Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

9

Gütesiegel und Audit

9.1

Gütesiegel

9.1.1

Anerkennung von Sachverständigen und Prüfstellen

Sachverständige und Prüfstellen können aufgrund ihrer Fachkunde, Unabhängigkeit und Zuverlässigkeit von uns anerkannt werden und dürfen danach Produkte im Gütesiegelverfahren begutachten.

Wir prüfen IT-Produkte nicht selbst. Diese Aufgabe übernehmen externe Sachverständige und sachverständige Prüfstellen, die wir zuvor in Bezug auf Fachkunde, Unabhängigkeit und Zuverlässigkeit überprüft haben. Wir sprechen auch auf Anfragen interessierter Hersteller und Vertriebsfirmen keine Empfehlungen hinsichtlich einzelner Gutachter aus, sondern führen ein elektronisches Register der anerkannten Sachverständigen und Prüfstellen, in das diese ihre Spezialgebiete eintragen lassen können. Interessenten entscheiden selbst, wem sie die Begutachtung ihres Produktes anvertrauen.

www.datenschutzzentrum.de/guetesiegel/registga.htm

Anträge auf Anerkennung als Gutachter können fortlaufend gestellt werden. Bis zum Redaktionsschluss sind 14 Gutachter und Prüfstellen anerkannt worden; weitere Anträge sind in der Bearbeitung. Es wurden vier Ablehnungen ausgesprochen, und weitere vier Antragsteller nahmen ihre Anträge nach Beratung zurück. Interessenten können sich - abhängig von der jeweiligen Fachkunde - für die Bereiche Recht und/oder Technik bewerben. Nachzuweisen sind eine adäquate Ausbildung/Fortbildung sowie entsprechende berufliche Erfahrungen. Hat der Antragsteller ein einschlägiges Hochschulstudium absolviert, muss er drei Jahre berufliche Erfahrung mit Schwerpunkt ”Datenschutzbezogene Sicherheitsprobleme im IT-Sektor” nachweisen. Eine Anerkennung ist aber nicht nur für Personen möglich, die ein Hochschulstudium absolviert haben. Auch Interessenten, die eine hervorragende anderweitige Aus- und Fortbildung und fünf Jahre einschlägige praktische Erfahrungen nachweisen können, kommen als Sachverständige in Betracht.

Eine Besonderheit besteht darin, dass nicht nur Einzelpersonen als Sachverständige anerkannt werden können, sondern auch Organisationen oder organisatorische Einheiten innerhalb von Organisationen. Die Fachkunde der Leitung bestimmt den Prüfungsscope der Prüfstelle, sodass eine Prüfstelle unter einem Leiter mit nachgewiesener Fachkunde Technik keine Rechtsprüfung durchführen darf. Auch die Unabhängigkeit der Sachverständigen und Prüfstellen wird geprüft. Dabei sind sowohl die äußere Unabhängigkeit - gegenüber dem Auftraggeber - als auch die innere Unabhängigkeit - gegenüber dem Arbeitgeber - nachzuweisen.

Sachverständige und Prüfstellen werden unbefristet anerkannt. Gleichwohl handelt es sich bei Fachkunde, Zuverlässigkeit und Unabhängigkeit um Voraussetzungen, die auf Dauer gewährleistet sein müssen. Aus diesem Grund obliegen den anerkannten Gutachtern und den Prüfstellenleitern diverse Pflichten zur regelmäßigen Beibringung von Unterlagen. Dazu gehören zum Beispiel der Nachweis von besuchten Fortbildungsveranstaltungen und die erneute Vorlage von Behördenführungszeugnissen im Abstand von drei Jahren.

Die Kosten der Anerkennung richten sich nach einer Gebühren- und Entgeltsatzung und sind entscheidend abhängig von der Qualität und der Vollständigkeit des Antrags. Das Verfahren wird umso günstiger, je weniger Nachforderungen geltend zu machen sind. Die Qualität der Anträge hat sich vor dem Hintergrund dieser Gebührenpolitik deutlich verbessert.

9.1.2

Erfahrungen mit den bisherigen Gutachten

Die Begutachtung verlangt eine enge Verzahnung von Recht und Technik sowie eine sinnvolle Strukturierung. Entscheidend ist dabei die exakte Abgrenzung des Zertifizierungsgegenstandes einschließlich der Definition der Schnittstellen und der Darstellung der Einsatzszenarien.

Mit der Begutachtung von Produkten unter datenschutzrechtlichen und datenschutztechnischen Aspekten haben die meisten der von uns anerkannten Gutachter Neuland betreten. Sie können sich nicht auf bereits vorhandene Kriterienkataloge oder Protection Profiles für das jeweilige Produkt stützen, sondern müssen diese erst selbst erarbeiten. Eine Herausforderung ist insbesondere die Verzahnung zwischen Recht und Technik. Die bisherigen Zertifizierungsverfahren haben uns davon überzeugt, dass das Verfahren durch eine weitere Vereinheitlichung und stärkere Strukturierung der Begutachtung gewinnen wird.

Wir haben im Rahmen der kontinuierlichen Ergänzung und Fortschreibung unserer Anforderungskataloge und Verfahren unsere Erkenntnisse aus den abgeschlossenen und laufenden Antragsverfahren aufgearbeitet und in Regeln zur Strukturierung und Erarbeitung von Gutachten zusammengefasst. Durch die Umsetzung dieser Regeln werden die Gutachten künftig einheitlich strukturiert sein und die Prüfung und Vergleichbarkeit der Gutachten erleichtern; dies sorgt auch für eine geringere Verfahrensdauer und niedrigere Gebühren. Am Anfang eines jeden Gutachtens steht die umfassende Beschreibung des Begutachtungsgegenstands einschließlich aller Schnittstellen sowie der Primär- und Sekundärdaten; dabei ist der Gegenstand der Begutachtung sinnvoll von der Umgebung abzugrenzen.

Profil und Bewertung der einzelnen Anforderungen müssen vollständig vorhanden und voneinander deutlich getrennt sein sowie miteinander korrespondieren. Bewertet werden nur Aspekte, die im Anforderungsprofil genannt wurden; alle im Anforderungsprofil genannten Aspekte werden adressiert. Das Gutachten muss aus sich heraus verständlich sein, d. h. relevante Rechts- und Technikfragen sind sämtlich zu erläutern; auch in kooperativer Zusammenarbeit erstellte Teilgutachten (Recht/Technik) müssen aus sich heraus einzeln verständlich sein. Es ist ein Datenflussmodell anzufertigen und zu erläutern. Dabei ist insbesondere auf die Identifikation der unterschiedlichen Datenarten zu achten, da die hier gewonnenen Erkenntnisse der Strukturierung des folgenden Gutachtens dienen.

Die Praxis hat gezeigt, dass ein Bedürfnis nach der Begutachtung und Zertifizierung von Produkten mit multiplen Einsatzbereichen besteht. Dies ist sowohl mit einem dedizierten Einsatzszenario als auch ohne Benennung eines konkreten Einsatzzieles möglich. Bei allgemein gehaltener Zertifizierung - ohne Einsatzszenario - muss dem Produkt ein Dokumentationsteil beigefügt werden, in dem sowohl aus technischer als auch aus rechtlicher Sicht deutlich dargestellt ist, wie das Produkt datenschutzgerecht eingesetzt werden kann und in welcher Konfiguration/Installation und mit welchen Schnittstellen und Randbedingungen das Produkt zertifiziert wird (Transparenz).

Soweit möglich, müssen darüber hinaus die möglichen Einsatzbereiche des Produktes deutlich dargestellt werden, sodass eine Art ”Einsatzbandbreite” des Produktes definiert wird. Die Schnittstellen zu möglichen angeschlossenen Applikationen (Frontends, Backends, anschließende Applikationen) müssen eindeutig definiert sein. Auch bei Produkten mit vielfältigen Einsatzgebieten ist in der Regel eine rechtliche Begutachtung notwendig. Es ist mindestens erforderlich, die auch ohne Betrachtung eines konkreten Einsatzszenarios infrage kommenden rechtlichen Regelungen zu identifizieren und das Produkt an deren Maßstab zu prüfen und zu bewerten. Grundlegende, allgemeine Vorschriften zum Datenschutz sind in jedem Fall zu untersuchen.

Produkte mit vielfachen Einsatzmöglichkeiten erhalten eine Zertifizierung bei eingeschränkter rechtlicher Begutachtung mit klarem Hinweis auf ihre besonderen universellen/multiplen Eigenschaften. Dabei muss der genaue Gegenstand der Zertifizierung deutlich gemacht werden. Antrag und Zertifikat müssen sich auch hier entsprechen. Der Hersteller muss auch in der Folge zweifelsfrei kenntlich machen, dass sein Produkt das Gütesiegel ohne konkretes Einsatzgebiet und gegebenenfalls ohne dedizierte Applikation bzw. Frontend erhalten hat.

9.1.3

Fortentwicklung der Produktkriterien

Mit den gewonnenen Erfahrungen aus den durchgeführten Gütesiegelverfahren geht die Weiterentwicklung des Anforderungskataloges einher. Seitens der Gutachter besteht verständlicherweise ein Interesse an einem möglichst exakt gefassten und bei der Begutachtung einfach handhabbaren Kriterienkatalog, andererseits muss der Katalog der Produktkriterien für unterschiedlichste IT-Produkte geeignet sein. Eine reine Prüfcheckliste kommt hierbei nicht in Betracht, da sich die Anforderungen an die zu begutachtenden IT-Produkte unterscheiden.

Zur CeBIT 2003 haben wir eine aktuelle Version des Anforderungskataloges für die Begutachtung von IT-Produkten im Rahmen des Gütesiegelverfahrens, Kommentare und Hinweise zum Anforderungskatalog und Anforderungen an die Produktdokumentation als Broschüre und als über das Internet abrufbares Dokument veröffentlicht. In dieser Fortschreibung des Anforderungskataloges wird unter anderem Möglichkeiten der Modularisierung und der Kompatibilität mit den Common Criteria (CC) nachgegangen. In Kooperation mit anderen Behörden und der Privatwirtschaft, z. B. in Form einer Projektgruppe ”Datenschutzaudit”, wird auch weiterhin an der Modularisierung und Kompatibilität mit anderen Zertifizierungswerken gearbeitet. Darüber hinaus wurden in der Neuauflage des Anforderungskataloges die Anforderungen an die Produktdokumentation überarbeitet.

www.datenschutzzentrum.de/download/proddoku.pdf

Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat ein Workshop zu den Common Criteria stattgefunden. Hier konnten wir nicht nur von der Erfahrung des BSI mit den Common Criteria profitieren, sondern es soll nunmehr auch geprüft werden, ob und in welchem Umfang die CC für das Datenschutz-Gütesiegel nutzbar gemacht werden können. Für die praktische Durchführung von Gütesiegelverfahren wird es aus den genannten Gründen zwar nicht möglich sein, Checklisten zur Verfügung zu stellen, es ist aber denkbar, Kernteile von Schutzprofilen auszuarbeiten und diese als Module für die Gutachter (z. B. als Modul für Verschlüsselung o. Ä.) zur Verfügung zu stellen. Wir werden dieser Frage weiter nachgehen. Darüber hinaus ist es für die Aussagekraft und Vergleichbarkeit des schleswig-holsteinischen Gütesiegels sinnvoll und wünschenswert, sich an internationalen Standards für die Zertifizierung von IT-Produkten zu orientieren.

Wir werden uns weiter aktiv an der Projektgruppe ”Datenschutzaudit” beteiligen und im ständigen Dialog mit den Gutachtern stehen. Die Abstimmung mit bestehenden und bewährten Zertifizierungswerken zur IT-Sicherheit stellt ein komplexes Feld dar. Die Übertragung dieser Kriterienkataloge auf das Datenschutz-Gütesiegel ist nicht ohne weiteres möglich, da die Anforderungen des Datenschutzes aufgrund der zu berücksichtigenden gesetzlichen Grundlagen an vielen Stellen nicht deckungsgleich mit den Fragen der IT-Sicherheit sind. Ein Modulkonzept könnte auch ein Weg zur Angleichung an internationale Verfahren zur IT-Sicherheit sein. Die Arbeit in den Projektgruppen wie auch die praktische Durchführung von Gütesiegelverfahren werden auch weitere Erkenntnisse für die nächste Version des Anforderungskataloges bringen.

9.1.4

Rezertifizierung von Produkten

Wir haben ein Verfahren zur Rezertifizierung von IT-Produkten entwickelt, die für die Dauer von zwei Jahren ein Datenschutz-Gütesiegel erlangt haben. Diese Regelungen enthalten Schwellenwerte, die bei der Entscheidung über die Notwendigkeit einer Rezertifizierung bei Änderungen der Produkte Anwendung finden.

Datenschutz-Gütesiegel werden für die Dauer von zwei Jahren vergeben. Diese Begrenzung der Laufzeit schafft den Ausgleich zwischen der Planungssicherheit des Herstellers und der Tatsache, dass sich juristische und technische Rahmenbedingungen im Bereich der Informationstechnologie dynamisch entwickeln. Der Anforderungskatalog für Produkte ist daher ebenfalls nicht statisch, sondern wird ständig fortgeschrieben. In die Fortentwicklung des Kataloges können zukünftig auch Protection Profiles einfließen, wie sie zurzeit - etwa im Rahmen des Projektes PETTEP (Privacy Enhancing Technologies - Testing and Evaluation Project) - erarbeitet werden. Wir arbeiten in diesen Fragen auch mit dem Bundesamt für Sicherheit in der Informationstechnik zusammen.

Nachdem wir im Dezember 2002 das erste Datenschutz-Gütesiegel vergeben konnten, haben wir in diesem Jahr das Verfahren zur Rezertifizierung entwickelt und zunächst im August 2003 im Rahmen eines Workshops im Kreise der anerkannten Sachverständigen und Prüfstellen vorgestellt und diskutiert. Das Verfahren wurde der Öffentlichkeit zur CeBIT 2004 in Hannover bekannt gegeben. Dies gibt den Herstellern bereits zertifizierter Produkte ausreichend Vorlauf, sich auf die Rezertifizierung ihres Produktes vorzubereiten. Zukünftig weiß außerdem jeder interessierte Hersteller bereits am Anfang der Entscheidung zu einer Zertifizierung mit dem Datenschutz-Gütesiegel über das Verfahren, die Kosten und die Umstände einer Rezertifizierung Bescheid.

Nach dem Ablauf der zweijährigen Laufzeit für das Datenschutz-Gütesiegel ist eine Rezertifizierung in jedem Fall erforderlich, um auf dem neuesten Stand werben zu können, auch wenn das Produkt nicht verändert wurde. Wurde das Produkt nicht verändert, sondern ist gegenüber dem zertifizierten Prüfmuster ”baugleich” geblieben, so beauftragt der Hersteller einen Gutachter oder eine Prüfstelle mit der erneuten Prüfung des Produktes einschließlich der Produktdokumentation. Die Verwendung bestehender Unterlagen, z. B. aus dem ursprünglichen Zertifizierungsverfahren, ist möglich. Der Gutachter bzw. die Prüfstelle prüft und aktualisiert gegebenenfalls das Anforderungsprofil hinsichtlich eventuell erfolgter gesetzlicher Änderungen sowie hinsichtlich des Standes der Technik. Auf dieser Basis ist dann eine Neubewertung des Produktes vorzunehmen. In der Regel ist dieses Verfahren wesentlich einfacher als eine Erstzertifizierung.

Sollte das Produkt gegenüber der zertifizierten Prüfversion verändert worden sein, legt der Hersteller dem von ihm beauftragten Gutachter bzw. der Prüfstelle das veränderte Produkt, die aktualisierte Dokumentation sowie zusätzlich eine Aufstellung der Veränderungen (Synopse) vor. Danach prüft der Gutachter/die Prüfstelle die Anforderungsprofile in rechtlicher und technischer Hinsicht und bewertet das Produkt anhand der so gewonnenen aktuellen Profile neu.

Situationen, die eine Rezertifizierung erforderlich machen, können auch schon während der zweijährigen Laufzeit eintreten, z. B. wenn das Produkt zwar kaum verändert wird, aber nicht mehr ”baugleich” mit der geprüften Version ist. Wenn Veränderungen die Vorschriften über den Datenschutz und die Datensicherheit tangieren, stellt der Hersteller dies eigenverantwortlich fest und nimmt Kontakt zu den Gutachtern/der Prüfstelle auf. Er legt das veränderte Produkt mit der fortgeschriebenen Dokumentation sowie einer Aufstellung der Veränderungen (Synopse) vor. Der Gutachter/die Prüfstelle stellt das Ausmaß der Veränderung fest und entscheidet, ob die Erheblichkeitsschwellen für die Rezertifizierung überschritten werden.

Überschreiten die im Produkt vorgenommenen Veränderungen nach der Einschätzung des Gutachters/der Prüfstelle die definierten Erheblichkeitsschwellen, so ist das Verfahren zur Rezertifizierung einzuleiten; das Siegel wird am Ende des Verfahrens erneut für den vollen Zeitraum von zwei Jahren erteilt. Die Kosten der Rezertifizierung sind in aller Regel deutlich niedriger als bei einer Erstzertifizierung. Die Frage, an welche Veränderungen die Pflicht zu einer erneuten und vorzeitigen Zertifizierung zu knüpfen ist, ist schwierig eindeutig zu beantworten. Wir haben uns der Definition so genannter Erheblichkeitsschwellen mithilfe von Beispielen angenähert. Veränderungen können in folgenden Bereichen auftreten (Auszug):

Veränderungen des Produktes: Änderung der Versionsnummer, datenschutzrelevante Funktionsänderungen bzw. -erweiterungen,

Veränderungen des Einsatzgebietes, die die Heranziehung weiterer/anderer rechtlicher Grundlagen erforderlich machen,

Veränderung der technischen und/oder rechtlichen Grundlagen.

Weitere Informationen zum Thema Rezertifizierung/Erheblichkeitsschwellen sind zu finden unter

www.datenschutzzentrum.de/download/rezert.pdf

9.1.5

Gütesiegel

Der mit dem Datenschutz-Gütesiegel angestrebte Wettbewerbsvorteil realisiert sich durch die Bevorzugung gesiegelter Produkte in öffentlichen Ausschreibungen. Wir arbeiten daran, dass die öffentlichen Stellen des Landes bei Beschaffungen das Datenschutz-Gütesiegel als Auswahl- und Bewertungskriterium in Ausschreibungen aufnehmen. Erste Erfolge sind zu verzeichnen.

Mittel- und langfristig wird das Datenschutz-Gütesiegel erfolgreich sein, wenn die Unternehmen, die finanzielle Mittel in die Zertifizierung investieren, damit auch den erhofften Wettbewerbsvorteil realisieren können. Konkret heißt das: Gesiegelte Produkte müssen sich in Ausschreibungen signifikant gegenüber nicht gesiegelten Produkten durchsetzen. Die Regelung des § 4 Absatz 2 LDSG, die öffentlichen Stellen vorschreibt, gesiegelte Produkte bevorzugt zu beschaffen, setzt dieses Ziel rechtlich um. Nachdem wir inzwischen zwölf Gütesiegel vergeben haben, sind wir aktiv geworden, um in den Beschaffungsstellen des Landes Schleswig-Holstein das Bewusstsein für die Aufnahme des Siegels in die Ausschreibungen zu schaffen bzw. zu stärken.

Mit dem Gebäudemanagement Schleswig-Holstein haben wir eine Vereinbarung darüber getroffen, in welcher Weise das Datenschutz-Gütesiegel in die Verdingungsunterlagen der Ausschreibungen und die Bewertung der angebotenen Produkte einfließen wird. Das Datenschutz-Gütesiegel wird in Zukunft mit einem Anteil von 30 % bewertet. Wir haben außerdem Städte, Kreise und Gemeinden sowie dataport als zentrale Beschaffungsstellen für Behörden angeschrieben. Auch dataport hat zugesichert, bei eigenen Beschaffungen und bei Ausschreibungen von Rahmenverträgen im Hard- und Softwarebereich das Datenschutz-Gütesiegel in die Leistungsbeschreibungen aufzunehmen; dataport wird darüber hinaus im Rahmen der laufenden Geschäftsbeziehungen ihre jeweiligen Partner auf die Vorteile des Datenschutz-Gütesiegels hinweisen. Ein Landkreis entschied sich in einem Beschaffungsvorgang zwar für ein Produkt ohne Gütesiegel, machte die Auftragsvergabe aber vom nachträglichen Erwerb des Gütesiegels abhängig. Es ist auch sinnvoll, das Datenschutz-Gütesiegel als Kriterium in die Ausschreibung aufzunehmen, wenn in einer Produktgruppe noch kein Gütesiegel vergeben wurde. Den Anbietern wird dadurch signalisiert, dass sie in Zukunft mit entsprechenden Qualitätsanforderungen rechnen müssen.

Das Datenschutz-Gütesiegel hat auch das Ziel, die Einhaltung der Datenschutzregeln für die Verwaltungsbehörden einfacher und rationeller zu gestalten. Die nach dem LDSG erforderliche Vorabkontrolle vor der Einrichtung oder wesentlichen Änderung automatisierter Verfahren kann z. B. dadurch erheblich erleichtert werden, dass für gesiegelte Produkte ein technisch-organisatorisches Einsatzmodell einschließlich Hinweisen für Verfahrensbetreuer bereits im Rahmen der Gütesiegelverfahren verlangt wurde, das konkrete Anhaltspunkte für die Praxis geben soll; darüber hinaus wird auch unser Kontrollaufwand sowie in der Folge der übliche Erörterungsaufwand reduziert.

Einige Hersteller konnten uns bereits einige Wochen bzw. Monate nach der Erlangung des Datenschutz-Gütesiegels durch ihr Produkt von Vertriebserfolgen mithilfe des Gütesiegels berichten.

9.1.6

PETTEP - Privacy Enhancing Technologies Testing and Evaluation Project

Privacy Enhancing Technologies machen sich auf dem Markt auch heute noch rar. Was sind Kriterien für diese datenschutzfördernde Technik? Wie kann man erkennen, dass ein Produkt wirklich datenschutzfördernd ist? Das Datenschutz-Gütesiegel kann Vorbild für internationale Datenschutzkriterien sein, an denen sich Technik messen lässt.

Parallel zu unseren langjährigen Überlegungen zum Datenschutz-Gütesiegel entwickelten sich ähnliche Gedanken bei Datenschutzkollegen im Ausland. Besonders aktiv war die Datenschutzdienststelle (”Information and Privacy Commissioner”) Ontario, Kanada, die im März 2001 damit begann, ein internationales Team aufzubauen, das Kriterien für datenschutzfördernde Technik entwickeln soll. Das Team ”PETTEP - Privacy Enhancing Technologies Testing and Evaluation Project” besteht aus Experten aus Verwaltung, Wirtschaft, Wissenschaft und der Datenschutzszene. Mitglieder kommen u. a. von dem Canadian Security Establishment, dem US Department of Defense, von IBM, Microsoft und von Datenschutzbeauftragten, auch aus Kiel.

Zum PETTEP-Gründungsworkshop mit internationaler Beteiligung hatten wir im September 2001 nach Kiel eingeladen. Seitdem hat es weitere Workshops in San Francisco, Dresden und nochmals in Kiel (anlässlich der Sommerakademie 2003) gegeben, in denen die nach und nach erarbeiteten Resultate vorgestellt und diskutiert wurden. Aktuell wird versucht, die international anerkannten Datenschutzeckpunkte ”Fair Information Practices” in ein Schutzprofil nach den international standardisierten Sicherheitskriterien Common Criteria (vgl. 25. TB, Tz. 10.3.3) zu gießen.

www.cdt.org/privacy/guide/basic/fips.html

Auf unseren Vorschlag wurden die Vorlagen u. a. um Kriterien für Datensparsamkeit erweitert, die von den ”Fair Information Practices” nicht explizit genannt werden, denen aber zumindest ansatzweise bereits in den Common Criteria Rechnung getragen wird. Zusätzlich wird gesammelt, was an Datenschutzforderungen nicht von den Common Criteria in der jetzigen Fassung abgedeckt wird, um Nachbesserungsvorschläge in die internationale Standardisierung zu tragen. Wir bringen die Erfahrungen mit unserem Datenschutz-Gütesiegel in die PETTEP-Arbeit ein und verfolgen aufmerksam andere Ansätze aus der ganzen Welt. Unsere Motivation für die Mitwirkung an PETTEP ist es, unsere schleswig-holsteinischen Gütesiegelkriterien in die weltweite Fachdiskussion einzubringen.

9.2

Datenschutzaudit

9.2.1

Allgemeine Erfahrungen

Das Datenschutzaudit hat sich in Schleswig-Holstein etabliert. Der Nutzen für die Behörden ist größer als erwartet und rechtfertigt den mit einer sorgfältigen Bestandsaufnahme verbundenen Aufwand. Vor allem aber bewirken die Audits eine deutliche Verbesserung des Datenschutzniveaus. Wir können zwischenzeitlich auf eine zweijährige Erfahrung zurückblicken. Ein erstes Resümee ist daher gerechtfertigt.

Das Datenschutzaudit erweist sich als außerordentlich erfolgreich. Das Interesse der Behörden an diesem Angebot ist weitaus größer, als wir in unseren optimistischsten Planungen angenommen haben. Die zur Verfügung stehenden personellen Kapazitäten sind für die nächsten 18 Monate voll ausgebucht. Es konnten bereits sieben Audits erfolgreich abgeschlossen werden. An acht Audits wird zurzeit in den betreffenden Behörden gearbeitet. Wir begleiten diese Projekte parallel. Mit einer etwa gleich großen Zahl von Behörden stehen wir in Vertragsverhandlungen. Unser Hauptproblem besteht darin, ein Zeitfenster zu finden, in dem wir die auf uns entfallenden Arbeiten abwickeln können.

Die Gründe für die positive Reaktion der Behörden auf das Auditangebot sind vielschichtig. Im Wesentlichen werden uns folgende genannt:

• Trotz des durchaus strengen formalen Gerüstes für das Auditverfahren bietet es eine ausreichende Flexibilität, um die jeweiligen Besonderheiten in den Behörden und bezüglich des Auditierungsgegenstandes zu berücksichtigen.

• Der erfolgreiche Abschluss eines Audits stellt für die Behörden einen ”Mehrwert” dar, da damit in der Regel wesentliche Optimierungen der Verarbeitungsprozesse auch jenseits der Datenschutzfragen verbunden sind.

• Die Behörden können den Anteil der personellen Unterstützung durch uns bei der Durchführung des Audits weitgehend selbst festlegen und noch im Verlaufe des Verfahrens verändern.

• Defizite, Fehlentwicklungen usw., die im Rahmen des Audits festgestellt und behoben werden, sind nicht Gegenstand von Darstellungen in unserem Tätigkeitsbericht. Es können Teilbereiche der Verarbeitungsprozesse in einer Behörde auditiert und deren Ergebnisse auf andere Teilbereiche übertragen werden (Prinzip des ”best practice”).

Die Vorgaben über die Durchführung des Auditverfahrens in den Anwendungsbestimmungen zum Datenschutzaudit sind abstrakt und allgemein gehalten. Wir haben daher für die interne Bearbeitung von Auditverfahren ein Ablaufschema entwickelt. Darin werden die organisatorischen Abläufe festgehalten und Kriterien für die Beurteilung eines Auditverfahrens vorgegeben. Die einzelnen Schritte des Auditverfahrens, insbesondere Bestandsaufnahme und Datenschutzmanagementsystem, werden in ihren Inhalten genau erläutert. Anhand dieser Darstellung ist eine einheitliche Überprüfung durch uns gewährleistet.

Die Abwicklung der Auditierungsverfahren läuft allerdings häufig etwas anders ab, als wir es uns in der Theorie vorgestellt haben. Von den fünf Schritten

• Bestandsaufnahme,

• Festlegung der Datenschutzziele,

• Einrichtung des Datenschutzmanagementsystems,

• Begutachtung und

• Verleihung des Auditzeichens

erfordert die Bestandsaufnahme einen zunehmend großen zeitlichen Aufwand. Außerdem dauern viele Audits wesentlich länger als ursprünglich geplant. Die Gründe hierfür sind positiver Natur: Die Praktiker in den Behörden haben schnell erkannt, dass bereits der Prozess einer exakten und umfassenden Bestandsaufnahme unter unserer methodischen und oft auch inhaltlichen Regie quasi automatisch eine Vielzahl von Schwachstellen und Inplausibilitäten zutage treten lässt. In mehreren Fällen hat es dazu geführt, dass das gesamte IT-Konzept ”über den Haufen geworfen”, ein neues Konzept entwickelt und das unterbrochene Audit auf der neuen Basis fortgesetzt wurde. Unterbrechungszeiten von mehreren Monaten sind dabei keine Seltenheit. In dieser Zeit reißt der Kontakt zu uns nicht ab. In regelmäßigen Abständen gibt es Zwischenkontrollen, um zu vermeiden, dass durch Einzelfestlegungen die Zielrichtung des Datenschutzmanagementsystems infrage gestellt wird.

In anderen Fällen wurden unsere Mitarbeiter besonders intensiv in die Bestandsaufnahme eingebunden, weil eigenes Personal nicht aus dem Tagesgeschäft abgezogen werden konnte oder weil es ihm schwer fiel, die selbst entwickelten Lösungen infrage zu stellen. Bemerkenswert war in allen Fällen, dass nahezu alle rechtlich bzw. sicherheitstechnisch besonders kritischen Sachverhalte bereits während der Bestandsaufnahme einer Lösung zugeführt werden konnten. Die Formulierung der Datenschutzziele und die Ausgestaltung des Datenschutzmanagementsystems stellten sich oft nur als eine Auswertung der bereits zu einem früheren Zeitpunkt getroffenen Vorentscheidungen dar. Diese Arbeiten fielen zeitlich kaum noch ins Gewicht.

Grundsätzlich soll der personelle Aufwand, den die Unterstützung der Behörden bei der Durchführung des Audits und die Zertifizierung erfordern, durch Gebühren gedeckt werden. Dieses Ziel konnten wir noch nicht voll erreichen (vgl. Tz. 9.1). Das liegt zum einen daran, dass der Umfang unserer Beteiligung an den Audits vorab nur schwer zu schätzen ist. Zum anderen sind die Budgets der Behörden für derartige Projekte sehr schmal. Nachforderungen bei einem erhöhten Aufwand unsererseits sind praktisch nicht durchzusetzen. Die dauerhafte Finanzierung des für die Audits eingesetzten Personals muss daher alsbald sichergestellt werden. Das dürfte auch im Interesse des Landes und der ”kommunalen Familie” liegen.

Das Land hat nämlich ein ”gesamtwirtschaftliches” Interesse daran, dass auch die Kommunen über das Landesnetz kommunizieren. Wie kann man aber 237 Verwaltungschefs davon überzeugen, dass ein solcher Anschluss keine negativen Folgen für die eigenen IT-Systeme haben kann? Dies könnte über ein Audit zu bewerkstelligen sein. Auch auf der Ebene der Kreise werden die einzelnen Gemeinden zu einer Vernetzung ihrer Systeme über Kreisnetze nur bereit sein, wenn ein unabhängiger Dritter die Risikolosigkeit dieser Verfahrensweise bescheinigt hat.

Außerdem will der Innenminister die Qualität der Melderegister dadurch erhöhen, dass alle Meldebehörden technisch miteinander verknüpft werden, um bei Ummeldungen durch Datenabgleiche Unstimmigkeiten feststellen zu können. Ziel ist sogar eine deutschlandweite Vernetzung. Die dafür erforderlichen Datendrehscheiben und Clearing-Stellen bedürfen einer ganz besonders sorgfältigen und allseits akzeptierten Zertifizierung. Schließlich werden die meisten E-Government-Projekte auf Internet-Basis ablaufen. Das damit verbundene ”Wurmrisiko” wird nur über eine zertifizierte Schnittstelle des Landesnetzes gemildert werden können.

Vor dem Hintergrund, dass das schleswig-holsteinische Datenschutzaudit in absehbarer Zeit durch ein Bundesauditgesetz und entsprechende Gesetze in anderen Bundesländern ”Mitstreiter” bekommen könnte, wird das im Augenblick zwischen dem KomFIT und uns diskutierte Thema der Synchronisation von Zertifikaten bald eine bundesweite Resonanz finden. Deshalb ist es zu begrüßen, dass auf dem letzten KomFIT-Workshop sich eine Arbeitsgruppe speziell mit der Fortentwicklung der Zertifizierung kommunaler Software beschäftigt hat. Endgültige Beschlüsse sind noch nicht gefasst worden. Es gibt aber Anzeichen, dass sich beide Verfahren methodisch aneinander angleichen werden. Das wird ihren Stellenwert im Gesamtgefüge der Zertifikate heben.

In der ”Auditpipeline” befinden sich derzeit z. B. das Projekt ”Verwaltung 2000” und das Netz des Kreises Segeberg, das Landesnetz, das Sprachnetz, das Terminal-Server-Konzept, der Stadt Bad Schwartau, das elektronische Handelsregister, die Vertrauensstelle des Krebsregisters und der Internet-Anschluss der Stadt Neumünster.

Alle Kurzgutachten des ULD zu den abgeschlossenen Auditverfahren finden sich im Internet unter

www.datenschutzzentrum.de/audit/register.htm

9.2.2

Datenschutzaudit

Mit der Verleihung des Datenschutzauditzeichens an die Stadt Norderstedt im Rahmen der Sommerakademie 2003 konnten die im Jahre 2001 begonnenen Pilotverfahren zum Datenschutz-Behördenaudit endgültig abgeschlossen werden.

Das Auditverfahren bei der Stadt Norderstedt bezog sich auf die Einführung eines Personalverwaltungs- und Informationssystems, das der Wahrnehmung von Personalverwaltungsaufgaben dient. Bei der Einführung des Systems wurden die geltenden Vorschriften zu Datenschutz und Datensicherheit von vornherein berücksichtigt. Bereits vor Beschaffung der Software erstellte die Stadt ein ausführliches Pflichtenheft, in dem die an das System zu stellenden Anforderungen dargelegt wurden. Während des Auditverfahrens wurde dieses Pflichtenheft einer ständigen Bearbeitung und Anpassung im Hinblick auf die datenschutzrechtlichen Vorgaben unterzogen. Geeignete technische Maßnahmen sorgen für deren Einhaltung. Es ist Sorge dafür getragen, dass eine laufende Anpassung an gegebenenfalls geänderte sachliche und rechtliche Anforderungen auch in Zukunft stattfinden wird.

Unsere Begutachtung der von der Stadt Norderstedt vorgelegten Datenschutzerklärung zeigt, dass die Stadt Norderstedt bei der Einführung des Personalverwaltungs- und Informationssystems ein gutes datenschutzrechtliches Niveau erreicht hat. Entsprechend den Vorgaben unserer Ausführungsbestimmungen zu den Einzelheiten des Auditverfahrens hat die Stadt Norderstedt ein Datenschutzmanagementsystem eingerichtet, das die internen Organisationsregelungen der Stadtverwaltung im Hinblick auf die Erreichung der in der Bestandsaufnahme genannten Datenschutzziele sowie die Einhaltung der datenschutzrechtlichen Vorgaben enthält. Es ist geeignet, eine dauerhafte Aufrechterhaltung des erreichten Datenschutzniveaus zu gewährleisten.

9.2.3

Datenschutzaudit

Auch wenn zwei Kreisverwaltungen beim Anschluss ihres lokalen Netzwerks sehr unterschiedliche technische Lösungen gewählt haben, sind beide Ergebnisse so gut, dass ihnen ein Auditzeichen verliehen werden konnte. Dies zeugt von der Flexibilität des Verfahrens.

Nachdem bereits vor zwei Jahren der Kreis Ostholstein die Verknüpfung seines lokalen Netzes in der Kreisverwaltung mit dem Internet erfolgreich auditieren ließ (vgl. 24. TB, Tz. 10.6), hat der Kreis Schleswig-Flensburg im Jahr 2003 nachgezogen. Zwar ging es auch hier um die Anbindung an das Internet, aber nicht um die gleiche technische Realisierung. Während in Ostholstein der Übergang über dataport realisiert worden ist und man problematische Internet-Seiten über eine so genannte Positivliste blockt, hat man in Schleswig-Flensburg eine eigene Firewall installiert und setzt spezielle Softwareprodukte ein, um gegen Angriffe aus dem Internet gewappnet zu sein. So unterschiedlich die Techniken auch sein mögen, sie führen zu vergleichbar guten Ergebnissen. Auch die Gesamtorganisation des Internet-Anschlusses bewegt sich in beiden Verwaltungen auf einem vergleichbaren hohen Niveau. Dazu gehört selbstverständlich die E-Mail-Verschlüsselung sowie die Protokollierung und systematische Auswertung sicherheitsrelevanter Ereignisse. Beide Projekte wurden vom Verwaltungsmanagement initiiert, das die Durchführung konstruktiv begleitete.

Wegen der im Pilotprojekt beim Kreis Ostholstein gewonnenen Erfahrungen und durch eine sehr gute Zusammenarbeit zwischen der IT-Abteilung und den behördlichen Datenschutzbeauftragten konnte der Kreis Schleswig-Flensburg die Phasen ”Bestandsaufnahme”, ”Festlegung der Datenschutzziele” und ”Einrichtung eines Datenschutzmanagementsystems” weitestgehend ohne unsere Unterstützung abwickeln. Diese idealtypische Konstellation führte dazu, dass nur unwesentliche Kosten für die Begutachtung und Zertifizierung durch uns anfielen.