– 40 –
möglich war. Im Wesentlichen handelte es sich hierbei um
Daten, die bei der Nutzung des Internetexplorers anfallen
(temporäre Internetdateien usw.). Nach Überprüfung der
systemseitigen Einstellungen der betroffenen PC sowie Server ergab sich folgendes Bild: Alle Benutzer der betreffenden Organisationseinheit, die auf einem bestimmten Server
eingerichtet waren und die Möglichkeit zum Zugriff auf
Netzlaufwerke hatten, konnten in den Fällen, bei denen auf
dem Server die Nutzereinstellungen im Systemobjekt „Public“ auf ‚Read‘ und ‚File-Scan‘ gesetzt waren, die Verzeichnisnamen aller auf diesem Server befindlichen Nutzer
erkennen.
Der angezeigte Inhalt in diesen Verzeichnissen war allerdings lediglich mit dem Inhalt der eigenen gleichlautenden
Unterverzeichnisse identisch; eine tatsächliche Kenntnisnahmemöglichkeit von Inhalten anderer Nutzer fand also
nicht statt. Dies war aber nur dem glücklichen Umstand zu
verdanken, dass im Windows-Dateimanager ein Fehler vorlag. Dieser herstellerseitig nicht dokumentierte Fehler besteht darin, dass bei Ablage der Profildaten auf einem Netzlaufwerk zwar die angelegten Verzeichnisnamen, nicht aber
deren Inhalte angezeigt werden. Gesteuert durch clientseitige Systemeinträge erfolgt der Zugriff immer auf die lokalen Daten. Ohne diesen Fehler wäre der Zugriff auf die Daten der anderen Nutzer aufgrund der eingestellten Rechte
auf dem Server tatsächlich möglich gewesen.
Aus datenschutzrechtlicher Sicht lag hier an sich ein
schwerwiegender Mangel in der Rechteverwaltung vor, der
für sich allein schon Grund für eine Beanstandung nach § 25
BDSG gewesen wäre. Aufgrund besonderer Umstände sowie der Zusage der Behörde, die Konfiguration unverzüglich zu ändern und die nutzerspezifischen Profildaten nicht
mehr auf Netzlaufwerken, sondern lokal abzulegen, habe
ich von einer Beanstandung abgesehen.
4.7
Datenschutzgerechtes
eGovernment
Infolge der zunehmenden elektronischen Kommunikation
verändern sich auch die Verwaltungsvorgänge. Umständliche
Behördengänge, eingeschränkte Sprechzeiten und oftmals
lange Wartezeiten vor Ort sollen zukünftig weitestgehend
vermieden werden, indem z. B. An- und Abmeldungen, Anträge, ja sogar Verwaltungsakte elektronisch versandt und
empfangen werden können. In diesem Zusammenhang wird
der Begriff Electronic-Government (eGovernment) verwendet. Man spricht aber nicht nur von eGovernment, wenn es
sich um das Außenverhältnis der Verwaltung handelt, also
zur Wirtschaft und zum Bürger, sondern man spricht auch
von eGovernment, wenn innerhalb der Verwaltung Verfahren der Vorgangsbearbeitung den neuen Kommunikationstechniken angepasst werden, um diese auch sinnvoll zu
nutzen. Als Beispiel für das Außenverhältnis der Verwaltung seien die Ausschreibung für die Beschaffung stellvertretend für die Beziehung Verwaltung-Wirtschaft und das
Verfahren zur elektronischen Steuererklärung ELSTER für
die Beziehung Verwaltung-Bürger genannt.
Gesetzliche Rahmenbedingungen hierfür wurden u. a. mit
dem Telekommunikationsgesetz, dem Teledienstedatenschutzgesetz, dem Mediendienstestaatsvertrag, dem neuen
Signaturgesetz und dem überarbeiteten Verwaltungsverfahrensgesetz geschaffen.
BfD 19. Tätigkeitsbericht 2001–2002
Aus der Sicht des Datenschutzes sind bei eGovernment-Anwendungen u. a. folgende Aspekte zu beachten:
– Datenvermeidung und Datensparsamkeit (z. B. Pseudonymisierung);
– sichere Transaktionen über das öffentliche Netz;
– Transparenz der Verfahren (Datenschutzinformationen,
elektronische Auskunft, Berichtigung, Löschung);
– Beachtung der Zweckbindung und anderer datenschutzrechtlicher Vorschriften sowie
– datenschutzgerechte Internetangebote (nur zulässige Daten ins Internet, rechtzeitige Löschung von Verbindungsdaten, Anbieterkennzeichnung, Reduzierung von
Cookies, Anonymität von Statistiken).
Insbesondere die Anbindung der Verwaltung an das Medium Internet erfordert eine sichere und vertrauliche Kommunikation sowie einen angemessenen Schutz personenbezogener Daten. Aus datenschutzrechtlicher Sicht muss
gewährleistet sein, dass keine Unberechtigten personenbezogene Daten erlangen oder gar verfälschen können. Hier
gilt es, geeignete Sicherheitsmaßnahmen wie Verschlüsselung und elektronische Signatur einzusetzen. Überall da, wo
es auf die Integrität und Authentizität einer Willenserklärung ankommt, bietet sich der Einsatz der elektronischen Signatur an. Eine vertrauliche Kommunikation erfordert die
Verschlüsselung der zu übertragenden Informationen. Ohne
hinreichende Sicherheit werden die Anwender den neuen
technischen Möglichkeiten nur bedingt vertrauen und sie
darum auch nicht nutzen.
Die Bundesregierung plant, im Rahmen der Initiative
BundOnline 2005 bis zum Jahr 2005 alle internetfähigen
Dienstleistungen der Bundesverwaltung auch über das Internet online bereitzustellen. Zur Förderung der Initiative
BundOnline 2005 wurde von Seiten des Bundesamtes für
Sicherheit in der Informationstechnik (BSI) ein eGovernment-Handbuch erarbeitet, welches erstmalig öffentlich auf
der CeBit 2001 vorgestellt wurde. Dieses Handbuch wird
modular im Internet (www.bsi.bund.de) veröffentlicht und
aktualisiert. Es enthält sowohl methodische Hinweise für
planmäßiges Vorgehen als auch praktische Lösungsansätze.
Des Weiteren soll die Initiative MEDIA@KOMM der
Bundesregierung diese Entwicklung in den Städten und
Gemeinden gezielt unterstützen und die Einführung von
eGovernment-Dienstleistungen beschleunigen.
Die Datenschutzbeauftragten des Bundes und der Länder
haben im Oktober 2000 die Entschließung „Vom Bürgerbüro zum Internet – Empfehlungen zum Datenschutz für
eine serviceorientierte Verwaltung“ verabschiedet. In dieser Entschließung erklären sie ihre ausdrückliche Bereitschaft, solche Entwicklungsprozesse konstruktiv zu begleiten. Die 61. Konferenz der Datenschutzbeauftragten des
Bundes und der Länder hat am 8. und 9. März 2001 beschlossen, eine Arbeitsgruppe „eGovernment“ einzurichten, dessen Federführung Niedersachsen übernommen hat
und an der auch ich beteiligt war. Als Ergebnis dieser Arbeitsgruppe ist die Broschüre „Datenschutzgerechtes eGovernment“ entstanden, die als Handreichung für den Praktiker in der Verwaltung gedacht ist; sie steht jedoch auch für
alle anderen Interessenten zum Abruf auf den Internetseiten des virtuellen Datenschutzbüros (www.datenschutz.de)
bereit.