Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Freitag, 19. Juni 2015

Verwendung von Tablets durch Gemeindevertreter

Mehrere Gemeinden haben sich mit der Frage an das ULD gewandt, wie eine datenschutzkonforme Nutzung von Tablets für Gemeindevertreter ausgestaltet sein kann.  Nachstehend werden die Anforderungen an die technischen und organisatorischen Maßnahmen skizziert. Die Umsetzung im Einzelnen ist dabei von den Gegebenheiten vor Ort abhängig, z.B. der bereits vorhandenen IT-Infrastuktur der Gmeinde, der Auswahl der Geräte oder der Ausgestaltung des Nutzungsverhältnisses.

Kommunale Mandatsträger dürfen als Funktionsträger der Behörde personenbezogene Daten nur verarbeiten, soweit dies zur rechtmäßigen Aufgabenerfüllung erforderlich ist. Für die Datenverarbeitung durch die Mandatsträger ist das Landesdatenschutzgesetz (LDSG) anwendbar. Für die Mandatsträger ergibt sich parallel zu den Anforderungen des LDSG die Verschwiegenheitspflicht über alle in der ehrenamtlichen Tätigkeit bekannt gewordenen Anliegen aus § 21 Abs. 2 bis 5 GO bzw. § 27 Abs. 3 KO. Die Mandatsträger haben daher die erforderlichen Maßnahmen zur Datensicherheit gemäß § 5 LDSG zu treffen. Insoweit sind sowohl die Gemeinde als auch die Mandatsträger selbst in der Pflicht. Eine Bereitstellung von sicherer datenschutzkonform ausgestalteter Hardware durch die Kommune kann einen wichtigen Beitrag zur Datensicherheit leisten und eine wertvolle Hilfe für die Arbeit der ehrenamtlich Tätigen. Dem Bürgermeister fehlt es gegenüber der Gemeindevertretung an einer Weisungsbefugnis, um notwendige Detailregelungen zum Datenschutz zu treffen. Dienstanweisungen zum Datenschutz entfalten deshalb gegenüber Gemeindevertretern keine Wirkung (wie hier: ULD, „Verarbeitung personenbezogener Daten durch Gemeindeverteter“) Die Gemeindevertretung sollte sich daher in eigener Kompetenz Regelungen geben z.B. als Teil oder Annex zur Geschäftsordnung. Den nachstehenden Ausführungen liegt das Konzept zu Grunde, dass die Gemeinde den Mandatsträgern die Hardware zielgerichtet für die Wahrnehmung des Mandats zur Verfügung stellt und durch eine weitergehende Betreuung die Mandatsträgern beim datenschutzkonformen Einsatz unterstützt. Diese Darstellung ist als Muster zu verstehen, wie sich das ULD eine datenschutzkonforme Umsetzung vorstellt. Andere Modelle sind denkbar, z.B. eine Übereignung der Tablets an die Mandatsträger. Diese  wurden hier aber nicht im Detail erörtert. Solche Umsetzungen sollten den nachstehend skizzierten Schutz für die von den Mandatsträgern verarbeiteten Daten entsprechend gleichwertig sicherstellen, wobei insbesondere vom Anwender installierte Apps keine Gefahr für die Daten der Kommune darstellen dürfen.

Bei der Einführung von Tablets zur Nutzung durch Gemeindevertreter zur Verarbeitung personenbezogener Daten ist insbesondere zu beachten:

  • Die Dokumente, die für Sitzungen typischerweise genutzt werden, sind nach Schutzbedarf zu typisieren. Daten für nicht-öffentliche Beratungen sind, wenn diese nicht weiter differenziert werden, pauschal als „hoch“ einzustufen. Soweit sich in der Praxis neben Unterlagen zu nicht-öffentlichen Beratungen weitere Dokumente als besonders schutzwürdig herausstellen, ist deren Kennzeichnung sowohl in Papierform als auch für die digitale Verarbeitung durch die Verwaltung vorzunehmen. Die Kennzeichnung der digitalen Dokumente kann auch für die Zugriffssteuerung nutzbar gemacht werden (Zugriff nur über gesicherte Leitung, nur für Mitglieder des konkret betroffenen Gremiums, also Ratsversammlung oder Ausschuss). Die Geräte müssen von der Kommune gestellt und von der IT des Amtes administriert werden.
  • Es müssen Nutzungsregelungen vorgesehen werden. Mangels Verbindlichkeit von Dienstanweisungen sind diese entweder als Nutzungsvereinbarung mit allen teilnehmenden Mandatsträgern oder als Regelung des betroffenen Organs also z.B. als Annex zur Geschäftsordnung zu fassen. Die Nutzungsregelungen sollten vorsehen:
    • dass das Tablet nicht offen zugänglich oder an unsicheren Orten (PKW) unbeaufsichtigt verwahrt wird,
    • dass ohne Mitwirkung und Zustimmung der Verwaltung keine zusätzlichen Apps installiert werden,
    • dass das Tablet nicht privat genutzt wird.
    • Die Kommune behält sich das Recht vor, die Geräte auf die vereinbarungsgemäße Nutzung zu kontrollieren. Die Kontrolle durch die IT-Abteilung sollte dabei im Vier-Augen-Prinzip erfolgen. Auf Wunsch des Betroffenen ggf. zusätzlich unter Hinzuziehung einer weiteren neutralen Person (behDSB, Personalrat). Gegebenenfalls hat sich die Gemeinde das Recht vorzubehalten, den vereinbarungskonformen Einsatz im Wohnraum unter Wahrung des Art. 13 GG zu kontrollieren.

Mit dem Ausscheiden aus der Gemeindevertretung sollten die Geräte eingesammelt und einer Neuinstallation unterzogen werden. Sollen die alten Tablets privat bei den Vertretern bleiben, sind zuvor die dienstlichen Daten zu löschen. Eine Beurteilung unter dem Gesichtspunkt „geldwerte Vorteile“ kann durch das ULD nicht erfolgen.

  • Die Nutzung anderer privater Geräte (Laptops, Handys) ist für sensible Daten zu untersagen. Zur Eingruppierung der Daten siehe oben Punkt 1.
  • Unterlagen für nicht-öffentliche Sitzungen sind auf gesichertem Wege elektronisch bereitzustellen oder per Papier an die Gemeindevertreter zu übermitteln.
  • Es sind die Anforderungen nach § 5 LDSG zu erfüllen. Hier geht es insbesondere um folgende Schutzziele:
    • Verfügbarkeit: Entsprechend dem festgestellten Schutzbedarf ist sicherzustellen, dass die Ratsmitglieder die erforderlichen Informationen auf dem Tablet bei Bedarf – insbesondere in den Sitzungen – zur Verfügung haben. Zu denken ist an den zeitgleichen Zugriff auf Unterlagen zum gleichen Tagesordnungspunkt. Bei der Verfügbarkeit ist auch zu denken an Aspekte wie die Stromversorgung und Verfügbarkeit des Netzzugangs. Gleiches gilt für die Wahl der Programme zum Anzeigen und Bearbeiten der nötigen Dokumente.
    • Integrität: Es ist sicherzustellen, dass die angezeigten Informationen den im Ratsinformationssystem hinterlegten Daten entsprechen. Gegebenenfalls muss erkennbar sein, welche Datei die aktuelle Version des Dokuments ist. Von den Ratsmitgliedern im Tablet eingegebene Informationen müssen korrekt in das System übernommen werden.
    • Vertraulichkeit: Der unberechtigte Zugriff von Dritten auf das Tablet ist zu unterbinden (Passwortschutz mit einem hinreichend langen und komplexen Passwort). Der Speicherbereich des Geräts ist zu verschlüsseln. Dabei ist nach Möglichkeit eine Vollverschlüsselung vom Betriebssystem und allen Daten zu wählen oder zumindest die Nutzung eines Verschlüsselungscontainers (z.B. mit Truecrypt7.1a). Bei der Kommunikation zwischen Tablet und Ratsinformationssystem müssen die Daten beim Transport verschlüsselt sein. Zu denken ist hier an die Einrichtung eines VPN. Dabei sollte TLS mit einem eigenen Zertifikat und einer Passwort-Absicherung zur Anwendung kommen.
    • Nicht-Verkettbarkeit: Durch Dienstanweisung ist sicherzustellen, dass die dienstlich bzw. im Rahmen des Ehrenamtes verarbeiteten Daten ausschließlich für diesen Zweck Verwendung finden. Eine entsprechende allgemeine Pflicht zur Verschwiegenheit ergibt sich bereits aus der Gemeindeordnung und sollte deklaratorisch für die digitale Datenverarbeitung wiederholt werden. Außerdem ist anzustreben, den Personenbezug von Daten auf der inhaltlichen Ebene zu gering wie möglich zu gestalten. Letzteres ist mit Blick auf mögliche Weitergaben durch die Ratsmitglieder an Dritte im Rahmen von Rücksprachen oder der Einsichtsrechte von Personen nach dem IZG ohnehin für Dokumente der Verwaltung sinnvoll (leichte Anonymisierbarkeit, weil identifizierende Angaben nur in Adresszeile, Anrede und „Rubrum“ verwendet werden).
    • Transparenz: Den Nutzern der Geräte sind mit der Nutzungsvereinbarung die technischen Bedingungen für die Nutzung mitzuteilen. Soweit eine Fernortung und Deaktivierung möglich ist, sind hier insbesondere deren Voraussetzungen zu definieren.
    • Intervenierbarkeit: Die Geräte müssen im Bereich der Wartung der zuständigen IT-Abteilung sein. Das soll sicherstellen, dass jederzeit eine professionelle Administration des Systems möglich ist und bspw. aktuelle Updates und Patches aufgespielt und Maßnahmen zum Schutz vor Schadsoftware getroffen werden (können). Zusätzlich kann die ordnungsgemäße Nutzung des Systems kontrolliert werden. Sofern das System Funktionen zum Deaktivieren oder Löschen aus der Ferne im Verlustfall unterstützt, sollten diese aktiviert werden. Das Ratsmitglied ist durch Dienstanweisung zu verpflichten, einen Verlust umgehend einer konkret in der Anweisung benannten Stelle zu melden. Es sind zudem Regelungen zu treffen bzgl. des Löschens von Altdaten und zur Qualität des Löschens, unter Berücksichtigung auch der Datenbestände in Backups.
  • Es ist vor einer Inbetriebnahme eine vollständige Dokumentation nach DSVO zu fertigen, insbesondere in Berücksichtigung von den §§ 3-5 DSVO.
  • Besondere Hinweise für die Nutzung von iPads:
    • Vertraulichkeit: Geräte mit iOS Betriebssystem sind seit Version 4 werksseitig vollverschlüsselt. Die darüber hinausgehend seit iOS 7 eingesetzte Verschlüsselung bestimmter sensibler Teile von Programmen ist nur aktiv, wenn ein PIN-Code zum Entsperren (oder: Fingerabdruck-Identifikation) aktiv ist. Werkseitig ist ein „einfacher Code“ mit 4 Zahlen eingestellt. Diese Option sollte auf ein angemessen sicheres Passwort geändert werden.
    • Nicht-Verkettbarkeit/Transparenz: Soll eine AppleID eingerichtet werden, muss abgewogen werden, ob jeder Nutzer eine eigene ID erhält oder eine einzelne administrierte ID genutzt wird. Aus Datensparsamkeitserwägungen wäre die Vergabe einer einzelnen ID vorzuziehen, da die mit der ID zusammen hängenden Datenübermittlungen an Apple oder Dritte so weniger nutzerbezogen sind. Allerdings wäre damit zwangsweise ein einheitliches AppleID-Kennwort zu vergeben, was u.U. ermöglichen würde, dass alle Nutzer die über Apple-Dienste synchronisierte Kommunikation (iMessage, Facetime Videochat) gleichermaßen einsehen können. Diese Dienste wäre dann sinnvollerweise zu deaktiveren.
      Sofern die „Find my iphone“ Funktion genutzt werden soll, ist die Nutzung von iCloud unumgänglich. Dabei sollte genau beachtet werden, welche genutzten Programme Daten im iCloud Drive Speicher ablegen. Je nach genutzten Programm (Adobe für PDF, MS Word für DOCs usw) muss diese Funktion u.U. einzeln deaktiviert werden. Gleichzeitig muss aber beachtet werden, dass mit „find my iPhone“ stets auch die Fernortung der einzelnen Geräte der Gemeinderatsmitglieder verknüpft ist. Es wäre anzuraten, Netzwerkverbindungen und GPS-Ortung zu deaktivieren, sofern nicht benötigt.
    • Intervenierbarkeit: Die Fernlöschung von iOS Geräten ist notwendigerweise mit der Nutzung von iCloud verbunden und nur möglich, wenn das Geräte mit dem Internet verbunden ist. Soll diese Funktion dauerhaft verfügbar sein, muss in der Gemeinde entschieden werden, ob die damit verbundene dauerhafte Ortung des Geräts mit der Tätigkeit der Gemeindevertreter vereinbar ist.
  • Besondere Hinweise zur Nutzung von Android Tablets:
    • Vertraulichkeit: Bei Android Geräten ist (mit Ausnahmen von Version 5.0) die Verschlüsselung nicht werkseitig vorgegeben, sondern muss manuell aktiviert werden. Je nach Hersteller entspricht das dafür zu wählende Kennwort entweder dem Entsperr-PIN oder kann unabhängig davon definiert werden. Auch in ersterem Fall ist ein angemessen sicheres Kennwort zu wählen.
    • Integrität: Android Tablets bieten die Möglichkeit, Programme außerhalb des Google Appstores zu installieren. Die dazu nötige Freigabe der Installation von Apps aus „Unbekannten Quellen“ kann die Kontrolle der Integrität der installierten Programme verbessen, sollte aber mit entsprechenden Hinweisen bezüglich der Gefahr der Installation solcher einhergehen, soweit die Installation eigener Programme nicht ohnehin in den Nutzungsregelungen verboten wird.
    • Nicht-Verkettbarkeit/Transparenz: Soll für das Tablet ein Google Account genutzt werden, stellt sich (wie bei iOS) die Frage, ob einzelne Ratsmitglieder individuelle Accounts oder einen gemeinsamen Account nutzen. Insofern gilt das zu den iPads Gesagte. Tablets mit Betriebssystemversion Android 5 und höher bieten die Möglichkeit, individuelle Nutzerprofile zu erstellen. Soll ein gemeinsamer Google Account genutzt werden, kann darüber eine minimale Trennung zwischen administriertem Google Account und individuellem Gerätekonto des Gemeinderatsmitgliedes realisiert werden
      Je nach Hersteller ist die Nutzung von Geräteortung und Fernlöschung ebenfalls an das Google Konto oder ein Hersteller-Konto gebunden. Die bezüglich iPads diskutierte Abwägungen zwischen jederzeitiger Ortbarkeit und jederzeitiger Fernlöschung ist in gleichem Maße zu treffen.
      Das zu iCloud Gesagte gilt im Übrigen entsprechend für die Nutzung von synchronisierten Google Diensten (Kommunikation und Cloudspeicher)
    • Intervenierbarkeit: Je nach Hersteller ist die andauernde Versorgung mit Updates und Sicherheitspatches unterschiedlich gut gewährleistet. Insoweit wird die Nutzung von Geräten mit bekanntermaßen langer Updateversorgung oder eine eigene Updateversorgung über Drittanbieter-Betriebssysteme empfohlen.

Solange die Schutzmaßnahmen nicht installiert, Dienstanweisungen nicht anerkannt und eine vollständige Dokumentation nicht vorliegen, sind Daten mit einem hohen Schutzbedarf ausschließlich auf Papier zugänglich zu machen. Wenn die Kontrolle durch den behördlichen Datenschutzbeauftragten entlang allgemeinen Anforderungen für IT-Systeme und der hier skizzierten besonderen Voraussetzungen für Tablets erfolgt ist, kann das System freigegeben werden.