Dienstreisen ebenfalls einen Zugriff auf das Bremer Verwaltungsnetz BVN zu
Sicherheitskonzept sowie die Verfahrensbeschreibung unter meiner Beteiligung erstellt worden sind, ist das automatisierte Verfahren im Sommer 2002 zunächst in einigen Dienststellen eingeführt worden. Die Daten werden zentral bei ID Bremen verarbeitet, verantwortlich dafür ist der Senator für Finanzen. Vorgesehen ist, dass alle Dienststellen der bremischen Verwaltung nach und nach an das Zentralsystem angeschlossen werden.
Mobile Arbeitsgestaltung bei Führungskräften
Der damalige Senator für Bau und Umwelt hat mir ein Konzept zur mobilen Arbeitsgestaltung bei Führungskräften zugesandt. Danach bestehe das Erfordernis, im Bedarfsfall PC-gestützte Arbeit, die sich auf am Arbeitsplatz vorhandene Programme und Daten bezieht, auch von zu Hause aus erledigen zu können und ggf. auf Dienstreisen ebenfalls einen Zugriff auf das Bremer Verwaltungsnetz (BVN) zu haben.
Ich habe ihm eine Vielzahl zu beachtender Anforderungen dargelegt, die im Wesentlichen denen der alternierenden Telearbeit entsprechen, z. B. die schriftliche Verpflichtung, die technischen und organisatorischen Maßnahmen im häuslichen Bereich einzuhalten und die schriftliche Einwilligung, dass ich die Einhaltung des Datenschutzes im häuslichen Bereich einschließlich des dienstlich genutzten überwachen kann. Vor dem Einsatz sollte eine Vorabkontrolle stattfinden und eine Verfahrensbeschreibung für die mobile Arbeitsgestaltung erstellt werden.
Die senatorische Stelle hat zugesagt, meine Anforderungen umzusetzen.
Keine allgemeine Überprüfung zu den Rosenholz-Dateien
Der Bundesrat hat im Herbst 2003 eine Entschließung zur Überprüfung der Mitarbeiterinnen und Mitarbeiter des öffentlichen Dienstes auf Zusammenarbeit mit dem Staatssicherheitsdienst (Stasi) der ehemaligen DDR unter Verwendung der Rosenholz-Dateien gefasst. Mit den mit der Freigabe dieser Dateien gewonnenen neuen Erkenntnisse soll weiterer Aufschluss über mögliche Tätigkeiten Angehöriger des öffentlichen Dienstes für die Stasi gewonnen werden.
Den Medien habe ich entnommen, dass von den 16 Bundesländern lediglich Thüringen eine allgemeine Überprüfung vornehmen will. Nach Auskunft vom Senator für Finanzen wird Bremen auf eine derartige Überprüfung verzichten. Sie solle nur bei konkretem Anlass erfolgen. Insoweit orientiert sich der Senator für Finanzen an der Rechtsprechung zur Prüfung der Verfassungstreue. Ich halte diese Vorgehensweise unter Beachtung des Grundsatzes der Verhältnismäßigkeit für angemessen.
Im Übrigen hat die Bürgerschaft (Landtag) in ihrer 10. Sitzung am 18. Dezember 2003 einen Beschluss gefasst, wonach die Mitglieder der Bremischen Bürgerschaft bei der Bundesbeauftragten für die Unterlagen des Staatssicherheitsdienstes, auch unter Einbeziehung der so genannten Rosenholz-Dateien, überprüft werden sollen. Die Ergebnisse sollen an den Präsidenten der Bre-mischen Bürgerschaft übermittelt werden. Dieser wird gebeten, den Verfassungs- und Geschäftsordnungsausschuss über die Ergebnisse der Überprüfung unverzüglich fortlaufend zu informieren (Beschlussprotokoll Nr. 16/154 16/158).
Entwurf einer Internet-Richtlinie
Im Jahr 2002 wurde die missbräuchliche Nutzung des Internets von dienstlichen PC festgestellt (vgl. meinen Prüfbericht im 25. JB, Ziff. 7.1). Die dabei festgestellten Verstöße gaben Anlass zur Schaffung einer Internet-Richtlinie für die bremische Verwaltung. Der Senator für Finanzen hat sodann den Entwurf einer Internet-Richtlinie vorgelegt, der nach mehrfacher Abstimmung mit mir den datenschutzrechtlichen Anforderungen entspricht. Die senatorische Behörde hat sich dabei äußerst kooperativ gezeigt.
Als besonders bedeutsam sind Art, Umfang und Zeiten der Protokollierung von Zugriffen auf Internet-Seiten einzustufen. Hierbei galt es, bei der dienstlichen Nutzung des Internets den Grundsatz der Verhältnismäßigkeit und bei der privaten Nutzung des Internet das Fernmeldegeheimnis zu beachten. Des Weiteren war es wichtig, diese Protokollierungsregelung klar und verständlich zu formulieren, um dem Grundsatz der Transparenz der Datenverarbeitung Rechnung zu tragen.
Demzufolge ist geregelt worden, dass die Protokollierung grundsätzlich auf den für die Internetnutzung zur Verfügung stehenden zentralen Systemen des Providers bei der Brekom erfolgt. Hierbei soll die Software P-Switch eingesetzt werden, die den Nutzern das aktive Umschalten zwischen dienstlicher und privater und Internetnutzung ermöglicht (vgl. 25. JB, Ziff. 3.2).
Für sämtliche Zugriffe (auch private) auf das Internet werden die vollständigen IPAdressen, gekürzt um die drei letzten Ziffern des abrufenden Arbeitsplatz-PC, die aufgerufenen Internetseiten (URL), das Datum und die Uhrzeit des Abrufs sowie der Umfang der Datenmenge protokolliert. Dabei werden die Protokolldaten der dienstlichen und privaten Zugriffe zentral auf getrennten Systemen gehalten. Die Protokolldaten aller Zugriffe werden nach spätestens 90 Tagen gelöscht.
Die zentral erhobenen Protokolldaten dürfen nur vom Senator für Finanzen gemeinsam mit dem Gesamtpersonalrat ausgewertet werden, wenn tatsächliche Anhaltspunkte den Verdacht auf eine der festgelegten unzulässigen Nutzungen begründen. Dabei hat sich die Auswertung zu beschränken auf die Feststellung des Transfervolumens und die Anzahl sowie die Analyse der aufgerufenen Seiten. Die Analyse beschränkt sich bei privaten Zugriffen auf unzulässige Inhalte, die ebenfalls in der Richtlinie aufgeführt sind.
Erst wenn sich bei einer Auswertung dienstlicher Zugriffe der Verdacht auf eine unzulässige Nutzung, die eindeutig nicht in dienstlichem Zusammenhang steht, bestätigt, werden anstelle der Netzwerkadressen für einen Zeitraum von 30 Tagen die vollständigen IP-Adressen gespeichert. Derartige Auswertungen dürfen nur auf den IP-Nummernkreis der betroffenen Dienststelle erfolgen. Die Dienststellen beauftragen für diese Auswertungen den Provider und haben ihren Personalrat und den Landesbeauftragten für den Datenschutz davon unverzüglich zu informieren.
Die insoweit erstellten Protokolldaten unterliegen der Zweckbindung und sind vom Senator für Finanzen, der Dienststelle und dem örtlichen Personalrat umgehend auszuwerten. Das Ergebnis ist in einer Niederschrift festzuhalten und dem Senator für Finanzen schriftlich mitzuteilen. Alle anderen Protokolldaten, die nicht unmittelbar zum Nachweis eines bestätigten Verdachts dienen, sind sofort zu vernichten.
Nachdem sich das In-Kraft-Treten dieser Richtlinie immer mehr hinauszögerte, hat sich der Rechtsausschuss der Bürgerschaft (Landtag) ausführlich mit diesem Thema befasst und den Senator für Finanzen aufgefordert, die Richtlinie baldmöglichst in Kraft zu setzen. Dies ist nach Abstimmung mit dem Gesamtpersonalrat Ende 2003 geschehen. Die nachhaltige Unterstützung durch den Rechtsausschuss hat wesentlich dazu beigetragen.
Im Amtsblatt der Freien Hansestadt Bremen wurde. Die Richtlinie für die Bereitstellung und Nutzung von Internet/Intranet-Zugängen veröffentlicht (Brem.ABl. vom 10.02.2004, S. 77).
Aushang mit personenbezogenen Bewerberdaten
Ich bin darauf hingewiesen worden, ein Konrektor der Hochschule Bremerhaven habe mehrfach personenbezogene Angaben bzw. Informationen über Bewerber per Aushang hochschulintern veröffentlicht, z. B. das Protokoll einer Sitzung der Auswahlkommission für die Stelle einer(s) Lehrbeauftragten. Auch dieses Protokoll habe personenbezogene Daten über die dort genannten Bewerber enthalten.
Der Konrektor hat den Sachverhalt zwar bestritten, jedoch wurde mir glaubhaft dargelegt, dass der Rektor ihn bereits mehrfach aufgefordert habe, diese Art der Veröffentlichung zu unterlassen. Schließlich hat der Konrektor auf mein Drängen hin erklärt, er werde in Zukunft die entsprechenden Datenschutzbestimmungen einhalten.
Prüfung der Personalaktenführung
Meine im Jahr 1999 begonnene Datenschutzprüfung bei Personalstellen (vgl. 22. JB, Ziff. 5.1) habe ich auch in diesem Jahr fortgesetzt. Anfang Dezember 2003 habe ich beim Personalreferat des Senators für Bildung und Wissenschaft mit einer Stichprobe geprüft, ob die Vorgaben der Verwaltungsvorschrift über die Erhebung und Führung von Personalaktendaten vom 1. Oktober 2001 (Brem.ABl. S. 761) eingehalten werden.
Dabei stellte ich u. a. fest, dass sich im Personalreferat noch Beihilfeakten befanden, obwohl bereits seit mehreren Jahren Performa Nord die Beihilfestelle ist und dort die Beihilfeakten zu führen sind. Des Weiteren waren nicht in allen Grundakten ein Verzeichnis über Teil- und Nebenakten vorhanden. In den Krankheitsakten befanden sich Krankmeldungen, die teilweise über zehn Jahre zurücklagen, obwohl eine Aussonderung nach spätestens fünf Jahren zu erfolgen hat. Außerdem ergab die Überprüfung, dass ärztliche Unterlagen (z. B. ärztliche Untersuchung mit dem Befund einer chronischen Augenerkrankung) in den Grundakten offen aufbewahrt wurden.
Ich habe dem Leiter des Personalreferats der senatorischen Dienststelle einen ausführlichen Prüfbericht übersandt und ihn gebeten, die jeweils aufgeführten Mängel abzustellen. Er wird mich über das Ergebnis unterrichten.
6. Inneres
Polizei
INPOL-HB
Nach Jahren des Wartens wurde in Bremen als einem der ersten Länder die Polizei an das neue INPOL-System angeschlossen. Zu dem Zweck erhielt die Bremer Polizei eine Anwendung, die so genannte INPOL-Land-Anwendung, die auf den bremischen Polizeiservern läuft und die Schnittstellen zu der Bundesanwendung INPOL beim BKA bedient. Es handelt sich um eine moderne serverbasierte DVAnwendung, die die rechenzentrumsorientierte Anwendung ablöst.
Zurzeit gibt es unter den Beauftragten für den Datenschutz in Bund und Ländern eine Abstimmung über die neukonzipierte Errichtungsanordnung. Wenn diese abgeschlossen ist, werde ich mit der Polizei Bremen eine solche auch für das Land Bremen beraten.
NIVADIS an Stelle von EVA-HB
In den letzten beiden Jahresberichten (vgl. 24. JB, Ziff. 6.6 und 25. JB, Ziff. 6.4) berichtete ich ausführlich über die Konzeptionsarbeiten zu einem neuen Vorgangsbearbeitungssystem EVA-HB. Diese Arbeiten waren bereits sehr weit fortgeschritten und die Polizeibeamten waren weitgehend für die Anwendung durch Schulungen vorbereitet. Auch waren so genannte Migrationstests (Überführung der Altdaten aus ISA in das neue Verfahren) mehr oder weniger erfolgreich durchgeführt worden. Im Frühjahr des Berichtsjahres wurde ich darüber unterrichtet, dass Bremen beabsichtigt, die Einführung von EVA-HB ob aus technischen oder Kostengründen, wurde nicht deutlich nicht weiter zu verfolgen. Es werde geprüft, das Vorgangsverwaltungssystem der niedersächsischen Polizei zu übernehmen. Dazu solle die vorhandene Infrastruktur der Bremer Polizei genutzt werden und die bremischen Polizeidaten in von der niedersächsischen Anwendung abgeschotteten Datenbanken beim Informationszentrum Niedersachsen Landeseigenbetrieb (IZN) im Auftrag verarbeitet werden.
In den letzten Wochen und Monaten sind umfangreiche Untersuchungen hinsichtlich der technischen Realisierbarkeit, aber auch insbesondere hinsichtlich der unterschiedlich ausgestalteten Polizeiarbeit von der Polizei Bremen in Zusammenarbeit mit der niedersächsischen Polizei und dem Rechenzentrum IZN vorgenommen worden. Über die Ergebnisse bin ich durch die fortlaufende Übersendung der Protokolle der Arbeitssitzungen unterrichtet worden. Für Anfang des Jahres 2004 ist eine Besprechung zu datenschutzrechtlichen Fragestellungen zwischen den vorgenannten Stellen.