Kreditinstitut
Der LfD hat empfohlen, in die Dienstanweisungen zur Nutzung von E-Mail-Lösungen folgende Hinweise aufzunehmen:
Eine pauschale Weiterleitung dienstlicher E-Mails auf private Mailkonten von Bediensteten ist grundsätzlich nicht zugelassen; Ausnahmen bedürfen der Genehmigung der Behördenleitung. Eingehende Nachrichten sind bei Abwesenheit zunächst entsprechend der bestehenden Vertretungsregelungen weiterzuleiten.
Die Weiterleitung dienstlicher Mails zu privaten Mailadressen ist nur im Einzelfall zulässig und nur, wenn dies aus sachlichen und zeitlichen Gründen zwingend geboten ist. Dabei dürfen keine schützenswerten personenbezogenen Daten oder im öffentlichen Interesse geheimhaltungsbedürftige Tatsachen (Verschlusssachen) betroffen sein.
Die genutzten privaten Mailkonten dürfen dabei nur im Zugriff von Mitarbeitern der Verwaltung stehen; ein Zugriff weiterer Nutzer (z. B. von Familienmitgliedern) muss ausgeschlossen sein.
Die weitergeleiteten dienstlichen Nachrichten sind, wenn ihre Speicherung nicht mehr erforderlich ist, unverzüglich zu löschen.
Filterung von E-Mail-Anhängen im Rahmen des Virenschutzes
Der LfD wurde im Berichtszeitraum mehrfach um Beratung zu datenschutzrechtlichen Fragen bei der Verarbeitung von E-Mails im Zusammenhang mit Maßnahmen zum Schutz vor Computerviren gebeten.
Mit Blick auf die Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage sind Maßnahmen zur Filterung von E-Mails mit potentiell sicherheitskritischem Inhalt wie z. B. Computerviren aus datenschutzrechtlicher Sicht grundsätzlich nicht zu beanstanden; sie unterfallen dem Bereich der Weitergabe- bzw. Verfügbarkeitskontrolle nach § 9 Abs. 2 Nr. 4 und 7 LDSG.
Die Entscheidung, welche Maßnahmen konkret getroffen werden, etwa, ob bestimmte Dateianhänge grundsätzlich unterdrückt werden, liegt zunächst in der Organisationshoheit der jeweiligen Stelle. Datenschutzrechtlich vertretbare Lösungen bestehen z. B. darin, dass entsprechende Inhalte ausgefiltert werden, und ein Hinweis an den Empfänger der Mail ergeht. Eine Zustellverpflichtung für jegliche Mailinhalte lässt sich, zumal für den Bereich der dienstlichen Nutzung, datenschutzrechtlich nicht begründen. Soweit der Empfänger nicht innerhalb eines festgelegten Zeitraums die weitere Behandlung der Nachricht mit der für den IT-Einsatz verantwortlichen Stelle abstimmt, kann diese automatisiert gelöscht werden. Um die notwendige Transparenz für die Nutzer sicherzustellen, sollten die entsprechenden Regelungen in einer Dienstanweisung dokumentiert werden (vgl. hierzu auch die Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, 63. Konferenz der Datenschutzbeauftragten des Bundes und der Länder unter www.datenschutz.rlp.de).
Die vorstehenden Gesichtspunkte betreffen zunächst den Bereich der dienstlichen Nutzung. Soweit der Arbeitgeber eine private Nutzung zulässt (vgl. hierzu auch Tz. 19.3), ist es ihm grundsätzlich möglich, diese Erlaubnis an einschränkende Voraussetzungen zu knüpfen (z. B. eine angemessene Art der Kontrolle durchzuführen). Beschäftigte, die diese Voraussetzungen nicht erfüllen wollen, können ihre Einwilligung ohne jeden dienstlichen Nachteil verweigern.
Absicherung von Funknetzen (WLAN)
Unter dem Begriff WLAN Wireless Local Area Network hat die Rechner-Vernetzung per Funk zunehmend Bedeutung erlangt.
Aktuelle Systeme sind häufig bereits werkseitig entsprechend ausgestattet; dies ermöglicht es, sich ad hoc in vorhandene Funknetze einzuklinken.
So komfortabel dies im Einzelfall ist, ergeben sich daraus jedoch auch Sicherheitsrisiken. Anders als bei kabelgebundenen Netzen sind aufgrund der Nutzung von Funkwellen Angriffe möglich, auch ohne dass ein direkter räumlicher Zugang besteht. Soweit Funknetze vertraulich betrieben werden sollen, bedürfen sie daher einer geeigneten Absicherung. Aufgrund des Hinweises eines Bürgers auf vermutete offen zugängliche Netze im Bereich der Landesregierung hat der LfD entsprechende Kontrollen durchgeführt. Diese betrafen Funknetze im Regierungsviertel und an weiteren ausgewählten Orten mit Landesbehörden bzw. Regierungsstellen in Mainz.
Insgesamt konnten dabei 290 Funknetze lokalisiert werden, wovon ca. 5 % ohne jeglichen Schutz offen zugänglich waren. Es ergaben sich jedoch keine Hinweise darauf, dass diese Netze dem behördlichen Bereich zuzuordnen waren. Den verwendeten Netzkennungen und der Art der eingesetzten Komponenten nach handelte es sich aller Wahrscheinlichkeit nach um privat betriebene Netze.
Bei mehr als der Hälfte der vorgefundenen Netze (56 %) wurde der Datenverkehr nicht verschlüsselt; mit Hilfe frei verfügbarer Programme war hier eine Aufzeichnung der Kommunikation möglich. Bei den im verschlüsselten Modus betriebenen Funknetzen kam in 95 % der Fälle mit dem WEP-Verfahren (Wireless Equivalence Privacy) ein vergleichsweise schwacher Schutzmechanismus zum Einsatz.
Zur Klärung, welchen Aufwand potentielle Angreifer treiben müssten, um diese Form der Verschlüsselung zu brechen, wurde unter nachgestellten Bedingungen vom LfD ein Angriff auf ein solcherart geschütztes Funknetz durchgeführt. Dabei wurden ca. zwei Personentage für die Beschaffung, Installation und Konfiguration der notwendigen Programme sowie für den Aufbau der erforder91 lichen Fachkenntnis benötigt. Nach einem Mitschnitt des Netzverkehrs von ca. 35 Minuten war die notwendige Anzahl geeigneter Datenpakete für einen Angriff vorhanden. Die Verschlüsselung konnte auf handelsüblichen Rechnern anschließend nach zehn bis 15 Sekunden gebrochen werden. Unter Praxisbedingungen dürfte der Zeitaufwand für eine erfolgreiche Entschlüsselung nach Einschätzung des LfD etwas höher liegen, da hier in der Regel nicht die volle Bandbreite des Funknetzes ausgenutzt wird. Nach den Erfahrungen des LfD stellen die in der Literatur genannten drei bis fünf Stunden jedoch einen realistischen Zeitraum dar.
Eine Absicherung von Funknetzen allein auf Basis der WEP-Verschlüsselung ist damit aus Sicht des LfD unzureichend. Da für den überwiegenden Teil der vorgefundenen Funknetze dieseVerschlüsselungsform zum Einsatz kam, hat er die Ressorts angeschrieben und empfohlen, den Einsatz und Betrieb etwaiger Funknetze zu überprüfen und Sicherheitsmaßnahmen gegebenenfalls neu zu bewerten bzw. anzupassen. Hinweise hierzu finden sich in der Orientierungshilfe „Datenschutz in drahtlosen Netzen" des Arbeitskreises Technik der Datenschutzbeauftragten (www.datenschutz.rlp.de).
Zugriffskontrolle bei Internet-Angeboten
Im Rahmen der Online-Kontrolle eines Internet-Angebots wurde vom LfD Rheinland-Pfalz überprüft, ob und gegebenenfalls welche Zugriffsmöglichkeiten auf die Protokolldaten bestanden, durch die das Nutzerverhalten erfasst wurde. Die verantwortliche öffentliche Stelle bediente sich dabei für den Betrieb des Webservers der von einer Bundesbehörde bereitgestellten Mechanismen und ITStrukturen.
Bei der Kontrolle hat sich ergeben, dass die auf dem Server eines Dienstleisters der Bundesbehörde gespeicherten Zugriffsdaten allgemein zugänglich waren und über das Internet abgerufen werden konnten. Die Daten ließen u. a. erkennen, zu welchem Zeitpunkt und unter welcher Rechner-Adresse (IP-Adresse) auf bestimmte Internet-Angebote zugegriffen wurde. Nach dem gegenwärtigen Kenntnisstand wurde es bei einer technischen Umstellung versäumt, die bis dahin betriebenen Verfahren anzupassen und vorhandene Datenbestände und Zugriffsmöglichkeiten zu bereinigen.
Für den administrativen Bereich des betroffenen Internet-Servers war der Zugriff passwortgesichert; bestimmte Angaben in den frei im Zugriff stehenden Seiten erlaubten jedoch den Rückschluss auf die verwendeten Benutzerkennungen.
Eine daraufhin durchgeführte automatisierte Attacke auf den Passwortschutz wurde nach ca. 600 000 Versuchen abgebrochen. Hintergrund war, dass im Fall einer Protokollierung der unzulässigen Zugriffsversuche ein Datenvolumen erzeugt worden wäre, durch das die Verfügbarkeit des Webservers hätte beeinträchtigt werden können. Die bis dahin vorgenommenen Versuche hatten bereits zu einem Protokollvolumen von 500 Megabyte geführt. Die im Nachgang erfolgte Klärung hat ergeben, dass der Angriff seitens des Serverbetreibers trotz Protokollierung nicht registriert wurde.
Der LfD hat unmittelbar nach den Feststellungen das zuständige Ministerium unterrichtet. Die bemängelten Zugriffsmöglichkeiten wurden daraufhin unterbunden. Ergänzend soll eine Auditierung des Verfahrens durch das Bundesamt für Sicherheit in der Informationstechnik in Auftrag gegeben werden.
Da in der Angelegenheit auch eine Bundesbehörde betroffen war, hat der LfD den Bundesbeauftragten für den Datenschutz unterrichtet.
Datenschutzregister/Verfahrensverzeichnis Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, sind von der verantwortlichen Stelle beim LfD zur Eintragung in das dort geführte Datenschutzregister anzumelden (§ 27 Abs. 1 LDSG). Für den LfD bilden diese Eintragungen eine wichtige Grundlage der Kontrollarbeit. Auch die behördlichen Datenschutzbeauftragten können aus den Anmeldungen die Informationen entnehmen, die sie für die Wahrnehmung ihrer Aufgaben nach § 11 LDSG benötigen.
Häufig werden grundsätzliche datenschutzrechtliche Defizite, wie z. B. das Fehlen von Löschungsfristen oder Speicherungen nicht erforderlicher personenbezogener Merkmale in automatisierten Verfahren nur aufgrund von Anmeldungen zum Datenschutzregister bekannt. Darüber hinaus gab es in der Vergangenheit aufgrund der Anmeldungen häufig Veranlassung, örtliche Feststellungen durchzuführen und datenschutzrechtliche Verbesserungen anzuregen.
Die Bedeutung des Datenschutzregisters für die Datenschutzkontrolle wird auch aus der zahlenmäßigen Entwicklung der Anmeldungen erkennbar. Im Jahre 1986 wurde das Datenschutzregister auf eine automatisierte PC-Anwendung umgestellt. Damals waren im Datenschutzregister ca. 3 200 Anwendungen gespeichert, heute sind es bereits über 9 200.
Der LfD ist bemüht, den mit dem Anmeldeverfahren verbundenen Verwaltungsaufwand so gering wie möglich zu halten. Daher ist geplant, künftig eine Möglichkeit zu schaffen, dass verantwortliche Stellen ihre Anmeldungen auch online über ein vom LfD bereitgestelltes Formular vornehmen können. Darüber hinaus wird von einigen Ressorts über den Aufbau eines zentralen Verfahrensverzeichnisses nachgedacht. Eine Vorreiterrolle spielt dabei die rheinland-pfälzische Polizei, die gemeinsam mit dem LfD ein zentrales Verfahrensverzeichnis der Polizei entwickelt hat. Damit ist es möglich, Anmeldungen nur einmal zu erfassen und die Informationen über ein spezielles Rollenkonzept allen zuständigen Stellen einschließlich dem LfD im Rahmen ihrer Zuständigkeit zur Verfügung zu stellen. Eine entsprechende Pilotanwendung befindet sich derzeit in der Erprobung.
22. Öffentlich-rechtliche Wettbewerbsunternehmen, Sparkassen
Eine Sparkasse und ihr Selbstverständnis von Datenschutz
Ein Petent begehrte bei einer Sparkasse Einsicht in dort über ihn vorgehaltene personenbezogene Daten. Als ihm die Auskunft nicht im gewünschten Umfang erteilt wurde, bat er den LfD um Hilfe. Die Sparkasse, wie in solchen Fällen üblich, wurde um eine Stellungnahme zu dieser Angelegenheit gebeten. Sie teilte jedoch lediglich mit, dass sie die Kontrollkompetenz des LfD nicht für gegeben halte, da der Anwendungsbereich des Bundesdatenschutzgesetzes nicht eröffnet sei.
Diese Auffassung wurde nicht geteilt: Der Umfang der Kontrollaufgaben des LfD gegenüber öffentlich-rechtlichen Kreditinstituten bestimmt sich gem. §§ 2 Abs. 4 LDSG, 38 BDSG. Danach kontrolliert der LfD die Ausführung des BDSG sowie anderer Vorschriften über Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln. Es gehört danach auch zu seinen Aufgaben, zu überprüfen, ob Betroffene gem. § 34 BDSG einen Auskunftsanspruch haben und ob die Auskunft von den seiner Kontrolle unterliegenden Stellen erteilt wurde. Dazu muss er über die Informationen verfügen, die eine Überprüfung des Vorliegens der Tatbestandsvoraussetzungen ermöglichen. Folglich musste er im vorliegenden Fall wissen, ob und in welcher Form Daten über den Petenten vorliegen. Sodann konnte er beurteilen, ob die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben wurden oder ob sie in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben wurden und damit der Anwendungsbereich des BDSG eröffnet war. Weiterhin benötigte er Informationen für die Feststellung, ob eine Pflicht zur Auskunftserteilung gem. § 34 Abs. 4 BDSG evtl. nicht bestand. Entsprechende Anhaltspunkte, wonach der Anwendungsbereich des BDSG nicht eröffnet war oder ein Auskunftsanspruch gar nicht bestand, hatte die Sparkasse aber nicht vorgetragen. Sie hatte lediglich ohne weitere Begründung festgestellt, dass die fraglichen Daten weder automatisiert verarbeitet noch in oder aus automatisierten Dateien verarbeitet würden. Der LfD wies in diesem Zusammenhang darauf hin, dass auch diese Beurteilung seiner Kontrollkompetenz unterliegt. Andernfalls könnte sich die Sparkasse mit einer entsprechenden Schutzbehauptung jeglicher datenschutzrechtlicher Kontrolle entziehen.
Um die Angelegenheit weiter zu überprüfen und die fraglichen Unterlagen in Augenschein nehmen zu können, kündigte der LfD seinen Besuch bei der Sparkasse an. Ein Betreten der Räumlichkeiten wollte diese jedoch nur ohne Anerkennung eines Rechtsanspruchs unter für den LfD nicht akzeptablen Bedingungen gestatten. Erst nach Einschaltung des FM als Aufsichtsbehörde für die Sparkassen konnte ein sachliches Gespräch zwischen Sparkasse und LfD geführt werden, bei dem auch die Art der fraglichen Datenverarbeitung geprüft werden konnte. Die Einordnung der Unterlagen erwies sich als schwierig. Eine automatisierte Datenverarbeitung lag nicht vor. Fraglich war daher, ob es sich um eine nicht automatisierte Datei handelte. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann (§ 3 Abs. 2 Satz 2 BDSG). Bei der Kundenakte, in der die Informationen über den Petenten enthalten waren, handelte es sich jedoch nicht um eine solche nicht automatisierte Datei. Es lag zwar eine Sammlung in Form einer Kundenakte vor, diese war jedoch nicht gleichartig aufgebaut. Das BDSG schützt aber gerade nicht jede Sammlung personenbezogener Daten z. B. in Akten, sondern nur solche, bei denen die Form der Aufbewahrung zur leichten und damit möglicherweise auch missbräuchlichen Auswertung führen kann. Dies war hier nicht der Fall. Ein Anspruch auf Auskunft konnte daher nicht auf § 34 BDSG gestützt werden.
Aufgrund der mangelnden Kooperation der Sparkasse konnte die Angelegenheit für keinen der Beteiligten so schnell erledigt werden, wie es datenschutzrechtlich wünschenswert gewesen wäre.
Auswertung von Girokontodaten
Eine Sparkasse beabsichtigte, Daten von Girokontobewegungen in personenbezogener Form auszuwerten. So sollte z. B. überprüft werden, welche Kunden monatlich eine Miete in bestimmter Höhe überweisen. Diesen sollte sodann ein Angebot zur Immobilienfinanzierung unterbreitet werden. Die Sparkasse hielt ein solches Vorgehen für zulässig, da die Kunden bei Eröffnung des Girokontos ankreuzen konnten, ob sie mit Telefonwerbung einverstanden sind und zudem nach Erhalt eines Werbebriefes solchen Maßnahmen zukünftig widersprechen konnten. Das Einverständnis bzw. der nicht vorgenommene Widerspruch seien ausreichende Grundlage für die Datenauswertung.
Die Verarbeitung und Nutzung personenbezogener Daten ist gem. § 4 Abs. 1 BDSG nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat.
Fraglich war, ob die Erklärung, man sei mit Telefonberatung und -werbung einverstanden, eine ausreichende Einwilligung in die Datenauswertung darstellte. Die Einwilligung ist gem. § 4 a Abs. 1 BDSG nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Diese Voraussetzungen waren hier nicht erfüllt: Aus dem Stichwort „Einverständnis mit Telefonberatung und -werbung" ergab sich für den Betroffenen nicht, dass hierzu zuvor die Daten seines Girokontos ausgewertet wurden. Denn Werbeaktionen können auch „blind" erfolgen, ohne dass zuvor ein bestimmter Kundenkreis ausgewählt wurde. Die Einwilligungserklärung hätte zumindest um den Hinweis ergänzt werden müssen, dass zu diesem Zweck auch die Kontobewegungen ausgewertet werden.