IT-Konzeption
In intensiven Gesprächen mit den zuständigen Projektverantwortlichen sind die datenschutzrechtlichen Belange erörtert worden.
Es ist nunmehr in dem Blueprint zur KLR festgeschrieben, dass die KLR so eingerichtet wird, dass personenbezogene Daten (bzw. das entsprechende Feld) weder bei den Debitoren noch bei den Kreditoren dargestellt werden.
Basiseinrichtung IT-Konzeption: Die datenschutzrechtlichen Schwerpunkte lagen hier
- bei der Beurteilung der Sicherheit der von SAP zur Verfügung gestellten Passwortmechanismen und
- bei der Sicherung der Vertraulichkeit der Daten, die über das Bremer Verwaltungsnetz transportiert werden.
Bei den Passwortmechanismen stellte sich insbesondere die Frage, ob die Verschlüsselung der Passworte über den von SAP zur Verfügung gestellten Hash-Algorithmus als angemessen sicher einzustufen ist. Angemessen sicher heißt hier, mit welchem Aufwand durch vorstellbare Attacken auf das Bremer Verwaltungsnetz (insbesondere Abhör-und Replayattacken) ausgelesene Hashwerte von Passworten auf die Originalpassworte zurückgerechnet oder als Hashwert wiederverwendet werden können und wie groß das Gefährdungspotential für die zu schützenden Daten dann wäre. Eine abschließende Bewertung dieses Problems konnte bis Redaktionsschluss nicht erfolgen. Hiervon hängt aber ab, ob der Authentifikationsdialog zu verschlüsseln ist.
Ich halte eine starke Authentifizierung insbesondere zur Absicherung des durch die Berechtigungsstruktur vorgegebenen Handlungsrahmens im System für erforderlich. Da die Daten im SAP-System im Klartext über das Netz übertragen werden, halte ich darüber hinaus die Bereitstellung einer Möglichkeit für erforderlich, sensible Inhaltsdaten zu verschlüsseln. Dies wäre u. a. durch die Bereitstellung eines Zusatzproduktes über die SNC-Schnittstelle (Secure network communications) von SAP zur Ankopplung externer Sicherheitsprodukte möglich.
Sowohl die Benutzerauthentifizierung als auch die über Netzverbindungen übertragenen sensiblen personenbezogenen Daten könnten so mithilfe kryptographischer Methoden geschützt werden. Aber auch andere Verschlüsselungsverfahren, wie der Rückgriff für die Verschlüsselung der Daten von der Benutzerschnittstelle (SAPGUI) zum Server auf die in Windows 2000 bereits integrierte SNC von Kerberos sowie eine Router-zu-Router-Verschlüsselung auf IP-Ebene durch VPN-Technologie (IPSEC) wären denkbar und werden momentan diskutiert.
Berechtigungskonzept: Das SAP/R3-Berechtigungskonzept ermöglicht den Schutz vor unzulässigen Zugriffen auf Daten, Transaktionen und Programme. Hierfür ist es erforderlich, enge und trennscharfe Definitionen erforderlicher Rollen im System vorzunehmen. Datenschutzrechtlich sind zwei Ebenen dieser Struktur zu betrachten: Festlegungen in den einzelnen Fachbereichen: Hier geht es um die Festlegung, welche Anwender/-innen welche Aufgaben im System vornehmen dürfen. Das definierte Ziel in dem zuletzt mir vorliegenden Entwurf des bremischen Berechtigungskonzeptes (Version 1.4) ist es, Berechtigungsmatrixen zu erstellen, die durch die Fachabteilungen verifiziert werden. Der Zuschnitt der Rollen (vergebene Berechtigungen) muss dem Aufgabenvolumen entsprechen.
Organisation der Berechtigungsadministration: Hierzu bestehen die Möglichkeiten, eine zentrale Organisation innerhalb eines Basisbereiches oder eine Zuordnung von Teilbereichen der Administration an dezentrale Stellen vorzunehmen. Im Rahmen der von der Arbeitsgruppe favorisierten dezentralen Struktur wird die Zuordnung einer zentral angelegten Systemnutzung zu einem bestimmten Berechtigungsprofil in der Fachabteilung eigenverantwortlich vorgenommen. Ein Vier-Augen-Prinzip soll hierbei ein transparentes und kontrolliertes Verfahren sicherstellen. Berechtigungsänderungen sollen dann an einer zentralen Stelle auf Anforderungen der Fachabteilungen vorgenommen werden. Die Meldung dieser Anforderungen unterliegt dann einem klar vorgegebenen Verfahren, das adäquate Kontrollmechanismen zur Überprüfung der Rechtmäßigkeit der Anforderungen enthält.
Für die Verwaltung von Berechtigungen schlägt SAP selbst ein Sechs-Augen-Prinzip vor, d. h. die Wahrnehmung der erforderlichen Funktionen durch drei verschiedene Rollen: Den Benutzerverwalter (legt Benutzerstammsätze fest), den Berechtigungsverwalter (legt Profile und Berechtigungen an und pflegt sie) und den Aktivierungsverwalter (aktiviert Profile und Berechtigungen). Das momentan favorisierte Modell im Berechtigungskonzept dezentralisiert neben der Aktivierung von Profilen und Berechtigungen auch noch deren Verknüpfung mit den zentral angelegten Benutzerstammsätzen.
Sowohl die inhaltliche Rollenaufteilung als auch die Teildezentralisierung der Verwaltungsaufgaben stellt ein datenschutzgerechtes Verfahren dar. Wesentlich für die Organisation eines ordnungsgemäßen Ablaufes sind darüber hinaus noch folgende Definitionen:
Es ist eine systemübergreifende Festlegung der Administrationsrechte und Sonderrollen (wie z. B. SAP, S-Develop, DDIC etc.) zu treffen, denn mit ihnen sind umfassende Veränderungsrechte im System verbunden.
Ein Überwachungsverfahren ist einzurichten, über das die Korrektheit der Berechtigungsstruktur im System jederzeit unter bestimmten Selektionsaspekten überprüft werden kann und das bereits bei der automatisierten Generierung von Berechtigungen und Profilen durch den Profilgenerator möglicherweise zu umfangreiche oder redundant vergebene Berechtigungen abfängt. Weiter sind Schutzmechanismen für das vom System angebotene Audit-System (AIS) vorzusehen. Es sind nämlich Auswertungen außerhalb der SAP-Berechtigungsstruktur möglich.
Satzaufbau, Selektions-und Sortierkriterien müssen transparent von der Revision definiert werden.
Insgesamt sind die Berechtigungen für Reports (Auswertungen über den Datenbestand) in der Form einschränkend zu handhaben, damit es an keiner Stelle zu zentralen personenbezogenen Auswertungen kommen kann.
Datenschutzkonzept: Die mit mir im Rahmen der Arbeitsgruppe zur Erstellung des Berechtigungskonzeptes entwickelte erste Grundstruktur enthält im Wesentlichen die o. g. Aspekte.
Darüber hinaus halte ich es aufgrund der komplexen Struktur des Gesamtprojektes für erforderlich, zentrale Datenschutz- und -sicherungsmaßnahmen in ihren Einzel- und Wechselwirkungen insgesamt darzustellen. Das bedeutet insbesondere, die Einzelmaßnahmen der Arbeitspakete Berechtigungsstruktur, IT-Konzept und CCC-Betreiberkonzept (in dem u. a. die Organisation der Systementwicklung, Absicherung des Qualitätssicherungssystems, innerhalb dessen mit Produktionsdaten gearbeitet wird, über denen keine Berechtigungsstruktur liegt) gesamtübersichtlich darzustellen.
Da die SAP-Sicherheit sich lediglich auf die Anwendungsebene bezieht (Anwendungsmodule, R/3 Berechtigungssystem) und damit nur einen Teilbereich der Sicherheitsstruktur abdeckt, bedeutet es auch, die Ebenen der Kommunikation (Netzwerk, Firewall, SAP-Router), die Datenbank (Zugangskontrolle zu den Verwaltungsfunktionen der Datenbank) und die zugrunde liegenden Betriebssysteme zu betrachten.
Die endgültige Abwägung der Verhältnismäßigkeit der von mir zu fordernden technischen Maßnahmen kann noch nicht eindeutig erfolgen, da bisher keine Risikoanalyse unter Einbeziehung der beteiligten Systemkomponenten und deren Interaktion erfolgt ist.
Vor dem Hintergrund deshalb nicht abschließbar zu bewertender Risiken habe ich an den Senator für Finanzen im Rahmen der von mir begleiteten Gremien die Erwartung fomuliert, dieser Unsicherheit mit einem entsprechend hohen Schutzniveau zu begegnen. Darüber hinaus habe ich empfohlen, bereits im Verlauf des Projektes zu prüfen, ob entsprechende gesetzliche Grundlagen verändert werden müssen.
12.2. Abgabenordnung Auskunft und Einsicht in Steuerakten: Die Abgabenordnung (AO) enthält keine eindeutigen Regelungen über die Auskunft und die Einsicht in Akten der Steuerverwaltung. Gemäß § 91 i. V. m. § 364 AO können die Steuerbehörden dem Betroffenen Einsicht in ihre Steuerakte nach pflichtgemäßen Ermessen gewähren. Ein solcher Einsichtsantrag ist demnach nicht von vornherein unzulässig. Bei der Ausübung des Ermessens hat die Behörde einen weiten Entscheidungsrahmen, sie darf von dem Ermessen jedoch nicht fehlerhaft Gebrauch machen und keine sachfremden Argumente anführen.
Im Berichtszeitraum habe ich in zwei Fällen Bürger über ihre rechtliche Situation unterrichtet, die daraufhin selbständig von ihren Rechten Gebrauch gemacht haben. In einem Fall hat mich der Auskunftsbegehrende von dem Erfolg seiner Bemühungen unterrichtet.
Es wäre wünschenswert, wenn für die Steuerverwaltung die gleichen Rechtsvorschriften über die Akteneinsicht und die Auskunft wie für andere Verwaltungszweige (einschl. der Polizei) gelten würden. Ich unterstütze daher die darauf gerichteten Bemühungen der Bundesregierung.
Führung von Fahrtenbüchern durch Ärzte: Über die Verpflichtung der Ärzte zur umfassenden Dokumentation ihrer Fahrten zur steuerlichen Abgrenzung von privaten Fahrten zu geschäftlichen Fahrten und der damit einhergehenden Durchbrechung der ärztlichen Schweigepflicht habe ich schon früher berichtet (vgl. 20. JB, Ziff. 18.2.).
Nach Intervention der Datenschutzbeauftragten in Bund und Ländern hat das Bundesfinanzministerium seinen damaligen Erlass revidiert. Der neue Erlass schreibt zwar weiterhin vor, dass die Ärzte zur umfassenden Dokumentation verpflichtet sind, allerdings mit der Maßgabe, dass die Patientendaten in einem Extraverzeichnis geführt werden können, mit dem die Fahrtenbuchaufzeichnungen bei einer Betriebsprüfung vervollständigt werden können.
Automation und Steuerverwaltung: Im Zuge der DV-technischen Fortentwicklung in Wirtschaft und Verwaltung wurde die AO (§ 147 Abs. 6 AO) im letzten Jahr angepasst. Diese Änderung erfolgte durch Artikel 7 des Steuersenkungsgesetzes vom 26. Oktober 2000 (BGBl. S. 1460). Ab dem 1. Januar 2002 wird es den Steuerbehörden möglich sein, während der Aufbewahrungsfirst von steuerrechtlichen Unterlagen (Buchführungsunterlagen) von Unternehmen, die ihre Buchhaltung auf DV-Systemen verarbeiten und archivieren, zu verlangen, dass die Unterlagen jederzeit verfügbar, unverzüglich lesbar gemacht und maschinell auswertbar sind.
Darüber hinaus ist den Betriebsprüfern im Rahmen der Außenprüfung das Recht einzuräumen, die Datenverarbeitungssysteme des Betriebes zu benutzen, Daten nach ihren Vorgaben auszuwerten und gespeicherte Unterlagen auf maschinell verwertbaren Datenträgern vom Betrieb zu erhalten.
Diese Rechtsänderung erfordert in vielen Betrieben eine rechtzeitige Trennung der Daten in den eigenen DV-Systemen, damit nicht-steuerrechtliche Daten (reine Personaldaten, Entwicklungsdaten usw.), die auf DV-Systemen auch gespeichert sind, nicht in die DV-Systeme der Steuerverwaltung übertragen werden.
Steuerdatenabrufverordnung: Die Steuerdatenabrufverordnung, die aufgrund von
§ 30 Abs. 6 AO seit Jahren überfällig ist, soll auf Vorschlag des bremischen Finanzsenators im Hinblick auf das Forschungsprojekt MEDIA@Komm um die Möglichkeit des Abrufs der eigenen Steuerdaten durch den Steuerschuldner (oder seines Bevollmächtigten) ergänzt werden. Dafür ist es aus Sicht des Datenschutzes erforderlich, eine ausreichende Daten- und Authentitätssicherung durch eine qualifizierte elektronische Signatur und sichere Übertragungen zu gewährleisten.
12.3. FIDATAS Bremen Ein neuer Eigenbetrieb
Die Freie Hansestadt Bremen beabsichtigt einen neuen Eigenbetrieb mit dem Namen FIDATAS Bremen zu errichten. Dieser Eigenbetrieb soll als DVDienstleistungseinrichtung für die Finanzbehörden gegründet werden. Gleichzeitig wird der Resteigenbetrieb der ID Bremen (siehe Ziff. 3.3. des 22. JB) in FIDATAS übertragen und übernimmt dessen Aufgaben in Bezug auf die ID Bremen als Aufsichtsführende Stelle. Der neue Eigenbetrieb wird örtliche Finanzbehörde und für die Aufgabenerfüllung nach § 2 Abs. 2 des Finanzverwaltungsgesetzes zuständig.
Damit wird die Automationsabteilung der ehemaligen Oberfinanzdirektion in den Eigenbetrieb überführt.