Sie sind hier: > Start > Tätigkeitsberichte > 27. TB 2016 > 2. Informations- und Kommunikationstechnik und Organisation
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.01.2017
2. Informations- und Kommunikationstechnik und Organisation
2.1. Grundsatz- und Einzelthemen
2.1.1. Einsatz staatlich freigegebener Verfahren in den Kommunen - Gesetzesänderung
Nach Art. 26 BayDSG bedarf ein automatisiertes Verfahren, mit dem personenbezogene Daten verarbeitet werden, insbesondere vor dem erstmaligen Einsatz der schriftlichen Freigabe durch den behördlichen Datenschutzbeauftragten der das Verfahren einsetzenden öffentlichen Stelle.
Diese lokal vorzunehmende Freigabe ist nicht erforderlich bei Verfahren, welche durch das fachlich zuständige Staatsministerium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich freigegeben worden sind (Art. 26 Abs. 1 Satz 2 Halbsatz 2 BayDSG). Diese "Befreiung" von der Erforderlichkeit einer lokal vorzunehmenden datenschutzrechtlichen Freigabe galt bis zum 21. Dezember 2015 nur für staatliche Stellen. Kommunen hingegen, welche die gleichen Verfahren einsetzten, mussten diese Verfahren selbst prüfen und diese auch selbst datenschutzrechtlich freigeben. Kommunen konnten bis dahin nur solche Verfahren ohne eigene datenschutzrechtliche Freigabe einsetzen, wenn diese durch die Anstalt für Kommunale Datenverarbeitung in Bayern gemäß Art. 26 Abs. 1 Satz 2 Halbsatz BayDSG bereits freigegeben waren.
Mit der letzten Änderung des Bayerischen Datenschutzgesetzes am 22. Dezember 2015 ist es nunmehr auch den Kommunen möglich, derartige Verfahren einzusetzen, ohne sie erneut selbst freigeben zu müssen. Der Einsatz von bereits staatlicherseits datenschutzrechtlich freigegebenen Verfahren ist durch diese neue Regelung für Kommunen deutlich vereinfacht worden.
Die Kommunen sind jedoch - wie auch bei den von der Anstalt für Kommunale Datenverarbeitung in Bayern freigegebenen Verfahren - gehalten, eine Kopie der datenschutzrechtlichen Freigabe des Verfahrens zum eigenen Verfahrensverzeichnis zu nehmen.
2.1.2. Schutz vor Ransomware
Seit September 2015 wird in den Medien verstärkt über Cyber-Angriffe mittels sogenannter Ransomware berichtet. Dabei handelt es sich um Schadprogramme, die den Zugang zu Computern und mobilen Geräten (etwa Tablets oder Smartphones) verhindern und/oder darauf gespeicherte Daten verschlüsseln. Benutzerinnen und Benutzer erhalten bei Zugriffsversuchen häufig lediglich eine Meldung, dass ihr Gerät gesperrt ist und die Daten verschlüsselt sind. Zusätzlich wird eingeblendet, auf welche Weise sie womit und wohin Lösegeld bezahlen müssen, um wieder auf ihre Daten zugreifen zu können.
Ransomware stellt eine neue Form der Trojanischen Pferde dar und setzt sich aus den englischen Wörtern Ransom (Lösegeld) und Software zusammen. Neben Privatpersonen und Unternehmen zählen auch Behörden, Kommunen und deren Einrichtungen zunehmend zu den auserwählten Opfern.
Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, werden die Geschädigten aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entschlüsselung oder die Zusendung des benötigten Passworts versprochen, falls zuvor eine Bezahlung (typischerweise in Bitcoins) erfolgt ist. Von einer Bezahlung rät aber das Bundesamt für Sicherheit in der Informationstechnik (BSI) ab, da auch nach Bezahlung des Lösegelds nicht sicher sei, ob die Daten tatsächlich wieder entschlüsselt würden. Zudem würde die Zahlungsbereitschaft der Opfer festgestellt, wodurch weitere Forderungen nicht auszuschließen seien. Bei einer Zahlung mittels Kreditkarte würden dem Kriminellen darüber hinaus weitere private Informationen zugänglich. Stattdessen rät das BSI, Anzeige zu erstatten.
Eingeschleust wird Ransomware oft durch verseuchte USB-Sticks oder infizierte E-Mail-Anhänge angeblicher Rechnungen, Bestellbestätigungen und dergleichen. Werden diese Anhänge geöffnet, startet im Hintergrund die Installation der Schadsoftware. Diese wird zumeist mit Hilfe eines Skriptes von einem Server aus dem Internet nachgeladen.
Häufig bestehen diese Anhänge aus Microsoft Office-Dokumenten, in denen Makros enthalten sind, bei deren Aufruf die Schadenssoftware installiert wird.
Eine weitere Gefahr besteht durch den Besuch kompromittierter Webseiten. Dabei wird durch das Ausnützen bekannter Sicherheitslücken (in Webbrowsern) automatisch und unbemerkt die schädliche Software auf dem Rechner der Anwenderin oder des Anwenders installiert (Drive-by-exploits).
Die folgenden Vorbeugemaßnahmen dienen nicht nur gegen Ransomware, sondern sind häufig auch dazu geeignet, einen Befall mit anderer Schadenssoftware zu vermeiden:
- Da auch der beste Virenscanner häufig eine Infektion mit Ransomware nicht verhindern kann, besteht die wichtigste Vorbeugemaßnahme in der Erstellung regelmäßiger Datenbackups auf externen, nicht dauerhaft angeschlossenen Datenträgern. Permanent angeschlossene Laufwerke oder Datenträger stellen ein Risiko dar, da Ransomware das gesamte Netzwerk einer öffentlichen Stelle - und damit auch angeschlossene Sicherungsdatenträger - befallen kann. Damit eine zentrale Datensicherung möglich ist, sind die Benutzerinnen und Benutzer anzuhalten, ihre Daten auf Netzlaufwerken abzuspeichern.
- Die eingesetzten Betriebssysteme (auch auf Tablets und Smartphones), Virenscanner, Webbrowser sowie Browser-Erweiterungen sollten immer durch das Einspielen aktueller Updates und Patches auf dem neuesten Stand gehalten werden.
- Hersteller von Antivirensoftware gehen mittlerweile dazu über, Spezialtools (auch für mobile Geräte) gegen Verschlüsselungsversuche zu entwickeln. Sobald das Tool entsprechende Versuche registriert, werden diese Vorgänge gestoppt und eine Warnmeldung erzeugt. Auch Entschlüsselungstools werden teilweise angeboten; diese sind aber selten auf dem neuesten Stand.
- Zur Vorbeugung gegen Drive-by-exploits-Angriffen sollten die Webbrowser mit Hilfe von Werbeblockern gegen die Ausführung unnötiger Scripts und anderen eingebundenen aktiven Inhalten geschützt werden.
- Da Ransomware häufig mittels Spam-Mails versendet wird, sollten diese E-Mails mit Hilfe eines Spamfilters entsprechend markiert werden. E-Mails mit ausführbaren Dateien im Anhang (beispielsweise .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf) sollten geblockt und nicht an die Empfängerin oder den Empfänger weitergeleitet werden.
- Grundsätzlich sollte die Makroausführung in Office-Programmen deaktiviert werden. Müssen Makros in Office-Dokumenten genutzt werden, sollten diese digital signiert sein und nur die Ausführung von Makros mit festgelegten digitalen Signaturen erlaubt werden.
- Selbstverständlich sollten alle Bediensteten einer öffentlichen Stelle hinsichtlich der Gefahr eines Ransomwarebefalls sensibilisiert und darauf hingewiesen werden, dass sie keinesfalls E-Mail-Anhänge öffnen dürfen, wenn sie nicht sicher sind, dass deren Inhalt unbedenklich ist.
Ich rate allen bayerischen öffentlichen Stellen dringend dazu, die angeführten Vorbeugemaßnahmen zu ergreifen, auch wenn sie natürlich keinen hundertprozentigen Schutz gegen einen Befall mit Ransomware gewährleisten können.
Weitere Informationen zu Ransomware können einem entsprechenden Themenpapier des BSI entnommen werden (abrufbar unter https://www.bsi.bund.de (externer Link)).
2.1.3. Versenden von E-Mails an mehrere Empfängerinnen und Empfänger
Bereits in meinem 20. Tätigkeitsbericht 2002 unter Nr. 9.10 und in meinem 22. Tätigkeitsbericht 2006 unter Nr. 8.1.3 habe ich Städte, Gemeinden und Landkreise darauf hingewiesen, dass beim Versand einer E-Mail an mehrere Empfängerinnen und/oder Empfänger darauf zu achten ist, dass nur berechtigte Personen die Adressen der anderen zur Kenntnis nehmen können. Gleichwohl erreichen mich dazu immer noch zahlreiche Eingaben.
Beim Versenden einer E-Mail gibt es - technisch gesehen - drei Möglichkeiten der Adressierung:
- Der oder die eigentlichen Empfängerinnen und Empfänger werden für alle sichtbar im "An"-Feld ("To"-Feld) eingetragen.
- Eine Kopie der E-Mail kann an weitere Adressen ins "Cc"-Feld ("Carbon Copy") versendet werden. Auch diese Adressen sind von allen einsehbar.
- Einen Sonderfall stellt das "Bcc"-Feld ("Blind Carbon Copy", übersetzt etwa "Blindkopie") dar. Die dort eingetragenen Adressen sind für alle anderen Adressatinnen und Adressaten der E-Mail nicht sichtbar.
Wird eine E-Mail mittels "Cc" an mehrere Adressen der gleichen Behörde versendet, so wird die E-Mail grundsätzlich nur einmal an den E-Mail-Server der Behörde übertragen und dann in die Postfächer der einzelnen Empfängerinnen und Empfänger "kopiert". Wird "Bcc" verwendet, vervielfältigt der absendende E-Mail-Server die E-Mail und überträgt sie für jede Empfängeradresse eigens an den empfangenden Server. Selbst auf dem empfangenden Server ist es dann nicht mehr sofort erkennbar, dass diese (inhaltlich gleiche) E-Mail mehrfach eingegangen ist und wer genau diese erhalten hat.
Aus rechtlicher Sicht stellen die Weitergaben der E-Mail-Adressen im "An" -oder "Cc"-Modus an die einzelnen Empfängerinnen und Empfänger grundsätzlich Datenübermittlungen dar. Diese Datenübermittlungen lassen sich durch die Verwendung von "Bcc" (oder auch durch Einzel-E-Mails) vermeiden. Sie sind somit nicht erforderlich und daher regelmäßig unzulässig, zumindest wenn beim Empfängerkreis kein berechtigtes Interesse an der Kenntnis der anderen Adressen vorliegt.
Aber auch aus Sicht der IT-Sicherheit kann die Verwendung von "An" und/oder "Cc" negative Auswirkungen haben. Je größer der Adressatenkreis ist, umso größer wird die Wahrscheinlichkeit, dass wenigstens ein empfangendes IT-System mit Schadsoftware infiziert ist. Da sie sich - wie etwa Krypto-Trojaner - oft per E-Mails verbreitet, ist es für die Schadsoftware ein großer Vorteil, wenn sie "Kenntnis" von vielen aktuellen E-Mail-Adressen erhält. Anhand dieser E-Mail-Adressen kann die Schadsoftware dann versuchen, neue IT-Systeme zu infizieren. Außerdem können diese E-Mail-Adressen auch zum Spam-Versand weitergegeben werden.
Je umfangreicher also ein Empfängerkreis ist, desto höher ist die Wahrscheinlichkeit, dass dessen E-Mail-Adressen von Schadsoftware abgefangen und durch sie missbräuchlich verwendet werden. Damit einhergehend erhöht sich das Schadenspotential.
Sowohl aus datenschutzrechtlicher Sicht als auch aus Gründen der IT-Sicherheit ist daher bei jedem Versand einer E-Mail an mehrere Adressen zu prüfen, ob wirklich ein Versand mittels "An"- oder "Cc"-Adressierung nötig ist. Ansonsten empfehle ich dringend, bevorzugt "Bcc" zu verwenden oder die E-Mail an jeden einzelnen gesondert manuell zu adressieren.
2.1.4. Nutzung des E-Postbriefs
Im Berichtszeitraum erreichten mich mehrfach Anfragen von staatlichen und kommunalen Stellen, was sie bei der Nutzung des E-Postbriefes datenschutzrechtlich zu beachten haben.
Der E-Postbrief ist ein Dienst der Deutschen Post AG für den Austausch elektronischer Nachrichten über das Internet. Es handelt sich dabei regelmäßig um elek-tronische Datenübertragungen ohne Medienbruch. E-Postbriefe können aber auch alternativ in Papierform zugestellt werden - hierbei spricht man von einem Hybridbrief. Im Folgenden gehe ich näher auf die beiden Zustellmöglichkeiten ein.
Für die durchgängig elektronische Übertragung des E-Postbriefes ist Voraussetzung, dass sowohl Absenderinnen und Absender als auch Empfängerinnen und Empfänger zur E-Postbrief-Kundschaft der Deutschen Post AG zählen.
Aufgrund von Sicherheitsmaßnahmen (wie etwa einer Transportverschlüsselung) sowie weiterer Vorgaben an die Vertraulichkeit, Integrität und Authentizität der Kommunikation bietet der E-Postbrief ein höheres Sicherheits- und Datenschutzniveau als der herkömmliche E-Mail-Versand.
Eine verschlüsselte Datenübertragung findet standardmäßig nur zwischen der Absenderin oder dem Absender und der Betreiberin des Verfahrens (also der Deutschen Post AG) statt. Der E-Postbrief liegt bei der Betreiberin somit unverschlüsselt vor; dadurch kann dort ein unzulässiger Datenzugriff nicht (technisch) sicher ausgeschlossen werden. Die Weiterleitung des E-Postbriefs von der Betreiberin an die Empfängerin oder den Empfänger erfolgt sodann ebenfalls durch eine erneute Transportverschlüsselung geschützt.
Für den Versand von Daten mit besonders hohem Schutzbedarf (etwa Gesundheitsdaten) ist die Verwendung einer zusätzlichen Ende-zu-Ende-Verschlüsselung zur durchgängigen Sicherstellung der Vertraulichkeit notwendig. Nur dann bestehen aus datenschutzrechtlicher Sicht gegen dieses Verfahren keine Bedenken.
Der Versand eines E-Postbriefes als Hybridbrief wird gewählt, wenn zwar die Absenderin oder der Absender, nicht aber die Empfängerin oder der Empfänger zur E-Postbrief-Kundschaft der Deutschen Post AG zählt.
Beim Versand eines E-Postbriefes als Hybridbrief erfolgt zunächst wieder eine Verschlüsselung des Transportwegs zwischen der Absenderin oder dem Absender und der Betreiberin. Bei der Betreiberin wird das Dokument ausgedruckt, kuvertiert und frankiert und dann der Empfängerin oder dem Empfänger in Papierform konventionell zugestellt.
Ausdruck, Kuvertierung und Frankierung verlaufen nach Angabe der Deutschen Post AG automatisch. Ein menschliches Eingreifen sei lediglich bei Störungen erforderlich. Deren Umfang ist mir nicht bekannt. Zusätzlich werden die Ausdrucke und die Kuvertierungen durch die Deutsche Post AG stichprobenartig überprüft. Daher kann nicht gänzlich ausgeschlossen werden, dass die mit der Überprüfung beauftragten Personen diese Dokumente auch lesen und somit vom Inhalt Kenntnis nehmen können. Demzufolge müssen alle dafür eingesetzten Beschäftigten auf das Fernmelde- und Postgeheimnis verpflichtet werden.
Bei dem Versand eines Hybridbriefs mit sensiblem Inhalt sollte die absendende öffentliche Stelle zuvor die schriftliche Einwilligung der betroffenen Empfängerin oder des betroffenen Empfängers in diese Art des Versands einholen. Liegt diese Einwilligung nicht vor, sollte von einem Versand derartiger Schreiben mittels Hybridbriefs abgesehen werden.
Beim Versand eines Hybridbriefs liegt im Regelfall eine Auftragsdatenverarbeitung vor. Somit muss diese Dienstleistung in dem jeweiligen Umfeld zum einen rechtlich zulässig sein, was im Gesundheits- und Sozialbereich nicht ohne weiteres der Fall ist. Zum anderen muss ein entsprechender Vertrag abgeschlossen werden. Sofern die Deutsche Post AG sich zum Ausdrucken und Kuvertieren einer dritten Stelle bedient, handelt es sich um ein Unterauftragsverhältnis, das im Vertrag zur Auftragsdatenverarbeitung ebenfalls geregelt sein muss.
2.1.5. IT-Abschottung von Statistikstellen
Ich habe in meinem 25. Tätigkeitsbericht 2012 unter Nr. 2.2.6 Hinweise dazu gegeben, was bei dem gemäß Art. 21 Abs. 3 Satz 1 Bayerisches Statistikgesetz geforderten Abschottungsgebot kommunaler Statistikstellen vom übrigen Verwaltungsnetz zu beachten ist. Insbesondere habe ich den kreisfreien Städten und Landkreisen - in Abstimmung mit dem Landesamt für Statistik - zwei Varianten bezüglich der IT-Abschottung ihrer Statistikstellen aufgezeigt.
Bei der ersten Variante befinden sich sämtliche IT-Komponenten innerhalb der abgeschotteten Statistikstelle und werden ausschließlich vom eigenen Personal der Statistikstelle betrieben. Diese Vorgehensweise ist grundsätzlich zu bevorzugen, weil so sämtliche Zuständigkeiten in der Hand der Statistikstelle verbleiben und die Abschottung zuverlässig gewährleistet wird.
Nach der zweiten Variante werden ein oder mehrere Server, auf dem/denen statistische Einzeldaten gespeichert sind, außerhalb der abgeschotteten Statistikstellen in einem kommunalen Rechenzentrum installiert. In diesem Fall müssen die Daten verschlüsselt gespeichert werden. Die Verschlüsselung muss auch gegenüber der Systemverwaltung wirken, soweit sie nicht von Beschäftigten der Statistikstelle selbst gestellt wird. Die Verschlüsselung muss also bereits vor der Übertragung der Einzeldaten auf den Statistikdatenserver erfolgen.
Mittlerweile haben mir verschiedene Städte Konzepte vorgelegt, die eine Auslagerung der Daten der kommunalen Statistikstelle vorsehen. Bei all diesen mir vorgelegten Konzepten sollen sowohl die Datenübertragung als auch die Datenspeicherung verschlüsselt erfolgen. Ich werde mich zu gegebener Zeit von der Umsetzung dieser Maßnahmen überzeugen.
2.1.6. Verkehrsflussanalyse mit gekauften anonymisierten Daten
Anfang 2015 war den Printmedien zu entnehmen, dass die VAG Verkehrs-Aktiengesellschaft Nürnberg gemeinsam mit der Telekom Deutschland GmbH ein Pilotprojekt zur Verkehrsflussanalyse auf Basis anonymisierter Mobilfunkdaten betreibe. Das Projekt in Nürnberg wurde aufgrund der kritischen Medienresonanz wieder eingestellt. Es ist jedoch davon auszugehen, dass auch andere Städte oder Verkehrsbetriebe Interesse an einer solchen Analyse haben, um diese insbesondere für eine Optimierungs- oder Ausbauplanung der öffentlichen Nahverkehrsmittel heranzuziehen.
Das Pilotprojekt in Nürnberg basierte auf den Daten der Telekom Deutschland GmbH, die diese zum Zwecke der Abrechnung und des Managements der Telefonverbindungen erhebt und speichert. Benötigt werden diese Informationen unter anderem zur Übergabe eines Gesprächs von einer Funkzelle zur nächsten; es findet somit keine GPS-Ortung des Handys statt. Identifikationsmerkmale wie etwa TMSI und CallerID, über die eine Reidentifizierung möglich wäre, werden von der Telekom Deutschland GmbH in Hashwerte umgewandelt. Diese Umwandlung ähnelt dem Verfahren der kennzeichenbasierten oder Bluetooth-basierten Reisezeitmessung (siehe 25. Tätigkeitsbericht 2012 unter Nr. 2.1.5). Gleiche Bewegungsmuster von Hashwerten werden aggregiert.
Diese aggregierten Daten werden sodann an die Telekomtochterfirma Motionlogic GmbH übertragen, die im Kundenauftrag Auswertungen auf diesen Daten durchführt. Die Kundin VAG Verkehrs-Aktiengesellschaft Nürnberg erhält von der Motionlogic GmbH nur die Auswertungsergebnisse zu den sie interessierenden Fragen. Sie selbst hat somit keinen Zugriff auf die Daten.
Standardmäßig werden die Daten der gesamten Mobilfunkkundschaft der Telekom Deutschland GmbH für die Auswertung herangezogen. Es besteht jedoch die Möglichkeit, der Nutzung der Mobilfunkdaten für andere Zwecke als der Abrechnung und des Managements der Telefonverbindungen zu widersprechen.
Die Frage, ob die Telekom Deutschland GmbH die Mobilfunkdaten zu anderen Zwecken als der Abrechnung und des Managements der Telefonverbindungen nutzen darf, habe nicht ich, sondern die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zu beantworten. Ebenso verhält es sich hinsichtlich der Frage, ob diese Daten dann an ein Tochterunternehmen weitergegeben werden dürfen. Ich konnte daher nur die Stelle überprüfen, die eine Verkehrsflussanalyse durchführen wollte, hier also die VAG Verkehrs-Aktiengesellschaft Nürnberg.
Im vorliegenden Fall musste ich somit klären, ob eine Reidentifizierung von Mobilfunknutzerinnen und -nutzern auf Basis der Auswertungsdaten möglich ist. Meine Prüfung hat ergeben, dass die VAG Verkehrs-Aktiengesellschaft Nürnberg ausschließlich faktisch anonymisierte Daten erhalten hatte und diese somit nutzen durfte.
Vor der abschließenden Entscheidung über den Ankauf solcher anonymisierter Analyseverfahren ist aus Datenschutzsicht zu empfehlen, beim Anbieter zu klären, wie die zuständige Datenschutzbehörde das Verfahren bewertet hat. Andernfalls kann die öffentliche Stelle, die ein nicht datenschutzkonformes Analyseverfahren mit möglicherweise noch personenbezogenen Daten einsetzt, eine datenschutzrechtliche Mitverantwortung treffen, die jedenfalls ab der Anwendung der Datenschutz-Grundverordnung umfassende Verpflichtungen auch unmittelbar gegenüber den Betroffenen auslöst.
2.1.7. Veröffentlichung privater E-Mail-Adressen von Kreistags-, Stadtrats- oder Gemeinderatsmitgliedern
Ein Petent hat mich darauf hingewiesen, dass einige Landratsämter auf ihren Webseiten neben anderen Kontaktdaten auch die überwiegend privat genutzten E-Mail-Adressen von Kreistagsmitgliedern veröffentlichen.
Kreistagsmitglieder sind regelmäßig keine Bediensteten des Landratsamts. Daher werden ihnen keine E-Mail-Adressen aus der E-Mail-Domäne des Landratsamts zugewiesen. Gelegentlich veröffentlichen Landratsämter auf ihrer Webseite die privaten E-Mail-Adressen der Kreistagsmitglieder, sofern sie diese dem jeweiligen Landratsamt für diesen Zweck übermittelt haben.
Das Landratsamt hat auf den E-Mail-Verkehr von und mit den Kreistagsmitgliedern über diese privaten E-Mail-Adressen keinen unmittelbaren Einfluss. Gleichwohl wird durch die Veröffentlichung auf der Webseite des Landratsamts nach außen der Anschein einer gewissen Zurechenbarkeit der privaten E-Mail-Adressen zum Landratsamt erweckt. Dem Landratsamt kommt daher gegenüber den Bürgerinnen und Bürgern, die die kommunalrechtlichen Besonderheiten in der Regel nicht kennen, eine gewisse Verantwortung zu. Denn auch Bürgerinnen und Bürger, die ein Kreistagsmitglied in dieser ehrenamtlichen Funktion erreichen wollen, müssen nicht zwingend dessen private E-Mail-Adresse benutzen. Sie können sich dazu grundsätzlich auch über die amtliche E-Mail-Adresse des Landratsamts an dieses wenden, das dann die Mitteilung an das Kreistagsmitglied weiterleitet.
Private E-Mail-Adressen und darüber laufende Kommunikation genügen meist nicht den an behördliche Kommunikation gestellten datenschutzrechtlichen Anforderungen. Sofern Landratsämter die privaten E-Mail-Adressen der Kreistagsmitglieder weiterhin als Kontaktmöglichkeit veröffentlichen wollen, sollten sie auf ihrer Webseite über mögliche Risiken und die Alternative einer behördlichen E-Mail-Adresse informieren.
Diese Empfehlung gilt entsprechend für ähnliche Veröffentlichungen, etwa von privaten E-Mail-Adressen von Stadtratsmitgliedern auf den Webseiten der jeweiligen Stadt oder von Gemeinderatsmitgliedern auf den Webseiten der jeweiligen Gemeinde.
2.1.8. Videoüberwachung im Krankenhaus
Vor-Ort-Prüfungen in Krankenhäusern haben gezeigt, dass Videoüberwachung mittlerweile Standard in bayerischen Krankenhäusern ist. Sie ist zur Absicherung des Gebäudes in den Eingangs- und Zugangsbereichen und zur Überwachung des Gesundheitszustands von Patientinnen und Patienten auch in medizinischen Bereichen zu finden.
Krankenhäuser sind ein besonders sensibler Bereich, sowohl bezüglich der Schutzwürdigkeit der verarbeiteten Daten als auch bezüglich der Patientinnen und Patienten. Krankenhäuser sind im Normalfall rund um die Uhr geöffnet, haben oft eine Vielzahl von Eingängen und die Patientenzimmer sind nicht abschließbar, so dass im Hinblick auf die Gebäudesicherung und -überwachung besondere Schutzmaßnahmen geboten sind.
Bei anderen öffentlichen Stellen muss für jede Videoüberwachung einzeln geprüft werden, ob es in der Vergangenheit problematische Vorfälle gab oder ob es sich lediglich um eine abstrakte Gefahr handelt (Art. 21a BayDSG). Für die Krankenhäuser hingegen gibt es Bereiche, in denen eine Videoüberwachung typischerweise zulässig ist, da es im Krankenhaus immer auch um die Gesundheit und das Leben von Personen geht und daher hohe Rechtsgüter zu schützen sind.
Für die Patientensicherheit typischerweise zulässige Bereiche für die Videoüberwachung können sein:
- Eingänge,
- direkte Krankenhausvorplätze, wenn es sich dabei nur um den Zugangsbereich des Klinikums handelt und nicht um einen allgemeinen öffentlichen Raum,
- Notaufnahme und Zufahrt,
- Hubschrauberlandeplatz.
Die Erforderlichkeit der Videoüberwachung ist hingegen regelmäßig detaillierter zu prüfen und zu begründen bei:
- Parkplätzen, Schranken, Zufahrten,
- Allgemeine Aufenthaltsräume wie Cafeterien und Bistros,
- Kassenautomaten.
Folgende weitere Bedingungen müssen bei der Videoüberwachung stets umgesetzt werden:
- Deutlich sichtbare Beschilderung der überwachten Bereiche,
- laufende Beobachtung des Geschehens durch Beschäftigte des Klinikums, zum Beispiel an der Pforte mit dem Ziel, sofort eingreifen zu können,
- Festlegung von Bildausschnitten und Kameraeinstellungen (nicht zoom- oder schwenkbar),
- Ermöglichung zusätzlicher kurzfristiger Aufzeichnungen zu Strafverfolgungszwecken lediglich als Nebenzweck,
- Festlegung der Speicherdauer von maximal 10 Tagen mit anschließender Löschung,
- technische Verhinderung des Zugriffs auf die Aufzeichnungen, Möglichkeit zum Zugriff nur mit Beteiligung von Personalräten und behördlichen Datenschutzbeauftragten,
- Abschluss einer Dienstvereinbarung zur Videoüberwachung,
- datenschutzrechtliche Freigabe mit den Angaben gemäß Art. 21a Abs. 6 in Verbindung mit Art. 26 Abs. 3 Satz 1 BayDSG sowie Beschreibung der eingesetzten Videoaufzeichnungsanlage und der technischen und organisatorischen Maßnahmen nach Art. 7 und Art. 8 BayDSG.
Eine Videoüberwachung im medizinischen Bereich muss dagegen immer im Einzelfall geprüft werden. Grundsätzlich gilt:
- Nur Videobeobachtung mit laufender Beobachtung durch sachkundiges Personal, keine Aufzeichnung,
- deutlich sichtbare Beschilderung der überwachten Bereiche,
- Prüfung des Zweckes und der Erforderlichkeit gemäß Prüfschema, zu finden auf meiner Homepage https://www.datenschutz-bayern.de,
- Nutzung ausschließlich für medizinische Zwecke,
- Verhinderung von Einsichtsmöglichkeiten für Unbefugte, zum Beispiel im Vorbeigehen,
- Abschluss einer Dienstvereinbarung zur Videoüberwachung,
- datenschutzrechtliche Freigabe mit den Angaben gemäß Art. 21a Abs. 6 in Verbindung mit Art. 26 Abs. 3 Satz 1 BayDSG sowie Beschreibung der eingesetzten Videoaufzeichnungsanlage und der technischen und organisatorischen Maßnahmen nach Art. 7 und Art. 8 BayDSG.
2.1.9. Berechtigungskonzepte und Protokollierung in Krankenhäusern
Nach Katastrophenereignissen wie dem Zugunglück von Bad Aibling im Februar 2016 fragen mich Betroffene, welche Zugriffsmöglichkeiten Beschäftigte von Krankenhäusern auf Patientendaten im konkreten Fall haben und ob und wie missbräuchliche Zugriffe festgestellt werden können.
Grundsätzlich gilt, dass die Beschäftigten eines Krankenhauses nur auf die Daten zugreifen können dürfen, die sie für ihre jeweilige Aufgabenerfüllung benötigen. Wie dies genau für die verschiedenen Bereiche des Krankenhauses ausgestaltet werden muss, ist ausführlich in der "Orientierungshilfe Krankenhausinformationssysteme (2. Fassung)" dargelegt. Diese ist abrufbar von meiner Homepage https://www.datenschutz-bayern.de. Bei der Erstellung und Umsetzungskonzepten von Berechtigungskonzepten ist zu beachten, dass keine Gruppenkennungen verwendet werden dürfen. Ansonsten wäre trotz Protokollierung nicht feststellbar, wer tatsächlich zu welchem Zeitpunkt den Computer benutzt und auf Daten zugegriffen hat.
Um überprüfen zu können, wer auf welche Daten zugegriffen hat, ist eine umfassende Protokollierung lesender Zugriffe in den Krankenhaussystemen erforderlich. So können Anschuldigungen geklärt werden, dass Beschäftigte des Krankenhauses unerlaubt Einsicht in Daten genommen hätten. Das Krankenhaus kann so auch den gesetzlichen Anspruch von Betroffenen auf Auskunft erfüllen, wer auf ihre Daten zugegriffen hat. Es müssen daher im Krankenhaus IT-Systeme zum Einsatz kommen, die eine derartige Protokollierung ermöglichen.
Diese Protokollierung kann anlassbezogen ausgewertet werden, also beispielsweise im Falle einer Beschwerde oder eines Auskunftsbegehrens. Gleichzeitig ist jedoch eine regelmäßige Auswertung in Stichproben erforderlich, um auch unbefugte Zugriffe feststellen zu können, die nicht anderweitig bekannt werden. Diese Auswertung darf allerdings nicht alle Zugriffe umfassen und auch nicht ständig stattfinden (Vollüberwachung), sondern hat in festgelegten zeitlichen Abständen und mit festgelegtem Umfang zu erfolgen.
Dazu muss das Krankenhaus ein Stichprobenkonzept erstellen, das regelt, wie ein unbefugter Zugriff erkannt werden kann, wie und durch wen die Auswertung der Protokolle erfolgen und wie häufig sowie in welchem Umfang dies geschehen soll. Es ist zudem festzulegen, dass diese Auswertungen nicht zur Verhaltens- und Leistungskontrolle verwendet werden dürfen. Daher ist auch die Personalvertretung frühzeitig zu beteiligen.
Protokollauswertungen spielen in vielen Bereichen eine zunehmende Rolle. Deswegen können die Ausführungen zum Stichprobenkonzept des Verfahrens TIZIAN im 26. Tätigkeitsbericht 2014 unter Nr. 2.3.8 auch auf Krankenhäuser übertragen werden.
2.2. Prüfungen
Im Berichtszeitraum 2015/2016 habe ich eine ganze Reihe öffentlicher Stellen unter technisch-organisatorischen Datenschutzaspekten geprüft. In vielen Fällen wurden diese Prüfungen von meinem Technikreferat gemeinsam mit dem jeweils zuständigen Rechtsreferat durchgeführt. Schwerpunkte meiner Prüfungstätigkeit im technisch-organisatorischen Bereich waren die Entsorgungskonzepte und Outsourcing-Aktivitäten im klinischen Umfeld, die Datenschutzkonformität von durch öffentliche Stellen angebotenen Apps sowie die Systemkonfigurationen von Mail-Servern (siehe Nrn. 2.2.2 mit 2.2.4).
2.2.1. Geprüfte Einrichtungen
Folgende Stellen und Systeme habe ich im Berichtszeitraum teils durch Vor-Ort-Besuche, teils durch Fragebogen mit anschließend ergänzenden Nachfragen und teils online geprüft:
- Bezirk Schwaben,
- Bezirksklinikum Mainkofen,
- BKK Stadt Augsburg,
- BRK-Pflegezentrum Donauwörth,
- Intelligente Verkehrssysteme (IVS) Testfeld Nürnberg der Obersten Baubehörde,
- Justizvollzugsanstalt Bernau,
- Kommunal BIT - IT-Dienstleister der Städte Erlangen, Fürth und Schwabach,
- NAKO-Studienzentrum Regensburg am Universitätsklinikum Regensburg,
- RoMed Klinikum Rosenheim,
- Theater Regensburg,
- VAG Verkehrs-Aktiengesellschaft Nürnberg,
- Zentrum Bayern Familie und Soziales - Informationsverarbeitungszentrum (ZBFS-IVZ) München,
- Zulassungsbehörde Stadt Ingolstadt,
- Zweckverband Zulassungsstelle Coburg,
- mehrere Apps mit den jeweils hinterlegten Systemen,
- mehrere E-Mail-Server,
- mehr als 100 Krankenhäuser und Krankenhausverbände.
2.2.2. Auftragsdatenverarbeitung bei der Aktenverwaltung und Entsorgungskonzepte in Kliniken
Anfragen und Einzelfallprüfungen haben in der Vergangenheit gezeigt, dass Outsourcing/Auftragsdatenverarbeitung ein zunehmend wichtiges Thema für Krankenhäuser ist. Insbesondere beim Verwalten und Scannen von Papierakten, wie auch bei der datenschutzgerechten Entsorgung personenbezogener Unterlagen und dem IT-Betrieb wird häufig auf externe Dienstleistungsunternehmen zurückgegriffen. Dass dies auch zu Problemen führen kann, hat sich beispielhaft im Februar 2015 gezeigt, als ein Passant hunderte Röntgenbilder aus einem bayerischen Krankenhaus auf der Straße fand. Eigentlich hätten diese über ein externes Dienstleistungsunternehmen entsorgt werden sollen (siehe Pressemitteilung vom 19. Februar 2015).
Das Bayerische Krankenhausgesetz (BayKrG) setzt dem Outsourcing in Krankenhäusern enge Grenzen und setzt den Schutzbedarf der Daten sehr hoch an. So sieht Art. 27 Abs. 4 Satz 6 BayKrG vor, dass sich ein Krankenhaus zur Verarbeitung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung erforderlich sind (medizinische Patientendaten), nur anderer Krankenhäuser bedienen darf.
Sinn und Zweck dieser Regelung ist es insbesondere, den Kreis der Personen, die mit sensiblen medizinischen Daten in Berührung kommen, möglichst eng und die Qualifikation der betreffenden Personen möglichst hoch zu halten, um eine missbräuchliche Verwendung medizinischer Patientendaten möglichst auszuschließen (siehe auch Nr. 7.5.1).
Um einen Überblick über die Nutzung der Auftragsdatenverarbeitung in bayerischen Krankenhäusern zu bekommen, habe ich daher im Berichtszeitraum die öffentlichen Krankenhäuser in Bayern mittels eines Fragebogens geprüft und den Krankenhäusern die bei ihnen erkannten jeweiligen Mängel mitgeteilt.
Um eine möglichst gleiche Behandlung öffentlicher und privater Krankenhäuser zu bewerkstelligen, habe ich gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht einen Leitfaden erarbeitet, der genauere rechtliche Ausführungen zu den Anforderungen des Bayerischen Krankenhausgesetzes sowie mögliche Lösungen enthält. Dieser Leitfaden ist auf meiner Homepage https://www.datenschutz-bayern.de zu finden (vergleiche Pressemitteilung vom 29. Juni 2016).
Die Behebung der Mängel werde ich weiterhin intensiv begleiten und auch die gefundenen Lösungen werde ich stichprobenartig vor Ort überprüfen.
2.2.3. Apps - Anwendungen für mobile Endgeräte
Auch wenn ein großer Teil der für Mobilgeräte verfügbaren Apps von nicht-öffentlichen Stellen angeboten wird, so habe ich zum Ende des letzten Berichtszeitraums festgestellt, dass immer mehr bayerische öffentliche Stellen damit beginnen, Apps anzubieten oder entwickeln zu lassen. Wie im 26. Tätigkeitsbericht 2014 unter Nr. 2.1.2 angekündigt, habe ich deshalb eine Prüfung derartiger Apps durchgeführt.
Bei flüchtiger Betrachtung könnte man annehmen, dass eine öffentliche Stelle datenschutzrechtlich für die Verarbeitung von personenbezogenen Daten bei der Nutzung einer von ihr angebotenen App nicht verantwortlich sei. Denn die App wird vom Anwender auf einem Gerät installiert und genutzt, welches sich nicht im Verantwortungsbereich der öffentlichen Stelle befindet, und die Daten, die mit der App verarbeitet werden, gibt gegebenenfalls der Anwender selbst ein.
Bei genauerer Betrachtung sind die meisten Apps aber keine alleinstehenden Programme, wie man sie von klassischen PCs kennt. Vielmehr sind sie eine Kombination aus einem Programm (App), das auf einem mobilen Gerät betrieben wird, und beispielsweise einer Webseite (Hintergrunddienst), die auf Servern der Anbieterin oder des Anbieters gehostet wird. Zwischen der App und dem Hintergrunddienst werden Daten ausgetauscht.
Nur eine App ohne Datenaustausch über das Netzwerk (ohne das Recht überhaupt auf das Netzwerk zuzugreifen) kann aus Sicht des Datenschutzes als eigenständiges Programm in der Verantwortung der jeweiligen Anwenderin oder des jeweiligen Anwenders gesehen werden.
Unabhängig davon muss eine öffentliche Stelle für die von ihr angebotenen Apps sicherstellen, dass die in Art. 7 BayDSG geforderten technischen und organisatorischen Maßnahmen eingehalten werden - auch unabhängig davon, ob sie diese App selbst entwickelt hat oder durch Dritte hat entwickeln lassen. Eine App, die Daten außerhalb des Geräts abruft oder speichert, stellt ein Verfahren im Sinne des Bayerischen Datenschutzgesetzes dar. Dies gilt auch, wenn die App nur Daten ohne Personenbezug, etwa statische Bilder, Videos oder Texte nachlädt. Denn bei der Nutzung einer App wird aus technischen Gründen stets die als personenbezogenes Datum anzusehende IP-Adresse des verwendeten mobilen Geräts an Dritte übermittelt.
Eine vollständige technische Prüfung aller mir bekannten Apps konnte ich aus Kapazitätsgründen leider nicht leisten. Ich musste meine Prüfung von Apps daher einschränken. Neben den Apps, zu denen mir bereits Eingaben vorlagen, wählte ich aus unterschiedlichen Bereichen weitere aus Sicht des Datenschutzes interessante Apps aus, um so einen möglichst repräsentativen Überblick zu erhalten.
An die Anbieterinnen und Anbieter der ausgewählten Apps habe ich in einem ersten Prüfungsschritt einen mehrseitigen, detaillierten Fragebogen versandt, der sowohl rechtliche als auch technische Fragen enthielt. Der Fragebogen basiert auf dem "Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf", den mir das Landesamt für Datenschutzaufsicht dankenswerterweise zur Verfügung gestellt hat und der auch auf dessen Webseite https://www.lda.bayern.de (externer Link) als Infoblatt abrufbar ist.
Die relevanten Rückläufe prüfte ich sowohl auf rechtliche als auch auf technisch-organisatorische Mängel.
In einem zweiten Prüfungsschritt unterzog ich einzelne Apps in einem Prüflabor einer konkreten technischen Prüfung. Je nach Notwendigkeit bezog diese eine Analyse des Netzwerkverkehrs, des Verhaltens der App sowohl in verschiedenen Emulatoren als auch auf echten Geräten, des Umfangs der lokal auf dem Mobilgerät gespeicherten Daten, der Sicherheit der involvierten Server, mit denen die App Daten austauschte, und in Einzelfällen auch eine "Disassemblierung" der App mit ein.
Einige der geprüften Stellen entfernten ihre App kurz nach Erhalt des Fragebogens. Auch wenn sie diese Entscheidung nicht mit der konkreten Prüfung begründet haben, so bleibt zumindest die Vermutung, dass hierfür eventuell bereits selbst erkannte Mängel in Bezug auf die Einhaltung datenschutzrechtlicher Anforderungen ein Grund gewesen sein könnten.
Fast alle angefragten öffentlichen Stellen bejahten die Frage, ob das App-Verfahren, also die App an sich, zusammen mit den dazugehörigen Hintergrunddiensten, personenbezogene Daten verarbeite. Allerdings verneinten ebenfalls fast alle dieser Stellen die Frage, ob das Verfahren nach Art. 26 BayDSG freigegeben sei. Dies hat mir die Notwendigkeit dieser Prüfung bestätigt.
Folgende grundlegenden Datenschutzanforderungen wurden häufig nicht oder nur mangelhaft umgesetzt:
- Datenschutzrechtliche Freigabe
Nach Art. 26 BayDSG bedarf der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, grundsätzlich der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle.
Zumindest jede App, die das Recht des Netzwerkzugriffs besitzt, ist daher freizugeben. Die Freigabe darf sich nicht nur auf die App selbst beschränken, sondern muss sich auch auf alle Hintergrunddienste erstrecken, mit denen die App über Netzwerke Daten austauscht.
Unabhängig von der Notwendigkeit einer Freigabe empfiehlt es sich, in jedem Fall die behördlichen Datenschutzbeauftragten - am besten bereits bei der Planung einer App - miteinzubeziehen.
- Impressum und Datenschutzerklärung
Grundsätzlich ist eine App als Telemediendienst anzusehen. Daher sind die in § 5 Abs. 1 Telemediengesetz (TMG) aufgeführten Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten ("Impressumspflicht").
Weiterhin sind die Nutzerinnen und Nutzer gemäß § 13 Abs. 1 Satz 1 TMG zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung ihrer Daten in allgemein verständlicher Form zu unterrichten ("Datenschutzerklärung"). Detaillierte Ausführungen hierzu finden sich im 26. Tätigkeitsbericht 2014 unter Nr. 2.1.2.
Insbesondere hat die Datenschutzerklärung (der App) detailliert Auskunft über die Datenverarbeitung der App Auskunft zu geben. Eine Kopie der Datenschutzerklärung des Internetauftritts genügt hierfür nicht, zumal diese meist auch nicht zutrifft.
- Verschlüsselung der Datenübertragung
Sendet oder empfängt eine App personenbezogene Daten an oder von Servern im Internet, so sind diese Daten zu verschlüsseln. Auch wenn in den übersandten Fragebogen eine Verschlüsselung bejaht wurde, so erwies sich in der konkreten technischen Prüfung mehrfach, dass tatsächlich keine oder nur eine teilweise Verschlüsselung der Daten stattfand.
Es empfiehlt sich hier, externe Entwickler ausdrücklich auf die Notwendigkeit einer Verschlüsselung hinzuweisen und dies auch zu prüfen oder prüfen zu lassen.
- Eingebundene Dienste Dritter
Einige Apps benutzen beispielsweise Kartendienste, um den Weg zu einem bestimmten Ort darzustellen. Dadurch kann der Diensteanbieter eine Vielzahl von personenbezogenen Daten erhalten, vor allem wenn er die Nutzerinnen oder Nutzer bereits durch andere genutzte Dienste eindeutig identifizieren kann. Der derart eingebundene Diensteanbieter ist für die Nutzung innerhalb der App grundsätzlich nicht für die Datenverarbeitung selbst verantwortlich; die Verantwortung verbleibt bei der öffentliche Stelle als Anbieterin der App.
Sollte der Diensteanbieter bereits umfangreiche Daten aus anderen Quellen über eine Nutzerin oder einen Nutzer besitzen, so ist die Einbindung des Dienstes analog einem "Social Plugin" zu bewerten. Ich verweise hierzu auf meine Ausführungen zu Social Plugins auf Webseiten bayerischer öffentlicher Stellen, zu finden auf meiner Homepage https://www.datenschutz-bayern.de.
Jede App darf bei der Installation nur genau die Rechte anfordern, die zum Betrieb auch nötig sind. Es ist darauf zu achten, dass eine App mit der Angabe, dass sie keinen Zugriff auf Dienste im Internet benötigt, auch kein Recht einfordern darf, auf das Internet zuzugreifen. Überschießende Rechte sind zu entziehen.
Zusammengefasst habe ich leider bei fast allen Apps Mängel gefunden, die einen Zugriff auf Hintergrunddienste nutzen. In vielen Fällen haben sich die öffentlichen Stellen als Anbieterinnen von Apps wohl darauf verlassen, dass die Entwickler (Auftragnehmer) Sicherheits- und Datenschutzaspekte selbstständig beachten und zuverlässig umsetzen. Es ist aber eine Pflicht der öffentlichen Stelle als Auftraggeberin, detaillierte Anforderungen bereits bei der Auftragsvergabe festzulegen und deren korrekte Umsetzung auch zu prüfen.
Leider scheint sich bei Apps zu wiederholen, was zu Beginn der Entwicklung von Webanwendungen ebenfalls deutlich wurde: Funktionalität und Design werden konkret beauftragt und umgesetzt, Datenschutz und Datensicherheit werden dagegen - wenn überhaupt angedacht und bedacht - wie selbstverständlich als implementiert und gegeben angenommen. Eine nachträgliche Korrektur von Mängeln kann aber - wie im Rahmen der Prüfung festgestellt - dazu führen, dass eine App kostenintensiv ein zweites Mal erneut entwickelt werden muss.
Das Landesamt für Datenschutzaufsicht hat eine "Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter" erstellt. Auch wenn diese primär die Entwicklung von Apps durch nicht-öffentliche Stellen behandelt, so kann sie doch als gute Grundlage auch für die Entwicklung von Apps durch öffentliche Stellen dienen. Bei der Auftragsvergabe empfehle ich, diese Orientierungshilfe mit einzubeziehen. Die Orientierungshilfe ist zu finden auf der Webseite des Landesamts für Datenschutzaufsicht https://www.lda.bayern.de (externer Link).
2.2.4. Spam-Abwehr auf E-Mail-Servern
Die mir im Rahmen von Beschwerden mitgeteilten Bedenken bezüglich den bei einigen bayerischen öffentlichen Stellen eingesetzten Anti-Spam-Lösungen veranlassten mich dazu, einige der eingesetzten Verfahren auf technische und organisatorische Mängel umfangreich zu prüfen. Meinen Prüfungsschwerpunkt legte ich auf Verfahren, die nicht von öffentlichen Stellen selbst oder im Auftrag, sondern von nicht-öffentlichen Stellen als "Hosting"-Dienstleistung angeboten werden.
Bei einem ersten Prüfschritt mit rund 2.300 E-Mail-Domänen ("MX-Einträge") von bayerischen öffentlichen Stellen wurde deutlich, dass das IT-Dienstleistungszentrum des Freistaats Bayern, die Landratsämter und die Städte die Rangliste der Betreiber von E-Mail-Domänen deutlich anführten, gefolgt von bekannten großen Hosting-Providern. Aus diesen weiteren Betreibern wählte ich einzelne für eine detaillierte Prüfung aus und bezog dabei auch die Beschwerden mit ein. Vereinzelt wurden auch Verfahren geprüft, die von den Behörden selbst betrieben wurden.
Die detaillierte Prüfung umfasste einen Fragebogen, der unter anderem folgende Fragen enthielt:
- Welche Server ("MX-Hosts") werden für die jeweilig verwendeten E-Mail-Domänen als Empfänger eingesetzt?
- Welche dieser Server bieten STARTTLS mit Perfect Forward Secrecy (PFS) an?
- Wo und von wem werden diese Server betrieben und gewartet?
- Welche Software wird in welcher Version auf den Servern eingesetzt?
- Welche personenbezogenen Daten werden auf den Servern protokolliert?
- Wie lange werden die Protokolldaten gespeichert und wer hat Zugriff darauf?
- Wie ist die private E-Mail-Nutzung geregelt?
Zusätzlich wurde eine technische Prüfung der angefragten E-Mail-Domänen durchgeführt, um die gegebenen Antworten soweit möglich nachzuprüfen und die genauen technischen Eigenschaften festzustellen.
Folgende Mängel habe ich häufig festgestellt:
- Beauftragen Behörden externe Dritte mit dem Betrieb eines E-Mail-Servers, so rechtfertigen sie dies häufig mit der Verarbeitung von personenbezogenen Daten im Auftrag, bei der die strengen Voraussetzungen der Datenübermittlung nicht vorliegen müssen. Dann aber sind nach Art. 6 BayDSG die Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber hat sich, soweit erforderlich, von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.
Gerade bei den von den Petenten gemeldeten Fällen hat sich gezeigt, dass diese Anforderungen nicht erfüllt waren.
- Nach Art. 7 Abs. 2 BayDSG sind bei der automatisierten Verarbeitung von personenbezogenen Daten insbesondere Maßnahmen zu treffen, die geeignet sind zu verhindern, dass bei der Übertragung personenbezogener Daten die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle). Insofern sind Behörden bereits heute verpflichtet, dem Stand der Technik entsprechende Verschlüsselungsverfahren anzubieten. Dies betrifft nicht nur eine gegebenenfalls nötige Ende-zu-Ende-Verschlüsselung etwa mittels S/MIME, sondern auch eine verschlüsselte Übertragung zwischen den einzelnen E-Mail-Servern mittels STARTTLS und PFS ("Leitungsverschlüsselung"). Insbesondere wenn E-Mail-Server des Auftragnehmers Daten an den E-Mail-Server der Auftraggeberin Behörde über das Internet weiterleiten, muss diese Verbindung zumindest mit STARTTLS geschützt werden.
Grundsätzlich ist der Aufwand, diese Verschlüsselung einzusetzen, als relativ gering anzusehen. Es zeigte sich aber bei der Prüfung, dass bei einigen Anbieterinnen und Anbietern zumindest in der zum Prüfungszeitpunkt eingesetzten Software-Version STARTTLS nicht unterstützt wurde. Auch hiervon waren die mir gemeldeten Fälle betroffen.
- Einige der geprüften Behörden ersetzten zum Teil bereits nach dem Erhalt des Fragebogens und andere nach dem Erhalt des Prüfungsergebnisses die von ihnen eingesetzten Systeme beziehungsweise Verfahren. Es liegt nahe, dass eine Neubeschaffung in diesen Fällen wohl der einfachere oder auch der einzige Weg war, einen datenschutzgerechten Betrieb zu ermöglichen. Die neuen Verfahren erfüllten alle Anforderungen oder benötigten nur noch kleinere Anpassungen.
Auch wenn noch nicht alle geprüften Stellen die festgestellten Mängel beseitigen konnten, so wurde doch in fast allen Fällen zwischenzeitlich die Konfiguration angepasst oder die verwendeten Produkte durch neue Verfahren ersetzt. Ein datenschutzrechtlich einwandfreier Betrieb ist nun möglich.
Soweit dies nicht schon bei der Beschaffung von Anti-Spam-Lösungen geschehen ist, fordere ich alle öffentlichen Stellen dazu auf, die eigenen Verfahren bezüglich der datenschutzrechtlichen Regelungen zu prüfen und gegebenenfalls entsprechende Maßnahmen zu ergreifen.
2.2.5. NAKO-Gesundheitsstudie: Prüfung Studienzentrum Regensburg
Die NAKO-Gesundheitsstudie (kurz NAKO) ist eine deutschlandweite Studie zur Langzeitbeobachtung der Entstehung und Entwicklung von sogenannten Volkskrankheiten wie Krebs, Demenz, Diabetes, Herzinfarkt und Infektionskrankheiten. Diese Studie wird betrieben vom Verein Nationale Kohorte e.V., in dem sich mehrere Forschungseinrichtungen zusammengeschlossen haben. Hierzu werden in 18 bundesweit verteilten Studienzentren 200.000 zufällig ausgewählte Personen untersucht und zu ihren Lebensgewohnheiten befragt. In regelmäßigen Abständen sollen Nachuntersuchungen und -befragungen stattfinden. Aufgrund der geplanten Laufzeit von 20-30 Jahren und des Umfangs der erhobenen Daten wird diese Studie sehr eng von den Datenschutzaufsichtsbehörden begleitet.
Die Auswahl der potenziellen Teilnehmerinnen und Teilnehmer geschieht über eine zufällige Ziehung in den Einwohnermeldeämtern im Umfeld der 18 Studienzentren. Die gezogenen Personen werden dann vom jeweiligen Studienzentrum angeschrieben, zur Patienteneigenschaft befragt und gegebenenfalls um ihre Zustimmung zur Teilnahme gebeten. Beim ersten Untersuchungstermin im Studienzentrum erfolgt die detaillierte Patienteninformation und Einwilligung. Hierbei können die Betroffenen auch einzelne Teile der Studie auslassen. Dann werden die entsprechenden Daten nicht erhoben.
Die Studiendaten werden zwar im jeweiligen Studienzentrum erhoben, die Speicherung erfolgt jedoch in einer für alle Studienzentren einheitlichen IT-Infrastruktur. Dabei werden die medizinischen Daten und die personenidentifizierenden Daten der Teilnehmerinnen oder Teilnehmer voneinander getrennt und bei verschiedenen Einrichtungen und auf verschiedenen Servern gespeichert. Eine Zusammenführung der Daten erfolgt nur im Studienzentrum während der Untersuchung und Befragung der Teilnehmerinnen oder Teilnehmer. Für Forschungszwecke kann nur auf anonymisierte oder pseudonymisierte Daten zugegriffen werden. Die Einzelheiten sind im Datenschutzkonzept der NAKO festgelegt, das in die Zuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) fällt.
Alle Studienzentren nehmen in regionalen Einrichtungen Auftragsdatenverarbeitungen für den Nationale Kohorte e.V. wahr. In Bayern gibt es zwei Studienzentren in Augsburg und Regensburg sowie das Zentrallager für die Bioproben. Das Studienzentrum Augsburg sowie das Zentrallager werden von der Helmholtz-Gesellschaft betrieben und fallen in die datenschutzrechtliche Zuständigkeit der BfDI. Das Studienzentrum Regensburg wird von der Universität Regensburg betrieben und untersteht somit meiner Kontrolle. Im Jahr 2016 habe ich geprüft, wie dort das Datenschutzkonzept umgesetzt wird und ob ausreichende Maßnahmen zum Schutz der sehr sensiblen Daten der Teilnehmerinnen und Teilnehmer getroffen wurden.
Im Ergebnis konnte ich feststellen, dass das Studienzentrum sich der Sensibilität der Daten bewusst und sehr bemüht ist, die Anforderungen des Datenschutzes umzusetzen. Allerdings waren zum Prüfungszeitpunkt einige Teile der zentralen Infrastruktur noch nicht voll funktionsfähig. So mussten Daten beispielsweise noch lokal zwischengespeichert werden, um Datenverluste zu verhindern. Das Studienzentrum hat hierbei allerdings sicherzustellen, dass nur wenige Personen im Bedarfsfall Zugriff auf diese Daten erhalten. Ich habe dies der BfDI mitgeteilt und werde weiterverfolgen, ob in naher Zukunft eine Löschung dieser lokal zwischengespeicherten Daten erfolgen kann.
Um die sichere Identifizierung der teilnehmenden Personen wie auch die persönliche Ansprache zu gewährleisten, arbeitet das Studienzentrum während des Patientenbesuchs sowie zur Vor- und Nachbereitung mit personenbezogenen Daten. Wichtig war mir daher besonders, dass diese temporär auch auf Papier vorhandenen Unterlagen sicher verwahrt und nach dem Besuch datenschutzgerecht entsorgt werden.
Eine interessante Frage, die im Rahmen meiner Prüfung beim Studienzentrum Regensburg aufkam und die auch schon im Zusammenhang mit anderen Studien diskutiert wurde, ist die Nutzung von Non-Responder-Fragebögen. Diese Fragebögen werden an die Personen versandt, die nicht an der Studie teilnehmen wollen. Neben der Bitte um Angabe von Gründen für die Nichtteilnahme enthält der Fragebogen auch Fragen zum gesundheitlichen Zustand, die dann ebenfalls in der Studiendatenbank gespeichert werden sollen. Dies ist aus meiner Sicht kritisch zu sehen, da nicht teilnehmende Personen keine genaueren Informationen zur Studie und zur IT-Infrastruktur erhalten haben können und auch nicht in die Datenverarbeitung durch die Studie eingewilligt haben. Zudem machte das Datenschutzkonzept der NAKO zum Prüfungszeitpunkt keine genaueren Aussagen zur Verarbeitung der Daten der nicht teilnehmenden Personen (zum Beispiel zur Anonymisierung), weswegen ich diesen Punkt ebenfalls der BfDI mitgeteilt habe. Ich werde die Entwicklung des Datenschutzkonzepts der NAKO sowie auch des Studienzentrums Regensburg weiterhin verfolgen.
2.2.6. Immatrikulationsbescheinigung online
Eine bayerische Hochschule ermöglichte ihren Studierenden, Immatrikulationsbescheinigungen über ein Webformular abzurufen und dann selbst auszudrucken. Andere Stellen, denen eine solche Bescheinigung vorgelegt wurde, konnten diese aber nur sehr schwer auf Echtheit prüfen. Da es sich hierbei um eine große Anzahl von nötigen Verifikationen handelte, schieden beispielsweise telefonische Rückfragen bei der Hochschulverwaltung aus.
Daher enthielt jede online erstellte Immatrikulationsbescheinigung einen sogenannten Verifikationscode, der aus 12 alphanumerischen Zeichen bestand und auf einer Webseite der Hochschule eingegeben werden konnte. Sofern der Verifikationscode gültig war, erhielt die anfragende Person als Bestätigung die auf der Immatrikulationsbescheinigung aufgedruckten Daten angezeigt, so dass eine Fälschung dieser Daten wirksam erschwert wurde.
Allerdings ermöglichte diese Online-Verifikation der anfragenden Person auch, zusätzliche Daten, etwa Angaben zu einer während des Gültigkeitszeitraums der Bescheinigung möglicherweise stattgefundenen Exmatrikulation, abzurufen.
Außerdem gab die Eingabe eines Verifikationscodes auch den aktuellen Studierendenstatus aus, selbst wenn sich dieser außerhalb des Gültigkeitszeitraums der Bescheinigung befand. So war es beispielsweise möglich, mit einer Bescheinigung für das erste Semester auch Jahre später noch festzustellen, ob die Studierenden immer noch immatrikuliert waren oder wann sie zwischenzeitlich exmatrikuliert wurden.
Ich habe das Verfahren im Grundsatz als zulässig erachtet - auch soweit Änderungen innerhalb des Gültigkeitszeitraums der Immatrikulationsbescheinigung im Rahmen der Online-Verifikation abrufbar gehalten werden. Sollten Studierende während des Semesters, für das die Bescheinigung erstellt wurde, exmatrikuliert werden, so darf auch dies durchaus mitgeteilt werden.
Als unzulässig erachtet habe ich aber, dass Bescheinigungen auch dafür verwendet werden konnten, den Immatrikulationsstatus außerhalb des Bescheinigungszeitraums abzufragen. Unzulässig ist auch, den Umstand mitzuteilen, dass mittels jeder Bescheinigung rückwirkend dauerhaft das Ende der - gegebenenfalls außerhalb des Bescheinigungszeitraums liegenden - Immatrikulation feststellbar war.
Die Hochschule hat daraufhin das Verfahren so angepasst, dass nur noch die zulässigen Daten mittels Online-Verifikation abgerufen und geprüft werden können.
2.3. Beanstandungen
Leider musste ich in diesem Berichtszeitraum im technisch-organisatorischen Bereich mehrere Beanstandungen nach Art. 31 Abs. 1 BayDSG aussprechen. Dabei handelte es sich jeweils um tatsächlich erfolgte Offenbarungen besonders schutzwürdiger Daten - nämlich Patientendaten und Personaldaten - in medizinischen Einrichtungen.
Eine Beanstandung musste ich aussprechen, weil ein Krankenhaus viele hundert zur Entsorgung vorgesehene Röntgenbilder sackweise an unbekannte Abholer übergeben hatte. Die Abholer hatten sich als Unterauftragnehmer des vom Klinikum beauftragten Entsorgers ausgegeben. Eine Teilmenge dieser Röntgenbilder wurde im öffentlichen Verkehrsraum aufgefunden, wodurch der Vorfall bekannt wurde. Zwar waren die Diebe wohl nicht an den patientenbezogenen Daten, sondern eher an den im Trägermaterial der Röntgenbilder enthaltenen Edelmetallen interessiert. Gleichwohl erfolgte durch den Diebstahl eine unzulässige Offenbarung patientenbezogener Daten gegenüber unberechtigten Dritten. Der Diebstahl konnte nur erfolgen, weil die vom Krankenhaus getroffenen technisch-organisatorischen Maßnahmen zur Entsorgung von Patientenunterlagen schwerwiegende Fehler und Unterlassungen aufwiesen. So enthielt der abgeschlossene Entsorgungsvertrag insbesondere keine hinreichenden Regelungen zur Sicherstellung des Gewahrsams des Krankenhauses an dem Datenmaterial, keine Festlegung von Unterauftragsverhältnissen und keine Festlegung geeigneter Transportbehältnisse. Auch für das konkrete Entsorgungsvorhaben waren vorab weder Abholberechtigte noch Abholzeitpunkt festgelegt worden. Ein Ergebnis aus diesem Vorfall ist unter anderem die Entwicklung des Leitfadens "Auftragsdatenverarbeitung bei der Aktenverwaltung in bayerischen öffentlichen und privaten Krankenhäusern" (siehe Nr. 2.2.2).
Die zweite Beanstandung betraf ein Krankenhaus, in dem auf einem dezentralen Fileserver einer seiner Kliniken ein Unterordner zum Personal dieser Klinik eingerichtet war. Dieser Personalordner enthielt Korrespondenz zu Personalangelegenheiten von ehemaligen und aktuellen Beschäftigten. Aufgrund mangelhafter Zugriffs- und Berechtigungsverwaltung war jedem für diesen Fileserver Berechtigten auch dieser Personalordner zugänglich, selbst wenn er nicht mit der Personalsachbearbeitung der Klinik betraut war.
Die dritte Beanstandung musste ich einem Klinikum gegenüber aussprechen, weil die Daten eines dort behandelten Patienten auf dem privaten Facebook-Account eines Bediensteten des Klinikums veröffentlicht wurden. Wie diese Patientendaten aus den klinikeigenen Systemen in das Soziale Netzwerk gelangten, konnte letztendlich nicht mehr vollständig aufgeklärt werden.
Die vierte Beanstandung betraf ein Klinikum, das seiner gesetzlichen Verpflichtung, mich - durch die Erteilung von Auskünften und Bereitstellung von Informationen - bei der Erfüllung meiner Aufgaben zu unterstützen, nicht in angemessener Weise nachgekommen war. Trotz mehrfacher Aufforderung hatte das Klinikum seit zwei Jahren meine Nachfragen zum Sachstand der weiteren Mängelbehebung bezüglich einer dort von mir durchgeführten Prüfung nicht beantwortet. Es war für mich daher auch nach so langer Zeit nicht erkennbar, ob und inwieweit seinerzeit festgestellte und noch offene Mängel behoben wurden und ob mittlerweile die dortigen IT-Systeme datenschutzkonform betrieben werden.
2.4. Orientierungshilfen
Als ein Ergebnis einer flächendeckenden Prüfung von Krankenhäusern im Berichtszeitraum (siehe Nr. 2.2.2) habe ich mit dem Bayerischen Landesamt für Datenschutzaufsicht einen Leitfaden zusammengestellt, in dem die wichtigsten Anforderungen an die Auftragsdatenverarbeitung in bayerischen Krankenhäusern sowie die Möglichkeiten und erforderlichen Maßnahmen zur gesetzeskonformen Beteiligung externer Dienstleister als Best Practice zusammengefasst sind.
Der Leitfaden "Auftragsdatenverarbeitung bei der Aktenverwaltung in bayerischen öffentlichen und privaten Krankenhäusern" ist auf meiner Homepage https://www.datenschutz-bayern.de zu finden.