Vorabkontrolle

§ 107g Abs. 2 HBG Personalaktendaten im Sinne von § 107a dürfen automatisiert nur im Rahmen ihrer Zweckbestimmung und nur von den übrigen Personaldateien technisch und organisatorisch getrennt verarbeitet und genutzt werden.

Das für die datenschutzrechtliche Bewertung der E-Beihilfe erforderliche Verfahrenverzeichnis (§ 6 HDSG), insbesondere die Vorabkontrolle (§ 6 Abs. 1 Nr. 11 HDSG), wurde mir im Dezember 2004 vorgelegt.

5.10.1.1 Die Vorabkontrolle:

Die Bewertung aus Datenschutzsicht stützt sich auf die Vorabkontrolle einschließlich der Befassung mit dem Entwicklungssystem in Kassel und einer Überprüfung des Rechenzentrums der HZD in Hünfeld.

Die elektronische Erfassung und Speicherung der Anträge als solche stellten eine organisatorische Änderung der bisherigen Arbeitsweise und die Bereitstellung eines neuen Arbeitsmittels dar, die über die bisherige nur teilweise elektronische Beihilfebearbeitung (Elba-Verfahren) hinausgehen.

Mit der Einführung der E-Beihilfe ändert sich im Wesentlichen Folgendes:

­ Der Antragsteller fügt seinem Antrag keine Originale, sondern nur noch Kopien von Rechnungen und Rezepten bei.

Diese Kopien werden in elektronische Dokumente überführt und das Papier vernichtet. Diese elektronischen Dokumente werden zur Bearbeitung zeitlich begrenzt gespeichert (zehn Wochen). Im Übrigen gelten die gesetzlichen Speicherfristen.

­ Gleichzeitig mit der Einführung des neuen Verfahrens wird die Verarbeitung von 16 dezentralen Beihilfestellen auf eine zentrale Beihilfestelle konzentriert. Dies erfolgt schrittweise nach einem Migrationsplan.

Als Vorteile werden eine schnellere Bearbeitung, geringere Kosten, geringere Betrugsmöglichkeiten durch zentrale Speicherung aller Beihilfeanträge und nunmehr eine völlig strikte Trennung von Beihilfe- und Personalsachbearbeitung angeführt.

Der Verfügbarkeit, Integrität und Vertraulichkeit der Daten wird in der Vorabkontrolle Rechnung getragen, insbesondere ist die Übertragungsverschlüsselung (Server/Client) vorgesehen.

5.10.1.2 Umsetzung der Datenschutzmaßnahmen

Im Januar 2005 begann der Probebetrieb nur mit der Buchstabengruppe K und L der Beihilfestelle Kassel.

Die Umsetzung der in der Vorabkontrolle angeführten Maßnahmen zur Datensicherheit (Verfügbarkeit, Integrität und Vertraulichkeit der Daten) wurde von mir fortlaufend im Jahr 2005 kontrolliert.

Die erste Prüfung fand Anfang März 2005 statt.

Bei dieser Überprüfung musste ich erhebliche Unterschiede zwischen dem Konzept und der Umsetzung feststellen und wurde mit neuen datenschutzrechtlichen Fragestellungen konfrontiert.

Die wichtigsten Punkte werden im Folgenden aufgelistet:

1. In dem Verfahrensverzeichnis wurde auf ein zu erstellendes Infrastrukturpapier zur Datensicherheit verwiesen. Dieses war noch nicht fertig gestellt.

2. In dem Verfahrensverzeichnis wurde auf das immer noch in Arbeit befindliche BSI-konforme Grundschutzkonzept der HZD Bezug genommen. Dieses lag noch nicht vor.

3. Die organisatorischen Maßnahmen, die die Arbeit der Administratoren vor Ort beschreiben, waren weder abschließend festgeschrieben noch umgesetzt.

4. Das Programm befand sich in einem Teststadium und war noch nicht fertig entwickelt. Neben zahlreichen Programmfehlern (Bugs) waren auch wichtige Funktionen (Löschen der Images nach zehn Wochen, korrekte Bearbeiterangabe, korrekte Sachmittelzuweisung etc.) noch nicht verfügbar.

5. Das Entwicklungssystem enthielt eine Kopie der Echtdaten und befand sich in Kassel in einem umzureichend geschützten Bereich, statt wie aus Gründen der deutlich höheren Datensicherheit geboten in der HZD Hünfeld

6. Die Verfügbarkeit des Systems war zu diesem Zeitpunkt nicht sichergestellt.

Daraufhin setzte ich dem Projektteam eine Frist von sechs Wochen, um die wesentlichen Mängel abzustellen. Für den Umzug des Entwicklungssystems nach Hünfeld wurde eine Frist bis zum Juli 2005 vereinbart. Gleichzeitig teilte ich mit, dass ich der geplanten Ausweitung des Verfahrens auf weitere Buchstabenbereiche angesichts dieser gravierenden Mängel widersprechen müsse.

Bei der zweiten Überprüfung Anfang Mai 2005 waren die Mängel, insbesondere zu den Ziffern

3. Administrationskonzept

4. Programmfehler (mit Ausnahme der endgültigen Löschung von Belegen)

5. Räumliche Sicherungsmaßnahmen

6. Verfügbarkeit des Systems abgestellt. Deshalb habe ich dem Wunsch der Projektleitung entsprochen und einer Migration weiterer Buchstabenbereiche zugestimmt.

Die mir bei diesem Besuch vorgelegten Konzepte

­ IT-Sicherheitskonzept für den Teilverbund „E-Beihilfe" der HZD (aktualisiert)

­ Administrationskonzept

­ Benutzungsvereinbarung Betrieb E-Beihilfe des Hessischen Innenministeriums mit der HZD waren Grundlage für einen weiteren Prüfbesuch im Juli 2005. Die sich aus den Konzepten ergebenden Fragen wurden mit den Projektmitarbeitern direkt vor Ort besprochen. Zu diesem Zeitpunkt wurden die Löschfunktionen konsequent eingesetzt, und ich erhielt das überarbeitete Verfahrenverzeichnis.

Ungeachtet dessen waren folgende datenschutzrechtliche Aspekte nach der dritten Überprüfung im Juli 2005 noch nicht abschließend geklärt:

­ Das IT-Sicherheitskonzept für den Teilverbund „E-Beihilfe" der HZD war fortgeschrieben worden, enthielt aber noch offene Punkte. Das Konzept wird bis zur vollständigen Migration aller Beihilfestellen kontinuierlich fortgeschrieben werden.

­ Das Administrationskonzept befindet sich in der Überarbeitung. Die Benutzungsvereinbarung Betrieb E-Beihilfe befindet sich in der Endabstimmung.

­ Das Entwicklungssystem befand sich immer noch in Kassel. Die vereinbarte Frist für diesen Umzug nach Hünfeld war Ende Juli 2005 abgelaufen. Die Projektleitung informierte mich, dass der Umzug aus technischen und organisatorischen Gründen noch nicht möglich war. Allen Beteiligten war klar, dass aus Gründen der Datensicherheit auf Dauer die Entwicklung nicht in Kassel bleiben kann.

­ Der Serverraum wurde zwischenzeitlich sowohl mit einer Sicherheitstür als auch einem Zutrittskontrollsystem gesichert.

Für die weitere Entwicklung in Kassel wurde daher eine Übergangsfrist bis Ende Juni 2006 zugesagt.

Für einige Punkte war eine Frist bis Mitte September 2005 gesetzt. Da die ausstehenden Unterlagen mir termingerecht vorlagen und keinen Anlass zu datenschutzrechtlicher Kritik boten, hatte ich keine datenschutzrechtlichen Bedenken gegen eine weitere Migration der Beihilfestellen Darmstadt, Gießen, Hünfeld und Michelstadt.

5.10.1.3 Nutzung durch Dritte Neu ist die geplante Inanspruchnahme des E-Beihilfe-Verfahrens durch Dritte. Interesse haben die Beamtenversorgungskassen (BVK) Kassel und Darmstadt sowie der Städte Frankfurt und Darmstadt bekundet.

Es bestehen gegen die Systemnutzung durch andere öffentliche Stellen des Landes Hessen grundsätzlich keine rechtlichen Bedenken, da dies durch § 92 Abs. 3 HBG abgedeckt ist. Wichtig dabei ist die Frage der Ausgestaltung der Nutzung. Insbesondere muss sichergestellt sein, dass die Datenbestände externer öffentlicher Stellen bei der Systemnutzung hinreichend abgeschottet sind. Das Regierungspräsidium Kassel müsste über die Aufgabenregelung und Ausgestaltung einen Vertrag mit den Dritten schließen. Der Dritte selbst z. B. die BVK muss ein eigenes Verfahrensverzeichnis erstellen und mir vorlegen.

Für das weitere Vorgehen wurde vereinbart, dass beabsichtigte Systemnutzungen durch Dritte mir vor Vertragsabschluss angezeigt und Konzepte mit Beschreibung der Art und Weise der Anbindung vorgelegt werden.

5.10.1.4 Ausblick:

Die Option, Beihilfeanträge elektronisch abzusenden, kann heute technisch noch nicht realisiert werden, da die virtuelle Poststelle im Land Hessen noch nicht vorhanden ist. Langfristig ist dies aber geplant. Hierfür sind bereits sinnvolle technische Lösungen angedacht, und die verschlüsselte Kommunikation ist in der neuen Beihilfeverordnung (§ 17 Abs. 1a HBeihVO) schon ausdrücklich vorgesehen.

Der nächste Informationsbesuch ist für Januar 2006 vorgesehen.

5.10.2 Datenschutzrechtliche Begleitung der Einführung der Personalverwaltungssoftware SAP R/3 HR in der hessischen Landesverwaltung

Bei den Arbeiten für die Einführung der Personalverwaltungssoftware SAP R/3 HR in der hessischen Landesverwaltung war ich sowohl bei den entwickelten Konzepten für den Einsatz als auch in Einzelfragen der Anpassung der Software auf die Anforderungen der hessischen Landesverwaltung beteiligt. Dabei war eine Vielzahl komplexer datenschutzrechtlicher Fragestellungen zu lösen. Auch künftig wird die Prüfung und Beratung in diesem Bereich einen Schwerpunkt meiner Tätigkeit bilden.

Die Einführung der Personalverwaltungssoftware SAP R/3 HR in der hessischen Landesverwaltung ist komplex und mit einem erheblichen Aufwand verbunden. Die große Zahl der Konzepte, die im Rahmen der „Neuen Verwaltungssteuerung" und für die neu einzuführende und an vielen Stellen auf die hessische Landesverwaltung anzupassende SAP-Software erstellt wurden, konnten von mir nur im Rahmen der zur Verfügung stehenden personellen Ressourcen geprüft und datenschutzrechtlich bewertet werden. Die aus meinen Prüfungen und der Mitarbeit in den Gremien resultierenden datenschutzrechtlichen Hinweise und Forderungen wurden, soweit ich dies auf Grund der Vielfalt der Probleme und Fragestellungen abschließend beurteilen kann, regelmäßig beachtet und sowohl in die Konzepte als auch in die jeweiligen Programmversionen eingearbeitet.

Bei der Erstellung des Berechtigungskonzepts war ich von Anfang an inhaltlich beteiligt.

Natürlich habe ich während der Entwicklungsphase und des Einsatzes des SAP-Systems Fehler festgestellt, von denen ich nur die wichtigsten beispielhaft beschreibe.

5.10.2.1 Personaldaten im landesweiten Zugriff:

Ich wurde darauf aufmerksam, dass bei bestimmten Konstellationen Personaldaten auch von Dienststellen aufgerufen werden konnten, bei denen dieses Personal nicht beschäftigt war. Bei richtiger Eingrenzung der Zugriffsberechtigungen hätte ein Zugriff nicht möglich sein dürfen.

Umfangreiche Überprüfungen ergaben, dass es sich um einen konzeptionellen Fehler handelte.

Durch die im System hinterlegten Zugriffsberechtigungen soll sichergestellt werden, dass nur die Personal führenden Dienststellen auf die Daten der bei ihnen beschäftigten Personen zugreifen können. Dies wird über die jeweilige Dienststellennummer bzw. über die organisatorische Zuordnung (strukturelle Berechtigung) einer Planstelle zu einer Dienststelle gesteuert. In Fällen der Versetzung von Bediensteten wurden die Daten der Betroffenen auf einer so genannten „Dummystelle" gespeichert, auf die alle Dienststellen Zugriff hatten. Dies war nach Auffassung der Entwickler notwendig, weil die aufnehmende Dienststelle ansonsten keinen Zugriff auf den Datensatz haben konnte, um diesen in ihren Bestand aufzunehmen.

Meine datenschutzrechtlichen Einwände gegen diese Verfahrensweise führten dazu, dass der „Fehler" zunächst analysiert wurde. Es wurde eine zweite Fehlerquelle festgestellt, nämlich wenn z. B. eine Planstelle gelöscht wurde, diese aber noch mit einem Personaldatensatz verknüpft war. In diesen Fällen wurden die Personaldaten automatisch durch das System mit der „Dummystelle" verknüpft, was auch dazu führte, dass sie im landesweiten Zugriff waren.

Die von den Entwicklern zunächst vorgeschlagenen Lösungen waren alle datenschutzrechtlich nicht zufrieden stellend.

Inzwischen wurden die Berechtigungen für den Zugriff auf diese „Dummystelle" im System so hinterlegt, dass ein Zugriff nur noch für ganz bestimmte Mitarbeiterinnen und Mitarbeiter des Hessischen Competence Centers (HCC) möglich ist, die die Datensätze auf Anforderung der jeweils zuständigen Personal führenden Dienststellen von der „Dummystelle" in deren Zugriff stellen. Ein landesweiter Zugriff bei diesen Fallkonstellationen ist zukünftig ausgeschlossen.

5.10.2.2 Nicht genutzte Berechtigungen (inaktive User):

Im Rahmen einer Prüfung des Systems habe ich festgestellt, dass eine nicht unerhebliche Anzahl von Personen (1022) mit Zugangsberechtigung für das SAP-System (Usern) seit mehr als 90 Tagen das System nicht genutzt hatten, also inaktiv waren. Als Gründe hierfür kamen in Betracht: Lange Krankheitszeiten bzw. Langzeitabwesenheiten, User mussten nur im Vertretungsfall aktiv werden und dieser Fall war lange nicht eingetreten, User waren versetzt worden, ausgeschieden, ihnen war inzwischen eine andere Aufgabe übertragen worden, die den Zugang zum System nicht mehr notwendig machte.

Der entsprechende Hinweis an die Gesamtprojektleitung wurde dort zwar aufgenommen, führte aber nicht dazu, dass entsprechende Maßnahmen kurzfristig ergriffen wurden.

Daraufhin habe ich ca. 100 User telefonisch nach den Gründen für ihre Inaktivität am SAP-System befragt. Sie gaben als Gründe an: Zwischenzeitliche Versetzungen, Übernahme neuer Aufgaben innerhalb der Dienststelle, Langzeiterkrankungen mit der großen Wahrscheinlichkeit der Pensionierung oder, dass ihnen nicht bekannt war, dass sie einen Zugang zum System hatten.

Zugriff auf personenbezogene Daten darf nur Personen eingeräumt werden, wenn und soweit dieser für die übertragene Aufgabe erforderlich ist (§ 11 HDSG). Gerade mit Berechtigungen für den Zugriff auf Personaldaten ist besonders sorgfältig umzugehen. Ich habe mich deshalb erneut an die Gesamtprojektleitung gewandt und gefordert, alle User, die länger als 90 Tage inaktiv waren zunächst einmal zu sperren. Die Gesamtprojektleitung ist ­ nachdem sie alle User über die beabsichtigte Maßnahme informiert hat ­ dieser Forderung nachgekommen.

Zukünftig muss durch geeignete Maßnahmen sichergestellt werden, dass User, die eine andere Aufgabe übernehmen zu einer anderen Dienststelle wechseln oder aus dem Dienst ausscheiden, sofort als Zugangsberechtigte aus der Berechtigungsdatei gelöscht werden.