Kreditkarte
Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung überwiegt. Die von der Sparkasse angeführten Aufzeichnungszwecke konnten zwar als berechtigte Interessen angesehen werden, ihnen stand jedoch das überwiegende schutzwürdige Interesse der Anrufer, die Gespräche nicht zu speichern, entgegen. Wie nicht zuletzt die Strafbestimmung des § 201 Abs. 1 Nr. 1 StGB zeigt, sieht die Rechtsordnung in dem Aufnehmen nicht öffentlicher Gespräche auf Tonträger einen gravierenden Eingriff in die Privatsphäre der Gesprächspartner. Ein gleichwertiger rechtlicher Schutz existierte für die von der Sparkasse benannten Interessen nicht. Darüber hinaus war zweifelhaft, ob die Aufzeichnung sämtlicher Telefongespräche ein geeignetes und vor allem verhältnismäßiges Mittel war, um Anmache sowie Droh- und Schmähanrufe zu verhindern oder eine einheitliche Reklamationsbearbeitung und eine einheitliche Anleitung der Agenten zu gewährleisten. Den genannten Anrufen hätte sich z. B. durch eine Gesprächsaufzeichnung begegnen lassen, die nach Beendigung des Gesprächs automatisch gelöscht wird, wenn nicht ein Befehl zur Aufbewahrung erfolgt. Warum das praktizierte punktuelle Mithören durch Kommunikationstrainer nicht ausreichen sollte, um eine einheitliche Bearbeitung von Reklamationen und eine einheitliche Anleitung der Agenten zu gewährleisten, vermochte die Sparkasse gleichfalls nicht überzeugend zu begründen.
§ 28 Abs. 1 BDSG
Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig
1. wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt...
Als mögliche Rechtsgrundlage für das Aufnehmen der Telefongespräche blieb daher nur die Einwilligung der Anrufer. Davon schien auch die Sparkasse ursprünglich auszugehen, denn andernfalls wäre der automatisierte Hinweis auf die Datenspeicherung überflüssig gewesen. Im Gegensatz zum Strafrecht kennt das Datenschutzrecht jedoch keine konkludente Einwilligung, sondern verlangt grundsätzlich die schriftliche Einwilligung des informierten Betroffenen (§ 4a Abs. 1 BDSG). Dementsprechend werden beim Telefonbanking die Kunden ausführlich schriftlich über den Zweck der Gesprächsaufzeichnung unterrichtet und willigen schriftlich in die Erhebung, Speicherung und Nutzung ihrer Daten ein. Auf die Schriftform kann allerdings verzichtet werden, wenn wegen besonderer Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 3 BDSG). Bei einmaligen telefonischen Kontakten wäre eine schriftliche Einwilligung ein auch den Interessen des Anrufers zuwiderlaufender Formalismus, sodass in diesen Fällen auch eine mündliche Einwilligung in Frage kommt.
Die Einwilligung ist allerdings nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht (§ 4a Abs. 1 Satz 1 BDSG). Daran mangelte es bei der Aufnahme der Telefongespräche durch die Sparkasse. Anrufer hatten nicht die Möglichkeit zu entscheiden, ob ihr Gespräch aufgezeichnet wird oder nicht. Wer mit der Gesprächsaufzeichnung nicht einverstanden war, hatte nur die Wahl, auf telefonische Kontaktaufnahme zu verzichten und sich schriftlich an die Sparkasse zu wenden, persönlich in einer Geschäftsstelle zu erscheinen oder das Kreditinstitut zu wechseln. Telefonische Erreichbarkeit gehört heute zum Grundangebot eines Kreditinstituts und ist für eine Reihe von Bankgeschäften ein unverzichtbares Kommunikationsmittel, das durch Schreiben oder persönliche Vorsprache nicht ersetzbar ist.
Weder von privatrechtlichen noch anderen öffentlich-rechtlichen Kreditinstituten ist bislang bekannt, dass sie ein derartiges Aufzeichnungsverfahren praktizieren. Kunden der Sparkasse, die keine Gesprächsaufzeichnung bei telefonischen Kontakten mit ihrer Bank wünschten, hätten daher zwar zu einem Kreditinstitut, das auf das Aufzeichnen von Telefonaten verzichtet, wechseln können. Für Kunden, die bei der Sparkasse ein Konto unterhielten, wäre dies allerdings mit erheblichem Aufwand verbunden gewesen. Sie hätten bei einem anderen Kreditinstitut ein neues Konto eröffnen müssen, die Bonität wäre möglicherweise nicht dieselbe gewesen, neue EC- und Kreditkarten hätten beantragt und Lastschriftaufträge geändert werden müssen, Aufdrucke auf Briefpapier hätten geändert werden müssen, evtl. einer Vielzahl von Stellen hätte die neue Kontoverbindung mitgeteilt werden müssen. Für Anrufer bestand daher ein die freie Entscheidung beeinträchtigender faktischer Zwang, in die Gesprächsaufzeichnung einzuwilligen.
Der Ansagetext erfüllte die gesetzlichen Informationspflichten der Sparkasse nicht ausreichend. Die für die Datenverarbeitung verantwortliche Stelle muss bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festlegen (§ 28 Abs. 1 Satz 2 BDSG). Die Anrufer müssen über die Identität der verantwortlichen Stelle und den Zweck der Erhebung und Verarbeitung informiert werden. Dient die Verarbeitung mehreren Zwecken, muss dies den Betroffenen mitgeteilt werden (§ 4 Abs. 3 Satz 1 Nr. 1 und 2 BDSG). Der Ansagetext erfüllte diese Anforderung nicht. Er verschwieg zum Teil die wahren Verarbeitungszwecke und gab mit dem Hinweis, die Aufzeichnung des Gesprächs diene der Sicherheit des Kunden, einen unzutreffenden, zumindest aber missverständlichen Verarbeitungszweck an. Die in der Stellungnahme der Sparkasse mir gegenüber genannten Zwecke belegten, dass die Aufzeichnung der Vermittlungsgespräche nicht zur Sicherheit des Anrufers, sondern in erster Linie im Interesse der Sparkasse erfolgte, was jedoch dem Kunden nicht mitgeteilt wurde.
Das Aufnehmen der Telefongespräche verstieß außerdem gegen den in § 3a BDSG geregelten Grundsatz der Datenvermeidung und Datensparsamkeit. Gestaltung und Auswahl von Datenverarbeitungssystemen sind an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben und zu verarbeiten. Es waren durchaus Möglichkeiten vorhanden, die von der Sparkasse mit der Aufnahme sämtlicher Telefonate verfolgten Zwecke ohne eine solch umfassende Datenspeicherung zu erreichen.
Schließlich erschien auch die Dauer der Datenspeicherung zu lange. Gespräche, die zu Beginn eines Quartals erfolgten, wurden fast sechs Monate lang gespeichert. Drohanrufe und Beleidigungen sind aber sofort erkennbar, falls in diesen Fällen strafrechtliche Konsequenzen gezogen werden sollen, dürfte dies kurzfristig geschehen. Warum zusätzlich zu der Möglichkeit des Mithörens bei einzelnen Gesprächen die Gespräche zu Ausbildungs- und Anleitungszecken so lange gespeichert werden mussten, konnte die Sparkasse nicht plausibel darlegen.
Reaktion der Sparkasse
Auf meine Kritik hin hat die Sparkasse das Aufzeichnen der Telefongespräche eingestellt.
8. Entwicklungen und Empfehlungen im Bereich der Technik und Organisation
Zentrale DV in der Landesverwaltung
In meinem 33. und 34. Tätigkeitsbericht habe ich Probleme skizziert, die bei einer Zentralisierung der Datenverarbeitung auftreten können. In diesem Jahr habe ich die HZD vor dem Hintergrund geprüft, dass bei ihr als Dienstleister des Landes Hessen für die zentralen Verfahren mögliche Sicherheitslücken weitreichende Konsequenzen haben. Ich musste feststellen, dass einige der von mir befürchteten Schwachstellen aufgetreten sind.
Ausgangslage Ende 2003 hat die Landesregierung mit ihrem "e-Government Masterplan 2003 - 2008" den Weg beschrieben, wie sie sich die Entwicklung der IT in den nächsten Jahren vorstellt. Ein wesentliches Element war und ist die Zentralisierung wesentlicher Teile der IT bei der HZD. Grundsätzliche datenschutzrechtliche Fragen dazu hatte ich gegenüber der Landesregierung 2004 formuliert; sie finden sich im 33. Tätigkeitsbericht, Ziff. 8. In der Folgezeit kam es dann zu Gesprächen, wie die teils widerstreitenden Anforderungen in den Konzepten berücksichtigt werden können. Wesentliche Ergebnisse habe ich in meinem 34. Tätigkeitsbericht dargestellt.
Konkrete Ziele und Vorgaben für das Hessen Corporate Network 2004 (HCN 2004) mit seiner zentralen Infrastruktur und IT-Architektur wurden in den "Standards der E-Government-Architektur in der Hessischen Landesverwaltung" (Staatsanzeiger für das Land Hessen vom 28. Februar 2005, S. 854 ff.) festgelegt. Sie betrafen das Meta-Verzeichnis, das Active Directory, die E-Mail und die Public-Key-Infrastructure (PKI). In den letzten beiden Jahren wurden große Anstrengungen unternommen, die Vorgaben umzusetzen. Dieses Jahr habe ich Teile der damit verbundenen Datenverarbeitung geprüft.
Wichtige Entscheidungen
Im Staatsanzeiger wurden die technischen Standards zu den genannten Komponenten veröffentlicht.
Die Angaben zum Meta-Verzeichnis entsprachen dem, was mit mir vereinbart wurde. Im 33. Tätigkeitsbericht, Ziff. 8.5 habe ich die aus meiner Sicht wesentlichen Aspekte dargestellt.
Für die PKI wird im Staatsanzeiger der technische Stand des Testsystems beschrieben. Bei den Meldungen, die den PKINutzenden am Bildschirm angezeigt werden, konnten Veränderungen erreicht werden; hier sind aber noch weitere Verbesserungen nötig. Ferner habe ich mehrfach auf das Problem hingewiesen, dass nicht nur die qualifizierte Signatur eine eigene PIN erfordert, sondern dass dies auch für die fortgeschrittene Signatur erforderlich ist, um der Anforderung des § 2 Nr. 2c SigG "mit Mitteln erzeugt (werden), die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann" ohne großen Aufwand zu genügen. Ferner lässt sich mit einer eigenen PIN auch die sog. Warnfunktion der handschriftlichen Unterschrift für die elektronische Signatur umsetzen.
Im letzten Absatz der technischen Spezifikation der PKI wird festgelegt, dass verschlüsselt eingegangene E-Mails und Dokumente nicht dauerhaft verschlüsselt gespeichert werden dürfen. Diese Aussage kann sich nur auf die unveränderte Speicherung einer verschlüsselt eingegangenen E-Mail beziehen. Die Verschlüsselung einer E-Mail kann und soll die Geheimhaltung während des Transports zum Empfänger sicherstellen; sie ist aber für eine dauerhafte Speicherung in einem Dokumentenmanagementsystem (DMS) oder einem Filesystem insofern ungeeignet, als sie beispielsweise verhindert, dass ein Vertreter auf den Inhalt der E-Mail zugreifen kann. Für Dokumente mit hohem Schutzbedarf kann aber selbstverständlich eine dauerhaft verschlüsselte Speicherung erforderlich sein. Um Produkte zu finden, die für eine Gruppenverschlüsselung in ihrem DMS geeignet sind, hat die Landesverwaltung die nötigen Schritte eingeleitet. Den Sachstand beschreibe ich unten (Ziff. 8.1.4).
Die Standards für die E-Mail legen eine zentral betriebene Plattform fest. Solange die PKI noch nicht flächendeckend verfügbar ist, steht den Mitarbeitern der Landesverwaltung noch keine Möglichkeit zur Verschlüsselung von E-Mails zur Verfügung. Bei dieser Sachlage gibt es die technische Möglichkeit für Administratoren der zentralen Plattform, auf alle EMails zuzugreifen. Aus diesem Grund habe ich die technische und organisatorische Ausgestaltung geprüft.
Für das Active Directory wurde eine Änderung zu dem Konzept des HCN 2000 vorgenommen. In dem mit mir abgestimmten Konzept des HCN 2000 wurden die technischen Zugriffsmöglichkeiten der Organisationsadministratoren des Active Directories "hessen.de" dadurch kontrollierbar, dass ein "6-Augen-Prinzip" eingeführt wurde. Die Rahmenbedingungen habe ich in meinem 31. Tätigkeitsbericht, Ziff. 12.2 beschrieben; über Probleme musste ich im 33. Tätigkeitsbericht, Ziff. 8.3 berichten.
Das Konzept wurde nun dahin gehend abgeändert, dass die bisher in verschiedenen Domänen abgebildeten Teile der Landesverwaltung in die Domäne "itshessen.hessen.de" migrieren sollen. Ausnahmen sind die Polizei und die Justiz, die je ein eigenes Active Directory, einen sog. Forest, betreiben. Durch diese Änderung hat sich die Problematik weitreichender Zugriffsmöglichkeiten des Organisationsadministrators für "hessen.de" auf die Domänenadministratoren der "itshessen"Domäne verlagert. Ziel der Standardisierung soll eine "Anpassung der IT-Sicherheit an die Anforderungen des BSIGrundschutzes" sein. Ein auf die neuen Verhältnisse abgestimmtes Sicherheitskonzept lag mir im Herbst 2006 als Entwurf vor. Ob ein für die verschiedenen Zwecke ausreichendes Sicherheitsniveau erreicht wird, muss im Einzelfall geprüft werden. In einem Fall gab es eine Abweichung vom Standard:
Besonders hohe Ansprüche an den Datenschutz und die IT-Sicherheit müssen bei der E-Beihilfe erfüllt werden. In diesem Verfahren werden Daten zu Erkrankungen der Mitarbeiter und andere Sozialdaten verarbeitet, die der Arbeitgeber nicht zur Kenntnis nehmen darf. Als Konsequenz aus den Anforderungen wurde ausnahmsweise akzeptiert, dass abweichend von den Standards auch für E-Beihilfe ein eigener Forest betrieben wird. Dadurch wird es möglich, die Administration für EBeihilfe technisch, organisatorisch und personell von der Administration anderer Verfahren zu trennen.
Prüfungen
In diesem Jahr habe ich die zentrale E-Mail-Plattform und die Datenverarbeitung für die Justiz in Hünfeld geprüft. An dieser Stelle möchte ich nur auf wenige, wesentliche Punkte eingehen und einige Konsequenzen darstellen.
Zentrale E-Mail
Die Situation für die zentrale E-Mail war dadurch geprägt, dass eine Vielzahl von Dienststellen auf die zentrale Plattform umstellte. Ferner sollte für die Administration auf eine neue, sicherere Terminalserver-Architektur umgestellt werden.
Insgesamt war die Plattform noch nicht in ihrem Zielzustand.
Bei der Prüfung konnte ich feststellen, dass die E-Mails zwischen Arbeitsplatz und zentralem Server verschlüsselt übertragen wurden. Auf dem Server wurden sie unverschlüsselt gespeichert. Die mit dem Betrieb anfallenden Sende- und Empfangsprotokolle wurden für sieben Tage gespeichert. Sie konnten nach verschiedenen Kriterien ausgewertet werden. Insbesondere konnten mit den Protokollen Fehler lokalisiert werden. Es war allerdings auch möglich, für jedes Postfach die Absender und Empfänger mit Datum und Uhrzeit festzustellen. Eine derartige Auswertung ist nur zulässig, wenn sie zur Fehlersuche erforderlich ist. Sie war für andere Zwecke untersagt.
Die Administration war in einer Abteilung konzentriert. Die aktuellen Zugriffsrechte der Administratoren beinhalteten aber keinen vollständigen Zugriff. Es war möglich die Protokolle einzusehen, aber nicht auf den Inhalt von Postfächern zuzugreifen. Daneben waren die Mitarbeiter auch in der "itshessen"-Domäne als Domänenadministratoren tätig.
Es gab trotzdem eine erhebliche Schwachstelle: Technisch war es möglich, dass sich ein Administrator vollständige Zugriffsrechte für ein Postfach der zentralen E-Mail einträgt. Die Eintragung selbst und ein Zugriff auf das fremde Postfach wurden nicht protokolliert. Ein Zugriff auf fremde Postfächer durch Administratoren wäre daher möglich und nicht nachvollziehbar gewesen.
Ich habe daher gefordert, die Protokollierung zu erweitern. Es muss nachvollziehbar sein, wenn sich ein Administrator auf ein fremdes Postfach aufschaltet. Derartige Vorfälle müssen auch zeitnah erkannt werden. Hierfür und für die Information betroffener Personen und Stellen habe ich ein Revisionskonzept gefordert. Es muss gewährleistet sein, dass die im Revisionskonzept vorgesehene Protokollierung und Information tatsächlich implementiert ist. Die Möglichkeit zur Verschlüsselung von E-Mails sollte schnell eingeführt werden, damit die Administratoren brisante Inhalte nicht zur Kenntnis nehmen können.
Im Ergebnis habe ich eine IT-Revision gefordert, die über die zentrale E-Mail-Plattform hinaus die IT überprüft.
Die von mir aufgestellten Forderungen wurden sofort aufgegriffen. Mittlerweile ist eine IT-Revision bei der HZD eingerichtet. Die Protokollierung wurde implementiert.
Prüfung in Hünfeld
Die Struktur der DV der Justiz ist in einem Netzkonzept der Netzbeschreibung und einem Administrationskonzept beschrieben. In meinem 31. Tätigkeitsbericht, Ziff. 5.1.3 hatte ich die mittlerweile fortgeschriebenen Konzepte dargestellt.
Ferner ist in § 5 der Betriebssatzung der HZD die Fachaufsicht der Justiz über die für sie zuständigen Mitarbeiter der HZD ausdrücklich festgelegt. Mit meiner Prüfung wollte ich feststellen, wie die Konzepte umgesetzt sind und wie die Administration im laufenden Betrieb stattfindet.
Zum Zeitpunkt der Prüfung waren wesentliche Teile der Justiz-Infrastruktur von der HZD Hünfeld zur HZD Wiesbaden verlagert. Dies umfasste das Servermanagement und die Verwaltung der Active-Directory-Benutzer und der ExchangePostfächer. Die Umstellung erfolgte im Rahmen der Lotus-Notes-Ablösung durch die (zentrale) Microsoft-ExchangeLösung ab Mitte 2005. Es waren auch bereits zwei Active-Directory-Domänencontroller der Justiz-Domäne in Wiesbaden installiert.
Die Aufgaben in Hünfeld beschränkten sich bei der E-Mail auf den Support von Outlook-Problemen. Selbst die verbliebenen administrativen Aufgaben fanden über einen Verwaltungsrechner auf den Systemen in Wiesbaden statt. Die noch gegebene Doppeladministration Wiesbaden/Hünfeld sollte im Rahmen einer Neukonzeption zentral in Wiesbaden stattfinden.
Teile der Aufgaben sollten dann im Rahmen einer Rück-Delegation in Hünfeld ausgeführt werden. Das Konzept war aber nicht vorhanden, es wurde noch erstellt.