Mit der Einführung von MESO steht den Kommunen ein Verfahren zur Verfügung das sie grundsätzlich selbst betreiben
Sollten die Kreisverwaltungen künftig im rlp-Subnetz „Verwaltung" verbleiben, würde diese Form der Kommunikation entsprechend den Empfehlungen des LfD im Rahmen der Aufsichtsfunktion des LDI durch entsprechende Filterung am Netzübergang zusätzlich abgesichert.
Im Rahmen des Betriebs von EWOIS-neu wird derzeit an zwei Stellen im Land ein besonderer Zugang zum KNRP praktiziert. Die hierbei beteiligten Verwaltungen stellen über eigene VPN-Lösungen Verbindungen zu zentralen Knoten her, die ihrerseits dann den KNRP-Anschluss realisieren. In beiden Fällen erfolgt die Verbindung über kryptografisch gesicherte Tunnelverbindungen zu den zentralen Knoten. Die definierten Verbindungsregeln entsprechen den Empfehlungen des LfD.
Einwohnerinformationssystem Rheinland-Pfalz (EWOIS) 21.2.5.1 EWOIS-Komponente MESO
Was lange währt wird doch noch gut! Unter diesen Leitsatz könnte man auch die Neuentwicklung des Einwohnerinformationssystems MESO stellen. Zum 1. April 2003 wurde in den Kommunen durch die Firma KommWis GmbH das neue „dezentrale" (siehe hierzu auch Tz. 21.2.5.4) Einwohnerinformationssystem in Betrieb genommen. Das seit 1971 betriebene Großrechnerverfahren EWOIS gehört damit der Vergangenheit an.
Mit der Einführung von MESO steht den Kommunen ein Verfahren zur Verfügung, das sie grundsätzlich selbst betreiben können.
Ihren Forderungen entsprechend sind sie damit in die Lage versetzt worden, Einwohnerdaten ohne Einschaltung eines Dritten und somit ohne zusätzliche Kostenanforderungen (z. B. für einzelne Listen) selbst zu verarbeiten.
Mit der Neuentwicklung wurde auch die Möglichkeit geschaffen, formal das Verfahren so zu gestalten, dass den Datenschutzanforderungen des Meldegesetzes stärker entsprochen werden kann. Beispielsweise
können nunmehr alle nach dem Meldegesetz möglichen Auskunftssperren im Meldedatensatz gespeichert werden,
ist es möglich, die Zugriffsrechte so zu vergeben, dass nur die für die jeweilige Sachbearbeitung erforderlichen Informationen zur Verfügung gestellt werden können,
ist eine Protokollierung realisiert, die es ermöglicht nachzuvollziehen, wer wann auf welche Daten zugegriffen hat.
Den früheren Forderungen des LfD (zuletzt siehe 17. Tb. Tz. 4) wurde somit in weiten Teilen Rechnung getragen.
In diesem Zusammenhang ist auch darauf hinzuweisen, dass die Kommunen nunmehr grundsätzlich selbst in der Lage sind zu entscheiden, wer gemäß § 31 Abs. 7 MG innerhalb ihrer Verwaltung auf welche Meldedaten Zugriff haben soll. Nach wie vor sind vor der Einrichtung einer Zugriffsmöglichkeit die Voraussetzungen des § 7 LDSG zu prüfen. Das Ergebnis der Überprüfung ist schriftlich zu dokumentieren. Zur Erleichterung hat das Ministerium des Innern und für Sport hierzu in Abstimmung mit dem LfD Musterdienstanweisungen über den automatisierten Abruf von Meldedaten innerhalb der Gemeinde-/Verbandsgemeinde-/Stadtverwaltung erarbeitet.
Leider ist es jedoch auch mit dem neuen Verfahren MESO bisher nicht möglich, der in § 11 MG detailliert geregelten Löschung und Aufbewahrung von Meldedaten gerecht zu werden. Die im bisherigen Verfahren enthaltenen Archivdaten wurden auch in MESO übernommen. Eine Löschung bzw. Archivierung ist nicht erfolgt. Gründe hierfür waren neben der bei der Einführung noch fehlenden Funktionalität die Abhängigkeiten der einzelnen Informationen untereinander.
Der LfD hat in der Vergangenheit mehrfach diesen Missstand problematisiert und darauf hingewiesen, dass es zwingend notwendig sei, Meldedaten entsprechend § 11 MG zu archivieren bzw. zu löschen. Um dem nachzukommen, entwickelt derzeit die Fa. KommWis GmbH gemeinsam mit dem Hersteller von MESO ein entsprechendes Modul.
Die durchgeführten örtlichen Feststellungen im Bereich MESO haben neben einigen allgemeinen datenschutzrechtlichen Hinweisen bisher zu keinen Beanstandungen geführt. Der LfD wird auch weiterhin den datenschutzgerechten Einsatz dieses Verfahrens bei den Kommunen kontrollieren.
21.2.5.2 EWOIS-Komponente Integrationssystem
Im Integrationssystem sind Teile der einzelnen dezentralen Datenbestände des Verfahrens MESO zentral zusammengefasst. Dieser zentrale Datenbestand dient zunächst der Übernahme der Daten eines Einwohners bei Zuzug bzw. Wegzug. Darüber hinaus werden aus dem zentralen Datenbestand auch zentrale Verfahrensfunktionen wahrgenommen. Hierbei handelt es sich derzeit noch ausschließlich um die regelmäßigen Datenübermittlungen an bestimmte Empfänger (wie z. B. Kirchen, Rentenstellen, Bundeswehr im Rahmen der Wehrerfassung). Fallweise können auch Datenabgleiche des zentralen Meldedatenbestands mit vom Auftraggeber zur Verfügung gestellten Dateien durchgeführt werden. Der LfD hat die Entwicklung des Integrationssystems von Anfang an begleitet und im Pilotbetrieb kontrolliert. Grundsätzliche datenschutzrechtliche Bedenken haben sich dabei nicht ergeben. Der LfD wird die Ausgestaltung und Nutzung des Integrationssystems im Rahmen örtlicher Feststellungen im Zusammenhang mit dem Gesamtkomplex des neuen Einwohnerinformationssystems weiter kontrollieren.
21.2.5.3 EWOIS-Komponente Informationssystem
Für die Abfrage von Meldedaten durch Stellen der Landesverwaltung steht im Verfahren EWOIS-neu die Komponente Informationssystem zur Verfügung. Das Informationssystem enthält im Vergleich zu den lokalen Datenbeständen der Meldebehörden (Tz. 21.2.5.1) und dem Integrationssystem (Tz. 21.2.5.2) nur einen Teil des Gesamtbestands (Informationssystem ca. 30 Datenbanktabellen, Integrationssystem ca. 70 Tabellen, dezentraler MESO-Bestand ca. 200 Tabellen). Es dient vorrangig als Auskunftssystem für aktuelle Fälle im Wege der Einzel- bzw. Gruppenauskunft. Die im bisherigen Verfahren erfolgten Datenabgleiche und Datenübermittlungen werden künftig ausschließlich auf der Basis des Integrationssystems durchgeführt.
Hinsichtlich der notwendigen Mechanismen zur Steuerung des Zugriffs entspricht das Informationssystem den im 18. Tb., Tz. 21.2.1.1 dargestellten Empfehlungen des LfD. Auf der Grundlage eines X.500-Verzeichnisdienstes ist eine Steuerung von Zugriffen und Auswertungen nach Art der Verwaltungen, Benutzergruppen/Benutzern, regionaler Zuständigkeit und fachlichen Anforderungen möglich. Die Definition der funktionalen Behörden (Rollen) und deren Zugriffsrechte im Informationssystem erfolgt dabei zentral. Die abfragenden Stellen haben die Möglichkeit, innerhalb der ihnen zugewiesenen Rollen selbständig Benutzer einzurichten und zu pflegen. Die vorhandenen Protokollierungsmechanismen erlauben es, den Umfang zu protokollierender Zugriffe bezogen auf die abfragende Stelle und die Art des Zugriffs (Einzel- oder Gruppenauskunft) variabel vorzugeben.
Eine Sondersituation ergibt sich für den Bereich der Polizei. Die Prüfung der EWOIS-Berechtigung stützt sich dabei, abweichend gegenüber dem Zugang sonstiger Stellen, auf einen eigenen Verzeichnisdienst der Polizei. Angesichts des einheitlichen Rechteprofils der polizeilichen Nutzer und des reduzierten Aufwands für die Datenpflege bestanden hiergegen keine Bedenken. Kern der Empfehlungen des LfD war in diesem Zusammenhang, dass gewährleistet sein muss, erfolgte Datenzugriffe bei Bedarf konkreten Personen zuordnen zu können; dem wurde entsprochen.
Für die Kommunikation der abrufenden Stelle mit dem Informationssystem kommt eine SSL-Verschlüsselung zum Einsatz, so dass auch im Blick auf die gegenwärtig noch ausstehende Leitungsverschlüsselung im rlp-Netz (vgl. Tz. 21.2.2.2) eine ausreichende Vertraulichkeit der Abrufe gewährleistet ist.
Im Rahmen der Datenmigration aus dem Vorläuferverfahren wurden aus technischen Gründen Angaben früherer Wohnsitze übernommen, die über den in der Verfahrenskonzeption vorgesehenen Zeitraum hinausgehen. Im Blick auf die o. g. Auskunftsfunktion des Informationssystems lediglich für aktuelle Meldedaten hat der LfD dies problematisiert. Eine Bereinigung des Datenbestandes ist mit der Einführung einer Archivierungskomponente in MESO vorgesehen, die die Speicherung dieser Angaben im Informationssystem entbehrlich macht (vgl. Tz. 21.2.5.1). 21.2.5.4 Hosting-Betrieb der dezentralen Meldedatenbanken
Im Laufe der Entwicklung des neuen Einwohnerinformationssystems hat sich bei zahlreichen Kommunen die Erkenntnis eingestellt, dass mit der Dezentralisierung des Einwohnerinformationssystems ein enormer Aufwand entsteht und für die Betreuung hoher technischer Sachverstand erforderlich ist.
Dies hat die Kommunale Datenzentrale Mainz (KDZ) zum Anlass genommen, das sog. Hosting-Modell den Kommunen anzubieten. Aufgabe des Systems ist die Zentralisierung der Datenhaltung und der damit verbundenen Administration. Zur Realisierung des Modells betreibt die KDZ hierzu eine „Serverfarm". Ursprünglich war in Erwägung gezogen worden, entsprechend dem konsolidierten Gesamtbestand der MESO-Daten dem Integrationssystem die einzelnen Datenbestände in einer gemeinsamen Datenbank abzulegen. Der LfD hat hiergegen datenschutzrechtliche Bedenken geäußert, nicht zuletzt wegen der Möglichkeit, dass die Meldedaten auch bestandsübergreifend ausgewertet werden könnten. Die KDZ hat diesen Bedenken Rechnung getragen und betreibt nunmehr für jede einzelne Kommune eine separate „Oracle-Instanz", auf der die Meldedatenbestände abgelegt sind. Bestandsübergreifende Auswertungen sind damit nicht mehr möglich.
Zwischenzeitlich haben sich von 212 Kommunen 170 für eine Teilnahme an diesem System entschieden.
Auch aus datenschutzrechtlicher Sicht ist diese Entwicklung zurück von der Dezentralisierung nicht ohne Vorteil. So ist es nicht mehr zwingend erforderlich, zentrale datenschutzrechtliche Forderungen gegenüber jeder einzelnen Kommune geltend zu machen. Vielmehr besteht die Möglichkeit, auftretende Probleme an zentraler Stelle mit der KommWis GmbH und der KDZ zu erörtern, wodurch ein einheitlicher Datenschutzstandard realisierbar ist.
Im Rahmen örtlicher Feststellungen zum Hosting-Modell hat der LfD in der Vergangenheit einige datenschutzrechtliche Hinweise gegeben, deren Umsetzung er im Rahmen künftiger örtlicher Feststellungen kontrollieren wird. 21.2.5.5 Privatisierung des Betriebs des Einwohnerinformationssystems EWOIS-neu
Der Betrieb zentraler Komponenten des Einwohnerinformationssystems wurde im Rahmen einer Ausschreibung an ein Konsortium bestehend aus der T-Systems GmbH einer Tochtergesellschaft der Deutschen Telekom und der Kommunalen Datenzentrale Mainz vergeben. Die Betriebsaufgaben gehen dabei über den rein technischen Betrieb der Systeme und die Datenhaltung hinaus und umfassen auch die Wahrnehmung zentraler Verfahrensfunktionen.
Vor dem Hintergrund, dass die Betriebsübernahme durch eine nichtöffentliche Stelle mit einem Wegfall der im Rahmen der Rechtsund Fachaufsicht bestehenden direkten Einwirkungsmöglichkeiten verbunden ist, hat der LfD die Notwendigkeit betont, dies durch eine entsprechende Vertragsgestaltung und geeignete technisch-organisatorische Maßnahmen zu kompensieren. Insbesondere gelte dies für die Bereiche Transparenz des Verfahrensablaufs und Dokumentationspflichten, Nachvollziehbarkeit der Verarbeitung, Weisungsrechte, Informationspflichten, Steuerungs- und Kontrollmöglichkeiten, Rückholbarkeit und Sanktionsmöglichkeiten bei Verstößen. Entsprechende Vorgaben wurden in den Betriebsverträgen für das Intergrations- und Informationssystem sowie das Kommunale Netz berücksichtigt.
In verschiedenen Bereichen des Verfahrens wurden durch den LfD örtliche Feststellungen getroffen. Ziel war es dabei zu klären, inwieweit das Betriebskonzept und die Betriebspraxis den genannten Vorgaben entsprechen. Die Erkenntnisse zeigen, dass Outsourcing-Lösungen bei komplexen Großverfahren wie EWOIS-neu datenschutzrechtlich einer differenzierten Betrachtung bedürfen.
So basiert der Verfahrensbetrieb durch T-Systems auf professionellen personellen, organisatorischen und technischen Strukturen.
Insbesondere der Rechenzentrumsbetrieb und die für die Betreuung der Systeme genutzten Kommunikationsnetze genügen den notwendigen Sicherheitsanforderungen; vielfach gehen sie darüber hinaus.
Gleichwohl schränkt eine Auslagerung die Möglichkeiten der Auftraggeber, die Organisation des Verfahrensbetriebs zu bestimmen, letztlich ein; jedenfalls erschwert sie die Beurteilung, welche Daten für welche Stellen im Zugriff stehen. Die Entscheidung über die Betriebsstandorte entzieht sich teilweise dem Einfluss der Auftraggeber. So sind am Betrieb des EWOIS-Verfahrens Betriebseinheiten in mehreren Bundesländern beteiligt, wobei gegenüber den Auftraggebern zunächst offen bleibt, welche Stellen konkret mit welchen Aufgaben betraut sind und in welcher Vertragsbeziehung diese zum Auftragnehmer stehen. Hintergrund solcher Informationsdefizite sind vorrangig Veränderungen von Unternehmensorganisationen, ausgelöst beispielsweise von Marktentwicklungen, Verbesserungen der Kostenstruktur, Optimierung betrieblicher Abläufe und Unternehmensbeteiligungen.
Grundsätzlich bestünde zwar die Möglichkeit, eine bestimmte Betriebsorganisation vertraglich festzuschreiben, die damit verbundenen finanziellen Auswirkungen wirken jedoch der mit einer Auslagerung angestrebten Kostenreduzierung entgegen. Aus datenschutzrechtlicher Sicht bedarf es damit verlässlicher Vereinbarungen über Informationspflichten im Fall von Änderungen des Verfahrensbetriebs.
Für das Verfahren EWOIS-neu hat sich auch die Forderung des LfD als bedeutsam erwiesen, die Betriebsstandorte auf das Gebiet der Bundesrepublik Deutschland zu beschränken. Das genutzte Rechenzentrum ist Teil einer globalen Struktur, so dass grundsätzlich auch IT-Strukturen außerhalb Deutschlands oder Europas nutzbar wären. Die Frage, ob und wie Kontrollrechte der Auftraggeber oder des Datenschutzbeauftragten in solchen Fällen wirksam ausgeübt werden können, kann angesichts der bestehenden Lösung dahinstehen.
Unverzichtbar für die Ausübung von Weisungs- und Kontrollrechten des Auftraggebers sowie für die vorbehaltene Rückholbarkeit des Verfahrens ist eine ordnungsgemäße Dokumentation im Sinne des § 9 Abs. 2 Nr. 9 LDSG. Solange dies nicht der Fall ist, muss eine vertraglich vorgesehene Möglichkeit der Kündigung und Übernahme des Verfahrens durch einen Dritten relativiert werden. Im Bereich der Dokumentation bestehen aus Sicht des LfD noch Defizite des Verfahrens. So liegen zugesagte und für den Betrieb des Verfahrens wesentliche Dokumentationen und Nachweise bislang nicht vor.
Datenschutzrechtlich von Bedeutung ist weiterhin die Möglichkeit strafrechtlicher Sanktionen im Missbrauchsfall. Wesentlich ist hierbei eine formelle Verpflichtung nach dem Verpflichtungsgesetz der mit wesentlichen operativen Betriebsaufgaben betrauten Personen. Bei hochdiversifiziertem Betriebsablauf wie im Fall von EWOIS-neu kann dies mit betrieblichen Belangen des Auftragnehmers kollidieren. Die Klärung der diesbezüglichen Fragen hat sich als zeitaufwändig erwiesen, wodurch die zugesagte Verpflichtung des o. g. Personenkreises zum Zeitpunkt der Vorlage dieses Berichts noch nicht abgeschlossen war.
Die genannten Probleme sind zum Teil auf die mit der Übernahme eines Großverfahrens verbundenen Anlaufschwierigkeiten zurückzuführen. Trotz offener Fragen haben sich bislang allerdings keine Feststellungen ergeben, aufgrund derer die Auslagerung des EWOIS-Betriebs datenschutzrechtlich zu beanstanden wäre. Neben der Klärung der angesprochenen offenen Punkte sind im weiteren Verlauf ergänzende Kontrollen des Verfahrens vorgesehen.