Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

6         Systemdatenschutz

6.1         Der Datenschutzzyklus

Ob Landes- oder Kommunalverwaltung – die Begleitung und Beratung von Einzelprojekten des E-Government gehört zu unserem täglichen Geschäft. Ziel ist eine datenschutzkonforme und sichere Datenverarbeitung in den Verwaltungen im Interesse der Beschäftigten sowie der Bürgerinnen und Bürger durch frühestmögliche Beratung und Unterstützung der Verantwortlichen.

Unser Augenmerk liegt dabei sowohl auf der Gestaltung und Konfiguration der eingesetzten Informationstechnik als auch auf den organisatorischen Rahmenbedingungen der Anwendungen und Fachverfahren. Es genügt nicht, Anforderungen zu formulieren; diese müssen auch in die Verfahren und die Organisation implementiert werden. Die steigende Nachfrage zeigt, dass wir mit unserem kooperativen Ansatz richtig liegen. Die Korrektur eines gravierenden Konzeptfehlers in einem Fachverfahren ist erheblich aufwändiger als die Berücksichtigung und Implementierung der Datenschutzanforderungen bereits von der Planungsphase an. Mit fortschreitender Entwicklung des E-Government gewinnen Standardprodukte und -verfahren eine immer größere Bedeutung. Wo immer es möglich ist, konzentrieren wir unsere Beratungsressourcen auf datenschutzrelevante Standardverfahren, von denen zu erwarten ist, dass sie in Zukunft in vielen Verwaltungen von Bedeutung sein werden. Dies gilt für Verfahren der IT-Basisinfrastruktur wie auch für Anwendungen der Fachverfahren. Ein Beispiel ist unsere Veröffentlichung "Datenschutzanforderungen an Dokumentenmanagementsysteme" (Tz. 6.6), die aus einem intensiven Beratungsprozess mit dem Finanzministerium entstanden ist. Deren Ergebnisse stehen unmittelbar auch anderen Behörden zur Verfügung. Natürlich beraten wir ebenso bei Fragen, die im laufenden Betrieb eines Verfahrens auftauchen.

Konzeption und damit auch die Beratung werden erleichtert, wenn die Verwaltungen auf Produkte zurückgreifen, deren Grundeinstellungen (englisch: "default") bereits in einem Verfahren überprüft und in Form eines Datenschutz-Gütesiegels bestätigt wurden. Das Landesdatenschutzgesetz setzt explizit auf diesen Vereinfachungsmechanismus. Von Jahr zu Jahr erweitert sich das Angebot der mit einem Datenschutz-Gütesiegel versehenen Produkte (Tz. 9.2).

Standardverfahren sind wichtig. Von nicht geringerer Bedeutung ist die datenschutzkonforme Implementierung der Verfahren in konkreten Anwendungsbedingungen. Im Regelfall ist dies keine Hexerei. Die Praxiserfahrungen zeigen aber, dass die Tücken im Detail liegen: bei der Planung und Umsetzung, bei der Organisation des Datenschutzmanagements durch die Formulierung der Dienstanweisungen, bei der Mitbestimmung, bei der Erstellung des Berechtigungskonzeptes, bei der Festlegung der Verwendungszwecke, bei der Speicherung und Löschung der anfallenden Protokolldaten ... Mit dem Datenschutz-Audit hat der Gesetzgeber ein Instrument entwickelt, mit dem die verantwortlichen Stellen ihr Datenschutzkonzept einschließlich der Implementierung von automatisierten Verfahren überprüfen lassen können (Tz. 9.1).

Proaktiver Datenschutz kann Kontrollen vor Ort nicht völlig ersetzen. Nicht jede Verwaltung ist bereit oder in der Lage, einen ordnungsgemäßen Zustand ihrer Datenverarbeitung zu gewährleisten. Mit Kontrollen vor Ort werden die Säumigen gemahnt, und das ULD wird in die Lage versetzt, die Praxis vor Ort kennen zu lernen und daraus Hilfestellungen zu entwickeln. Es nützt wenig, eine Lawine an Beanstandungen loszutreten, wenn es an konzeptionellen und pragmatischen Hilfestellungen fehlt. Hilfen sind unsere Informationen, unsere Beratung, die Schulung von IT-Verantwortlichen und Datenschutzbeauftragten über die DATENSCHUTZAKADEMIE. Es ist für uns eine permanente Herausforderung, dieses Angebot zu verbessern.

Vom Datenschutzzyklus sprechen wir, um das ULD-Angebot über die gesamte Prozesskette der Entwicklung des E-Government zu verdeutlichen: von der frühzeitigen Konzeptberatung, der Unterstützung der Beschaffung durch geprüfte, mit einem Gütesiegel versehene Produkte, der Auditierung ihrer Implementierung im Rahmen eines Datenschutzmanagements und schließlich auch der Instrumente der Datenschutzkontrolle vor Ort und der Schulung der verantwortlichen Mitarbeiter.

6.2         Datenschutzkonformes Projektmanagement

Es sollte eigentlich kein Geheimnis sein: Datenschutz setzt eine Ordnung der Datenverarbeitung voraus. Das Datenschutzgesetz spricht ausdrücklich von der "Ordnungsmäßigkeit der Datenverarbeitung". Geordnet und geklärt sein müssen die Ziele, die rechtlichen Voraussetzungen und die Maßnahmen der Datensicherheit. Zur Ordnung gehören Tests, die Freigabe sowie eine Dokumentation des Verfahrens.

Um IT-Verfahren im E-Government erfolgreich einführen zu können, bedarf es technischer wie organisatorischer Kompetenz. Der Erfolg beginnt mit der Projektierung. Die Umsetzung der Anforderungen des Datenschutzes und der Datensicherheit muss bei der Implementierung und dann beim Betrieb folgen. Immer wieder werden wir mit automatisierten Verfahren konfrontiert, in denen die Ziele, Schritte und Voraussetzungen nur unzureichend formuliert und dokumentiert sind. Kurz: Das Projektmanagement funktioniert nicht oder nur unzureichend. Die Folgen sind, dass Zeitpläne nicht eingehalten werden, wichtige Anforderungen der Datensicherheit nicht beachtet oder vergessen werden und teurer Nachbesserungsbedarf entsteht.
Für die Projektphasen formuliert die Datenschutzverordnung eindeutige Vorgaben, über die Planung und Einführung automatisierter Verfahren strukturiert und die Ordnungsmäßigkeit der Datenverarbeitung gewährleistet werden sollen:

IT-Konzept

"Wenn ich nicht weiß, was ich erreichen will, brauche ich erst gar nicht anfragen." Das IT-Konzept ist der Ort, an dem der Zweck des Verfahrens und seine technisch-organisatorischen Vorgaben zu beschreiben sind. Diese Anforderungen gehören auch zu den Grundvoraussetzungen jeder Mittelbewirtschaftung. Verblüffend ist, dass dennoch manch ein Projekt in Schleswig-Holstein nur auf der Grundlage von Überschriften, grafischen Skizzen und Powerpoint-Präsentationen geplant und durchgeführt zu werden scheint.

 

Sicherheitskonzept

Es wäre verantwortungslos, IT-Projekte ohne eine Risikoabschätzung unter den Gesichtspunkten des Datenschutzes und der Datensicherheit vorzunehmen. Es ist mittlerweile eine schmerzliche Erfahrung, dass Informationstechnik nicht nur die Effizienz des Verwaltungshandelns erhöhen kann, sondern auch die Verletzlichkeit der öffentlichen Verwaltung und der ihr anvertrauten Rechtsgüter. Der Vertrauensverlust in die Funktionsfähigkeit der öffentlichen Verwaltung wäre verheerend, wenn die Daten der Bürgerinnen und Bürger wegen unterlassener Sicherheitsmaßnahmen ungeschützt frei verfügbar wären. Ein Sicherheitskonzept ist nicht nur aus Gründen des Datenschutzes geboten, sondern auch aus Gründen der Rechtmäßigkeit des Verwaltungshandelns sowie der Wirtschaftlichkeit.

Im Sicherheitskonzept sind die erforderlichen technisch-organisatorischen Maßnahmen darzustellen, mit denen die Risiken für eine unsichere Verarbeitung der personenbezogenen Daten minimiert werden. Es setzt voraus, dass die Schutzbedürftigkeit der Daten und die sich aus den konkreten Verarbeitungsbedingungen ergebenden Umstände analysiert und bewertet werden. Es besteht demnach aus zwei Teilen:

• Um den Schutzbedarf der Daten zu ermitteln, ist zu erarbeiten und darzustellen, welche Risiken sich für die personenbezogenen Daten aus den konkreten technisch-organisatorischen Verarbeitungsbedingungen ergeben. Voraussetzung ist die Klärung der rechtlichen Rahmenbedingungen des konkreten Verfahrens.

• Die im Anschluss an die Ermittlung des Schutzbedarfes zu erarbeitenden und zu dokumentierenden technisch-organisatorischen Maßnahmen müssen geeignet sein, die im ersten Schritt ermittelten Risiken angemessen zu minimieren. Sie müssen dem Stand der Technik entsprechen.

Konkrete Hilfestellungen und weitere Informationen befinden sich in der Datenschutzverordnung sowie in dem von uns herausgegebenen backUP-Magazin 1: IT-Sicherheitskonzepte.

 

Verfahrenstest

Bevor automatisierte Verfahren mit personenbezogenen Daten in den Produktivbetrieb gehen, müssen die eingesetzten Programme und die im Sicherheitskonzept festgelegten Maßnahmen getestet werden. Gemäß der Datenschutzverordnung sind die Testmaßnahmen und Ergebnisse sowie die bei den Tests eingesetzten informationstechnischen Geräte und Programme zu protokollieren. Der Verzicht auf Tests ist fahrlässig. Fehlende Dokumentationen der Tests fallen auf die Verantwortlichen zurück. Mit ihnen kann der Nachweis geführt werden, dass das automatisierte Verfahren vor seiner Freigabe nach allen Regeln der Kunst geprüft wurde.

 

Freigabe

Die Freigabe markiert die Grenze zwischen Planung und Einführung (der Projektphase) sowie dem Produktivbetrieb. Sie erfolgt durch die jeweilige Dienststellenleitung oder eine ausdrücklich befugte Person. Mit der Freigabe übernimmt die Leitung der Dienststelle die Verantwortung für die Ordnungsmäßigkeit der Verarbeitung personenbezogener Daten. Dieser Verantwortung kann sie nur gerecht werden, wenn für sie die Dokumentation des Verfahrens überprüfbar ist. Aus diesem Grund schreibt die Datenschutzverordnung ausdrücklich vor, dass die Dokumentation "für sachkundige Personen in angemessener Zeit nachvollziehbar" sein muss. Freizugeben sind übrigens nicht nur automatisierte Verfahren, die das erste Mal eingesetzt werden, sondern auch ihre späteren Änderungen.

 

Dokumentation

Zur Ordnungsmäßigkeit der Datenverarbeitung gehört die Dokumentation des automatisierten Verfahrens. Sicher: Die meisten Techniker "schrauben" lieber an ihren Rechnern, als dass sie Dokumentationen erstellen. Aber: Eine vollständige Dokumentation ist unabdingbar, um die Sicherheit und Verfügbarkeit der eingesetzten Verfahren zu gewährleisten. Im Schadensfall, bei einem Personalwechsel, einer Änderung des Verfahrens oder einem Systemwechsel müssen die Verantwortlichen und die von ihnen beauftragten Personen die erforderlichen Unterlagen über die Funktionsweise des Systems zur Hand haben. Die Dokumentation umfasst die Informationen über den Zweck und die Beschreibung des Verfahrens, das Sicherheitskonzept, die durchgeführten Tests sowie die Freigabe.

6.3         Von Piloten und anderen Geisterfahrern

Als "Piloten" sind dem ULD automatisierte Verfahren vorgestellt worden, für die keine Freigabe erfolgt war, geschweige denn die Voraussetzungen hierfür erfüllt waren. Gleichwohl wurden bereits personenbezogene Daten wie in einem produktiven Betrieb verarbeitet.

Vielleicht sind die hohe Komplexität und ein unangemessener Zeitdruck die Gründe, dass uns Projekte als bloßer Pilotbetrieb vorgestellt wurden, die aber tatsächlich bereits im Produktivbetrieb mit personenbezogenen Daten liefen – so geschehen etwa bei der Einführung von Voice-over-IP in drei Landesbehörden oder bei der Vertrauensstellung des Active Directory Schleswig-Holstein/Hamburg. Die äußerst dürftige Konzeptlage wurde mit dem Hinweis gerechtfertigt, man sei ja noch dabei, die erforderlichen Unterlagen zu erarbeiten. Derartige Verzögerungen sind – bei allem Verständnis für die Nöte von Projektverantwortlichen – eindeutige Grenzen gesetzt, wenn personenbezogene Daten verarbeitet werden (24. TB, Tz. 7.2).

Ein Pilotbetrieb

• setzt eine nach Beginn und Ende vorab zeitlich begrenzte Laufzeit voraus,
• muss in einem IT-Konzept beschrieben sein,
• bedarf eines Sicherheitskonzeptes, das sich aber auf einen beschränkten Funktionsumfang des Piloten beschränken kann,
• bedarf der Freigabe durch die Dienststellenleitung bzw. der von ihr beauftragten Person,
• bedarf einer fortlaufenden Auswertung, deren Ergebnisse und Schlussfolgerungen am Ende des Pilotbetriebes zusammengefasst werden.

 

Entweder ein Verfahren ist gut durchdacht und konzipiert, dann wird sich auch der Aufwand zur Erstellung der Konzeptlage in Grenzen halten, oder aber wesentliche Fragen der Datensicherheit sind noch nicht geklärt, dann wird sich der Pilotbetrieb für die Daten der Betroffenen eher als eine Risikoerhöhung als eine Minimierung darstellen. Bei Unklarheiten stehen wir zur Beratung zur Verfügung.

6.4         Sicherheitskonzept  à la BSI-Grundschutz?

Das Datenschutzrecht erfordert bei automatisierten Verfahren die Erstellung eines Sicherheitskonzeptes. Wir wurden gefragt, ob mit der Befolgung der Vorgaben des "BSI-Grundschutzes" das Nötigste für den Datenschutz geleistet sei.

Im Sicherheitskonzept nach der Datenschutzverordnung (DSVO) sind die erforderlichen technisch-organisatorischen Maßnahmen darzustellen, mit denen die Risiken bei der Datenverarbeitung minimiert werden. Das Sicherheitskonzept setzt eine Analyse der Schutzbedürftigkeit der Daten unter den konkreten Verarbeitungsbedingungen des automatisierten Verfahrens voraus (Tz. 6.2). Verbleibenden Risiken muss unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes begegnet werden.

In letzter Zeit wurden uns mehrfach Unterlagen als Sicherheitskonzept vorgelegt, in denen formularmäßig Sicherheitsmaßnahmen beschrieben wurden, die sich an dem IT-Grundschutzhandbuch (IT-GSHB) des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientierten. Diese Dokumente sind nahezu ausnahmslos mit einer Programmunterstützung (Grundschutztool – GS-Tool) erstellt.

Das IT-Grundschutzmodell des BSI verfolgt einen anderen Ansatz als die DSVO. Statt auf die Sicherheitsbedürfnisse eines konkreten Verfahrens einzugehen, wird ein mehrstufiger Ansatz zur Herstellung eines einheitlichen Sicherheitsniveaus gewählt. Durch "Summenbildung" aller Einzelmaßnahmen wird dann ein erreichtes Grundschutzniveau dokumentiert.

Ein Sicherheitskonzept nach der DSVO verlangt mehr als eine listenartige Erfassung von Einzelmaßnahmen. Im Sicherheitskonzept müssen Aussagen über die Qualität und Ausgestaltung der Sicherheitsmaßnahmen getroffen werden, die auf den Schutzbedarf einer konkreten Anwendung zielen. Die DSVO erfordert also gegenüber dem GS-Tool eine größere Präzision. Das GS-Tool kann für die Gewinnung technisch-organisatorischer Maßnahmen eine gute Hilfestellung bieten, ersetzt aber nicht die von der DSVO geforderte analytische Arbeit.

Außerdem gilt: IT-Grundschutz ist mehr als die Generierung von Sicherheitsmaßnahmen nach dem GS-Tool und bedarf einer intensiven Schulung. IT-Grundschutz verlangt die Einführung und Anwendung eines kompletten IT-Managementprozesses. Erst durch das Ausrichten der eigenen IT-Sicherheitsorganisation nach dem vom BSI vorgeschlagenen Aufbau und den Abläufen lassen sich die im BSI-Grundschutzhandbuch definierten Ziele auch erreichen.

6.5         Datenschutzgerechte Protokollierung

Es entspricht guter Praxis sowie dem Datenschutzrecht, dass die Aktivitäten der Systemadministratoren zu protokollieren und diese zu kontrollieren sind. Systemseitig zu protokollieren ist auch die Nutzung der Anwender der Fachverfahren. Die Revisionsfestigkeit der Aktivitäten "am Herzen der IT-Systeme" ist von zentraler Bedeutung. Die Protokollierung des Verhaltens von Nutzern und Systemadministratoren muss den Grundregeln des Arbeitnehmerdatenschutzes genügen.

Gestaltende Zugriffe auf Betriebssysteme und Anwendungsprogramme sind nur den dazu berechtigten Systemadministratoren erlaubt. Ihre Aktivitäten sind zu protokollieren und die Protokolle zu kontrollieren. Näheres regelt die Datenschutzverordnung.

Protokolliert werden systemseitig auch die Aktivitäten der Nutzer, insbesondere wenn ein Verfahren ausschließlich elektronisch durchgeführt wird. Im Regelfall sind dies die Beschäftigten in den Verwaltungen. Das Datenschutzrecht verlangt, dass bei der Protokollierung die Grundsätze der Datensparsamkeit und der Zweckbindung beachtet werden müssen. Eine Protokollierung der Nutzeraktivitäten darf nur den Zwecken der Datensicherheit dienen, nicht einer Verhaltens- oder Leistungskontrolle. Die Protokollierung dient dem Nachweis, dass nur die berechtigten Personen Daten verarbeiten, dagegen nicht der Feststellung, wann ein Beschäftigter bei der Arbeit Pausen eingelegt hat.

Die Protokollierung ist gegenüber dem Fachverfahren ein eigenständiges Verfahren. Deren Gegenstand sind nicht die personenbezogenen Daten des Fachverfahrens, sondern die des Administrators oder des Anwenders des Fachverfahrens. Manches wäre einfacher, wenn die Fachverfahren nach einem einheitlichen Standard protokollieren würden. Leider ist dies nicht der Fall. Die Fachverfahren werfen zumeist unterschiedliche Sets von Protokolldaten aus. Daher müssen für jedes Verfahren für die Protokollierung die Zwecke festgelegt werden. Nötig ist die Abgrenzung von anderen Verfahren und ein eigenes Sicherheitskonzept für die Protokolldaten. Im Einzelnen sind folgende Entscheidungen zu treffen:

• Wer ist für die Aufbereitung zuständig?
• Wie werden die Protokolldaten aufbereitet?
• Auf welchem Rechner werden die Protokolldaten gespeichert?
• Wer ist für die Auswertung zuständig?
• Zu welchem Zweck darf eine Auswertung erfolgen?
• Welche Daten sind für die Auswertung erforderlich?
• Werden die Protokolldaten nach Auswertungszweck differenziert aufbereitet?
• Wird eine Pseudonymisierung von Protokolldaten durchgeführt?

 

Eine Protokollierung umfasst im Kern drei Bestandteile:

• Zeitstempel,
• Aktion,
• die den Protokolleintrag auslösende und beteiligte Instanz.

 

Die Instanz kann eine Maschine, eine Applikation oder ein Mensch sein.

Damit eine Protokollierung sinnvoll geprüft werden kann, müssen ihre Einträge richtig sein, d. h., das Verfahren muss vertrauenswürdig sein. So einfach sich dies anhört, so anspruchsvoll ist die sicherheitstechnische Umsetzung und Bewertung: Um den richtigen Zeitpunkt zu protokollieren, könnte man sich z. B. auf die Systemzeit des Rechners beziehen, auf dem die Protokollierung erfolgt. Man kann sich aber auch auf die Zeit aus einem Zeitstempeldienst innerhalb des Rechenzentrums oder auf einen kommerziellen Zeitstempeldienst aus dem Internet stützen, der eine signierte Zeit anliefert. Korrekt und aussagekräftig müssen auch die Informationen sein, die in den Protokolleintrag geschrieben werden. Die Instanz, die die Aktion ausgelöst hat, muss zweifelsfrei festzustellen sein.

Die Protokolldatei muss dem schreibenden Zugriff der Systemadministratoren entzogen sein. Sollen Protokolldaten aussagekräftige Informationen über Systemaktivitäten bieten, müssen Manipulationen ausgeschlossen werden. Diese Vorkehrungen schützen auch die Systemadministratoren vor unberechtigten Verdächtigungen. Eine manipulationsresistente Protokollierung ist gleichwohl leichter gefordert als umgesetzt: Nach unseren Recherchen genügen weder Windows 2003 Server noch syslog-Architekturen auf UNIX-Servern diesen Anforderungen.

6.6         Dokumentenmanagementsystem  elektronischer Akten

Welche Vorteile Dokumentenmanagementsysteme auch immer bieten, es handelt sich aus Datenschutzsicht um mächtige Instrumente. Sie ermöglichen eine umfassende Erfassung und Kontrolle der Tätigkeit der Beschäftigten. Dokumentenmanagementsysteme bedürfen einer datenschutzkonformen Gestaltung.

Im Zuge der Entscheidung für ein bestimmtes Produkt als Dokumentenmanagementsystem für Landesbehörden begleiten wir das zuständige Finanzministerium, in dem eine Pilotanwendung des Produktes VISkompakt an einigen Arbeitsplätzen installiert ist. Ein Ergebnis der Beratung ist ein Arbeitspapier, das unter dem Titel "Datenschutzanforderungen an Dokumentenmanagementsysteme" von unserer Webseite abgerufen werden kann.

www.datenschutzzentrum.de/e-government/anforderungen-dms.pdf

Drei gestaltungsbedürftige Themen sind herauszuheben:

• das Einscannen von Papierunterlagen,
• die Regelung der Zugriffsberechtigungen,
• die Regelung der Protokollierung.

 

Das Einscannen eines Papiers ist ein regelungsbedürftiger Arbeitsprozess. In einer Dienstanweisung sollte festgelegt werden, welche Dokumente nicht eingescannt und damit elektronisch verfügbar und bearbeitbar gemacht werden dürfen. Beschränkungen unterliegen z. B. als Verschlusssachen gekennzeichnete Dokumente. Auch bei Daten, die dem Sozialgeheimnis, dem Personalaktengeheimnis oder anderen Amts- oder Berufsgeheimnissen unterliegen, ist Zurückhaltung angeraten. Gewährleistet werden muss die Übereinstimmung der gescannten Kopie mit dem Papieroriginal, damit nicht unrichtige Daten in den elektronischen Arbeitsprozess Eingang finden.

Eine zentrale Funktion haben die Festlegungen, die in einem differenzierten Rollenkonzept getroffen werden, wer über welche Zugriffsrechte auf Dokumente bzw. Objekte verfügt. VISkompakt identifiziert z. B. als Objekttypen den Aktenplan, die Akte, den Vorgang, das Dokument, die Adresse. Folgende Rollen, an denen unterschiedliche Zugriffsrechte haften, kennt dieses System: Applikationsadministrator, Posteingang, Sachbearbeiter, Führungskraft. Als Operationen, mit denen Objekte behandelt werden, sind vorgegeben: Anlegen, Ändern, Lesen, Löschen, Suchen, Rechtesetzen, Umprotokollieren, Reorganisation, Stellvertretung. Mit diesen drei Dimensionen lässt sich eine Matrix anlegen, in der transparent, funktional und datenschutzgerecht festgelegt wird, welche Rolle welche Art der Operation auf welches Objekt anwenden darf. Ferner ist zu definieren, welche Rollen einer Person zugewiesen werden dürfen und welche nicht.

Die neue Qualität eines Dokumentenmanagementsystems besteht darin, dass die Tätigkeiten der Beschäftigten automatisiert und im Detail erfasst und ausgewertet werden können. Diese Protokollierungen lassen sich in drei Kategorien gliedern:

• Metadaten bezeichnen Eigenschaften des Dokuments.
• Vorgangsdaten informieren über den Workflow in der (Sub-)Organisation.
• Logdaten liefern Informationenüber die Eigenschaften des technischen Zustands der Applikation bzw. des Betriebssystems und der Netzanbindung.

 

Jede Kategorie ergibt für sich und erst recht in der Kombination eine brisante Sammlung an Informationen über die Leistung und das Verhalten der Beschäftigten. Aus diesem Grund ist besondere Sorgfalt auf die Gewährleistung der Datensparsamkeit und der Zweckbindung dieser Informationen zu legen.

6.7         Clearingstellen  sind nur eine Übergangslösung

Vom 1. Januar 2007 an muss die Übermittlung der elektronischen Rückmeldung im Meldewesen zwischen den Meldeämtern nach bundeseinheitlichen Vorgaben funktionieren. Die Kommunikation zwischen den Meldeämtern soll über eine Vermittlungsstelle ("Clearingstelle") erfolgen.

In der Landesmeldeverordnung ist festgelegt, dass die Datenübermittlungen zwischen den Meldeämtern im Verfahren der Rückmeldung über eine zentrale Vermittlungsstelle erfolgen muss. Diese wird auch als Clearingstelle bezeichnet. Die Aufgabe wurde dataport übertragen. Sie wird von Hamburg und Schleswig-Holstein gemeinsam betrieben, weswegen wir in enger Abstimmung mit unseren Hamburger Datenschutzkollegen vorgehen.

Der kritische Punkt des Konzeptes der Clearingstelle ist, dass die Meldedaten – einschließlich sensibler Angaben wie z. B. zur Religionszugehörigkeit – erst in der Clearingstelle in das Übermittlungsformat OSCI-Transport übersetzt werden. Begründet wird die Notwendigkeit einer Clearingstelle damit, dass man den Meldeämtern die Einhaltung der vorgeschriebenen Übermittlungsformate nicht zutraue. Die Clearingstelle müsse Korrekturfunktionen übernehmen, indem sie z. B. Inkompatibilitäten der Formate behebe oder zur richtigen Übermittlung Routinginformationen für die Adressierung einer Nachricht auslese. Mittelfristig soll die Clearingstelle als Datendrehscheibe wohl auch für andere Datenübermittlungen zumindest innerhalb des Landes genutzt werden.

Eine Vermittlungsstelle wäre an sich nicht notwendig, denn der in Deutschland allgemein anerkannte Standard OSCI-Transport ermöglicht eine gesicherte Übermittlung von der einen Meldebehörde zur anderen. Genau zu diesem Zweck ist dieser Standard mit Steuermitteln entwickelt worden und hat europaweit eine Vorbildfunktion. OSCI-Transport orientiert sich an dem in der Wirtschaft weit verbreiteten Modell der Ende-zu-Ende-Sicherheit. Mittlerweile wird auch nicht mehr bestritten, dass praktisch alle in Schleswig-Holstein eingesetzten Meldefachverfahren diesen Standard beherrschen.

Der von der Konferenz der Innenminister eingesetzte Arbeitskreis I hat die Clearingstellen zur Abwicklung der Rückmeldung nur für eine Übergangszeit vorgesehen und sich in einem Beschluss vom November 2002 dafür ausgesprochen, Clearingstellen nur dort, wo es notwendig ist, einzusetzen und den Standard OSCI-Transport verbindlich vorzuschreiben. In einem späteren Beschluss vom März 2003 heißt es, "auf jedem Kommunikationsweg (d. h. auch landesintern)" sei das gleiche Sicherheitsniveau einzuhalten.

Nach Auffassung der Konferenz der Datenschutzbeauftragten, die hierzu am 16. Dezember 2005 eine Entschließung gefasst hat, entspricht der Standard OSCI-Transport dem Stand der Technik, weil er eine Ende-zu-Ende-Sicherheit und damit rechtsverbindliche Transaktionen unmittelbar zwischen den beteiligten Kommunikationspartnern ermöglicht. Clearingstellen können nur eine Übergangslösung sein.

Für unsere datenschutzrechtliche Bewertung der Clearingstelle wird es maßgeblich auf die in dem Sicherheitskonzept getroffenen und implementierten organisatorischen und technischen Maßnahmen ankommen, die das Risiko eines unbefugten Zugriffs oder einer technischen Fehlschaltung auf die Meldedaten minimieren. Das Sicherheitskonzept liegt uns noch nicht vor.

www.datenschutzzentrum.de/material/themen/presse/20051216-dsbk-osci.html

 

6.8         Gewusst wo – im Geodatenserver

Die allgemeine Verfügbarkeit von raumbezogenen Daten der öffentlichen Vermessungs- und Liegenschaftskataster (Geobasisdaten) wurde in den letzten Jahren verstärkt vorangebracht. Aus Datenschutzsicht ist von Bedeutung, ob und inwieweit durch hochauflösendes Karten- und Fotomaterial und räumlich zugeordnete Datenbankinformationen ein Personenbezug hergestellt werden kann.

Raumbezogene Entscheidungen und Handlungen von Wirtschaft und Verwaltung sollen vereinfacht und zugleich der Service für Bürger, Unternehmen und Verwaltungsangehörige verbessert werden. Diese Ziele verfolgen Schleswig-Holstein und Hamburg gemeinsam mit dem Projekt Geodatenserver. Der Geodatenserver soll die Basisdaten der Kataster- und Vermessungsämter und die Geofachdaten beteiligter Behörden über standardisierte Dienste bündeln und sie der Verwaltung, aber auch der Wirtschaft und den Bürgerinnen und Bürgern zur Verfügung stellen. Über das Internet können dann zukünftig die Einsatzleitstellen der Polizei, der Feuerwehr und der medizinischen Rettungsdienste ebenso mit Geoinformationen versorgt werden wie die Bürger und Unternehmen.

Geoinformationen können sowohl aus Landkarten verschiedener Auflösungen als auch aus entzerrten Luftbildern (Orthofotos) sowie Satelliten- und Navigationsdaten bestehen. Durch das Übereinanderlegen verschiedener Karten ("Verschneiden") kann die Informationsdichte in einer Art optisch-statistischem Verfahren deutlich erhöht werden. Erleichtert wird das Verschneiden durch den Standard des Open Geo Spatial Consortium (OGC), der die Datennutzung über das Internet ermöglicht. Werden diese Informationen mit soziodemografischen Informationen über kleine Räume wie Straßen, Plätze oder Wohnblocks aus anderen Quellen zusammengeführt, so können kleinräumige Informationscluster erzeugt werden, mit deren Hilfe sich Zusatzinformationen über einzelne Adressen gewinnen lassen. Mit Zusatzinformationen angereicherte Geodaten sind z. B. für den Adresshandel wertvoll, wenn sie qualitative Ansatzpunkte für eine gezielte Werbung ermöglichen. Umgekehrt ist das Interesse der betroffenen Eigentümerinnen und Eigentümer oder Bewohnerinnen und Bewohner evident, ohne ihr Einverständnis nicht zum Ausforschungsobjekt, zur Handelsware oder zum Adressaten gezielter Werbemaßnahmen zu werden.

Für die datenschutzrechtliche Bewertung ist zwischen den Informationen zu unterscheiden, die über den Geodatenserver selbst verfügbar sind, und den Informationen, die von Dritten mit anderen Geo- oder Adressinformationen verschnitten werden können. Für die Veröffentlichung von Informationen aus dem Geodatenserver gilt das Vermessungs- und Katastergesetz (VermKatG). Danach erhalten z. B. Notarinnen und Notare oder Energieversorger für ihre spezifischen Zwecke einen privilegierten Informationszugang. Sonstige Dritte dürfen personenbezogene Informationen aus dem Liegenschaftskataster nur bekommen, wenn sie ein berechtigtes Interesse darlegen. Die Eigentümer erhalten als Betroffene Einsicht in den sie betreffenden Teil des Liegenschaftskatasters.

Die Bereitstellung von personenbezogenen Geoinformationen zum Abruf ist eine Übermittlung im Sinne des Datenschutzrechts. Die Empfänger dieser Daten müssen von dem Betreiber des Geodatenservers verpflichtet werden, die Daten nur zu dem Zweck zu verwenden, zu dem sie ihnen übermittelt worden sind. Der Verwendungszweck richtet sich nach dem dargelegten berechtigten Interesse.

Mit dem geplanten Geodatenserver werden nicht nur Verwaltungsinformationen zugänglich gemacht. Zugleich soll eine Plattform für die Bezahlung für Informationsprodukte eingerichtet werden, die auch für andere Zwecke eingesetzt werden kann. Diese Zahlungsfunktion muss datenschutzkonform gestaltet sein, zumal die Nutzer dieser Plattform Informationen wie Bankverbindungen im Fall der Einwilligung zum Lastschrifteinzug oder Angaben ihrer Kreditkartennummer anvertrauen. Die rechtlichen Anforderungen hierfür ergeben sich aus dem Teledienstedatenschutzgesetz.

6.9         IP-Telefonie 

Aufgrund eines Kabinettsbeschlusses werden in den Landesbehörden die Endgeräte für die Sprachtelefonie ausgetauscht. Damit bietet das Finanzministerium Internettechnologie beim Telefonieren bis zum Schreibtisch des einzelnen Behördenmitarbeiters.

Der Beschluss ist gefasst, aber das Sicherheitskonzept ist noch in Arbeit. Dies ist kein guter Zustand. Uns stellen sich ungeachtet der administrativen Vorteile einer zentralen Steuerung der Sprachtelefonie durch das Finanzministerium einige noch zu beantwortende Fragen. Zentraler Gesichtspunkt ist, dass administrative Zugriffe vonseiten des Finanzministeriums, seiner Auftragnehmer und Unterauftragnehmer auf das jeweilige Endgerät nicht die Verantwortung der einzelnen Behörde für die Datensicherheit des eigenen Netzes infrage stellen dürfen.

6.10       Fusionen und Kooperationen von Verwaltungen

Im Zuge der Verwaltungsreform steht die Zusammenlegung der Informationstechnik unterschiedlicher Verwaltungen auf der Agenda. In welcher Rechtsform auch immer die Verwaltung effizienter werden soll, die Beachtung des Datenschutzes bleibt gesetzliche Pflicht und Verpflichtung gegenüber den Bürgerinnen und Bürgern.

Die Informationstechnik in Kommunen kann unterschiedlich als eine gemeinsame Aufgabe gestaltet und organisiert werden: als Zweckverband, als Verwaltungsgemeinschaft, durch Nutzungsvereinbarung oder durch Bildung gemeinsamer Kommunalunternehmen. Welchen Weg die Verantwortlichen unter politischen und wirtschaftlichen Gesichtspunkten auch immer wählen, es bedarf ungeachtet der zahlreichen Rechtsfragen der sorgfältigen Planung und eines strukturierten Vorgehens, wenn unterschiedliche IT-Infrastrukturen und Fachverfahren unter einem Dach zusammengeführt werden sollen. Bei den Kooperationen dürfen die Verantwortlichkeiten nicht verwischt werden. Von praktischer Bedeutung ist vor allem das Instrument der Auftragsdatenverarbeitung, zu dem wir im 27. Tätigkeitsbericht (Tz. 6.1) detaillierte Handlungsempfehlungen gegeben haben. Bei Zweifelsfragen beraten wir gerne.

6.11       SOHO in landesweiten IT-Konzepten 

Aktuelle Informationstechnik für kleine Büros und Heimnetzwerke ist oft günstig und leistungsfähig. Lässt sich diese preiswerte Technik für große IT‑Projekte nutzen, ohne dass Datensicherheit und Datenschutz auf der Strecke bleiben?

Für den Bereich der ambitionierten Heimanwender oder für kleine Büroumgebungen (SOHO steht für Small Office Home-Office) existieren leistungsfähige und vor allem preiswerte Informations- und Kommunikationskomponenten (IuK), die auf den ersten Blick die gleichen Leistungsmerkmale anbieten wie Lösungen für den professionellen Bereich. Doch fehlen diesen Komponenten häufig Funktionalitäten, die für den professionellen Einsatz zwingend nötig sind:

• zentrales Management einer Vielzahl gleichartiger Geräte,
• erweiterte Sicherheitsfunktionen zur Integration in große IT-Umgebungen,
• Auslegung der Hardware auf einen Rund-um-die-Uhr-Betrieb,
• Skalierbarkeit für zukünftige Einsatzszenarien.

 

Im Rahmen eines IT-Großprojektes des Landes stießen wir auf Planungen für ein am Netzwerk anzuschließendes Speichergerät (NAS Devices – Network Attached Storage). Derartige Geräte haben den Vorteil, dass sie klein, günstig und flexibel sind und viele Daten speichern können. Bei einer intensiven Prüfung erwies sich, dass deren Einsatz die Nutzung in der landesweit vernetzten Umgebung eingeschränkt hätte, da die Geräte nicht die zentrale Authentifizierung des Landes über das Active Directory unterstützen. Zudem fehlten Schnittstellen, um die für den Einsatz erforderliche Zahl dieser Geräte – mehrere hunderte – zentral zu managen. Die Projektleitung hat sich nach unserer Beratung entschlossen, auf eine andere, mit den landesweiten IT-Standards vereinbare Lösung zu setzen.

6.12       Kontrollen  vor Ort – ausgewählte Ergebnisse

Flächendeckende Routineüberprüfungen im kommunalen Bereich bringen häufig keine spektakulären Ergebnisse. Oft ist schon nach kurzer Gesprächsdauer erkennbar, welchen Stellenwert Datenschutz und Datensicherheit in der Organisation einnehmen und ob bzw. welche technisch-organisatorischen Maßnahmen ergriffen wurden.

6.12.1    Ein geschulter Datenschutzbeauftragter ist ein Gewinn 

Die Bestellung von Datenschutzbeauftragten führt in der Regel zu einer deutlichen Erhöhung des Datenschutz- und Datensicherheitsniveaus in den Verwaltungen.

Tendenziell positive Prüfungsergebnisse ergaben sich bei den Organisationen, in denen engagierte Datenschutzbeauftragte und/oder Systemverantwortliche tätig sind. Bereits mit der Bestellung eines Datenschutzbeauftragten signalisiert eine Stelle ihre grundsätzliche Bereitschaft, dem Schutz und der Sicherheit der Daten der Bürgerinnen und Bürger einen hohen Stellenwert einzuräumen: Es spielt eine große Rolle, ob der behördliche Datenschutzbeauftragte nur eine "Feigenblattfunktion" erfüllt oder ob er seine Rolle ernsthaft ausübt.

• Ist für die Behördenleitung die Einhaltung der datenschutzrechtlichen Vorschriften ein Anliegen, so ist die Beauftragung einer Mitarbeiterin oder eines Mitarbeiters hilfreich, der dies unterstützt und überprüft. Viele neu bestellte Datenschutzbeauftragte haben die Schulungen der DATENSCHUTZAKADEMIE besucht; so können wir damit rechnen, dass wir ein in den Grundzügen einheitliches Vorgehen in der Organisation antreffen.
• In der Regel wirkt der Datenschutzbeauftragte bei der Erstellung und Führung der von der Datenschutzverordnung (DSVO) geforderten Dokumentationen mit und überwacht die datensicherheitstechnischen Maßnahmen innerhalb der Organisation. Seine Beteiligung gewährleistet, dass wir eine anforderungsgerechte Dokumentation nach der DSVO vorfinden.
• Viele Datenschutzbeauftragte sensibilisieren die Mitarbeiter am PC-Arbeitsplatz in Bezug auf Datenschutz und Datensicherheit und führen eigene Schulungen durch. Nach unserer Erfahrung ist die Datensicherheit in den Verwaltungen deutlich höher, in denen derartige Schulungen stattfinden.
• Der Datenschutzbeauftragte und der Systemverantwortliche sind während einer Prüfung direkte Ansprechpartner, begleiten die Prüfung und können bei eventuell vorgefundenen Mängeln vor Ort beratende Hilfe von den Prüfern in Anspruch nehmen.

 

Wir können immer dann eine gute Umsetzung der datenschutzrechtlichen und datensicherheitstechnischen Vorgaben feststellen, wenn die Systemadministratoren eine Datenschutzschulung mit einem hohen Praxisanteil z. B. bei der DATENSCHUTZAKADEMIE besucht haben. Es macht einen deutlichen Unterschied, ob ein Systemadministrator ein IT-System nur technisch beherrscht oder ob er zusätzlich datensicherheitstechnische Aspekte in das System integrieren kann.

Wir ermöglichen, dass Systemadministratoren Seminare mit einem Zertifikat abschließen können. Die Fortbildung qualifiziert die Teilnehmer, ein IT-System von der Konzeption bis zum praktischen Betrieb unter Beachtung der datenschutzrechtlichen und datensicherheitstechnischen Hintergründe zu planen und zu verwalten. Auch in diesem Jahr konnten wir wieder sieben Zertifikate verleihen.

6.12.2    Gemeindeverwaltung Flintbek

Bei der routinemäßigen Überprüfung der Gemeindeverwaltung Flintbek fielen uns die umfangreiche und übersichtliche Dokumentation und die datenschutzkonforme Umsetzung der im Sicherheitskonzept geforderten Sicherheitsmaßnahmen für die PC-Arbeitsplätze positiv auf.

Der IT-Leiter der Gemeinde Flintbek hat ein besonderes Verfahren zur Protokollierung im Vertretungsfall erstellt: Bei Abwesenheit des IT-Leiters dokumentieren die vertretenden Administratoren die durchgeführten Systemarbeiten in so genannten Vertretungsbögen. Bei komplexen Aufgaben und Problemen können sie eine vom IT-Leiter erstellte Dokumentation heranziehen. Sie beschreibt alle anfallenden Systemarbeiten und Systeminformationen mit konkreten Anweisungen für ein Schritt-für-Schritt-Vorgehen.

Die Gemeindeverwaltung setzt das Serverbetriebssystem Windows 2000 ein. Die Systemadministratoren hatten den Windows 2000-Sicherheitskurs der DATENSCHUTZAKADEMIE besucht und die wichtigsten der dort vermittelten Struktur- und Konfigurationsvorschläge im Bereich des Verzeichnisdienstes umgesetzt. Die Sicherheitspolicy sowie die Absicherung der PC-Arbeitsplätze erfolgte über die Gruppenrichtlinien. Dennoch hat das ULD einige Mängel gefunden. Drei davon sind in der Prüfungspraxis häufig vorzufinden:

• Auf dem Domänencontroller befanden sich Benutzerkonten mit administrativen Rechten für den Fernzugriff zu Wartungszwecken. Die Nutzung dieser Konten und die damit verbundenen Möglichkeiten zum externen Zugriff auf die Datenbestände waren den Verantwortlichen nicht ausreichend bekannt. Eine Dokumentation der Rechte und der Funktionalität dieser Benutzerkonten stellte der externe Dienstleister der Gemeindeverwaltung nicht zur Verfügung. Für die Fernwartung sollte ein gesondertes Benutzerkonto erstellt werden, das aber erst vor Beginn der Fernwartung freigeschaltet werden darf und nach der Benutzung deaktiviert werden muss. Ein Zugriff des externen Dienstleisters auf personenbezogene Daten sollte z. B. durch Protokollierung und Beobachtung während der Fernwartung unterbunden werden.
• An einem öffentlich zugänglichen Netzwerkdrucker wurden die ausgedruckten Dokumente nicht zeitnah von den Mitarbeitern abgeholt. So konnten personenbezogene Daten Unbefugten zur Kenntnis gelangen. Sind keine baulichen Sicherungen möglich, so muss organisatorisch geregelt werden, dass die Ausdrucke sofort am Drucker abzuholen sind. Diese Regelung sollte in die Dienstanweisung aufgenommen und den Mitarbeitern bekannt gemacht werden. Kombinierte Druck-, Fax- und Kopiergeräte bieten häufig die Funktionalität, dass der Ausdruck einer Datei erst dann gestartet wird, wenn der Mitarbeiter am Drucker eine persönliche PIN eingibt.
• Die Entsorgung von personenbezogenem Papiermüll durch einen externen Dienstleister war vertraglich nicht geregelt. Die Gemeindeverwaltung musste diesen Vertrag mit dem aktenvernichtenden Betrieb erst nachfordern. Ein solcher Vertrag muss das Verfahren der Aktenvernichtung detailliert beschreiben; die Gemeindeverwaltung muss kontrollieren können, dass die personenbezogenen Daten gemäß ihren Anweisungen vernichtet werden.

6.12.3    Amtsverwaltung Hohner Harde

Die Amtsverwaltung Hohner Harde hatte sich vor einigen Jahren durch uns sicherheitstechnisch beraten lassen. Ergebnis dieser Beratung war eine ausführliche Dokumentation der Datenverarbeitungsabläufe, die während der durchgeführten Prüfung positiv aufgefallen ist. Mit der Bestellung der drei Systemadministratoren zu Datenschutzbeauftragten wählte die Amtsverwaltung eine interessante, gleichwohl problematische Lösung.

Prüfungen enden nur selten ohne Beanstandungen und einen Katalog mit Vorschlägen zur Beseitigung der Mängel. Ein aufgeführter Mangel spiegelt eine ungewöhnliche Situation wider: Die Amtsverwaltung hat alle drei Systemadministratoren zu Datenschutzbeauftragten bestellt. Diese Konstellation ist aus folgenden Gründen zu kritisieren:

• Wenn die Datenschutzbeauftragten zugleich die Aufgabe der Systemadministration wahrnehmen, kann die Ausübung des Amtes zu Konflikten mit anderen dienstlichen Aufgaben führen.
• Der Datenschutzbeauftragte sollte zentraler Ansprechpartner in Datenschutzfragen sowohl für die Amtsleitung als auch für die Beschäftigten sein. Sind mehrere Datenschutzbeauftragte bestellt, gibt es für die Leitung und die Beschäftigten mehrere Ansprechpartner. Das kann dazu führen, dass die einzelnen Datenschutzbeauftragten Sachverhalte unterschiedlich bewerten.
• Bei der Bestellung von drei Datenschutzbeauftragten muss sichergestellt werden, dass sich jeder Datenschutzbeauftragte die notwendige technische und rechtliche Sachkunde in Form von Schulungen aneignet und in ausreichendem Umfang von anderen Aufgaben freigestellt wird, um das Amt ordnungsgemäß wahrzunehmen.

 

Daher sollte nur ein Mitarbeiter als Datenschutzbeauftragter bestellt werden. Im Hinblick auf die Größe der Amtsverwaltung schlugen wir vor, dass ein Mitarbeiter aus der Gruppe der Systemadministratoren das Amt des behördlichen Datenschutzbeauftragten übernimmt und dieser nach seiner Stellenbeschreibung von den Aufgaben als Systemadministrator entbunden wird. Im Interesse der Nutzung seines technischen Fachwissens soll er in Ausnahmefällen (Krankheit, Urlaub) vertretungsweise administrative Aufgaben wahrnehmen können.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel