Hochschule

Regeln des Teledienstedatenschutzgesetzes zu beurteilen ist. Das würde bedeuten, dass alle Verbindungsdaten unmittelbar nach Ende der Verbindung zu löschen wären, da eine Abrechnung nicht stattfindet. Die Einwilligung in die Speicherung von Nutzungsdaten dürfte den Nutzern nicht abverlangt werden, weil ihnen ein anderer kostenfreier Zugang ­ jedenfalls bisher ­ nicht möglich ist.

Dieses Beispiel macht deutlich, dass die neuen Datenschutzvorschriften für Teledienste (entsprechendes gilt für Mediendienste) nicht uneingeschränkt auf Angebote eines Arbeitgebers oder Dienstherrn an seine Beschäftigten bzw. einer Hochschule an ihre Studenten angewandt werden können. Wenn man überhaupt den Arbeitgeber bzw. die Hochschule in dieser Situation als Diensteanbieter im Sinne des Gesetzes verstehen will (was der Gesetzgeber offenbar nicht beabsichtigt hat), so ist doch zu berücksichtigen, dass sowohl der Beschäftigte als auch der Student gegenüber der Hochschule, an der sie tätig sind, in einem Rechtsverhältnis stehen, das weitergehende Verpflichtungen vorsieht. Diese Verpflichtungen, den eröffneten Zugang zum Internet nicht zweckzuentfremden und insbesondere nicht für strafbare Handlungen zu nutzen, gelten neben dem und zusätzlich zum Teledienstedatenschutzgesetz in der gleichen Weise, wie z. B. das Bundesdatenschutzgesetz für das Kontokorrentverhältnis beim Homebanking gilt. Allerdings müssen die Bediensteten, soweit sie über das Hochschulrechenzentrum Zugang zum Internet erhalten, auf die Möglichkeit hingewiesen werden, dass ihre Aktivitäten in diesem Bereich unter besonderen Ausnahmebedingungen auch ohne ihr Wissen überwacht werden können. Auch eine rechtzeitige Beteiligung der Personalvertretung ist in diesen Fällen notwendig. Entsprechend müssen auch die Studenten, die das Internet über Hochschulrechner nutzen, informiert werden. Eine lückenlose Protokollierung der Bewegungen von Mitarbeitern oder Studenten im Netz, ohne dass die Hochschule oder der Arbeitgeber Kenntnis von strafbaren Inhalten hat, ist dagegen unzulässig.

Telekommunikation in der Berliner Verwaltung Abrechnung privater Telefongespräche

Im Berichtszeitraum ist die Abrechnung privater Telefongespräche und die damit verbundene Speicherung und sonstige Verarbeitung personenbezogener Daten in der Berliner Verwaltung auf eine gesetzliche Grundlage gestellt worden. Im Rahmen des Haushaltsstrukturgesetzes 1997189 ist ein neuer § 5 in das Informationsverarbeitungsgesetz eingefügt worden, der die Abrechnung privater sowie die Kontrolle dienstlicher Nutzung kommunikationstechnischer Verbindungen regelt.

Danach ist im Regelfall für die Abrechnung privater Telefongespräche die Erstellung eines summarischen Nachweises vorgesehen. Beschäftigte, die dies wünschen, können allerdings auch einen Einzelverbindungsnachweis mit um die letzten vier Ziffern gekürzten Zielnummern erhalten.

Zur Kostenkontrolle von gebührenpflichtigen Dienstgesprächen darf eine Dienststelle Verbindungsdaten über die geführten Gespräche in Gruppen von in der Regel mehr als zehn Beschäftigten verarbeiten. Damit ist einerseits eine bessere Kostenverfolgung als in der Vergangenheit möglich; andererseits wird durch die gruppenweise Zuordnung der Gespräche eine Verhaltensoder Leistungskontrolle ausgeschlossen, da keine Daten über das Telefonverhalten einzelner Mitarbeiter gespeichert werden.

Dies erfolgt nur in den Fällen, in denen ein Verdacht eines Dienstvergehens wegen mißbräuchlicher Nutzung dienstlicher Telekommunikationseinrichtungen für private Zwecke oder Verletzung entsprechender arbeitsvertraglicher Pflichten vorliegt. In diesen Fällen dürfen in einem abgestuften Verfahren über einen Zeitraum von längstens drei Monaten auch Daten über kleinere Gruppen von Beschäftigten bzw. über einzelne Beschäftigte gespeichert werden.

Gesetz zur Beseitigung des strukturellen Ungleichgewichts des Haushalts (Haushaltsstrukturgesetz) 1997, GVBl. S. 69

Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats

Der Berliner Datenschutzbeauftragte hat im Gesetzgebungsverfahren mehrmals zu den beabsichtigten Regelungen Stellung genommen; wir begrüßen, dass hier eine datenschutzfreundliche Regelung erreicht werden konnte.

Einzelheiten des Verfahrens sind in der Verordnung über die Speicherung, die Löschung und sonstige Verarbeitung von Verbindungsdaten zur Abrechnung privater und Kontrolle dienstlicher Nutzung kommunikationstechnischer Verbindungen vom 1. Juli 1997190 geregelt. Gleichzeitig ist die Rahmendienstvereinbarung über den Einsatz und den Betrieb von digitalen Telefonnebenstellenanlagen zwischen der Senatsverwaltung für Inneres und dem Hauptpersonalrat novelliert worden191. Bedauerlicherweise haben die beteiligten Stellen es hier versäumt, den Berliner Datenschutzbeauftragten zu beteiligen.

Zur privaten Nutzung dienstlicher Telekommunikationsanlagen wurde zum Jahresende auch eine Allgemeine Anweisung der Innenverwaltung192 erlassen. Sie greift leider eine Empfehlung nicht auf, die wir bereits zur vorherigen Verwaltungsvorschrift gegeben hatten: Bei der Abrechnung der privaten Entgelte kann nach wie vor ein Formular verwendet werden, bei dem die nachfolgenden Einzahler erkennen können, wie viele Privatgespräche die Mitarbeiter geführt haben, die ihr Entgelt bereits gezahlt haben. Dies verstößt gegen § 5 Abs. 2 BlnDSG.

Eine Kontrolle der technischen und organisatorischen Maßnahmen bei den ISDN-Nebenstellenanlagen sowie der Ausgestaltung des Telefoneinsatzes bei den Patienten im VirchowKlinikum führte zu recht unterschiedlichen Ergebnissen. Während die Maßnahmen zum Datenschutz bei den ISDN-Anlagen unzureichend waren, fiel die Bewertung des Telefoneinsatzes bei den Patienten um so besser aus.

Für die Administration der Telekommunikationsanlagen steht ein Programm zur Durchführung der Systemverwaltung zur Verfügung, das den Zugriff über mehrere Berechtigungsstufen ermöglicht. Alle Systemverwalter verfügen jedoch nur über eine einzige Kennung mit identischem Paßwort einer mittleren Berechtigungsstufe. Eine Änderung dieses Paßwortes ist den Systemverwaltern ­ auch bei einem Mitarbeiterwechsel ­ nicht möglich. Ebenso ist den Systemverwaltern, und damit letztlich auch den Verantwortlichen, der Zugriff auf die Protokolle zur Kontrolle der Systemadministration und Wartung entzogen, denn dieses ist nur unter der höchsten Berechtigungsstufe möglich.

Diese höchste Berechtigungsstufe wird jedoch nur dem Hersteller und Lieferanten der Nebenstellenanlagen, der ebenfalls den Auftrag zur Wartung der Systeme hat, eingeräumt. Dessen Aktivitäten können aus den oben genannten Gründen von der datenschutzrechtlich verantwortlichen Stelle in keiner Weise nachvollzogen werden. Der Auftragnehmer verwehrt demzufolge dem Auftraggeber jegliche Kontrollmöglichkeit.

Dies ist ein außerordentlicher Mangel der Organisationskontrolle (§ 5 Abs. 3 Nr. 10 BlnDSG). Die Durchführung sämtlicher Systemverwaltungsaufgaben an der Telekommunikationsanlage unter Benutzung einer einzigen Benutzerkennung, also auch die Pflege der personenbezogenen Stammdaten einschließlich der Nutzungsberechtigungen, ist darüber hinaus ein erheblicher Mangel der Eingabekontrolle (§ 5 Abs. 3 Nr. 7 BlnDSG), da nicht nachvollzogen werden kann, wer hier bestimmte Datenänderungen vorgenommen hat.

Eine ähnliche Problematik wurde bei der Gebührenabrechnung festgestellt. Die Gebührendatensätze befinden sich auf einem mit der Telekommunikationsanlage verbundenen separaten Rechner. Für die Gebührenabrechnung steht den Mitarbeitern ausschließlich eine spezielle Benutzeroberfläche zur Verfügung.

Die Anmeldung erfolgt auch hier über eine einzige Kennung und ein Paßwort für alle Administratoren. Die Gebührenabrechnungssoftware ermöglicht vielfältige Auswertungsmöglichkeiten, die bis auf einzelne Verbindungen hin differenziert werden können und so Aufschluß über das individuelle Kommunikationsverhalten einzelner Mitarbeiter geben können. Die Nutzung dieses GVBl. S. 383

DBl. I Nr. 7 vom 19. September 1997, S. 138

Allgemeine Anweisung über die Einrichtung und Benutzung dienstlicher Telekommunikationsanlagen für die Verwaltung des Landes Berlin vom 16. Dezember 1997, Dienstblatt I S. 40 ff.

Rahmendienstvereinbarungen nach dem PersVG werden zwischen dem zuständigen Personalrat und der zuständigen Behörde ausgehandelt. Die Änderungen der hier betroffenen Rahmendienstvereinbarung Telekommunikation waren allerdings ausschließlich in Folge neuer Gesetzes- und Verordnungsvorschriften erforderlich geworden. An der Novellierung der betroffenen Vorschriften des IVG und der Rechtsverordnung war der Berliner Datenschutzbeauftragte beteiligt.

Die zu verwendende Nachweisliste hält den datenschutzrechtlichen Anforderungen stand, da hier lediglich der Name des Beschäftigten und der Betrag des zu zahlenden Entgeltes zu ersehen ist. Wegen der unterschiedlichen Tarifierung kann daraus nicht auf die Anzahl und Dauer der geführten privaten Gespräche geschlossen werden. Hinzuweisen ist darauf, dass eine individuelle Abrechnung über Einzelnachweise und -einzahlungen zu einem kaum vertretbar hohen Verwaltungsaufwand führen würde.

Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats

Abrechnungssystems wird nur durch organisatorische Anweisungen eingegrenzt. Eine Protokollierung der Zugriffe und Auswertungen findet nicht statt.

Die Gebührendatensätze stellen jedoch vor dem Hintergrund der vielfältigen Auswertungsmöglichkeiten ­ auch bei verkürzter Zielrufnummernspeicherung ­ einen sehr sensiblen Datenbestand dar, so dass eine Protokollierung sämtlicher (also auch der lesenden) Zugriffe bzw. Auswertungen angezeigt wäre. Eine Kontrollmöglichkeit der Zugriffe muss hier ­ auch zur Entlastung der Systemadministratoren ­ gegeben sein. Aber auch hier hat nur die Wartungsfirma Zugriff auf die Systemebene.

Nicht nur die Administration, sondern auch die Durchführung der Wartungsarbeiten an der Telekommunikationsanlage und dem Gebührenserver kann durch Mitarbeiter nicht nachvollzogen werden. Es kann daher nicht festgestellt werden, ob (ungewollte) Manipulationen an der Konfiguration der Telekommunikationsanlagen, an Gebührendatensätzen oder an gespeicherten Daten erfolgt sind. Selbst die von Mitarbeitern durchgeführten Systemverwaltungsarbeiten können nicht nachvollzogen werden. Wegen der fehlenden Kontrollmöglichkeiten kann daher in diesem Zusammenhang von einer ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden und die nach § 19 Abs. 1 Satz 2 BlnDSG geboten ist, nicht die Rede sein.

Die Telekommunikationsanlagen werden beim Auftreten bestimmter Fehler einer Fernwartung (Fernüberwachung) durch die Wartungsfirma unterzogen. Sollte ein Fehler ein Einwählen in die Telekommunikationsanlage notwendig machen, wird von der Wartungsfirma über einen Rückruf der Telekommunikationsanlage die Verbindung zu einer bestimmten Rufnummer der zentralen Wartungsstelle aufgebaut. Die Wartungsmitarbeiter identifizieren sich mit einem Paßwort gegenüber der Telekommunikationsanlage. Dieses Paßwort kann nicht vom Betreiber geändert werden. Der von der Wartungsfirma initiierte Verbindungsaufbau wird zwar an der Systemkonsole auf dem Bildschirm und auf dem Drucker signalisiert, so dass eine unbemerkte Fernwartung nicht möglich ist, es kann jedoch weder während der Wartung noch im nachhinein nachvollzogen werden, welche Aktionen von der Wartungsfirma durchgeführt wurden. Demzufolge kann auch nicht festgestellt werden, ob Daten oder Programmbestände in unzulässiger Weise verändert worden sind. Damit liegen auch bei der Fernwartung erhebliche Mängel der Organisationskontrolle (§5 Abs. 3 Nr. 10 BlnDSG) vor.

Dagegen ist die Gebührenerfassung und -abrechnung bei Telefonaten der Patienten des Virchow-Klinikums positiv zu bewerten.

Die Ablauforganisation lässt eine anonyme Telefonnutzung durch die Patienten zu. Der Patient zieht sich an einem Automaten anonym eine Telefonchipkarte und erhält damit gleichzeitig eine kartenbezogene Rufnummer, die auf der Chipkarte gespeichert ist. Durch das Ziehen einer Karte am Automaten wird auf dem Gebührenrechner ein Konto generiert und der am Automaten eingezahlte Betrag automatisch auf das entsprechende Telefonkartenkonto gebucht. Der Patient kann nun diese Telefonchipkarte in jedes dafür vorgesehene Telefon, z. B. in seinem Krankenhauszimmer, stecken und aktivieren. Damit ist er unter der auf der Karte angegebenen Rufnummer an diesem Telefon erreichbar. Ein Wechsel des Telefons ist jederzeit durch Deaktivierung der Karte und anschließende Aktivierung an einem anderen Telefon möglich.

Wenn telefoniert wird, werden die Gebühren vom jeweiligen Telefonkartenkonto abgebucht. Die dabei anfallenden Verbindungsdatensätze enthalten jeweils die um 3 Ziffern verkürzte Rufnummer des gerufenen Teilnehmers. Ist das Guthaben aufgebraucht, kann die Telefonkarte jederzeit am Automaten nachgeladen werden. Da zu keiner Zeit bekannt ist, welcher Patient welche Telefonkarte gezogen hat, ist eine anonyme Nutzung der Telefone durch die Patienten möglich.

Mitarbeiterdaten im Internet

Bereits seit mehreren Jahren sind öffentliche Stellen der Berliner Verwaltung ­ insbesondere Universitäten und sonstige Hochschulen ­ dazu übergegangen, Daten ihrer Mitarbeiter, wie z. B. Name, Postanschrift, Arbeitsgebiet, Telefon- und Faxnummer, neben den üblichen gedruckten Verzeichnissen auch in elekDer Senat ist mit dem Berliner Datenschutzbeauftragten der Meinung, dass der Aufnahme von Mitarbeiterdaten (sog. Basiskommunikationsdaten: Nachname, Postanschrift und Raumnummer in der Dienststelle, Arbeitsgebiete, Telefon-, Faxnummern, E-Mail- und X400-Adressen) in interne gedruckte und elektro