Ist abgestufte Datenschutz-Stelbstkontrolle ausreichend?:

Nachweis ordnungsgemäßer Verarbeitung muß erbracht werden

07.03.1980

MÜNCHEN (bi) - "Und wer schützt die Datenschützer?", könnte in Abwandlung des Mauerblümchenspruchs "Und wer küßt mich?" , gefragt werden. Doch ein üppig wuchernder Dschungel von mutationseifriger Unterboden- und Überfliegerflora in einem gedeihlichen Klima mit guten Aufstiegschancen und für grund- und bodenlose Kompetenzverzweigungen sorgt für ein vor Durchblick geschütztes Datenschützerdasein. Wenn dann Computerchinesisch und Juristendeutsch auch noch die einzig geduldeten Amtssprachen sind, dann ist die Pfründe gesichert. Oder sollte das anders sein? Der Bundestag sprach im Zusammenhang mit dem Datenschutz vom "Prinzip der Selbst-Verantwortlichkeit" und einem "System abgestufter Selbst-Kontrolle". Selbst-verständlich ist dem Bürger, daß hiermit die Schützer seiner Daten gemeint sind, und er meint wohl auch, dieses müsse für die Datenschützer selbst-verständlich sein. Daß dem nicht so ist, mag der folgende Beitrag verdeutlichen. Heinz Dirksen schildert, wie die Jagd nach dem Verantwortlichen vonstatten gehen kann, beziehungsweise, wie der "Nachweis über ordnungsmäßige Anwendung der Datenverarbeitungsprogramme" auch in der schweißtreibenden Atmosphäre der Verordnungen, Gesetzesnovellierungsvorschläge, -rückschläge, der Purzel- und Entscheidungsbäume geführt werden kann. Daß die Treiber nicht mitjagen dürfen ist selbst-verständlich, denn das verstößt gegen des Waidmannes Selbst-Bewußtsein. Wo blieben denn die schutzwürdigen Belange, wenn die Jäger auch die Gejagten sein könnten? Dschungelgesetze.

Die Bundesregierung schrieb in ihrer Begründung zum Entwurf des Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung, dem Bundesdatenschutzgesetz (BDSG), unter anderem: "Es gilt vielmehr, in den Prozeß der Datenverarbeitung solche Sicherungen einzubauen, die dem Bürger die Gewahr bieten, daß die von ihm weitergegebenen Daten grundsätzlich der von ihm damit gegebenen Zweckrichtung entsprechend verwandt werden, und daß er im übrigen durch eine Reihe von Befugnissen in den Stand gesetzt wird, jederzeit die Richtigkeit der über ihn gespeicherten Daten zu prüfen." (Bundestagsdrucksache 7/1027 vom 21.9. 73 Abschn. A Nr.1.2 Abs. 3 der Begründung).

Die Richtigkeit der über ihn gespeicherten Daten kann ein Betroffener dadurch feststellen, daß er von der speichernden Stelle Auskunft hierüber verlangt (° 13, ° 26 Abs. 2 und ° 34 Abs. 2 BDSG). In manchen Fällen ist er sogar über die Speicherung von Daten zu unterrichten (° 26 Abs. 1 und ° 34 Abs. 1 BDSG). Das ist aber gewissermaßen in das Ermessen der speichernden Stelle gestellt. Sie braucht nämlich nicht zu unterrichten, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung erhalten hat. Die Auffassungen hierüber werden sicher auseinandergehen. Die Auskünfte sind im öffentlichen Bereich gebührenpflichtig. Im nichtöffentlichen Bereich können Gebühren berechnet werden. Sie dürfen nicht über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten hinausgehen. Da kann eine beträchtliche Summe herauskommen.

Die Kenntnis, daß gespeicherte Daten richtig sind, bedeutet nicht, daß sie auch nur in zugelassenem Umfang verarbeitet werden. Dies kann der Betroffene nur schwer feststellen; es ist daher Aufgabe anderer Stellen.

Auf der Grundlage des Prinzips der Selbstverantwortlichkeit

So bestimmt das BDSG unter anderem zwar sehr pauschal, daß die Ausführung des Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz von den dort jeweils genannten Personen und Stellen sicherzustellen ist (° 15 Satz 1 und ° 29 Satz 1). Darüber hinaus ist zu beachten, daß bei automatischer Datenverarbeitung nach Nr. 10 der Anlage zu ° 6 Abs. 1 Satz 1 BDSG die innerbetriebliche Organisation so zu gestalten ist, daß sie den besonderen Anforderungen des Datenschutzgesetzes gerecht wird (Organisationskontrolle) .

Die Bundesregierung hielt es für ausreichend, wenn "auf der Grundlage des Prinzips der Selbstverantwortlichkeit ein System abgestufter Selbstkontrolle eingeführt wird" (Bundestagsdrucksache 7/ 1027 Nr. 3.8 - S. 18). Der Innenausschuß des Deutschen Bundestags führte aber in seinem Bericht vom 2. Juni 1976 aus, daß für den Anwendungsbereich des Bundes ein unabhängiger Datenschutzbeauftragter für die Einhaltung der Vorschriften des Datenschutzes in diesem Bereich sorgen soll und ergänzte den Gesetzentwurf entsprechend (Bundestagsdrucksache 7/5277 zu °° 15 a bis 15 e - S. 8). Dies wurde Gesetz.

Es kann für die nachstehenden Ausführungen offen bleiben, ob dadurch die Selbstkontrolle für entbehrlich gehalten wurde. Das BDSG bestimmt nämlich weiter, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, von den öffentlichen Stellen und den Beauftragten für den Datenschutz der anderen datenverarbeitenden Personen und Stellen zu überwachen ist (° 15 Nr. 2 und ° 29 Nr. 2). Dies wird nicht ohne Kontrollunterlagen geschehen können. Darüber hinaus erfordern die Aufgaben des Bundesbeauftragten für den Datenschutz, der die Behörden und sonstigen öffentlichen Stellen des Bundes bezüglich der Einhaltung der Vorschriften kontrollieren soll, sicherlich auch einen Nachweis der zu prüfenden Stellen über die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme.

Es ist nicht festgelegt, wie ein solcher Nachweis zu führen ist und was er enthalten müßte. Auch die Grundsätze des Bundesministers des Innern (BMI) zur Datensicherung in der Bundesverwaltung vom 19. Januar 1978 (GMBI. 1978,

S. 43 ff.) sagen hierzu nichts aus. Sie erwähnen nur in den Beispielen für Maßnahmen zur Datensicherung Richtlinien zur Programmüberwachung (Abschn. II Nr. 1, 9. Beispiel). Was sie enthalten sollen, ist nicht gesagt.

Formal würde ausreichen, wenn nur die Verarbeitung der Programme, mit deren Hilfe personenbezogene Daten verarbeitet werden, festgehalten wird. Es dürfte sich aber empfehlen, die gesamte Verarbeitung vorzuzeigen und dadurch

nachzuweisen, daß jede Verarbeitung personenbezogener Daten enthalten ist. Es muß auch berücksichtigt werden, daß der Bundesbeauftragte für den Datenschutz bei den Behörden und sonstigen öffentlichen Stellen des Bundes (bei den Behörden eines Bundeslandes der jeweilige Datenschutzbeauftragte des Landes) die Einhaltung der Vorschriften des BDSG (oder des jeweiligen LDSG) und anderer Vorschriften über den Datenschutz zu kontrollieren (° 19 Abs. 1 Satz 1 BDSG) beziehungsweise die nach Landesrecht zuständigen Aufsichtsbehörden im Anwendungsbereich des dritten und vierten Abschnitts des BDSG gegebenenfalls die Ausführung des BDSG sowie anderer Vorschriften über den Datenschutz zu überprüfen (° 30 Abs. 1 Satz 1 sowie ° 40 Abs. 1 Satz 1 BDSG) haben. Dies dürfte einmal ohne Verarbeitungsnachweis der datenverarbeitenden Stelle nicht oder nur schwer möglich sein. Zum anderen dürfte damit zum Ausdruck gebracht sein, daß zur "ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme" auch die rechtlich zugelassene Verarbeitung und/oder die Übermittlung an Dritte gehören.

In der Regel dürfte ein solcher Nachweis durch die vom Betriebssystem erstellten Ablaufkontrollen geführt werden können, wenn in ihnen alle Verarbeitungsprogramme mit Angabe der Zeitpunkte des Beginns und des Endes der Verarbeitung, der Art eröffneter und geschlossener Dateien beziehungsweise Geräte sowie die Anzeige bestimmter Vorkommnisse aufgeführt sind.

Ein Nachweis könnte durch die Ablaufkontrollen geführt werden

Es ist aber zu prüfen, ob und inwieweit das maschinelle Testen von Programmen einzubeziehen ist. So wird immer noch mit "echten" Daten getestet. Hierzu werden entweder Verarbeitungsdateien benutzt oder aus diesen Daten sogenannte Testdateien erstellt. Sind es personenbezogene Daten, wäre der Nachweis sicherzustellen, daß alle diese Tests erfaßt sind und nicht unberechtigt verarbeitet und/oder an Dritte übermittelt wurden.

Bei Verwendung eines Betriebssystems, das den sogenannten Teilnehmer und Teilhaberbetrieb zuläßt, wie zum Beispiel das BS2000 von Siemens, ist ebenfalls zu prüfen, ob alle Verarbeitung personenbezogener Daten ausgewiesen wird. Ein solches Betriebssystem läßt zu, daß von einer Bildschirmstation aus ein Programm erstellt, ein Programm aus der Programmbibliothek aufgerufen und/ oder auf eine in einem Magnetband- oder Plattengerät verfügbare Datei zugegriffen wird. Damit wird es möglich, Daten auch ohne besondere Einsatzvorbereitung im Rechenzentrum zu verarbeiten. Die Daten und/oder Verarbeitungsergebnisse können auf dem Bildschirm angezeigt oder/und durch einen Drucker, der sogar an die Bildschirmstation angeschlossen sein kann, ausgedruckt werden. Ist der Drucker im Rechenzentrum aufgestellt, wird die Weiterleitung der Ausdrucke auch an eine hierfür nicht zuzulassende Stelle oder Person sicher möglich sein, wenn dies nicht durch Weisungen unterbunden ist. Da ein über Bildschirm erstelltes Programm auch noch nach der Verarbeitung ohne Dokumentation gelöscht werden kann, wäre ein Arbeitsnachweis mit Angabe der verwendeten Datei(en) die einzige Unterlage über einen solchen Vorgang.

Eine Kontrolle, ob personenbezogene Daten bei automatisierter Datenverarbeitung dem Recht gemäß verarbeitet worden sind, kann nur von den in Dateien gespeicherten Daten ausgehen. Sie sind in den Übersichten über die Art der gespeicherten personenbezogenen Daten auszuweisen (° 15 Nr. t und ° 29 Nr. 1 BDSG). Eine gleichartige Übersicht ist für Programme, mit deren Hilfe personenbezogene Daten verarbeitet werden, nicht vorgesehen. Sie wäre sicher auch nicht zweckmäßig, weil es Programme gibt, die, wie die in der Regel im Betriebssystem enthaltenen Misch- und Umsetzprogramme, sich nicht auf bestimmte Dateien beziehen, sondern auf Funktionen abgestellt sind. Mit ihnen kann jede Datei verarbeitet werden. Zur Erleichterung von Prüfungen und Kontrollen der ordnungsgemäßen Verarbeitung und Übermittlung von personenbezogenen Daten sollten in oder zu den genannten Übersichten über die Art der gespeicherten personenbezogenen Daten auch die bei der automatisierten Datenverarbeitung verwendeten und in den Ablaufprotokollen aufgeführten Dateinamen vermerkt sein.

Werden im Ablaufprogramm Dateien mit personenbezogenen Daten ausgewiesen, ist zur Prüfung der rechtmäßigen Verarbeitung dieser Daten auf das jeweils verwendete Programm zurückzugreifen. Hier wird es in der Regel ausreichen, sich auf die Datenausgaben zu beschränken. Anhand des Protokolls ist zunächst zu prüfen, welche Ausgabedateien aktiviert wurden. Bei diesen ist dann anhand der Programmbeschreibung, der Programmdokumentation und der Arbeitsanweisung an das Rechenzentrum festzustellen, ob die ausgegebenen Daten noch personenbezogen und als Ausgabe erforderlich sowie deren etwaige Übermittlung an Dritte zulässig waren. Ist der Zugriff zu Programmen und/oder Dateien nur über Paßwörter möglich sollte auch darauf geachtet werden, daß diese weder auf dem Protokoll ausgedruckt, noch auf einem Bildschirm angezeigt werden. Dies ist mitunter in den, Betriebssystemen realisiert.

Es soll festgehalten werden, wann und an wen

personenbezogene Daten übermittelt wurden

Bisher ergangene Weisungen und bekanntgegebene Beispiele reichen für einen Nachweis, daß personenbezogene Daten nur in zugelassenem Umfange verarbeitet worden sind, nicht aus. So werden zur Überprüfung und Feststellung, an welche Stellen personenbezogene Daten durch selbsttätige Einrichtungen übermittelt werden können, die Übermittlungskontrolle, (Nr. 6 der Anlage zu ° 6 Abs. 1 Satz 1 BDSG) in den genannten Grundsätzen des BMI als Beispiele für Maßnahmen in Abschnitt II Nr. 7 genannt:

- Dokumentation der für die Übermittlung einzusetzenden Programme,

- Protokollierung der Übermittlung der Daten und

- Auswertung der erstellten Protokolle.

Damit wird zunächst zum Ausdruck gebracht, daß es nicht genügt festzustellen, an wen Daten übermittelt werden können. Es soll festgehalten und überprüft werden, wann und an wen personenbezogene Daten übermittelt wurden.

Die Dokumentation der Programme genügt in der Regel nicht einmal zur Feststellung, an wen Daten übermittelt werden können. Zwar kann im Programm der Name des Empfängers der Daten angegeben sein und auch auf dem Übermittlungsprotokoll ausgedruckt werden. Um aber zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten durch selbsttätige Einrichtungen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Dateien zugreifen können (Nr. 5 der Anlage zum BDSG), wird in der Regel vorgesehen, daß vom Benutzer bei seinem Zugriff ein Paßwort anzugeben ist. Auch wenn die Paßwortkontrolle im Programm verankert ist und nicht bereits im Betriebssystem vorgesehen wird, kann hiernach der zugelassene Empfänger nicht zweifelsfrei ermittelt werden, weil daß Paßwort kein fester Bestandteil weder des Programms noch des Betriebssystems sein kann. Soll das Paßwort seine Funktion erfüllen, darf es nur möglichst wenigen Personen bekannt sein und ist täglich, in unregelmäßigen Abständen

oder von Fall zu Fall zu ändern. Es muß also nach dem Laden des Programms (Betriebssystems) besonders eingegeben werden. Ein zum Zugriff Berechtigter wird daher nur bei der Stelle festgestellt werden können, die das Paßwort festlegt und dem Berechtigten bekanntgibt. Nur diese Stelle kann Auskunft darüber geben, für welche Programme welchen Berechtigten ein Paßwort zuzuteilen ist und welche Paßwörter wann verwendet und wem zugeteilt wurden.

An dieser Stelle soll noch darauf hingewiesen werden, daß auch zu prüfen ist, ob das Übermittlungsverfahren so weit wie möglich gesichert ist. Bei Verwendung von Paßwörtern muß damit gerechnet werden, daß sie Unberechtigten bekanntwerden können. Damit können dann möglicherweise Daten von einer anderen als der berechtigten Stelle angezapft werden. Wird bei Aufruf eines Programms oder einer Datei zur Übermittlung von Daten ein Paßwort verwendet, kann in vielen Fällen durch Abbruch der Übertragungsverbindung nach Überprüfung des Paßworts und ihrem neuen Aufbau von der abgebenden zu der zur Aufnahme der Daten berechtigten Stelle eine unberechtigte Übertragung verhindert werden. Es sollte auch darauf geachtet werden, daß noch weiterhin gültige Paßworte weder auf einem Bildschirm sichtbar gemacht, noch in einem Protokoll ausgedruckt werden.

Wenn auch die vom BMI in den Grundsätzen aufgeführten Beispiele nicht bindende Vorschriften sind, wird zu fordern sein, daß vom Absender der Daten mindestens festzuhalten ist, an wen wann und mit welchem Programm aus welchen Dateien personenbezogene Daten übermittelt wurden. Läßt sich hiernach aber nicht rekonstruieren, welche Daten übermittelt wurden, werden auch diese festzuhalten sein.

Beim Empfänger durch selbsttätige Einrichtungen abgerufener und/oder übermittelter personenbezogener Daten werden diese zum Zwecke ihrer weiteren Verwendung auf einem Datenträger aufgenommen. Damit werden sie im Sinne des BDSG gespeichert (° 2 Abs. 2 Nr. 1). Der Begriff "Speichern" dürfte mit dem in Nr. 7 der Anlage zum BDSG verwendeten Begriff "Eingeben" gleichzusetzen sein (vergleiche Kommentierungen von Auernhammer - Rdn 13 Satz 3 - und Gallwas etc. - Rn 76 - zu ° 6 BDSG). Es ist daher zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem übernommen wurden. Werden keine abgeschlossenen Dateien erstellt und im Verarbeitungsprotokoll ausgewiesen, müßten die übernommenen Daten dokumentiert werden.

Bei automatischer Datenverarbeitung wird gespeichert, wenn Daten auf einem maschinenlesbaren Datenträger zum Zwecke ihrer weiteren Verwendung erfaßt, aufgenommen oder aufbewahrt werden (° 2 Abs. 2 Nr. 1 BDSG) (vergleiche Kommentierungen von Auernhammer - Rdn 9 -, Gallwas etc. - Rn 14 bis 20 - und Ordemann/Schomerus - Nr. 2.1 - zu ° 2 BDSG). Es ist also auch in anderen Fällen nachzuweisen, wer personenbezogene Daten auf einem maschinenlesbaren Datenträger erfaßt oder ihre Aufnahme veranlaßt hat. Dies ist aber dann unbefriedigend und nicht ausreichend, wenn von der Richtigkeit der eingegebenen Daten ausgegangen wird. Werden Daten bei ihrer Erhebung oder Festlegung direkt auf einen maschinell lesbaren Datenträger aufgetragen, ist der Eingebende auch für ihre Richtigkeit verantwortlich. Werden Daten aber aus Unterlagen ohne Veränderung auf einen maschinell lesbaren Datenträger übertragen, ist die übertragende Person die eingebende. Sie ist aber nur für die Richtigkeit der Übertragung, nicht aber die der aufgenommenen Daten verantwortlich. Sinnvoll wäre es daher sicherzustellen daß in jedem Falle der für die Richtigkeit der auf einem maschinell lesbaren Datenträger aufzutragenden Daten Verantwortliche ermittelt werden kann.

Dies alles wirft die Frage auf, wie lange Protokolle über die Datenverarbeitung Programmdokumentationen, Dateien und sonstige Unterlagen aufzubewahren sind. Bis jetzt gibt es meines Wissens nur Vorschriften für die Aufbewahrung von Programmen und Dateien zu einer Buchführung. Sie gelten aber nur, wenn die Buchführung nicht aufgrund von Ausdrucken vollständig prüfbar ist.

*Heinz Dirksen ist a. D., früher Hilfsreferent in der Bundesanstalt für Arbeit.