Versicherung
Landesdaten- und Kommunikationsnetz Rheinland-Pfalz (rlp-Netz)
Mit Beginn des Jahres 2005 wurde das technisch neustrukturierte Landesnetz in Betrieb genommen. Der LfD hat im Vorfeld der Ausschreibung der Netzleistungen zu den konzeptionellen Überlegungen Stellung genommen.
Im 19. Tätigkeitsbericht wurde unter Tz. 21.2.2.2 dargestellt, dass entgegen ursprünglicher Planungen die Kommunikation im rlp-Netz weiterhin nicht verschlüsselt wurde. Im Vorfeld der Neukonzeption des rlp-Netzes hat der LfD daher auf § 1 Abs. 2 des LDI-Errichtungsgesetzes hingewiesen. In Verbindung mit § 2 Abs. 2 Nr. 1 und 3 der LDI-Betriebssatzung obliegt dem Landesbetrieb danach die Gewährleistung einer sicheren Kommunikation innerhalb der Verwaltung.
Hierzu zählt angesichts geänderter Rahmenbedingungen aus Sicht des LfD die kryptografische Sicherung der Übertragungswege (vgl. 18. Tb., Tz. 21.2.2.2). In vergleichbaren Bereichen z. B. Kommunales Netz Rheinland-Pfalz, Informationsverbund Berlin-Bonn, TESTA-Netz hat sich eine Leitungsverschlüsselung als praktikabel erwiesen und wird standardmäßig genutzt. Angesichts der wachsenden Bedeutung des rlp-Netzes als zentrale Kommunikationsplattform der Landesverwaltung sollte aus Sicht des LfD daher auch für das Landesnetz generell die Möglichkeit einer kryptografisch gesicherten Kommunikation vorgesehen werden.
Der LDI hat dies bei der technischen Neugestaltung des rlp-Netzes berücksichtigt. Mit Aufnahme des Betriebs der neugestalteten Netzstruktur wurde in allen Bereichen des rlp-Netzes eine standardmäßige Verbindungsverschlüsselung eingeführt. Innerhalb des rlp-Netzes ist damit die Vertraulichkeit der Kommunikation gegenüber Dritten verlässlich gewährleistet. Einer langjährigen Forderung des LfD wurde damit entsprochen.
Als Ersatzlösung bei Ausfall von rlp-Netz-Leitungen sind alternative Verbindungen über öffentliche Kommunikationswege wie das Internet zu entsprechenden rlp-Netz-Gateways vorgesehen. Aus Sicht des LfD bestehen hiergegen keine Bedenken, wenn durch kryptografische Verfahren eine ausreichende Vertraulichkeit der Kommunikation, die Integrität der Daten und die Authentisierung der Teilnehmer gewährleistet wird; Wahl des Providers und Wegeführung sind in diesem Fall nachrangig. Auch die Anbindung von Telearbeitsplätzen oder Außenstellen sowie die Einrichtung alternativer Netzzugänge kann unter den genannten Voraussetzungen damit auch über das Internet erfolgen. Im Blick auf die Sicherheitsverantwortung des LDI für das rlp-Netz als Ganzes sollten entsprechende Lösungen allerdings nur im Rahmen einer Vereinbarung des LDI mit der betroffenen Verwaltung und mit vom LDI ausdrücklich unterstützten technischen Lösungen zugelassen werden.
Kommunales Netz Rheinland-Pfalz
Für das im Zusammenhang mit der Einführung des Verfahrens EWOIS-neu in Betrieb genommene Kommunale Netz Rheinland Pfalz (vgl. 19. Tb., Tz. 21.2.4) sind substantielle Änderungen erfolgt, weitere sind geplant. Das Ziel ist dabei die technische und administrative Angleichung des Kommunalnetzes und des rlp-Netzes der Landesverwaltung. Der Umbau betrifft die Änderung der Netzstruktur, den Ersatz von Knotenrechnern und den Austausch der eingesetzten Verschlüsselungsgeräte.
Die bislang vom LDI wahrgenommenen administrativen Aufgaben sollen aufgeteilt werden, indem das Management der Knotenrechner künftig durch eine Tochterfirma des Anbieters der physikalischen Netzleitungen erfolgen soll. Die Administration der Verschlüsselungsboxen und damit die Kontrolle der Verbindungswege liegt weiterhin außerhalb der Kontrolle des Netzanbieters; dieser erhält Zugriff ausschließlich auf die verschlüsselte Kommunikation.
Der Umbau führt zu geringeren Kosten beim Betrieb des Netzes. Für die angeschlossenen Netzteilnehmer ergeben sich als Vorteile höhere Bandbreiten, die Möglichkeit der Priorisierung von Diensten sowie künftig die generelle Verschlüsselung der Kommunikation im Kommunalnetz. Nach der Umstellung des Kommunalnetzes erfolgt in Rheinland-Pfalz als bislang einzigem Bundesland generell und flächendeckend eine Verschlüsselung der Netzkommunikation im Bereich der Landes- und Kommunalverwaltung.
Aus den Änderungen ergeben sich keine inhaltlichen Auswirkungen auf die vom LDI wahrgenommenen Kontrollfunktionen. Aufgrund der dem LDI weiterhin obliegenden Administration der Verschlüsselungsgeräte im KNRP verbleibt, wie vom LfD gefordert, die Kontrolle der Verbindungswege ins rlp-Netz bei einer der Aufsicht des Landes unterliegenden öffentlichen Stelle. Der Netzumbau lässt weiterhin den Betrieb der Firewalls an den Netzübergängen zum rlp-Netz und zum Betreiber des EWOIS-Verfahrens unberührt. Angesichts dessen wurden vom LfD gegen den geplanten Netzumbau keine Bedenken erhoben.
Einwohnerinformationssystem Rheinland-Pfalz (EWOIS) 21.2.4.1 Kontrollmöglichkeiten des Landes beim Betrieb des Verfahrens durch eine nicht-öffentliche Stelle
Im 19. Tätigkeitsbericht wurde unter Tz. 21.2.5.6 dargestellt, welche Kontroll- und Aufsichtsfunktionen auf Anregung des LfD im Rahmen der Vergabe des EWOIS-Betriebs an eine nicht-öffentliche Stelle eingerichtet wurden.
Aus den unter Tz. 21.2.3 dargestellten Veränderungen im Kommunalnetz ergeben sich keine inhaltlichen Auswirkungen auf diese vom LDI wahrgenommenen Funktionen. Aufgrund der dem LDI auch weiterhin obliegenden Administration der Verschlüsselungsgeräte im KNRP verbleibt wie vom LfD gefordert die Kontrolle der Verbindungswege ins rlp-Netz bei einer der Aufsicht des Landes unterliegenden öffentlichen Stelle. Der Netzumbau lässt auch den Betrieb der Firewalls an den Übergängen vom technischen Betreiber zum KNRP sowie vom KNRP zum rlp-Netz (Verbindungs- und Dienstekontrolle) unberührt. Angesichts dessen wurden vom LfD keine Bedenken erhoben.
21.2.4.2 Protokollierung von Abfragen im Informationssystem
Beim EWOIS-Informationssystem werden für Abrechnungszwecke und zur Datenschutzkontrolle Abfragen, Auswertungen sowie der Aufruf bestimmter Funktionen protokolliert. Die vorhandenen Mechanismen erlauben es dabei, den Umfang zu protokollierender Zugriffe variabel vorzugeben. Mit Aufnahme des Verfahrensbetriebs wurde eine Protokollierung von Gruppenabfragen zu 100% und von Einzelabfragen zu 10% Prozent eingestellt. Der LfD hatte im Vorfeld der Verfahrenseinführung darauf hingewiesen, dass aus seiner Sicht bei Einzelabfragen zumindest in bestimmten Bereichen die Notwendigkeit besteht, einen höheren Prozentsatz einzustellen.
Entgegen einer entsprechenden Zusage der betroffenen Stellen und des Verfahrensbetreibers war dies jedoch nicht erfolgt. Bei örtlichen Feststellungen hatte sich ergeben, dass weiterhin die o. g. Prozentsätze eingestellt waren. Auf der Grundlage dieser Protokolldaten war eine verlässliche Klärung erhobener Missbrauchsvorwürfe, d. h. des unbefugten Zugriffs auf Meldedaten, nicht möglich; diese konnten weder bestätigt noch entkräftet werden.
Damit hatte sich die für Einzelabfragen auf Stichproben reduzierte Protokollierung im Informationssystem für eine effektive Datenschutzkontrolle als unzureichend erwiesen. Angesichts eines Anteils der Einzelabfragen von mehr als zwei Dritteln der Gesamtzahl an Abfragen kann eine angemessene Nachvollziehbarkeit i. S. d. § 9 Abs. 2 Nr. 10 LDSG aus Sicht des LfD nur auf der Grundlage einer vollständigen Protokollierung auch der Einzelabfragen erfolgen.
In Abstimmung mit dem Betreiber ist zwischenzeitlich eine Anpassung des Verfahrens erfolgt. Nunmehr werden alle Abfragen im Informationssystem vollständig protokolliert, tageweise in verschlüsselter Form zur verfahrensbetreuenden Stelle des Landes, der KommWis GmbH, übermittelt und anschließend beim technischen Betreiber des Verfahrens gelöscht.
Den Empfehlungen des LfD wurde damit entsprochen.
Protokollierung von Zugriffen auf Internet-Angebote der Landesverwaltung
Wer im Internet unterwegs ist, hinterlässt Spuren; über Zeitpunkt, Art und Inhalt der Kommunikation, den genutzten Anschluss oder die Konfiguration des verwendeten PC. Manche dieser Informationen sind bereits direkt personenbezogen, andere lassen sich unter bestimmten Voraussetzungen individuell zuordnen. Zumeist erfolgt dies über die so genannte IP-Adresse, die dem PC eines Nutzers beim Internet-Zugriff zugeordnet wird. Die elektronischen Spuren finden sich in den Protokolldateien der Anbieter von Telekommunikations- und Telediensten, d. h. den Zugangs- bzw. Inhaltsanbietern.
Praktisch werden die meisten dieser Angaben benötigt, um die gewünschten Dienste, etwa den Zugriff auf eine Internet-Seite, erbringen zu können; vielfach dienen sie auch Abrechnungszwecken. Rechtlich handelt es sich zumeist um Nutzungsdaten nach § 6 Abs. 1 TDDSG; diese unterliegen nach § 8 Abs. 2 TDG dem Fernmeldegeheimnis.
Die datenschutzrechtlichen Risiken ergeben sich aus der Möglichkeit, aus den Protokolldaten unzulässige Kommunikations- oder Verhaltensprofile der Nutzer zu bilden. Dies gilt umso mehr, als die Angaben seitens der Anbieter vielfach herangezogen werden, um die Inanspruchnahme der angebotenen Dienste unter unterschiedlichen Gesichtspunkten auszuwerten oder um sie für Werbung zu verwenden.
Das TDDSG lässt daher eine Verarbeitung von Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus nur zu, soweit sie für Abrechnungszwecke erforderlich sind, sie anonymisiert bzw. pseudonymisiert werden oder die Nutzer in die Verarbeitung eingewilligt haben (§ 6 TDDSG). Angesichts des standardmäßigen Funktionsumfangs der eingesetzten Lösungen und einer häufig routinemäßig eingestellten Protokollierung bleibt vielfach jedoch fraglich, ob den Vorgaben des TDDSG in der Praxis entsprochen wird.
Viele Verwaltungen des Landes sind mit einem Informationsangebot im Internet vertreten und damit Anbieter von Tele- bzw. Mediendiensten (§ 2 Abs. 2 Nr. 2 TDG bzw. § 2 Abs. 1 MDStV). Sie greifen dabei in einer Reihe von Fällen auf den Landesbetrieb Daten und Information zurück, der im Rahmen des so genannten „Webserver-Hostings" die technischen Dienstleistungen für Betrieb und Administration der eingesetzten Systeme erbringt. Verantwortlich im Sinne der medien- und datenschutzrechtlichen Vorschriften bleiben jedoch die auftraggebenden Verwaltungen.
Im Rahmen örtlicher Feststellungen ist der LfD der Frage nachgegangen, ob bei der Protokollierung von Zugriffen auf InternetAngebote der Landesverwaltung die o. g. Vorgaben berücksichtigt werden.
Dabei hat sich ergeben, dass den Vorschriften des TDDSG nicht entsprochen wurde. Die Zugriffe auf die jeweiligen Internet-Angebote wurden standardmäßig für die Dauer von zwölf Monaten gespeichert, ohne dass dies für Abrechnungszwecke erforderlich war. Genutzt wurden die Daten lediglich für statistische Auswertungen, für die ein Personenbezug nicht benötigt wurde. Seitens der auftraggebenden Verwaltungen waren in keinem Fall Vorgaben zur Speicherung oder Löschung der Nutzungsdaten erfolgt, obwohl die Speicherung regelmäßig in den Impressa der Internet-Angebote angesprochen wurde. Die Vorgaben des TDDSG für eine Speicherung von Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus wurden somit nicht eingehalten.
Da nach § 1 Abs. 2 TDDSG, soweit nichts anderes bestimmt ist, die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden sind, kommt nach mehrheitlicher Auffassung der Datenschutzbeauftragten neben den im TDDSG genannten Zwecken eine vorübergehende Speicherung von Nutzungsdaten für Zwecke der Datenschutzkontrolle, der Datensicherung oder der Sicherstellung eines ordnungsgemäßen Betriebs in Betracht (§ 9 Abs.1 i.V. m. § 13 Abs. 6 LDSG).
Nach den Erfahrungen des LfD ist für diesen Zweck in der Regel eine Speicherung der Nutzungsdaten in personenbeziehbarer Form für die Dauer eines Monats ausreichend. Soweit diese darüber hinaus für statistische Zwecke benötigt werden, ist ihre Anonymisierung erforderlich.
Die datenschutzrechtliche Verantwortung liegt in erster Linie bei den Verwaltungen als Anbieter nach § 2 Nr. 1 TDDSG bzw. als auftraggebende Stelle nach § 4 Abs. 1 LDSG. Angesichts der Zahl der betroffenen Verwaltungen wurde mit dem LDI als zentralem Auftragnehmer vereinbart, dass die Dauer der Speicherung im bisherigen Umfang zwar beibehalten werden kann, nach Ablauf eines Monats jedoch eine Anonymisierung erfolgt. Die Auftraggeber des LDI wurden über die geänderte Verfahrensweise und die ihr zugrunde liegenden Regelungen unterrichtet.
Verfahren „SecTelMed" für die Bereitstellung von Radiologiedaten
Für die Bereitstellung von Radiologiedaten an die einzelnen Einrichtungen eines Krankenhauses sowie für Telekonsultationen wurde von einem Klinikum das Verfahren „SecTelMed" entwickelt. Die radiologischen Informationen werden dabei auf einem vom Klinikum betriebenen Server teilnehmerbezogen bereitgestellt. Für jeden Empfänger existiert ein Verzeichnis, in welches die Radiologiedaten abrufbar eingestellt werden.
Das Verfahren dient derzeit im Wesentlichen als Ersatz für die Weitergabe radiologischer Bilder per Boten. Es ist unabhängig von bestimmten medizinischen Fachanwendungen und benötigt absender-/empfängerseitig lediglich bildgebende oder -verarbeitende Lösungen, die Daten nach dem DICOM-Protokoll (Digital Imaging and Communication in Medicine) verarbeiten können.
Die Radiologiedaten werden für die Übertragung verschlüsselt und digital signiert. Die eingesetzten Softwarekomponenten, Algorithmen und Schlüssellängen sind im Blick auf die Sicherstellung des Datenschutzes nach § 28 Abs. 6 Röntgenverordnung geeignet und begegnen aus Sicht des LfD keinen datenschutzrechtlichen Bedenken. Die genutzte Signaturlösung entspricht dabei einer fortgeschrittenen Signatur nach § 2 Nr. 2 SigG. § 43 Röntgenverordnung sieht die qualifizierte elektronische Signatur für vorgeschriebene Aufzeichnungen, die in elektronischer Form erfolgen, vor. Bei „SecTelMed" handelt es sich jedoch nicht um ein Verfahren zur Aufzeichnung radiologischer Dokumente, sondern um ein Verfahren zur Übertragung medizinischer Daten. Die im Rahmen von „SecTelMed" genutzte Signatur dient dabei lediglich der Integritätssicherung während der Datenübertragung. Das Erfordernis einer qualifizierten Signaturlösung gemäß § 2 Nr. 3 SigG besteht damit im vorliegenden Fall nicht.
Die dezentrale Erzeugung der kryptografischen Schlüssel durch die teilnehmenden Stellen war aus Sicht des LfD aufgrund des geschlossenen Benutzerkreises mit überschaubarer Teilnehmerzahl hinnehmbar. Problematisch war hingegen, dass Signaturschlüssel nach Ablauf der Gültigkeitsdauer weiter genutzt werden konnten; eine Überwachung der Gültigkeitsdauer oder eine automatische Sperre abgelaufener Schlüssel erfolgte nicht. Der LfD hat daher empfohlen, das Verfahren entsprechend anzupassen. Bei steigender Teilnehmerzahl bedarf es seiner Ansicht nach allerdings einer tragfähigen Zertifizierung, d. h. der gegenüber Dritten verlässlichen Bestätigung, dass ein Schlüssel einer bestimmten Stelle zugeordnet ist. Die entsprechenden Trustcenter-Aufgaben (Schlüsselerzeugung, Personalisierung, Zertifizierung, Verzeichnisdienst, Gültigkeitsprüfung, Sperrdienst etc.) können auf der Grundlage vertraglicher Vereinbarungen Stellen außerhalb des Klinikums wie einer Ärztekammer oder der Deutschen Radiologischen Gesellschaft übertragen werden.
Verfahren „Antrag Online" der Landesversicherungsanstalt Speyer
Der Verband Deutscher Rentenversicherungsträger (VDR) stellt für die Aufnahme von Leistungsanträgen nach § 151 a SGB VI ein elektronisches Verfahren zur Verfügung. Das Programm ist derzeit bei bundesweit ca. 3 600 Stellen in einer Offline-Version im Einsatz. Die Anträge werden dabei ausgedruckt und auf dem Postweg an die Versicherungsträger verschickt. Künftig soll die Möglichkeit der elektronischen Übermittlung von Rentenanträgen bestehen. Das Gesamtverfahren unterliegt, je nach Art der beteiligten Stellen, unterschiedlichen datenschutzrechtlichen Zuständigkeiten. Die Datenschutzkontrolle des LfD erstreckt sich dabei auf die das Verfahren nutzenden öffentlichen Stellen der rheinland-pfälzischen Landes- und Kommunalverwaltung; der VDR als Spitzenverband der Versicherungsträger auf Bundesebene unterliegt der Kontrolle des BfD.
Im Zusammenhang mit dem Einsatz des Verfahrens bei den Gemeindebehörden und Versicherungsämtern in Rheinland-Pfalz wurde der LfD um Stellungnahme zu dem für das Verfahren erstellte Sicherheitskonzept gebeten.