– 73 –
Im Zuge eines eGovernment-Projekts hat das BMWA das
Projekt „Sicherheitserklärung Online“ entwickelt, das einer Forderung der Wirtschaft entspricht. Daneben sollen
auch das überarbeitete Geheimschutzhandbuch mit der
Verschlankung zahlreicher Verwaltungsprozeduren und
der Internetauftritt des Geheimschutzes im nicht-öffentlichen Bereich (www.bmwa-sicherheitsforum.de) zu einer
Entbürokratisierung beitragen.
Nach den Plänen sollen in einem ersten Schritt die nach
§ 13 SÜG abzugebenden Sicherheitserklärungen von Betroffenen bei Wirtschaftunternehmen künftig nur noch in
elektronischer Form erstellt und den beteiligten Behörden
(BMWA und Bundesamt für Verfassungsschutz – BfV)
im Online-Verfahren übermittelt werden. Als zweiter
Schritt ist beabsichtigt, die bislang in Papierform vorhandenen Akten generell durch sog. „elektronische Akten“
zu ersetzen.
Ich habe das BMWA bei der Vorstellung des Projekts darauf hingewiesen, dass die Speicherung von personenbezogenen Daten der Sicherheitserklärung durch § 20 SÜG
auf die in § 13 Abs. 1 Nr. 1 bis 6 SÜG genannten Grunddaten begrenzt wird. Bei einer elektronischen Bearbeitung der Sicherheitserklärung sollen jedoch darüber hinaus weitere, zum Teil sehr sensible Daten elektronisch
erfasst werden. Gleiches gilt auch für die zu einem späteren Zeitpunkt vorgesehene Ersetzung der vorhandenen
Papierakten durch sog. „elektronische Akten“. Meine
Einschätzung wird auch von dem für das SÜG federführenden BMI geteilt, das ebenso wie ich für eine Umsetzung des Vorhabens eine vorherige Änderung des
Gesetzes für erforderlich hält. Ein entsprechender Änderungsvorschlag für die §§ 11, 18, 20, 22 und 31 SÜG ist
nach Auskunft des BMI in Vorbereitung.
Die Speicherung personenbezogener Daten in Dateien hat
der Gesetzgeber in § 20 SÜG bewusst restriktiv geregelt.
Bei einer Änderung des SÜG, der ich mich mit Blick auf
die fortschreitende Automatisierung von Verwaltungsabläufen nicht verschließe, müssen daher bei der Datenübertragung besondere Vorkehrungen mittels einer Verschlüsselung getroffen werden. Ferner ist ein
hinreichender Schutz vor einem unberechtigten Zugriff
auf die gespeicherten Daten sicherzustellen. Dies könnte
– so auch die Auffassung des BMI und des Bundesamtes
für Sicherheit in der Informationstechnik – eine Höherstufung des Geheimhaltungsgrades erforderlich machen;
nach gegenwärtigem Stand sind Sicherheitserklärungen
mit dem VS-Grad NfD eingestuft.
Bis Redaktionsschluss lag noch kein Gesetzentwurf zur
Änderung des SÜG vor.
5.8.2.2 Datenschutzrechtliche Kontrollen
der Sicherheitsüberprüfungen in
der Privatwirtschaft
Eine Kontrolle des Verfahrens der Sicherheitsüberprüfungen in der Privatwirtschaft zeigt die Notwendigkeit für
einige grundlegende Verbesserungen.
Im Berichtszeitraum habe ich ein größeres privates Unternehmen kontrolliert, das eine relativ große Zahl von sicherheitsüberprüften Mitarbeitern beschäftigt. Die Mehr-
zahl der Mitarbeiter war sicherheitsüberprüft. Hinzu
kamen viele Mitarbeiter, die unter den durch das Terrorismusbekämpfungsgesetz neu eingeführten vorbeugenden
personellen Sabotageschutz fallen. Bei der Kontrolle einzelner Sicherheitsakten in dem Unternehmen habe ich
keine gravierenden Mängel festgestellt. Allerdings haben
sich im organisatorischen Bereich und bei der dateimäßigen Bearbeitung personenbezogener Daten Mängel gezeigt, die teilweise von erheblicher und grundsätzlicher
Bedeutung sind. Ferner haben sich bei den Gesprächen
mit dem Sicherheitsbevollmächtigten (Sibe) Probleme
und Fragen ergeben, die noch einer Klärung bedürfen:
Die Sicherheitsakten bei dem Unternehmen wurden in
demselben Raum aufbewahrt und bearbeitet, in dem auch
die Berechtigungsausweise für den Zutritt zum Unternehmensgelände ausgestellt werden. Aufgrund des häufig
herrschenden regen Publikumsverkehrs sind die dort tätigen Mitarbeiter mit der Bearbeitung von Zutrittsausweisen und der gleichzeitigen Verhinderung einer unbefugten
Einsichtnahme in Unterlagen mit personenbezogenen Daten überfordert. Ich habe daher eine räumliche Trennung
der beiden Aufgabenbereiche – Besuchskontrollverfahren
und personeller Geheimschutz – angeregt.
Die elektronische Bearbeitung der Sicherheitsakten erfolgte mittels eines Datenbanksystems, auf das sowohl
die Mitarbeiter des personellen Geheimschutzes als auch
die Mitarbeiter des vpS Zugriff haben. Aufgrund meiner
Kritik an diesem wechselseitigen Zugriff wurde eine technische Systemmodifikation (Einrichtung sog. „Benutzerrollen“ zur Vergabe differenzierter Zugriffsberechtigungen)
veranlasst. In dem System steht für die Mitarbeiter des
Sibe eine logische Verzeichnisstruktur (Abteilungsordner) zur Verfügung. Der Sibe hat auf meine Anregung hin
eine Prüfung zugesagt, die Verzeichnisstruktur noch stärker nach Aufgabengebieten zu segmentieren. Außerdem
sollte mittelfristig geprüft werden, die Arbeitsabläufe dieser Stabsabteilung insgesamt in ein besonders gesichertes
Netz zu verlagern, bei dem die Daten verschlüsselt und
gespeichert werden.
Weder das SÜG noch die Allgemeine Verwaltungsvorschrift (AVV) des BMWA zu §§ 24 bis 31 SÜG enthalten
Regelungen über die Funktion und Aufgaben eines Sibe
bei nicht-öffentlichen Stellen. Lediglich das „Handbuch
für den Geheimschutz in der Wirtschaft (Geheimschutzhandbuch-GHB)“ enthält entsprechende Hinweise. Die
Kontrolle gab Veranlassung zu der Frage, inwieweit der
Sibe Aufgaben wahrnehmen darf, die nach dem SÜG der
zuständigen Stelle oder der mitwirkenden Behörde zustehen.
Ein Beispiel verdeutlicht die Problematik: Der Sibe hat
einen sicherheitsüberprüften Mitarbeiter nach einem Verstoß gegen Geheimhaltungsvorschriften schriftlich abgemahnt und den zuständigen Vorgesetzten hierüber unterrichtet. Von einer Mitteilung an das BMWA hat er jedoch
abgesehen, obwohl in solchen Fällen Kontakt mit dem
BMWA aufzunehmen gewesen wäre. Ich halte diese
Unterrichtung des Vorgesetzten im Hinblick auf die
restriktiv gefassten Übermittlungsregelungen des § 21 SÜG
datenschutzrechtlich für unangemessen. Geringfügige
BfD
20. Tätigkeitsbericht
2003–2004