Zu begrüßen ist daher ein Angebot der ARGE Bremerhaven die der GEZ

Die Vertreter des BAföG- und Versorgungsamtes berichteten in dieser Sitzung, dass sie bereits gesonderte Bescheide nur mit den für die GEZ relevanten Daten ausdrucken würden. Die sah sich demgegenüber nicht in der Lage, das in Nürnberg gesteuerte System so zu verändern, dass gesonderte Bescheide für die Rundfunkgebührenbefreiung erstellt werden können. Von der Vertreterin des wurde vorgeschlagen, dass die Sozialbehörden den Antrag auf Gebührenbefreiung mit dem Hinweis abstempeln könnten, dass der Originalbescheid, der zur Gebührenbefreiung berechtigt, vorgelegen hat. Mit diesem Verfahren würden dann nur noch die für die Rundfunkgebührenbefreiung erforderlichen Daten an die GEZ übermittelt werden. Die Vertreterin des Amtes für Soziale Dienste erklärte sich zu dieser Praxis bereit; lediglich auf Seiten der gab es noch Vorbehalte aufgrund einer befürchteten Mehrbelastung.

In der Dezember-Sitzung des Rechtsausschusses erklärte sich die erfreulicherweise bereit, auch auf dem Antragsformular die Voraussetzungen für eine Gebührenbefreiung zu bestätigen. Der Vertreter von Radio Bremen erklärte, dass das Verfahren akzeptiert werden würde, wenn die Bescheinigung die Qualität eines zweiten Originalbescheides aufweise. Nachträglich stellte sich heraus, dass weiterhin von den Betroffenen die Vorlage des Leistungsbewilligungsbescheides (zumindest der ersten Seite) eingefordert wird, da auf dem Befreiungsantrag die Angabe des Befreiungszeitraums nicht vorgesehen sei. Aus datenschutzrechtlicher Sicht enthält selbst die erste Seite des Bewilligungsbescheides mehr Daten (z. B. die namentliche Nennung der Mitglieder der Bedarfsgemeinschaft) als erforderlich.

Zu begrüßen ist daher ein Angebot der ARGE Bremerhaven, die der GEZ bzw. Radio Bremen vorgeschlagen hat, dass sie neben der bisher von ihr im Antrag vermerkten Informationen zum ALG-II-Bezug auch die jeweilige Bewilligungsdauer mit angeben würde. Die Anwort der GEZ bzw. von Radio Bremen steht noch aus.

Es bleibt zu hoffen, dass das Angebot angenommen und zur allgemeinen Praxis wird.

Da die Rechtslage und die damit verbundenen Probleme nicht nur im Land Bremen, sondern bundesweit existieren, bin ich mit den für den Rundfunkbereich zuständigen Datenschutzbeauftragten anderer Bundesländer bemüht, eine datenschutzfreundliche Regelung im Rundfunkgebührenstaatsvertrag zu erwirken.

6. Datenschutz durch Technikgestaltung und -bewertung

Verwaltungs-WLAN: BVN-Mobil

In der bremischen Verwaltung ebenso wie in der Privatwirtschaft besteht der Bedarf, immer mehr mobile Endgeräte wie Notebooks und PDA einzusetzen. Diese müssen flexibel in bestehende Infrastrukturen integriert werden, oftmals geschieht dies mit funkbasierten Lösungsmöglichkeiten wie Wireless LAN (WLAN). Die dabei grundsätzlichen Probleme habe ich zuletzt im 27. Jahresbericht (vgl. Ziff. 3.3) dargelegt. Der Senator für Finanzen Referat 36, hat aufgrund der beim WLANEinsatz bestehenden Risiken das Projekt BVN-Mobil initiiert. Ziel dieses Projektes ist es, ein koordiniertes, sicheres und abgestimmtes Konzept für die Realisierung der WLAN-Infrastruktur für die Behörden und Dienststellen im Land Bremen zu entwickeln. Es soll eine Infrastruktur geschaffen werden, die interessierten Behörden die Möglichkeit gibt, in klar definierter Art und Weise mobile Endgeräte bei unbedingter Einhaltung aller notwendigen Sicherheitsanforderungen für ihre Zwecke einzusetzen. Das mobile Arbeiten soll dabei nicht nur innerhalb der Grenzen der Dienststelle, sondern auch über ihre Grenzen hinaus möglich sein.

Das Projekt BVN-Mobil des soll als Ergebnis die technischen und betrieblichen Rahmenbedingungen für den funkbasierten Zugang zum BVN liefern. Ich berate die Projektgruppe bei der datenschutzkonformen Umsetzung der Lösung.

Öffnung des BVN: Neue Gefahren für das Bremer Verwaltungsnetz

Die Leistungsfähigkeit von DV-Netzen wird immer größer. Die Ideen zu ihrer Nutzung werden immer vielfältiger, und durch die technisch problemlose Kopplung von DV-Netzen untereinander werden immer mehr elektronische Dienste und Dienstleistungen möglich. So leben z. B. ganze Unternehmen davon, dass sie mehrere Userhelpdesks für verschiedene Kunden rund um die Uhr betreiben oder deren DV-Systeme komplett administrieren und Fehler beseitigen. Die Dienstleister wählen sich im Bedarfsfall in das Netz des Kunden ein oder sind gar permanent mit diesem Netz verbunden oder bilden Brücken zwischen den Netzen ihrer Kunden.

Auch die Entwicklung bei den öffentlichen Stellen im Land wird hiervon gekennzeichnet. Es werden komplexe DV- und Anwendungssysteme betrieben, die allein für Administration und fortlaufendes Customizing, also Anpassung an den Bedarf, ein immenses Spezialwissen erfordern. Spezialwissen, das aus unterschiedlichen Gründen von vielen Dienststellen nicht vorgehalten werden kann. Das ist dann der Ausgangspunkt dafür, entsprechende Dienstleistungen von außen einzukaufen.

Dies birgt aber auch Gefahren in sich und muss daher u. a. klar organisiert werden. Im Bremischen Datenschutzgesetz sind die entsprechenden Anforderungen daran in § 9 (Verarbeitung personenbezogener Daten im Auftrag) explizit geregelt.

Die Öffnung eines DV-Netzes nach außen birgt zusätzliche Gefahren, die sich bei Netzen, die an verschiedenen Stellen gleichzeitig weiterentwickelt werden, nie abschließend beurteilen lassen. Der Personenkreis, der theoretisch mutwillig Daten ausspähen oder manipulieren kann, erweitert sich. Gravierender ist aber, dass ein Betreiber eines DV-Netzes nie zu 100 % sicher sein kann, dass das jeweils andere Netz fehlerlos konfiguriert und betrieben wird. Fehlfunktionen, Fehlkonfigurationen, Fehlbedienungen oder Schadsoftware aus anderen Netzen könnten dann Auswirkungen auf das eigene Netz haben. In den meisten Fällen sind DV-Netze gegenüber dem Internet mittels Firewall-Systemen abgeschottet. Einwahlverbindungen oder direkte Verbindungen (per angemieteter Standleitung oder VPN-Tunnel über das Internet) werden dabei oft nicht berücksichtigt. Sie bilden dann Außenverbindungen ohne jegliche technische Sicherheitsvorkehrung.

Aus diesen Gründen ist auch aus Sicht der einzelnen Dienststellen das BVN als nicht vollständig verlässliches Netz zu betrachten: Das BVN ist gegenüber dem Internet fachgerecht abgeschottet und somit in der Wahrnehmung vertrauenswürdig. Es dient als Verbindung aller teilnehmenden Dienststellen untereinander, mit zentralen Diensten und mit dem Internet. Zwischen den einzelnen Dienststellen ist Datenverkehr prinzipiell in jede Richtung möglich. In Dienststellen sind potenzielle Hintertürchen (ungeschützte Außenverbindungen wie oben beschrieben) aber nicht auszuschließen. Da die Dienststellen-DV-Netze an das BVN angebunden sind, sind diese Hintertürchen auch ungesicherte Außenverbindungen des BVN. Daraus ist nur das Fazit zu ziehen, dass sowohl Außenverbindungen aus DV-Netzen heraus einer genauen Risikoanalyse und Konzeption bedürfen und dass sich jede Dienststelle in ähnlicher Qualität gegen das BVN abschotten muss, wie sie dies bei der Abschottung gegenüber dem Internet oder einem Funk-Netz (vgl. 26. JB, Ziff. 2.2) tut; das BVN-Sicherheitskonzept muss umgesetzt werden (vgl. 26. JB, Ziff. 3.1).

Offene Netze und USB-Schnittstellen USB-Schnittstellen (Universal Serial Bus) gehören seit einiger Zeit zur Standardausstattung von PC. Sie ermöglichen den Anschluss einer Vielzahl von Zusatzgeräten wie CD/DVD-Brenner, Festplatten und USB-Sticks. Über diese Schnittstelle können daher USB-Speichermedien unkontrolliert Informationen und Programme im- und exportieren. Darüber hinaus besteht die Möglichkeit, mit nicht zugelassenen Netzwerkadaptern Seiteneingänge in ein lokales Netz zu schaffen und so die zentrale Sicherheitsstruktur zu unterlaufen.

Bleiben USB-Schnittstellen ungeschützt, sind wesentliche durch technische und organisatorische Maßnahmen sicherzustellende Anforderungen des § 7 insbesondere dort die Nummern 3 (Zugriffskontrolle) und 4 (Weitergabekontrolle), nicht erfüllt. Werden sensible personenbezogene Daten verarbeitet, ist es grundsätzlich erforderlich sicherzustellen, dass keine dieser Daten aus dem zugriffsgeschützten Netz entfernt werden, d. h., das Starten der Gerätetreiber für USB-Speichermedien muss deaktiviert werden. Damit würde dem Standardbenutzer die Möglichkeit des Anschlusses von USB-Speichern komplett entzogen.

Häufig ist jedoch aus arbeitsorganisatorischen Gründen die komplette Deaktivierung der Schnittstelle nicht möglich. In diesem Fall ist es erforderlich, die USBSchnittstelle über Zusatztools konfigurierbar zu machen und damit den Zugriff auf USB-Geräte zu steuern. Der Funktionsumfang des Tools ermöglicht u. a. die dynamische Sperrung und konfigurierbar den Zugriff auf Wechseldatenträger, die Sperrung bestimmter Gerätetypen, es protokolliert Gerätekonfigurationsänderungen und ermöglicht die Steuerung des Zugriffs für ausgewählte Benutzer oder Gruppen. Für die Gewährleistung der Datensicherheit der Datenträger ist eine verschlüsselte Speicherung sensibler Daten erforderlich. Auch hier sind Zusatztools verfügbar, die es ermöglichen, einen USB-Datenträger komplett zu verschlüsseln und den Datenzugriff über ein Passwort zu steuern.

Um die bisher in vielen Bereichen erreichte Netz- und Datensicherheit nicht durch ungeschützte Schnittstellen zu gefährden, ist es erforderlich, USB-Schnittstellen zu deaktivieren bzw. datenschutzgerecht zu konfigurieren.

7. Bremische Bürgerschaft ­ Die Arbeit des Rechtsausschusses

Ergebnisse der Beratung des 27. Jahresberichts Bericht und Antrag des Rechtsausschusses zum 27. Jahresbericht des Landesbeauftragten für den Datenschutz vom 31. März 2005 (Drucksache 16/578) und zur Stellungnahme des Senats ­ Mitteilung des Senats vom 30. August 2005 (Drucksache 16/737) Bericht

Die Bürgerschaft (Landtag) überwies in ihrer Sitzung am 20. April 2005 den 27. Jahresbericht des Landesbeauftragten für den Datenschutz vom 31. März 2005 (Drucksache 16/578) und in ihrer Sitzung am 15. September 2005 die dazu erfolgte Stellungnahme des Senats vom 30. August 2005 (Drucksache 16/737) an den Rechtsausschuss zur Beratung und Berichterstattung.

Der Ausschuss nahm seine Beratungen in seiner Sitzung am 5. Oktober 2005 auf und stellte für die Behandlung des 27. Jahresberichtes und für die Stellungnahme des Senats bei den nachfolgend aufgeführten Punkten Beratungs- und Handlungsbedarf fest:

1. Behördliche Datenschutzbeauftragte (Ziffer 1.4),

2. Ergebnisse des 26. Jahresberichts (Ziffer 4.1),

3. Prüfung der Telekommunikationsüberwachung (Ziffer 6.6),

4. ISA-Web statt NIVADIS (Ziffer 6.7),

5. Datenschutz im Notariat (Ziffer 7.2),

6. Stoffwechsel-Screening bei Neugeborenen (Ziffer 8.1),

7. Einführung der elektronischen Arbeitszeiterfassung (Ziffer 1.2),

8. Steuerzahler in der informationellen Zwangsjacke (Ziffer 1.9) und Steuerehrlichkeit ­ aber mit Datenschutz (Ziffer 12.1),

9. Erlaubnis erweiterter Datenbeschaffung durch die GEZ (Ziffer 2.2).

Der Rechtsausschuss erörterte die genannten Punkte mit dem Landesbeauftragten für den Datenschutz unter Hinzuziehung der Vertreter der betroffenen Ressorts und Institutionen in seinen Sitzungen am 2. November 2005, 7. Dezember 2005 und

15. Februar 2006. Die abschließende Beratung fand in der Sitzung am 15. Februar 2006 statt.

Zu den einzelnen Punkten nimmt der Rechtsausschuss wie folgt Stellung: Behördliche Datenschutzbeauftragte (Ziffer 1.4): Die vom Landesbeauftragten für den Datenschutz in seinem Bericht monierten fehlenden Bestellungen behördlicher Datenschutzbeauftragter wurden nachgeholt: Stadtamt: Der Senator für Inneres teilte dem Rechtsausschuss in seiner Sitzung am 15. Februar 2006 mit, dass für das Stadtamt die Bestellung des behördlichen Datenschutzbeauftragten am 22. Dezember 2005 erfolgt sei.

Magistrat der Stadt Bremerhaven: Der Magistrat der Stadt Bremerhaven teilte dem Landesbeauftragten für den Datenschutz am 31. Oktober 2005 mit, dass der Magistrat in seiner Sitzung am 26. Oktober 2005 über die Bestellung behördlicher Datenschutzbeauftragter beschlossen habe.