Stellen gelten. Die Ressourcen werden sowohl für die Planung und Absicherung neuer Vorhaben insbesondere des EGovernments als auch für die Revision und sicherheitstechnische Ergänzung der Verfahren und der Infrastruktur im Bestand benötigt.

Ein Großteil dieser Punkte dürfte allgemein bekannt sein. Ich halte es heutzutage für mehr als geboten, dass sie - auch trotz der damit verbundenen Kosten - im Gegensatz zu meinen Feststellungen im Jahre 1982 nicht nur vereinzelt, sondern grundsätzlich umgesetzt werden. Ein vertrauenswürdiger Einsatz von Informations- und Kommunikationstechnik und ein vertrauenswürdiges E-Government sind ohne Berücksichtigung und Umsetzung der vorgenannten Sicherheitsmaßnahmen nicht möglich.

2.1.2. Apps

Anwendungen für mobile Geräte - sogenannte "Apps" - werden Großteils im nicht-öffentlichen Bereich entwickelt und angeboten. Aber auch immer mehr öffentliche Stellen in Bayern bieten Bürgern oder eigenen Mitarbeitern speziell für Mobilgeräte angepasste Webseiten ("Web-Apps") oder für mobile Geräte entwickelte Anwendungen ("Native-Apps") an.

Lediglich in Ausnahmefällen ("Offline-Apps"), in denen keine Verbindung mit den zur Verfügung stehenden Netzen aufgenommen wird, sind Apps wie normale Anwendungen auf Arbeitsplatzrechnern zu bewerten.

Im Regelfall sind aus Sicht des Datenschutzes Apps - auch Native-Apps mit Übertragung von Daten über öffentliche Netzwerke - weitgehend wie klassische Webseiten zu bewerten. Dabei stehen auf dem Gerät, auf dem die App genutzt wird, meist mehr personenbezogene Daten als auf einem üblichen PC (wie beispielsweise der aktuelle Standort oder Geräte- und Kartenkennungen) zur Verfügung, die unter Umständen an den Anbieter der App oder an Dritte gesendet werden. Darauf ist bei der datenschutzrechtlichen Prüfung und Freigabe von mobilen Verfahren besonders zu achten.

Der Anbieter der App ist in der Regel für die mit der App verbundene Verarbeitung von personenbezogenen Daten verantwortlich. Lediglich für Daten, die immer in der Verfügungsgewalt des Nutzers bleiben und auf die der Anbieter weder direkt noch indirekt Zugriff hat, kann die Verantwortung allein beim Nutzer liegen.

Betreibt ein Dritter die Infrastruktur, die die App nutzt, um personenbezogene Daten zu speichern oder zu verarbeiten, also etwa Web- oder Datenbankserver, so handelt es sich grundsätzlich um eine Speicherung oder Verarbeitung von Daten im Auftrag gemäß Art. 6 BayDSG. Auch hierbei bleibt der Anbieter für die Einhaltung der Vorschriften des Bayerischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Insbesondere bei Web-Apps, die über die (Weiterleitung von einer) Internet-Adresse (URL) einer öffentlichen Stelle nutzbar sind, ist davon auszugehen, dass die öffentliche Stelle - nicht ein eventuell vorhandener Dritter als Entwickler der App oder Betreiber der Netzdienste - die datenschutzrechtlich verantwortliche Stelle ist.

Auch Verfahren zur Reichweitemessung ("Nutzungsstatistiken"), die innerhalb einer App eingesetzt werden, hat der Anbieter der App zu verantworten. Zur diesbezüglichen rechtlichen Unzulässigkeit von Reichweitemessungen habe ich mich bereits in meinem 24. Tätigkeitsbericht 2010 unter Nr. 2.1.6 und im 25. Tätigkeitsbericht 2012 unter Nr. 2.3.2 geäußert.

Insbesondere muss jede App ein Impressum, das § 5 Telemediengesetz (TMG) genügt, verfügbar halten und der Diensteanbieter muss seinen Pflichten nach § 13 TMG, wie etwa der Unterrichtung des Nutzers mit einer Datenschutzerklärung, nachkommen:

§ 5 TMG Allgemeine Informationspflichten

(Auszug)

(1) Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:

  1. den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben über das Kapital der Gesellschaft gemacht werden, das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen,
  2. Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post,
  3. soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde,

§ 13 TMG Pflichten des Diensteanbieters

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 Seite 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Abs. 2 Nr. 4 hinzuweisen. Abs. 1 Satz 3 gilt entsprechend.

(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
  2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,
  3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
  4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
  5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
  6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

(7) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.

Der Düsseldorfer Kreis als informeller Zusammenschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich hat eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter erstellt, die auf meiner Homepage unter https://www.datenschutz-bayern.de/technik/orient/OH_Apps.pdf abgerufen werden kann. Speziell die dortigen Ausführungen zum TMG sind auch auf öffentliche Stellen in Bayern übertragbar. Öffentliche Stellen sollten deshalb bei der Entwicklung und dem Betrieb von Apps diese Orientierungshilfe beachten. Dabei müssen sie allerdings berücksichtigen, dass neben dem TMG grundsätzlich nicht die dort genannten Vorschriften, sondern das Bayerische Datenschutzgesetz und andere vorrangig zu beachtende, bereichsspezifische Datenschutzvorschriften maßgeblich sind.

Im Berichtszeitraum habe ich begonnen, bei ausgewählten Apps aus unterschiedlichen Bereichen der bayerischen Staatsverwaltung verschiedene Kriterien in einem ersten Schritt mit einem ausführlichen Fragebogen zu prüfen. Davon abhängig werden gegebenenfalls weitere Prüfschritte folgen. Als Ausgangspunkt für meine Prüfungen dienen dabei die Inhalte oben genannter Orientierungshilfe.

2.1.3. Neue Vorschriften zur Datenträgervernichtung

Bei der Entsorgung von Datenträgern mit personenbezogenen Daten ist zu beachten, dass die Anforderungen an technische und organisatorische Maßnahmen bei der Vernichtung von Datenträgern umso höher sein müssen, je höher die Sensibilität der Daten ist. Als Orientierungshilfe kann hierfür die neu entwickelte DIN 66399 herangezogen werden. Eine DIN-Norm ist keine gesetzliche Vorgabe, sondern ein unter dem Dach des Deutschen Instituts für Normung erarbeiteter freiwilliger Standard, in dem materielle und immaterielle Gegenstände vereinheitlicht sind.

Zur Festlegung der für die einzelnen Daten erforderlichen Maßnahmen und Anforderungen an die Entsorgungsgeräte, wurde bereits im Jahre 1985 die DIN 32757-1 entwickelt, die zwischen fünf verschiedenen Sicherheitsstufen (in Abhängigkeit von der Sensibilität der Daten) unterschied.

Im August 2009 wurde eine europäische Norm (EN 15713:2009 - "Secure destruction of confidential material") veröffentlicht, die in Deutschland unter der Bezeichnung DIN EN 15713 "Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln" Gültigkeit erlangt hat.

Da eine der europäischen Normung entgegenstehende nationale Normung nicht zulässig ist, konnte die bisherige DIN 32757 nicht unverändert aufrechterhalten bleiben. Mit der Überarbeitung der bisherigen DIN 32757 sollten daher die festgelegten Sicherheitsstufen und die in der EN 15713 empfohlenen Zerkleinerungsstufen aufeinander abgestimmt, neue gesetzliche Vorgaben zum Datenschutz berücksichtigt, mehr auf deutsche Gegebenheiten und Bedürfnisse eingegangen sowie der neueste Stand der Technik berücksichtigt werden.

Daher hat der zuständige Normenausschuss innerhalb von drei Jahren die DIN-Norm 66399 erstellt. Diese neue DIN-Norm besteht aus drei Teilen:

  • DIN 66399-1 "Büro- und Datentechnik - Vernichten von Datenträgern - Teil 1: Grundlagen und Begriffe" (definiert die Grundlagen und Begriffe, die bei der Datenträgervernichtung beachtet werden sollten)
  • DIN 66399-2 "Büro- und Datentechnik - Vernichten von Datenträgern - Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern" (beschreibt die Anforderungen an Maschinen zur Vernichtung von Datenträgern)
  • DIN SPEC 66399-3 "Büro- und Datentechnik - Vernichten von Datenträgern - Teil 3: Prozess der Datenträgervernichtung" (bildet den kompletten Prozess der Datenträgervernichtung durch entsprechende Spezifikation (SPEC) ab)

Während die ersten beiden Teile im Oktober 2012 in Kraft getreten sind, hat der dritte Teil erst zum Jahreswechsel 2012/13 seine Gültigkeit erlangt. Gleichzeitig sind die DIN 32757-1 und DIN 44300 außer Kraft getreten.

Nähere Einzelheiten zu den neuen DIN-Normen (insbesondere zur DIN 66399) enthält die Orientierungshilfe "Datenträgerentsorgung" - abrufbar auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen".

2.1.4. Strategie bei der Auswahl geeigneter Datensicherheitsmaßnahmen

Viele öffentliche Stellen in Bayern wollen zwar einerseits die gesetzlichen Vorgaben der Datenschutzgesetze erfüllen, allerdings fehlt es ihnen häufig am notwendigen Know-how, mit welchen technisch-organisatorischen Maßnahmen sie die Datensicherheit gewährleisten können. Diesen Stellen teile ich auf ihre Anfragen regelmäßig Folgendes bezüglich der Auswahl von geeigneten Datensicherheitsmaßnahmen mit:

Zweck der Datenschutzgesetze ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Beeinträchtigungen seiner Persönlichkeit können unter anderem zur Verletzung seiner Privatsphäre, zu Belästigungen, zu Ruf- oder Geschäftsschädigungen und zur Verletzung existenzieller Grundlagen führen.

Bei der Prüfung, ob eine Datensicherheitsmaßnahme zur Erreichung des erforderlichen Schutzzwecks notwendig ist, sollte daher stets von der Gefährdung ausgegangen werden, die eine missbräuchliche Verwendung von Daten für den Einzelnen verursachen kann. Je stärker das Persönlichkeitsrecht verletzt werden kann, desto umfassendere technische und organisatorische Maßnahmen sind zur Verhinderung missbräuchlicher Datenverarbeitung erforderlich.

Bei der Auswahl der Datensicherheitsmaßnahmen ist stets darauf zu achten, dass das Datensicherheitskonzept in sich geschlossen und abgestimmt ist. Daher sind alle im Art. 7 des BayDSG aufgeführten zehn Kontrollbereiche zu untersuchen und gegebenenfalls durch geeignete Maßnahmen auszufüllen. Es ergibt wenig Sinn, wenn bei einigen Kontrollbereichen starke, ja vielleicht sogar überzogene Maßnahmen vorgeschlagen, aber andere Kontrollbereiche außer Acht gelassen werden, sodass das Gesamtsystem lückenhaft wird und seinen Schutzzweck nicht erfüllen kann.

Zur Festlegung, welche Datensicherheitsmaßnahmen für welche Datenverarbeitung oder welche Datei zu ergreifen sind, empfiehlt sich folgendes Vorgehen:

  • Untersuchung der zu verarbeitenden personenbezogenen Daten auf ihre Sensibilität und Zuordnung zu einer Schutzkategorie.
  • Festlegung der Sicherheitsbereiche und der Zugangs- bzw. Zugriffsberechtigungen.
  • Definition der erforderlichen Datensicherheitsmaßnahmen und Überprüfung auf ihre Brauchbarkeit.
  • Realisierung der technischen und organisatorischen Maßnahmen; bei deren schrittweiser Einführung sind Freiräume zu vermeiden.
  • Probeweises Einführen der Maßnahmen, um Akzeptanz bei den Beteiligten zu erzeugen und Erfolg und Effektivität der Maßnahmen sicherzustellen.
  • Überprüfung und gegebenenfalls Nachbesserung des Sicherheitskonzepts, wenn sich eine Sicherheitsmaßnahme als nicht praktikabel erweist und den Arbeitsablauf zu stark behindert oder wenn beim Probebetrieb vorher nicht erkannte Lücken auftreten.
  • Anordnung der Sicherheitsmaßnahmen nach Erreichen der Einsatzreife und Bekanntgabe an alle Beteiligte.
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen auf deren Einhaltung und Ergreifen geeigneter Sanktionen bei deren Nichteinhaltung.

Insbesondere bei Heranziehung von Maßnahmenkatalogen ist im Rahmen der Definition von Sicherheitsmaßnahmen zu beachten, dass manche Maßnahmen gleiche Sachverhalte regeln, sich gegenseitig behindern oder auch durch andere Maßnahmen bereits abgedeckt sein können.

Beziehen sich Maßnahmen beispielsweise auf ein Rechenzentrum als Ganzes, etwa baulichen Maßnahmen, so muss sich die Stärke der einzelnen Maßnahmen an dem Verfahren mit der höchsten Schutzklasse orientieren. Hingegen gibt es bei bestimmten Sicherheitsmaßnahmen, etwa bei der Transportkontrolle, durchaus auch verfahrensbezogene Unterschiede.

2.1.5. Anfertigen von Kopien des neuen Personalausweises (nPA)

Auch wenn der neue Personalausweis bereits seit dem Jahr 2010 ausgegeben wird, scheint es nach wie vor Unklarheiten zu geben, ob und zu welchem Zweck das Anfertigen einer Kopie beziehungsweise das Scannen des nPA zulässig ist. Aus technischer Sicht ist eine vollständige Kopie der Vorderseite des nPA unter anderem deshalb kritisch zu sehen, da auf der Vorderseite eine sechsstellige Zugangsnummer aufgedruckt ist. Mit Hilfe dieser Nummer und einem entsprechenden Zertifikat können die auf dem Chip gespeicherten elektronischen Daten kontaktlos ausgelesen werden. Ohne diese Nummer ist ein unbemerktes Auslesen, etwa solange sich der nPA in einer Geldbörse befindet, nicht möglich.

In diesem Zusammenhang maßgeblich zu beachten ist § 20 Abs. 2 Personalausweisgesetz (PAuswG).

§ 20 PAuswG Verwendung durch öffentliche und nichtöffentliche Stellen

(2) Außer zum elektronischen Identitätsnachweis darf der Ausweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden.

In der Gesetzesbegründung (Bundestags-Drucksache 16/10489, Seite 42) wird hierzu ausgeführt, dass alle Formen des automatischen Abrufs, insbesondere Scannen, Fotokopieren und Ablichten der Daten von der Vorschrift umfasst sind.

Trotzdem kann eine Kopie des nPA durch eine öffentliche Stelle etwa durch spezialgesetzliche Ausnahmeregelungen (wie etwa in der Fahrerlaubnis-Verordnung) zulässig sein.

Im Falle der Anfertigung einer Kopie sollten jedenfalls die nicht benötigten Daten (insbesondere Zugangs- und Seriennummern) auf der Kopie geschwärzt werden. Fordert eine öffentliche Stelle von Bürgern eine Kopie ihres Personalausweises an, so sind diese auf die Möglichkeit und Notwendigkeit einer Schwärzung der nicht benötigten Daten hinzuweisen.

2.1.6. Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme

Grundsätzlich ist jede öffentliche Stelle in Bayern nach Art. 25 BayDSG dazu verpflichtet, einen behördlichen Datenschutzbeauftragten zu bestellen. Dieser Verpflichtung kommen die Behörden und Gemeinden in der Regel auch nach. Allerdings verfügen viele neu bestellte Datenschutzbeauftragte zu Beginn ihrer Tätigkeit noch nicht über das hierfür speziell notwendige Wissen. So wendet sich jährlich eine ganze Reihe neu bestellter behördlicher Datenschutzbeauftragter mit der Frage an mich, wie sie am besten ihre Aufgaben erfüllen können. Insbesondere ist ihnen häufig unklar, wie sie die ordnungsgemäße Anwendung der Datenverarbeitung bei ihrer öffentlichen Stelle überwachen können. Diese Anfragen beantworte ich wie folgt:

Zu den wesentlichen Aufgaben eines behördlichen Datenschutzbeauftragten gehört die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden sollen.

Neben der Zuständigkeit zur Erteilung der datenschutzrechtlichen Freigabe ist der behördliche Datenschutzbeauftragte daher gehalten, die Einhaltung der Datenschutzvorschriften (insbesondere der nach Art. 7 BayDSG erforderlichen technisch-organisatorischen Datensicherheitsmaßnahmen) und der behördlichen Dienstanweisungen zu Datenschutz und Datensicherheit zu überwachen.

Während eine datenschutzrechtliche Freigabe bereits vorliegen muss, bevor das entsprechende Verfahren in den Echtbetrieb übernommen werden kann, muss der Datenschutzbeauftragte nach Produktionsaufnahme die Einhaltung der datenschutzrechtlichen Vorschriften (insbesondere der Sicherheitsmaßnahmen) beim Verfahren überprüfen. Diese Kontrolle ist jederzeit möglich und sollte möglichst unangekündigt vorgenommen werden. Der behördliche Datenschutzbeauftragte kann selbst entscheiden, wann und in welcher Form er Kontrollen durchführt.

Neben dem Nachgehen von Beschwerden, die Anlass zu einer gezielten Kontrolle in dem betroffenen Bereich geben (sogenannte Anlasskontrollen), sollten auch ohne einen speziellen Anlass regelmäßige Kontrollen stattfinden.

Für die Durchführung von Kontrollen gibt es verschiedene Ansätze. In Betracht kommt insbesondere eine gezielte Prüfung der technisch-organisatorischen Maßnahmen und ihrer Einhaltung. Denkbar ist auch, sich auf die Prüfung eines der in der Art. 7 BayDSG benannten Maßnahmenbereiche zu konzentrieren.

Die Kontrolle kann auch auf ein bestimmtes Verfahren oder einen Bearbeitungsvorgang einschließlich der materiell-rechtlichen Prüfung, Einhaltung der Zweckbindung, Beachtung der Rechtsgrundlage etc. oder auch auf eine Kombination der angesprochenen Vorgehensweisen ausgerichtet werden.

Ein weiteres Ziel der Überprüfung der getroffenen Datensicherheitsmaßnahmen besteht darin, bestehende Schwachstellen zu entdecken, damit durch die Ergreifung weiterer Sicherheitsmaßnahmen das Risiko eines Schadens auf ein möglichst geringes Maß verringert werden kann.

Zur Durchführung der Kontrollen muss dem Datenschutzbeauftragten Zutritt zum Serverraum und den entsprechenden Diensträumen ermöglicht werden. Ferner muss er alle Unterlagen einsehen können, die mit der Verarbeitung personenbezogener Daten im Zusammenhang stehen. Ihm steht auch ein generelles Einsichtsrecht in die gespeicherten personenbezogenen Daten zu. Eine Kontrollbefugnis gegenüber dem Personalrat besteht dagegen nicht.

2.2. Prüfungen, Beanstandungen und Beratungen

Im Berichtszeitraum 2013/2014 habe ich eine ganze Reihe öffentlicher Stellen unter technisch-organisatorischen Datenschutzaspekten geprüft. Großteils wurden diese Prüfungen von meinem Technikreferat gemeinsam mit dem jeweils zuständigen Rechtsreferat durchgeführt. Im Nachfolgenden gehe ich auf einige ausgewählte Beispiele ein (siehe Nrn. 2.2.1 mit 2.2.4).

Im Berichtszeitraum musste ich keine Beanstandungen aufgrund technisch-organisatorischer Mängel aussprechen.

Von einer Vielzahl öffentlicher Stellen aus dem staatlichen und dem kommunalen Bereich wurde ich auch um Beratung zu technisch-organisatorischen Datenschutzfragen im Zusammenhang mit dort laufenden oder geplanten Projekten gebeten. Auf einige größere Projekte gehe ich im Nachfolgenden ein (siehe Nrn. 2.2.5 mit 2.2.7).

2.2.1. Geprüfte Einrichtungen

Folgende Stellen wurden von mir im Berichtszeitraum geprüft:

  • DONAUISAR Klinikum Deggendorf
  • Gesundheitsamt Aschaffenburg
  • Gesundheitsamt Bayreuth
  • Gesundheitsamt Eichstätt
  • Gesundheitsamt Memmingen
  • Gesundheitsamt Regensburg
  • Heim für blinde Frauen München
  • Justizvollzugsanstalt Aichach
  • Justizvollzugsanstalt Landshut - Jugendarrestanstalt
  • Justizvollzugsanstalt München - Frauenanstalt
  • Justizvollzugsanstalt Straubing - Einrichtung für Sicherungsverwahrte
  • Justizvollzugsanstalt Würzburg
  • Kliniken des Landkreises Neumarkt i.d.Opf.
  • Klinikum Augsburg
  • Sozialgericht München - Postbehandlung
  • Stadt Ornbau
  • Technische Universität München mit Leibnitz Rechenzentrum
  • Universitätsklinikum Würzburg
  • Diverse Webauftritte staatlicher Stellen

Im Bereich der Kliniken lag der thematische Prüfungsschwerpunkt in der praktischen Umsetzung der im Jahr 2011 erstmalig veröffentlichten Orientierungshilfe Krankenhausinformationssysteme (siehe Nrn. 2.4.2, 7.2.8 und 25. Tätigkeitsbericht 2012 Nr. 7.2) mit besonderem Augenmerk auf Protokollierung, Protokollauswertung und Möglichkeiten der Datenschutzkontrolle von Zugriffen (zu den hierbei gewonnenen Erkenntnissen siehe Nr. 2.2.3).

Die Verwendung von Videoüberwachungsanlagen und die zugehörigen Regelungen waren Hauptgegenstand der Prüfungen in den Einrichtungen des Justizvollzugs (zu den hierbei gewonnenen Erkenntnissen siehe Nr. 5.4.4).

Bei den Gesundheitsämtern waren der Umgang mit den dortigen Datenverarbeitungssystemen und die Anbindung an die Datenverarbeitungssysteme des jeweiligen Landratsamts beziehungsweise der jeweiligen Kommune von besonderem Interesse (siehe Nr. 2.2.2).

Die Webauftritte von 31 staatlichen Stellen habe ich hinsichtlich ihrer SSL-Sicherheit geprüft, nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Herbst 2013 darauf hingewiesen hatte, dass der für die TLS/SSL-Verschlüsselung häufig verwendete Kryptoalgorithmus RC4 als nicht mehr ausreichend sicher eingestuft werde. Mit einer Ausnahme, die ich noch weiter verfolgen werde, haben alle Stellen meine Aufforderung, nun auf den Einsatz von RC4 zu verzichten, aufgegriffen und verwenden andere Verfahren (siehe Nr. 2.2.4).

2.2.2. Prüfung Gesundheitsämter, technisch-organisatorische Anforderungen

Im 19. Tätigkeitsbericht 2000 unter Nr. 17.3.6 wurden einige Forderungen zur technischen Realisierung der Eingliederung der Gesundheitsämter in die informationstechnische Infrastruktur der Landratsämter aufgestellt. Im Berichtszeitraum habe ich einige Gesundheitsämter diesbezüglich besucht. Aufgrund der Prüfungsergebnisse werden die vorgenannten Forderungen im Folgenden aktualisiert und präzisiert. Zu den rechtlichen Aspekten der Prüfungen siehe Nr. 7.1.1.

Werden die Fachanwendungen des Gesundheitsamts auf der informationstechnischen Infrastruktur des Landratsamts gemeinsam mit anderen Anwendungen betrieben, muss sichergestellt sein, dass die technisch-organisatorischen Sicherheitsmaßnahmen für die gesamte Infrastruktur dem hohen Schutzbedarf der medizinischen Daten entsprechen. Beispielsweise sind gemäß den Vorgaben der Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine besondere Risikoanalyse und über die Grundschutzkataloge hinausgehende Maßnahmen erforderlich. Zudem müssen besondere Schutzmaßnahmen für die Vertraulichkeit von Daten umgesetzt werden, die der ärztlichen Schweigepflicht unterliegen. Dies gilt insbesondere auch gegenüber anderen Nutzergruppen des Landratsamts und den Administratoren. Insgesamt muss somit für den Betrieb der Fachanwendungen ein Datenschutz- und Sicherheitskonzept erstellt werden, aus dem die Risiken sowie die ergriffenen Schutzmaßnahmen hervorgehen.

Für den Betrieb der Fachanwendungen auf den allgemeinen Servern des Landratsamts ist eine logische Trennung der Systeme des Landratsamts von denen des Gesundheitsamts als Basismaßnahme erforderlich. Dies kann beispielsweise über eigene virtuelle Server oder getrennte Datenbankinstanzen erfolgen. Wo dies technisch bereits möglich ist, sollten zudem die dort vorhandenen Verschlüsselungsfunktionen verwendet werden, um die Gefahr einer unbefugten Kenntnisnahme zu verringern. Wo dies technisch derzeit nicht möglich ist, sollte auf eine Einführung von Verschlüsselungsmöglichkeiten von Seiten des Herstellers gedrängt werden. Der Schlüssel/Masterkey muss hierbei so abgelegt werden, dass er sich in der Hoheit des Gesundheitsamts befindet, damit weder die Administratoren noch der Systemhersteller die Daten entschlüsseln können. Auf die früher geforderte Weisungsbefugnis des Leiters des Gesundheitsamts gegenüber den Administratoren kann unter diesen Umständen verzichtet werden. Gleiches gilt, wenn die Tätigkeit der Administratoren so eng begrenzt ist, dass kein Zugriff auf personenbezogene medizinische Daten möglich ist.

Wird die Administration der Fachanwendung des Gesundheitsamts per Fernwartung durch den Systemhersteller übernommen, muss sichergestellt sein, dass die Möglichkeit zur Einsichtnahme in medizinische Daten gering und zudem kontrollierbar ist. Deshalb müssen die für die Fernwartung üblichen Maßnahmen umgesetzt (siehe 18. Tätigkeitsbericht 1998 Nr. 3.3.4) und ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Ein Versand von Datenbankauszügen oder ähnlichem an den externen Dienstleister sollte nicht stattfinden, da hier sensible personenbezogene Daten physikalisch an eine externe Stelle übertragen werden.

Bei der Mitnutzung des Dokumentenmanagementsystems (DMS) des Landratsamts gelten die gleichen Anforderungen wie bei der Nutzung einer gemeinsamen informationstechnischen Infrastruktur. Es sollte somit ebenfalls eine logische Trennung erfolgen, zum Beispiel über verschiedene Mandanten. Andernfalls muss über das Berechtigungskonzept sichergestellt sein, dass nur die berechtigten Mitarbeiter des Gesundheitsamts Zugriffsmöglichkeiten haben. Ebenfalls müssen die Einsichtsmöglichkeiten für Administratoren soweit wie möglich unterbunden werden, indem zum Beispiel eine verschlüsselte Speicherung der Dokumente erfolgt.

In allen Fällen müssen Administratortätigkeiten, bei denen eine Möglichkeit zum Zugriff auf personenbezogene medizinische Daten besteht, einer aussagekräftigen Protokollierung unterliegen. Sie muss in Stichproben regelmäßig ausgewertet werden. Hierzu sind ein entsprechendes technisches Konzept sowie eine Vereinbarung mit der Personalvertretung zu treffen.

In den Fachverfahren sollten die vorhandenen Möglichkeiten zur Konfiguration von Löschfristen genutzt werden, so dass die zu löschenden Daten vom System zeitgerecht und automatisch vorgeschlagen werden. Sie müssen dann entsprechend gelöscht werden. Auch für auf den Fileservern abgelegte personenbezogene Daten muss sichergestellt werden, dass die Löschfristen umgesetzt werden. Des Weiteren müssen auch für die Stammdaten Löschfristen festgelegt werden, zum Beispiel in jedem Fall nach dem Tod des Patienten oder ansonsten nach einem gewissen vordefinierten und angemessenen Zeitraum.

Bei langen Aufbewahrungsfristen sollte geprüft werden, ob im elektronischen Fachverfahren Möglichkeiten zur Auslagerung beziehungsweise Sperrung von Datenbeständen bestehen, wenn diese nicht mehr im täglichen Zugriff benötigt werden. Ein Zugriff beziehungsweise die Möglichkeit zur Entsperrung darf dann nur noch für einen beschränkten Personenkreis für den Fall bestehen, dass der Patient zu einem späteren Zeitpunkt noch einmal vorstellig wird. Dies entspräche dem Vorgehen bei Papierakten, die in der Regel nach einer gewissen Zeit in das Archiv verlagert werden, so dass sie sich nicht mehr im allgemeinen Zugriff befinden. Soweit die aktuell eingesetzten Systeme eine derartige Funktion nicht anbieten, sollte diese beim Hersteller eingefordert werden.

2.2.3. Prüfung der Umsetzung der OH KIS

Nach der Überarbeitung der OH KIS (siehe Nr. 7.2.8) habe ich in einigen Krankenhäusern vor Ort die praktische Umsetzung geprüft. In einigen Bereichen konnte ich Verbesserungen feststellen. Sie betreffen sowohl KIS-Hersteller, die angefangen haben, die Anforderungen der OH KIS in ihren Systemen umzusetzen, als auch Krankenhäuser, die die neuen Möglichkeiten im täglichen Betrieb nutzen.

Positiv hervorzuheben ist beispielsweise, dass in allen besuchten Häusern mittlerweile eine Protokollierung der lesenden Zugriffe erfolgt, so dass überprüft werden kann, wer in welche Daten zu welchem Zeitpunkt Einsicht genommen hat. Dies ist ein wichtiger Baustein hinsichtlich der Umsetzbarkeit einer effektiven Datenschutzkontrolle sowie auch der Auskunftsansprüche von Bürgern. Zunehmend Verbreitung findet auch die Vergabe personenbezogener Benutzerkennungen, die eine sinnvolle Auswertung der Protokollierung überhaupt erst ermöglicht.

KIS-Hersteller bieten zunehmend Möglichkeiten, Patientendaten nach der Entlassung des Patienten zu sperren, so dass sie nicht mehr im regulären Zugriff stehen. Auch dies ist eine der Kernforderungen der OH KIS, die in einigen Häusern auch bereits genutzt wird. KIS, die diese Möglichkeit noch nicht bieten, sollten entsprechend ergänzt werden.

Zunehmend Verbreitung findet auch die Begrenzung von Zugriffsrechten von Ärzten und Pflegepersonal auf die Fachbereiche, für die sie originär zuständig sind, verbunden mit einer Notfall-/Sonderzugriffsfunktion, über die bei Bedarf in Verbindung mit der Eingabe einer Begründung auch auf Daten anderer Patienten zugriffen werden kann. Dies ist eine deutliche Verbesserung gegenüber dem Zustand, dass z.B. alle Ärzte auf alle Patienten ohne weiteres zugreifen können. Sie sollte schnellstmöglich in KIS und Krankenhäusern, die diese Möglichkeit noch nicht nutzen, umgesetzt werden.

Leider noch nicht realisiert worden ist die technische Umsetzung des Widerspruchs eines Patienten in die Hinzuziehung von Daten aus Vorbehandlungen. Nach der Rechtslage kann der Patient zwar im Rahmen der medizinischen Aufnahme der Hinzuziehung der Vorbehandlungsdaten widersprechen. Sein Widerspruch kann jedoch in den meisten Fällen nicht im KIS vermerkt werden und führt daher auch nicht zu einem Entzug der Zugriffsrechte o.ä.

Auch sind viele KIS nicht in der Lage, Daten physikalisch zu löschen. Selbst wenn man von einer Aufbewahrungszeit von 30 Jahren in Krankenhäusern ausgeht, müssen nunmehr hierzu Lösungen in Angriff genommen werden, da manche KIS schon seit 15 Jahren in Betrieb sind.

2.2.4. TLS/SSL als (Un-)Sicherheitsfaktor

Im Berichtszeitraum kam es mehr als einmal vor, dass die Sicherheit von Verschlüsselungsalgorithmen (z.B. RC4) und Verschlüsselungsimplementierungen (OpenSSL), die etwa zur Absicherung von Internetauftritten ("https") verwendet werden, nicht mehr gegeben war. Ich verweise hierzu auf die entsprechenden Medienberichte im Herbst 2013.

RC4 ist ein Algorithmus zur Erzeugung einer Stromchiffre. Er berechnet aus einem Schlüssel eine beliebig lange Folge von (im Idealfall Zufalls-) Zahlen, die dann zur Verschlüsselung der eigentlichen Nachricht verwendet werden. Bereits 2001 wurden erste Möglichkeiten aufgezeigt, RC4 anzugreifen (Scott Fluhrer, Itsik Mantin und Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4). In der technischen Richtlinie TR-02102-2 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist RC4 daher zuletzt als nicht empfehlenswerter Algorithmus eingestuft worden.

Da RC4 auch zur Absicherung einer Reihe von Internetauftritten von öffentlichen Stellen in Bayern eingesetzt wurde, habe ich diesbezüglich automatisierte Prüfungen von 31 mir bekannten verschlüsselten Webseiten vorgenommen und den betroffenen Stellen empfohlen, auf einen sichereren Algorithmus zu wechseln.

Wohl unter anderem weil in 2013 neue Angriffsmöglichkeiten in Bezug auf RC4 untersucht wurden (Pouyan Sepehrdad, Serge Vaudenay, Martin Vuagnoux: Discovery and Exploitation of New Biases in RC4) weist das BSI in der aktuellen Version 2014-01 der Richtlinie (vom Februar 2014) in Kapitel 3.3.2 darauf hin, dass RC4 "erhebliche Sicherheitsschwächen" enthält und nicht mehr eingesetzt werden darf.

Die überwiegende Mehrzahl der Stellen, die in der oben genannten Prüfung RC4 eingesetzt hatten, hatte zwischenzeitlich den Algorithmus gewechselt. Mit einer Ausnahme, die ich noch weiter verfolgen werde, haben alle anderen Stellen meine Aufforderung, nun ebenfalls auf den Einsatz von RC4 zu verzichten, aufgegriffen und verwenden andere Verfahren.

Während sich die Sicherheitsproblematik bei RC4 schon seit langem angekündigt hatte, hat die als "Heartbleed" benannte Sicherheitslücke zwar seit ungefähr zwei Jahren bestanden, ist aber erst 2014 öffentlich bekannt geworden.

Bei Heartbleed handelt es sich um eine fehlerhafte Programmierung einer Funktionalität in der OpenSSL Bibliothek, die dazu führt, dass bei betroffenen Systemen unberechtigt Speicherinhalte mit Zertifikatsdaten, Passwörtern oder anderen sicherheitsrelevanten Daten ausgelesen werden können. Alle mir bekannten verschlüsselten Webseiten von öffentlichen Stellen in Bayern setzen jedoch die von Heartbleed betroffenen OpenSSL-Versionen nicht ein, so dass hier kein konkreter Prüfungsanlass gegeben war.

Beide Sicherheitsproblematiken zeigen erneut, dass Sicherheit kein statischer Zustand ist, den man einmal erreicht hat und der dann für immer gegeben ist. Sicherheit ist vielmehr ein Prozess, der immer wieder Korrekturen in den eingesetzten Systemen erfordert. Deshalb ist es wichtig, im Falle neu bekannt werdender Sicherheitslücken zeitnah zu reagieren und bereits bei der Entwicklung von Verfahren darauf zu achten, dass im späteren Betrieb eine Aktualisierung der Sicherheitsmaßnahmen vorgesehen und möglich ist.

Auch wenn bei der Verschlüsselung mittels TLS/SSL von Internetauftritten ("https") wie bei jeder anderen Sicherheitstechnik auch immer wieder Sicherheitslücken auftreten können, so stellt die sichere und vertrauenswürdige Bereitstellung von Internetangeboten eine wichtige Voraussetzung für den Datenschutz dar.

Selbst wenn die aktuelle Diskussion um das Abhören von Internetkommunikation außer Acht gelassen wird, so kann eine https-Verschlüsselung auch verhindern, dass die Nutzung des Internets durch Unbefugte überwacht wird. Ohne https kann beispielsweise unberechtigt und unbemerkt die Protokollierung am Internetübergang einer Behörde eingeschaltet und dann beispielsweise überwacht werden, welche Inhalte genau etwa sich der behördliche Datenschutzbeauftragte oder der Personalrat beispielsweise auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz betrachtet hat. Mit einer intakten https-Verschlüsselung sieht ein unberechtigter Dritter, der Zugriff auf die Verbindung hat, lediglich dass Inhalte abgerufen wurden, aber nicht, um welche konkreten Inhalte es sich dabei handelt. Schon aus diesem Grund bietet eine Verschlüsselung mittels https für jeden Besucher einer Webseite einen erhöhten Sicherheitsgewinn, so dass ich dringend empfehle, generell und auch bei Webseiten ohne personenbezogene Daten die https-Verschlüsselung einzusetzen.

Sobald jedoch personenbezogene Daten - und dazu zählt grundsätzlich auch schon ein Kontaktformular - übertragen werden, ist eine TLS/SSL-Verschlüsselung unumgänglich.

Auch wenn auf meiner Webseite keine personenbezogenen Daten erhoben oder verarbeitet werden, ist seit März 2014 meine Homepage unter https://www.datenschutz-bayern.de verschlüsselt erreichbar.

Auch die Datenschutzbeauftragten des Bundes und der Länder haben in ihrer Entschließung "Gewährleistung der Menschenrechte bei der elektronischen Kommunikation" vom 27./28.03.2014 die sichere und vertrauenswürdige Bereitstellung von Internetangeboten gefordert:

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Gewährleistung der Menschenrechte bei der elektronischen Kommunikation

Die Enthüllungen des Whistleblowers Edward Snowden haben ein Ausmaß an geheimdienstlicher Überwachung aufgezeigt, das viele zuvor nicht für möglich gehalten hatten. Die tendenziell unbegrenzte und kaum kontrollierte Überwachung der elektronischen Kommunikation aller verletzt das auch im digitalen Zeitalter weltweit anerkannte Recht auf Privatheit in täglich wiederkehrender millionenfacher Weise. Dies beeinträchtigt zugleich die Wahrnehmung anderer Menschenrechte wie der Meinungs- und Versammlungsfreiheit. Es ist eine gesamtgesellschaftliche Aufgabe, berechtigtes Vertrauen in die prinzipielle Unverletzlichkeit der Kommunikation wieder herzustellen.

Die Datenschutzbeauftragten des Bundes und der Länder haben daher schon im September 2013 gefordert, auf diese neue Qualität der Überwachung rechtlich und politisch zu reagieren. Darüber hinaus sind aber auch technische und organisatorische Schutzmaßnahmen erforderlich. Der Schutz der informationellen Selbstbestimmung der in Deutschland lebenden Menschen sowie der Vertraulichkeit und Integrität informationstechnischer Systeme muss wieder hergestellt und dauerhaft gesichert werden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert daher die Prüfung und Umsetzung folgender Maßnahmen:

  1. Sichere Verschlüsselung beim Transport und bei der Speicherung von Daten,
  2. Bereitstellung einer einfach bedienbaren Verschlüsselungs-Infrastruktur,
  3. Einsatz von Ende-zu-Ende-Verschlüsselung in Kombination mit Verfahren zur Verbindungsverschlüsselung,
  4. Sichere und vertrauenswürdige Bereitstellung von Internetangeboten,
  5. Weiterentwicklung innovativer Vorkehrungen zum Schutz von Verkehrsdaten,
  6. Ausbau der Angebote und Förderung anonymer Kommunikation,
  7. Angebot für eine Kommunikation über kontrollierte Routen,
  8. Sichere Verschlüsselung der Mobilkommunikation und Einschränkung der Möglichkeiten der Geolokalisierung,
  9. Beschränkung des Cloud Computing mit personenbezogenen Daten auf vertrauenswürdige Anbieter mit zertifizierter Informationssicherheit,
  10. Förderung der Vertrauenswürdigkeit informationstechnischer Systeme durch Zertifizierung,
  11. Sensibilisierung von Nutzerinnen und Nutzern moderner Technik,
  12. Ausreichende Finanzierung von Maßnahmen der Informationssicherheit.

Der Arbeitskreis ,,Technische und organisatorische Datenschutzfragen" der Datenschutzkonferenz hat einen Anforderungskatalog formuliert, der die hier genannten Maßnahmen konkretisiert (siehe Anlage zu dieser Entschließung).

Die Datenschutzbeauftragten des Bundes und der Länder fordern die Anbieter elektronischer Kommunikationsdienste auf, entsprechende Technologien und Dienste zur Verfügung zu stellen. Die Verwaltungen in Bund und Ländern, insbesondere die zuständigen Regulierungsbehörden, sind aufgefordert, auf die Durchsetzung der o.g. Maßnahmen zu dringen. Der Gesetzgeber ist aufgerufen, die zu ihrer Durchsetzung ggf. nötigen Änderungen und Präzisierungen an dem bestehenden Rechtsrahmen vorzunehmen.

Ich rate allen öffentlichen Stellen in Bayern zu prüfen, ob eine Verschlüsselung mittels TLS/SSL für ihre Internetauftritte möglich oder sogar notwendig ist und, soweit noch nicht bereits geschehen, ihre Internetauftritte entsprechend umzustellen.

2.2.5. De-Mail-Pilotierungstest

Am 3. Mai 2011 ist das De-Mail-Gesetz des Bundes und am 1. August 2013 ist das Gesetz zur Förderung der elektronischen Verwaltung (E-Government-Gesetz) sowie zur Änderung weiterer Vorschriften des Bundes in Kraft getreten. Damit sind auf Bundesebene unter anderem der Behördenzugang mittels De-Mail und der Schriftformersatz festgeschrieben worden. Soweit Landes- und Kommunalbehörden Bundesgesetze vollziehen, also z.B. im Bereich des Sozialrechts, gelten einige Regelungen seit 1. Juli 2014 auch für sie.

De-Mail ist ein Kommunikationsdienst, der eine sichere, vertrauliche und nachweisbare Kommunikation im Internet gewährleisten soll. De-Mail ist insoweit eine besondere Form der aus dem Internet bekannten E-Mail, bei der Sicherheit, Vertraulichkeit und Nachweisbarkeit bekanntermaßen nicht ohne weiteres gegeben sind. Bereitgestellt wird De-Mail auf einer elektronischen Plattform, die von kommerziellen Unternehmen (De-Mail-Diensteanbieter - DMDA) für ihre Kunden/ Benutzer gebührenpflichtig betrieben wird. Diese Unternehmen bedürfen für den Betrieb der De-Mail-Dienste einer staatlichen Akkreditierung.

Vor der erstmaligen Nutzung der De-Mail-Dienste muss sich der Benutzer dem DMDA gegenüber eindeutig identifizieren - nur so kann der Absender einer De-Mail zweifelsfrei ermittelt werden. Absende- und Eingangsbestätigungen, die mit einer qualifizierten elektronischen Signatur des Diensteanbieters versehen sind, bieten den sicheren Nachweis über Versand und Eingang einer De-Mail. De-Mails werden durch den Diensteanbieter von und zu seinen Kunden transportverschlüsselt (SSL/TLS), von und zu anderen Diensteanbietern transport- und inhaltsverschlüsselt (SSL/TLS und S/MIME) sowie bei Durchlauf über die Server der Diensteanbieter automatisch auf Schadsoftware geprüft.

Im Januar 2013 wurde ich von der damaligen Stabsstelle des IT-Beauftragten der Bayerischen Staatsregierung (jetzt Staatsministerium der Finanzen, für Landesentwicklung und Heimat) über einen geplanten Testbetrieb von De-Mail im Freistaat Bayern unterrichtet.

Der Test begann im April 2013 und war auf sechs Monate begrenzt. Am Test beteiligt waren vier Staats- beziehungsweise Kommunalbehörden aus unterschiedlichen Verwaltungsebenen, ein DMDA und das IT-Dienstleistungszentrum des Freistaats Bayern (ehemals Rechenzentrum Süd). Gegenstand des Tests waren u.a. die Überprüfung der gewählten De-Mail-Zugangsmöglichkeit, nämlich einem Gateway zwischen der De-Mail-Kommunikationsplattform/dem DMDA und dem Bayerischen Behördennetz/dem Rechenzentrum Süd, die Handhabbarkeit und die Integrierbarkeit von De-Mails in die internen Abläufe der Verwaltung.

Im Rahmen einer den Test vorbereitenden Besprechung zwischen Vertretern der Stabsstelle des IT-Beauftragten und meiner Geschäftsstelle im Februar 2013 habe ich auf mögliche datenschutzrechtliche und technische Risiken und Probleme hingewiesen. Dazu gehören beispielsweise die Sicherung der Datenverbindung zwischen dem Bayerischen Behördennetz und dem DMDA, eine zusätzlich erforderliche Ende-zu-Ende-Verschlüsselung für Daten mit hohem und sehr hohem Schutzbedarf sowie zugehöriger weiterer Mechanismen, die rechtliche Einordnung des zentralen Gateways, die rechtliche Problematik zur Beibehaltung der gesetzlich garantierten De-Mail-Sicherheitseigenschaften (z.B. bei Zwischenspeicherung auf dem Gateway und weiterer Übertragung der De-Mail als "normale" E-Mail im Bayerischen Behördennetz).

Die Stabsstelle des IT-Beauftragten hat meine Anregungen aufgegriffen und soweit möglich umgesetzt. So hat sie für den Testbetrieb festgelegt, dass mit De-Mail nur Nachrichten mit normalem Schutzbedarf ausgetauscht werden sollten - also nur solche Nachrichten, die bislang auch mit der klassischen E-Mail ohne weitere Sicherheitsmaßnahmen ausgetauscht werden dürfen, da eine für den Versand von Daten mit hohem und sehr hohem Schutzbedarf erforderliche Ende-zu-Ende-Verschlüsselung nicht möglich war. Mit dem DMDA wurden vertraglich dessen Verpflichtungen zu Datenschutz und Datensicherheit festgelegt. Ergänzend wurde mit dem DMDA ein Vertrag zur Datenverarbeitung im Auftrag gemäß Art. 6 BayDSG geschlossen.

Im Oktober 2013 wurde ich von Vertretern der Stabsstelle des IT-Beauftragten über den Abschluss des Testbetriebs unterrichtet. Als ein Ergebnis des Tests musste festgestellt werden, dass zum damaligen Zeitpunkt eine produktionsreife und datenschutzrechtlich einwandfreie Lösung auf Landesebene nicht verfügbar war.

Für den zukünftigen De-Mail-Einsatz in Bayern entwickelt nun das Staatsministerium der Finanzen, für Landesentwicklung und Heimat gemeinsam mit dem Bundesministerium des Innern eine gegenüber dem durchgeführten Test modifizierte Konzeption, die in der bestehenden technischen Infrastruktur Bayerns umgesetzt und letztendlich auch datenschutzrechtlich freigegeben werden kann. Spezifische rechtliche Aspekte sollen über ein zukünftiges bayerisches E-Government-Gesetz adressiert werden.

Ich werde das Vorhaben De-Mail in Bayern weiterhin begleiten und zum gegebenen Zeitpunkt darüber berichten.

2.2.6. Plattform für sichere Kommunikation in Bayern - BayMail

Am 23.04.2013 fand auf Einladung des Staatsministeriums des Innern, für Bau und Verkehr eine erste Besprechung zu einem dort geplanten Projekt mit dem Arbeitstitel Erreichbarkeitsplattform (EPF) statt. Wie auch im vorgenannten Projekt zu De-Mail ist ein Ziel dieses Projektes, die elektronischen Kommunikationsmöglichkeiten zwischen Bürgern/Unternehmen und Behörden insbesondere hinsichtlich der Gewährleistung von Datenschutz und Datensicherheit deutlich zu verbessern. Die Kommunikation soll hierbei - im Unterschied zum vorgenannten De-Mail-Projekt - aber über ein sogenanntes Portal und ohne die gesetzlich garantierten De-Mail-Sicherheitseigenschaften abgewickelt werden.

Kern des Projektes ist, dass die elektronische Kommunikation zwischen Bürger/ Unternehmen zukünftig verschlüsselt über ein internetbasiertes, von staatlicher Seite zentral betriebenes Portal abgewickelt werden soll. Für den Bürger/das Unternehmen soll dabei weder technischer noch finanzieller Aufwand entstehen und im Wesentlichen lediglich eine gültige E-Mail-Adresse, eine Registrierung am zentralen Portal und ein SSL-fähiger Browser erforderlich sein. Für die an das Portal angeschlossenen Behörden soll lediglich die Einbindung in die bayerische Verwaltungs-PKI erforderlich sein.

Die Erreichbarkeitsplattform soll zunächst im Zusammenhang mit dem bestehenden EG-Dienstleistungsportal erstellt und zukünftig auch mit dem Portal "Verwaltungsservice Bayern" verknüpft werden. Über die Erreichbarkeitsplattform sollen - jedenfalls zunächst - vor allem Dokumente, die keiner Schriftform bedürfen, zwischen Bürgern und Behörden in beiden Richtungen ausgetauscht werden können. Eine formelle Zustellung soll über die Erreichbarkeitsplattform nicht durchgeführt werden. Mittelfristig soll die Erreichbarkeitsplattform auch mit einer Lösung zur Integration der eID-Funktion des elektronischen Personalausweises und Aufenthaltstitel verknüpft werden, um so u.a. eine zuverlässigere Benutzeridentifikation zu erreichen.

Aufgrund meiner frühzeitigen Beteiligung durch das Staatsministerium des Innern, für Bau und Verkehr konnte ich von Anfang an datenschutzrechtliche Problemstellungen ansprechen und entsprechende Vorgaben in die Projektentwicklung einbringen sowie konkrete Umsetzungsanregungen geben.

Schwerpunkt im Bereich der rechtlichen Fragestellungen waren z.B. die Anwendbarkeit des allgemeinen Datenschutzrechts mit vorrangigen fachspezifischen Datenschutzvorschriften, Konstruktion der Auftragsdatenverarbeitungen der teilnehmenden Behörden, verantwortliche speichernde Stellen, datenschutzrechtliche Verantwortlichkeiten, datenschutzrechtliche Freigaben und Einwilligungserklärungen.

In technisch-organisatorischer Hinsicht lagen die Schwerpunkte z.B. beim Anmelde- und Registrierungsprozess sowie der Identitätsprüfung, bei Ver- und Entschlüsselungstechniken und Virenprüfungen, der zeitlich begrenzten Speicherung von Dokumenten und Nachrichten, den Möglichkeiten zur Ende-zu-Ende-Verschlüsselung.

Im Juli 2014 erteilte das Staatsministerium des Innern, für Bau und Verkehr im Einvernehmen mit der Staatskanzlei, den Staatsministerien, dem Obersten Rechnungshof und dem Landtagsamt aufgrund der bis dahin erreichten Ergebnisse die datenschutzrechtlichen Freigabe für das nunmehr so genannte Verfahren BayMail.

Da bis zu dieser Produktivsetzung im Sommer 2014 leider noch nicht alle von mir thematisierten Gesichtspunkte - wie insbesondere die grundsätzlich zu ermöglichende Ende-zu-Ende-Verschlüsselung und die bessere Sicherstellung der Identität der Kommunikationspartner - zur Zufriedenheit gelöst werden konnten, wurde die Freigabe zeitlich zunächst bis zum 31.07.2018 befristet. Vor einer eventuellen Verlängerung der datenschutzrechtlichen Freigabe und damit einer Fortsetzung des Betriebs muss dann eine umfassende Evaluation des Verfahrens erfolgen.

Ich werde den Fortgang des Projektes weiterhin beobachten und zum gegebenen Zeitpunkt darüber berichten.

2.2.7. Digitales Bildungsnetz (DBB)

Im Dezember 2011 wurde ich von dem damaligen IT-Beauftragten der Bayerischen Staatsregierung über das Forschungs- und Entwicklungsprojekt "Digitales Bildungsnetz Bayern" in Kenntnis gesetzt und um entsprechende Beratung gebeten.

Mit dem DBB soll eine Infrastruktur geschaffen werden, die es Schulen ermöglicht, Synergieeffekte im Betrieb der an Schulen notwendigen Systeme zu nutzen und dabei den Belangen des Datenschutzes in besonderer Weise Rechnung tragen. Durch eine gemeinsame technische Basis und Standards sollen so eine höhere Qualität des IT-Betriebs für pädagogische Systeme, eine Vereinfachung der Administration und niedrigere Betriebskosten sowie hohe Datensicherheit und verbesserter Datenschutz an den Schulen erreicht werden.

Dazu wurden mit einem Projektpartner aus der Industrie an einer Reihe von Schulen verschiedene Ansätze erprobt, wie digitales Lernen in den Klassenzimmern unterstützt und ein bewusster Umgang mit der Informationstechnik vermittelt werden kann. Das Projekt umfasste z.B. die sichere Anbindung und Einbindung mobiler Geräte in das DBB, die Nutzung von Kommunikationsplattformen zwischen Schülern und Lehrern und die Bereitstellung von Unterrichtsmaterialien.

Im Rahmen meiner Beratungsleistung habe ich an diversen Besprechungen teilgenommen und mir auch an einigen Pilotschulen die jeweiligen konkreten Umsetzungen zeigen lassen. Dabei habe ich Anregungen zu Datensicherheit und Datenschutz gegeben; insbesondere betraf dies die Aspekte der Benutzerverwaltung, des Identitätsmanagements und eines durchgängigen Sicherheitsmanagements.

Das Projekt "Digitales Bildungsnetz Bayern" wurde Ende 2014 abgeschlossen. Dabei sollte unter den Projektdurchführenden abgestimmt werden, welche Basisdienste aus dem Projekt weiter betrieben und künftig allen bayerischen Schulen angeboten werden. Das für das Projekt zuständige Staatsministerium der Finanzen, für Landesentwicklung und Heimat hat zugesagt, nach Vorliegen des weiteren Konzeptes wieder auf mich zuzugehen.

Ich werde den Fortgang des Projektes weiterhin beobachten und zum gegebenen Zeitpunkt darüber berichten.

2.3. Technisch-organisatorische Einzelthemen

2.3.1. Dienstliche Nutzung von Online-Terminplanern

In letzter Zeit erreichen mich vermehrt Anfragen von bayerischen Behörden und Kommunen bezüglich des datenschutzgerechten Einsatzes von Online-Terminplanern, wie zum Beispiel des Produkts "Doodle". Davon rate ich generell ab, außer die Nutzung erfolgt zumindest pseudonymisiert und ohne Registrierung.

Bei Doodle handelt es sich um einen werbefinanzierten, intelligenten Zeitplaner, der sowohl für private Zwecke als auch von Unternehmen und Behörden genutzt werden kann. Doodle eignet sich sowohl für die Online-Terminplanung als auch für die Vereinbarung von Terminen, der Durchführung von Umfragen und für die Urlaubsplanung (sowohl mit internen als auch mit externen Teilnehmern).

Bei der Nutzung von Doodle fallen in der Regel auch personenbezogene Daten (z.B. E-Mail-Adressen und personalisierte Nachrichten) an. Diese Daten werden aber nicht beim Nutzer der Online-Software, sondern vom Anbieter Doodle AG gespeichert und weiterverarbeitet. Die Doodle AG hat zwar ihren Sitz in Zürich, trotzdem erfolgt die Speicherung der Daten zumindest teilweise außerhalb von Europa - in keinem Fall jedoch in einem Land der Europäischen Union. So setzen beide Versionen von Doodle (sowohl die kostenlose als auch die Premiumversion) Google Analytics für statistische Zwecke ein. Nutzer von Doodle müssen also davon ausgehen, dass Informationen über sie ungefragt in die USA gesandt werden. Zwar deklariert Doodle die Nutzung von Google Analytics in der Datenschutzerklärung und setzt die von Google angebotene IP-Kürzung ein, dadurch wird aber nicht die Übertragung der IP Adresse verhindert, sondern nur die Speicherung der vollständigen IP Adresse. In meinem 25. Tätigkeitsbericht 2012 unter Nr. 2.3.2 habe ich mich zu dieser Problematik mit Google Analytics ausführlich geäußert.

Überdies bietet Doodle keinen effektiven Zugriffsschutz. So muss für den Zugriff auf die Terminanfrage kein Passwort eingegeben, sondern lediglich ein Link aufgerufen werden. Dadurch kann nicht zuverlässig ausgeschlossen werden, dass die in den Terminabsprachen und Umfragen eingetragenen (personenbezogenen) Daten von Dritten unbefugt eingesehen und geändert werden können, z.B. durch Weitergabe des für den Zugriff erforderlichen Links.

Als datenschutzfreundliche Alternative stehen die Produkte "dudle" der Technischen Universität Dresden (https://dudle.inf.tu-dresden.de/?lang=de (externer Link)) und der "DFN-Terminplaner" (https://terminplaner.dfn.de/schedule.php (externer Link)) zur Verfügung, bei denen zumindest keine Speicherung von IP-Adressen und keine Datenweitergabe ins nicht-europäische Ausland, aber eine automatische Löschung der Einträge nach einer vorher definierten Zeit erfolgt.

Sollte eine öffentliche Stelle in Bayern trotz meiner Bedenken die dienstliche Nutzung von Doodle zulassen, so sind die Bediensteten wenigstens darauf hinzuweisen, dass im Rahmen der Nutzung keine personenbezogenen Daten eingegeben werden dürfen. Überdies hat der Terminkoordinator sicherzustellen, dass jede An- und Umfrage nach Beendigung bei Doodle zuverlässig gelöscht wird.

2.3.2. Schutz vor Backdoor-Programmen

Backdoor-Programme ermöglichen es einem Dritten, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen. Anders als Viren, Trojaner und Würmer öffnen sie ohne Wissen und Wollen des Berechtigten Hintertüren (Backdoor) in Datenverarbeitungssystemen für weitere Zugriffe darauf. Über diese Hintertüren können dann heimlich Verbindungen zu fremden Rechnern gestartet werden, um so Informationen (z.B. Passwörter, Zugangskennungen, Kreditkartennummern, Bankverbindungen) auf den befallenen Datenverarbeitungssystemen auszuspähen, diese Daten zu stehlen oder sie zu manipulieren. Häufig übernehmen Backdoor-Programme auch die komplette Kontrolle und Steuerung des befallenen Datenverarbeitungssystems, nachdem sie zuvor eventuelle Schutzmechanismen (z.B. Firewalls oder Datenverschlüsselung) deaktiviert oder ausgehebelt haben. Sehr oft werden Backdoor-Programme auch zur Erstellung eines Botnetzes eingesetzt, indem sie befallene Datenverarbeitungssysteme miteinander verbinden.

Verbreitungswege

Bei Backdoors kann es sich auch um bewusst eingebaute Sicherheitslücken in Hard- oder Software handeln, die zu den erwähnten Angriffen ausgenutzt werden können. Ich verweise hierzu auf entsprechende Berichte in den Medien vom Dezember 2013 zu solchen Maßnahmen an Routern und Firewalls bestimmter Hersteller im Auftrag amerikanischer Geheimdienste.

Gelegentlich werden Backdoors von Herstellern eines Datenverarbeitungssystems oder seiner Komponenten eingebaut, um ihnen selbst ohne die sonst übliche Authentifizierung remote einen Zugriff auf das Datenverarbeitungssystem zu ermöglichen, z.B. für Wartungszwecke.

Backdoor-Programme werden auch oft heimlich von Trojanern eingeschleppt, die dabei als Trägersysteme dienen. Sie können anschließend vollkommen selbständig von dem Trojaner auf dem befallenen Rechnersystem agieren. Selbst eine Entdeckung und Beseitigung des Trojaners bedeutet also nicht, dass damit auch das Backdoor-Programm entdeckt und beseitigt ist. Gelegentlich werden Mischformen von Trojanern und Backdoor-Programmen entdeckt. Dabei handelt es sich um scheinbar nützliche Programme, die jedoch heimlich einen Fernzugriff auf das befallene Rechnersystem ermöglichen.

Des Weitern können Backdoors dazu dienen, heimlich weitere Schadenssoftware (wie Viren, Trojaner oder Würmer) einzuschleppen oder ein befallenes Rechnersystem für unbefugte Operationen wie beispielsweise Distributed Denial of Services-Angriffe (DDoS) zu benutzen.

Schutzmaßnahmen

Verantwortliche Stellen können Backdoor-Programme wohl am ehesten erkennen und abwehren, wenn sie Open Source Produkte einsetzen. Solche Produkte werden von einer Vielzahl von unabhängigen Entwicklern erarbeitet, was den heimlichen Einbau von technischen Schwachstellen erschwert. Über das Internet können kostenlose Backdoor Scanner heruntergeladen werden, die einen Router auf einen Befall von bekannten Backdoor-Programmen überprüfen.

Desweiteren sollten verantwortliche Stellen zur Vorbeugung vor Backdoor-Programmen folgende Maßnahmen ergreifen:

  • Es sollten redundante, sich gegenseitig überwachende Systeme verschiedener Hersteller beschafft werden.
  • Alle Verbindungen ins Internet sollten über eine Firewall laufen, um unerlaubte Verbindungsversuche entdecken und verhindern zu können.
  • Dabei sollten standardmäßig alle Ports gesperrt und nur diejenigen freigegeben werden, die für gestattete Dienste und Verbindungen benötigt werden.
  • Das Betriebssystem und die eingesetzte Software sollten zur Behebung von Schwachstellen regelmäßig automatisch aktualisiert werden.
  • Es müssen auf allen Rechnersystemen geeignete Antiviren-Programme zur Erkennung von Backdoor-Programmen installiert und auf dem neuesten Stand gehalten werden.
  • Die Rechnersysteme sollten regelmäßig mit Hilfe dieser Schutzprogramme hinsichtlich des Vorhandenseins von Backdoor-Programmen gescannt werden.
  • Es sollten Netzwerk-Monitoring-Programme zur Überwachung aller Ports und Statusanzeigen verwendet werden, um so verdächtige Aktivitäten aufzuspüren.
  • Das Herunterladen von Programmen im Internet sollte nur aus zuverlässigen Quellen erfolgen, z.B. erst nach erfolgreicher Zertifikatsprüfung.

2.3.3. Gewährleistung eines sicheren Datenträgeraustausches

Beim Datenträgeraustausch sind gemäß Art. 7 Abs. 2 Nr. 2 BayDSG Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass personenbezogene Daten (während ihres Transports) auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle). Somit muss verhindert werden, dass Datenträger jeglicher Art beim Transport

  • verloren gehen,
  • entwendet werden,
  • gelesen oder manipuliert werden oder
  • bei einem falschen Empfänger landen.

Gefahren und Risiken

Die öffentliche Stelle hat solche Maßnahmen für einen sicheren Datenträgeraustausch im Rahmen einer Risikoanalyse zu ermitteln. Sie hat zu berücksichtigen, dass bei einem Datenträgeraustausch vor allem die Vertraulichkeit, die Integrität (Unversehrtheit) und die Authentizität (Zurechenbarkeit der Daten) solange nicht sichergestellt sind, wie Manipulationen, unbefugte Kenntnisnahmen und Zustellfehler beim jeweiligen Transport nicht ausgeschlossen werden können.

Bei der Risikoanalyse des Transportwegs sind die Art und Beschaffenheit des zu transportierenden Mediums und die darauf aufgezeichneten Informationen natürlich von besonderer Bedeutung. Sind die gespeicherten Daten verschlüsselt, sind sie für einen Außenstehenden meist ohne Nutzen. Beim Papier- und Filmdatenträger scheidet die Verschlüsselung als Sicherheitsmaßnahme jedoch regelmäßig aus.

Bei maschinenlesbaren Datenträgern ist zusätzlich das Problem der Restdaten aus der letztmaligen Nutzung des Datenträgers zu beachten. Solche Datenträger sind deshalb vor einer Wiederverwendung durch vollständiges Überschreiben mit bedeutungslosen Zeichen datenschutzgerecht zu löschen.

Natürlich besteht bei einem Datenträgeraustausch auch die Gefahr, dass die verwendete Soft- und Hardware bei Absender und Empfänger nicht kompatibel sind, d.h. die übertragenen Informationen beim Empfänger nicht gelesen werden können. Daher muss auch die Kompatibilität überprüft werden. Ist eine Kompatibilität nicht gegeben, müssen Konvertierungsroutinen erstellt werden.

Wahl der Transportart

In Abhängigkeit von der Sensitivität des zu transportierenden Datenmaterials sind die Versandart und der Transportweg festzulegen. Oft sind die Eigenschaften des Transportweges dem Absender und dem Empfänger weder bekannt noch durch sie beeinflussbar. Je mehr Personen mit dem Transport befasst sind und je unbeaufsichtigter der Transport stattfindet, desto größer sind die Risiken für die Vertraulichkeit und Integrität der auf den Datenträgern gespeicherten Informationen. Auch die Verfügbarkeit ist bei der Auswahl der Versand- bzw. Transportart zu berücksichtigen, damit eine rechtzeitige Zustellung soweit wie möglich garantiert werden kann.

Die gängigsten Versand- und Transportarten sind:

  • Postdienste (z.B. Deutsche Post AG, Hermes, UPS, GLS)
  • Deutsche Bahn AG
  • beauftragte Kurierdienste
  • eigene Kuriere
  • persönliche Übergabe

Sicherheitsmaßnahmen

Zur Sicherstellung eines ordnungsgemäßen Datenträgertransports beziehungsweise zur Nachvollziehbarkeit des Transportweges können nachfolgende Sicherheitsmaßnahmen beitragen:

  • Festlegung der Verantwortlichkeiten und Befugnisse zur Auftragserteilung sowie zur Entgegennahme
  • Eindeutige Kennzeichnung von Datenträgern bezüglich Absender und Empfänger
  • Ausreichende und klare Beschriftung der Transportbehälter
  • Auswahl vertrauenswürdiger Firmen
  • Schriftliche Auftragserteilung oder sonstige vertragliche Vereinbarungen
  • Festlegung der Transportart und des Transportdienstes in Abhängigkeit von der Sensitivität der Daten
  • Vorgabe des Transportweges und Benutzung eines bestimmten Transportmittels
  • Verwendung verschließbarer (verplombter, versiegelter) und stabiler Transportbehälter
  • Physikalisches Löschen der Datenträger vor deren erstmaliger oder auch deren Wiederverwendung
  • Verifizieren der Datenträger vor dem Transport bezüglich der Rekonstruierbarkeit der Datenbestände
  • Vorhaltung von Sicherungskopien der Datenträger
  • Verschlüsselung der Daten
  • Einsatz von Checksummen-Verfahren und der elektronischen Signatur zur Erkennung von Datenmanipulationen
  • Dokumentation des Datenträgertransportes
  • Verwendung von Begleitpapieren
  • Führung eines Datenträgereingangs- bzw. -ausgangsbuchs
  • Quittierung des Empfangs

Der gesamte vorgesehene Ablauf des Datenträgeraustausches sollte in einer Dienstanweisung geregelt werden, die den Beschäftigten mitgeteilt wird und die sie zu ihrer Einhaltung verpflichtet.

2.3.4. Teleradiologie mit externem Dienstleister - TKmed

Im Bereich der Teleradiologie gewinnt bundesweit die Plattform "TKmed" an Bedeutung. Sie ist ein Beispiel für die in meinem 25. Tätigkeitsbericht 2012 unter Nr. 2.2.4 bereits allgemein vorgestellte Teleradiologie mit Beteiligung eines externen Dienstleisters.

TKmed bietet eine bundesweite Plattform für den Austausch von Radiologiedaten/Teleradiologie, die im Auftrag der AUC (Akademie für Unfallchirurgie) geschaffen worden ist. Alle Kliniken können an dieser Plattform teilnehmen; Systemanbieter im Auftrag der AUC ist die Chili GmbH. Sie stellt dabei die Softwarekomponenten selbst zur Verfügung. Für die technische Infrastruktur ist die Pegasus GmbH als Auftragnehmer beteiligt. Die Pegasus GmbH stellt die benötigten Server und Netzwerkkomponenten in ihren Rechenzentren zur Verfügung.

Um zu verhindern, dass die beteiligten Dienstleister während der Übermittlung unbefugt Kenntnis von den personenbezogenen medizinischen Daten erhalten können, werden die Daten im jeweiligen Krankenhaus auf den TKmed-Komponenten (Client, Router, Gateway) verschlüsselt und erst beim Empfänger wieder entschlüsselt. Sie werden maximal 14 Tage in der Infrastruktur zwischengespeichert.

Allerdings werden die Verschlüsselungsschlüssel nicht dauerhaft in den Krankenhäusern gespeichert, sondern im ESZ (externen Sicherheitszentrum). Das ESZ wird von einer weiteren Firma als Auftragnehmer der AUC betrieben.

Aus rechtlicher Sicht ist zur Konzeption von TKmed zunächst festzuhalten, dass Patienten über das eingesetzte Verfahren aufzuklären sind und ihre personenbezogenen Daten nur mit ihrer Einwilligung verarbeitet und genutzt werden dürfen (siehe dazu mein 21. Tätigkeitsbericht 2004 Nr. 5.1). Die Einwilligung kann auch zusammen mit dem Behandlungsvertrag abgegeben werden. Sie ist jedoch dann im äußeren Erscheinungsbild der Erklärung hervorzuheben.

Hintergrund ist, dass das Telekonsil aus juristischer Sicht grundsätzlich nicht anders zu behandeln ist, als die Beteiligung eines Konsilararztes ohne telemedizinische Unterstützung. Befindet sich der Konsilararzt in einem anderen Krankenhaus, so müssen die datenschutzrechtlichen Vorschriften zur Übermittlung von Patientendaten eingehalten werden. Nach Art. 27 Abs. 5 Satz 1 Bayerisches Krankenhausgesetz ist eine Übermittlung von Patientendaten an Dritte insbesondere zulässig im Rahmen des Behandlungsverhältnisses oder wenn die betroffenen Personen eingewilligt haben.

Im Hinblick auf meine im 25. Tätigkeitsbericht 2012 unter Nr. 2.2.4 aufgestellten technischen Anforderungen ist festzustellen, dass die Nutzung von TKmed in bayerischen öffentlichen Krankenhäusern folgende Zusatzmaßnahmen erfordert:

Im Konzept von TKmed erfolgt tatsächlich eine Ver- und Entschlüsselung im Krankenhaus. Allerdings liegen die Klartextdaten sowie die Verschlüsselungsschlüssel temporär auf den TKmed-Komponenten im Krankenhaus. Da auf diesen Komponenten ein Fernwartungszugriff erfolgt, muss sichergestellt sein, dass hierbei für die beteiligten Dienstleister kein Zugriff auf diese Daten oder die Schlüssel möglich ist. Es sind daher vertraglich entsprechende Maßnahmen festzulegen, wie z.B. grundsätzliche Deaktivierung des Fernwartungszugangs und Anschalten nur durch das Klinikum, Möglichkeit zur Entfernung der Schlüssel und der Daten bzw. zur Unterbrechung von Datenübertragungen vor der Fernwartung, geschützte Ablage der Schlüssel auf den TK-Komponenten, so dass diese für die Fernwartung nicht zugänglich sind. Zudem sollte in der Einwilligungserklärung (siehe oben) auf die Fernwartung hingewiesen werden.

Die gewählte Verschlüsselung stellt sicher, dass die Chili GmbH beziehungsweise die Pegasus GmbH während des Transports und der Zwischenspeicherung der Daten in der externen Infrastruktur keine Einsicht nehmen können. Allerdings ist das ESZ kein Klinikum oder eine mit einem Traumanetzwerk verbundene Einrichtung, sondern ebenfalls eine externe Firma, mit der das Klinikum nicht in einer direkten vertraglichen Beziehung steht und somit auch keine Weisungsbefugnisse oder ähnliches ausüben kann. Es muss jedoch sichergestellt werden, dass das ESZ als eine Art Treuhänder für die Kliniken fungiert und nicht etwa die AUC oder Chili GmbH als Gesamtauftraggeber eine Herausgabe des Schlüssels fordern können. Für die Nutzung von TKmed durch bayerische Kliniken sind vertragliche Regelungen zur Weisungsbefugnis und zu den erlaubten Tätigkeiten zu treffen. Zudem muss ein Sicherheitskonzept zum Umgang mit den Schlüsseln im ESZ vorhanden sein, da diese von kritischer Bedeutung für die Sicherheit des Gesamtsystems und aller übermittelten medizinischen Daten sind.

2.3.5. Weitere Entwicklungen bei der Verwendung von mobilen Geräten im Krankenhaus, BYOD

Im Vergleich zu meinem letzten Tätigkeitsbericht hat es im Bereich der mobilen Geräte (Smartphones, TabletPCs) einige technische Weiterentwicklungen gegeben. So bieten beispielsweise mittlerweile einige Hersteller Virtualisierungssoftware für diese Geräte an, so dass ein virtueller Arbeitsplatz eingerichtet werden kann, bei dem sensible Daten nicht mehr auf dem Gerät abgelegt werden. Auch die Trennung der Anwendungen in einen privaten und in einen dienstlichen Bereich hat Fortschritte gemacht.

Dennoch sehe ich die Nutzung von privaten Geräten für den Zugriff auf personenbezogene medizinische Daten aus den im 25. Tätigkeitsbericht 2012 unter Nrn. 2.1.3, 2.1.4, 2.2.5 und 7.3 aufgeführten Gründen weiterhin kritisch.

Werden mobile Geräte aus dienstlichen Gründen benötigt, sollten sie vom Dienstherrn mit den entsprechenden Sicherheitsmaßnahmen zur Verfügung gestellt werden. Die Nutzung von Privatgeräten kann nur nach einer Einzelfallprüfung der Erforderlichkeit unter Beteiligung des behördlichen Datenschutzbeauftragten sowie bei angemessenen Sicherheitsmaßnahmen in Betracht kommen.

Besonders erfreulich ist, dass sich auch die Taskforce IT-Sicherheit der bayerischen Universitätsklinika dieser Ansicht angeschlossen und einen entsprechenden Leitfaden erarbeitet hat, da gerade in den Universitätsklinika der Wunsch nach einer Nutzung von Privatgeräten aufgrund der Forschungstätigkeiten der Ärzte groß ist. Mit dem Leitfaden konnte eine für alle Beteiligten zufriedenstellende und datenschutzgerechte Lösung gefunden werden.

2.3.6. Backup von Radiologiedaten bei externen Dienstleistern

Im Rahmen von Prüfungen und Befragungen diverser bayerischer Krankenhäuser hat sich herausgestellt, dass einige das Backup ihrer Radiologiedaten in einem Rechenzentrum eines kommerziellen Unternehmens im europäischen Ausland halten, wobei die Daten dort zum Prüfungs- bzw. Befragungszeitpunkt unverschlüsselt abgespeichert waren.

Ich sehe eine unverschlüsselte Speicherung personenbezogener medizinischer Daten bei einem externen Dienstleister als nicht vereinbar mit Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz (BayKrG) an. Das Backup hat so zu erfolgen, dass es entweder nur innerhalb des/eines Krankenhauses oder eine Verschlüsselung der Daten in der Form erfolgt, dass der externe Dienstleister keine Einsicht in die Daten nehmen kann.

Bezüglich der verschlüsselten Datenspeicherung bei externen Dienstleistern sind die bereits in meinen früheren Tätigkeitsberichten aufgeführten Punkte zu beachten (siehe 17. Tätigkeitsbericht 1996 Nr. 3.4.1.5, 18. Tätigkeitsbericht 1998 Nr. 3.3.5.2, 21. Tätigkeitsbericht 2004 Nr. 22.2.3.2, 22. Tätigkeitsbericht 2006 Nr. 13.2.5). Kern dabei ist, dass nur das Krankenhaus selbst die Möglichkeit zur Entschlüsselung der Daten haben darf und die Daten während der gesamten Speicherdauer auf Servern des Dienstleisters verschlüsselt bleiben müssen.

Die Verschlüsselung der Daten hat somit vor ihrer Übertragung an das externe Rechenzentrum innerhalb des Krankenhauses zu erfolgen und nicht erst im Rechenzentrum des Dienstleisters. Die Verschlüsselungsschlüssel müssen auf Komponenten im Krankenhaus gespeichert werden. Eine Zugriffsmöglichkeit auf die Schlüssel darf nur für Mitarbeiter des Krankenhauses, nicht jedoch für den externen Dienstleister (z.B. per Fernwartung) bestehen. Das Schlüsselmanagement (Schlüsselerzeugung, Schlüsselwechsel etc.) muss von Mitarbeitern des Krankenhauses durchgeführt werden; ein vom Dienstleister eventuell angebotener entsprechender Service scheidet aus.

Eine Entschlüsselung der Daten darf ebenfalls nur im Krankenhaus erfolgen - bei Beachtung der vorgenannten Aspekte kann sie auch nur dort vorgenommen werden.

2.3.7. Bayerisches Rotes Kreuz Telematik II

Das Bayerische Rote Kreuz (BRK) hat mich um Beratung bezüglich des Projekts Telematik II gebeten. Bei diesem Projekt wurde das BRK von den Krankenkassen beauftragt, eine Lösung für die elektronische Dokumentation im Rettungswesen für alle in Bayern tätigen Rettungsdienste bereitzustellen, bei der das bisherige papierene Rettungseinsatzprotokoll (DIVI-Protokoll) durch eine elektronische Dokumentation ersetzt wird. Die nunmehr vom BRK verwirklichte Konzeption berücksichtigt die von mir gemachten Änderungs- und Ergänzungsvorschläge.

Für die Umsetzung des Projekts wird die Systemlösung eines Herstellers aus dem Medizinbereich verwendet. Die Erfassung des Einsatzes durch die Rettungsdienstmitarbeiter erfolgt hierbei auf speziellen Pads, die für den Einsatz im Rettungswagen konzipiert sind. Es handelt sich dabei nicht um aus dem Konsumentenbereich bekannte TabletPCs, sondern um speziell für derartige Einsatzzwecke entwickelte Geräte. Die Einsatzprotokolle werden nach Abschluss der Dateneingabe an einen Server übermittelt, der im Rechenzentrum des BRK steht. Dieser wiederum übermittelt die Daten elektronisch an die aufnehmende Klinik und die ZAST (Zentrale Abrechnungsstelle für den Rettungsdienst Bayern GmbH). Zusätzlich besteht für die BRK-Rettungswachen, die die Einsätze durchführen, die Möglichkeit, die Daten der eigenen Einsätze über eine Client-Anwendung einzusehen. Nach einer vorangegangenen gegenseitigen Authentifizierung der Komponenten erfolgen alle Datenübermittlungen und -abrufe verschlüsselt.

Eine elektronische Übergabe der Einsatzprotokolle von dem zentralen Server des BRK an das jeweilige Krankenhausinformationssystem ist derzeit noch nicht möglich, da die entsprechenden Schnittstellen noch nicht vorhanden sind. Die Übergabe der Daten erfolgt daher derzeit durch Ausdruck aus dem Pad, per Telefax oder durch eine spezielle Software, über die das Krankenhaus per virtuellem privaten Netzwerk (VPN) für einen bestimmten Zeitraum Einsicht in die auf dem Server gespeicherten Daten nehmen kann. Dabei besteht die Möglichkeit, den Bericht als PDF-Datei herunterzuladen. Dabei kann das Krankenhaus Einsicht nur in die Berichte derjenigen Patienten nehmen, die auch dorthin eingewiesen werden.

Die Zugriffsmöglichkeiten innerhalb der BRK-Rettungswachen richten sich nach den Aufgaben der einzelnen Mitarbeiter. Es ist ein Berechtigungskonzept umgesetzt, das sicherstellt, dass jeder nur die Daten einsehen kann, die für seine Aufgabenerfüllung erforderlich sind. Hinsichtlich der Einsichtsrechte ergeben sich durch die elektronische Dokumentation keine Änderungen im Vergleich zur Papierdokumentation.

Auf den Pads ist immer nur das aktuell in Bearbeitung befindliche Einsatzprotokoll gespeichert. Nach der erfolgreichen Übertragung auf den zentralen Server beim BRK wird es automatisch vom Pad gelöscht. Es wird eine PIN zur Sperrung der Geräte verwendet, so dass nur die Mitarbeiter des Rettungsdienstes auf das Gerät zugreifen können. Die PINs werden auf allen Geräten regelmäßig ausgewechselt um zu verhindern, dass beispielsweise Personen, die aus dem Rettungsdienst ausgeschieden sind, weiterhin auf Geräte zugreifen können. Zudem wurden Maßnahmen gegen ein beliebiges Ausprobieren von PINs ergriffen.

Am Projekt sind externe Firmen beteiligt - sowohl für die Wartung der Geräte als auch für den Betrieb des Rechenzentrums des BRK. In beiden Fällen wurden Verträge zur Auftragsdatenverarbeitung gemäß Art. 6 BayDSG abgeschlossen. Um den externen Dienstleistern einen unberechtigten Zugriff auf und eine unberechtigte Kenntnisnahme der personenbezogenen Daten zu verwehren, erfolgt in der Datenbank des Servers eine Trennung der Einsatzprotokolle in verschiedene Datenbank-Tabellen und eine Verschlüsselung der identifizierenden Daten der Pa-tienten.

2.3.8. Brennen und Versand von CDs durch Krankenhäuser

Aufgrund der großen Datenmengen z.B. bei Radiologiedaten wie CT-Bildern geben Krankenhäuser zunehmend CDs an Patienten oder auch an nachbehandelnde Ärzte heraus, die die Daten des jeweiligen Patienten enthalten. Im Berichtszeitraum erreichten mich zwei voneinander unabhängige Eingaben von Bürgern, dass auf von ihren behandelnden Krankenhäusern erstellten CDs neben oder teilweise anstelle der eigenen Daten (auch) Daten anderer Patienten enthalten seien. Meine Nachprüfungen ergaben, dass ursächlich für diese Vorkommnisse organisatorische Schwächen verbunden mit einer schlechten technischen Unterstützung der Abläufe waren. Da ich hier auch von einer gewissen Dunkelziffer an ähnlich gelagerten Vorfällen ausgehe, weise ich auf Folgendes hin:

Die Weitergabe von CT-Bildern eines Patienten an einen anderen Patienten stellt sowohl einen Verstoß gegen Datenschutzbestimmungen als auch eine Durchbrechung der ärztlichen Schweigepflicht dar.

§ 10 Abs. 5 Berufsordnung für die Ärzte Bayerns

Aufzeichnungen auf elektronischen Datenträgern oder anderen Speichermedien bedürfen besonderer Sicherungs- und Schutzmaßnahmen, um deren Veränderung, Vernichtung oder unrechtmäßige Verwendung zu verhindern. Ärztinnen und Ärzte haben hierbei die Empfehlungen der Ärztekammer zu beachten.

Sie muss daher durch technische wie organisatorische Maßnahmen verhindert werden. Hierzu gehört insbesondere eine Dienstanweisung, in der festgelegt wird, durch wen und nach welcher Vorgehensweise Patientendaten auf CD gebrannt werden dürfen. Insbesondere muss darin der Punkt "Ausgangskontrolle" enthalten sein: Vor Herausgabe einer CD muss durch Einsichtnahme in die CD geprüft werden, ob die gespeicherten Bilder mit den Daten des Empfängers (gemäß Personalausweis oder schriftlicher Anforderung) übereinstimmen, d.h. tatsächlich nur diesem zuzuordnen sind. Erst dann darf die CD an den Empfänger herausgegeben oder versandt werden. Alle Mitarbeiter müssen regelmäßig in diese Vorgehensweisen und in die Handhabung der Brennstation unterwiesen werden.

Zudem muss nachprüfbar sein, wer zu welchem Zeitpunkt welche Patientendaten auf CD gebrannt hat. Vorzugsweise sollte dies durch eine Protokollierung in der Brennstation erfolgen. Ist dies technisch nicht möglich, sollten alle Brennvorgänge über einen Leistungsauftrag oder ähnlichem stattfinden, in dem die CDs und Patientennamen schriftlich von dem Mitarbeiter, der die CD gebrannt hat, festgehalten werden.

Für einen Postversand der CDs muss ein zuverlässiger Postdienstleister ausgewählt werden. Zudem muss ein Verfahren festgelegt werden, wie der Postdienstleister nicht zustellbare CDs zu behandeln hat. Auch der Versand muss nachvollziehbar dokumentiert werden, in dem zum Beispiel festgehalten wird, warum (Anforderung des Nachbehandlers oder des Patienten) und wann eine CD mit welchen Inhalten an welche Adresse versandt wurde.

2.3.9. Webportale in der Sozialverwaltung

Im Bereich der Sozialverwaltung werden zunehmend Webportale entwickelt, um dem Bürger die Beantragung von Leistungen zu erleichtern. So gibt es beispielweise Webportale des ZBFS (Zentrum Bayern Familie und Soziales) für die Online-Beantragung von Elterngeld und Betreuungsgeld oder die Zusendung von Elternbriefen. Auch zur Erfüllung von Dokumentationspflichten durch beteiligte Stellen in Verbundverfahren werden Webportale verwendet, auf die über das Internet zugegriffen wird.

Bei Webportalen im Sozialbereich ist besonders zu beachten, dass es sich bei den übermittelten Daten häufig um Sozialdaten handelt, die einem besonderen Schutzbedarf unterliegen. Dementsprechend müssen Webportale im Sozialbereich mit erhöhten technischen Sicherheitsmaßnahmen geschützt werden:

Häufig erfolgt der technische Betrieb des Webportals und des Servers zur Speicherung der eingegebenen Daten nicht durch die einsetzende Stelle selbst, sondern durch ein Rechenzentrum. Es kann sich dabei um eine Auftragsdatenverarbeitung handeln, für die ein entsprechender Vertrag abgeschlossen werden muss. Dabei hat die sozialdatenschutzrechtlich verantwortliche Stelle den Auftragnehmer mit besonderer Sorgfalt auszuwählen. Es empfiehlt sich daher die Nutzung öffentlich-rechtlicher Rechenzentren, wobei der vorhandene Mustervertrag zur Auftragsdatenverarbeitung um Klauseln für den besonderen Schutzbedarf der Sozialdaten ergänzt werden muss. Bei privaten Rechenzentren muss der Auftraggeber zunächst sorgfältig prüfen, ob sie die Anforderungen an den Schutzbedarf überhaupt erfüllen können.

Das Webportal muss mit dem Stand der Technik entsprechender Verschlüsselung arbeiten (siehe Nr. 2.2.4), zudem muss eine zuverlässige Identifizierung und Authentifizierung der Benutzer erfolgen. Vor der Inbetriebnahme muss eine Prüfung des Webportals auf Sicherheitslücken durch das Bayern-CERT erfolgen, des Weiteren ist die Freigabe des behördlichen Datenschutzbeauftragten der einsetzenden Stelle (Auftraggeber) erforderlich. Da neue Sicherheitslücken typischerweise in sehr kurzen zeitlichen Abständen bekannt werden, müssen auch während des Betriebs des Webportals regelmäßig Sicherheitsüberprüfungen erfolgen.

Um das Anwachsen der Datenbestände zu verhindern, muss bereits bei der Konzeption des Webportals und der dahinter stehenden Anwendungen geprüft werden, wann Daten gelöscht werden können und wie dies technisch umgesetzt wird.

2.3.10. Meldungen nach § 42a BDSG im Krankenhaus

Krankenhäuser in öffentlicher Trägerschaft sind eigenständige öffentliche Stellen im Sinne von Art. 4 Abs. 2 Satz 1 in Verbindung mit Art. 2 Abs. 1 und 2 BayDSG. Es gilt für sie somit grundsätzlich das Bayerische Datenschutzgesetz, soweit nicht gemäß Art. 2 Abs. 7 BayDSG bereichsspezifische Datenschutzvorschriften vorgehen oder das Bayerische Datenschutzgesetz selbst die Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG) bestimmt.

Gemäß Art. 3 Abs. 1 BayDSG ist für öffentliche Stellen das BDSG mit Ausnahme des zweiten Abschnitts anwendbar, soweit sie im Sinne von Art. 3 Abs. 1 BDSG am Wettbewerb teilnehmen, indem sie etwa Leistungen erbringen, die auch von anderen (privaten) Stellen erbracht werden können. Dies trifft grundsätzlich für Leistungen im Bereich der Krankenversorgung zu.

Ich gehe daher für die bayerischen öffentlichen Krankenhäuser inklusive der Universitätsklinika in der Regel davon aus, dass für sie die Sonderregelung für Wettbewerbsunternehmen des Art. 3 Abs. 1 BayDSG zur Anwendung kommt.

Die Krankenhäuser müssen daher interne Regelungen treffen, dass von allen Bereichen datenschutzrelevante Vorfälle gemeldet werden. Die Mitarbeiter sind entsprechend zu sensibilisieren und interne Stellen zu benennen, an die die Vorfälle zu melden sind. Im Rahmen einer krankenhausinternen Prüfung des Vorfalls unter Beteiligung des behördlichen Datenschutzbeauftragten muss festgestellt werden, ob der Vorfall den Anforderungen des § 42a BDSG genügt und damit eine entsprechende Meldepflicht einhergeht.

Wird ein Fall einer unrechtmäßigen Kenntniserlangung von personenbezogenen medizinischen Daten festgestellt, sind die Maßnahmen nach § 42a BDSG zu ergreifen. Im Rahmen der Meldung des Vorfalls an meine Behörde sind insbesondere folgende Punkte detailliert darzulegen:

  • Schilderung des Sachverhalts
  • Umfang der bekanntgewordenen Daten, Sensibilität
  • Anzahl der betroffenen Personen
  • Darlegung zu den möglichen nachteiligen Folgen für die Betroffenen
  • Ergriffene Maßnahmen, um eine Wiederholung des Datenschutzverstoßes in Zukunft zu verhindern
  • Mitteilung, ob bzw. wann die Betroffenen gemäß § 42a BDSG informiert wurden

Seit der Einführung dieses Paragraphen zum 01.09.2009 habe ich von den Krankenhäusern Meldungen im einstelligen Bereich erhalten, was möglicherweise auch auf Unklarheiten bei der Frage zurückzuführen ist, ob § 42a BDSG überhaupt für bayerische öffentliche Krankenhäuser anwendbar ist.

Die gemeldeten Fälle betrafen zumeist den Verlust von Papierunterlagen bzw. Datenträgern oder Nachlässigkeiten bei der Aufbewahrung sensibler Informationen, so dass eine unbefugte Kenntnisnahme erfolgen konnte. Hierbei war immer nur ein kleiner Teil der Gesamtzahl der Patienten betroffen, die entsprechend vom Krankenhaus informiert wurden. Des Weiteren habe ich mir von allen Häusern darlegen lassen, welche Maßnahmen sie ergriffen haben, um eine Wiederholung zu verhindern.

2.3.11. Bestellung eines Hauptamtsleiters zum behördlichen Datenschutzbeauftragten

Insbesondere bei kleineren Gemeinden stellt sich immer wieder die Frage, wer zum behördlichen Datenschutzbeauftragten bestellt werden kann. Wie ich aufgrund von Prüfungen und Anfragen erfahren habe, wird zunehmend dazu übergegangen, den Hauptamtsleiter zum behördlichen Datenschutzbeauftragten zu ernennen. Dazu ist Folgendes festzustellen:

Der behördliche Datenschutzbeauftragte kann innerhalb einer Gemeinde auch mit anderen Aufgaben beauftragt werden, da er nur bei großen Kommunen mit Datenschutzaufgaben voll ausgelastet sein wird. Er sollte jedoch nicht mit solchen Aufgaben beschäftigt sein, die mit seiner Funktion als Datenschutzbeauftragter inhaltlich nicht vereinbar sind. Nicht vereinbar sind weitere Aufgaben, wenn sie die Gefahr von Interessenskonflikten begründen. So sollte der Datenschutzbeauftragte nicht in der DV-Abteilung tätig sein (insbesondere nicht als deren Leiter oder Systemverwalter), auch wenn dies gesetzlich nicht ausdrücklich verboten ist.

Auch nicht zu Datenschutzbeauftragten können die datenschutzrechtlich Verantwortlichen (z.B. der Bürgermeister) bestellt werden, da sie sich selbst nicht wirksam kontrollieren können. Außerdem bestimmt Art. 25 Abs. 3 BayDSG, dass der Datenschutzbeauftragte der Leitung der öffentlichen Stelle oder deren ständigen Vertretung unmittelbar zu unterstellen ist; in Gemeinden kann er auch einem berufsmäßigen Gemeinderatsmitglied unterstellt werden.

Ein Hauptamtsleiter ist zwar bereits in dieser Funktion dem Bürgermeister direkt unterstellt, allerdings ist auch er in der Regel Interessenkonflikten ausgesetzt, da er gleichzeitig in verantwortlicher Position Aufgaben in anderen Bereichen wahrnimmt - so entscheidet er im Regelfall über die Einstellung, Einstufung, Beförderung oder Entlassung von Bediensteten zumindest mit. Überdies dürfte der Hauptamtsleiter häufig nicht über genügend Zeit auch noch zur Ausübung der Tätigkeit eines Datenschutzbeauftragten verfügen. Ich rate daher davon ab, einen Hauptamtsleiter zum behördlichen Datenschutzbeauftragten zu bestellen.

2.3.12. Einsatz privater Laptops bei der Auszählung von Kommunalwahlen

Aufgrund leerer Kassen sind vereinzelt Gemeinden auf die Idee gekommen, private Laptops (z.B. der Wahlhelfer) bei der Auszählung von Kommunalwahlen einzusetzen. Dies habe ich aus datenschutzrechtlichen Gründen abgelehnt.

So könnten die Wahlergebnisse - falls sie auf dem Laptop gespeichert werden - manuell oder automatisch mittels einer präparierten Software verfälscht werden. Selbst wenn die Datenspeicherung lediglich auf externen, kommunalen Datenträgern (z.B. USB-Sticks) und nicht auf den eingesetzten privaten Rechnern erfolgen sollte - was eine Minimalforderung bezüglich der Verwendung privater PCs wä-re - könnten diese Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden. Es ist zumindest nicht auszuschließen, dass die personenbezogenen Daten von dem Datenträger auf die Festplatte des eingesetzten privaten Rechners kopiert, dort (automatisch mit Hilfe eines abgespeicherten Programms) verändert und die veränderten Daten wieder auf den externen Datenträger übertragen werden.

Unter Umständen ist auch ein Kopieren der Daten gar nicht erforderlich, um sie zu verfälschen. Dieses Verfälschen könnte auch - zumindest bei einer fehlenden oder fehlerhaften Zugangs- und Zugriffskontrolle (Art. 7 Abs. 2 Nrn. 1 und 5 BayDSG) - direkt auf dem externen Datenträger vorgenommen werden. Für einen IT-Kenner dürfte die Erstellung eines entsprechenden Schadensprogramms und Abspeicherung auf seinem zur Wahlauszählung eingesetzten Rechner kein großes Problem sein, wodurch die erwähnte Manipulation unbemerkt im Hintergrund ablaufen könnte. Auch ein Austausch des gesamten USB-Sticks gegen einen vorher entsprechend präparierten eigenen USB-Stick ist sicherlich nicht ganz auszuschließen. In diesem Falle hätte die Gemeinde nicht nur ein Datenschutzproblem, sondern auch ein strafrechtliches Problem (Wahlfälschung).

Auch eine verschlüsselte Datenspeicherung bietet unter diesen Gegebenheiten keinen ausreichenden Schutz, da die Daten zumindest gelöscht werden könnten.

Das gleiche Problem und die gleichen Gefahren bestehen bei einem Anmieten von Laptops. Zusätzlich müsste auch noch eine datenschutzgerechte Entsorgung etwaig gespeicherter Daten auf diesen Rechnern gewährleistet sein.

Ich rate daher dringend, auch bei den nächsten Kommunalwahlen ausschließlich auf dienstliche Geräte zurückzugreifen und auf den - wenn auch gut gemeinten - Einsatz privater Geräte zu verzichten.

2.4. Orientierungshilfen

2.4.1. Aktualisierungen

Im 25. Tätigkeitsbericht 2012 unter Nr. 7.2 habe ich über die im Jahr 2011 erstmalig veröffentlichte "Orientierungshilfe Krankenhausinformationssysteme" der Datenschutzbeauftragten des Bundes und der Länder berichtet.

Die im Rahmen von gezielten Prüfungen gewonnenen wesentlichen Erkenntnisse zur praktischen Umsetzung dieser Orientierungshilfe stelle ich in Nr. 2.2.3 vor.

Diese Orientierungshilfe wurde nun redaktionell zu einer 2. Fassung überarbeitet (siehe Nr. 7.2.8) und ist ebenso wie die 1. Fassung auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" auffindbar.

2.4.2. Neuerscheinungen

Orientierungshilfe "Datenträgerentsorgung"

Im Februar 2014 habe ich die Orientierungshilfe "Datenträgerentsorgung" erstellt. Damit habe ich dem Umstand Rechnung getragen, dass die im Jahre 1985 erschienene DIN 32757 und die DIN 44300 im Oktober 2012 beziehungsweise zum Jahreswechsel 2012/2013 durch die neue DIN 66399 abgelöst wurden.

Für nähere Informationen verweise ich auf meine Ausführungen (siehe Nr. 2.1.3) und auf die Orientierungshilfe selbst, die auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" abgerufen werden kann.

Orientierungshilfe "Fanpages bayerischer öffentlicher Stellen in sozialen Netzwerken zum Zweck der Öffentlichkeitsarbeit"

Im März 2013 habe ich die Orientierungshilfe "Fanpages bayerischer öffentlicher Stellen in sozialen Netzwerken zum Zweck der Öffentlichkeitsarbeit" erstellt. Sie kann auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" abgerufen werden.

Anlass für diese Orientierungshilfe war unter anderem der Umstand, dass viele bayerische öffentliche Stellen bereits seit Längerem auf ihrer eigenen Webseite Informationen veröffentlichen, aber auch zunehmend nach weiteren, erfolgversprechenden Kommunikationswegen suchen. Einer dieser neuen Kommunikationswege scheinen die sogenannten sozialen Netzwerke wie z.B. Facebook und Google+ zu sein.

In meiner Orientierungshilfe gehe ich auf die grundsätzlichen rechtlichen Fragestellungen bei Fanpages sowie die noch nicht endgültig geklärten Aspekte ein, gebe eine Empfehlung für bayerische öffentliche Stellen hierzu ab und beschreibe mögliche Ausgestaltungsvarianten.

In diesem Zusammenhang verweise ich auch auf die Entschließung "Soziale Netzwerke brauchen Leitplanken - Datenschutzbeauftragte legen Orientierungshilfe vor" der 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 13./14.03.2013.

Entschließung der 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 13./14.03.2013

"Soziale Netzwerke brauchen Leitplanken - Datenschutzbeauftragte legen Orientierungshilfe vor"

"Angesichts der zunehmenden Bedeutung sozialer Netzwerke erinnert die Datenschutzkonferenz deren Betreiber an ihre Verpflichtung, die Einhaltung datenschutzrechtlicher Anforderungen sicherzustellen. Auch Unternehmen und öffentliche Stellen, die soziale Netzwerke nutzen, müssen diesen Anforderungen Rechnung tragen. Die Erfahrung der Aufsichtsbehörden zeigt, dass der Schutz der Privatsphäre von den Betreibern sozialer Netzwerke nicht immer hinreichend beachtet wird.

Häufig vertrauen die Nutzenden den Betreibern dieser Dienste sehr persönliche Informationen an. Auch die Vielfalt der Informationen, die innerhalb eines Netzwerkes aktiv eingestellt oder über die Nutzerinnen und Nutzer erhoben werden, ermöglicht einen tiefen Einblick in deren persönliche Lebensgestaltung.

Es zeichnet sich ab, dass die angekündigte Selbstregulierung für soziale Netzwerke - insbesondere auf Grund der mangelnden Bereitschaft einiger großer Netzwerk-Betreiber - den erforderlichen Datenschutzstandard nicht gewährleisten kann. Deshalb haben die Datenschutzbeauftragten des Bundes und der Länder die Orientierungshilfe "Soziale Netzwerke" erarbeitet. Sie soll die Betreiber sozialer Netzwerke und die die Netzwerke nutzenden öffentlichen und privaten Stellen bei der datenschutzgerechten Gestaltung und Nutzung der Angebote unterstützen. Die Konferenz weist darauf hin, dass der vorhandene Rechtsrahmen zur Gewährleistung eines angemessenen Datenschutzes bei sozialen Netzwerken weiterentwickelt werden muss, insbesondere in Bezug auf konkrete und präzise Vorgaben zu datenschutzfreundlichen Voreinstellungen, zum Minderjährigenschutz, zur Löschungsverpflichtung bei Dritten und zum Verhältnis von Meinungsfreiheit und Persönlichkeitsrecht. Ferner wird die Verantwortlichkeit für den Umgang mit Nutzungsdaten in Bezug auf Social Plug-Ins, Fanpages sowie für den Einsatz von Cookies von vielen Unternehmen und Behörden in Abrede gestellt. Der europäische und nationale Gesetzgeber bleiben aufgefordert, für die notwendige Klarheit zu sorgen und damit einen ausreichenden Datenschutzstandard zu sichern. Darauf weist die Konferenz der Datenschutzbeauftragten erneut nachdrücklich hin."

Der Text der Entschließung und die zugehörige Orientierungshilfe stehen auch auf meiner Homepage https://www.datenschutz-bayern.de unter "Konferenzen" - "Entschließung der 85. DSK vom 13. - 14. März 2013" zum Abruf bereit.

Orientierungshilfe "Apps"

Die Datenschutzaufsichtsbehörden des Bundes und der Länder für den nichtöffentlichen Bereich haben im Juni 2014 eine "Orientierungshilfe Apps" erstellt, in der sie die Rahmenbedingungen für eine gesetzeskonforme Entwicklung und Nutzung von Apps dargestellt haben. Die Orientierungshilfe ist unter anderem abrufbar beim Landesamt für Datenschutzaufsicht unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf (externer Link) .

Die Datenschutzaufsichtsbehörden tragen damit den niederschmetternden Ergebnissen ihrer datenschutzrechtlichen Prüfungen von Apps im nicht-öffentlichen Bereich Rechnung. Bei diesen Prüfungen mussten sie feststellen, dass sehr viele Apps insbesondere im Hinblick auf die Information der Nutzer, wann welche Daten zu welchem Zweck erhoben und genutzt werden, unzureichend waren.

Auch bayerische öffentliche Stellen treten zunehmend selbst als App-Entwickler oder als App-Anbieter auf. Ich empfehle daher allen bayerischen öffentlichen Stellen, bei entsprechendem Vorhaben auch die vorgenannte Orientierungshilfe mit heranzuziehen. Im Übrigen verweise ich auf meine Ausführungen unter Nr. 2.1.2.