Schon der zweite Tätigkeitsbericht der baden-württembergischen Datenschutzbeauftragten Dr. Ruth Leuze hatte - trotz seines amtlichen Charakters - bundesweite Beachtung auch oder gerade der Medien gefunden. Der letzt vorliegende dritte Bericht der streitbarsten Datenschützerin der Republik verdient nun die ganz spezifische Aufmerksamkeit der Datenverarbeiter von der elektronischen Zunft. Zum ersten Mal in dieser Tiefe und Ausführlichkeit wurde in einem Tätigkeitsbericht dem Bereich der EDV von einem staatlich bestallten Datenschützer so zu Leibe gerückt. 23 Seiten von insgesamt 182 Seiten sind ausschließlich diesem für Juristen normalerweise wohl eher undurchsichtigen Bereich gewidmet. bi

Frau Leuze sieht den Datenschutz in großer Gefahr; sie begründet diese Feststellung mit ihren zahlreichen negativen Erfahrungen in Baden-Württemberg. Auch der hohe Abstraktionsgrad der Datenschutzgesetze tue ein übriges, ihr Verständnis zu erschweren. Beides bereite in der Verwaltungspraxis ganz erhebliche Schwierigkeiten: "Die verantwortlichen Ministerien ließen (aber) die Behörden vor Ort im eigenen Saft schmoren, anstatt ihnen konkrete Hilfen an die Hand zu geben und damit ihre Arbeit zu erleichtern. Das Resultat war verheerend", schreibt sie. Diese Berichtspassage "zur Lage" bezieht sich nicht speziell auf die EDV, klammert sie aber auch nicht ausdrücklich aus.

Selbst EDV-Fachleute äußern Zweifel, so die Erfahrung von Frau Leuze, daß die Beachtung des Datenschutzes bei der elektronischen Datenverarbeitung überhaupt prüfbar ist.

Aufwand extrem hoch

Der Aufwand für Planung und Programmierung von effektiven Schritten für den Datenschutz in diesem Bereich sei in der Tat extrem hoch, ferner sei es ausgeschlossen, jeden einzelnen Verarbeitungsschritt nachzuvollziehen und seine Richtigkeit zu beurteilen: "Deshalb stößt die Datenschutzkontrolle auch bei vorbildlich geführten Rechenzentren auf Grenzen."

Erster Kontrollschritt ist, festzustellen, welche Programme mit personenbezogenen Daten arbeiten. Schwierigkeiten gibt es auch hier, denn "eine lückenlose Kontrolle könnte mit den Programmänderungen und Neuentwicklungen nie Schritt halten", deshalb werden nur Stichproben gemacht. Auf drei Arten ist dann Kontrolle möglich:

- anhand von Programm- und Verfahrensdokumentation;

diese Methode ist vor allem bei größeren Verfahren zu aufwendig, auch versagt sie, wenn die Dokumentation unvollständig ist. Als Ausweg bietet sich dann:

- Kontrolle durch Testen.

Bei Verfahren, die ohne Bildschirm arbeiten, eignen sich aber Tests nur in Ausnahmefällen. Oft übersteigt auch hier der Aufwand jedes vernünftige Maß. Dann gibt es noch:

- Kontrolle mit Programmlisten; diese ebenfalls aufwendige Art des Testens eignet sich nur, um das Ausmaß eines bereits bekannten Verstoßes gegen den Datenschutz festzustellen.

Die Kontrolle der Generierungsprogramme ist im Ergebnis ebenso schwierig wie die Kontrolle der übrigen Programme eines Verfahrens. Besonders schwer ist es, "flexible"

Verfahren in den Griff zu bekommen, denn Flexibilität macht die Verfahren noch weniger transparent.

Nicht ohne Stolz bemerkt Frau Leuze an dieser Stelle ihres Berichtes, sie habe trotz all dieser Grenzen bisher alle Bürgereingaben aufklären können. Das zeige, wie wichtig es sei, daß sich die datenverarbeitende Stelle nicht mit der Existenz einer unabhängigen Kontrolle beruhigt, sondern sich im Rahmen ihrer Eigenverantwortung laufend selbst um Verbesserung des Datenschutzes bemüht.

Später teuer bezahlen

Warnend bemerkt Ruth Leuze, daß es schon bei Beginn einer Verfahrensentwicklung aus Kostengründen geboten sei, die Aspekte des Datenschutzes zu bedenken: "Wer automatisierte Verfahren plant und entwickelt, ohne an den Datenschutz zu denken, läuft Gefahr, dies unter Umständen später teuer bezahlen zu müssen. Der Aufwand für nachträgliche Verfahrensänderungen ist ungleich größer." Aus der Verfahrensdokumentation muß beispielsweise ersichtlich sein, wie der Anwender personenbezogene Daten sperren und löschen sowie Kennworte beim Einsatz von Bildschirmen sinnvoll nutzen kann. Auch muß sie beschreiben, welche Datensicherheitsmaßnahmen je nach Sensitivität der Daten zu treffen sind. Nicht alle überprüften Dokumentationen erfüllten diese Anforderungen.

Entgegen vielfacher Aufforderung, mit anonymisierten Daten die Programme zu testen, tun das viele Stellen immer noch grundsätzlich mit Originaldaten. Dies erscheint Frau Leuze aus mehreren Gründen problematisch:

- Nach dem Zufallsprinzip ausgewählte Testdaten erfassen in der Regel nicht alle zu prüfenden Fälle.

- Programmierer erhalten nicht ohne Notwendigkeit Zugang zu personenbezogenen Daten etc.

Programmtests sollen nachweisen, daß alle im Programm vorgesehenen Funktionen richtig ablaufen. Sie sollen also nicht nur die Bedürfnisse des Programmierers abdecken, sondern auch der Stelle, die das Programm in Auftrag gab, eine Kontrolle der richtigen und vollständigen Problemlösung ermöglichen. Deshalb muß der Test alle wesentlichen Variationen eines Verfahrens erproben. Nur so läßt sich prüfen, ob das Verfahren personenbezogene Daten korrekt verarbeitet und eine unkorrekte Verarbeitung abweist.

Kennworte sind gut

Sehr weit ins Detail steigt der Bericht auch bei der Betrachtung der eigentlichen Anwendungen. Nicht alle Stellen seien sich ihrer Verantwortung zum Beispiel bei der Datenerfassung bewußt. Kennworte - richtig eingesetzt - hält Frau Leuze für ein gutes Mittel, die Gefahr unbefugten Zugriffs zu verringern. Löschen und Auslagern von Daten ist ebenfalls, wie sich leicht vorstellen läßt, mit Problemen behaftet.

In diesem Kapitel des Berichts fallen viele Vorschläge, wie Datenschutz kostengünstig und wirksam zu realisieren ist, auf. Anhand von Beispielen wird auch klar, daß viele Speicherungen über längere Zeiträume unzulässig sind.

Auch scheinbar selbstverständliche Sicherungsmaßnahmen in der Archivverwaltung moniert der Bericht; sie einzuhalten dürfte relativ einfach sein. Schwieriger wird es wieder bei der Auftragsdatenverarbeitung. Hier scheinen sich viele nicht ihrer Rechte und Pflichten so ganz bewußt zu sein, was vielfach Verwirrung stiftet.

Als Risiko für den Datenschutz bezeichnet Ruth Leuze die zunehmende Abhängigkeit der öffentlichen Verwaltungen von der elektronischen Datenverarbeitung.

Die technischen Schwachstellen nähmen an Zahl und Bedeutung zu, weil

- der Trend weg von der Akte hin zur ausschließlichen Speicherung personenbezogener Daten im Computer geht,

- immer weniger Verfahren isoliert und immer mehr in gegenseitiger Abhängigkeit ablaufen und damit die Fehler eines Verfahrens in den anderen Verfahren weitere Fehler verursachen,

- die Anpassung der Verfahren wegen ihrer zunehmenden Komplexität an tatsächliche und rechtliche Änderungen fehleranfälliger ist,

- über Bildschirm immer mehr Personen Daten der Datenbanken abrufen und teilweise auch ändern können.

Je weiter diese Entwicklung voranschreitet, um so größer ist auch die Gefahr, daß die Verarbeitung personenbezogener Daten nicht den Erfordernissen des Datenschutzes Rechnung trägt. Ziel muß sein, solche Risiken möglichst mit Hilfe der Technik zu reduzieren.

Papierlose Speicherung gefährlich

Der Bericht spricht hier weitere Probleme der Programmpflege an, der Fernwartung und der angestrebten Reduzierung der Akten: Jede papierlose Speicherung bedeutet zusätzliche Gefahren für den Umgang mit personenbezogenen Daten. Frau Leuze hält folgende besondere Datensicherungsmaßnahmen für erforderlich:

- Die Eingabekontrolle mußt automatisiert erfolgen. Dazu protokolliert man entweder in einer eigenen Protokolldatei, wer wann welche Daten eingab, oder man speichert zusätzlich zu den Daten den Zeitpunkt ihrer Eingabe und den Sachbearbeiter. Je nach Art des Verfahrens reicht es aus, jeweils nur die Information über die letzte Änderung vorzuhalten.

- Am Bildschirm darf nur arbeiten, wer sich mit einem persönlichen Kennwort ausweisen kann. Dies muß das Verfahren laufend oder zumindest bei bestimmten Anlässen weiter prüfen.

- Um Verarbeitungsfehler feststellen und beheben zu können, sind die einzelnen Datenverarbeitungsvorgänge zu protokollieren.

Der letzte Abschnitt des Berichts widmet sich dem Bildschirmtext. Darüber sei an anderer Stelle demnächst berichtet.