Datenschutzrisiken
Mit Dokumentenmanagementsystemen können automatisiert aus einer Datensammlung durch vielfältige Datenverknüpfungen und -kombinationen sowie durch die Erstellung von Hypothesen und deren Überprüfung bisher völlig unbekannte Informationen gewonnen werden. Insbesondere die gezielte Zusammenführung personenbezogener Daten aus unterschiedlichen Datenquellen und ihre Auswertung ermöglichen die Bildung von Persönlichkeitsprofilen.
Besondere Datenschutzrisiken ergeben sich, wenn die Papierakte durch eine elektronische Akte ersetzt wird, deren Dokumente in einem Dokumentenmanagementsystem vorgehalten werden. In diesem Fall führen die Such- und Auswertungsfunktionen eines Dokumentenmanagementsystems, insbesondere wenn eine Volltextrecherche zugelassen ist, zu bisher nicht oder nicht in dem Umfang gegebenen Aussagen zu einer Person. Statt viele Seiten einer Papierakte durchlesen zu müssen und vielleicht noch andere Akten hinzuzuziehen, könnten dann ohne Aufwand Daten von Bürgerinnen und Bürgern aus verschiedenen Lebensbzw. Verwaltungsbereichen zusammengeführt werden, ohne dass Zusatzwissen erforderlich wäre. Bisher ist eine umfassende Recherche zu einer bestimmten Person nur mit erheblichem Aufwand möglich. Mit Einführung der elektronischen Akte in einem Dokumentenmanagementsystem ist dies jedoch theoretisch auf Knopfdruck möglich. Auch wird es für Bürgerinnen und Bürger noch schwieriger zu durchschauen, wer Zugang zu ihren Daten hat.
Dokumentenmanagementsysteme können aber auch zur Verhaltens- und Leistungskontrolle der Mitarbeiterinnen und Mitarbeiter genutzt werden. Durch die Einführung der elektronischen Akte werden sämtliche Bearbeitungsschritte elektronisch abgebildet. Es entsteht eine Vielzahl von Protokoll- und Verfahrensdaten, die mitarbeiterbezogen ausgewertet werden können.
Der Arbeitskreis eGovernment der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat von einer Arbeitsgruppe die Orientierungshilfe "Datenschutz bei Dokumentenmanagementsystemen" erarbeiten lassen. Die Orientierungshilfe stellt die datenschutzrechtlichen und -technischen Anforderungen, die zu beachtenden Sicherheitsaspekte und die Architektur des Dokumentenmanagementsystems als Basiskomponente des eGovernment vor. Sie soll dazu beitragen, dass bei dem Einsatz eines Dokumentenmanagementsystems die Anforderungen von Datenschutz und Datensicherheit im Blick bleiben, und praktische Hinweise dafür geben, wie diese Anforderungen in datenschutzgerechte und datenschutzfreundliche Anwendungen umgesetzt werden können.
Der Einsatz von Dokumentenmanagement- und Vorgangsbearbeitungssystemen (DMS/VBS) ist integraler Bestandteil der IT-Landesstrategie. Die Senatsverwaltung für Inneres und Sport bereitet derzeit ein DMSKonzept vor. Darin wird untersucht, welche organisatorischen, technischen, rechtlichen und wirtschaftlichen Rahmenbedingungen für einen flächendeckenden Einsatz eines Dokumentenmanagement- und Vorgangsbearbeitungssystems in der Berliner Verwaltung zu schaffen sind.
Der sichere Einsatz eines DMS bildet einen wichtigen Aspekt dieses Konzeptes. Der Senat betrachtet daher die Orientierungshilfe und die im Bericht enthaltenen Ausführungen - als eine wichtige Grundlage, um die notwendigen Anforderungen an einen sicheren Einsatz von DMS bereits in der jetzigen Konzeptphase und bei den weiteren notwendigen Schritten ausreichend berücksichtigen zu können.
Im Folgenden werden einige der wesentlichen datenschutzrechtlichen und -technischen Aspekte bei der Einführung und dem Einsatz von Dokumentenmanagementsystemen dargestellt.
Was ist ein Dokumentenmanagementsystem?
Ein Dokumentenmanagementsystem verwaltet elektronisch und nichtelektronisch erzeugte Dokumente über deren gesamten Lebenszyklus hinweg. Es organisiert dabei Entwurf und Erstellung, Weitergabe und Verteilung, Auffinden, Ablage und Übergabe an ein Archiv oder Löschung der Dokumente sowie Auswertung und Zuordnung von Informationen aus den Dokumenten. In einem Dokumentenmanagementsystem existieren zu jedem Dokument zusätzliche Informationen, sog. Metadaten. Diese enthalten beschreibende Informationen von Dokumenten, Vorgängen oder Akten. Dies kann z. B. das Aktenzeichen, der Erstellzeitpunkt, der Bearbeiter oder der Ablageort sein.
Mit der Einführung eines Dokumentenmanagementsystems sollen verschiedene Ziele verwirklicht werden. Durch den Umstieg von der reinen Papierakte bzw. der teilelektronischen Akte zur vollständigen elektronischen Akte entsteht ein einfacher und aktueller recherchierbarer Bearbeitungsstand mit vielfältigen Auswertungsmöglichkeiten. Die Schnelligkeit der Bearbeitung wird gesteigert, da Transportzeiten entfallen, Dokumente mittels Workflow direkt zu den entsprechenden Bearbeitern geführt und parallel von mehreren Bearbeitern genutzt werden können.
Organisatorische Rahmenbedingungen:
Die Nutzung eines Dokumentenmanagementsystems verändert die Arbeit in jeder Behörde erheblich. Dies nicht nur, weil es sich um ein zentrales Arbeitsmittel handelt, sondern auch, weil es die Abläufe innerhalb der verantwortlichen Stelle und an den Schnittstellen nach außen erheblich verändert. Erster Schritt vor der Einführung eines Dokumentenmanagementsystems muss deshalb eine gründliche organisatorische Vorbereitung sein. Gleiches gilt für Unternehmen, die ein Dokumentenmanagementsystem einführen.
Hauptaugenmerk aller Untersuchungen sind die zu speichernden Dokumente. Der umfassenden Analyse des tatsächlichen Schutzbedarfs der zu verarbeitenden Dokumente kommt eine Schlüsselrolle zu.
Das Berliner Datenschutzgesetz und das Bundesdatenschutzgesetz unterscheiden nur zwischen Kategorien bzw. Arten personenbezogener Daten, für die besondere Schutzvorschriften bestehen, und den übrigen
Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats Daten, bei denen keine weitere Gewichtung vorgenommen wird. Dementsprechend muss für alle personenbezogenen Daten - unabhängig von ihrer besonderen Schutzwürdigkeit - in jedem Fall zunächst ein Grundschutz gewährleistet sein. Besondere Kategorien personenbezogener Daten sind nach § 6 a BlnDSG bzw. § 3 Abs. 9 BDSG personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen oder die die Gesundheit oder das Sexualleben betreffen. Diese Daten dürfen nur verarbeitet werden, wenn angemessene Garantien zum Schutz des Rechts auf informationelle Selbstbestimmung bestehen und eine besondere Rechtsvorschrift, die den Zweck der Verarbeitung bestimmt, dies erlaubt.
Daten, die dem Sozialgeheimnis, dem Personalaktengeheimnis oder einem anderen besonderen Amts- oder Berufsgeheimnis unterliegen, sind nach spezialgesetzlichen Regelungen besonders geschützt, was sich in einem erhöhten Schutzbedarf niederschlägt. Die Verarbeitung oder Nutzung von Personalaktendaten in einem Dokumentenmanagementsystem ist nur zulässig, wenn die maßgeblichen Regelungen zur Personalaktenführung in den Beamtengesetzen des Bundes und der Länder dem nicht entgegenstehen.
Sollte die Feststellung des Schutzbedarfs der Dokumente ergeben, dass die vom Grundschutzkatalog empfohlenen Maßnahmen allein nicht ausreichend sind, so müssen zusätzliche Maßnahmen ergriffen werden. Dieses kann z. B. eine Verschlüsselung der Dokumente im Dokumentenmanagementsystem bedeuten. Liegen Schriftformerfordernisse vor, muss zudem eine qualifizierte Signatur angebracht werden.
Die sich aus diesen Fragen ergebenden Erkenntnisse der Voruntersuchungen müssen in ein Organisationskonzept überführt werden, das neben Festlegungen zur Aufbau- und Ablauforganisation auch Aussagen zum Funktionsumfang des künftigen Dokumentenmanagementsystems enthalten muss. Hier sind die unerlässlichen Funktionen bzw. Fähigkeiten des künftigen Systems ebenso festzulegen wie die notwendigen Beschränkungen, z. B. der Auswertungs- und Recherchemöglichkeiten.
Der datenschutzgerechte Einsatz eines Dokumentenmanagementsystems erfordert klare Festlegungen, wer für welche Aufgaben verantwortlich ist und wer die Verantwortung für die Vollständigkeit und Korrektheit von Daten und Verfahren trägt. Hierfür muss ein verfahrensbezogenes Datenschutz- und Datensicherheitskonzept erarbeitet werden. Das Datenschutz- und Datensicherheitskonzept basiert auf der Analyse des Schutzbedarfs der Dokumente.