25. Tätigkeitsbericht (2003)

10

Gütesiegel und Audit

10.1

Pilotverfahren zum Datenschutzaudit abgeschlossen

Im Sommer 2001 begann im Rahmen einer Pilotierungsphase die konkrete Umsetzung des Datenschutz-Behördenaudits in die Praxis. Im Berichtszeitraum konnten die ersten Auditverfahren erfolgreich zum Abschluss gebracht werden.

Um erste Erfahrungen mit dem Datenschutz-Behördenaudit zu sammeln, haben wir nach Erlass der den Verfahrensablauf des Audits regelnden Ausführungsbestimmungen im Frühjahr 2001 eine Pilotierungsphase begonnen. Ziel war es, zunächst das nötige Know-how hinsichtlich dieses ganz neuen Instrumentes im Bereich des Datenschutzrechts zu entwickeln. In diesem Rahmen wurde einigen öffentlichen Stellen Schleswig-Holsteins die Möglichkeit eingeräumt, sich einem kostenlosen Datenschutzaudit zu unterziehen.

Bereits im letzten Tätigkeitsbericht (vgl. 24. TB, Tz. 10.6) konnte über den erfolgreichen Abschluss des Datenschutz-Behördenaudits beim Kreis Ostholstein im Januar 2002 berichtet werden. Das ursprünglich vom Innenminister begonnene Audit wird nicht weiterverfolgt, weil die Arbeit an dem zugrunde liegenden IT­Projekt unterbrochen wurde.

Mittlerweile wurde ein weiteres Pilotprojekt erfolgreich mit der Verleihung eines Datenschutzauditzeichens zum Abschluss gebracht. Die Gemeinde Büchen hat sich als erste Gemeinde in Deutschland mit ihrer gesamten Verarbeitung personenbezogener Daten einschließlich des neu eingeführten "Virtuellen Rathauses” einem Datenschutzaudit unterzogen. Die nach den Ausführungsbestimmungen erforderliche Datenschutzerklärung enthält neben einer Bestandsaufnahme der den Gegenstand des Audits bildenden Fachverfahren sowie der im "Virtuellen Rathaus” zum Einsatz kommenden Verfahren die Formulierung weiterer in einem präzise benannten Zeitraum noch zu erreichender Datenschutzziele. Das Datenschutzmanagementsystem enthält Vorgaben, die für eine dauerhafte Aufrechterhaltung des erreichten Datenschutzniveaus sorgen sollen. Die Datenschutzerklärung wurde von uns einer Begutachtung unterzogen. Insgesamt konnte der Gemeinde im Bereich der Verarbeitung personenbezogener Daten ein gutes datenschutzrechtliches Niveau bescheinigt werden. Mit der Einführung des "Virtuellen Rathauses” hat die Gemeinde aus unserer Sicht außerdem ein datenschutzgerechtes E-Government-Angebot geschaffen (vgl. Tz. 8.2).

Das Auditverfahren bei der Stadt Norderstedt stand bei der Erstellung dieses Berichtes kurz vor dem Abschluss.

Die von uns im Rahmen der Auditverfahren erstellten Kurzgutachten können von jedermann auf der Homepage unter

www.datenschutzzentrum.de/audit/

abgerufen werden. Dort finden sich auch zahlreiche Informationen und Materialien rund um das Thema Datenschutz-Behördenaudit.

Was ist zu tun?
Der Erfolg der Pilotverfahren zum Datenschutz-Behördenaudit zeigt, dass dieses neue Instrument des Datenschutzes jetzt in der Praxis angewandt werden kann.

10.2

Verträge über weitere Datenschutzaudits

Nach Abschluss der Pilotphase hat eine Reihe weiterer Auditverfahren begonnen, die zum Teil schon abgeschlossen sind. Die ersten Zertifikate wurden an den Landtag verliehen.

Die ersten beiden Audits nach der Pilotphase sind beim Schleswig-holsteinischen Landtag erfolgreich abgeschlossen (vgl. Tz. 3.2). Inzwischen wurden Verträge über eine Reihe weiterer Verfahren abgeschlossen. Im Einzelnen geht es dabei um Folgendes:

  • Das Auditverfahren beim Innenministerium betrifft die Betreiberfunktion des Innenministeriums für das landesweite Schleswig-Holstein-Netz.

  • Beim Ministerium für Finanzen und Energie wird die Betreiberfunktion des Ministeriums für das landesweite Sprachnetz einem Audit unterzogen.

  • Beim Kreis Segeberg wird im Rahmen des Programms "e-Region Schleswig-Holstein” (vgl. Tz. 9.4) eine Auditierung des geförderten Projektes "ressortübergreifendes Geo-Informationssystem” sowie des Projektes "Verwaltung 2000”/"Verwaltung.vol-net” durchgeführt.

  • Beim Kreis Schleswig-Flensburg geht es um die Anbindung des internen Netzes an das Internet.

    • Das Auditverfahren bei der Stadt Bad Schwartau bezieht sich auf die Anbindung des internen Netzes an das Internet sowie darüber hinaus auf die Sicherheit und Ordnungsmäßigkeit der gesamten automatisierten Verarbeitung personenbezogener Daten innerhalb der Stadtverwaltung.

Was ist zu tun?
Die Nachfrage nach Audits zeigt, dass vielen Behörden, die ein vorbildliches Datenschutzkonzept anstreben, mit dem Datenschutzaudit ein attraktives neues Instrument zur Verfügung steht.

10.3

Gütesiegel

10.3.1

Akkreditierung von Gutachtern

  • Die Antragsverfahren in Zahlen

Anträge auf Anerkennung als Sachverständiger oder sachverständige Prüfstelle konnten seit November 2001 gestellt werden. Bislang sind bei uns 23 Anträge auf Anerkennung eingegangen. Zwei Anträge wurden zwischenzeitlich zurückgenommen, drei Anträge wurden abgelehnt, und sieben Verfahren laufen noch. Ende Dezember 2002 waren elf Sachverständige und sachverständige Prüfstellen aus dem gesamten Bundesgebiet von uns anerkannt. Wir erkennen sowohl einzelne Sachverständige als auch sachverständige Prüfstellen unter der Leitung einer fachkundigen Einzelperson an. Beide Möglichkeiten wurden mit der Anerkennung von drei Prüfstellen und acht einzelnen Sachverständigen realisiert.

Die Datenschutzauditverordnung (DSAVO eröffnet die Möglichkeit, sich entweder für die Gebiete Recht und Technik oder beschränkt auf eines der beiden Gebiete anerkennen zu lassen. Von der Möglichkeit der beschränkten Anerkennung machten sieben der von uns anerkannten Gutachter und Prüfstellen Gebrauch. Dies trägt der Tatsache Rechnung, dass die hohen Anforderungen an die Fachkunde häufig eine arbeitsteilige Erstellung der Gutachten notwendig machen. In vielen Fällen kooperieren deshalb technische und rechtliche Gutachter bei der Erstellung der Gutachten, sodass bei der Begutachtung "doppelter Sachverstand” präsent ist.

  • Erkenntnisse aus den Antragsverfahren

Die Datenschutzauditverordnung und die daraus entwickelten Anerkennungsregeln haben den Praxistest bestanden. Die in der DSAVO aufgezeigten Möglichkeiten sind von den Zielgruppen angenommen worden. Dazu gehören insbesondere die Anerkennung sowohl von einzelnen Gutachtern als auch von organisatorischen Einheiten und die Möglichkeit der Beschränkung auf ein Fachgebiet mit einer daraus folgenden Kooperation zwischen den Gutachtern.

Es zeigte sich, dass die geforderte einschlägige berufliche Erfahrung im Datenschutz (drei bzw. fünf Jahre) oftmals noch nicht oder nur schwer nachzuweisen ist. Dabei war allerdings deutlich sichtbar, dass der Datenschutz sich als Geschäftsfeld mit eigenem Markt gerade in den letzten zwei Jahren etabliert hat und - durchaus im Gegensatz zu manch anderen Bereichen im IT-Sektor - ein Wachstumsmarkt ist. Dies ist im Zusammenhang mit dem weiter erfolgreichen Sektor der IT-Security nicht überraschend. Erfreulich ist, dass die Antragsteller meist durch zunehmende Anfragen und Drängen von Kunden in den Datenschutzbereich expandiert haben. Der Datenschutz wird tatsächlich zum marktwirtschaftlichen Wettbewerbsvorteil!

  • Gebühren sparen mit dem Bausteinmodell

Die Anträge weisen nicht selten einen gewissen Grad an Unvollständigkeit auf. Dies führte bei uns durch den umfangreichen Schriftverkehr bezüglich der Nachforderungen zu einem hohen Arbeitsaufwand. Wir haben deshalb in unsere Gebührensatzung ein Bausteinmodell eingeführt. Damit kann der Antragsteller jetzt durch die Vollständigkeit seines Antrags zu einem nicht geringen Teil auch über die Höhe der von ihm zu zahlenden Gebühren entscheiden. Je weniger Dienstleistungen wir für den Antragsteller im Antragsverfahren erbringen müssen, desto geringere Gebühren sind von diesem zu zahlen. Erste Erfahrungen zeigen, dass der Anreiz zur Kostenminimierung für eine sorgfältigere Antragsvorbereitung sorgt.

  • Feed-back von akkreditierten Gutachtern

Im Anschluss an die Sommerakademie 2002 fand ein Workshop mit den bisher akkreditierten Gutachtern statt. Es stellte sich dabei heraus, dass die bisherigen Kriterien ein breites Maß an Freiheit für die Beibringung von Unterlagen durch die Produktanbieter erlauben. Gutachter, die entsprechend ihrer bisherigen Prüfpraxis in anderen Bereichen umfängliche und tief greifende Gutachten anbieten, werden bei Ausschreibungen durch die Hersteller von Produkten bisher aus Kostengründen eher seltener berücksichtigt. Wir werden die Prüftiefe daher zukünftig verbindlicher festlegen.

10.3.2

Erfahrungen mit den ersten Gutachten

Die ersten Gutachten haben gezeigt, dass die Bereitstellung einer prüffähigen Musterkonfiguration des Produkts sowie die entsprechende Dokumentation die Grundlagen einer erfolgreichen Begutachtung darstellen. Typische Schwachstellen traten in folgenden Bereichen auf:

  • unzureichende Produktdokumentation, insbesondere fehlende Benutzerhandbücher, Risikoanalysen, Konfigurationshinweise;

  • die freie Konfigurierbarkeit der Produkte konnte gerade zu datenschutzfeindlichen Konfigurationen führen;

  • nicht dokumentierte und offene Schnittstellen, durch die unzulässige Nutzungen von Daten möglich waren (Export von datenschutzgerechten Listen in Standard-Officeanwendungen, um dort dann Verknüpfungen mit der Folge von unzulässiger Auswertung vorzunehmen);

  • Mängel bei der Abgrenzung der Produkte, fehlende Einbeziehung der Basissysteme und deren Sicherheits- und Datenschutzeigenschaften;

    • Vermischung von rechtlichen, technischen und wirtschaftlichen Aspekten bei den Feststellungen und Beurteilungen im Gutachten.

Wir drängen aufgrund dieser Erfahrungen verstärkt darauf, dass die Hersteller eine prüffähige Musterkonfiguration definieren und bereitstellen, die den Anwendern dann später als Orientierungshilfe für den Einsatz des Produktes dienen kann. Eine schnellere Klärung von Rückfragen, die sich aus einer unzureichenden oder missverständlichen Dokumentation im Gutachten ergeben, ist nach unserer Erwartung durch die Vorlage des Produktes in seiner Prüfkonfiguration gegeben.

10.3.3

Fortentwicklung der Produktkriterien

Im März 2003 haben wir eine überarbeitete Version der Produktdokumentation veröffentlicht. In dieser Version sind Hinweise von Gutachtern sowie Erfahrungen mit den ersten bei uns eingereichten Gutachten berücksichtigt worden.

Durch die allgemein gehaltenen Produktkriterien wird eine weitere Annäherung an etablierte Standards angestrebt. Hier sind insbesondere die Common Criteria beispielhaft zu nennen. Diese Anpassung erfolgt auch vor dem Hintergrund, dass zukünftig gegenseitige Anerkennungen von Gutachten und Prüfzertifikaten mit anderen Prüfstellen (Landesdatenschutzbeauftragte, privatrechtliche Prüfinstitute usw.) auch im Hinblick auf eine zu erwartende bundeseinheitliche Regelung erfolgen sollen.

Informationen zur Produktdokumentation unter:

www.datenschutzzentrum.de/download/proddoku.pdf

Informationen über die überarbeiteten Produktkriterien unter:

www.datenschutzzentrum.de/guetesiegel/formgs.htm



Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel