Datenschutz und die Software Dameware am UKE

I. Vorbemerkung:

Der Wissenschaftsausschuss hatte diese Selbstbefassung in seiner Sitzung am 16. Februar 2010 einstimmig beschlossen. Er einigte sich darauf, gemäß § 58 Absatz 2 GO den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Herrn Prof. Dr. Caspar, als Auskunftsperson zu seiner Sitzung am 23. März 2010 einzuladen. Er und ein Referatsleiter aus dem Technikbereich beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nahmen an der Sitzung teil.

II. Beratungsinhalt:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Dr. Caspar, berichtete über die durchgeführte Überprüfung der Software Dameware des Universitätsklinikums Hamburg-Eppendorf (UKE): Ende des Jahres 2009 hätten sie von Personen, die anonym bleiben wollten, Hinweise auf Zugriffe auf Nutzer-PCs im KIS II-Netz des UKE erhalten. Im Gegensatz zum KIS I-Laufwerk des UKEs für Patientendaten handele es sich bei KIS II im Wesentlichen um ein administratives Netzwerk. Der Verdacht richtete sich gegen die im UKE eingerichtete Remote-Administration und die dafür eingesetzte Technik. Obwohl hier grundsätzlich keine Patientendaten anfielen, würden personenbezogene Daten der Mitarbeiter und erlaubterweise von diesen auf den PC gebrachte private Daten verwaltet. Auf die erwähnten Vorwürfe hin hätten sie am 7. Dezember 2009 vor Ort eine unangekündigte Prüfung durchgeführt und am 12. Dezember 2009 dort noch offene Fragen geklärt. Bei der Prüfung sollte zum einen ermittelt werden, ob es nachweislich zu den vorgeworfenen Zugriffen gekommen sei. Diese hätten auch eine strafrechtsrelevante Dimension, für die die Staatsanwaltschaft zuständig gewesen wäre. Insbesondere drei relevante Nutzer-PCs hätten sie überprüft und dabei anhand der Protokolldateien keinen unerlaubten Zugriff feststellen können. Damit könne er allerdings nicht ausgeschlossen werden, da unklar sei, warum die Protokolldateien ab einem bestimmten Zeitpunkt fehlten. Möglicherweise hätten sie sich selbst gelöscht, da der Speicher voll gewesen sei, doch auch eine händische Löschung wäre möglich. Sie resümierten, dass ein Verdacht auf missbräuchliche Datenverwendung nicht habe erbracht werden können.

Der zweite, in ihren Augen wesentlich entscheidendere Prüfaspekt habe die Datensicherheit angesichts des Remote-Control-Verfahrens am UKE betroffen. Defizite haben aufgedeckt werden sollen, um ihnen abzuhelfen und das durch die Medienberichterstattung getrübte öffentliche Vertrauen in die Datenverarbeitung am UKE wieder her zustellen. Diese Prüfung habe ergeben, dass das Remote-Controlling durch die Software Dameware geleistet worden sei und es sich dabei nicht um eine SpionageSoftware, wie es in den Medien teilweise dargestellt worden sei, sondern ein Administrationswerkzeug handele. Es gebe weder eine kontinuierliche Aufschaltung noch seien mithilfe dieser Software ereignisgesteuerte Überwachungen möglich. Möglich sei allerdings grundsätzlich ein Zugriff auf alle lokal vorhandenen Dateien der Nutzer und die Betriebssysteme. Sie hätten festgestellt, dass im Rahmen des Einsatzes von Dameware keine Protokollierung der Zugriffe außerhalb der Nutzer-PCs erfolge, und geklärt, dass die Aufschaltung grundsätzlich vom Nutzer bestätigt werden müsse. Diese Bestätigungsfunktion könne jedoch durch die Administratoren ausgeschaltet werden. Zugriff hätten 19 Client-Administratoren gehabt ­ aus Sicht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit deutlich zu viel.

Aus diesen Erkenntnissen seien folgende Forderungen abgeleitet worden: Es müsse ein geregeltes, nachvollziehbares Aufschaltverfahren geben und für die Aufschaltung eine Zustimmung der Nutzer eingeholt werden, die sich durch die Administratoren nicht ausschalten lassen dürfe. Außerdem bedürfe es einer zentralen, nicht abstellbaren Protokollierung der Zugriffe und einer Reduzierung der Administratoren auf den vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit als hinreichend erachteten Kreis von neun Personen.

Diese Anforderungen seien bis zum 9. Februar 2010 relativ zügig in Angriff genommen worden. In der Woche darauf hätten sie sich davon überzeugt, dass die technischen und organisatorischen Maßnahmen getroffen worden seien, die für den weiteren Betrieb der Datenverarbeitung und der Remote-Control-Software erforderlich wären.

Auf die Frage der SPD-Abgeordneten an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, ob sein Bericht und der des UKE dem Ausschuss ausgehändigt werden könne oder dem rechtlich etwas entgegenstehe, bot der Hamburgische Beauftragte an, seinen Bericht zur Verfügung zu stellen. Er wies darauf hin, dass es in diesem Zusammenhang bereits Anträge auf Informationsfreiheit gegeben habe, woraufhin dieser Bericht bereits herausgegeben worden sei. In dem Maße, in dem keine Rechte Dritter entgegenstünden, halte er es für erforderlich, die Öffentlichkeit transparent darüber zu unterrichten, zumal der Sachverhalt sich als gar nicht so schlecht herausgestellt habe, wie es nach der Medienberichterstattung erschienen sei.

Anknüpfend an die Aussage des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, dass der negative Befund hinsichtlich unzulässiger Zugriffe möglicherweise auch auf die Löschung von Zugriffsprotokollen zurückzuführen sei, interessierte die SPD-Abgeordneten, ob er Möglichkeiten habe, im Nachhinein herauszufinden, ob es Hinweise auf Löschungen gebe.

Ferner wollten sie wissen, ob der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich davon überzeugt habe, welche Art der Berechtigung die 19 Administratoren gehabt hätten und über welche Zugriffsberechtigungen die jetzt reduzierte Anzahl von Administratoren verfüge.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit führte aus, dass die Protokollierung auf den PCs der Nutzer erfolgt sei. Bei der Prüfung am 7. Dezember 2009 hätten sie die Protokolle rückwirkend bis zum 9. Oktober 2009 feststellen können. Für den Zeitraum davor seien sie, unbekannt aus welchen Gründen, nicht mehr vorhanden gewesen. Dass sie am 15. Dezember die Protokollierungen vom 12. Oktober bis zum 15. Dezember vorgefunden hätten, scheine auf eine automatische Löschung hinzudeuten, sei aber keine hinreichende Gewähr dafür. Anscheinend laufe der Speicher in diesen Zeitabständen über, doch könne eine händische Löschung vor dem 9. Oktober 2010 nicht absolut ausgeschlossen werden.

Der Referatsleiter aus dem Technikbereich beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit antwortete zur zweiten Frage, dass sich schon im ersten Gespräch mit den für die Vergabe der Zugriffsrechte Verantwortlichen herausgestellt habe, dass die Zahl von 19 Personen mit entsprechenden Berechtigungen zu groß sei. Nur elf dieser Nutzer führten die Tätigkeit durch, auch Testnutzer hätten noch über die Zugriffsberechtigungen verfügt. Nach Bereinigung der Liste enthalte sie nun nur noch neun Nutzer mit entsprechenden Berechtigungen, eine Zahl, die nach Einschätzung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auch für die Aufrechterhaltung des Betriebs erforderlich sei. Er erwähnte, dass administrative Kräfte über mehr Berechtigungen verfügen müssten als übliche Nutzer.

Das Maß sehe er als erforderlich an, damit die entsprechenden Personen ihre Aufgaben erfüllen könnten.

Die Abgeordneten der Fraktion DIE LINKE wiesen darauf hin, dass laut der Senatsantwort auf die Schriftliche Kleine Anfrage Drs. 19/5361 die Einführung von Dameware nicht der Mitbestimmung der Personalräte unterlegen habe, da sie nicht das Verhalten und die Leistung von Angehörigen des öffentlichen Dienstes überwachen solle.

Außerdem werde dort dargestellt, dass die Frage nach der Möglichkeit des Missbrauchs und der Kontrolle hypothetischer Natur sei und daher nicht beantwortet werde. Ihrer Kenntnis nach sei allein die Tatsache, dass eine Software die Möglichkeit enthalte, das Verhalten von Betriebsangehörigen zu überwachen, ausreiche, um Mitbestimmungsrechte auszulösen. Sie fragten, ob die genannte Einschätzung des Senats auch vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit geteilt werde. Wenn nicht, wüssten sie gern, wie der Personalrat nachträglich in die Problematik einbezogen worden sei.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erklärte, dass Dameware im Prinzip nicht unter die Mitbestimmungspflicht nach dem Hamburgischen Personalvertretungsgesetz falle, weil sie per se nicht für die Kontrolle von Mitarbeitern geeignet sei. Wenn sie so eingesetzt werden könne, sei dies problematisch. Mit den vorgenommenen Änderungen hätten sie dafür gesorgt, dass dies grundsätzlich nicht der Fall sei. Allerdings könne man nie absolut sicher sein, dass ein Missbrauch vollkommen ausgeschlossen sei. Er konzidiere, dass in anderen Bundesländern eine weitreichendere Mitbestimmungsregelung im Personalvertretungsgesetz bestehe, die eine andere Betrachtung nahelegen würde. Das Hamburgische Gesetz sei eher restriktiv.

Die CDU-Abgeordneten kamen auf die Medienberichterstattung über angebliche Spionagevorfälle am UKE zurück. Ihnen liege ein Beschluss des Landgerichts Hamburg gegen die „Hamburger Morgenpost" vor. Damit ihn auch die anderen Ausschussmitglieder kennenlernten, kam der Ausschuss überein, dass er mit dem nächsten Protokoll versandt werden möge. (Anlage)

Auf Nachfrage der GAL-Abgeordneten, ob die Forderungen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nach Ablauf der Frist am 9. Februar erst vorbereitet oder bereits umgesetzt gewesen seien, bestätigte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, dass bei einer Überprüfung die Umsetzung der Forderungen festgestellt worden sei. Sie hätten daher keinen Grund mehr für Beanstandungen. Trotzdem bewege sie die Frage der Datensicherheit auf dem Laufwerk außerhalb des Remote-Control-Systems. Dass die Nutzer des KIS II bislang die Rechte nicht einsehen und die Einstellungen, die die Nutzungsmöglichkeiten einschränken könnten, nicht verändern könnten, müssten sie im Interesse der Datensicherheit auf KIS II mit dem UKE besprechen.

Die SPD-Abgeordneten verwiesen darauf, dass Dameware laut Antwort auf die schon genannte Schriftliche Kleine Anfrage bereits seit Herbst 2006 und somit drei Jahre vor den überlieferten Protokollen eingesetzt worden sei. Da stelle sich die Frage, ob den Mitarbeiterinnen und Mitarbeitern im UKE schon vorher klar gewesen sei, dass Protokolle gelegentlich automatisch gelöscht würden oder nur händisch gelöscht werden könnten. Für sie sei ungeklärt, wie es sich mit den Protokollierungen vorher verhalte.

Außerdem sei ihnen noch etwas unklar, welche Berechtigungen die jetzt vorhandenen Administratoren hätten, welche Erklärungen sie dazu unterschreiben müssten und was zu welchem Zeitpunkt passiert sei. Habe es vor der Untersuchung oder im Januar 2010 Klarheit oder gar eine schriftliche Fixierung darüber gegeben, was erlaubt sei?

Die SPD-Abgeordneten wollten wissen, ob sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit davon überzeugt habe, zu welchem Zeitpunkt Entsprechendes erfolgt sei.