1165/AB XXIII. GP
Eingelangt am 31.08.2007
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Bundesministerium für Wirtschaft und Arbeit
Anfragebeantwortung
Präsidentin des Nationalrates
Mag. Barbara PRAMMER
Parlament
1017 Wien
Wien, am 28. August 2007
Geschäftszahl:
BMWA-10.101/0144-IK/1a/2007
In Beantwortung der schriftlichen parlamentarischen Anfrage Nr. 1241/J betreffend „Einsatz von Überwachungssoftware in öffentlichen Dienststellen“, welche die Abgeordneten Mag. Johann Maier, Kolleginnen und Kollegen am 6. Juli 2007 an mich richteten, stelle ich fest:
Antwort zu Punkt 1 der Anfrage:
Für das Bundesministerium für Wirtschaft und Arbeit wurde 2004 eine eigene IT-Sicherheitspolitik für die Zentralstelle, das Bundesvergabeamt und die Bundeswettbewerbsbehörde erlassen, die einschlägige Aspekte berücksichtigt.
Damit wurde unter anderem das IT-Sicherheitsmanagementteam eingerichtet, dem insbesondere auch die Datenschutzverantwortlichen und die Personalvertretung angehören. Weiters wurden darin einschlägige Abläufe festgelegt. Einschlägige Verarbeitungen werden der Datenschutzkommission (DSK) im Einzelfall mit den entsprechenden Schutzkonzepten vorgelegt.
Auch in den nachgeordneten Dienststellen des Bundesministeriums für Wirtschaft und Arbeit werden beim Umgang mit personenbezogenen Daten nur solche Systeme eingesetzt, die die Menschenwürde nicht berühren und die Vorgaben des Grundrechtes auf Datenschutz und Telekommunikationsgeheimnis wahren. Gegebenenfalls wird das Einvernehmen mit den Personalvertretungen hergestellt.
Antwort zu Punkt 2 der Anfrage:
Diesbezüglich darf ich auf die Beantwortung der Anfrage 1229/J durch den Herrn Bundeskanzler verweisen.
Antwort zu den Punkten 3 und 5 der Anfrage:
Im Bundesministerium für Wirtschaft und Arbeit und seinen nachgeordneten Dienststellen wird weder kommerzielle Software zur Überwachung von Mitarbeitern, noch werden sogenannte "Behördentrojaner" eingesetzt.
Hingegen wird in der Zentralleitung des BMWA und in den Arbeitsinspektionen folgende Software für Datensicherungs- und Systemfunktionalitätssicherungs-Maßnahmen eingesetzt: Trend Micro Neat Suite, McAfee VirusScan Enterprise (Virenschutz), Websense, Clearswift MIMEsweeper (Webseiteneinschränkung) und Microsoft Help and Support für Windows XP (Fernwartung). Verantwortlich dafür ist das IT-Sicherheitsteam, dem, wie schon in der Antwort zu Punkt 1 ausgeführt, auch die Personalvertretung angehört.
Im Bundesamt für Eich- und Vermessungswesen wurde im Jahr 2001 unter Mitwirkung der Personalvertretung eine E-Mail und Internet - Richtlinie eingeführt. Ziel dieser Richtlinie ist es, die zweckentsprechende Nutzung der Kommunikationsmedien Internet und E-Mail zu gewährleisten. Es wird ein Internetfilter eingesetzt, welcher das Aufrufen bestimmter Homepages (insbesondere solche sexuellen Inhalts) unterbindet.
Antwort zu Punkt 4 der Anfrage:
In der Zentralleitung des Bundesministeriums für Wirtschaft und Arbeit ist für recht-liche Angelegenheiten des Datenschutzes die Abteilung Pers/6 (Rechtsangelegenheiten, Legistik), für organisatorische Fragen und Meldungen von Anwendungen an das Datenschutzregister die Abteilung BA/2 (Infrastruktur) und für technische Fragen des Datenschutzes die Abteilung IK/3 (Informationstechnik) zuständig.
Die Aufteilung dieser Zuständigkeiten, die in der Datenschutzrichtlinie für den Bereich der Zentralleitung festgelegt sind, hat sich in der Vergangenheit bewährt.
Die Arbeitsinspektorate haben nach den Bestimmungen des alten Datenschutzgesetzes, BGBl. Nr. 565/1978 und gemäß § 12 der damaligen Durchführungsrichtlinien
zur Datenschutzverordnung Datenschutzbeauftragte bestellt. Die Bestellungen wurden aufrechterhalten, obwohl das Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, keine Verpflichtung dazu mehr vorsieht. Für die Arbeitsinspektion hat es sich als Vorteil erwiesen, eigene Ansprechpersonen für Datenschutzangelegenheiten vorzu-sehen, zumal in der Arbeitsinspektion sehr viele betriebsbezogene Daten verarbeitet werden. In jedem Arbeitsinspektorat ist mindestens eine Person als Datenschutzbeauftragte/r bestellt. Zu den Aufgaben der Datenschutzbeauftragten gehören die Durchführung, Koordinierung und Überwachung der Bestimmungen über den Datenschutz und die Datensicherheit im Bereich ihres Arbeitsinspektorates, wie z.B. die Unterstützung der Verantwortlichen hinsichtlich aller Angelegenheiten des Datenschutzes. Die Beauftragten sind auch für die ergänzende datenschutzrechtliche Belehrung der Mitarbeiter/innen im Bereich ihres Arbeitsinspektorates zuständig und sie haben weiters die Feststellung von Verstößen gegen die Datenschutzbestimmungen und allfälliger Sicherheitsmängel und Beseitigung dieser bzw. Ergänzungen der Datensicherheitsmaßnahmen zu beantragen.
Antwort zu Punkt 6 der Anfrage:
Aus der Sicht des Bundesministeriums für Wirtschaft und Arbeit wären hier noch die Zugriffssteuerung auf externe Schnittstellen des Desktops bzw. Laptops wie Funk- und Datenträgerschnittstellen sowie auf Programme zu nennen. Dies wird derzeit im IT-Sicherheitsmanagementteam der Zentralleitung des BMWA, dem auch die Datenschutzverantwortlichen und die Personalvertretung angehören, erörtert.
Antwort zu den Punkten 7 bis 10 der Anfrage:
Fragen der sicherheitsspezifischen Betriebsführung werden in der Zentralleitung des Bundesministeriums für Wirtschaft und Arbeit zwischen der IT-Abteilung und dem für die Betriebsführung zuständigen Dienstleister, der Firma EDS, erörtert. Eine allfällige Beschaffung erfolgt erst nach Festlegung der Einsatzpolitik (Sicherheitsrichtlinie), die unter anderem auch festlegt, wer und unter welchen Umständen Zugriff auf die Daten erhält, durch das IT-Sicherheitsmanagementteam, dem die Datenschutzverantwortlichen und die Personalvertretung angehören. Die Registrierung bei der DSK erfolgt über die zuständige Organisationsabteilung.
Im Bereich der Arbeitsinspektion entscheidet die zuständige Sektionsleitung über Datensicherungs- und Systemfunktionalitätssicherungsmaßnahmen. Sollte der Einsatz registrierungspflichtiger Anwendungen erforderlich sein, werden durch die Rechtsabteilung der Sektion die erforderlichen Registrierungen bei der Datenschutzkommission veranlasst. Die Organe der Personalvertretung werden, wenn erforderlich, eingebunden. Die von derartigen Softwareprogrammen gesammelten Daten stehen nur ausgewählten Mitarbeiter/inne/n ausschließlich für Zwecke der sicherheitsspezifischen Betriebsführung zur Verfügung und sind so gestaltet, dass auf das Verhalten einzelner Anwender/innen nicht rückgeschlossen werden kann.
Im Bundesamt für Eich- und Vermessungswesen findet die Bedarfserhebung hinsichtlich anzuschaffender Software im Gremium UserForum statt. Die Anschaffungsentscheidung wird nach Beratung im IT – Steuerkreis und im Führungskreis vom Leiter des BEV getroffen. Die Vorgaben des § 9 Abs.2 lit. f Personalvertretungsgesetz werden strikt beachtet. Überdies sind auch Personalvertreter als Sachkundige in die jeweiligen Projektteams mit einbezogen. Sofern personenbezogene Daten vorhanden sind, wird in einem konkreten, begründeten Anlassfall nach Rücksprache und im Einvernehmen mit der Personalvertretung vom Leiter des BEV über die Einsichtsgewährung und die allfällige Auswertung der Daten entschieden.
Antwort zu Punkt 11 der Anfrage:
Das wird in der Zentralleitung des Bundesministeriums für Wirtschaft und Arbeit grundsätzlich durch eine strikte organisatorische Trennung zwischen technischem Betrieb (Dienstleister und Controlling durch IT-Abteilung) einerseits und Dienstgebervertretern andererseits sichergestellt.
Im Bereich der Arbeitsinspektion ist die zugekaufte kommerzielle Software so konfiguriert, dass ausschließlich einzelne berechtigte Mitarbeiter/innen darauf Zugriff haben.
In der IT-Abteilung des Bundesamtes für Eich- und Vermessungswesen kann die verwendete Systemüberwachungssoftware nur von den jeweiligen Systemadministratoren betrieben werden. Überdies gibt es keine systemübergreifende Administration. Auswertungen können nur über einen dezidierten Auftrag des Leiters des BEV nach Einbindung der Personalvertretung erfolgen.
Antwort zu den Punkten 12 und 13 der Anfrage:
Gemäß den §§ 280 Abs. 1 des Beamten-Dienstrechtsgesetzes 1979, 96 Abs. 1 des Vertragsbedienstetengesetzes 1948 und Art. VI Abs. 1 des Richterdienstgesetzes sind die obersten Dienstbehörden ermächtigt, die dienstrechtlichen, besoldungsrechtlichen, ausbildungsbezogenen und sonstigen mit dem Dienstverhältnis in unmittelbarem Zusammenhang stehenden Daten der Bediensteten automationsunterstützt zu verarbeiten.
Grundsätzlich ist davon auszugehen, dass die zuständigen Bediensteten nur in diesem Umfang Daten der Bediensteten erheben. Mir ist kein Fall im Bundesministerium für Wirtschaft und Arbeit bekannt, in dem darüber hinaus Daten erhoben wurden. Eine unzulässige Erhebung von Daten würde jedenfalls eine Verletzung von Dienstpflichten darstellen.
Antwort zu Punkt 14 der Anfrage:
Das IT-Sicherheitsmanagementteam des Bundesministeriums für Wirtschaft und Arbeit informiert gegebenenfalls alle Bediensteten der Zentralleitung mittels E-Mail und Rundschreiben. Weiters wurden einschlägige Informationen jedem Bediensteten mit der 2002 erlassenen APC- Benutzerrichtlinie zur Kenntnis gebracht.
In der Arbeitsinspektion werden keine personenbezogenen Daten aus „Überwachungssoftware" gespeichert.
Die Mitarbeiter des Bundesamtes für Eich- und Vermessungswesen können sich über allgemeine personenbezogene Informationen über das „ESS Portal“ und das System „Info Bundesamt für Eich- und Vermessungswesen“ (Arbeitszeiten) informieren. Darüber hinausgehende Fragen bezüglich Daten zur Person werden von der zuständigen Abteilung des BEV beantwortet.
Antwort zu Punkt 15 der Anfrage:
Eine allfällige Löschung bzw. Anonymisierung der Daten erfolgt in der Zentralleitung des Bundesministeriums für Wirtschaft und Arbeit kurzfristig bzw. automatisch nach Erreichung des beabsichtigten und der DSK angezeigten Verarbeitungszwecks.
In der Arbeitsinspektion werden keine personenbezogenen Daten aus „Überwachungssoftware" gespeichert, weshalb auch keine Löschung erforderlich ist.
Unter Beachtung des DSG besteht im Bundesamt für Eich- und Vermessungswesen die Möglichkeit Daten zu löschen, jedoch gab es bislang keinen Anlassfall.
Antwort zu Punkt 16 der Anfrage:
Ja.
Antwort zu Punkt 17 der Anfrage:
Ich werde dafür eintreten, dass eine ressortübergreifende Arbeitsgruppe sich dieser Themen annimmt.