BREMEN (ee) - Ein aktuelles und in der Tat kniffliges Problem hat das Rechenzentrum der bremischen Verwaltung (RbV) angerissen: Welche Maßnahmen sind zur Realisierung der Abgangskontrolle nach der Anlage zu Paragraph 6 Absatz 1 Satz 1 des BDSG zu treffen, wenn es um den Austausch von Magnetbändern unter Rechenzentren geht. Wie sind Fremdbänder zu behandeln? Beschrieben hin - gelöscht zurück? Oder wenn das verarbeitete Fremdband unverändert zurückgehen soll - wie ist das zu gewährleisten? Bedeutet dies auch, daß Datenträger, die im Auftrag weiterverarbeitet werden, nur mit solchen Daten beschrieben werden sollten, die unbeschadet das Haus verlassen können?

Das BDSG fordert: Personen, die bei der Verarbeitung von personenbezogenen Daten tätig sind, sind daran zu hindern, daß sie Datenträger unbefugt entfernen (Abgangskontrolle), und es muß verhindert werden, daß sich auf Datenträgern, die zwar befugt entfernt werden, Daten befinden, deren Speicherung auf diesem Datenträger nicht statthaft ist (Speicherkontrolle). Es muß verhindert werden, daß beim Datenaustausch per Magnetband mit anderen Rechenzentren

- personenbezogene Daten unbefugt verschickt werden, die sich hinter der EOF-Marke der Datei auf dem Band befinden,

- ein Fremdband unbefugt mit personenbezogenen Daten des eigenen Hauses bespielt und an den Absender zurückgeschickt wird.

Sechs Varianten beim Datenträgeraustausch

Unter der Voraussetzung, daß Bänder, die mit Daten beschrieben versandt worden sind, leer oder unverändert zurückgeschickt, aber niemals neu bespielt werden, gibt es insgesamt 6 verschiedene Möglichkeiten im Datenträgerversand, die betrachtet werden müssen:

eigene Bänder

- beschrieben hin / leer zurück

- beschrieben hin / unverändert zurück

- leer hin / beschrieben zurück

Fremdbänder

- beschrieben / leer zurück

- beschrieben / unverändert zurück

- leer / beschrieben zurück

Unter eigenen Bändern werden solche verstanden, die sich im Eigentum des verarbeitenden Rechenzentrums befinden und in den Bestandslisten geführt werden. Dagegen gehören die Fremdbänder nicht zum Eigentum des beauftragten Rechenzentrums, sie werden nicht in die Bestandsliste aufgenommen.

Damit beim Eingang und beim Ausgang nicht die unterschiedlichsten Verfahrensweisen durchgeführt werden müssen, ist eine Regelung erforderlich, die für alle Bänder gleich ist. Dies trifft nur zu, wenn man sich auf die beschriebenen Varianten für

eigene Bänder und für Fremdbänder beschränkt. In diesem Falle gilt:

- Der Datenaustausch wird grundsätzlich auf Magnetbändern vorgenommen, die der datenversendender Stelle gehören. Diese stellt sicher, daß sich beim Bespielen des zu versendenden Bandes hinter der Datei keine alten Daten befinden. Es kann ein Pool eingerichtet werden, der Leerbänder enthält, die durch die vollständige Löschung (per magnetischem Löschgerät oder per Programm) für den Versand vorbereitet worden sind.

- Ein maschinell erstelltes Begleitschreiben ist jedem Band beizuführen; es sollte die Datennummer, VOL-SER-Nummer, das Erstellungsdatum und die Block- Satzzähler enthalten. Das Begleitschreiben soll bei der Erstellung der Banddatei maschinell gedruckt werden, um das Band eindeutig der Datei, die verschickt werden soll, zuordnen zu können. Damit wird die Möglichkeit unterbunden, daß eine Datei unberechigterweise verschickt wird, weil ein manuell geschriebenes Etikett an einer falschen Bandrolle befestigt worden ist.

- Vor dem Rücksenden von Fremdbänder werden grundsätzlich alle auf diesen Bänder befindlichen Daten gelöscht. Diese Bänder müssen also grundsätzlich vor einem erneuten Beschreiben initialisiert werden. Mit dieser Vorgehensweise wird vermieden, daß unbefugt personenbezogene Daten auf ein Fremdband gespielt werden, bevor es zurückgeschickt wird.

Das Hauptproblem ist: Fremdband, beschrieben her / unverändert zurück. Die versendenden Stellen müssen darauf hingewiesen werden, daß die zum Beispiel dem RbV zugesandten Bänder vor Rückgabe gelöscht werden. Sofern das nicht geschehen darf oder eine Änderung der dortigen Fachverfahren nicht möglich ist, muß eine schriftliche Erklärung der für die betreffende Arbeit zuständigen Mitarbeiter im RbV für den Versand beigefügt sein, daß das Band im RbV nicht neu beschrieben wurde. Dieses Verfahren sollte eine Ausnahme sein.

Das dargestellte Verfahren des Magnetbandaustausches kann nur dann in der vorgesehenen Form durchgeführt werden, wenn grundsätzlich alle beteiligten Rechenzentren ebenso verfahren. Im anderen Falle wäre es möglich, daß mit der Löschung von Fremdbändern Datenbestände zerstört werden, die von den sendenden Stellen noch benötigt werden.

Die dargestellte Problematik tritt in jeder Datenverarbeitung auf, soweit Daten ausgetauscht werden. Insofern wird jedes Haus entsprechende Maßnahmen ergreifen müssen. Es sind Gespräche mit den beteiligten Rechenzentren zu führen, um zu einem einheitlichen Verfahren zu kommen.