Datenschutzkonzept

Tätigkeitsfelder, wie beispielsweise den inzwischen schon eingerichteten User-Help-Desk angemessene Sicherheitsstandards definiert. Besondere Bedeutung fiel den senatorischen Bereichen Inneres, Justiz und Finanz zu, bei denen die Datenverarbeitung sehr eng mit hoheitlichen Aufgaben verbunden ist und deshalb zum Teil zusätzlichen Geheimhaltungs- und Sicherungspflichten unterliegt. Dies gilt vor allem für die Finanzverwaltung, bei der die Datenverarbeitung sogar ausdrücklich Inhalt des hoheitlichen Handelns ist.

Um die Gründung des Gemeinschaftsunternehmens nicht gleich zu Beginn mit äußerst problematschen Datenschutzaspekten zu konfrontieren, wurde in dem Datenschutzkonzept festgelegt, dass sämtliche DV-Verfahren, in denen Daten hoheitlich verarbeitet werden, zunächst auch weiterhin im Auftrag der jeweiligen öffentlichen Stelle von der ID Bremen verarbeitet werden. Dies sind sämtliche Steuerverfahren der Oberfinanzdirektion einschließlich des Zwangsvollstreckungsverfahrens, Statistikverfahren des Statistischen Landesamts, DV-Verfahren der Ordnungswidrigkeiten des Stadtamts Bremen, die Verfahren ISA und ISA-D der Polizei Bremen sowie Daten aus dem DV-Verfahren Sijus-Straf der Staatsanwaltschaft Bremen. Ob und unter welchen Rahmenbedingungen die hoheitlich verarbeiteten Daten künftig durch das Gemeinschaftsunternehmen übernommen werden können, wird im Jahr 2000 noch ausführlich zu erörtern sein. Alle anderen Verfahren öffentlicher Stellen können, so wurde es in dem Konzept festgelegt, auf das neue Gemeinschaftsunternehmen übertragen werden.

Neben einer Darstellung der baulichen, organisatorischen und personellen Maßnahmen ging es in dem Sicherheitskonzept daher zum einem darum, die von der neuen Gemeinschaftsgesellschaft und der ID Bremen in den nächsten Jahren noch jeweils getrennt verarbeiteten Daten auf Betriebssystemebene durch entsprechende MVS- und RACF-Mechanismen geeignet voneinander abzuschotten. Zum anderen soll durch die Gründung einer bei der ID Bremen angesiedelten aufsichtführenden Stelle die Überwachung und Kontrolle der ordnungsgemäßen Datenverarbeitung beim Gemeinschaftsunternehmen gewährleistet werden.

Das in einer Erstversion vorliegende und mit meiner Dienststelle in bislang vorbildlicher Weise abgestimmte Datenschutzkonzept wird im Jahr 2000 weiter fortgeschrieben. Ziel wird es vor allem sein, vor dem Hintergrund einer möglichen Standortverlagerung für die Themenbereiche User-Help-Desk, Client-Server-Anwendungen und Netzwerkverbindungen datenschutzkonforme Lösungen zu erarbeiten.

Elektronische Post in der bremischen Verwaltung:

In der bremischen Verwaltung werden immer mehr Schreiben per elektronischer Post verschickt. Sämtliche Dienstellen sind über Sammelpostfächer erreichbar, individuelle Postfächer stehen mittlerweile an fast einem Drittel der 12 000 Bildschirmarbeitsplätze zur Verfügung. Damit ist die seinerzeit projektierte Erprobungsphase praktisch abgeschlossen, so dass die hierbei gemachten Erfahrungen nunmehr in eine abschließende Regelung zum Einsatz von Elektronischer Post in der bremischen Verwaltung einfließen sollten. Neben Vertretungs- und Abwesenheitsregelungen sollte eine derartige Vereinbarung auf Verschlüsselungsmaßnahmen einschließlich Schlüsselverwaltung, auf Zugriffsrechte der Mail-Administratoren sowie lokale Sicherheitsmaßnahmen eingehen. Ein Anwendungsbeispiel stellen die unter Ziff. 8.8 beschriebenen Regelungen der Polizei Bremen dar.

Rechtliche Regelungen:

Elektronische Post ist sowohl als Telekommunikationsdienst als auch je nach Ausprägung als Teledienst zu bewerten. Damit sind nicht nur das Bremische Datenschutzgesetz und das Bundesdatenschutzgesetz (BDSG), sondern auch das Teledienstedatenschutzgesetz (TDDSG) und das Telekommunikationsgesetz (TKG) einschlägig. Das TDDSG und das TKG ­ insbesondere § 85 TKG über das Fernmeldegeheimnis und § 89 TKG über den Datenschutz ­ gelten allerdings nur, wenn der Telekommunikationsdienst Dritten zur Verfügung gestellt wird. Dritte im Sinne des TKG sind Behörden und Unternehmen, für die elektronische Post weitergeleitet und in Postfächern gespeichert wird. Dritte sind aber auch ­ darauf wird in der Gesetzesbegründung explizit hingewiesen ­ solche Mitarbeiter, die den Dienst der elektronischen Post für private Zwecke nutzen bzw. bei denen die private Nutzung vom Arbeitgeber geduldet wird, wie es in den Empfehlungen für die Erprobungsphase des E-Mail-Systems und der elektronischen Informationsordner in der bremischen Verwaltung zum Ausdruck kommt.

Individuelle Postfächer der bremischen Verwaltung, die sich gemäß der Namenskonvention aus dem Nachnamen und dem ersten Buchstaben des Vornamens des jeweiligen Mitarbeiters zusammensetzen und damit neben der dienstlichen auch eine private Nutzung suggerieren, unterliegen demnach dem Fernmeldegeheimnis gemäß § 85 TKG. Die Anwendbarkeit des TKG, das den Inhalt der elektronischen Post unter das grundrechtlich geschützte Fernmeldegeheimnis stellt, hat zur Folge, dass individuelle Postfächer nicht von den für den Mail-Server zuständigen Administratoren eingesehen werden dürfen. Auch dürfen keine fehlgeleiteten, persönlich adressierten Mails geöffnet werden, um anhand des Inhalts den korrekten Absender zu ermitteln.

Vertretungs- und Abwesenheitsregelungen:

Im Vordergrund der Beratungen steht allerdings das Handling dienstlicher E-Mails.

Noch zu schaffende Regelungen betreffen vor allem die Vertretungs- und Abwesenheitsregelungen in den einzelnen Dienststellen. Um das Fernmeldegeheimnis zu wahren, sollten ohne Zustimmung des Betroffenen keine Mails an andere EMail-Adressen weitergeleitet werden. Und auch mit Zustimmung des Betroffenen ist eine Weiterleitung problematisch, da hiervon ebenso der Absender der Nachricht betroffen ist. Dieser müsste vorab ebenfalls um Zustimmung gebeten werden.

Um die Komplexität datenschutzkonformer Vertretungs- und Abwesenheitsregelungen in der bremischen Verwaltung zu reduzieren, wird daher vorgeschlagen, derartige Regelungen nur für Sammelpostfächer zu treffen. Potentielle Absender sollten darauf hingewiesen werden, wichtige rechtsverbindliche elektronische Post, die auch in Abwesenheit des Absenders geöffnet werden soll, nur an Sammelpostfächer zu senden und nicht an individuelle Postfächer.

Datenverschlüsselung und digitale Signatur Personaldaten (Projekt und Haushaltsanordnungen (Projekt SEKT, vgl. Ziff. 12.2.) können demnächst innerhalb des bremischen Verwaltungsnetzes auf der Basis des X.509-Standards verschlüsselt und digital signiert verschickt werden. Damit wird sowohl die Vertraulichkeit als auch die Authentizität der übertragenen Daten in ausreichendem Maße sichergestellt. Die Signaturen sind im Vergleich zu den im MEDIA@Komm-Projekt verwendeten Zertifikaten jedoch nicht rechtsverbindlich, da sie nicht von einem zertifizierten Trust-Center generiert werden. Die zentrale Zertifizierungsinstanz und das Key-Management-System werden von der betrieben.

Um die Vertraulichkeit sämtlicher per E-Mail übertragenen Daten zu garantieren, sollte nach erfolgreicher Einführung des Key-Management-Systems in den Projekten und SEKT die Verschlüsselung elektronischer Post möglichst bald auch im gesamten bremischen Verwaltungsnetz angeboten werden.

Zunehmendes Datenschutzrisiko durch Trojanische Pferde

Ein zunehmendes Problem stellen Viren und Trojanische Pferde dar, die entweder als Anlage oder ­ angesichts HTML-fähiger Client-Software ­ als direkter Bestandteil einer Mail verschickt und lokal auf dem Arbeitsplatz-PC zur Ausführung gelangen können. Da im Internet Werkzeuge verfügbar sind, die die Entwicklung von Viren vereinfachen bzw. das Muster von Viren entscheidend verändern, kann auf die Wirksamkeit von Virenscannern allein nicht mehr vertraut werden. Durch Trojanische Pferde wie beispielsweise Back Orifice oder besteht einerseits die Gefahr, dass die Trojanischen Pferde über den Mail-Server selbstständig Daten aus dem lokalen Netz heraus an beliebige Internetadressen versenden, ohne dass es der Benutzer bemerken würde. Andererseits besteht das Risiko, dass die Trojanischen Pferde Server-Funktionen enthalten, die von anderen Netzanwendern aufgerufen und zur Fernsteuerung des jeweiligen PC genutzt werden. Zwar wird die Fernsteuerung eines Arbeitsplatz-PC aus dem Internet oder aus dem bremischen Verwaltungsnetz heraus durch eine Adressumsetzung auf Firewallebene sowie durch die zentrale Struktur des bremischen Verwaltungsnetzes zurzeit weitgehend verhindert.

Dennoch können Trojanische Pferde wie Back Orifice oder zumindest innerhalb eines Behördennetzes in der Regel ungehindert von jedem Client-PC aus aufgerufen werden.

Diese Risiken können durch den Einsatz einer Firewall nicht wirksam unterbunden werden, da Trojanische Pferde in einer rechtmäßigen Umgebung aufgerufen werden und sich von anderen Anwendungsfunktionen technisch kaum unterscheiden lassen.

Über den Einsatz von aktuellen Virenscannern hinaus ist es daher erforderlich, den Zugriff potentieller Viren auf personenbezogene Daten von vornherein einzuschränken. Dies kann durch unterschiedliche Maßnahmen erreicht werden:

- Getrennte Arbeitsumgebungen:

Auf dem Internet-PC werden zwei getrennte Arbeitsumgebungen eingerichtet. In der sog. Produktionsumgebung wird auf Client-Server-Anwendungen einschliesslich Bürokommunikation zugegriffen, während die Transportumgebung ausschließlich für elektronische Post und auch für den Internetzugang zur Verfügung steht. Die beiden Umgebungen werden auf zwei verschiedene NT-Kennungen abgebildet, denen verschiedene Rechte im lokalen System und auf den Dateiservern zugeordnet sind. Der Anwender wechselt je nach Erforderlichkeit zwischen den beiden Umgebungen, indem er sich beim Betriebssystem ab- und wieder anmeldet; ein Neustart des Systems ist dafür nicht erforderlich. Zusätzlich zu den beiden Arbeitsumgebungen ist es notwendig, dass die für E-Mail- und Web-Zugriff benötigten TCP/IP-Ports entweder durch den Mail-Server, durch einen Proxy-Server oder durch die eingesetzte Firewall benutzerbezogen gefiltert bzw. aktiviert werden.

- Virtual Network Computing (VNC):

Sämtliche sicherheitskritischen Internetdienste werden auf einem VNC-Server ausgeführt, so dass Webseiten oder Inhalte von elektronischer Post lediglich in Form einer Grafik vom VNC-Server an die jeweiligen Arbeitsplatz-PC übertragen werden. Da der VNC-Server die eigentliche Datenverarbeitung übernimmt, können auch keine unerwünschen Fehlfunktionen auf dem Arbeitsplatz-PC zur Ausführung gelangen. Dies setzt jedoch voraus, dass die Verbindung zwischen VNC-Server und dem zu schützenden lokalen Netz durch eine Firewall kontrolliert wird und die sicherheitsrelevanten Dienste aus dem lokalen Netz ausgelagert werden.

- Laufzeitüberwachung von Programmen: Per elektronischer Post oder über das Internet übertragene Programme werden einer Laufzeitüberwachung ­ mit der Java-Sandbox vergleichbar ­ unterstellt.

Die Laufzeitüberwachung kann sich auf bestimmte sensible Dateien beziehen, die auf der Festplatte gespeichert werden.

Vor- und Nachteile der jeweiligen Maßnahmen werden derzeit in der Arbeitsgruppe Sicherheit im BVN (vgl. Ziff. 3.2.) erörtert.

4. Bürgerschaft ­ Die Arbeit des Datenschutzausschusses

Ergebnisse der Beratung des 21. Jahresberichts

Nach intensiver Beratung des 21. JB des Landesbeauftragten für den Datenschutz vom 24. April 1999 (Bürgerschafts-Drs. 14/1399) und der Stellungnahme des Senats vom 12. Oktober 1999 (Bürgerschafts-Drs. 15/75) hat der Datenschutzausschuss einen Bericht und Antrag vom 23. Februar 2000 verabschiedet. Die Behandlung soll in der März-Sitzung der Bürgerschaft (Landtag) erfolgen. Die Abgeordneten haben dann über folgenden Antrag zu befinden: Die Bürgerschaft (Landtag) tritt den Bemerkungen des Datenschutzausschusses bei.

Der vom Ausschuss angenommene Text hat folgenden Wortlaut: Die Bürgerschaft (Landtag) hat in ihrer Sitzung am 20. Mai 1999 den 21.

Jahresbericht des Landesbeauftragten für den Datenschutz und in ihrer Sitzung am 18. November 1999 die Stellungnahme des Senats zur Beratung und Berichterstattung an den Datenschutzausschuss überwiesen.

Der Ausschuss hat bei der Behandlung des Jahresberichts und der Stellungnahme des Senats den Landesbeauftragten für den Datenschutz und Vertreter der betroffenen Ressorts angehört. Die wesentlichen Beratungsergebnisse sind nachfolgend aufgeführt. Die Textziffern in den verwendeten Überschriften sind identisch mit denen des 21. Jahresberichts.