11. Kommunen
11.1
Prüfungen
1994 habe ich die Kommunen Mühltal und Kriftel geprüft. Gegenstand meiner Prüfungen waren neben der allgemeinen Gebäudesicherheit vor allem die Führung der Melde- und Wahlunterlagen sowie der Personalakten, der Umgang mit nicht mehr aktuellen Akten im Archiv sowie die Datensicherheit im PC-Netz.
11.1.1
Zugang und Sicherheit der Dienstgebäude und
Diensträume
Häufig nutzen Kommunen das Rathaus sowohl als Diensträume für die Kommunalverwaltung als auch als Bürgerhaus für Veranstaltungen, Ausstellungen etc. Daraus ergeben sich besondere Anforderungen an die Abschottung der Diensträume.
In Mühltal ist durch die baulichen Verhältnisse eine strikte Trennung zwischen Verwaltungs- und Veranstaltungsräumen gegeben. In Kriftel hingegen mußten die Sicherheitsprobleme, die sich durch die Doppelfunktion des Gebäudes stellen, durch besonders sorgfältige Sicherungen der Diensträume ausgeglichen werden. Bei den Mitarbeitern ist ein entsprechendes Problembewußtsein vorhanden: Zum Beispiel werden hier auch bei kurzer Abwesenheit die Büros sehr viel konsequenter verschlossen, als ich das in anderen Verwaltungen gesehen habe.
Ganz allgemein ist zu diesem Thema festzustellen, daß die Mitarbeiter regelmäßig darauf aufmerksam gemacht werden müssen, daß sie die Türen zu ihren Büros auch bei kurzer Abwesenheit verschließen müssen. Die Aufnahme eines entsprechenden Hinweises in eine Dienstanweisung allein genügt sicher nicht, vielmehr sind auch entsprechende Kontrollen durchzuführen.
Bei einer der beiden Kommunen ist das
Rathaus aufgrund verschiedener Umstände, die
ich hier nicht näher erläutern möchte, nicht
ausreichend vor Einbrüchen geschützt. Das
Problem ist der Kommune schon länger
bekannt; die Umsetzung der in einem
kriminalpolizeilichen Gutachten zur
Gebäudesicherheit geforderten Maßnahmen
scheiterte bislang an den finanziellen
Möglichkeiten. Aber auch kleinere, unter
Kostengesichtspunkten nicht aufwendige
Maßnahmen können zu einem größeren Maß
an
Sicherheit führen:
- Beispielsweise wurden bei beiden Kommunen
Unterlagen mit personenbezogenen Daten,
die vernichtet werden sollten, allgemein
zugänglich vor dem Schredder gelagert.
Durch entsprechende organisatorische
Änderungen läßt sich dies ohne großen
Aufwand vermeiden.
- In Mühltal gelang es mir, unbemerkt ein
eingegangenes Fax zu kopieren und die
Kopie mitzunehmen. Dasselbe wäre jedem
beliebigen anderen Besucher auch möglich
gewesen. Dieses Problem konnte inzwischen
durch den Einbau eines Türschließers und
einer Alarmglocke, die eingehende Faxe der
zuständigen Mitarbeiterin meldet, mit
unerheblichen finanziellen Mitteln
beseitigt werden.
- Ebenfalls in Mühltal fand ich auf einem
Flur ein großes unverschlossenes Regal mit
sämtlichen Bauakten der Kommune. Die Akten
sollten wegen einer Umstellung des
Aktensystems alsbald umsortiert werden.
Auch wenn es sich nur um ein "Provisorium"
handelt, ist die Aufbewahrung solcher
Unterlagen in unverschlossenen Regalen auf
einem Flur, der noch dazu im frei
zugänglichen Besucherbereich liegt, ein
Verstoß gegen den Datenschutz.
11.1.2
Führung der Melde- und Wahlunterlagen sowie
der Personalakten
Die Meldedaten wurden mit dem Verfahren "Grundstufe Einwohnerwesen", einem landesweit von den Kommunalen Gebietsrechenzentren eingesetzten Verfahren zur Verwaltung der Meldedaten, über das jeweils zuständige Kommunale Gebietsrechenzentrum verarbeitet. Hierbei gibt es aus datenschutzrechtlicher Sicht folgende Probleme:
Bei der "Grundstufe Einwohnerwesen" können die Kommunen des Nebenwohnsitzes bei Personen, die in demselben KGRZ-Bereich ihren Hauptwohnsitz haben, auf alle Daten dieser Personen zugreifen. Dies ist unzulässig, da das Meldeamt des Nebenwohnsitzes nach § 3 Abs. 3 HMG ausdrücklich nur auf einen Teil der Meldedaten zugreifen darf. Das Meldeamt in Kriftel nutzte nicht nur die erweiterten Abfragemöglichkeiten, sondern speicherte auch alle Angaben, die der Bürger auf seinem Meldevordruck gemacht hatte, unabhängig davon, ob ein Haupt- oder Nebenwohnsitz angemeldet wurde. Hier müssen das Melderegister überprüft und die unrechtmäßig gespeicherten Daten gelöscht werden.
Die Wahlunterlagen wurden von beiden Kommunen vorbildlich geführt; insbesondere befanden sich keine Unterstützungsunterschriften für Wahlvorschläge oder alte Wählerverzeichnisse, die nach § 94 KWO grundsätzlich sechs Monate nach der Wahl zu vernichten sind, in den Akten.
Eine stichprobenartige Durchsicht der Personalakten ergab, daß die Akten ordnungsgemäß, nämlich gesondert von den anderen Akten, in einem verschlossenen Stahlschrank aufbewahrt wurden.
Im einzelnen sind mir jedoch folgende Mängel
aufgefallen:
- Urlaubs- und Fehlzeitenkarten bzw.
Krankmeldungen wurden unbegrenzt
aufbewahrt. Nach § 107f Abs. 2 HBG sind
Unterlagen über Beihilfen, Heilfürsorge,
Heilverfahren, Unterstützungen,
Erholungsurlaub, Erkrankungen, Umzugs- und
Reisekosten nur fünf Jahre nach Ablauf des
Jahres, in dem die Bearbeitung des
einzelnen Vorgangs abgeschlossen wurde,
aufzubewahren, danach sind sie zu
vernichten.
- Gleitzeitunterlagen wurden in Mühltal ca.
zwei Jahre aufbewahrt. Eine derartig lange
Aufbewahrung von Zeitkartenkonten ist
datenschutzrechtlich nicht zulässig. Ich
sehe bei automatisierten
Zeiterfassungssystemen eine
Aufbewahrungszeit/Speicherdauer von drei
Monaten, entsprechend Nr. 10 der
Aufbewahrungsbestimmungen für Akten und
sonstiges Schriftgut der Dienststellen des
Landes Hessen (StAnz. 1986 S. 2107) als
ausreichend an. Danach ist die Kenntnis
dieser Daten in aller Regel für die
Aufgabenerfüllung des Dienstherrn nicht
mehr erforderlich.
- Ebenfalls in Mühltal fand ich in einigen
Personalakten Schreiben an die
Versorgungskasse, die mehrere Bedienstete
betrafen. Bei einer Einsichtnahme in seine
Personalakte würde der einzelne
Bedienstete zwangläufig auch Informationen
über seine Kollegen erlangen. Hier ist
eine Bereinigung der Personalakten
erforderlich, indem auf den Kopien der
Schreiben jeweils die Namen der anderen
Bediensteten unkenntlich gemacht werden.
- Unterlagen von Stellenbewerbern, mit denen
kein Arbeitsverhältnis mit der Kommune
zustande kam, dürfen nicht aufbewahrt,
sondern müssen dem Bewerber zurückgegeben
werden. Auch die Aufbewahrung von Kopien
dieser Unterlagen ist selbstverständlich
unzulässig; eine Ausnahme gilt nur für das
eigentliche Bewerbungsschreiben.
11.1.3
Archive
Bei beiden Kommunen befinden sich die Archive in ordnungsgemäß verschlossenen Räumen im Dach- bzw. Kellergeschoß.
In Kriftel haben jedoch unter datenschutzrechtlichen Gesichtspunkten zuviele - nämlich 14 - Personen Zugang zu den Archivräumen. Besonders im Hinblick auf die im Archiv aufbewahrten Personalunterlagen ist dies bedenklich. Entweder müssen die Personalunterlagen im Archivraum gesondert verschlossen aufbewahrt werden, oder die Verteilung der Zugangsrechte muß neu überdacht werden. Letzteres wurde mir zwischenzeitlich zugesichert.
In beiden Archiven befanden sich Unterlagen, die unter datenschutzrechtlichen Gesichtspunkten nicht mehr aufbewahrt werden dürfen, da sie für die Erfüllung der Aufgaben der Kommunen nicht mehr erforderlich sind. Beide Archive sollten daher unter Zugrundlegung der Fristen in den o. g. Aufbewahrungsbestimmungen bereinigt werden.
Ein besonderes Augenmerk ist hierbei auf alte Meldekarteien zu richten, die nach dem geänderten Hessischen Meldegesetz 50 Jahre gesondert aufzubewahren sind. Werden die alten Meldekarteien auf Mikrofilm übernommen, ist eine gesonderte Aufbewahrung ohne weiteres möglich.
In Mühltal fand ich im Archiv Durchschriften von Sozialhilfebescheiden seit dem Jahr 1979.
Träger der Sozialhilfe sind in Hessen die kreisfreien Städte und die Landkreise, also nicht die kreisangehörigen Gemeinden. In der Vergangenheit war es üblich, daß die Kreise den Wohnsitzgemeinden Durchschriften der Sozialhilfebescheide übersandten. Begründet wurde dies in der Regel damit, daß die Wohnsitzgemeinden eher in der Lage seien, die Angaben der Antragsteller auf ihre Richtigkeit hin zu überprüfen und damit Mißbrauch zu verhindern. Ich habe bereits in meinem 16. Tätigkeitsbericht, Ziff. 7.1 darauf hingewiesen, daß diese Praxis rechtswidrig ist. Damit ist selbstverständlich auch die weitere Aufbewahrung der seinerzeit übersandten Bescheide nicht zulässig. Die Gemeinde hat mir inzwischen mitgeteilt, daß sie diese Unterlagen vernichtet hat.
11.1.4
Probleme beim Einsatz von Novell-Netzen
Zu den Problemen beim Einsatz von PC-Netzen habe ich mich bereits in den vergangenen Jahren geäußert (vgl. 22. Tätigkeitsbericht, Ziff. 21.2). Auch bei den diesjährigen Prüfungen habe ich wieder eine Reihe von Mängeln festgestellt.
Auffallend war bei beiden Prüfungen, daß die Strukturierung des Datenbestands auf dem Server unzureichend bzw. nicht fein genug war. Daher war es nicht möglich, die Rechtezuweisung so zu gestalten, daß nur die jeweils zuständigen Mitarbeiter auf "ihren" Datenbestand zugreifen konnten.
Mit der eigentlichen Einstellung der dafür notwendigen Paramenter am Server ist es jedoch noch nicht getan. Gerade bei der Zuweisung von Rechten, aber auch in allen anderen Fragen waren Mängel bei der Dokumentation von Systemeinstellungen festzustellen. Schriftliche Regelungen zum Einsatz der Geräte, zur Verwendung von Notfall-Kennungen oder zur Datensicherung fehlten ganz oder waren unzureichend.
Als ein weiterer Schwachpunkt ist die mangelhafte Unterbringung der Server zu nennen. Die Server waren nicht nur in Räumen offen zugänglich aufgestellt, in denen auch Mitarbeiter, die nicht für die Datenverarbeitung zuständig waren, ihre Arbeitsplätze hatten; darüber hinaus waren sie auch für Besucher der Verwaltung zugänglich.
Grundsätzlich sollte ein Server in einem dafür eigens vorgesehenen Raum aufgestellt werden. Der Zugriff Unbefugter ist durch eine restriktive Schlüsselvergabe auszuschließen. Sind die Möglichkeiten dazu nicht gegeben, so ist auch eine Aufstellung in einem geeigneten Schrank möglich, wenn dieser sowohl vor unbefugter Bedienung als auch vor Diebstahl ausreichend Schutz bietet.
Die Sicherungsbänder sowie besonders wichtige Teile der Systemunterlagen sind selbstverständlich so aufzubewahren, daß sie beispielsweise durch einen Brand nicht zusammen mit dem Server zerstört werden und auch nicht in unbefugte Hände gelangen können.
Leider mußte ich über den Bereich der Netze hinaus feststellen, daß sowohl auf vernetzten als auch auf unvernetzten PC, die über keine Schutzsoftware verfügten, sensible Daten gespeichert wurden. In allen Fällen, in denen unbefugte Zugriffe nicht allein durch räumliche und organisatorische Maßnahmen ausgeschlossen werden, habe ich die Verwaltungen darauf hingewiesen, daß die Datenhaltung nur auf dem Server oder - bei weniger sensiblen Daten - auf Disketten erfolgen darf. Die Disketten sind unter Verschluß zu halten und durch eine Registrierung in ihrem Bestand zu erfassen.