Niedersächsischer Landtag  17. Wahlperiode Drucksache 17/1892 1 Kleine Anfrage zur schriftlichen Beantwortung mit Antwort Anfrage des Abgeordneten Jan-Christoph Oetjen (FDP), eingegangen am 22.07.2014 Internetznutzung bei der Polizei - Datenschutz gewährleistet? Niedersächsische Polizisten haben während ihrer Dienstzeit über ihren Dienstcomputer auch Zu- griff auf das Internet. Dieser Zugriff ist notwendig, da das Internet bei Ermittlungen zu Straftaten wichtige Hinweise geben kann. Die gesamte Internetnutzung auf Dienstcomputern wird aufge- zeichnet, gespeichert und kann nicht nur einem Rechner, sondern auch einem individuellen Beam- ten zugeordnet werden. Es ist durchaus vorstellbar, dass Beamtinnen und Beamte in Dienstpausen private Mails abrufen oder im Internet surfen. Diese private Nutzung ist bisher allerdings untersagt. Derzeit ist der Polizeihauptpersonalrat in Verhandlungen mit dem Innenministerium, um eine Dienstvereinbarung zu schließen, die zumindest die private Internetnutzung von Dienstrechnern nicht ganz ausschließt. Vor diesem Hintergrund frage ich die Landesregierung: 1. Wie ist die private Internetnutzung von Dienstcomputer bei der Polizei in Niedersachsen gere- gelt, und wie bewertet die Landesregierung diese Regelung allgemein? 2. Wie bewertet die Landesregierung die Aufzeichnung der Internetnutzung an Dienstcompu- tern? 3. Wie bewertet die Landesregierung die Möglichkeit der Zuordnung der Aufzeichnungen der In- ternetnutzung an Dienstcomputern zu individuellen Beamten aus datenschutzrechtlicher Sicht? 4. Welchen Zeitplan und welche Ziele verfolgt die Landesregierung bei den Verhandlungen mit dem Polizeihauptpersonalrat über eine Dienstvereinbarung zum Thema Internetnutzung? 5. Inwieweit gab es im Zusammenhang mit der privaten Internetznutzung an Dienstcomputern bereits dienstrechtliche Konsequenzen? (An die Staatskanzlei übersandt am 25.07.2014 - II/725 - 860) Antwort der Landesregierung Niedersächsisches Ministerium Hannover, den 19.08.2014 für Inneres und Sport - 26.24-Internetprotokollierung - Grundsätzlich kann in Niedersachsen jede und jeder Polizeibeschäftigte technisch berechtigt wer- den, über einen dienstlichen Arbeitsplatzrechner Zugriff auf das Internet zu erhalten. Bis zum Ende des Jahres 2013 erfolgte die für eine Sicherstellung des ordnungsgemäßen und stabilen technischen Betriebs notwendige Protokollierung der Internetnutzung über einen vom Lan- desdienstleister IT.N (vormals Landesbetrieb für Statistik und Kommunikationstechnologie Nieder- sachsen - LSKN) bereitgestellten sogenannten Landes-Proxy-Server, der auch für die übrige Lan- desverwaltung in Niedersachsen entsprechend genutzt wird. Mit diesem Server wurde die Nutzung des Internets durch Polizeibedienstete ausschließlich für statistische Zwecke und den ordnungs- gemäßen Betrieb einer Datenverarbeitungsanlage in anonymisierter Form protokolliert. Rück- schlüsse auf die Person der Nutzerin oder des Nutzers waren nicht möglich, sondern nur bis auf Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/1892 2 Ebene der Dienststelle zu ziehen, von der aus ein Internet-Protokolleintrag verursacht wurde. Eine personenbezogene Zuordnung des Nutzungsverhaltens wurde durch die festgeschriebene Zweck- bestimmung der Protokolldatei nur in besonderen Ausnahmefällen gemäß StPO (z. B. mit einem richterlichen Beschluss) oder nach den Bestimmungen des § 39 Abs. 2 Nds. SOG durchgeführt. Auf Seiten der Polizei erfolgte bisher zusätzlich eine Protokollierung der Anmeldung zur Nutzung des Internets gegenüber der polizeieigenen Firewall mit einem individuellen Benutzerkürzel. Diese Zusatzprotokollierung zeigte jedoch nur auf, für welchen Zeitraum eine Nutzerin bzw. ein Nutzer für den Zugriff auf das Internet angemeldet war. Hinsichtlich der tatsächlichen Nutzung des Internetzugriffes wurde den Polizeibehörden im Jahr 2000 empfohlen, eine Muster-Rahmendienstanweisung für die Nutzung des vom Informatikzentrum Niedersachsen betriebenen Internetzugangs der Landesverwaltung (Nds. MBl. 2001, S. 191) für ih- re Bereiche anzuwenden. Diese Rahmendienstanweisung beinhaltete die Festlegung auf eine nur dienstliche Nutzung des Internetzugangs und einen Belehrungsvordruck, der dieses Verhalten ge- gen Unterschriftsleistung dokumentieren sollte. Diese Muster-Rahmendienstanweisung ist seit dem 01.11.2013 außer Kraft gesetzt und u. a. durch die Informationssicherheitsrichtlinie über die Nut- zung des zentralen Internetzugangs und von Web-Angeboten (ISRL-Web-Nutzung) und die ISRL über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender (ISRL-IT-Nutzung) ersetzt worden. Diese Richtlinien empfehlen den Abschluss behördenspezifischer Dienstanweisun- gen auf der Grundlage von Muster-Dienstanweisungen (Muster-Dienstanweisung über die Nutzung der Web-Angebote (MDA Web-Nutzung) sowie Muster-Dienstanweisung über die Nutzung von In- formationstechnik durch Anwenderinnen und Anwender (MDA IT-Nutzung), die den ISRL jeweils als Anlage beigefügt sind. In der MDA Web-Nutzung wird empfohlen, den Nutzungsumfang für den Aufruf von Webseiten zu regeln. Die Nutzung ist gemäß Ziffer 5.6.1 der ISRL-IT-Nutzung entweder ausschließlich auf dienst- liche Zwecke zu begrenzen oder hat sich bei einer möglichen Freigabe für eine geringfügige private Webnutzung nach behördenspezifischen Dienstvereinbarungen zu richten. Auch hier bietet die Muster-Dienstvereinbarung über die private Nutzung von IT-Systemen (Anlage 2 der ISRL-IT-Nut- zung) Formulierungsvorschläge an. Von der Regelung der ausschließlich auf dienstliche Zwecke begrenzten Nutzung des Internetzu- gangs in der Rahmendienstanweisung aus dem Jahre 2000 ist im Wege von behördenspezifischen Dienstvereinbarungen innerhalb der Polizei Niedersachsen bislang nicht abgewichen worden. Auf den Umstand, dass Zugriffe aus der Polizei auf das Internet nur für dienstliche Zwecke zulässig sind, wird mit der Authentifizierung im System über eine spezielle Anmeldemaske nochmals hinge- wiesen. Am 18.11.2013 hat die Polizei einen weiteren eigenen zentralen Proxy-Server als zusätzliche Si- cherheitsmaßnahme in Betrieb genommen, da der bereitgestellte „Landes-Proxy“ die erhöhten Si- cherheitsanforderungen der Polizei, wie Virenschutz und Filterung aktiver Inhalte, nicht erfüllen kann. Dieser Proxy-Server ermöglicht technisch auch die personenbezogene Protokollierung der Internetnutzung anhand der vollständigen IP-Adresse und des individuellen Benutzerkürzels. Das individuelle Personenkürzel wird zurzeit allerdings nicht protokolliert. Insgesamt ist dazu auf der Grundlage des Personalvertretungsrechts ein Mitbestimmungsverfahren eingeleitet worden (§ 67 Abs. 1 Nr. 2 Niedersächsisches Personalvertretungsgesetz). Im Rahmen dieses Verfahrens wird auch geprüft, inwieweit eine Dienstvereinbarung gemäß § 78 NPersVG abgeschlossen werden kann, die die künftige Nutzung des Internets nicht nur ausschließlich für dienstliche Zwecke zulässt, sondern gegebenenfalls auch eine geringfügige private Nutzung ermöglicht. Dies vorausgeschickt, beantworte ich die Anfrage namens der Landesregierung wie folgt: Zu 1: Siehe Vorbemerkungen. Zu 2: Siehe Vorbemerkungen. Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/1892 3 Zu 3: Die derzeitige Protokollierung der vollständigen IP-Adresse (ohne individuelles Personenkürzel) ermöglicht technisch zwar grundsätzlich auch eine personenbezogene Zuordnung. Eine solche Zu- ordnung ist aber durch Erlassvorgabe innerhalb der Polizei nur zulässig, wenn sie zur Wiederher- stellung des sicheren und stabilen technischen Betriebs erforderlich ist. Im Übrigen darf die perso- nenbezogene Zuordnung der Aufzeichnung der Internetnutzung nur in den Ausnahmefällen gemäß StPO oder gemäß § 39 Abs. 2 NSOG erfolgen. Aus datenschutzrechtlicher Sicht wurden gemäß § 7 NDSG die erforderlichen technisch-organisa- torischen Maßnahmen getroffen, um einen angemessenen Schutz der Mitarbeiterdaten zu gewähr- leisten. Eine Verarbeitung außerhalb der festgelegten Zweckbestimmung bzw. zur Verhaltens- und Leistungskontrolle ist derzeit ausgeschlossen. Zu 4: Aktuell werden Regelungsinhalte für eine Dienstvereinbarung zwischen dem Landespolizeipräsidi- um und dem Polizeihauptpersonalrat (PHPR) gemäß § 78 NPersVG innerhalb des Ministeriums für Inneres und Sport abgestimmt. Der PHPR ist mit seinem Vorsitzenden bereits in den Abstim- mungsprozess einbezogen. Es ist beabsichtigt, eine Vereinbarung noch in diesem Jahr abzu- schließen. Im Übrigen verweise ich auf die Vorbemerkungen. Zu 5: Sowohl für Disziplinarmaßnahmen nach Abschnitt 2 des Niedersächsischen Disziplinargesetzes als auch für Disziplinarvorgänge, die nicht zu Disziplinarmaßnahmen geführt haben, gelten die Til- gungs- und Entfernungsfristen gemäß § 17 dieses Gesetzes. Insofern kann über bereits getilgte Verfahren der Vergangenheit keine Aussage getroffen werden. Mit dieser Vorbemerkung gibt es im Geschäftsbereich der Polizei im Kontext privater Internetnut- zung an dienstlichen Rechnern derzeit landesweit vier Disziplinarvorgänge. In zwei dieser Fälle ist dabei der Vorwurf der privaten Internetnutzung lediglich ein untergeordneter Bestandteil in wesent- lich komplexeren Disziplinarverfahren, mithin nicht der Hauptvorwurf. In Vertretung Stephan Manke (Ausgegeben am 29.08.2014) Drucksache 17/1892 Kleine Anfrage zur schriftlichen Beantwortung mit Antwort Anfrage des Abgeordneten Jan-Christoph Oetjen (FDP), eingegangen am 22.07.2014 Internetznutzung bei der Polizei - Datenschutz gewährleistet? Antwort der Landesregierung