Versicherung
Den Anforderungen aus § 78 a SGB X kann damit in geeigneter Weise entsprochen werden; die nach Umsetzung der vorgesehenen Maßnahmen verbleibenden Restrisiken stehen aus datenschutzrechtlicher Sicht einem Einsatz des Verfahrens nicht entgegen.
Um die angestrebte Verfahrenssicherheit zu erreichen ist eine vollständige Umsetzung des Sicherheitskonzepts erforderlich. Dies gilt vor allem für den durch heterogene IT-Strukturen gekennzeichneten sowie rechtlich und organisatorisch weitgehend selbständigen Bereich der Kommunen. Um die Sicherheit des Gesamtverfahrens zu gewährleisten ist daher vorgesehen, dass die Gemeinden und Versicherungsämter eine Verpflichtungserklärung abgeben, in der die Einhaltung der Leit- und Richtlinien zur Nutzung des Verfahrens, und damit der im Sicherheitskonzept vorgesehenen technisch-organisatorischen Maßnahmen bestätigt wird.
Der LfD hat in diesem Zusammenhang empfohlen, in die vom verantwortlichen Ministerium auszusprechende Teilnahmegenehmigung eine entsprechende Auflage aufzunehmen.
Flächeninformationssystem Online Rheinland-Pfalz (FLOrlp)
Das Verfahren FLOrlp ermöglicht in Form einer Web-Anwendung die Online-Abfrage landwirtschaftlicher Förderflächen über das Internet. Hierzu werden aus Geobasisdaten erzeugte digitale Karten über einen Webserver zur Verfügung gestellt. Applikationsserver und Datenserver befinden sich dabei in verschiedenen Sicherheitszonen des rlp-Netzes, die Kommunikation der Systeme erfolgt über die Plattform „rlp-Service24". Die damit verbundene Auftrennung der Verbindung zwischen den beteiligten Systemen trägt den unterschiedlichen Sicherheitsstufen der Subnetze Rechnung. Im Rahmen der Einführung des Verfahrens ergab sich jedoch die unabweisbare Notwendigkeit, den förderberechtigten Stellen zu einem Zeitpunkt das Verfahren bereitzustellen, zu dem die Plattform „rlp-Service24" noch nicht im erforderlichen Umfang zur Verfügung stand. Als Konsequenz sollte die Aufteilung der Systeme auf unterschiedliche Sicherheitszonen vorübergehend ausgesetzt werden.
Mit Blick auf die Bedeutung des rlp-Netzes als zentrale Kommunikationsplattform der Landesverwaltung und die in § 1 Abs. 2 LDIErrichtungsgesetz i.V. m. § 2 Abs. 2 Nr. 3 der Betriebssatzung des LDI genannte Aufgabenstellung befürwortet der LfD eine grundsätzlich restriktive Haltung gegenüber Durchbrechungen der Sicherheitskonzeption des rlp-Netzes. Die Vielzahl der angeschlossenen Stellen und Anwendungen erfordern ein verlässlich einschätzbares Sicherheitsniveau, das im Fall von Ausnahmeregelungen nur eingeschränkt zu gewährleisten ist.
Die für das Verfahren FLOrlp angestrebte Zwischenlösung kam aus Sicht des LfD daher nur übergangsweise als bedarfsbezogene Kommunikation in der Definition der Sicherheitsleitlinien des rlp-Netzes und unter folgenden Voraussetzungen in Betracht:
Die Anbindung des FLOrlp-Servers wird über eine gefilterte und auf die betroffenen Systeme beschränkte Verbindung unter der administrativen Kontrolle des LDI realisiert.
Vor Einrichtung der Netzverbindung sind die Konfiguration und Patchlevel der beteiligten Systeme zu überprüfen und gegebenenfalls zu aktualisieren sowie nicht erforderliche Dienste und Anwendungen zu entfernen. Für die verbleibende Konfiguration ist sicherzustellen, dass nachträgliche Sicherheits-Updates zeitnah installiert werden.
Um eine unzulässige Veränderung von Systemdateien erkennen zu können, sollten vor Einrichtung der Verbindung Prüfsummen der unveränderlichen Teile des Dateisystems angefertigt und diese in angemessenen Abständen überprüft werden.
Verstöße gegen die Filterregeln der Firewalls am Übergang der jeweiligen Teilnetze sind zu protokollieren und zeitnah zu klären.
Die Anbindung erfolgt auf der Grundlage einer schriftlichen Beauftragung des LDI und zeitlich begrenzt. Sobald die Plattform „rlp-Service24" zur Verfügung steht, ist das Verfahren umzustellen.
Der Landesbeauftragte hat ergänzend darauf hingewiesen, dass es sich bei der dargestellten Verfahrensweise um eine angesichts der nachteiligen Folgen eines verzögerten Verfahrensbeginns mitgetragene Ausnahmeregelung ohne Modellcharakter handelt. Den Empfehlungen des LfD wurde entsprochen.
Anbindung rheinland-pfälzischer Stellen an die Dialoganwendungen des Kraftfahrtbundesamtes (KBA)
Die Anbindung der die Dialoganwendungen des KBA nutzenden Stellen in Rheinland-Pfalz erfolgt über eine eigene Festverbindung des LDI. Diese besteht seit mehreren Jahren und soll nunmehr in einen Zugang über das TESTA-Netz überführt werden. Für dieses betreibt der LDI einen firewallgesicherten Zugang, der unter kontrollierten Bedingungen von den zugelassenen Stellen der Landes- und Kommunalverwaltung erreichbar ist. Ausgehend von den bestehenden Sicherheitsstrukturen hat der LDI ein Konzept erarbeitet, mit dem ein gesicherter Zugang zu den KBA-Anwendungen gewährleistet werden soll. Im Zusammenhang mit der Umstellung wurde der LfD um Stellungnahme zu der vom LDI geplanten Lösung gebeten.
Im Gegensatz zur Situation in einigen anderen Bundesländern sind die auf das KBA-Portal zugreifenden Stellen in Rheinland-Pfalz nicht über ISDN-Zugänge angebunden. Deren Zugriff erfolgt vielmehr über das vom Landesbetrieb Daten und Information administrierte rlp-Netz der Landesverwaltung bzw. das Kommunale Netz Rheinland-Pfalz (KNRP). Beide sind aufgrund ihrer technischen Gestaltung und die Art des Netzmanagements (vgl. Tz. 21.2.2 und 21.2.3) als sichere und geschlossene Netze i. S. d. § 13 Abs. 1 Satz 3 FRV bzw. § 54 Abs. 1 Satz 3 FeV anzusehen.
Trotz einer damit grundsätzlich möglichen Verwendung einer netzweit einheitlichen Zugangskennung wurden für die abrufenden Stellen in Rheinland-Pfalz dienststellenbezogene Kennungen vergeben. In Verbindung mit der Zuordenbarkeit der Netz-Adressen zu bestimmten Verwaltungen ergibt sich damit eine angemessene Authentizität und Nachvollziehbarkeit der abrufenden Stellen.
Der nutzenden Verwaltung obliegt es dabei sicherzustellen, dass die abrufende natürliche Person festgestellt werden kann (§ 54 Abs. 1 Satz 5 FeV, § 13 Abs. 1 Satz 5 FRV).
Darüber hinaus ist im Konzept des LDI vorgesehen, die IP-Adresse der Endgeräte in die Verbindungs- und Dienstekontrolle des LDI einzubinden und damit eine angemessene Authentizität des Endgeräts beim Zugriff auf das KBA-Portal zu gewährleisten.
Sowohl im rlp-Netz als auch im Kommunalnetz werden die Verbindungen zwischen der jeweils angeschlossenen Verwaltung und dem LDI kryptografisch abgesichert. Dies erfolgt über separate Verschlüsselungsgeräte an den Endpunkten einer Verbindung; deren Management liegt ausnahmslos in der Hand des LDI. Die genutzten Verfahren entsprechen dem Stand der Technik. Angesichts der ebenfalls verschlüsselten Kommunikation im TESTA-Netz ergibt sich damit auf Netzebene eine gesicherte Verbindung von der abrufenden Stelle bis zum KBA-Portal. Der in § 30 a Abs. 2 Nr. 1 StVG geforderten Vertraulichkeit und Unversehrtheit der Datenübertragung wird damit entsprochen.
Die technischen und administrativen Gegebenheiten im rlp-Netz bzw. im Kommunalen Netz gewährleisten aus Sicht des LfD eine Vertraulichkeit der Kommunikation und Authentizität der nutzenden Stellen, die den gesetzlichen Vorgaben für die KBA-Register entsprechen. Angesichts der vertrauenswürdigen IT-Strukturen in den Verwaltungsnetzen des Landes begegnete das Konzept des LDI daher keinen datenschutzrechtlichen Bedenken.
21.2.10 Verfahren zur EDV-gestützten Dokumentation und Analyse sozialer Arbeit von AIDS-Hilfen (DoSA)
Für die Leistungs- und Tätigkeitsdokumentation im Bereich der AIDS-Hilfe wird über das MASFG das Verfahren „DoSA" zur Verfügung gestellt. Im Rahmen einer Stellungnahme zum Verfahrenskonzept hatte der LfD in einzelnen Bereichen Änderungen bzw. Ergänzungen empfohlen, die bei der weiteren Entwicklung des Programms berücksichtigt werden sollten.
So verfügte das Verfahren über Funktionen zur Benutzerverwaltung und Zugriffskontrolle, die die Möglichkeit boten, verschiedene Benutzer mit je nach Aufgabenstellung unterschiedlich ausgeprägten Zugriffsrechten einzurichten. Dies erlaubte es grundsätzlich, den Datenzugriff angemessen zu beschränken; insgesamt bestand allerdings das Risiko, dass unzureichende Passworte verwendet wurden. Um einen wirksamen Schutz der Anwendung zu gewährleisten, hat der LfD empfohlen, für standardmäßig vergebene Passworte bei der ersten Anmeldung zwingend eine Änderung vorzusehen und Passworte auf die bestehenden Vorgaben hin zu überprüfen.
Der zur Absicherung gespeicherter Daten vorhandene Kennwortschutz reichte lediglich als Schutz vor zufälligem oder unabsichtlichem Zugriff aus und widerstand weitergehenden Zugriffsversuchen nur bedingt. So war es im Rahmen von Tests möglich, die Struktur der Tabellen und Teile des Datenbankkennworts auszulesen. Um eine verlässliche Absicherung zu erreichen, hat der LfD empfohlen, vorhandene Überlegungen zum Einsatz ergänzender Verschlüsselung umzusetzen, zumal die ins Auge gefasste Lösung auch zugleich eine angemessene Vertraulichkeit gegenüber Personen gewährleistet, die über weitgehende Zugriffsmöglichkeiten auf das jeweilige System verfügen, ohne im Rahmen der eigentlichen AIDS-Hilfe tätig zu werden (z. B. Systembetreuung, Wartungsunternehmen).
Mit Blick auf die Sensibilität der in DoSA gespeicherten Daten sollte weiterhin gewährleistet werden, dass der Aufruf von Programmfunktionen, die zur Anzeige personenbezogener Daten führen, mit der Angabe über den jeweiligen Benutzer und des Zeitpunkts des Aufrufs manipulationsfest protokolliert werden.
21.2.11 Schulintranet in einem Landkreis
Ein Landkreis hat gemeinsam mit einem lokalen Internetserviceprovider und IT-Dienstleister den Aufbau eines Schulintranets für die in Trägerschaft des Landkreises stehenden Schulen geplant und bereits teilweise realisiert. Der LfD wurde frühzeitig einbezogen.
Im März 2003 wurde bei einer gemeinsamen Besprechung mit Vertretern der Kreisverwaltung und dem Dienstleister als Projektpartner das Konzept konkret erläutert. Forderungen, die sich aus datenschutzrechtlicher Sicht ergeben haben, konnten somit bereits vor Erstellung eines Leistungsverzeichnisses (als Grundlage für eine spätere Ausschreibung) berücksichtigt werden.
Während des gesamten Projektablaufes wurde der LfD regelmäßig über den aktuellen Projektstand informiert.
Aus datenschutzrechtlicher Sicht waren folgende Punkte besonders zu berücksichtigen:
a) Beibehaltung der Trennung von Unterrichtsnetzen und Schulverwaltungsnetzen
Das geplante Schulintranetprojekt bezieht sich lediglich auf die Unterrichtsnetze. Eine Koppelung mit den Schulverwaltungsnetzen ist nicht vorgesehen. Diese ausdrückliche Empfehlung des LfD wurde von Beginn an unterstützt. Somit ist sichergestellt, dass die sensiblen Daten der Schulverwaltung nicht einem möglichen „Angriff" seitens der Unterrichtsnetze ausgesetzt sind.
b) Technische und organisatorische Maßnahmen zur Sicherung der Komponenten
Durch die frühe Beteiligung des LfD konnten Anforderungen an die IT-Sicherheit bereits in die Erstellung der Leistungsverzeichnisse einfließen. Hier sind insbesondere die Sicherstellung einer vertraulichen Kommunikation auf den Funkstrecken durch den Einsatz von kryptografischen Verfahren, die Absicherung der zentralen IT-Komponenten durch Firewalls und der Einsatz von Virenscannern zur Erkennung und Filterung von Schadsoftware zu nennen. Es wurden u. a. Empfehlungen aus dem Kreis der Datenschutzbeauftragten sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) berücksichtigt.
Wesentliche organisatorische Punkte betreffen die beim Betrieb der zentralen Komponenten entstehenden Protokolldaten. Die Logdateien der Server beinhalten personenbezogene bzw. personenbeziehbare Daten, die Rückschlüsse auf das Nutzungsverhalten der zugangsberechtigten Personen zulassen. Dass diese Protokollinformationen die für den ordnungsgemäßen Betrieb zweifellos erforderlich sind nicht außerhalb des rechtlich zulässigen Bereichs ausgewertet werden, wird Gegenstand von Nutzungsbestimmungen für das Schulintranet sein. Erkenntnisse, die im Rahmen der Pilotphase gewonnen werden, können als Maßstab für weitere Projektphasen dienen.
c) Das Verhältnis zwischen Schulträger und Dienstleister: Datenverarbeitung im Auftrag
Der Betrieb der Schulnetze ist originäre Aufgabe der Kreisverwaltung als Schulträger. Da sie den Betrieb durch einen privaten Dienstleister vornehmen lässt, entsteht ein Auftragsdatenverhältnis im Sinne des Landesdatenschutzgesetzes. Dies ist bei der Vertragsgestaltung zu berücksichtigen, insbesondere im Hinblick auf Weisungs- und Kontrollbefugnisse. Die beteiligten Stellen wurden bereits in den Vorbesprechungen auf diese Punkte hingewiesen.
Wie die Kreisverwaltung zwischenzeitlich mitgeteilt hat, ist in den Verträgen den Anforderungen des § 4 LDSG Rechnung getragen worden. Gleichzeitig mit der Vertragsunterzeichnung wurden die am Projekt beteiligten Mitarbeiter des Dienstleisters auf das Landesdatenschutzgesetz sowie nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) verpflichtet.
Allgemeine technisch-organisatorische Aspekte
Automatisierte Weiterleitung dienstlicher E-Mails zu privaten Postfächern
Im Rahmen des Einsatzes von E-Mail-Lösungen wurde die Frage an den LfD herangetragen, inwieweit eine automatisierte Weiterleitung dienstlicher E-Mails zu privaten Postfächern möglich ist.
Die Möglichkeit, eingehende E-Mails automatisiert an ein anderes Mail-Konto weiterzuleiten, ist fraglos mit erheblichem Nutzen verbunden. So erlaubt sie es insbesondere, für Abwesenheitsfälle geeignete Vertretungsregelungen abzubilden oder weitere beteiligte Stellen unmittelbar zu unterrichten. Sie dient damit dem Anliegen der Verwaltungen, auch für die E-Mail-Kommunikation einen raschen und ordnungsgemäßen behördlichen Geschäftsgang zu gewährleisten. Innerhalb der jeweiligen Verwaltung und bei Beachtung der Anforderungen des § 9 Abs. 2 Nr. 3 LDSG ist sie daher unproblematisch.
Die Verarbeitung dienstlicher Daten im privaten Umfeld kann in diesem Zusammenhang jedoch nur eine Ausnahme darstellen.
Die Fälle, in welchen dies regelmäßig erfolgt, etwa bei Tele- oder Heimarbeitslösungen, unterliegen besonderen organisatorischen und technischen Regelungen, mit denen ein der Büroumgebung des Dienstherrn vergleichbares Schutzniveau gewährleistet werden soll.
Anders ist die Weiterleitung dienstlicher Mails an private E-Mail-Adressen von Bediensteten zu bewerten. Hier ist aus Sicht des LfD zweifelhaft, ob der nach § 9 Abs. 2 Nr. 4 LDSG geforderte Schutz vor unbefugter Kenntnisnahme verlässlich sichergestellt werden kann. Unabhängig von der Frage einer vertraulichen Übertragung sind die Art privater Maillösungen und die dabei bestehenden Zugriffsmöglichkeiten höchst unterschiedlich und entziehen sich in aller Regel der Beurteilung und Einflussnahme des Dienstherrn.
Für Nachrichten ohne Personenbezug ist die Weiterleitung aus datenschutzrechtlicher Sicht naturgemäß unbedenklich. Auch mag für herausgehobene Funktionen eine Weiterleitung von Mails mit personenbezogenem Inhalt fallweise erforderlich sein; die überschaubare Zahl dieser Fälle erlaubt es jedoch, angemessene Schutzvorkehrungen gegen eine unbefugte Kenntnisnahme zu treffen.
Eine allgemeine und pauschale Weiterleitung dienstlicher Mails auf private Mail-Konten lediglich mit dem Ziel, abends, am Wochenende oder während des Urlaubs die Einsichtnahme zu eröffnen, begegnet jedoch datenschutzrechtlichen Bedenken.
Die Hinweise der anfragenden Verwaltung sahen zwar vor, dass eine Weiterleitung nur eingerichtet werden darf, wenn nicht mit dem Eingang personenbezogener oder anderweitig schützenswerter Daten gerechnet wird, es bestehen aus Sicht des LfD jedoch Zweifel, ob bei einer routinemäßigen Nutzung der Weiterleitungsfunktion in der Praxis eine entsprechende Abschätzung und Differenzierung möglich ist. In manchen Bereichen mag dies der Fall sein und dort steht einer Weiterleitung aus datenschutzrechtlicher Sicht nichts entgegen. Häufig ist jedoch nicht verlässlich absehbar, welcher Art eingehende E-Mails sind. Der LfD hält es für sinnvoll, den Ausnahmecharakter der Weiterleitung und den Rückgriff auf bestehende Vertretungsregelungen zu betonen.