4.6
Prüfung der DV-Nutzung einer Polizeidienststelle
1993 habe ich eine größere Polizeidienststelle geprüft, um einen Überblick über die eingesetzten Geräte und Programme sowie deren Nutzung zu erhalten. Die geringe Ausstattung mit DV-Geräten hatte im Fall der geprüften Dienststelle zu Konsequenzen geführt, die ich zuvor nicht erwartet hatte.
Dadurch, daß der weitaus größte Teil der Schreibarbeiten noch mit mechanischen Schreibmaschinen gemacht wurde, fühlten sich die Polizeibeamten in ihrer Arbeit stark benachteiligt. Durch die private Nutzung von PC's hatten sie sich an die Annehmlichkeiten dieser Technik gewöhnt. Um auch an ihrem Arbeitsplatz neuere Technik zur Verfügung zu haben, hatten einige der Beamten private PC's mitgebracht. Es ergab sich das für mich erstaunliche Bild, daß fast ein Drittel der vorhandenen PC's Privatgeräte waren.
Zeitgleich mit der Prüfung wurde ich informiert, daß das Hessische Ministerium des Innern und für Europaangelegenheiten den Entwurf einer PC-Rahmendienstanweisung erarbeitet, in der u.a. der Einsatz privater PC's zu dienstlichen Zwecken geregelt wird. Diese wurde mir kurz vor Redaktionsschluß übersandt. Die bei der Prüfung festgestellten Schwachstellen dürften bei einer konsequenten Umsetzung der Rahmendienstanweisung nicht auftreten. Es wird daher wesentlich sein, deren Umsetzung zu prüfen.
4.6.1
Prüfergebnisse
4.6.1.1
Zulässigkeit der Datenverarbeitung
Auf allen geprüften PC's wurden personenbezogene oder personenbeziehbare Daten gespeichert. In den geprüften Fällen war die Verarbeitung nicht zu beanstanden.
In den Fällen, in denen die Geräte zur Textverarbeitung genutzt wurden, wurden die Schriftstücke im Regelfall nach dem Ausdruck gelöscht. Konnte ein Schriftstück nicht an einem Arbeitstag beendet und ausgedruckt werden, so wurde es auf einer Diskette gespeichert. Die Disketten wurden in Stahlschränken sicher verschlossen aufbewahrt.
Die privaten Rechner wurden in der Regel zur Textverarbeitung benutzt. In einem Fall führte ein Polizeibeamter auf seinem Rechner eine kleine Datenbank mit Raubdelikten inkl. aller Opfer- und, soweit bekannt, Täterdaten. Zu der Anwendung gab es eine Errichtungsanordnung.
4.6.1.2
Technische Sicherungsmaßnahmen
Hinsichtlich der getroffenen Datensicherungsmaßnahmen gab es Unterschiede zwischen dienstlich beschafften und privaten PC's.
Bis auf drei Geräte waren alle dienstlichen PC's mit einer Datenschutzsoftware ausgestattet. Die restlichen PC's sollten in Kürze damit ausgerüstet werden. Stichprobenhaft habe ich die Implementierung geprüft. Es ergaben sich keine Beanstandungen.
Die Sicherungsmaßnahmen der privaten PC's waren von der Fantasie und vom Engagement ihrer Eigentümer abhängig. In mehreren Fällen war es erforderlich, Paßwörter einzugeben, um mit dem jeweiligen Rechner arbeiten zu können. Um die oben genannte Anwendung über Raubdelikte zu schützen, waren die Daten zusätzlich verschlüsselt. Man kann feststellen, daß die Beamten generell Sicherungsmaßnahmen ergriffen hatten, von denen sie annahmen, daß ein Mißbrauch dadurch ausgeschlossen war. Der Standard der dienstlich beschafften PC's war nicht erreicht.
Die Geräte wurden nur als Stand-alone PC's eingesetzt. Zusätzliche Probleme durch eine Vernetzung entstanden nicht.
4.6.1.3
Organisatorische Regelungen
Es waren ein PC-Administrator und ein Stellvertreter bestimmt, die in Fragen des Einsatzes von PC's beteiligt wurden. Zu den Aufgaben gehört u.a. die Implementierung der Datenschutzsoftware.
Eine Aufstellung der dienstlich eingesetzten privaten PC's lag vor. Bei der Prüfung wurde ein privater PC vorgefunden, der in der Aufstellung noch nicht aufgeführt war und für den auch keine Anmeldung vorlag. Nach Aussage der Mitarbeiter war er erst wenige Tage vor der Prüfung aufgestellt worden.
Die Nutzung privater PC's ist dem Ministerium bekannt. Es erhält einmal jährlich eine Statistik der eingesetzten privaten PC's.
Weiterhin haben die Polizeibeamten in gewissem Umfang selbst Anwendungen programmiert. Es erfolgte keine ausreichende Dokumentation, was zu Problemen führen kann.
4.6.1.4
Zusammenfassung
Ich habe einige Defizite gefunden, die insbesondere im Bereich der organisatorischen und technischen Sicherungsmaßnahmen lagen. Es ist unbedingt erforderlich, durch die PC-Dienstanweisung für die Polizei einheitliche Rahmenbedingungen vorzugeben und deren Umsetzung zu kontrollieren.
4.6.2
Anforderungen an einen datenschutzgerechten Einsatz privater
PC's am dienstlichen Arbeitsplatz
Bei der Prüfung stellte sich als ein Schwachpunkt heraus,
daß
private PC's wie dienstliche genutzt wurden, ohne daß die
technischen und organisatorischen Rahmenbedingungen vergleichbar
waren. Der Entwurf der Rahmendienstanweisung sieht vor, daß
personenbezogene Daten auf privaten PC's nicht gespeichert
werden dürfen. Trotzdem möchte ich an dieser Stelle
allgemeine
Anmerkungen zum Einsatz privater PC's machen.
Im Grundsatz ist es für die Tätigkeit am dienstlichen
Arbeitsplatz unerheblich, wem ein DV-Gerät gehört, solange
identische Anforderungen von dienstlichen und privaten Geräten
erfüllt werden. Wegen der Schwierigkeit, gewisse
organisatorische Vorkehrungen, wie z.B. Löschregelungen,
konsequent durchzuführen, sollten an die Nutzung privater
PC's
zu dienstlichen Zwecken strenge Anforderungen gestellt werden.
- Der Einsatz privater PC's muß erforderlich sein.
Es muß ausgeschlossen sein, zu dem gewünschten Zweck
dienstlich beschaffte Geräte einzusetzen.
- Der Einsatz privater PC's ist auf die Verarbeitung weniger
sensibler Daten zu beschränken.
Anwendungen mit verbindlicher Verarbeitungslogik und solche,
die personenbezogene Daten oder für den Dienstbetrieb
wesentliche Daten verarbeiten, müssen vorrangig auf
dienstlichen PC's betrieben werden.
Sollen besonders sensible Daten verarbeitet werden, ist der
Einsatz privater PC's abzulehnen. Die anderen Anwendungen sind
in eine Rangfolge zu bringen, nach der die Nutzung von
dienstlichen PC's erfolgt. Es bleiben nur die weniger
sensiblen Daten, die auf privaten PC's verarbeitet werden.
- Die gespeicherten Daten sind auf das im Einzelfall
erforderliche Mindestmaß zu beschränken.
Nicht mehr benötigte Daten müssen umgehend physisch
gelöscht
werden.
- Dienstliche und private PC's müssen mit vergleichbaren
Schutzmaßnahmen gesichert werden.
Dienst-PC's, auf denen personenbezogene Daten verarbeitet
werden, sind mit einer Schutzsoftware ausgestattet. Dies muß
auch für private PC's gelten, die entsprechend genutzt werden.
- Es muß sichergestellt werden, daß private PC's,
die die
Diensträume verlassen, in den Zustand versetzt werden, in
dem
sie aufgestellt wurden.
Hieraus folgt insbesondere, daß Daten physisch gelöscht
werden
müssen und dienstlich beschaffte Programme oder
Hardwarekomponenten zu entfernen sind. Dies sicherzustellen
ist nicht einfach. So speichern einige
Textverarbeitungsprogramme Texte während der Erfassung in
Abständen weniger Minuten auf der Festplatte, damit im
Fehlerfall die Arbeit vieler Stunden nicht verloren geht. Auch
diese Daten müßten physisch gelöscht werden.
Kann dies nicht garantiert werden, so muß man von dem Einsatz
absehen.
4.6.3
Ausblick
Die Prüfung hat deutlich gemacht, daß der Ansatz, den Grundausbau HEPOLAS (Hessisches Polizeiarbeitsplatzsystem) so schnell wie möglich einzuführen, für den polizeilichen Alltag richtig ist. In dem Grundausbau HEPOLAS wird den Benutzern eine Textverarbeitung zur Verfügung gestellt. Dadurch werden dienstlich beschaffte PC's für andere Anwendungen frei. Private PC's werden dann ebenfalls nicht mehr für Schreibarbeiten benötigt, und es könnte möglich sein, die verbleibenden Anwendungen auf dienstlich beschaffte Rechner zu verlagern. Vielleicht gelingt es, ganz auf private Rechner zu verzichten oder diese tatsächlich nur noch so einzusetzen, daß keine personenbezogenen Daten gespeichert werden. Die Durchsetzung von Datensicherungsmaßnahmen für dienstliche Rechner ist in jedem Fall problemloser als bei privaten PC's.
Sollte die Datenverarbeitung in Polizeidienststellen weiterhin in einer Art und Weise erfolgen, wie ich es bei der Prüfung festgestellt habe, so wäre dies ein Grund zur Sorge. Ich gehe aber davon aus, daß das Zusammenspiel zwischen HEPOLAS und der neuen PC-Rahmendienstanweisung zu einer datenschutzgerechten Nutzung der Datenverarbeitung führt. Dies werde ich im nächsten Jahr prüfen.