Deutscher Bundestag – 17. Wahlperiode
5.4
– 61 –
Einmal erfasst – für immer gespeichert?
Probleme mit der Datenlöschung
Personenbezogene Daten müssen gelöscht werden, wenn
sie nicht mehr erforderlich oder unzulässig gespeichert
worden sind. Leider erfüllen nicht alle IT-Systeme diese
rechtlichen Anforderungen.
Die Software der Firma SAP unterstützt die Verwaltung
von Waren, Dienstleistungen, aber auch von eigenem Personal oder Kundendaten. Auch die Bundesverwaltung
nutzt diese Software immer häufiger zum Automatisieren
von Geschäftsprozessen. Bei einigen Installationen hat
sich gezeigt, dass personenbezogene Daten in SAP-Systemen nicht gelöscht werde können.
Nach dem Bundesdatenschutzgesetz sind personenbezogene Daten dann zu löschen, wenn sie für die Aufgabenerfüllung nicht mehr erforderlich sind oder ihre Speicherung aus anderen Gründen unzulässig ist. Das Gesetz
definiert Löschen als Unkenntlichmachen gespeicherter
personenbezogener Daten. Dies wird weder dadurch erreicht, dass die Daten nur logisch – mit der Möglichkeit
einer Wiederherstellung – „gelöscht“ werden, noch dadurch, dass lediglich die Recherchemöglichkeit verhindert wird.
Leider habe ich bei verschiedenen Gelegenheiten feststellen müssen, dass Verfahren auf der Grundlage von
SAP R/3 – insbesondere in der Personalverwaltung bei
Einsatz des Moduls „HR“ (Human Resources Management) – den Anforderungen an eine datenschutzgerechte
Löschung nicht genügen (hierzu vgl. auch unter Nr. 5.4.1
und 5.4.2). Ich habe dies zum Anlass genommen, mir einen groben Überblick über den Einsatz von SAP-Systemen in meinem Zuständigkeitsbereich zu verschaffen.
Bei einer entsprechenden Umfrage habe ich Informationen zum Einsatz von SAP und der Art der in SAP-Systemen verarbeiteten personenbezogenen Daten (z. B. Kundendaten, Personaldaten, Beihilfedaten, Haushaltsdaten)
gesammelt. Außerdem wollte ich wissen, ob ein Datenschutzkonzept erarbeitet wurde und eine Verfahrenanweisung existiert.
Beim Auswerten der Umfrage hat sich zunächst gezeigt,
dass SAP nur in relativ wenigen Fällen in der Bundesverwaltung eingesetzt wird. Sofern allerdings das System benutzt wird, sind auch personenbezogene Daten betroffen,
in vielen Fällen besonders schützenswerte Personalaktendaten und Personaldaten. Bei der Frage der Löschung personenbezogener Daten ergab sich ein bedenkliches Bild.
Viele Behörden gingen bislang davon aus, dass die Daten
innerhalb des Systems gelöscht werden können. Dass die
SAP-Software dies nicht in allen Fällen leistet, war nicht
allen bekannt. Erst durch meine Initiative scheint innerhalb der betroffenen Behörden ein Umdenken einzutreten
und die vorhandene Löschroutine kritisch hinterfragt zu
werden. Aufgrund des ernüchternden Ergebnisses der Umfrage – nicht in allen Fällen wird nach datenschutzrechtlichen Maßstäben richtig gelöscht – suchte ich das direkte
Gespräch mit SAP, um mit dem Hersteller der Software
Lösungswege zu finden. SAP sagte zu, im Laufe des
Jahres 2010 ein Löschmodul bereitzustellen, das das Pro-
Drucksache 17/5200
blem beseitigen könnte. Das Modul sei unter der Version
SAP R/3 4.7 Enterprise ablauffähig. Die betroffenen Behörden haben das Modul inzwischen installiert und getestet. Der erwartete Erfolg hat sich jedoch nicht eingestellt.
Das von SAP gelieferte Modul hat keine Löschungen vorgenommen und zum Teil zu Störungen in der Datenbank
geführt. Die zu löschenden Daten sind in diesem Fall manuell gelöscht worden. Ich werde dies zum Anlass nehmen, das Problem im Frühjahr 2011 nochmals mit SAP intensiv zu beraten. Falls sich keine Änderung ergibt, werde
ich dem Einsatz von SAP Produkten in Zukunft nicht mehr
befürworten können.
5.4.1
Das Verfahren „oscare“ – neue
elektronische Wege auch in der
gesetzlichen Krankenversicherung
Systembedingte datenschutzrechtliche Probleme bei dem
von mehreren gesetzlichen Krankenkassen angewendeten
Datenverwaltungsprogramm „oscare“ haben zu einer
Reihe von Empfehlungen geführt.
Das auf dem Programm SAP R/3 basierende Verfahren
„oscare“ dient dazu, die Daten der Versicherten einer gesetzlichen Krankenkasse zu verwalten. Es wird – teilweise unter anderem Namen – mittlerweile von mehreren
gesetzlichen Krankenkassen eingesetzt, die meiner Kontrolle unterliegen.
Um die datenschutzrechtlichen Anforderungen an dieses
Verfahren zu prüfen, haben die Arbeitskreise Gesundheit
und Soziales sowie Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder unter meiner Beteiligung die gemeinsame Arbeitsgruppe „oscare“
gebildet, um mit den gesetzlichen Krankenkassen und den
entwickelnden Softwareunternehmen den Handlungsbedarf zu erörtern. Im Mittelpunkt dieser Erörterungen standen – wie bei anderen auf SAP R/3 basierten Verfahren –
das Vorliegen eines Archivierungs- und Löschkonzeptes
sowie die Protokollierung lesender Zugriffe. Zudem waren
das Rollen- und Berechtigungskonzept und die Sicherstellung der Revisionsfähigkeit des Softwareeinsatzes, insbesondere durch eine geeignete Zugriffsprotokollierung, wesentliche Themen.
Festgestellt werden konnte, dass das bestehende Rollenund Berechtigungskonzept grundsätzlich geeignet ist, den
datenschutzrechtlichen Anforderungen gerecht zu werden. So lassen die im Verfahren bereitgestellten Einzelrollen die Einrichtung von Zugriffsberechtigungen in dem
für die jeweilige Aufgabenerfüllung erforderlichen Umfang zu. Auch das Archivierungs- und Löschkonzept von
„oscare“ genügt den Anforderungen der Datenschutzbeauftragten des Bundes und der Länder. Gleiches gilt für
die zunächst nicht zufriedenstellende Protokollierung der
lesenden Zugriffe. Hier soll das von dem Entwicklungsunternehmen der Software im August 2009 präsentierte
zusätzliche Modul die revisionssichere und umfassende
Protokollierung der aus dem Verfahren erzeugten Datenzugriffe gewährleisten.
Da sich im Laufe der Diskussion der Arbeitsgruppe
zeigte, dass die datenschutzrechtlichen Anforderungen
BfDI 23. Tätigkeitsbericht 2009-2010