Drucksache 17/13000
68 ––
–– 68
nenbezogene Informationen, z. B. interne Beurteilungen,
disziplinarrechtliche Maßnahmen gegenüber Mitarbeitern, Informationen über Krankheiten der Mitarbeiter
oder sehr persönliche Daten und Bescheide zu „Kunden“
der Behörde die in jedem Fall hätten gelöscht sein müssen. Auch werden ungeschützt Dokumente, z. B. in gängigen Office-Formaten, per E-Mail weitergeleitet.
Jeder einzelne Punkt ist ein klarer Datenschutzverstoß.
Diese Maßnahmen können das Aufräumen des Arbeitsplatzrechners erleichtern:
– Werden statt „Musterschreiben“ Dokumentenvorlagen
(z. B. bei Word) verwendet, können diese ohne Personenbezug erstellt und wiederverwendet werden.
– Eine einheitliche transparente Struktur der Ablage
hilft die Übersicht über vorhandene Dokumente zu erhalten. Dokumente können z. B. in Verzeichnissen
nach Sachlagen oder nach zeitlichen Angaben strukturiert werden. Viele Betriebssysteme unterstützen das
Auffinden von Dokumenten durch Suchkriterien wie
Erstellungsdatum oder Dokumententyp.
– Die Verwendung von Verschlüsselungsprogrammen
ist durch Schulungen zu üben, so dass schützenswerte
Daten nur verschlüsselt mittels E-Mail versandt werden.
Ich werde mich dafür einsetzen, dass in allen Behörden in
etwa jährlichem Abstand entsprechende Datenschutzschulungen angeboten werden und die behördlichen Datenschutzbeauftragten regelmäßig Arbeitsplatzkontrollen
durchführen.
4.9
Dokumentationspflichten bei der
Entwicklung von Software und
deren Nutzung
Bei Kontrollen musste ich wiederholt feststellen, dass die
von verantwortlichen Stellen vorgelegten Unterlagen die
datenschutzrechtlichen Dokumentationspflichten verletzten.
Die Revisionsfähigkeit von Systemen ist eine wichtige
Voraussetzung bei datenschutzrechtlichen Kontrollen und
Beratungen. Da die Systeme immer komplexer werden,
ist die Prüfung des Systems nur möglich, wenn entsprechende Unterlagen vorliegen, die deren Funktionsweise
und den dabei vorgesehenen Umgang mit personenbezogenen Daten dokumentieren. Auch meine Kontrollaufgaben kann ich nur dann wahrnehmen, wenn das zu kontrollierende System in ausreichendem Maß „revisionsfähig“
ist.
Die Revisionsfähigkeit von Hard- und Software ergibt
aus dem Einleitungssatz zur Anlage von § 9 BDSG. Dort
werden technische und organisatorische Maßnahmen gefordert, um die Ausführungen des Gesetzes zu gewährleisten. Datensicherheit setzt auch immer voraus, dass der
verantwortlichen Stelle bewusst ist, welche Systeme wo
eingesetzt werden und welchen Funktionsumfang sie haben. Außerdem muss die verantwortliche Stelle wissen,
wie die personenbezogenen Daten im System verarbeitet
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
werden. Insofern dient die Verfahrensdokumentation in
erster Linie den Verfahrensverantwortlichen und darf
nicht als lästige Verpflichtung gegenüber möglichen Kontrolleuren missverstanden werden.
Immer wieder werden Fragen an mich herangetragen,
was unter dem Begriff Dokumentation zu verstehen ist
und welchen Umfang sie haben soll. Unter „Dokumentation“ werden im Allgemeinen alle Unterlagen verstanden,
die die Funktionsweise, die unterschiedlichen Rollen, die
Bedingungen für den Betrieb sowie Wartungs- und Pflegeanweisungen erklären. Es gibt nicht eine Dokumentation, sondern verschiedene Dokumente, die an unterschiedliche Zielgruppen gerichtet sind (vgl. Kasten zu
Nr. 4.9).
Nur wenn diese Dokumente vollständig vorliegen, ist die
Revisionsfähigkeit des Verfahrens gewährleistet und damit eine wichtige Grundlage zur Datensicherheit gegeben.
Immer wieder musste ich im Berichtszeitraum feststellen,
dass die Pflicht einer ausreichenden Dokumentation von
der verantwortlichen Stelle verletzt wurde (vgl. z. B.
Nr. 3.5.1, 9.6). Grundsätzlich müssen zwar nicht bei jedem Einsatz von Software alle im Kasten zu Nr. 4.9 genannten Dokumente vorliegen. So verlange ich etwa bei
Einsatz von Standardprogrammen nicht die Vorlage des
Quellcodes. Beim Einsatz von speziell entwickelter Software mit spezifischen Funktionalitäten und bei Verarbeitung sehr schützenswerter Daten liegt das anders. Dann
ist für die datenschutzrechtliche Bewertung des Systems
die Vorlage des Quellcodes und weiterer Unterlagen eine
notwendige Voraussetzung.
Wie umfangreich eine Dokumentation sein muss, kann
ebenfalls unterschiedlich bewertet werden. Die entsprechenden DIN-Normen 66230 Programmdokumentation,
66231 Programmentwicklungsdokumentation und 66232
Datendokumentation wurden leider 2004 zurückgezogen
und können nicht mehr herangezogen werden. Gleichwohl gibt es internationale (ISO-, EN-)Standards, die sich
mit den Dokumentationspflichten befassen, beispielsweise EN 15380 für die Dokumentation des Datenaustauschs. Ich empfehle deshalb allen verantwortlichen
Stellen, entsprechende Dokumente nach den gültigen
Normen einzufordern. Auch die Zertifizierung von Systemen und Programmen beispielsweise nach den Common
Criteria verlangt die Vorlage entsprechender Dokumente.
Sie bilden somit die Richtschnur, welche Dokumente vorhanden sein müssen.
Im Übrigen weise ich darauf hin, dass im Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik entsprechende Anforderungen fixiert sind,
beispielsweise in Maßnahme „M 2.62 Software-Abnahme- und Freigabe-Verfahren“. Auch verschiedene Gerichte haben sich bereits mit dieser Frage befasst und die
Programmdokumentation explizit gefordert, beispielsweise das OLG Karlsruhe, das in der vertraglichen Pflicht
zur Überlassung einer Dokumentation implizit auch eine
Pflicht zur Quellcodeübergabe sah (OLG Karlsruhe,
Computer und Recht 1999, 11). Das LG Frankfurt hat für