anhang-3
Dieses Dokument ist Teil der Anfrage „Prüfberichte der Zentralabteilung/Innenrevision“
Zentralabteilung/Innenrevision Prüfungsnummer: 1/08 Geschäftszeichen: ZRev-1412-I0 2/08-S-1 Sonderprüfung Referat IO 2 Februar 2008 Prüfungsgegenstand: „Auswertung von E-Maildaten“ Prüfbericht
OS oo a WW $ ww N oO me DD 13 1 = Ergänzend zu bereits mit Vorlage des Prüfberichts vom Dezember 2007 abgeschlos- senen Sonderprüfung der Innenrevision im Referat IO 2 (vgl. Aktenzeichen ZRev- 1412-10 2/07-S-3) wurden weitere Ermittlungen beauftragt. Im damaligen Bericht wurden die gespeicherten Daten auf den im Juni 2006 sicherge- stellten Datenträgern im damaligen Büro des ET ausgewertet. Darüber hinaus wurden die von ihm verwendeten Laufwerke D und P untersucht. Zu den näheren Ein- zelheiten wird auf die Ausführungen im damaligen Prüfbericht verwiesen. Die auf dem Account vom BB. gespeicherten E-Maildaten konnten durch die Innenrevision aus datenschutz- und telekommunikationsrechtlichen Gründen nicht selbst ausgewertet werden. Daher wurde der Behördliche Datenschutzbeauftragte, Herr Regierungsdirektor Kolodziej-Derfert, um Unterstützung durch Frau Abteilungs- leiterin Z gebeten. Mit Schreiben vom 21. Januar 2008 legte der Behördliche Datenschutzbeauftragte das Ergebnis seiner Auswertungstätigkeit vor (vgl. Anhang 1). Nach Durchsicht der Absender- und Empfängernamen konnte nur in wenigen Fällen ein Bezug zu den in Bericht der Sonderprüfung festgestellten Sachverhalten und han- delnden Personen festgestellt werden. Aber auch die Einsicht in diese wenigen E-Mails, die zunächst einen solchen Bezug aufwiesen, ergab keine weiteren Erkennt- nisse. Im Wesentlichen handelt es sich nach den Ausführungen des Behördlichen Da- tenschutzbeauftragten um Entwürfe zu dienstlichen Schreiben an andere Organisati- onseinheiten der Bundestagsverwaltung. Die ergänzende Sonderprüfung wird somit ohne weitere Kenntnisse zu diesem Bereich abgeschlossen. Da bisher diese weitgehend privaten Daten in verschlüsselter Form auf dem dienstli- chen Laufwerk als auch als CD-Rom vorgehalten werden, wird empfohlen, nach Ab- schluss des Prüfverfahrens die E-Maildaten zu löschen.
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 5] 52 53 54 55 56 57 58 59 60 61 62 63 -2- Es wird daher angeregt, ZR 2 durch die Innenrevision über dieses Prüfergebnis zu informieren und von dort um Mitteilung zu bitten, ob die nicht weiter verwendeten E-Maildaten endgültig gelöscht werden können. Berlin, den 14. Februar 2008 Prüfer und Leiter Innenrevision RD Oliver Trampler
‘a Anhang 65 Schreiben des Behördlichen Datenschützbeauftragten vom 21. Januar 2008 66 67 68
Au haug_ Referat ZR 4 11011 Berlin, 21. Januar 2008 Behöradlicher Datenschutzbeauftragter Platz der Republik 1 Dienstgebäude: Adele-Schrelber-Krieger-Straße 1 Telsfon: 030 227-33608 Fax; 030 227-36336 , a E-Mail; dalenschutz.zrdA@bundestag.de Herrn Leiter Innenrevision wolfram.kolodziej-derfert@bundestag.de Az.: 1401 Bearbeiter: RD Kolodziej-Derfert Persönlich o.V.i.A. Z / Innenrevision En: 22 Jan. 2008 im Hause Betr.: Sonderprüfung durch die Innenrevision im Referat IO 2 hier: Auswertung der auf dem Account von >: ch eier E-Mail-Daten Bezug: 1. Schreiben Abteilungsleiterin Z vom 14. Januar 2008 2. Mehrere Gespräche mit dem Leiter Innenrevision, den Referatsleitern IT 1 und IT 5 sowie Herr OAR Falkenberg (Referat ZR 2) 3. Prüfung des Accounts am 18. Januar 2008 Anlg. -1- Mit Schreiben vom 14. Januar 2008 bittet die Abteilungsleiterin Z um Einsichtnahme und Auswertung des auf dem E-Mail-Account von = E-Mail-Verkehrs. Sie haben mir im Zusammenhang mit der Überprüfung den Bericht der PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft (PwC) an die Verwaltung des Deutschen Bundestages, Band 1, Stand Oktober 2006 zur Durchführung einer Sonderprüfung im Referat IO 2 übersandt. Im Vorfeld der erbetenen Prüfung erfolgten ergänzende Gespräche sowohl mit Ihnen als Leiter der Innenrevision der Verwaltung des Deutschen Bundestages, mit den Referatsleitern IT ] und IT 5 sowie mit dem zuständigen Sachbearbeiter im Justitiariat (Referat ZR 2), Herm OAR Falkenberg. Ziel war es, den rechtlichen Rahmen einer Prüfung bezogen auf den E-Mail-Account des 0.8. Mitarbeiters zu ermitteln sowie zu prüfen, ob die erbetenen Kontrollmaßnahmen angesichts des offenbar schon abgeschlossenen Strafverfahrens überhaupt erforderlich sind. Im Rahmen der Vorprüfung konnte unter anderem festgestellt werden, dass ae eine Einwilligungserklärung bezogen auf die private Nutzung von Internet und E-Mail gemäß
der Dienstvereinbarung über die Nutzung elektronischer Medien am Arbeitsplatz abgegeben hat. Gemäß $ 3 Abs. 4 der Dienstvereinbarung hat Tr sein Einverständnis in die Auswertung der Protokolldaten entsprechend den dort genannten Voraussetzungen sowie zur Einschränkung des Fernmelde- und Briefgeheimnisses bezogen auf die Nutzung des zur Verfügung gestellten E-Mail-Accounts abgegeben. Gemäß $ 6 Abs. 2 der Dienstvereinbarung ist eine erweiterte Auswertung der Protokolldaten zulässig, soweit konkrete Anhaltspunkte für Verstöße gegen diese Dienstvereinbarung vorliegen. Gemäß $ 4 Abs. 1 Satz 1 ist jede Nutzung elektronischer Medien, die geeignet erscheint, den Interessen des Deutschen Bundestages oder dessen Ansehen in der Öffentlichkeit zu schaden oder gegen geltende Rechtsvorschriften verstößt, unzulässig. Im vorliegenden Fall liegen nach Prüfung des Berichts der PwC und den Gesprächen mit Ihnen und Herrn OAR Falkenberg jedenfalls tatsächliche Anhaltspunkte dafür vor, dass das ordnungsgemäße Verwaltungshandeln des Bundestages durch das Verhalten von Herm erheblich in Misskredit gebracht worden ist. Das Vertrauen der Allgemeinheit in die Sachlichkeit staatlicher Entscheidungen — hier bezogen auf die Arbeit der Öffentlichkeitsarbeit des Deutschen Bundestages — ist durch gefährdet. Dies vorzunehmen das in Teilen rechtswidrige Verwaltungshandeln von Herrn ‚ reicht aus, um eine Einsichtnahme in den E-Mail-Verkehr von (vgl. auch Wolfgang Däubler, Gläserme Belegschaften? Datenschutz in Betrieb und Dienststelle, 4. Auflage, 2002 RN. 351 mit weiteren Nachweisen). Aus Gründen der Verhältnismäßigkeit wurden im Rahmen der Überprüfung des Accounts von Her > 18. Januar 2007 — gemeinsam mit Herrn MR Möhlmann (Referatsleiter IT 5) M jedoch zunächst nur die Namen des Empfängers ausgehender E-Mails bzw. des Absenders eingehender E-Mails überprüft. Im Ergebnis der Durchsicht der Absender- und Empfängernamen konnte ein Bezug zu den in dem Bericht der Sonderprüfung festgestellten Sachverhalten und handelnden Personen nicht festgestellt werden. Die der Firma zuzuordnende E-Mail-Adresse BE: oder eines anderen in dem Bericht genannten Namens außerhalb der Bundestagsverwaltung fanden sich in der Korrespondenz nicht wieder. Einzig bezogen auf die E-Mail-Adresse 0 Tee erfolgte eine inhaltliche Durchsicht, Aufgrund der Mitteilungen des Justitiariats bestand über diese E-Mail-Adresse ein Kontakt zwischen der o.g. Firma und Herrn . Eine entsprechende Korrespondenz wurde insoweit bereits im Rahmen des staatsanwaltlichen Ermittlungsverfahrens sichergestellt. Eine Einsicht
in diese wenigen E-Mails an diese bzw. von dieser E-Mail-Adresse El .-- ergaben keine Erkenntnisse, Es handelte sich im Wesentlichen um Entwürfe zu dienstlichen Schreiben an andere Organisationseinheiten der Bundestagsverwaltung, die ac auch außerhalb der Dienststelle bearbeitet wurden. Da eine weitere Aufklärung zu den bereits vorliegenden Erkenntnissen innerhalb der Bundestagsverwaltung nicht zu erwarten war, wurde aus datenschutzrechtlichen Gründen auf Einsicht in andere B-Mails des o.g. Accounts verzichtet. Die E-Mails wurden jedoch in verschlüsselter Form auf dem Dienstlaufwerk des Dienstpostens|f ><1a:scn Das Kennwort ist ausschließlich mir bekannt. Eine Datensicherung auf CD-ROM ist ebenfalls erfolgt. Sie wird bei mir vorgehalten. Ich bitte Sie, mir mitzuteilen, sobald das Prüfverfahren abgeschlossen ist und die vorgehaltenen Daten endgültig nicht mehr benötigt werden. In diesem Fall können sowohl die verschlüsselten Daten auf dem dienstlichen Laufwerk gelöscht sowie der Datenträger nach Prüfung eines etwaigen Einverständnisses durch Herm Be die privaten E-Mails betreffend - vernichtet werden. Für Rückfragen stehe ich gern zur Verfügung. Den Sonderbericht Band I von PCW füge ich zu meiner Entlastung bei. Uolo (Kolodziej-Derfert)