JUDIT
Bei einer ordnungsgemäßen Einführung eines DV-Verfahrens dürften die von § 8 abverlangten Informationen quasi als Abfallprodukt anfallen, denn über die meisten Fragen muss sich die speichernde Stelle ohnehin vor Inbetriebnahme eines Verfahrens Klarheit verschaffen. Im Januar 2000 habe ich erneut an die Erstellung eines Datenschutzkonzeptes erinnert.
Neues DV-Verfahren bei der Ausländerbehörde Bremen ohne Datenschutzkonzept:
In der Ausländerbehörde Bremen wurde im letzten Jahr ein vernetztes DV-Verfahren Ausländer installiert, welches zunächst nur auf die Daten im Ausländerzentralregister zugreifen sollte und sonst als Formularserver und Schreibsystem eingesetzt werden sollte. Dazu hat mir das Stadtamt bisher trotz Erinnerung kein Einsatz- und Datenschutzkonzept vorgelegt. Im Übrigen gelten meine Ausführungen zu § 8 im vorgehenden Abschnitt (Elektronisches Einbürgerungsverfahren).
Kurz vor Redaktionsschluss habe ich darüber hinaus erfahren, dass ein umfassendes Datenverarbeitungsverfahren ausgewählt wurde, dass die Ausländerverwaltung umfassend unterstützen soll, ohne dass ich hierüber vorher unterrichtet worden bin.
Sollte diese Information zutreffen, würde dies einen Verstoß gegen § 27 Abs. 4 darstellen, danach bin ich rechtzeitig über Planungen zum Aufbau automatisierter Informationssysteme, die personenbezogene Daten verarbeiten sollen, zu unterrichten.
7. Justiz:
DV-Entwicklung bei JUDIT:
Im Berichtszeitraum habe ich mich bei JUDIT über die geplanten Änderungen im DV-Bereich informiert. So werden durch die Einrichtung eines JUDITSynergiezentrums und die fehlende Y2K-Fähigkeit (Jahr-2000-Fähigkeit) einiger bisher bei der ID Bremen eingesetzter DV-Verfahren Änderungen in den Bereichen Vernetzung sowie Hardware- und Software-Einsatz erforderlich. Im Synergiezentrum werden die Server der bremischen Justizanwendungen weitgehend zusammengefasst und die Bereiche Administration und Datensicherung zentralisiert sowie das JUDIT-Datennetz betrieben.
Für das JUDIT-Synergiezentrum wurde mir der Grobentwurf eines Datenschutzkonzeptes vorgelegt, in dem u. a. die Regelungen für die Anbindung externer Stellen (z. B. Bundeszentralregister, Verkehrszentralregister, ID Bremen, DVZ Bremerhaven, zentrales staatsanwaltschaftliches Verfahrensregister, E-Mail) noch fehlen. In diesem Konzept ist auch der Zugriff der Fachverfahrensbetreuer auf die PC der Mitarbeiter und -innen vorgesehen. Hierzu habe ich nähere Informationen angefordert, die ich wie weitere Unterlagen zum Grobkonzept noch nicht erhalten habe.
JUDIT-Datennetz:
Das Rechenzentrum ist im untergebracht. Über das vom Synergiezentrum betriebene JUDIT-Datennetz sollen die Justizstandorte Bremen und Bremerhaven miteinander verbunden werden, wobei einige der Dienststellen in Bremen und Bremerhaven sowohl miteinander als auch mit dem Synergiezentrum in einem LAN (Local Area Network) verbunden sind. Die Inhouse-Datennetze und LAN-Strecken werden von JUDIT erstellt und betreut. Außerhalb gelegene Behörden oder Gebäudekomplexe (zusammenhängende oder benachbarte Gebäude werden über LWL-Leitungen verknüpft) werden über eine WAN-Strecke (World Area Network) an das Synergiezentrum angebunden. Für die WAN-Verbindungen wird das genutzt. Deshalb ist die mit dem Betrieb und dem Netzwerkmanagement beauftragt. Die eingesetzten Übertragungsverfahren codieren die Daten auf den WAN-Strecken. Sobald geeignete technische Lösungen zur verschlüsselten Datenübertragung vorliegen, sollen diese eingesetzt werden.
Elektronisches Grundbuch:
Im vorletzten Jahresbericht (vgl. 20. JB, Ziff. 13.3) habe ich über die Einführung des elektronischen Grundbuches berichtet. Im Berichtszeitraum wurden die für die Software-Anwendung erforderlichen Voraussetzungen geschaffen. Jetzt sind LAN- und WAN-Vernetzung sowie die Beschaffung der Hardwarekomponenten abgeschlossen.
Für die Erfassung der vorhandenen Grundbuchdaten wurde in Bremen eine eingerichtet, in der alle Grundbuchdaten zentral eingescannt (elektronisch erfasst) werden. Die Speicherung erfolgt zentral auf FM-Worm-Platten in nicht codierter Form (NCI-Format). Neueingaben oder Änderungen werden in codierter Form (CI-Format) gespeichert. Eine Trennung der Datenbestände auf den Datenträgern nach Gerichten ist bei Neuanlagen möglich. Eine differenzierte Rechtevergabe entsprechend der Aufgabenzuständigkeit innerhalb einer Grundbuchabteilung sieht die Software nicht vor. Jeder Berechtigte der Grundbuchabteilung hat Lese- und Schreibzugriff auf alle Daten der Grundbuchabteilung. Der online-Zugriff für Externe (z. B. Notare) ist noch nicht realisiert. Es wird geprüft, die ID Bremen mit der Realisierung zu beauftragen. Vorgesehen ist hierbei die Protokollierung aller Abrufe für eine detaillierte Rechnungstellung.
Ich habe darauf hingewiesen, dass u. a. folgende Punkte in das noch zu erstellende Datenschutzkonzept aufzunehmen sind: Protokollierung interner Lese- und Schreibzugriffe, Zugriff, Auswertung und Löschung auf die Protokolldateien, Regelungen zur digitalen Signatur (personalisierter Schlüssel oder Schlüssel des Prozesses) und Löschung bzw. Sperrung von Datensätzen auf den FM-WORMDatenträgern bei unzulässiger Speicherung.
DV-Entwicklung in der Justizvollzugsanstalt:
In der ersten Stufe werden alle vorhandenen Kupferleitungen durch LWL ersetzt und in der zweiten Stufe (im Jahr 2000) sollen alle Büroarbeitsräume mittels LWL vernetzt werden. Der Netzzugang wird bei Aufgabenerforderlichkeit freigeschaltet. Im JUDIT-Synergiezentrum werden die Datenbestände der Justizvollzugsanstalten auf einem Server vorgehalten. Die Netzzentrale der JVA mit Anbindung an den Server und das JUDIT-Datennetz befinden sich auf dem Gelände der JVA Oslebshausen. Die zentralen Netzkomponenten sind für Gefangene nicht zugänglich.
Die Daten waren bisher auf zwei UNIX-Anlagen getrennt gespeichert, wobei die Datenbestände der Justizvollzugsanstalten Oslebshausen und Blockland auf einer Anlage und die Datenhaltung der JVA Bremerhaven in einer UNIX-Anlage in der Justizvollzugsanstalt Bremerhaven erfolgte. Die UNIX-Anlagen werden ab 1. Januar 2000 nicht mehr eingesetzt, da sie durch die Herstellerfirma nicht mehr gewartet werden. Angeschlossen an die UNIX-Anlagen waren i. d. R. Terminals. Die Serveranbindung erfolgt nun durch PC, auf denen das Betriebssystem WNT und Office 97
(Tabellenkalkulation und Datenbank nur bei Bedarf) implementiert werden. Die Diskettenlaufwerke der PC sollen gesperrt werden; für den Zugriff auf die CD-ROMLaufwerke soll nur Leserecht erteilt werden.
Bis zum 31. Dezember 1999 waren die Verfahren JUWIL (ADV unterstützte Beschaffung und Lagerhaltung der Bewirtschaftungsgüter) und Entgelt (Lohnabrechnung der Insassen) bei der ID Bremen im Einsatz. Da diese Verfahren nicht Y2K-fähig sind und die neuen Verfahren auf Servern der JUDIT implementiert sind, ist die Verbindung zur ID Bremen zum 31. Dezember 1999 beendet worden. Ab 1. Dezember 1999 werden die Verfahren BASIS-VG, BASIS-AV (Arbeitsverwaltung Entgelte) und BASIS-Zalo (Verwaltung der Gelder der Gefangenen) eingesetzt.
Die PC des ärztlichen Dienstes sollen ein eigenes Netz bilden und vom übrigen Netz abgeschottet werden. Ihm soll lediglich ein Zugriff auf die Stammdaten der Gefangenen ermöglicht werden. Zugriff auf die medizinischen Daten sollen nur der Arzt und die befugten Mitarbeiterinnen des ärztlichen Dienstes erhalten. Die Vollzugsbediensteten im Übrigen haben keinen Zugriff. Das in BASIS vorhandene Modul BASIS-Ärzte soll für die elektronische Gefangenenkrankenakte zum Einsatz kommen.
Ich habe die Speicherung des Gesamtdatenbestandes auf einem Server, die Anbindung von PC sowie die Einbindung des Netzes des ärztlichen Dienstes gegenüber JUDIT angesprochen und auf die Festschreibung von Maßnahmen zur Gewährleistung des bisherigen Datenschutzniveaus hingewiesen. Das bisherige Datenschutzkonzept wird im Laufe des Jahres angepasst und ein Berechtigungskonzept für die Vergabe von Zugriffsberechtigungen erstellt. Ich werde die Umsetzung der Planungen datenschutzrechtlich begleiten.
E-Mail-Server bei JUDIT:
Im November 1999 bin ich von JUDIT kurzfristig über Planungen zur kompletten Anbindung der Justiz-Dienststellen an das BVN unterrichtet wurden. Vorgesehen war die Beschaffung von 13 E-Mail-Servern, wobei ein sog. Head-Server die Routing-Funktion innerhalb von JUDIT wahrnehmen soll. Die Anbindung der an das BVN soll über einen zentralen Router erfolgen, um einen dienststellenübergreifenden Zugriff zu verhindern.
JUDIT war sich bewusst, dass nicht alle in Kurzform aufgeführten Punkte den vorgeschriebenen Richtlinien eines Datenschutzkonzeptes entsprechen, beantragte aber dennoch bei der SKP die Aufnahme der Behörden im Geschäftsbereich des Senators für Justiz und Verfassung in den E-Mail-Verbund. Die SKP wies JUDIT darauf hin, dass vor Inbetriebnahme der E-mail-Server erst ein mit dem abgestimmtes Datenschutz- und -sicherungskonzept vorliegen müsse.
Mir war eine Stellungnahme binnen weniger Tage zu einem solch komplexen Bereich nicht möglich (vgl. auch Ziff. 3.4). Ich wollte aber der Beschaffung, die aus haushaltsrechtlichen Gründen unbedingt noch in 1999 erfolgen sollte, nicht im Wege stehen. Inwieweit eine auch von § 27 Abs. 4 Nr. 1 verlangte rechtzeitige Unterrichtung über die Planungen möglich gewesen wäre, vermag ich nicht zu beurteilen. Bei meiner Entscheidung, die Beschaffung nicht zu verzögern, stand im Vordergrund, dass ich davon ausging, dass es gelingen wird, den Einsatz der datenschutzgerecht auszugestalten. Ich habe daher auf die Erstellung eines Datenschutzkonzeptes hingewiesen.
Zentrales Staatsanwaltschaftliches Verfahrensregister:
Durch Änderung der Strafprozessordnung im Jahre 1997 wurden die Voraussetzungen zur Schaffung eines zentralen staatsanwaltschaftlichen Informationssystems geschaffen. Die Staatsanwaltschaften aller Länder sollen Daten über Einleitung und Ausgang strafrechtlicher Ermittlungsverfahren an das Zentrale Staatsanwaltschaftliche Verfahrensregister melden. Das wird wie auch das Bundeszentralregister von der Bundesgeneralstaatsanwaltschaft in Berlin geführt.
Eine umfassendere Darstellung der Aufgaben und der Datenverarbeitung beim sowie der daran zu knüpfenden Datenschutzvorkehrung befindet sich in meinem 17.
JB, Ziff. 10.2. Ein Bericht des zum Stand der Verfahrensentwicklung und Verfahrenseinführung vom März 1999 weist begrüßenswerterweise aus, dass die datenschutzrechtliche Forderung nach Verschlüsselung des Datenverkehrs mit dem grundsätzlich akzeptiert wird. Da allerdings die erforderlichen Hard- und Softwarekomponenten noch nicht vorliegen, soll der Echtbetrieb für eine Übergangszeit zunächst ohne Verschlüsselung stattfinden. Weiter diskutiert werden soll, in welchem Umfang neben den Staatsanwaltschaften auch andere Behörden, wie Polizei und Nachrichtendienste, mittels automatisierten Abrufverfahren Informationen aus dem abfragen können. Wann das in vollem Umfange betriebsbereit sein wird, ist noch nicht abzusehen.
Verschiedene Themen:
Weiter habe ich mich gegenüber den Datenschutzbeauftragten des Bundes und der Länder oder dem Senator für Justiz und Verfassung an der Diskussion folgender Themen beteiligt:
- Datenschutzrechtliche Probleme bei der Durchführung des Täter-Opfer-Ausgleichs bei Erwachsenen,
- Gesetzgebung zur Aufbewahrung des Schriftguts der ordentlichen Gerichtsbarkeit und der Staatsanwaltschaften (vgl. Beschluss unter Ziff. 18.8.),
- Umfang von Auskunftsersuchen durch Staatsanwaltschaften und Gerichte bei der Schufa, hier werden häufig alle bei der Schufa gespeicherten Daten abverlangt, obwohl es lediglich um eine einzelne Information geht. Oder aber die Schufa ist gar nicht in der Lage, die in Rede stehende Anfrage zu beantworten, gleichwohl werden oft sämtliche Daten der zur Person gespeicherten Daten bei der Schufa abverlangt.