rating service  security service privacy service
 
1992/12/31 Stadt Innsbruck (II)
DIR Amtlich abgesegneter Datenfriedhof
...

Amtlich abgesegneter Datenfriedhof

Nach Par. 41 DSG hat die Datenschutzkommission die Möglichkeit, Datenverarbeiter aus dem öffentlichen Bereich einer Systemprüfung zu unterziehen. Aufgabenstellungen dieser Systemprüfung sind die Einhaltung der Datensicherheitsmaßnahmen und die Einhaltung der Registrierungsverpflichtungen und derZweckbestimmungen von Datenverarbeitungen. So wird festgestellt, ob geeignete Maßnahmen zur Beschränkung des Zugangs zum Rechenzentrum und des Zugriffs auf die Datenbestände ergriffen wurden, ob Änderungen und sensible Abfragen hinreichend genau protokolliert werden und daher nachvollziehbar sindund ob die Registrierung im DVR der tatsächlichen Verarbeitungsrealität entspricht.

Derartige Prüfungsmöglichkeiten fehlen derzeit im privaten Bereich, hier bietet die ARGE DATEN interessierten Datenverarbeitern eine hausinterne Systemprüfung/-revision an.

Aufgrund zahlreicher Beschwerden erfolgte nun eine derartige Prüfung bei der Stadverwaltung Innsbruck. Festgestellt wurde - salopp formuliert - ein Daten-Saustall. Wie dieser Datenfriedhof zur mustergültigen On-Line-Amtshilfe uminterpretiert wurde, davon handelt diese Geschichte.

Die Daten aus verschiedenen, getrennten Aufgabenbereichen sind in Innsbruck in einer Datenverarbeitung zusammengefaßt. Jeder Beamte konnte auf alle Daten zugreifen, Änderungen erfolgten ohne Protokollierung und waren später nicht mehr auf ihre Korrektheit überprüfbar.

Mit 6.12.1989 formulierte die bekannt zurückhaltende DSK eine Liste höchst peinlicher Empfehlungen:

"1. Durch klare Richtlinien ist festzulegen, daß bei der Erstellung von Abschriften aus der Wählerevidenz oder den Wählerverzeichnissen nach den Bestimmungen der Wahlordnung und des Wählerevidenzgesetzes 1973 ausschließlich jene Informationen herangezogen werden, welche von diesen Rechtsnormenvorgesehen werden.

2. Für die Durchführung jedes Verarbeitungsauftrages (insbesondere für jede Übermittlung) ist ein schriftlicher Auftrag erforderlich.

3. Die Datenbank "Einwohnerwesen" ist zumindest durch programmlogische Maßnahmen so zu unterteilen, daß sie für den Benützer in Form von getrennten, aufgabenspezifischen Datenbeständen erscheint. Es ist daher - ungeachtet der Tatsache, daß ein physisch gemeinsamer Arbeitsdatenbestand besteht - durchgeeignete Maßnahmen sicherzustellen, daß ein Sachbearbeiter nur jene Daten aufrufen kann, welche er nach Maßgabe der gesetzlichen Vorschriften für das konkrete Aufgabengebiet benötigt. Eine nachprüfende Kontrolle, inwieweit die Verwendung der Daten durch den Sachbearbeiter ihre Berechtigung inkonkreten Geschäftsfällen findet, muß ermöglicht werden.

4. Bei der Datenverarbeitung "Einwohnerwesen" ist insbesondere darauf zu achten, daß sämtliche Datenarten beim Datenverarbeitungsregister gemeldet werden.

5. Die Datenerfassung muß durch geeignete Maßnahmen nachvollziehbar bleiben.

6. Empfohlen wird die Beschränkung oder bessere Kontrolle des Zugangs zum Rechenzentrum, um zu vermeiden, daß unbefugte Personen ohne Beschränkungen bis unmittelbar vor die Tür des Rechenzentrums gelangen können."

Die Reaktion der Stadtverwaltung? Sofort verbessert werden die Zutrittsbeschränkungen (Pkt. 6 der Empfehlungen), der offensichtlich unwichtigste Punkt der Beanstandungsliste.

Zwei Jahre später entsprach weder die Registrierung der Datenverarbeitungen dem DSG (Pkt. 4), noch erfolgten die geforderten programmlogischen Trennungen der Datenverarbeitungen (Pkt. 3) oder wurde die Datenerfassung nachvollziehbar (Pkt.5).

So verlangte die DSK sowohl eine ex-ante-Kontrolle der Zugriffe auf die Einwohnerdatenbank, als auch eine ex-post-Kontrolle der Eingaben. Jede Änderung der Einwohnerdaten hätte mit der Anbringung einer Geschäftszahl quittiert werden sollen. Damit wäre nachvollziehbar gewesen, aufgrund welcherEingaben, Akten oder sonstigen Informationen eine Änderung der Personendaten erfolgte. Im Bereich der Rechnungslegung bei Privatfirmen eine Selbstverständlichkeit und ein absolutes Muß. Eingaben in der Kundenevidenz oder in der Buchhaltung werden über LOG-Dateien protokolliert und bleibennachvollziehbar.

Für die Beamten des Innsbrucker Gemeinderechenzentrums eine angeblich technisch unerfüllbare Anforderung. Dabei nützt es wenig, auf die Fachliteratur zu verweisen, die Massenspeichersysteme auf CD-WORM-Basis ab öS 100.000.- anbietet. Ausgehend vom Änderungsbedarf einer 100.000 Einwohner zählendenStadt wäre mit wenigen CDs pro Jahr das Auslangen zu finden. Kostenpunkt: wenige tausend Schilling.

Die Datenschutzkommission hat festgestellt, daß die fehlende Trennung eines physischen Datenbestandes in mehrere programmlogisch getrennte Verarbeitungen datenschutzrechtlich bedenklich ist.

Bei der programmlogischen Trennung der Datenfelder entstehen zwei Probleme.

(1) Sachbezogene Datenfelder:

Es gibt Datenfelder, die nur einer bestimmten Verarbeitung zugehören (z.B. "Wahlausschließungsgründe" der Datenverarbeitung "Wählerevidenz" oder "Beginn der Wehrpflicht" der Datenverarbeitung "Evidenz der Wehrpflichtigen"). Eine Zuordnung dieser Datenfelder zu einer bestimmten Verarbeitung ist imRegelfall problemlos möglich. Datenbanktechnisch werden dazu "Views" (Datenbanksichten) definiert, die bei einer bestimmten Datenverarbeitung nur die dafür vorgesehenen Datenfelder anzeigen. Eine derartige Trennung kann als "formal/optische Trennung" einer gemeinsamen Datenbank kurzfristigbewerkstelligt werden.

(2) Allgemeine Datenfelder:

Es gibt Datenfelder, die in vielen Datenverarbeitungen gleichzeitig vorkommen (z.B. Name, Adresse, Staatsbürgerschaft, ...). Das Grundprinzip des Datenschutzes besagt aber auch hier, daß diese Daten nur in jener Datenverarbeitung abgespeichert und verwendet werden dürfen, für die sie erhoben wurden.Bei einer großen Datenbank für alle Rechtsbereiche, wie es der Datenfriedhof "Einwohnerwesen" der Gemeinde Innsbruck darstellt, bedeutet jedoch die Eingabe eines Namens, des Geschlechts, der Personenkennziffer, daß diese Daten in allen Datenverarbeitungen gleichzeitig verfügbar sind, in denen dieseDatenfelder vorkommen. Daran ändert auch eine formal/optische Trennung der Datenbank in einzelne Views nichts. Jeder Bürger der sich in einer Angelegenheit an die Stadtverwaltung Innsbruck wendet, ist automatisch in allen anderen Angelegenheiten, zumindest in den Basisdaten erfaßt.

Dieser Vorgang widerspricht dem DSG und war letztlich der Grund für die kritische Stellungnahme durch die DSK.

Eine saubere Lösung dieses Problems würde darin bestehen, daß zu diesen gemeinsamen Datenfeldern zusätzliche Felder geschaffen werden, in denen angegeben werden kann, für welche Datenverarbeitung bestimmte Daten erhoben wurden. Eine DSG-konforme programmlogische Trennung der Datenbank würde dann beijedem Datensatz prüfen, ob er für die entsprechende Datenverarbeitung Eintragungen enthält und es würden dann nur die tatsächlich relevanten Daten angezeigt.

Diese beiden Trennungsformen der Daten wurde in den ersten Stellungnahmen der Stadtverwaltung an die DSK zugesagt, aber nach zwei Jahren nicht durchgeführt.

Aus den Unterlagen der Stadtverwaltung: "Wie der Innsbrucker Stadtführung bekannt ist, wurde magistratsintern zur ehestmöglichen Verwirklichung der Empfehlungen der DSK eine Arbeitsgruppe eingerichtet. Gerade bei der Bearbeitung der Problematik der EDV-technischen Trennung des "Einwohnerwesens" nachAufgabengebieten ist diese im Zuge der Projektanalyse aber auf gravierende technische bzw. fachliche Probleme gestoßen. Es wurde daher die Datenschutzkommission um die Abgabe einer Stellungnahme zu den auftretenden datenschutzrechtlichen bzw. EDV-technischen Problemen ersucht. Die in diesen Belangenzugesagte Unterstützung durch die DSK wurde zwischenzeitlich zwar mehrfach urgiert, konnte auf Grund der offensichtlichen Arbeitsüberlastung der Zentralbehörde bislang jedoch nicht erlangt werden."

Im Klartext: Die Stadtverwaltung ist nachträglich nicht mehr imstande, die Rechtmäßigkeit bestimmter erhobener Daten festzustellen und sie einem bestimmten, gesetzlich definierten Aufgabenzweck zuzuordnen. Ob alle derzeit erhobenen Daten rechtmäßig zustandekamen und noch den Richtigkeits-,Zweckbestimmungs- und Aktualitätsgeboten des DSG entsprechen, kann damit nicht nachvollzogen werden.

Die Reaktion der DSK? Sie macht gute Miene zum bösen Spiel und segnet den amtlichen Datenfriedhof unter dem Titel "Amtshilfe" ab. Daten aus gemeinsamen Datenfeldern werden als "vorauswirkende" Amtshilfe in allen Datenverarbeitungen angezeigt, nur die "formal/optische" Trennung des Datenbanksystemswurde Ende 1991 in Angriff genommen.

Juristen werden den Begriff "vorauswirkende Amtshilfe" vergeblich in ihrem Vokabular suchen. Eine derartige "Amtshilfe" oder auch eine generelle "Amtshilfe" für ganze Aufgabenbereiche kennt die österreichische Rechtsordnung nicht. "Amtshilfe" ist immer auf einen konkreten Vorfall bzw. Geschäftsfallbeschränkt und bezeichnet ganz konkrete Personen. Der Sinn der Amtshilfe besteht darin, daß zu einer bekannten Person vereinfacht Erhebungen durchgeführt werden. Bei der Innsbrucker Spezialität der "On-Line-Amtshilfe" werden die Daten noch unbekannter Personen anderen Datenverarbeitungenübermittelt, "Amtshilfe" also in ihr Gegenteil verkehrt.

Übrig blieb die letzte Forderung der DSK, die DVR-Registrierung sollte der Realität entsprechen. Die Stellungnahme der Stadtverwaltung: "Der Verarbeitungsbereich "Einwohnerwesen" wurde anhand der verschiedenen Verwaltungsmaterien aufgeschlüsselt und zur Registrierung beim DVR eingereicht." Aus einervernichtenden Systemprüfung wurde die bürokratische Fingerübung, DVR-Formulare richtig auszufüllen.




Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster