aktuelles Betriebssystem umgestellt. Bereits im September 2014 hatte ich anlässlich eines Kontroll- und Beratungsbesuchs im Rehabilitationszentrum Bad Kissingen die DRV Bund auf die datenschutzrechtlich bedenkliche Nutzung veralteter Betriebssysteme hingewiesen. Da die DRV Bund auch besondere Arten personenbezogener Daten, insbesondere Gesundheitsdaten, erhebt, nutzt und verarbeitet, besteht aufgrund mangelnder Sicherheit in der Informationstechnik eine erhöhte Bedrohungslage.
Nach den Vorgaben u. a. im IT-Grundschutzhandbuch und Empfehlungen des Bundesamtes für die Sicherheit in
der Informationstechnik (BSI) ist eine schnelle Migration auf ein modernes Betriebssystem angezeigt. Nachdem
ich dieses Problem regelmäßig und mit Nachdruck angesprochen hatte, teilte mir die DRV Bund mit, bis Mitte
Oktober 2016 seien über 22.000 PC auf Windows 7 umgestellt worden, was ca. 90 Prozent des Gesamtbestandes der Standardarbeitsplätze der DRV Bund entspräche. In den Leistungsabteilungen Versicherung, Rente,
Rehabilitation und der Zentralen Zulagenstelle für Altersvermögen sowie in den Kliniken der DRV Bund würden nunmehr alle Standardarbeitsplätze über eine aktuelle Software verfügen. Dies begrüße ich ausdrücklich.
Leider wurde jedoch bis Ende 2016 noch immer nicht mit der Umstellung in kleineren Außenstandorten, beispielsweise den Auskunfts- und Beratungsstellen aber auch der mobilen IT-Systeme mit Anbindung an das Datennetz der DRV-Bund begonnen.
Wie die DRV Bund angekündigt hat, soll die vollständige Überleitung zu Windows 7 bis zum Ende des ersten
Halbjahres 2017 abgeschlossen sein. Dies betrachte ich als allerletzte, nicht mehr verschiebbare Frist. Sollte ich
bei Kontrollen nach diesem Zeitpunkt feststellen, dass von der DRV Bund noch immer Windows XP eingesetzt
wird, werde ich dies wegen Verstoßes gegen § 9 BDSG förmlich beanstanden.
Die schleppende Migration eines modernen Betriebssystems auf den Rechnern der DRV Bund sehe ich sehr
kritisch. Bereits seit Anfang dieses Jahrzehnts stand fest und wurde auch in der Fachpresse kommuniziert, dass
der technische Support inklusive Sicherheitsaktualisierungen für das Betriebssystem Windows XP im April
2014 enden werde. Gleichwohl hat die DRV Bund erst reagiert, als die Datenschutzaufsichtsbehörden die unsicheren Betriebssysteme bei ihr kritisiert haben. Sie hätte aber bereits mehrere Jahre vor dem angekündigten
Ende des Supports mit den Planungen für die Migration ihrer Rechner auf ein sicheres Betriebssystem beginnen
müssen, damit bei Ende des Supports bereits alle Rechner umgerüstet gewesen wären.
3.3
3.3.1
Aus Beratung und Kontrolle
Informationspflichten bei Datenschutzverstößen
Im Berichtszeitraum sind sowohl Sozialleistungsträger als auch sonstige Stellen ihrer gesetzlichen Verpflichtung nachgekommen, mich über „Datenschutzpannen“ in ihrem Verantwortungsbereich zu informieren.
Sozialleistungsträger sind nach § 83a SGB X verpflichtet, mir Datenschutzverletzungen innerhalb ihrer Organisationseinheiten mitzuteilen, wenn sie feststellen, dass dort gespeicherte besondere Arten personenbezogener
Daten (vgl. § 67 Absatz 12 SGB X) unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen
Interessen der Betroffenen drohen.
Insgesamt haben mich im Berichtszeitraum 84 Meldungen erreicht. Häufig hat es sich dabei um Datenschutzverstöße gehandelt, die auf ein einmaliges Fehlverhalten einzelner Mitarbeiter zurückzuführen sind. Auffällig
waren die Verluste von Sozialdaten im Rahmen von Postversendungen oder Diebstählen sensibler Unterlagen
einschließlich Laptops aus dienstlich genutzten Kraftfahrzeugen. Hier habe ich bei gravierenden Mängeln betroffene Dienststellen zu verbesserten Sicherungsmaßnahmen verpflichtet. Darüber hinaus haben mich insgesamt vier weitere Meldungen anderer öffentlicher Stellen erreicht, die nach § 42a BDSG zur Information verpflichtet sind. Es handelte sich um Einzelfälle, in denen versandte Post nicht beim richtigen Empfänger angekommen ist oder in einem Fall nach einem Einbruch nicht ausgeschlossen werden konnte, dass unberechtigte
Dritte Zugang zu schützenswerten personenbezogenen Daten erhalten haben.
BfDI 26. Tätigkeitsbericht 2015-2016
– 71 –