KÖLN/STUTTGART (ee) - Nach einer sich "am Anlaß" immer mehr "verfeinernden" Checkliste prüft die Datenschutzaufsichtsbehörde in Baden-Württemberg in . den Betrieben die Erfüllung des Bundesdatenschutzgesezes. Die Checkliste selbst wird von der Aufsichtsbehörde deshalb nicht veröffentlicht, weil sie vorläufig noch nicht wasserdicht ist und die Behörde vermeiden will, daß sieh Unternehmen auf Prüfpunkte konzentrieren, die unterdessen an Bedeutung verloren haben.

Für die Praxis gibt der von Regierungsdirektor Rainer Grell auf der Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherung vorgetragene Erfahrungsbericht immerhin Hinweise darauf, worauf sich das Interesse der Aufsichtsbehörde richtet und was typische Datenschutzversäumnisse sind.

Organisationskontrolle

-Einschlägige Zuständigkeiten sind gar nicht oder unklar geregelt.

Beispiel: Die Tür zum Tresor steht offen der Schlüssel steckt. Niemand weiß, wer dafür verantwortlich ist.

-Keine Sicherheitszonen.

Beispiel: In einem Großraumbüro gehen die Räumlichkeiten von Arbeitsvorbereitung und normalem Bürobetrieb nahtlos ineinander über.

-Mangelhafte Funktionstrennung.

Beispiel: Vermischung von AV, Operating und Archiv.

-Verletzung des Vier-Augen-Prinzips.

Beispiel: In der 3. Schicht ist im Rechenzentrum außer einen Operator niemand anwesend.

-Keine Regelung der Programmfreigabe.

Beispiel: Keine eindeutige Abgrenzung von Test- und Produktionsbibliothek.

-Keine schriftlichen Richtlinien Die erforderlichen Anweisungen werden entweder mündlich weitergegeben oder von den Mitarbeitern offenbar erahnt.

-Unzureichende Dokumentation Diese Erkenntnis beruht nicht in erster Linie auf Prüfungen von Stellen des 4. Abschnittes, sondern auf Aussagen von Datenschutzbeauftragten.

Zugangskontrolle

-Keine Festlegung der Berechtigten. Regelungen über "Unbefugte" sind so lange unvollständig, wie nicht feststeht wer "befugt" ist.

-Zu viele Ein-/Ausgänge.

Beispiel: Ein im Gebäudeinneren besonders abgegrenztes Rechenzentrum hat sieben Türen.

-Fehlende oder mangelhafte Türsicherung.

Beispiel: Gutgemeinte Tafeln wie "Unbefugten ist der Zutritt verboten. Datenschutz!" oder "Zutritt für Unbefugte nur mit Genehmigung der Geschäftsleitung!" sind keine ernsthafte Türsicherung Das gleiche gilt, wenn eine "gesicherte" Tür auch ohne Code-Karte geöffnete werden kann. Oder wenn eine solche Tür längere Zeit offensteht, ohne daß dies optisch oder akustisch angezeigt wird.

-Unzureichende Funktionskontrollen.

Beispiel: Die für teures Geld eingebaute Alarmanlage funktioniert nicht.

-Fehler bei der Schlüsselregelung.

Beispiel (das stärkste unter vielen): Mehrere Generalschlüssel sind an Personen außerhalb der datenverarbeitenden Stelle vergeben, niemand weiß an wen.

Abgangskontrolle

-Auch hier fehlt häufig die Festlegung, wer berechtigt ist, Datenträger aus den jeweiligen Räumen zu entfernen.

-Die Datenträgerverwaltung ist vielfach unzureichend.

Beispiel: Es kann nicht festgestellt werden wo sich Datenträger, die im Archiv fehlen, gegenwärtig befinden.

-Die Gestaltung von Ausweisen für Abholberechtigte ist nicht selten unzweckmäßig.

Beispiel: Die Eintragung enthält neben Name und Anschrift des Servicerechenzentrums den Text "Der Inhaber dieses Ausweises ist berechtigt, Datenträger mit den Lohndaten der Firma X entgegenzunehmen ".

-In einigen Fällen besteht kein Verbot der Mitnähme von Taschen und Mänteln in Sicherheitsbereiche. Ein solches Verbot setzt natürlich voraus, daß den Mitarbeitern Gelegenheit gegeben wird, ihre Sachen außerhalb der Sicherheitsbereiche aufzubewahren.

Das Gesetz räumt der Aufsichtsbehörde zwar verschiedene Befugnisse zur Durchführung der Prüfung ein (° 30 Abs. 2 und 3, ° 42 Abs. 1 Nr. 5), gibt ihr jedoch nicht die Möglichkeit, die Beseitigung festgestellter Mängel auch durchzusetzen. Dieses für die Verwaltung ungewöhnliche "Sanktions-Defizit" hat sich - so Grell - entgegen anders lautenden Erwartungen und Prognosen in der Praxis durchaus nicht als Nachteil herausgestellt. Die Aufsichtsbehörde ist dadurch allein auf die Qualität ihrer Argumente angewiesen und gezwungen, die Zusammenarbeit mit den datenverarbeitenden Stellen zu suchen. Das Eigeninteresse und die Einsicht der Unternehmen sorgen im allgemeinen für die Beachtung aufsichtsbehördlicher Anordnungen, Vorschläge und Empfehlungen. Diese mehr partnerschaftliche als hochzeitliche Form der Verwaltungstätigkeit trägt der Neuartigkeit und Kompliziertheit der Materie Datenschutz in angemessener Weise Rechnung. Die Aufsichtsbehörden sind dadurch in aller Regel in der Lage, den Betroffenen schnell und nicht selten auch in Fällen zu helfen, in denen die Durchsetzung von Rehtsstandpunkten zweifelhaft wäre. Außerdem trägt diese Art behördlicher Arbeit wohl am ehesten zur Bildung des erforderlichen Datenschutzbewußtseins bei. Ohne dieses Bewußtsein verfehlt aber auch die dargestellte Kontrolle der Datensicherungspflichten letztlich ihre Wirkung.