Audit: Kreis Ostholstein
Prüfnummer 01/2002
Befristet bis 18.01.2005
Anschluss des internen Netzes der Kreisverwaltung Ostholstein an das Internet
1. Ausgangslage für das Auditverfahren
Bereits im Jahr 1999 hat die Kreisverwaltung Ostholstein damit begonnen, die datenschutzrechtlichen Vorschriften unter Berücksichtigung der aufbau- und ablauforganisatorischen Gegebenheiten für den geplanten Internetanschluss praxisbezogen umzusetzen. In einer Projektgruppe, bestehend aus Mitarbeitern der verschiedenen Fachbereiche, wurden Sicherheitsanforderungen an die konventionelle und automatisierte Datenverarbeitung festgelegt. Diese Konzepte wurden im Verlauf der Projektarbeit mit dem Unabhängigen Landeszentrum für Datenschutz (ULD) abgestimmt und optimiert. Folgende Aspekte sind hervorzuheben:
-
Die Leitungsebene stellte ausreichende personelle und zeitliche Ressourcen für die Bearbeitung datenschutzrechtlicher Vorgaben bereit.
-
Die Projektgruppe erstellte ein Datenschutzkonzept, das sich durch eine modulare und praxisbezogene Darstellung auszeichnet. Es beschreibt technische und organisatorische Sicherheitsmaßnahmen für die Bereiche "allgemeine und automatisierte Datenverarbeitung", "Internetdienste" sowie "Telekommunikation".
-
Die Sicherheitsanforderungen wurden der Leitungsebene (Landrat, Dezernenten und Fachbereichsleiter) im Rahmen einer Präsentation vorgestellt und mit ihr erörtert, so dass die Verantwortung für den Datenschutz und die Datensicherheit von ihr auch ausdrücklich mitgetragen wird.
-
Die Mitarbeiterinnen und Mitarbeiter wurden in mehreren Datenschutzseminaren bezüglich der einzuhaltenden Vorschriften geschult.
-
Im Rahmen der Internetanbindung wurden technische Voraussetzungen geschaffen, die die Nutzung der einzelnen Dienste unter Einhaltung datenschutzrechtlicher Vorschriften ermöglichen. Dazu gehören insbesondere die technischen und organisatorischen Regelungen für eine vertrauliche E-Mail-Kommunikation.
-
Die sicherheitstechnische Qualität der Internetanbindung wurde von einem externen Dienstleister nach vordefinierten Kriterien umfassend begutachtet.
-
Um die im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen zu realisieren, wurden praxisbezogene Dienstanweisungen für die Nutzung der Internetdienste erstellt.
-
Zur Umsetzung der Sicherheitsmaßnahmen wurden für Hard- und Sicherheitssoftware sowie für Beratungsdienstleistungen ca. 150.000 DM investiert.
Aufgrund der aus ihrer Sicht sicheren technischen Umsetzung der Internetanbindung strebte die Kreisverwaltung im Sommer 2001 die Auditierung dieses Verfahrens an. Am 18. Juni 2001 wurde zwischen dem ULD und der Kreisverwaltung Ostholstein eine Vereinbarung getroffen, nach der ein Behördenaudit für den "Anschluss des internen Netzes der Kreisverwaltung Ostholstein an das Internet" durchgeführt werden sollte.
2. Wesentlicher Inhalt der Datenschutzerklärung
Die von der Kreisverwaltung für das Auditverfahren entwickelten Aktivitäten wurden von ihr in einer Datenschutzerklärung dokumentiert. Sie wurde dem ULD im Dezember 2001 zur Begutachtung vorgelegt. Im Wesentlichen trifft sie folgende Aussagen:
a) Datenschutzziele
Mit dem Anschluss des internen Netzes der Kreisverwaltung an das Internet werden folgende Datenschutzziele verbunden:
-
Es ist ein ausreichender Schutz der internen automatisiert verarbeiteten Daten vor Angriffen aus dem Internet zu realisieren.
-
Die Kommunikation der über die Internetdienste "E-Mail" und "WWW" versendeten bzw. empfangenen Daten ist hinreichend zu sichern.
-
Die Einhaltung der getroffenen Sicherheitsmaßnahmen ist zu gewährleisten.
b) Technische und organisatorische Sicherheitsmaßnahmen
Grundlage für die Umsetzung der Datenschutzziele ist das "Sicherheitskonzept für die Internetdienste" und die "Dienstanweisung zur Nutzung der Internetdienste". Von besonderer Bedeutung ist, dass
-
die Verfügungsgewalt (Überwachung und Administration) über die eingesetzten Firewall-Komponenten bei der Kreisverwaltung liegt,
-
Angriffe auf der physikalischen Ebene erkannt und abgewehrt werden können,
-
eine Fernadministration der Firewall-Komponenten nicht gestattet ist,
-
E-Mails von den Mitarbeitern grundsätzlich verschlüsselt zu versenden sind,
-
nur die E-Mails an den Arbeitsplatz geleitet werden, die virenüberprüft sind und zugelassene Attachments (z.B. TXT, RTF) enthalten,
-
WWW-Seiten ohne dienstlichen Bezug deaktiviert sind,
-
nur Web-Seiten vertrauenswürdiger Organisationen freigeschaltet werden sowie
-
das "Herunterladen" ausführbarer Programme und Dateien auf die Arbeitsplätze nicht zugelassen ist.
Die im "Sicherheitskonzept für die Internetdienste" festgelegten technischen und organisatorischen Maßnahmen sind von einem externen Dienstleister anhand eines Anforderungskataloges überprüft worden. Zusammenfassend wird in diesem Gutachten festgestellt, dass bei Einhaltung der getroffenen Sicherheitsmaßnahmen ein Angriff auf das interne Netz der Kreisverwaltung über das Internet nicht zu einem Erfolg führen dürfte.
c) Datenschutzmanagementsystem
Das Datenschutzmanagement wird von mehreren Mitarbeitern der Kreisverwaltung wahrgenommen. Als Aufgabenbereiche werden insbesondere
-
die Dokumentation und Fortschreibung der Datenschutzziele,
-
die Schulung der Mitarbeiter in Bezug auf den Datenschutz und die Datensicherheit sowie
-
die Überwachung der Einhaltung und Umsetzung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen
genannt. Weiterhin wird dargestellt, welche Organisationseinheiten und Funktionsträger für die einzelnen Maßnahmen zur dauerhaften Einhaltung der Datenschutzziele verantwortlich sind. Änderungen, die die festgelegten Datenschutzziele bzw. das auditierte Verfahren beeinträchtigen, werden durch den Leiter des Hauptamtes dem ULD mitgeteilt.
d) Technische und organisatorische Anpassungen
Die Datenschutzerklärung enthält darüber hinaus Aussagen über die technischen und organisatorischen Anpassungen zur Behebung der im Rahmen der Begutachtung festgestellten Mängel. Im Wesentlichen werden folgende Maßnahmen aufgeführt:
-
Der Umfang der an den Arbeitsplätzen verfügbaren Funktionen soll mit Hilfe der Systemrichtlinien auf das dienstlich erforderliche Maß eingeschränkt werden.
-
Sicherheitsdefizite sollen aufgrund organisatorischer Regelungen bezüglich des Notfallmanagements frühzeitig festgestellt werden können.
-
Die Einhaltung der in der Dienstanweisung für die Internetdienste festgelegten Handlungsanweisungen soll in regelmäßigen Abständen stichprobenweise überprüft werden.
-
Die Administration des DZ-Routers soll nachvollziehbar dokumentiert werden.
Des Weiteren beabsichtigt die Kreisverwaltung zur Optimierung der Wahrnehmung der Datenschutzaufgaben einen behördlichen Datenschutzbeauftragten gemäß § 10 LDSG zu bestellen.
3. Datenschutzrechtliche Bewertung
Grundlage der nachfolgenden datenschutzrechtlichen Bewertung ist die vom Kreis Ostholstein abgegebene Datenschutzerklärung vom 30.11.2001.
Vorab ist darauf hinzuweisen, dass mit der Realisierung des Projektes "Anschluss des internen Netzes der Kreisverwaltung Ostholstein an das Internet" bereits im Dezember 2000 begonnen wurde. Daraus ergeben sich einige Abweichungen vom üblichen Ablauf eines Audit-Verfahrens nach den Ausführungsbestimmungen. Dennoch können die maßgeblichen Voraussetzungen für ein erfolgreiches Datenschutz-Behördenaudit im vorliegenden Falle als erfüllt angesehen werden.
Auf Grund des zum Zeitpunkt des Abschlusses der Vereinbarung über die Durchführung eines Datenschutz-Behördenaudits bereits fortgeschrittenen Stadiums des Projektes und der stetigen Einbeziehung des ULD seit Beginn des Projektes konnte auf eine förmliche Einhaltung aller Verfahrensschritte verzichtet werden.
Der Kreis Ostholstein hat dem ULD im Rahmen des Audit-Verfahrens folgende Unterlagen vorgelegt:
-
Datenschutzerklärung des Kreises Ostholstein vom 30.11.2001
-
Bericht der Firma NetUSE über die Sicherheitsüberprüfung des Internetanschlusses der Kreisverwaltung Ostholstein vom 15.06.2001
-
Sicherheitskonzept der Datenzentrale Schleswig-Holstein zum Schleswig-Holstein-Netz (SH-NETZ) vom 01.05.1999
-
Wartungsvertrag zwischen dem Kreis OH und der Firma Advantic vom 02.01.2001
-
Allgemeine Geschäftsbedingungen der Firma Lynet Kommunikation AG vom 24.08.2001
-
PGP-Grobkonzept der Firma Network-Associates vom 06.10.2000
-
Dienstanweisung zur Nutzung der Internet-Dienste beim Kreis Ostholstein vom 26.09.2001
-
Allgemeine Dienstanweisung zum Datenschutz und zur Datensicherheit in der Kreisverwaltung Ostholstein vom 01.06.2001
-
Dienstanweisung für den Umgang mit Informationsverarbeitungssystemen in der Kreisverwaltung Ostholstein (Administrationsebene) vom 01.06.2001
-
Anforderungen für die Abnahme des Internet-Anschlusses der Kreisverwaltung, Ostholstein vom Juni 2000
-
Datenschutzkonzept des Kreises Ostholstein vom 01.08.2000
-
TUI-Gesamtkonzept vom Juni 2000
Die
Festlegung der Datenschutzziele
sowie dieEinrichtung eines Datenschutzmanagementsystems
sind im Ergebnis in der Datenschutzerklärung des Kreises Ostholstein schlüssig und nachvollziehbar dokumentiert.
a) Festlegung der Datenschutzziele
Die Datenschutzerklärung enthält eine Festlegung der Datenschutzziele für das Verfahren "Anschluss des internen Netzes der Kreisverwaltung Ostholstein an das Internet". Demnach möchte der Kreis Angriffe über das Internet auf seine interne Datenverarbeitung verhindern, eine sichere Kommunikation über "E-Mail" und "WWW" gewährleisten sowie die Einhaltung der dafür notwendigen Sicherheitsmaßnahmen sicherstellen.
Von der Daten verarbeitenden Stelle ist zusätzlich festzulegen, in welchen Teilen des Verfahrens Verbesserungen des Datenschutzes erfolgen sollen. Für diese Teile sind konkrete Maßnahmen zu benennen und ein Zeitrahmen für deren Umsetzung festzulegen. Die Datenschutzerklärung des Kreises Ostholstein enthält eine Dokumentation der Datenschutzziele.
Der Datenschutzerklärung lässt sich entnehmen, dass die Kreisverwaltung Ostholstein eine Projektgruppe eingerichtet hat, die die für die Erreichung der Datenschutzziele notwendigen Aufgaben in einem Arbeits- und Zeitplan festgelegt hat. Sie verweist in diesem Zusammenhang auf den Inhalt des in dem Datenschutzkonzept des Kreises Ostholstein enthaltenen Sicherheitskonzeptes für die Internet-Dienste. Die dort niedergelegten Anforderungen sind unter dem Aspekt der Sicherheit und Revisionsfähigkeit der Datenverarbeitung nachvollziehbar und schlüssig dargelegt.
b) Einrichtung eines Datenschutzmanagementsystems
Die Einrichtung eines Datenschutzmanagementsystems ist als zentraler Gegenstand des gesamten Audit-Verfahrens anzusehen. Das Datenschutzmanagementsystem dient als Mittel zur Umsetzung der Datenschutzziele. Es stellt die interne Organisation der Daten verarbeitenden Stelle im Hinblick auf die Erreichung der Datenschutzziele und die Einhaltung der datenschutzrechtlichen Vorgaben dar. Es ist die Gesamtheit aus Zuständigkeiten, vorgeschriebenen Verhaltensweisen und Abläufen sowie sächlichen Mitteln, die zur Erreichung der Datenschutzziele dienen.
Grundlage für die Umsetzung der Datenschutzziele im Rahmen des Datenschutzmanagementsystems ist in erster Linie das Sicherheitskonzept für die Internet-Dienste und die Dienstanweisung für die Nutzung der Internet-Dienste. Die Dienstanweisung für die Nutzung der Internet-Dienste enthält detaillierte Anweisungen, die von den Mitarbeiterinnen und Mitarbeitern bei der Internet-Nutzung zu beachten sind.
Die Datenschutzerklärung enthält Vorgaben, welche Mitarbeiterinnen und Mitarbeiter mit bestimmten Aufgaben betraut sind. So obliegt die Dokumentation und Fortschreibung der Datenschutzziele sowie die Schulung der Mitarbeiterinnen und Mitarbeiter der Kreisverwaltung in Bezug auf den Datenschutz und die Datensicherheit dem Hauptamt. Die Überwachung der Einhaltung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen obliegt dagegen den Leiterinnen und Leitern der Fachämter.
Der Datenschutzerklärung lässt sich entnehmen, in welchen zeitlichen Abständen Schulungen in datenschutzrechtlichen Fragen durchgeführt oder aber in welcher Weise Rechtsänderungen im Bereich des Datenschutzrechts vom Hauptamt überwacht und den einzelnen Fachämtern bekannt gegeben werden.
Es handelt sich hierbei um praktikable Verfahrensweisen, die geeignet sind, die festgelegten Datenschutzziele in die Praxis umzusetzen und die auf diese Weise zu einem guten Datenschutzniveau beim Verfahren "Anschluss des internen Netzes der Kreisverwaltung Ostholstein an das Internet" führen werden.
Die der Datenschutzerklärung beigefügte Anlage "Technische und organisatorische Maßnahmen für die Mängelbeseitigung im Rahmen des Behördenaudits" zeigt noch bestehende Schwachstellen auf. Die dort enthaltenen Vorschläge zur Mängelbeseitigung, insbesondere die geplante Schaffung organisatorischer Regelungen für ein Notfallmanagement zur frühzeitigen Feststellung und Behandlung von Sicherheitsdefiziten, sind geeignet, datenschutzrechtlichen Risiken zu begegnen und stellen damit wirksame Bestandteile des Datenschutzmanagementsystems dar. Bei der Durchführung eines Audit-Verfahrens ist der oder dem behördlichen Datenschutzbeauftragten im Allgemeinen eine besondere Bedeutung beizumessen. Die Arbeitsbedingungen und Wirkungsmöglichkeiten der oder des behördlichen Datenschutzbeauftragten stellen einen wesentlichen Bestandteil des Datenschutzmanagementsystems dar, sodass in der Regel die Bestellung einer oder eines behördlichen Datenschutzbeauftragten als wichtige Voraussetzung eines Datenschutzmanagementsystems anzusehen ist. Der Kreis Ostholstein hat bislang auf eine förmliche Bestellung einer oder eines behördlichen Datenschutzbeauftragten gemäß § 10 Landesdatenschutzgesetz verzichtet. Allerdings soll eine förmliche Bestellung später erfolgen. Dies ist im Hinblick darauf, dass die Bestellung der oder des behördlichen Datenschutzbeauftragten fest geplant ist, hinnehmbar. Dabei spielt auch eine Rolle, dass nicht die gesamte Datenverarbeitung des Kreises Ostholstein auditiert werden soll, sondern nur der Anschluss der Kreisverwaltung an das Internet. Für diesen Teilaspekt der Datenverarbeitung des Kreises Ostholstein ist zunächst das bereits bestehende Datenschutzmanagementsystem ausreichend.
Der Datenschutzerklärung des Kreises Ostholstein lässt sich eine präzise namentliche Benennung einzelner für die Wahrnehmung von Datenschutzfragen zuständiger Mitarbeiter entnehmen. Ihre Tätigkeit ist inhaltlich bestimmt und durch einen konkreten Zeitplan gekennzeichnet. Dadurch ist eine gute Voraussetzung dafür geschaffen, dass die Erreichung der Datenschutzziele auch auf Dauer sichergestellt werden kann. Dies rechtfertigt es, die Verleihung des Datenschutzauditzeichens bereits zum jetzigen Zeitpunkt vorzunehmen.
Im Ergebnis lässt sich mithin feststellen, dass nach Abschluss des Audit-Verfahrens hinsichtlich des automatisierten Verfahrens "Anschluss des internen Netzes der Kreisverwaltung Ostholstein an das Internet" von einer Verbesserung der Datenschutzsituation innerhalb der Kreisverwaltung auszugehen und somit die Verleihung eines Auditzeichens gerechtfertigt ist.
