III. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.1995 - 31.03.1997
8. Entwicklung der automatisierten Datenverarbeitung
8.1 Automatisierte Datenverarbeitung in der Landesverwaltung
Die bereits im II. Tätigkeitsbericht (S. 35 f) angesprochene dynamische Entwicklung bei der Ausstattung der Landesverwaltung mit Informations- und Kommunikationstechnik hat sich in den vergangenen zwei Jahren fortgesetzt.
Grundsätzlich erhöht sich mit dieser Entwicklung auch das Gefährdungspotential für die automatisierte Verarbeitung personenbezogener Daten.
Drei Aspekte sind hier besonders zu nennen und zu beachten:
Bezogen auf die Beschäftigtenzahl hat sich insgesamt der Ausstattungsgrad in den obersten Landesbehörden mit PC von ca. 55 % im Jahr 1994 auf ca. 78 % im Jahr 1996 erhöht. In einigen Ministerien ist bereits die "100 %-Grenze" überschritten, d.h. hier sind bereits mehr Bildschirmarbeitsplätze bzw. PC als Mitarbeiter vorhanden. Einen differenzierten Überblick zeigt hierzu die nachfolgende Grafik (Abb. 1).
Für die nachgeordneten Bereiche der Ressorts liegen dem Landesbeauftragten solche Statistiken nicht vor. Es ist aber davon auszugehen, daß sich auch dort die gleiche Tendenz widerspiegelt.
Der zweite Aspekt betrifft die lokale Vernetzung der Informationstechnik innerhalb der Ministerien. Waren 1994 durchschnittlich ca. 37 % der Bildschirmarbeitsplätze bzw. PC lokal vernetzt, hat sich dieser Anteil im Jahr 1996 auf ca. 61 % erhöht (Abb. 2).
Von Bedeutung ist schließlich auch die Ausgestaltung der überregionalen Vernetzung (WAN) der Behörden auf der Landesebene. Die Entwicklung ist hier durch den weiteren Ausbau des ITN-LSA bzw. die weitere Anbindung von Landesbehörden an das ITN-LSA gekennzeichnet.
Parallel hierzu erfolgte der Ausbau von Meldungsübermittlungssystemen (MHS) nach dem X.400-Standard, die Anfang des Jahres 1995 als Pilotprojekte begonnen wurden.
Der Landesbeauftragte weist deshalb erneut auf seine Ausführungen zu den Anforderungen beim Einsatz von elektronischen Mitteilungssystemen im II. Tätigkeitsbericht (S. 36 u. Anlage 16) hin. Insbesondere sollten nur solche Produkte eingesetzt werden, die die Sicherheitsfunktionen der X.400-Empfehlung aus dem Jahr 1988 erfüllen.
Die vom Bundesverfassungsgericht herausgestellte Bedrohung der Grundrechte durch die automatisierte Datenverarbeitung kann und muß mit Hilfe der Technik auch wieder eingegrenzt werden.
Für das Jahr 1997 sind durch das zuständige Ministerium des Innern als Netzbetreiber des ITN-LSA die Integration der Fernmeldekommunikation und die Schaffung des "INTRANET LSA" für die Landesbehörden innerhalb des Landesnetzes vorgesehen. Beim "INTRANET LSA" handelt es sich um die Bereitstellung von sog. TCP/IP-basierenden "Internet-Diensten", wie z.B.:
- WWW-Dienst (World Wide Web - als multimedialer Informationsdienst),
- FTP-Dienst (File Transfer Protocol - als interaktiver Dateitransfer) und
- E-Mail-Dienst (Electronic Mail - als elektronische Post oder sog. Internet-Mail).
Werden auf sog. FTP- bzw. WWW-Servern personenbezogene Daten eingestellt, die dann von jedem Zugangsberechtigten abgerufen werden können, handelt es sich aus datenschutzrechtlicher Sicht um die Einrichtung eines automatisierten Abrufverfahrens (§ 7 DSG-LSA). Ein solches automatisiertes Abrufverfahren darf nach § 7 Abs. 1 DSG-LSA nur eingerichtet werden, wenn ein Gesetz dies ausdrücklich zuläßt.
Für die Ministerien besteht nach § 7 Abs. 2 DSG-LSA die Ermächtigung, für die Behörden und Einrichtungen ihres Geschäftsbereiches solche automatisierten Abrufverfahren durch Rechtsverordnung zuzulassen. Der Landesbeauftragte weist deshalb im Vorfeld der Planungen zum INTRANET LSA nachdrücklich auf die Beachtung dieser datenschutzrechtlichen Bestimmung hin.
Die Landesregierung hat bei der weiteren Vernetzung der Landesverwaltung und der Gestaltung des INTRANET LSA unter Berücksichtigung ihrer Rechtsverantwortung nach § 14 Abs. 1 DSG-LSA darauf zu achten, daß im Sinne eines vorgelagerten Grundrechtsschutzes die Kernaussagen des Volkszählungsurteils des Bundesverfassungsgerichts vom 15. Dezember 1983 (BVerfGE 65, 1), insbesondere die Grundsätze der Verhältnismäßigkeit und der Zweckbindung bei der Planung und Herstellung neuer Kommunikationsbeziehungen, beachtet werden.
Nicht alles, was die moderne Technik über ihre Zugangswege anbietet, muß so von jeder öffentlichen Stelle (von der kleinsten bis zur größten) und von jedem Mitarbeiter auch genutzt werden. Maßstab darf rechtlich (und finanziell) nur sein, ob die Herstellung neuer Kommunikationsbeziehungen zur Erfüllung der konkreten Verwaltungsaufgaben erforderlich ist. Bei mehreren technisch möglichen Wegen ist stets der für die personenbezogene Datenverarbeitung sicherste zu wählen.
Auch die Zweckbindung bei der Erhebung und Verarbeitung personenbezogener Daten und der damit verbundene Grundsatz der informationellen Gewaltenteilung sollen bei der landesweiten Vernetzung Berücksichtigung finden. Dabei müssen die Erforderlichkeit und das Risiko einer Zusammenführung von personenbezogenen Daten aus verschiedenen Stellen und Quellen durch diese Vernetzung rechtzeitig abgewogen werden.
Die gleiche Verantwortung trifft auch die Gemeinden und Landkreise für ihren jeweiligen Zuständigkeitsbereich bei der Wahrnehmung der eigenen Aufgaben.
Der Landesbeauftragte regt deshalb eine Anpassung der datenschutzrechtlichen Bestimmungen im Hinblick auf verbindliche Regelungen für die Sicherheit und Ordnungsmäßigkeit der automatisierten Verarbeitung personenbezogener Daten, unter Beachtung der sich abzeichnenden Entwicklung der weiteren lokalen und überregionalen Vernetzung innerhalb der Landesverwaltung, an. Als beispielgebend sind hier die Verordnungsermächtigung aus § 7 Abs. 4 Landesdatenschutzgesetz (LDSG) des Landes Schleswig-Holstein vom 30.10.1991 (GVOBl. Schl.-H. S. 555) und die danach erlassene Datenschutzverordnung (DSVO) vom 12.09.1994 (GVOBl. Schl.-H. S. 473) zu nennen.