Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

9         Audit  und Gütesiegel

Selbst die optimistischsten Prognosen vor sieben Jahren (23. TB, S. 9, 78; 24. TB, Tz. 10) wurden übertroffen. Die Gründe sind einfach und plausibel: Die vom ULD entwickelten und durchgeführten Auditierungs- und Gütesiegel­verfahren sind für die Behörden und Unternehmen „werthaltig“. Sie verbessern den Datenschutz in Verwaltung und Wirtschaft qualitativ und belohnen die Investitionen in den Datenschutz und die Sicherheit der Datenverarbeitung werbe- und wettbewerbswirksam. Auch für den Datenschutz hat sich die Investition gelohnt: Die Verfahren reduzieren die Verletzlichkeit der Informationsverarbei­tung im Interesse der Betroffenen und sind darüber hinaus für den Steuerzahler kostendeckend. Kein Wunder, dass die Erfolge aus Schleswig-Holstein bundes­weite und internationale Anerkennung, Nachahmung und Unterstützung finden.

Sechs Jahre nachdem der Gesetzgeber im Bundesdatenschutzgesetz eine allge­meine Regelung zum Datenschutz-Audit aufgenommen hat, wurde nun vom Bundesinnenministerium der Entwurf eines Bundesdatenschutzauditgesetzes der Öffentlichkeit vorgelegt. Es ist sehr zu begrüßen, dass nunmehr das zuständige Bundesministerium auch offiziell den Datenschutz als Wettbewerbsfaktor aner­kennt und hierzu einen konkreten Vorschlag vorgelegt hat. Dieser sieht aber bisher noch ein recht kompliziertes und konfliktträchtiges Verfahren vor. Zugleich leidet der Entwurf daran, dass die Qualität von verliehenen Datenschutzzertifikaten nicht in einem festgelegten Verfahren gewährleistet wird. Es wird daher nun darum gehen, in der weiteren Erörterung die bestmögliche Lösung zu finden, die die Freiwilligkeit des Verfahrens herausstreicht, eine hohe Akzeptanz bei den Betei­ligten und Betroffenen findet und zugleich einen Beitrag zur Verbesserung des präventiven Datenschutzes leistet. Das ULD hat zu dem Entwurf eine erste Stellungnahme abgegeben.

www.datenschutzzentrum.de/bdsgauditg/20070928-stellungnahme.html

 

9.1         Datenschutz-Audits

9.1.1      ZIAF-Audit

Mit dem beim Landwirtschaftsministerium (MLUR) durchgeführten ZIAF-Audit wurde ein neues Kapitel der Zertifizierung aufgeschlagen: Das ULD zertifizierte auf Wunsch des Ministeriums die sicherheitstechnische Seite auch nach dem nationalen Sicherheitsstandard des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), dem sogenannten IT-Grund­schutz.

Mit dem ZIAF-Verfahren zur Agrarförderung werden in Schleswig-Holstein vom MLUR auf ca. 350 Arbeitsplätzen von neun verschiedenen Organisationseinheiten an zwölf Standorten Fördermaßnahmen für die Landwirtschaft verwaltet. Von 2002 bis 2007 wurden über das Verfahren ca. 535.000 Zahlvorgänge mit einem Auszahlungsvolumen von rund 2.160 Millionen Euro durchgeführt. Ein solches Verfahren muss nach den europarechtlichen Vorgaben besonderen Sicherheits­anforderungen genügen: Die Informationstechnik darf nicht ausfallen, die Antragsdaten sollen ihren Empfänger erreichen und dürfen nicht in die Hände Unbefugter gelangen. Die Bundesländer haben sich für das Verfahren auf den Sicherheitsstandard IT-Grundschutz des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) verständigt.

Die Überprüfung nach den Anforderungen des Datenschutzes und der IT-Sicher­heit „auf Herz und Nieren“ (29. TB, Tz. 9.1.7) erfolgte in einer ersten Stufe bis Herbst 2007 hinsichtlich der Sicherheitskonzeption beim Ministerium sowie beim Dienstleister Dataport. Das Konzeptaudit bestätigt, dass die Zahlstelle des MLUR über eine rechts- und normenkonforme Konzeption (Generaldokumenta­tion) verfügt, die die Festlegung und Umsetzung der Sicherheitsanforderungen der EU- und der Landesdatenschutzvorschriften beschreibt. Dazu zählen insbesondere auch wirkungsvolle IT-Sicherheitsprozesse und -maßnahmen auf der Grundlage der Sicherheitsstandards 100-1 bis 100-3 des BSI. Bereits im Rahmen des Konzeptaudits konnte stichprobenartig die Umsetzung von einzelnen Maßnahmen festgestellt werden.

Die Konzeption zeichnet sich durch folgende datenschutzfreundliche Aspekte aus:

• Die Datenverarbeitung wird nach den Sicherheitszielen der Verfügbarkeit, Vertraulichkeit, Integrität sowie der Ordnungsmäßigkeit in einer geregelten Aufbau- und Ablauforganisation betrieben.
• Die Generaldokumentation beschreibt umfassend den Einsatz und den Betrieb der in der Zahlstelle eingesetzten Informationssysteme mit einem vorbildlich nachvollziehbaren Sicherheitskonzept.
• Der Dienstleister Dataport verpflichtet sich über einen Betreibervertrag zu den erforderlichen Leistungen für Datenschutz und Datensicherheit einschließlich der von der EU geforderten Grundschutzkonformität.
• Die Zahlstelle verfügt über ein funktionierendes Sicherheitsmanagement, das aufbau- und ablauforganisatorisch in der Lage ist, die in der IT-Sicherheitsleit­linie festgelegten Ziele zu erreichen und dauerhaft aufrechtzuerhalten.

Zwecks Erfüllung der EU-Anforderungen arbeitet das MLUR nun gemeinsam mit Dataport am Nachweis der Umsetzung der Sicherheitskonzeption.

Das ULD hat zwei Mitarbeiter zu vom BSI lizenzierten Grundschutzauditoren qualifizieren lassen. Weitere Mitarbeiter werden 2008 folgen. So gewährleistet das ULD die Kompatibilität der sicherheitstechnischen Anforderungen nach der Datenschutzverordnung (DSVO) und des Standards IT-Grundschutz: Wer die Anforderungen des IT-Grundschutzes nachweist, garantiert zugleich den nach den Datenschutzgesetzen geforderten Stand der Technik.

 

9.1.2      KITS.system

Das ULD hat in einem Audit bestätigt, dass das in den Kommunen in Schles­wig-Holstein eingesetzte Standardsystemkonzept für die Bürokommunika­tion (KITS.system) im kommunalen Bereich datenschutzfreundlich umge­setzt worden ist und betrieben wird.

„KITS.system ist ausgezeichnet!“ – so lautet die gemeinsame Meldung der Audit­partner. Ausgezeichnet wurde KITS.system durch ein erfolgreiches Datenschutz-Audit. Für KITS.system hat das Finanzministerium die folgenden Datenschutz­ziele festgelegt:

• Umsetzung der gesetzlichen und vertraglichen Vorgaben,
• Gewährleistung der Ordnungsmäßigkeit der Datenverarbeitung,
• Gewährleistung der Integrität und Verfügbarkeit der zentralen Systeme,
• Schutz vertraulicher Informationen,
• Minimierung der Gefährdung der Systeme der KITS-Nutzer durch die zentralen Systeme,
• Minimierung der Gefährdung der zentralen Systeme durch KITS-Nutzer.

Zur Erreichung dieser Datenschutzziele mussten das Kommunale Forum für Informationstechnik der Kommunalen Landesverbände in Schleswig Holstein (KomFIT), das Finanzministerium, Dataport und das ULD einige Hürden nehmen (29. TB, Tz. 9.1.9). KITS.system basiert auf dem zentralen Verzeichnisdienst Active Directory der Firma Microsoft. Dieses Active Directory besitzt keine aus­sagekräftige revisionssichere und manipulationssichere Protokollierung adminis­trativer Tätigkeiten (29. TB, Tz. 6.3). Die kommunalen Nutzer von KITS.system müssen aber sicherstellen, dass die gemeinsamen genutzten Komponenten korrekt und vor allem nach ihren Weisungen verwaltet werden.

Zur Erfüllung dieser Anforderungen wurde während des Audits für das Active Directory eine Lösung eines Drittherstellers implementiert. Diese bietet den kommunalen Nutzern ein detailliertes Berichtswesen zu den wichtigen sicher­heitskritischen Parametern von KITS.system. Alle Änderungen am Verzeichnis­dienst und an den zentralen Komponenten von KITS.system werden aussagekräf­tig protokolliert. Die Protokollierung kann von den Systemadministratoren nicht umgangen werden.

Alle KITS-Kunden sind in einer sogenannten Domäne – einer Gliederungseinheit des Active Directory – zusammengefasst. Diese Designentscheidung führt dazu, dass die Authentifizierungs- und Autorisierungsdaten aller kommunalen Nutzer in einer Datenbank vorgehalten werden. Um die Arbeitsfähigkeit bei den kommunalen Kunden bei einer Netzwerkstörung aufrechtzuerhalten, muss diese Datenbank bei allen Kunden in Kopie vorgehalten werden. Eine Kompromittie­rung dieser lokalen Kopien durch eine unberechtigte Einsichtnahme oder Verän­derung würde nach Aussagen Microsofts dazu führen, dass der komplette Ver­zeichnisdienst überprüft und in wesentlichen Teilen neu aufgebaut werden muss.

Um diesen nicht unerheblichen Aufwand und den damit verbundenen zeitweisen Ausfall der Systeme zu vermeiden, müssen die Domänencontroller – so heißen die Server bei den Kunden, die die Kopie der Datenbank vorhalten – gut gesichert werden, um ungerechtfertigte Zutritte und Zugriffe auszuschließen. Eine lediglich vertragliche Vereinbarung mit den Nutzern über die notwendigen Sicherheitsmaß­nahmen genügt nicht. Aus diesem Grund führen das Finanzministerium und KomFIT bei den KITS-Nutzern gesondert gesicherte Schutzschränke ein. In einem Schlüsselkonzept ist über einen Mechanismus von versiegelten Umschlä­gen und regelmäßigen Kontrollen sichergestellt, dass ein unberechtigter Zugriff auf diese sicherheitskritischen Server erkannt und der Sicherheitsvorfall in einem geordneten Vorgehen bearbeitet werden kann.

Ein geordnetes Vorgehen bei Sicherheitsvorfällen bildet einen weiteren wichtigen Baustein zur Umsetzung der Datenschutzziele. KomFIT, Dataport und das Finanz­ministerium haben hierzu ein integriertes Datenschutz- und Sicherheits­managementsystem (DSMS) sowie ein Vorgehen zum Durchführen von Ände­rungen an der zentralen Infrastruktur (Change-Management) eingeführt.

Im DSMS werden Werkzeuge, Maß­nahmen und Verantwortlichkeiten zu­sammengefasst, die ein dauerhaft hohes und nachhaltiges Datenschutz- und Datensicherheitsniveau umsetzen und gewährleisten sollen. Hierunter fallen regelmäßige und anlassbezogene Kon­trollen, das Erstellen eines jährlichen Sicherheitsberichts und ein geordnetes Vorgehen bei Sicherheitsvorfällen. Beim Finanzministerium, bei KomFIT und bei Dataport wurden Verantwortliche für Sicherheitsfragen benannt. Die KITS-Nutzer entsenden jeweils einen entscheidungsbefugten Vertreter in ein Sicherheitsgremium, welches Sicher­heitsvorgaben erarbeitet und an der Weiterentwicklung des Sicherheitskon­zeptes beteiligt ist.

Das Change-Management legt ein Vorgehen fest, wie Änderungen an der zentra­len Infrastruktur den Beteiligten mitgeteilt und wie diese ausgeführt werden. Hier­mit ist sichergestellt, dass die zentrale Infrastruktur nur in Übereinstimmung mit den Regelungen zur Auftragsdatenverarbeitung umgesetzt wird (siehe Kasten). Darüber hinaus wird gewährleistet, dass die zentrale Infrastruktur nur mit dem Einverständnis und nach den Vorgaben der Kunden als Auftraggeber weiterent­wickelt wird.

Das Auditverfahren zeigt: Große Infrastrukturen können durch gezielte Sicher­heitsmaßnahmen, eine aussagekräftige Protokollierung und eine umfangreiche Dokumentation datenschutzfreundlich gestaltet werden und sind gleichzeitig wirt­schaftlich und effizient.

 

9.1.3      ISMS Dataport

Dataport hat ein Informationssicherheitsmanagementsystem (ISMS) instal­liert, das im Einklang mit den Vorgaben des IT-Grundschutzes des Bundes­amtes für die Sicherheit in der Informationstechnik (BSI) steht. Es legt die Aufgaben und Prozesse fest, in denen Dataport für einen sicheren Betrieb seiner Kundendaten Sorge trägt.

Dataport als IT-Dienstleister des Landes Schleswig-Holstein hat sich IT-Grund­schutz des BSI als unternehmensweiten Sicherheitsstandard auf die Fahnen geschrieben. Ein Kernelement ist der Aufbau eines operativen Sicherheitsmanage­ments mit Schnittstellen zu einem proaktiven und kontrollierenden Datenschutz­management. Das ULD unterstützt diesen Kurs, weil eine einheitliche Aufbau- und Ablauforganisation mit Schnittstellen zu den Auftraggebern nicht nur das Sicherheitsniveau qualitativ absichert, sondern auch die Verantwortlichkeit der Auftraggeber für die Sicherheit ihrer Daten stärkt.

Mit der Konzeption des Informationssicherheitsmanagementsystems definiert Dataport Vorgaben für die Festlegung der Verantwortlichkeit für die IT-Sicher­heit im Unternehmen „von oben bis in die Linie“. Über das IT-Sicherheits­vorfallmanagement können sicherheitsrelevante Ereignisse rechtzeitig erkannt und die erforderlichen Maßnahmen eingeleitet werden. In einem Handbuch werden die erforderlichen technischen und organisatorischen Abläufe des ISMS beschrieben. Die Prozessbeschreibungen orientieren sich an dem internationalen Standard ITIL, den Dataport für andere unternehmensinterne Prozesse bereits verwendet.

Die Praxistauglichkeit des Konzepts wird durch seine Implementierung für einzelne Fachverfahren von Kunden bestätigt. Hierzu zählen ZIAF, das Landes­netz sowie KITS.system. Eine allmähliche Ausweitung des ISMS-Konzepts ist von Dataport vorgesehen.

 

9.1.4      Gemeinde Stockelsdorf

Stockelsdorf hat seine interne Datenverarbeitung und seinen Internet­anschluss so ausgestaltet, dass eine datensparsame und datenschutzfreund­liche Datenverarbeitung nach den Anforderungen des LDSG und der DSVO erfüllt wird.

Der Aufwand hat sich für die Gemeinde Stockelsdorf gelohnt (29. TB, Tz. 9.1.11). Das Auditverfahren wurde erfolgreich abgeschlossen. Die Erstellung und die weitere Pflege der Dokumentation erleichtern der Gemeindeverwaltung, die erreichten technischen und organisatorischen Sicherheitsmaßnahmen für zukünf­tige Planungen zu sichern. Der behördliche Datenschutzbeauftragte orientiert sich hierbei an einem allgemeinen Strukturierungsvorschlag des ULD (29. TB, Tz. 6.5).

Bei der Umsetzung der Sicherheitsmaßnahmen in ihrer internen Datenverarbei­tung setzt die Gemeindeverwaltung auf Zentralisierung und einen hohen Grad an Automatisierung. Das Audit zeigt anschaulich, dass eine sicherheitstechni­sche Konzeption nach den Vorgaben des ULD gleichzeitig auch die Wirtschaft­lichkeit des IT-Betriebes sichert. Hierzu zählen unter anderen

• die Inventarisierung und Verteilung von Sicherheitsupdates,
• die Verteilung und Kontrolle von Antivirensoftware,
• die Installation von Standardsoftware,
• das Sperren und selektive Freigeben sämtlicher Schnittstellen (z. B. USB-Anschlüsse und DVD-Laufwerke),
• die Nutzung eines Verzeichnisdienstes zur Authentisierung und Autorisierung,
• die Beschränkung der an den Endgeräten angebotenen Funktionen (in diesem Fall durch Gruppenrichtlinien),
• die Beschränkung des zur Verfügung stehenden Festplattenspeichers pro Benutzer,
• die Filterung sämtlichen Datenverkehrs mit externen Netzwerken sowohl auf Inhalts- als auch auf Transportebene.

Die Erfahrungen der Gemeindeverwaltung Stockelsdorf zeigen, dass mit der Konzentration der IT-Ressourcen der Rücken frei wird, um anspruchsvolle IT‑Projekte besser planen zu können.

 

9.1.5      Rezertifizierung Bad Schwartau

Bad Schwartau ist die erste Kommune, die ihre Datenverarbeitung nach Ablauf der Gültigkeit des Datenschutz-Audits erfolgreich einer Rezertifizie­rung unterzogen und mit Bravour bestanden hat.

Im Sommer 2004 hatte Bad Schwartau seine interne Datenverarbeitung als eine der ersten Kommunen zertifizieren lassen (27. TB, Tz. 9.2.3). Nach Ablauf der Gültigkeit des Zertifikats von drei Jahren hat sich Bad Schwartau erneut zertifizie­ren lassen. Da sich die IT-Konzeption nicht wesentlich geändert hatte, konnte die Rezertifizierung zügig und kostengünstig durchgeführt werden. Die Stadt hat bei dem Auditgegenstand sein hohes Datenschutzniveau gehalten. Hervorzuheben ist nicht nur unter wirtschaftlichen, sondern auch unter sicherheitstechnischen Aspekten das Terminal-Server-Konzept der Stadt sowie die restriktiv abgesicherte Nutzung der Internetdienste.

 

9.1.6      Kreis Plön

Der Landkreis Plön hat für die elektronische Zusammenarbeit mit den Kommunen ein sicheres und kreisgebietbezogenes Kommunikationsnetz geschaffen, das erfolgreich auditiert wurde.

Der Kreis Plön hat mit Bravour das Auditverfahren für sein Kreisnetz durchlaufen und hierfür im November 2007 das Auditzeichen erhalten (29. TB, Tz. 9.1.5). Nach der Konzeption des Kreisnetzes Plön wird der Datentransport zwischen definierten Anschlüssen und zwischen genehmigten Teilnehmern (Nutzern) erbracht. Das Kreisnetz Plön dient dem Zweck,

• eine flächendeckende und einheitliche Kommunikationsinfrastruktur für die öffentlichen Verwaltungen im Kreis Plön herzustellen,
• Daten zwischen den angeschlossenen Verwaltungen elektronisch in einem ein­heitlichen Verfahren sicher und datenschutzkonform zu übermitteln,
• durch die einheitliche Anschlusstechnik und flächendeckende Verfügbarkeit übergreifende Verwaltungsprozesse im Kreis Plön sicherzustellen und
• eine Kommunikationslösung und die damit verbundenen Prozesse einfach, beherrschbar und wirtschaftlich anzubieten.

Alle kreisangehörigen Kommunen sind an dieses Kreisnetz angeschlossen. Zurzeit gibt es zwischen der Kreisverwaltung und den Kommunen über 150 Dienstleistungsvereinbarungen über die Nutzung von Services, die das Kreis­netz Plön als Netzinfrastruktur voraussetzen. Dazu zählt die Möglichkeit, dass jede Kommune über das Kreisnetz Plön zentral installierte Anwenderprogramme des Kreises nutzen kann.

Im Auditverfahren wurde die Umsetzung der im Sicherheitskonzept festgelegten Sicherheitsmaßnahmen festgestellt. Die Praxistauglichkeit der für das Kreisnetz Plön erstellten Dokumentation wird durch den ordnungsgemäßen Betrieb des Netzes bestätigt. Die Leitungsebene ist sensibilisiert und übernimmt Aufgaben und Pflichten für die Informationssicherheit im Rahmen des von ihr eingerichteten Sicherheitsmanagements.

Das Kreisnetz Plön zeichnet sich durch folgende datenschutzfreundliche Aspek­te aus:

• Mit dem Einsatz von Sicherheitsfunktionen (MPLS-Technologie) und der Einrichtung redundanter Netzkomponenten von T-Systems werden während des Transports der Daten über das Kreisnetz die Verfügbarkeit, Vertraulichkeit und die Integrität sowie die Ordnungsmäßigkeit der Datenverarbeitung hinrei­chend gewährleistet.
• Die Kreisverwaltung stellt sicher, dass die im Kreisnetz Plön eingesetzten Übergaberouter nach den Kommunikationsparametern der Kommunen ord­nungsgemäß administriert werden.
• Sicherheitsrelevante Ereignisse können über den Einsatz eines Überwachungs­servers von den Administratoren der IT-Abteilung der Kreisverwaltung Plön und von den Administratoren der Kommunen rechtzeitig erkannt und aus­gewertet werden.
• Die technischen und organisatorischen Abläufe im Kreisnetz werden in der Kreisnetzdokumentation vollständig beschrieben.

 

9.1.7      Kreise Nordfriesland und Schleswig-Flensburg

Die Kreise Nordfriesland und Schleswig-Flensburg beabsichtigen, ihre IT‑Abteilungen in einem gemeinsamen Kommunalunternehmen in Gestalt einer Anstalt des öffentlichen Rechts zusammenzuführen. Der „neue“ IT‑Servicebetrieb hat das ULD beauftragt, in zwei Auditverfahren die Konzeption der Zusammenlegung der IT-Abteilungen und das von ihm betriebene Kommunikationsnetz Nord (KKN) zu auditieren.

Das gemeinsame Kommunalunternehmen soll einen umfassenden IT-Service für die beiden Kreise bereitstellen und bedarfsgerechte Dienstleistungen gegenüber dem kreisangehörigen Raum beider Kreise vorhalten (Tz. 6.2).

• Audit „Konzeption gemeinsamer IT-Servicebetrieb“

Wenn zwei IT-Abteilungen zusammengelegt werden sollen, dann stehen konzep­tionelle Fragestellungen im Vordergrund; Personalressourcen müssen gebündelt und strategische Entscheidungen über die zukünftige Hard- und Sofwarearchitek­tur getroffen werden. Darunter fallen z. B.

• die Vereinheitlichung der in beiden Kreisverwaltungen eingesetzten Verzeich­nisdienste (Microsoft Active Directory oder Novell eDirectory) als Basis für eine übergreifende Client-Server-Kommunikation,
• der mandantenfähige Ausbau der in den Abteilungen der Kreisverwaltungen genutzten Fachverfahren,
• die Auslastung und Dimensionierung von Servern und Netzen,
• der Einsatz eines einheitlichen Dokumentenmanagements,
• die einheitliche Anbindung an das Internet und an das Landesnetz,
• die flächendeckende Bereitstellung von Services für die kreisangehörigen Kommunen sowie
• der Betrieb eines flexiblen und sicheren Kommunikationsnetzes für die zu betreuenden Kommunen und sonstigen Stellen.

Um sicherzustellen, dass die Neugestaltung der Technik auch den datenschutz­rechtlichen und sicherheitstechnischen Anforderungen nach dem Stand der Tech­nik entspricht, will der IT-Servicebetrieb sein Konzept durch das ULD auditie­ren lassen. Das Verfahren soll 2008 abgeschlossen werden.

• Audit „Kommunikationsnetz Nord (KKN)“

Mit der Vereinheitlichung der IT-Infrastruktur durch die Bündelung von Hard- und Softwareressourcen sind die Kreisverwaltungen auf eine funktionierende und sichere Kommunikation angewiesen. Das Kommunikationsnetz Nord – so der Name dieses Netzes – soll über eine einheitliche Anschlusstechnik eine flächen­deckende Verfügbarkeit übergreifender Verwaltungsprozesse sicherstellen. Ferner soll es eine definierte Kommunikationslösung mit einfachen, beherrschbaren und wirtschaftlichen Prozessen anbieten. Folgende Rahmenbedingungen sind gegeben:

• Der IT-Servicebetrieb ist Betreiber des Kommunikationsnetzes Nord (KKN) und für alle Betriebs- und Datensicherheitsaspekte verantwortlich.
• Der IT-Servicebetrieb ist alleiniger Ansprechpartner für die an das KKN ange­schlossenen Teilnehmer.
• Das KKN wird auf der Plattform des Kommunikationsnetzes Schleswig-Holstein der Firma T-Systems betrieben.
• Die Teilnehmer (Kreisverwaltungen, Kommunen und Sonstige) schließen für den Anschluss an das KKN mit dem IT-Servicebetrieb einen sogenannten Anschlussvertrag ab.
• Auf der Grundlage des Anschlussvertrages schließen die Teilnehmer Nutzungs­vereinbarungen mit dem IT-Servicebetrieb über die bei ihm bezogenen Leistun­gen ab.

Für den IT-Servicebetrieb hat das KKN eine große Bedeutung. Es ist die Basis für die mit der Zusammenlegung der Rechenzentren beider Kreise entstehenden Kommunikationsprozesse. Das Audit soll sicherstellen, dass das KKN seinen Teilnehmern eine ausreichende Verfügbarkeit und die Sicherheit der übertra­genen Daten gewährleisten kann. Der IT-Servicebetrieb wird hierfür die von der Kreisverwaltung Plön implementierten mustergültigen Netzkontrollinstrumente einsetzen (Tz. 9.1.6).

 

9.1.8      Christian-Albrechts-Universität

Das ULD hat mit der rechtswissenschaftlichen Fakultät und dem Rektorat der Christian-Albrechts-Universität zu Kiel (CAU) ein Audit zur automati­sierten Verarbeitung von Studierendendaten begonnen.

Nach einem erfolgreichen Start Anfang 2007 ist das Auditverfahren nach der Bestandsaufnahme in einen Ressourcenengpass der CAU gerutscht. Das Audit war kurz vor der Umstellung auf die Bachelor-Studiengänge des Fachbereiches gestartet. Die geringe Personaldecke zur Durchführung der Umstellung führte vor allem in der zentralen EDV-Verwaltung zu einer Verzögerung der Bearbeitung. Dennoch konnten erste Verbesserungen, deren Dringlichkeit die Bestandsauf­nahme deutlich gemacht hatte, eingeleitet werden. Erklärter Wille der Beteiligten ist es, das Auditverfahren 2008 erfolgreich zu beenden. Die ersten Voraussetzun­gen sind von der CAU durch einen neuen Ressourcenplan geschaffen worden.

 

9.1.9      Begutachtung des Online-Portals der IKK-Direkt

Die IKK-Direkt beauftragte uns, sie hinsichtlich des Login-Bereichs ihres Online-Portals zu beraten. Aus datenschutzrechtlicher Sicht konnten wir einige Verbesserungshinweise geben.

Obwohl die Gebäude der IKK-Direkt in Kiel in Sichtweite des ULD liegen, sind für die Datenschutzaufsicht nicht wir, sondern der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) in Bonn zuständig. Daher konnten wir auf die Anfrage nach einer Überprüfung des Login-Verfahrens des Online-Portals kein förmliches Datenschutz-Audit durchführen, wohl aber eine beraten­de Begutachtung. Als Ergebnis war somit kein werbewirksames Datenschutz­auditzeichen, wohl aber die Mitteilung möglich, dass das Datenschutzkonzept der Registrierung aus unserer Sicht in Ordnung ist.

Die IKK-Direkt ist eine Krankenkasse ohne Filialnetz. Für ihre Kundinnen und Kunden ist die Kontaktaufnahme per Telefon oder Internet besonders wichtig. Auf ihrem Online-Portal stellt sie einen persönlichen Bereich zur Verfügung, in dem sich Versicherte nach Eingabe von Versichertennummer und Passwort vor allem Formulare herunterladen, Leistungsanträge abgeben oder Adressen ändern können. Auch Arbeitgeber können auf diese Weise mit der IKK-Direkt Kontakt aufnehmen und so Meldungen und Beitragsnachweise bearbeiten. Diese Funktio­nalitäten waren nicht Gegenstand der Begutachtung, sondern lediglich das Kon­zept des Registrierungsverfahrens, mit dem sich Nutzer per Webformular einen Zugang für den persönlichen Bereich freischalten lassen können. Hierzu ist die Eingabe von Adressdaten und Versichertennummer erforderlich, die mit der versi­cherungsinternen Datenbank abgeglichen werden. Danach wird dem Nutzer postalisch ein Passwort übermittelt – oder bei fehlgeschlagener Registrierung eine E-Mail zugesandt. Im Rahmen unserer Begutachtung konnten wir feststellen, dass es aus Datenschutzsicht nach Umsetzung einiger kleiner Verbesserungsvorschläge keine Einwände gegen das Identifizierungsverfahren gibt.

 

9.1.10    Wirtschaftsförderung Lübeck

Die Wirtschaftsförderung Lübeck GmbH entwickelt eine neue Software zur Förderung von Wirtschaftsbetrieben. Da in den Datenbanken auch sensible Geschäftsdaten gespeichert werden sollen, wurden wir mit einer Begutach­tung des Softwarekonzeptes beauftragt.

Das neue Informations- und Managementsystem der Wirtschaftsförderung Lübeck GmbH verfügt über Funktionen zur Unterstützung der Wirtschaftsförde­rung in der Hansestadt. Dazu gehören neben Datenbeständen über Firmen, Umsatzzahlen, Mitarbeiter usw. auch eine Börse für Gewerbeimmobilien, Werk­zeuge für die Bestimmung und Visualisierung von Branchenbeziehungen und Clustern sowie ein Ticketsystem, mit dem Anfragen und Beratungen verwaltet und dokumentiert werden können. Das Projekt wird durch das Land Schleswig-Holstein im Rahmen des Ziel-2-Programmes mit Mitteln der EU gefördert. Der Wunsch des Förderers war es, schon in der Konzeptphase sicherzustellen, dass die Software datenschutzgerecht erstellt wird.

Inhaltlich scheinen die Firmendaten nicht besonders brisant – sind sie doch gegen Bezahlung von Wirtschaftsaus­kunfteien relativ einfach zu erlangen. Spannend wird aber die Gesamtsicht aller Funktionalitäten: Die Adressdaten werden mit Geokoordinaten (Tz. 8.14) versehen, die eine geografische Ana­lyse, z. B. zur räumlichen Branchen­verteilung, erleichtern. Die Zuliefer­beziehungen können auf diese Weise erfasst werden. Anfragen und Beratun­gen betreffen nicht nur die Förderung gesunder Unternehmen, sondern auch die Hilfe für Not leidende Firmen. Sol­che Informationen müssen selbstver­ständlich vertraulich behandelt werden.

Die Software wurde mandantenfähig entwickelt und kann nach Fertigstellung auch anderen Wirtschaftsförderungsorganisationen zur Verfügung gestellt werden, sodass nicht nur der Raum Lübeck hiervon profitiert. In einigen wenigen Teil­bereichen konnten wir Verbesserungen vorschlagen, die z. B. die Archivierung von Altfällen, die Mandantenadministration und die Protokollierung von Zugrif­fen betrafen. Derzeit befindet sich die Software in der Umsetzungsphase.

 

9.2         Datenschutz-Gütesiegel

9.2.1      EuroPriSe (European Privacy Seal)

Das erfolgreiche schleswig-holsteinische Datenschutz-Gütesiegel wird euro­päisch. Erstmalig führt das ULD ein Konsortium mit namhaften Partnern aus acht europäischen Ländern zur Einführung eines europäischen Daten­schutz-Gütesiegels unter dem Namen EuroPriSe (European Privacy Seal).

Das vom ULD geleitete Projekt zur Marktevaluierung und zur Vorbereitung der Markteinführung eines europäischen Datenschutz-Gütesiegels wird im Rah­men des eTEN-Programms von der EU über eine Laufzeit von 18 Monaten mit 1,3 Millionen Euro gefördert. Neben dem ULD als Konsortialführer sind an dem Projekt die spanische Datenschutzbehörde APDCM von Madrid, die nationale französische Datenschutzbehörde CNIL, das Institut für Technikfolgenabschät­zung der Österreichischen Akademie der Wissenschaften, das Institut für Men­schenrechte der Metropolitan Universität in London, der TÜViT aus Deutschland, VaF aus der Slowakei, Borking Consultancy aus den Niederlanden und Ernst & Young, Schweden, beteiligt.

Ziel des im Juni 2007 gestarteten Projektes ist die Anpassung des schleswig-holsteinischen Gütesiegels an die faktischen und rechtlichen Rahmenbedingungen in der Europäischen Union (EU). Das europäische Datenschutz-Gütesiegel (European Privacy Seal) basiert auf dem in Schleswig-Holstein durchgeführten und bewährten Verfahren, in dem das ULD die zentrale Aufgabe der Qualitäts­sicherung wahrnimmt. In einem ersten Arbeitspaket wurden das schleswig-holsteinische Gütesiegelverfahren und seine Prüfkriterien an die europäischen Anforderungen angepasst. Die Anerkennungskriterien wurden im Rahmen des Projektes um eine europäische Komponente erweitert. Grundlage ist die Europä­ische Datenschutzrichtlinie mit deren Umsetzung in den nationalen Datenschutz­gesetzen.

Fachkundige internationale Gutachter prüfen in einem Assessment IT-Produkte und IT-Dienstleistungen auf ihre Vereinbarkeit mit den EuroPriSe-Kriterien und erstellen Gutachten. Unabhängige Behörden prüfen die Gutachten nach dem Vieraugenprinzip auf Vollständigkeit und Plausibilität und verleihen das EuroPriSe-Zertifikat. Während des Projektlaufes werden das ULD und die spani­schen Kollegen aus Madrid das europäische Datenschutz-Gütesiegel verleihen.

Ein zweites Arbeitspaket sieht die internationale Anerkennung von Sachver­ständigen vor. Voraussetzungen für die Anerkennung sind der Nachweis der Fachkunde und Zuverlässigkeit sowie das Verfassen eines Trainingsgutachtens für ein fiktives Produkt. Der erste EuroPriSe-Expertenworkshop fand mit über 80 Teilnehmern aus 13 EU-Ländern im November 2007 in Wien statt.

EuroPriSe eröffnet Herstellern und Anbietern von IT-Produkten und -Dienstleis­tungen die Möglichkeit, ihre Produkte in Pilotverfahren zertifizieren zu lassen. Interessierte Hersteller konnten sich in einer ersten Runde bis Ende Februar 2008 um die Teilnahme im Pilotverfahren bewerben.
Das Projekt findet seit seinem Start hohe internationale Beachtung und wurde auf der 29. Internationalen Konferenz der Datenschutz- und Informationsfreiheits­beauftragten in Montreal, Kanada, dem European Privacy Officers Forum in Brüs­sel sowie auf einem Symposium über Internationale Datenschutzgütezeichen in Tokio, Japan, vorgestellt. Eine Delegation der polnischen Datenschutzbehörde informierte sich in Kiel umfassend über das schleswig-holsteinische und das europäische Gütesiegel. Eine Delegation des Ungarischen Datenschutzbeauftrag­ten nahm am Expertenworkshop in Wien teil.

Für interessierte Hersteller wurde eine Informationsbroschüre in englischer Spra­che erstellt, die beim ULD erhältlich ist. Informationen zum Projekt für Bürger, Sachverständige und Hersteller befinden sich auch im Internet in deutscher und englischer Sprache unter

www.datenschutzzentrum.de/europrise.htm | www.european-privacy-seal.eu

 

9.2.2      Internationale Entwicklungen im Gütesiegelbereich

Die Umsetzung von Gütesiegelverfahren schreitet auch im Ausland voran.

Mit der polnischen Datenschutzaufsicht gab es intensive Gespräche über unsere Zertifizierungsverfahren. Die Kontakte mit der staatlichen Universität Tsukuba in Tokio und dem japanischen System „Privacy Mark“ (29. TB, Tz. 9.2.5) wurden im Rahmen des EuroPriSe-Projektes (Tz. 9.2.1) intensiviert.

In der Schweiz wurde im September 2007 mit einer Verordnung das Verfahren der Datenschutzzertifizierung konkretisiert. Der Eidgenössische Datenschutz­beauftragte wird darin beauftragt, inhaltliche Kriterien für eine Zertifizierung von Datenschutzmanagementsystemen und von IT-Produkten vorzulegen. Diese Prü­fungen lassen sich mit den Ansätzen aus Schleswig-Holstein vergleichen.

Derzeit befindet sich ein Vorschlag für Prüfkriterien für Datenschutzmanagement­systeme in der Anhörung, danach folgen Kriterien für IT-Produkte. In der Verord­nungsbegründung wird explizit darauf hingewiesen, dass eine Orientierung an den Kriterien aus Schleswig-Holstein möglich ist. Dies wäre sinnvoll; die im Verordnungstext genannten Produktanforderungen Datensicherheit, Datenvermei­dung, Transparenz und technische Unterstützung der Anwender bei der Einhal­tung weiterer Datenschutzgrundsätze sind genau diejenigen, die auch die schleswig-holsteinische Datenschutzauditverordnung (DSAVO) nennt. Es erfolgt diesbezüg­lich ein Austausch mit den Schweizer Kollegen.

 

9.2.3      Abgeschlossene Gütesiegelverfahren

Das ULD konnte 2007 wieder zahlreichen Produkten ein Datenschutz-Güte­siegel verleihen. Die Zahl der Neuzertifizierungen wie der Rezertifizierungen hat deutlich zugenommen. Es wurden elf Produkte erstmalig zertifiziert. Neun weitere Produkte wurden nach Fristablauf der ersten Zertifizierung in einem vereinfachten Verfahren rezertifiziert.

Das gestiegene Interesse der Hersteller an Rezertifizierungen zeigt, dass das Gütesiegel den Herstellern einen echten Wettbewerbsvorteil bietet, der gesichert werden soll. Für 2008 haben sich schon einige namhafte Hersteller für Zertifizie­rungen angekündigt.

Im Einzelnen wurden folgende Produkte neu zertifiziert:

• Microsoft Update Service (Version 6.0) und Windows Server Update Service (Version 2.0): Bereitstellung und Abruf von Updates und Upgrades für Micro­soft-Produkte,
• Easypark (Stand: 28. Februar 2007): Bezahlung von Parkgebühren über das Mobiltelefon,
• Vernichtung von Akten und Datenträgern im Vor-Ort-Verfahren durch die Shred-it GmbH (Stand: 15. Januar 2007),
• DIBIKO mit Fotokabine VC 100 und DIBIKO Small Business (Stand: Juli 2007): digitale Bildintegration für Kommunen mit und ohne Fotokabine,
• Altersüberprüfung durch Einlesen des Personalausweises oder des Führer­scheins (Stand: 2. Juli 2007),
• OPEN/PROSOZ (Version 3.1, Release 2): Dialogsystem für den Einsatz im Bereich der sozialen Sicherung,
• ePharm (Version 1.0): Realisierung einer telematischen Kommunikations­lösung für das Gesundheitswesen,
• Windows Genuine Advantage – WGA (Version 1.7): Service zur Feststellung, ob eine Windows XP-Installation genuin ist,
• Predictive Targeting Networking durch die nugg.ad AG (Version 2.0): Generie­rung von statistischen Annahmen aus Nutzungsinformationen,
• Elefant Profi (Version 8.01): Verwaltungsprogramm für psychotherapeutische und ärztliche Praxen,
• KOMMBOSS – verschiedene Module (Version 2.8.3.5): Unterstützung von Kommunen und öffentlichen Stellen in den Bereichen Personalwesen, zentrale Verwaltung und Organisation.

Im Rezertifizierungsverfahren wurden folgende Produkte in einem vereinfach­ten Verfahren (27. TB, Tz. 9.1.4) erneut überprüft und zertifiziert:

• LN-Card (Stand: 21. November 2006): Bonuskarte für Abonnenten der Lübe­cker Nachrichten,
• VISOR (Version 2.0): Software zur Online-Prüfung von PCs im Hinblick auf Sicherheitslücken,
• PROSOZ/S für Windows: Dialogverfahren zur Erfassung von Sozialhilfedaten, Berechnung rechtlicher Ansprüche, Fallmanagement und Ausgabe entspre­chender Bescheide direkt am Arbeitsplatz,
• PrimeSharing TeamDrive (Version 1.3): Kollaborationstool für den Zugriff mehrerer Benutzer auf einen verschlüsselten Datenbestand zur gemeinsamen Bearbeitung von Dokumenten,
• e-pacs Speicherdienst (Version 3.0): elektronische externe Archivierung von Röntgenbildern und anderen patientenbezogenen medizinischen Daten,
• ALLRIS (Version 3.8): Ratsinformationssystem für den kommunalen Sitzungs­dienst, mit dem Sitzungen vor- und nachbereitet sowie Informationen hierüber entsprechend abgestuft Amtsangehörigen, Ratsangehörigen und Bürgern zugäng­lich gemacht werden können,
• MBS-easy (Version 3.6.0.0): Softwareapplikation für die Aufnahme, weitere Verarbeitung und Verwaltung von digitalen ärztlichen Diktaten,
• Verfahren zur Vernichtung von Akten und Datenträgern durch die Lutz von Wildenradt GmbH im Auftrag für öffentliche und nicht öffentliche Stellen (Stand: Oktober 2007),
• Vernichtung von Akten und Mikroformen gem. DIN 32 757 Sicherheitsstufe V aus von der Akten- und Datenträgervernichtung Zentrale Nord GmbH (AVZ) Kunden zur Verfügung gestellten verschlossenen Containern.

Insbesondere in Folge der Zertifizierung der beiden Microsoft-Produkte war eine merkliche Zunahme von Anfragen zum Gütesiegel zu verzeichnen, was sich voraussichtlich auf die Zertifizierungen 2008 auswirken wird. Der Start des Projekts EuroPriSe (Tz. 9.2.1) verstärkte die Nachfrage von Interessenten. Die weite Streuung der zertifizierten Produkte aus den unterschiedlichsten Bereichen der Datenverarbeitung – vom Parken mit Handybezahlfunktion über Fotokabinen bis hin zu Online-Werbung – zeigt, dass Datenschutz ein Thema ist, das überall relevant werden kann. Der vertrauenswürdige Umgang mit Daten wird nicht mehr als notwendiges Übel, sondern als eine Möglichkeit gesehen, bei den Nutzern eine Marktbindung zu erreichen. Die auf Qualität ausgerichtete Ausgestaltung des Gütesiegelverfahrens, bei dem die Gutachten der Sachverständigen durch das ULD als unabhängige staatliche Stelle auf ihre Richtigkeit hin geprüft und zertifi­ziert werden, wird von den Herstellern, mit denen wir im Gespräch sind, als sehr wichtig angesehen.

Weitere Informationen für Hersteller befinden sich im Internet unter

www.datenschutzzentrum.de/guetesiegel/infos_hersteller.htm

 

9.2.4      Gütesiegel für Microsoft und deren Auswirkungen

2007 wurden vom ULD zwei Gütesiegel an die Firma Microsoft verliehen. Diese betrafen zum einen den Microsoft Updateservice (MU) und Windows Server Update Service (WSUS) und zum anderen Windows Genuine Advantage (WGA). Beide Gütesiegel haben weitreichendes Echo in der Presse gefunden und das Interesse der Industrie am Gütesiegel merklich gesteigert.

Die Übergabe des Gütesiegels für MU 6.0 und WSUS 2.0 erfolgte im Februar 2007 in der Landesvertretung von Schleswig-Holstein in Berlin durch Minister­präsident Peter Harry Carstensen (29. TB, Tz. 9.2.2). Das Gütesiegel für WGA Version 1.7 folgte im September 2007 bei einer Zeremonie in Unterschleißheim bei München. Mit diesem Produkt wird die Gültigkeit einer Lizenz von Windows XP überprüft, indem u. a. die Lizenznummer mit den bei Microsoft gespeicher­ten freigegebenen Nummern abgeglichen wird. Stellt sich hierbei heraus, dass keine gültige Lizenz vorliegt, bietet WGA dem Nutzer verschiedene Wege an, eine entsprechende Lizenz zu erwerben. Die Installation von WGA ist unter Windows XP freiwillig. Sie wird aber notwendig, wenn nicht sicherheitsrelevante Updates eingespielt werden sollen. Sicherheitskritische Updates werden auch ohne WGA-Prüfung bereitgestellt. Mit WGA soll – in datenschutzkonformer Weise – die Verbreitung von Raubkopien eingedämmt und dem Nutzer die Möglichkeit eröffnet werden, die Gültigkeit seiner Lizenz zu überprüfen.

Die Gutachter der Prüfstellen haben untersucht, welche Daten im Rahmen von WGA vom Rechner des Nutzers an Microsoft übermittelt werden und wie diese bei Microsoft verarbeitet werden. Dabei wurde festgestellt, dass zwar Daten zur Identifizierung des Rechners übertragen werden, deren Personenbeziehbarkeit aber durch den Einsatz unterschiedlicher Hash-Verfahren und durch organisatori­sche Festlegungen innerhalb der Microsoft Corporation unterbunden wird, sodass auch im Nachhinein keine Identifizierung von Nutzern durch Microsoft möglich ist.
Im Rahmen beider Microsoft-Zertifizierungen konnten für die Produkte Verbesse­rungen hinsichtlich des Datenschutzes erreicht werden. Nach der Verleihung beobachten wir natürlich die Entwicklung und Diskussion um die mit dem Güte­siegel ausgezeichneten Produkte kritisch weiter. Dabei stießen die Verfahren in der Öffentlichkeit nicht nur auf Zustimmung. Ein Großteil der Kritik beruhte auf Missverständnissen hinsichtlich der konkreten Verfahren. Wir nehmen aber jede Kritik ernst und überprüfen die entsprechenden Aussagen. Unser Zertifizierungs­verfahren beruht auf der Idee der Transparenz, was sich insbesondere in der Notwendigkeit der Veröffentlichung eines aussagekräftigen Kurzgutachtens zeigt.

Die Microsoft-Gütesiegelverfahren haben das Interesse zahlreicher Hersteller von IT-Produkten aus dem In- und Ausland geweckt mit der Folge einer zuneh­menden Zahl von Anfragen. Dies ändert nichts daran, dass sich das Gütesiegel auch in Zukunft an mittelständische Hersteller richtet. Das breite Angebot zur Auswahl der Sachverständigen und moderate Zertifizierungskosten des ULD gewährleisten, dass ein Gütesiegelverfahren für die meisten Unternehmen reali­sierbar ist. Das Gütesiegel bietet gerade auf umstrittenen Märkten die Chance, sich von der Konkurrenz positiv abzugrenzen. Aber auch für große Unternehmen wird die Bedeutung des Datenschutzes und das Interesse an einer Profilierung durch qualifizierte Zertifikate zunehmen.

Die Kurzgutachten zu den Gütesiegeln befinden sich im Internet unter

www.datenschutzzentrum.de/guetesiegel/register.htm

 

9.2.5      Sachverständige

Das Verfahren zur Anerkennung von Sachverständigen und Prüfstellen für das Gütesiegelverfahren brachte viele neue Akkreditierungen.

Beim Gütesiegelverfahren erfolgt die Begutachtung der zu zertifizierenden Pro­dukte durch beim ULD anerkannte Datenschutzsachverständige. Anerkennungen erfolgen für den Bereich Recht oder den Bereich Technik. Bei entsprechender Qualifikation ist eine Doppelzulassung möglich. Auch ganze Prüfstellen können zugelassen werden. Voraussetzungen einer Anerkennung sind stets neben Zuver­lässigkeit und Unabhängigkeit der Nachweis der erforderlichen Fachkunde, insbe­sondere in Bezug auf den Datenschutz.

2007 wurden folgende Sachverständige akkreditiert:

• Sachverständiger Jörg Deusinger (Technik),
• Sachverständiger Dipl.-Inf. Michael Westermann (Technik),
• Sachverständiger Dipl. Ing. (FH) Wolfgang Neudörffer (Technik),
• Sachverständiger Rechtsanwalt Dr. Fritjof Börner (Recht).

Inzwischen sind beim ULD 29 Einzelsachverständige registriert, 13 Sachverstän­dige für Recht, 11 für Technik, fünf für beide Bereiche. Hinzu kommen sieben Prüfstellen, zwei für Recht, drei für Technik und zwei für Technik und Recht.

Die Sachverständigen sind verpflichtet, im Abstand von jeweils drei Jahren nach dem Datum der Anerkennung Nachweise über die Wahrnehmung von Fortbildun­gen und zum Erfahrungsaustausch beizubringen. Zahlreiche Sachverständige sind bereits seit mehr als drei Jahren anerkannt und haben die entsprechenden Nach­weise vorgelegt.

Ende August 2007 fand der jährliche Gutachterworkshop in Kiel statt. Diese Möglichkeit des Erfahrungsaustausches nutzten 14 Sachverständige. Diskutiert wurden Erfahrungen mit Neu- und Rezertifizierungen, Fragen des Marketings des Gütesiegels wie auch Möglichkeiten der Internationalisierung. Ein Schwerpunkt war die Vorstellung des Europäischen Gütesiegels „EuroPriSe“ und die Diskus­sion über die Einbindung der Gutachter in das Projekt (Tz. 9.2.1).

Weitere Informationen für Sachverständige finden sich im Internet unter

www.datenschutzzentrum.de/guetesiegel/akkreditierungsunterlagen.htm

 

9.2.6      Zulassung von Prüfstellen

Die Voraussetzungen zur Zulassung von Sachverständigen und Prüfstellen wurden überarbeitet. Dies war notwendig, um den geänderten Interessen der Gutachter gerecht zu werden.

Neben kleineren formalen Änderungen, z. B. müssen künftig keine Gesichtsfotos beigelegt werden, betraf die Überarbeitung insbesondere die Zulassungsvorausset­zungen von Prüfstellen. Bisher konnte nur ein Leiter der Prüfstelle vom Antrag­steller benannt werden. Dieser musste die notwendige Fachkunde der Prüfstelle in sich vereinigen. War der Leiter nur in einem der Bereiche Recht oder Technik fachkundig, so konnte die gesamte Prüfstelle nur hinsichtlich dieser Fachkunde zugelassen werden. Nach Überarbeitung ist es nunmehr möglich, zwei Leiter mit unterschiedlicher Fachkunde zu benennen, die jeweils für ihren Bereich verant­wortlich sind. Dies erleichtert in fachlich sinnvoller Weise den Zugang zum Markt. Diese Änderung geht auf Wünsche anerkannter Sachverständiger zurück. Erste Anträge mit Doppelleitung liegen bereits vor.
Die Antragsunterlagen für Sachverständige befinden sich im Internet unter

www.datenschutzzentrum.de/guetesiegel/akkreditierung.htm

 

9.2.7      Präsentation des Gütesiegels auf Veranstaltungen

Das Gütesiegel stieß auf ein großes öffentliches Interesse und durchgehend auf positive Resonanz.

Viele der Gütesiegelverleihungen fanden im Rahmen öffentlicher Veranstaltungen statt (29. TB, Tz. 9.2.4), z. B. auf der IT-Messe CeBIT 2007 in Hannover bei dem schleswig-holsteinischen Gemeinschaftsstand oder bei der Sommerakademie 2007 in Kiel. Auf diesen Veranstaltungen präsentierten wir dieses proaktive Daten­schutzinstrument generell und warben gezielt weitere Interessenten. Bei ihren Vorträgen und Beratungsgesprächen wird von ULD-Mitarbeitern und -Mitar­beiterinnen regelmäßig auf das Datenschutz-Gütesiegel hingewiesen. Vor allem im Rahmen des Projektes EuroPriSe (Tz. 9.2.1) wurde das Gütesiegel auch aus­ländischen Herstellern und Gutachtern nähergebracht.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel