Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

6    Systemdatenschutz

6.1          Mandantenfähigkeit

Die gemeinsame Nutzung von IT-Systemen durch unterschiedliche datenverarbeitende Stellen muss sorgfältig geplant und korrekt umgesetzt werden. Häufig werden „mandantenfähige“ Systeme verwendet, bei denen die umgesetzte Datentrennung nicht hinreichend bewertet wurde. Das ULD hat zusammen mit den Kolleginnen und Kollegen aus den anderen Bundesländern eine Orientierungshilfe erstellt.

Zur Zentralisierung bzw. Konsolidierung verteilter Datenverarbeitung und aus Kostengründen kommen von datenverarbeitenden Stellen zunehmend kooperative Betriebsmodelle zum Einsatz, bei denen Systeme und Programme zur automatisierten Verarbeitung personenbezogener Daten gemeinsam genutzt werden. Das gemeinsame Nutzen einer solchen Infrastruktur stellt erhöhte Anforderungen an die Trennung der personenbezogenen Daten wegen der zusätzlichen Risiken für die informationelle Gewaltenteilung, die Zweckbindung und die Vertraulichkeit. Diese Risiken müssen auf ein akzeptables Niveau reduziert werden.

In Schleswig-Holstein werden diese Fragen durch den gemeinsamen IT-Dienstleister Dataport immer aktueller. Der länderübergreifende Dienstleister praktiziert immer häufiger aus wirtschaftlichen Gründen den Betrieb desselben Fachverfahrens für unterschiedliche Auftraggeber.

Die Begriffe „Mandant“ oder „Mandantenfähigkeit“ werden verwendet, wenn es Organisationen ermöglicht werden soll, Daten in einer Datenbank logisch zu trennen und zu verwalten. Daten z. B. verschiedener Abteilungen einer Organisation oder verschiedener Kunden eines Rechenzentrums sollen getrennt vorgehalten werden. Das LDSG fordert, dass personenbezogene Daten, die von unterschiedlichen verantwortlichen Stellen oder von einer Stelle zu unterschiedlichen Zwecken erhoben werden, getrennt verarbeitet werden. Bei besonderen Arten personenbezogener Daten ist gesetzlich oft auch eine separate Verarbeitung gefordert. Die getrennte Verarbeitung betrifft die Speicherung und die Verarbeitungsfunktionen wie z. B. Datenbanktransaktionen oder Datensatzbuchungen.

Aus Gründen der Wirtschaftlichkeit oder der Praktikabilität kann es sinnvoll sein, dass Hard- und Software-Ressourcen, also IT-Infrastrukturen, für verschiedene, voneinander zu trennende Datenbestände gemeinsam genutzt werden. Die gemeinsame Nutzung kann so weit gehen, dass eine gemeinsame Speicherung mit mandantenbezogener Kennzeichnung der Daten erfolgt. Die Daten sind dann nur noch logisch getrennt. Voraussetzung für eine getrennte Datenverarbeitung auf einer gemeinsamen Infrastruktur ist, dass die Daten mandantenbezogen geführt und Verarbeitungsfunktionen, Zugriffsberechtigungen und Konfigurationseinstellungen je Mandant eigenständig festgelegt werden können. Technische und organisatorische Maßnahmen müssen zwingend eine getrennte Verarbeitung sicherstellen. In einer Orientierungshilfe hat das ULD zusammen mit den Kolleginnen und Kollegen aus den anderen Bundesländern die Kriterien festgelegt, anhand derer die Mandantenfähigkeit eines Verfahrens geprüft werden muss.

Im ersten Prüfschritt müssen die rechtlichen Grundlagen für die Datenverarbeitung daraufhin bewertet werden, welche datenverarbeitenden Stellen nach welcher Rechtsgrundlage und bei welcher Zweckbestimmung eine Infrastruktur gemeinsam nutzen sollen. Eventuell muss auch geprüft werden, wo die gesetzgeberische Regelungskompetenz für die jeweilige Verarbeitung liegt, ob sich Unvereinbarkeiten zwischen Landes-, Bundes- und Europarecht ergeben und ob eine Befugnis für eine gemeinsame oder eine verbundene automatisierte Verarbeitung besteht.

Im zweiten Prüfschritt ist die Datenübermittlung zwischen einzelnen Mandanten zu prüfen und zu bewerten. Bei einer gemeinsamen IT-Infrastruktur ist die Verarbeitung von Daten eines Mandanten durch einen anderen Mandanten regelmäßig als Datenübermittlung zu bewerten. Hierfür bedarf es einer rechtlichen Grundlage. Diese Grundlagen und die konkreten Anforderungen an die Zulässigkeit der Übermittlungen und an die Form ihrer Durchführung sind vorab zu klären.

Im dritten Schritt ist zu prüfen, ob ein Mandant „abgeschlossen“ ist. Ein Mandant gilt als „abgeschlossen“, wenn jede Transaktion in einem Mandanten in einen neuen gültigen Datenbestand übergeht, wobei sie hierbei von Daten anderer Mandanten nicht abhängt und auf diese Daten aufgrund technischer Maßnahmen weder lesend noch schreibend zugreift. Die Datenhaltung muss stets so organisiert werden, dass für jede Instanz eines personenbezogenen Datums die Zuordnung zu genau einem Mandanten erfolgt.

Im vierten Schritt wird geprüft, ob die Konfiguration eines Mandanten unabhängig von anderen Mandanten durchgeführt werden kann. Eine ausreichende Mandantentrennung setzt voraus, dass die Zugriffsberechtigungen, die Verarbeitungsfunktionen und die Konfigurationseinstellungen je Mandant eigenständig festgelegt werden.

In einem letzten Prüfschritt wird sichergestellt, dass mandantenübergreifende Verwaltungsfunktionen auf das notwendige Maß beschränkt werden. Mandantenübergreifende Funktionen zur Verwaltung der Mandanten und der gemeinsam genutzten Infrastruktur dürfen grundsätzlich keine Verarbeitung personenbezogener Daten eines Mandanten ermöglichen.

Das Prüfvorgehen und die notwendigen Ergänzungen im behördlichen oder betrieblichen Datenschutzmanagement sind in der Orientierungshilfe „Mandantenfähigkeit“ genauer beschrieben.

https://www.datenschutzzentrum.de/mandantenfaehigkeit/

Das LDSG schließt die getrennte Verarbeitung personenbezogener Daten in einer gemeinsamen Infrastruktur nicht aus. Die datenverarbeitenden Stellen müssen jedoch darauf achten, dass das Sicherheits- und Datenschutzniveau nicht darunter leidet, dass mehrere Stellen ein gemeinsames Verfahren einsetzen. Die zuständigen Datenschutzbeauftragten der datenverarbeitenden Stellen sollten frühzeitig in die Planung einbezogen werden.

 

6.2          Zusammenarbeit auf Landesebene

Das ULD unterstützt und berät die Landesverwaltung und die Kommunalverwaltung bei IT-Projekten. Eine frühzeitige Berücksichtigung von Datenschutz und Datensicherheit sorgt für eine erhöhte Projektsicherheit und bringt klare und nachvollziehbare Verarbeitungsprozesse hervor.

Die Zusammenarbeit auf der Ebene der Landesverwaltung ist gut strukturiert und organisiert. Neben regelmäßigen Treffen und Abstimmungsrunden auf Projektebene gibt es regelmäßige Koordinierungsrunden. In der IT-Beauftragtenkonferenz (ITBK) wirkt das ULD beratend mit und unterstützt die Ministerien bei der übergreifenden IT-Steuerung und den damit verbundenen Fragen zu Datenschutz und Datensicherheit.

Der IT-Rat Schleswig-Holstein dient der landesweiten Koordinierung des Einsatzes von Informationstechnologie und erarbeitet gleichzeitig die Positionierung des Landes für die Themen des IT-Planungsrates des Bundes. Das ULD ist hier ebenfalls beratend vertreten.

Kritisch sehen wir die mangelhafte Koordinierung der Kommunen mit dem ULD. Bei einzelnen kommunalen Projekten und mit einzelnen Kreis- oder Stadtverwaltungen findet eine direkte und erfolgreiche Abstimmung in Fragen des Datenschutzes und der Datensicherheit statt; es fehlt jedoch eine übergreifende Steuerung und Koordination in puncto Datenschutz und Datensicherheit wie bei der IT-Beauftragtenkonferenz des Landes. Das ULD wird hier im Interesse einer verbesserten Koordination auf die kommunalen Spitzenverbände zugehen.

Auf unsere Initiative hin und mit unserer Unterstützung wurde für die Landesverwaltung ein integriertes Sicherheits- und Datenschutzmanagement (ISMS) aufgebaut. Diese regelmäßig tagende Gruppe setzt sich vornehmlich aus den IT-Sicherheitsbeauftragten der Landesverwaltung zusammen. Sie soll innerhalb der Landesverwaltung die Standardisierung im Bereich IT-Sicherheit und Datenschutz vorantreiben und einheitliche Vorgehensweisen für die Bearbeitung von Sicherheits- oder Datenschutzproblemen etablieren.

Leider sind in fast allen Landesbehörden keine behördlichen Datenschutzbeauftragten bestellt. Wegen der zunehmenden Zentralisierung von Aufgaben in der Landesverwaltung ist dies ein nicht mehr haltbarer Zustand. Die Landesverwaltung braucht als entscheidungs- und tatkräftige Datenschutzbeauftragte ausgebildete Mitarbeiter, die dann für eine oder mehrere Landesbehörden offiziell zu Beauftragten bestellt und als solche tätig werden.

 

6.3          Zusammenarbeit auf Bundesebene

Datenschutz und Datensicherheit machen nicht vor Ländergrenzen halt. Viele Sachverhalte der automatisierten Verarbeitung personenbezogener Daten sind nicht landesspezifisch, können oder müssen gar bundeseinheitlich geregelt werden. Das ULD übernimmt arbeitsteilig mit den Kolleginnen und Kollegen der Aufsichtsbehörden der anderen Bundesländer einzelne Projekte.

Die für den Systemdatenschutz zuständigen Mitarbeiter der Aufsichtsbehörden im Norden, also von Mecklenburg-Vorpommern, Niedersachsen, Bremen und Hamburg, treffen sich regelmäßig zur Abstimmung für den Bereich der länderübergreifenden Verfahren und Infrastrukturen. Hierbei müssen zunächst die fachlich Verantwortlichen, dann aber auch die Aufsichtsbehörden ein gemeinsames, einheitliches Vorgehen anstreben.

Zur bundesweiten Abstimmung dient der Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder. Dieser erarbeitet gemeinsame Bewertungen zu Einzel- und Grundsatzfragestellungen des Datenschutzes und der Datensicherheit. Unter der Geschäftsführung durch unsere Kollegen in Mecklenburg-Vorpommern werden Orientierungshilfen, Entschließungen und Stellungnahmen vorbereitet und abgestimmt.

 

6.3.1       KoSIT -Beirat

Das ULD berät den IT-Planungsrat und dessen Gremien in Fragen des Datenschutzes und der Datensicherheit. Wir verfolgen das Ziel, Datenschutz und Datensicherheit auf Bundes- und Länderebene einheitlich umzusetzen. Eine frühzeitige Beteiligung bei länderübergreifenden Projekten verhindert, dass auf Bundes- oder länderübergreifender Ebene für Schleswig-Holstein datenschutzkritische Vorgaben gemacht werden.

Das ULD vertritt den Arbeitskreis Technik der Datenschutzbeauftragten der Länder und des Bundes im KoSIT-Beirat. Die KoSIT (Koordinierungsstelle für IT-Standards) ist der operative Arm des IT-Planungsrates (IT-PLR). Der IT-PLR, der sich aus Vertretern der Länder und des Bundes zusammensetzt, beschließt die Nationale E-Government-Strategie (NEGS). Die NEGS definiert den Zielrahmen für Bund, Länder und Kommunen zur Modernisierung der staatlichen Informationstechnik und E-Government-Dienste. Das Spektrum der Maßnahmen umfasst die Konzeption und den Betrieb technischer Basisinfrastrukturkomponenten sowie Dienstleistungen wie den Aufbau eines elektronischen Grundbuchs. Weitere Handlungsfelder sind die Informationssicherheit und eine Strategie für den Umgang mit elektronischen Identitäten. Der KoSIT-Beirat hat die Aufgabe, hierfür mit seinem technischen und rechtlichen Sachverstand beizutragen.

Das ULD lässt sich hier von dem Grundsatz „Privacy by Default“ leiten. Wir sorgen dafür, dass bereits in der Planungs- und Konzeptionsphase von Standardisierungsprojekten Anforderungen der Datensicherheit, der Datensparsamkeit und generell des Datenschutzes formuliert und berücksichtigt werden. Aus den Erfahrungen dieser Gremienarbeit, zusammen mit der Arbeit der Umsetzung konkreter Maßnahmen im Rahmen des XTA-Projekts (Tz. 6.3.3), entstand ein standardisiertes Datenschutzmodell. Dieses basiert auf den sechs elementaren Schutzzielen des Datenschutzes, die im seit Januar 2012 gültigen LDSG in Schleswig-Holstein und in leicht abgewandelter Form auch in anderen Landesdatenschutzgesetzen verankert sind. Das Modell benutzt die Systematik nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationsgesellschaft (BSI). Es bietet dadurch einen methodischen Rahmen, der die allgemeinen, wesentlichen normativen Anforderungen des Datenschutzrechts berücksichtigt und – besser kontrollierbar als bislang – eine Transformation der gesetzlichen Anforderungen in technische und organisatorische Maßnahmen gestattet. Das ULD bietet behördlichen und betrieblichen Datenschutzbeauftragten an, Fortbildungen zu diesem Datenschutzmodell durchzuführen und dieses im Rahmen von einzelnen Projekten in die Projektarbeit einzubringen.

 

6.3.2       Informationssicherheitsleitlinie (ISMS ) für Bund, Länder und Gemeinden

Das ULD vertritt den Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder in einer vom IT-Planungsrat (IT-PLR) eingesetzten Arbeitsgruppe zur Erstellung einer Sicherheitsleitlinie.

• für ein einheitliches Informationssicherheitsmanagement (ISMS),
• für die Absicherung der Netzinfrastrukturen der öffentlichen Verwaltung,
• für einheitliche Sicherheitsstandards für ebenenübergreifende IT-Verfahren,
• mit Kooperationsvereinbarungen für den Verwaltungs-CERT-Verbund sowie
• für Standards und Produktsicherheit.

Die Vertretung der Interessen der Gemeinden wurde seitens des Gesetzgebers den Ländern zugewiesen. Das hat gemäß dem Konnexitätsprinzip zur Folge, dass bei Anordnungen zur Umsetzung von Sicherheitsmaßnahmen seitens eines Landes an die Kommunen das Land auch die Kosten dafür zu tragen hat. Eine solche Konstellation wird zu einem handfesten Dilemma, wenn Gemeinden den Anforderungen der Informationssicherheitsleitlinie nicht genügen, weil die Kostenübernahme ungeklärt ist und diese Gemeinden deshalb nicht an die internen Netze der Länder und des Bundes angeschlossen werden können. Das hätte zur Folge, dass typische Verwaltungsdienstleistungen, wie sie Gemeinden beispielsweise im Meldewesen oder im Personenstandswesen erbringen, den Bürgerinnen und Bürgern solcher Gemeinden nicht zur Verfügung stünden. Das kann keine Lösung sein. Mit dem Hinweis auf „das Auslösen der Konnexität“ weigerten sich in der Arbeitsgruppe viele Länder, in einigen Teilaspekten auch Schleswig-Holstein, wesentlichen Sicherheitsanforderungen nach IT-Grundschutz zu genügen.

Aus Sicht des ULD ist das Argument der Gemeinden bezüglich des Auslösens der Konnexität nicht stichhaltig. So verlangt die Sicherheitsleitlinie in ihrer aktuellen Version nur solche Sicherheitsmaßnahmen, die nach geltendem Datenschutzrecht von den Verwaltungen in den Ländern und Gemeinden ohnehin umzusetzen sind. Es bedarf deshalb keines weiteren Auftrags durch die Länder an die Kommunen, der für die Länder das Risiko der Konnexität auslöst.

 

6.3.3       XTA

Das ULD arbeitet bei der Erstellung eines Konzepts für einen standardisierten Transportadapters für die öffentliche Verwaltung („XTA“) mit.

Ein XTA ist ein Programmbestandteil, das zwischen einem Fachverfahren, mit dem die Sachbearbeitung in einer öffentlichen Verwaltung durchgeführt wird, und einem Transportverfahren, mit dem die Daten eines Fachverfahrens in eine andere Verwaltungseinheit geschickt werden, angesiedelt ist. Diese Zwischenschicht einzuziehen und zu standardisieren ist notwendig geworden, weil äußerst unterschiedliche Formen des Datentransports existieren. Erfasst werden der Transport zwischen verschiedenen Datenbanken innerhalb eines Rechenzentrums ebenso wie der Transport mit dem verwaltungsinternen E-Mail-ähnlichen Kommunikationsstandard OSCI-Transport über Landesgrenzen hinweg oder moderne Transportformen wie Webservices. Die Hersteller von Fachverfahren und die Rechenzentren sollen mit XTA von der Aufgabe entlastet werden, viele komplizierte Speziallösungen für Transportaufgaben bereitstellen zu müssen. Man verspricht sich davon eine Reduktion der Kosten.

Aus der Sicht des Datenschutzes und der Datensicherheit bedeutet eine zentral betriebene Kommunikationskomponente, etwa im Rahmen einer Clearingstelle oder eines Nachrichtenbrokers, dass dort unterschiedliche Daten unterschiedlicher Sender und Empfänger vermittelt werden. An einer solchen zentralen Stelle muss eine saubere Trennung der Daten unterschiedlicher datenverarbeitender Stellen erfolgen und die Vertraulichkeit der Daten sichergestellt werden. Bei der Spezifikation des XTA-Standards muss technisch gewährleistet werden, dass der Betreiber der XTA-Schnittstelle und des Transportverfahrens nachweisbar keinen Zugriff auf die Inhaltsdaten der Fachverfahren nehmen kann und dass jederzeit vollständige Transparenz darüber hergestellt werden kann, welche Transaktionen mit welchen beteiligten Systemen stattfanden. Eine erste technische Spezifikation von XTA liegt vor.

Der Prozess der Standardisierung mit seinen funktionalen, sicherheitstechnischen und datenschutzrechtlichen Anforderungen erfolgt durch die KoSIT (Tz. 6.3.1), die das Projekt im Auftrag des IT-Planungsrates durchführt. Das ULD wird die Standardisierungsarbeit auf Bundesebene zusammen mit den Kolleginnen und Kollegen der anderen Bundesländer im Rahmen der begrenzten personellen Ressourcen weiterhin begleiten.

6.4          Ausgewählte Ergebnisse aus Vorabkontrollen

Lange vernachlässigt, ist sie jetzt wiederentdeckt: die Vorabkontrolle. Was als verwaltungsinterner Prozess gedacht war, um Datenschutz und Datensicherheit bei der Einführung eines Fachverfahrens sicherzustellen, entwickelt sich zur wesentlichen Erfolgsbedingung für Projekte.

Die Vorabkontrolle dient der Prüfung der Datenverarbeitung mit erhöhtem Schutzbedarf auf Rechtmäßigkeit und Ordnungsmäßigkeit vor Betriebsaufnahme. Sie soll durch die oder den behördlichen Datenschutzbeauftragten durchgeführt werden. Ist niemand für diese bei modernen Verwaltungen wichtige Funktion bestellt, so übernimmt das ULD diese Aufgabe. Im Bereich der Landesverwaltung ist die Anzahl der Vorabkontrollen stark angestiegen. Dies liegt wohl u. a. daran, dass Datenschutz und Datensicherheit verstärkt Beachtung findet. Ein Grund ist auch, dass immer mehr Verfahren zentralisiert und dann von mehreren datenverarbeitenden Stellen gemeinsam betrieben werden. Bei der Prüfung durch das ULD nimmt neben der Prüfung der Rechtsgrundlagen die kritische Bestandsaufnahme der technischen und organisatorischen Maßnahmen in Bezug auf Angemessenheit und Wirksamkeit einen großen Raum ein.

 

6.4.1       Vorabkontrollen  sind gebührenpflichtig

Das ULD wendet die gesetzlichen Vorgaben des LDSG an und erhebt für Vorabkontrollen Gebühren. Die Gebühren sind in einer Satzung festgelegt. Der Prozess ist transparent beschrieben und für die datenverarbeitenden Stellen nachvollziehbar.

Vorabkontrollen sind aufwendige, aber klar umrissene und abschätzbare Prüfprozesse. Zu Beginn einer Vorabkontrolle werden eine Aufwandsschätzung und ein Projektplan zur Durchführung erstellt. In seiner Benutzungs- und Entgeltsatzung hat das ULD das Vorgehen zur Durchführung einer Vorabkontrolle festgelegt und die dafür zu erhebenden Gebühren dargestellt. Die Vorabkontrolle durch das ULD wird nach Personalaufwand abgerechnet. Es wird ein fester Satz von 640 Euro pro Personentag zusätzlich Reisekosten berechnet. Der Aufwand für die Durchführung der Vorabkontrolle beträgt in der Regel mindestens drei Personentage.

Der Aufwand erhöht sich, wenn uns keine ausreichenden Nachweise einer ordnungsgemäßen Datenverarbeitung vorgelegt werden. Hoher Aufwand entsteht regelmäßig bei komplexen Verfahren. Um den Aufwand einschätzen zu können, benötigt das ULD vor Beginn der Vorabkontrolle die in der Datenschutzverordnung (DSVO) festgelegten Dokumente und Nachweise einer ordnungsgemäßen Datenverarbeitung. Die vom ULD vorgenommene Aufwandsschätzung und der Projektplan zur Durchführung der Vorabkontrolle werden der anfragenden Stelle vor Auftragserteilung zur Verfügung gestellt.

 

6.4.2       KoPers

Die Landesverwaltung und die Kommunen führen gemeinsam mit der Hansestadt Hamburg ein neues Personalverwaltungssystem ein: KoPers. Für die Versorgungs- und Ausgleichskasse (VAK) führt das ULD die erste Vorabkontrolle in diesem Großprojekt durch.

KoPers ist ein länderübergreifendes System für die Personalverwaltung. Es wird für alle teilnehmenden Behörden durch den landesweiten und länderübergreifenden Dienstleister Dataport betrieben. Der kommunale Bereich in Schleswig-Holstein ist bei diesem Projekt Vorreiter: Die erste Vorabkontrolle von KoPers hat das ULD für die Versorgungs- und Ausgleichskasse (VAK) der Kommunen durchgeführt. Dabei wurden Mängel festgestellt, die eine vom Betreiber unabhängige Kontrolle des Verfahrens durch die datenverarbeitenden Stellen größtenteils unmöglich machten. Die Stellen waren bei einem Großteil der durch sie durchzuführenden Prüf- und Kontrolltätigkeiten auf die Mitwirkung des Dienstleisters angewiesen; das Verfahren selbst war nicht „auskunftsfähig“: Die Protokollierung der Nutzung und der Administration des Verfahrens war nicht ausreichend und konnte nicht vollständig durch die Auftraggeber geprüft werden. Diese Mängel im Verfahren wurden behoben. Bei einer Nachkontrolle stellte das ULD fest, dass nun die Auftraggeber für regelmäßige und anlassbezogene Kontrollen die erforderlichen Informationen unabhängig vom Dienstleister und direkt aus dem Fachverfahren erhalten können.

Bei der VAK prüft das ULD die für den Betrieb des Verfahrens notwendigen technischen und organisatorischen Maßnahmen. Nach Abschluss dieser Prüfung wird das ULD die kommunalen KoPers-Anwender schriftlich über die notwendigen Prüfschritte informieren, die für deren Vorabkontrolle notwendig sind. Sollten kommunale Anwender keine behördlichen Datenschutzbeauftragten bestellt haben, so ist das ULD mit der Durchführung einer kostenpflichtigen Vorabkontrolle zu beauftragen (Tz. 6.4.1).

 

6.4.3       BAföG21

Mit BAföG21 verwalten die Kreise sowie kreisfreien Städte und die Studentenwerke der Hochschulen die BAföG-Anträge von Studierenden.

BAföG21 besteht aus drei Modulen: dem zentral bei Dataport betriebenen Hauptverfahren BAföG21, Dialog21 als Verbindung zwischen den dezentralen Clients mit dem zentralen Server sowie Kasse21 zur Abwicklung von Zahlungsvorgängen. Die Federführung zur Entwicklung und Pflege des Programms liegt beim Land Baden-Württemberg. Das Bildungsministerium betreut den zentralen Betrieb und übernimmt die Kommunikation mit Baden-Württemberg. Die Vorabkontrolle bestand aus zwei Teilen, einer Prüfung der zentralen Komponenten bei Dataport sowie einer Prüfung der Komponenten vor Ort. Diese Kontrolle bei Dataport ergab, dass die vernetzten Systeme wie vorgesehen in den standardisierten Betriebsabläufen der Administration eingebunden sind.

Eine Kontrolle der dezentralen Verfahrenskomponenten konnte bislang nicht durchgeführt werden.

6.4.4       forumSTAR

Im Justizbereich von Schleswig-Holstein soll mit „forumSTAR“ eine plattformunabhängige Fachanwendung für die ordentliche Gerichtsbarkeit eingesetzt werden. Das ULD prüft das Verfahren im Rahmen einer gemeinsamen Vorabkontrolle unter Koordinierung des Justizministeriums.

forumSTAR enthält neben fachspezifischen Programmteilen – für Zivilsachen, Familiensachen, Strafsachen, Immobilarvollstreckung, Mobiliarvollstreckung, Insolvenzsachen, Vormundschaftssachen, Nachlasssachen, Rechtsantragsstelle – ein programmierbares Textsystem. Gegenwärtig wird forumSTAR für Zivilsachen und Mobiliarvollstreckung eingesetzt. Die Programmentwicklung geschieht in Kooperation der Bundesländer Bayern, Sachsen, Rheinland-Pfalz und Baden-Württemberg; die Entwicklung führt die Firma Siemens Business Services durch.

Die zentralen Bestandteile, eine Datenbank und ein Fileserver, werden von Dataport betrieben. Der Pilotbetrieb für die dezentralen Verfahrensbestandteile erfolgt beim Amtsgericht Schleswig. Die Datenbank enthält die Daten von Verfahrensbeteiligten; der Fileserver stellt zentral Formulare für die verschiedenen Verfahrensbestandteile bereit. Diese zentral gespeicherten Formulare werden auf die lokalen Komponenten kopiert, wo sie dann mit den personenbezogenen Daten gefüllt werden. Dabei verbleiben die Formulare auf den lokalen Systemen; eine zentrale Speicherung ausgefüllter Formulare bei Dataport findet ebenso wenig statt wie eine Übermittlung an andere Gerichte.

Die Vorabkontrolle bei Dataport ergab, dass die vernetzten Systeme in die standardisierten Betriebsabläufe der Administration eingebunden sind. Das bedeutet, dass z. B. die Pflege der Firewall-Regeln zentral geschieht und anhand der Dokumentation sowie der Auskünfte der Administratoren die Berechtigung der Freigabe der Ports überprüfbar war. Die Aktivitäten der Administration auf der Ebene des Betriebssystems sowie der Datenbank waren mittels eines zentralen Protokollierungsservices nachvollziehbar. So waren auch die aktuellen Aktivitäten der Vorabkontrolle unmittelbar nachverfolgbar. Veränderungen an der Hardware und in den Abläufen, etwa das Einspielen von Patches und Updates, unterliegen einem geregelten, auf einem Ticketsystem aufsetzenden Changemanagement und werden vor dem Aufspielen auf das Produktionssystem getestet.

Bei der Kontrolle der Datenbank stellte sich die Frage, nach welchen teilweise unterschiedlichen Anweisungen der verschiedenen Beteiligten – den Herstellern der Datenbank, des Betriebssystems und des Anwendungsprogramms sowie des Rechenzentrumsbetreibers Dataport – die Datenbank installiert und konfiguriert wurde. Anweisungen und Abweichungen davon sind zu dokumentieren. Ausreichend dokumentiert war auch noch nicht der Fileserver, der auf WebDAV-Technologie basiert. Bei dem Ersteinsatz lagen noch keine Dataport-spezifischen Installations- und Konfigurationsvorgaben vor. Die Kontrolle zeigte, dass Default-Einstellungen entweder umbenannt oder gelöscht wurden und eine übliche anonyme Authentisierung abgeschaltet war. Die Protokollierung der Administration ist auf eine zentrale Komponente ausgelagert. Die Dokumentation der WebDAV-Installation und -Konfiguration wurde zugesichert.

Eine Durchsicht der Systeme zeigte, dass trotz Durchlaufs eines Härtungsskripts nach wie vor funktionslose Nutzer und Nutzerverzeichnisse, die seitens des Herstellers des Betriebssystems angelegt waren, sowie Compiler auf den Produktionsmaschinen vorhanden waren. Des Weiteren zeigte die Kontrolle der Nutzer mit Administrationsrechten, dass Dataport die Strategie verfolgte, in einer Standardkonfiguration eines Systems mit dem Schutzbedarf „normal“ dem gesamten verfügbaren Personal der Betriebssystemadministration Zugriff auf Systeme zu geben, wobei die Authentisierung der Administratoren zentral über LDAP geschieht. Eine solche Strategie verbessert zwar die Verfügbarkeit und Intervenierbarkeit, verschlechtert aber die aus Sicht der Datensicherheit und des Datenschutzes für Infrastrukturen in der Regel wichtigeren Schutzziele der Integrität und Vertraulichkeit. Dataport wurde aufgefordert, diese Strategie zu überdenken und eine Einschränkung des Administrationspersonals auf das erforderliche Maß auch ohne zusätzliche Kosten für den Auftraggeber standardmäßig vorzunehmen.

Die Prüfung der dezentralen Verfahrensbestandteile offenbarte, dass wesentliche Teile der Dokumentation fehlten. So waren die Rechtsgrundlagen nicht hinreichend konkret dargelegt, und es fehlte die Dokumentation der Schutzbedarfsermittlung bzw. die Rechtfertigung dafür, dass der Schutzbedarf mit „normal“ angesetzt wurde. Das ULD hält Maßnahmen zur Umsetzung des Schutzbedarfs „hoch“ bei personenbezogenen Daten in einem Gerichtsverfahren wegen der in der Regel biografisch hohen Bedeutung für Betroffene für angemessen. Selbst unter der Annahme, dass der Schutzbedarf „normal“ angemessen sei, ist die Protokollierung der Administrationstätigkeiten der Server und der Arbeitsplätze, die in der dezentralen Justiz zum Einsatz kommen, unzulänglich. Einzig die Dokumentation zur Protokollierung der Aktivitäten im Fachverfahren war auf einem ausreichenden Niveau. Nicht hinreichend ausgebildet waren die Revisionsprozesse, um anhand der Dokumentationen und Protokollierungen sowohl auf der Administrationsebene als auch auf der Verfahrensebene Kontrollen bezüglich der technischen Funktionalität und der Aktivitäten von Mitarbeitern, Administratoren und Dienstleistern durchführen zu können. Unzureichend ist zudem das Sicherheitsniveau der Standardarbeitsplatz-PCs sowie die bauliche Sicherheit des Serverraums im Amtsgericht.

6.5          Ausgewählte Ergebnisse aus Prüfungen

Das ULD überwacht nach den §§ 39 und 41 Landesdatenschutzgesetz (LDSG) die Einhaltung der datenschutzrechtlichen Vorschriften bei den öffentlichen Stellen im Land, indem es u. a. regelmäßige Prüfungen durchführt. Einzelne Ergebnisse und Auffälligkeiten werden im Folgenden dargestellt.

 

6.5.1       Nachkontrollen

Eine Prüfung durch das ULD ist selten mit der Erstellung des Prüfberichts beendet. Oft sind umfangreiche Nacharbeiten bei der datenverarbeitenden Stelle notwendig. Diese werden durch Nachkontrollen durch das ULD begleitet.

Es gilt der Grundsatz: Eine Prüfung ist erst dann abgeschlossen, wenn die Mängel beseitigt wurden. In den Amtsverwaltungen Schleswig-Holsteins wurde eine Reihe von Nachkontrollen durchgeführt, um vor allem festzustellen, inwieweit Mängel nach ausgesprochenen Beanstandungen behoben wurden. Die geprüften Stellen hatten unsere Beanstandungen weitestgehend akzeptiert. Deshalb hätte man erwarten können, dass in der Zwischenzeit für Abhilfe gesorgt wurde.

 B. folgende Mängel erneut vorgefunden:

• Dienstanweisungen, die den Umgang mit der IT regeln, existieren nicht.
• Eine Verfahrensdokumentation liegt nicht vor.
• Dokumentationen von Tests und Freigaben liegen nicht vor.
• Eine Stellvertretung der Administration ist immer noch nicht bestellt.
• Datenbestände, die für die Aufgabenerfüllung nicht mehr notwendig sind, werden nicht gelöscht.
• Eine Kontrolle von externen Dienstleistern erfolgt nicht.
• Administrative Tätigkeiten werden weiterhin nicht protokolliert.
• Eine Kontrolle der Administration findet immer noch nicht statt.

Wir müssen in diesen Fällen vorgefundener Mängel erneut beanstanden. Das ULD wird in einzelnen Fällen jetzt zusammen mit den fachlichen Aufsichtsbehörden gemeinsame Kontrolltermine vor Ort durchführen und die kommunalen Spitzenverbände über die Problemfälle informieren. Nachkontrollen sind außerordentlich wichtig und müssen weiterhin durchgeführt werden – auch und gerade, um den unterstützenden Kontakt mit den Kollegen vor Ort aufrechtzuerhalten.

6.5.2       Prüfung der Verfahrensverzeichnisse

§ 7 Abs. 1 LDSG verpflichtet jede datenverarbeitende Stelle zur Erstellung eines Verfahrensverzeichnisses für Verfahren automatisierter personenbezogener Datenverarbeitung. Das ULD hat die Verfahrensverzeichnisse der schleswig-holsteinischen Behörden geprüft.

Mit der Bezeichnung „automatisiertes Verfahren“ ist die Verwendung personenbezogener Daten zu einem bestimmten Zweck, mit Unterstützung von informationstechnischen Geräten (Hardware) und Computerprogrammen (Software), eingebunden in ein organisatorisches Regelwerk gemeint. Das Verfahrensverzeichnis stellt die Öffentlichkeit aller automatisierten Verfahren und die Transparenz der Datenverarbeitung der datenverarbeitenden Stelle sicher.

Ende 2012 hat das ULD eine Prüfung gestartet, die das Verfahrensverzeichnis der schleswig-holsteinischen Behörden als Prüfungsgegenstand hat. Dazu wird in bestimmten Prüfungsintervallen eine Gruppe von Behörden angeschrieben. Sie sollen Auskunft darüber geben, ob sie eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten (bDSB) förmlich nach § 10 LDSG bestellt haben. Außerdem verlangt das ULD die Bereitstellung der Verfahrensverzeichnisse zur weiteren Prüfung. Betrachtet werden nicht nur die Verfahrensverzeichnisse an sich, sondern auch die Prozesse, die mit den Verfahrensverzeichnissen zusammenhängen, z. B. die Verantwortlichkeiten oder die ordnungsgemäße Durchführung der Vorabkontrolle.

Ist ein behördlicher Datenschutzbeauftragter (bDSB) förmlich bestellt, dann führt sie oder er das Verfahrensverzeichnis und hält es in geeigneter Weise zur Veröffentlichung bereit. Denkbar ist die Bereitstellung zur Einsicht in Papierform oder die Veröffentlichung auf der Webseite. Die oder der bDSB führt weiterhin die Vorabkontrolle für gemeinsame Verfahren mehrerer datenverarbeitenden Stellen oder Abrufverfahren oder für Verfahren durch, in denen besonders sensible personenbezogene Daten verarbeitet werden, also Angaben zu rassischer oder ethnischer Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, sowie Daten mit einem besonderen Berufs- oder Amtsgeheimnis. Das ULD nimmt bei dem Verfahrensverzeichnis eine Plausibilitätskontrolle vor.

Ist keine oder kein bDSB förmlich bestellt, so muss die entsprechende datenverarbeitende Stelle ihrer Meldepflicht nachkommen und dem ULD ihre meldepflichtigen automatisierten Verfahren, also ihr Verfahrensverzeichnis, zur Veröffentlichung zur Verfügung stellen. Das ULD wird die Verfahrensverzeichnisse auf seiner Webseite veröffentlichen. Benötigen Verfahren eine Vorabkontrolle, dann muss die datenverarbeitende Stelle das ULD informieren und dem ULD die Gelegenheit geben, innerhalb einer angemessenen Frist die Vorabkontrolle durchzuführen (Tz. 6.4 und 6.4.1).

Im ersten Prüfungsintervall wurden die obersten Landesbehörden angeschrieben. Bei diesem noch nicht abgeschlossenen Intervall zeigen sich schon Tendenzen. So sind datenverarbeitende Stellen, die eine bzw. einen bDSB bestellt haben, in Bezug auf das Verfahrensverzeichnis generell besser aufgestellt, als wenn keine oder kein bDSB bestellt ist. Das mag daran liegen, dass das LDSG die Verantwortlichkeit der oder des bDSB zum Führen des Verfahrensverzeichnisses klar definiert; ohne eine Bestellung fühlt sich in einer datenverarbeitenden Stelle niemand verantwortlich; Festlegungen sind nicht erfolgt. Häufig wurde erst während der Prüfung begonnen, Verantwortlichkeiten für das Erstellen des Verfahrensverzeichnisses festzulegen bzw. das Verfahrensverzeichnis zu erstellen.

Die Prüfung wird nicht nur die obersten Landesbehörden betreffen. Sie wird sich in mehreren Prüfungsintervallen über die Landesoberbehörden und die unteren Landesbehörden bis hin auf die kommunale Ebene ausdehnen.

 

6.5.3       Öffnen persönlicher E-Mail-Postfächer  während einer Prüfung

Aufsichtsbehörden und behördliche Datenschutzbeauftragte müssen in einzelnen Fällen auf die persönlichen E-Mail-Postfächer von Beschäftigten zugreifen. Dabei sollte ein transparentes und datensparsames Verfahren angewendet werden.

Grundsätzlich stellt die Verarbeitung – unter die auch eine Einsichtnahme durch eine Prüferin oder einen Prüfer fällt – von personenbezogenen Daten für Aufsichts- und Kontrollbefugnisse nach § 13 Abs. 5 LDSG keine Zweckänderung dar und bedarf somit keiner besonderen Prüfung der Rechtsgrundlagen.

Häufig ist die Nutzung von Internetdiensten und E-Mail nur zu dienstlichen Zwecken im Rahmen des Beschäftigungsverhältnisses erlaubt. So ist gemäß der „Vereinbarung nach § 59 Mitbestimmungsgesetz (MBG) betr. Richtlinie zur Nutzung von Internet und E-Mail“ für die Landesbehörden die Nutzung von E-Mail-Konten nur für dienstliche Zwecke zulässig. Es kann somit erwartet werden, dass in einem E-Mail-Postfach keine relevante Menge privater Kommunikation zu finden ist. Die Betroffenen haben jedoch häufig keine Möglichkeit, den Empfang privater E-Mails zu unterbinden. Es ist somit nicht auszuschließen, dass sich in Einzelfällen private Kommunikation im Postfach befindet.

Selbst bei rein dienstlicher Nutzung kann E-Mail im Zusammenhang mit besonders zu schützenden Funktionen stehen – z. B. Personalvertretungen, Gleichstellungsbeauftragten, Schwerbehindertenvertretungen, behördlichen Datenschutzbeauftragten – oder besonders geschützte Inhalte haben. Die Einsichtnahme in eine derartige Kommunikation mit privaten Inhalten oder erhöhtem Schutzbedarf darf selbst durch Aufsichts- oder Kontrollorgane nur im Einzelfall nach einer gesonderten Prüfung vorab und insbesondere unter Beteiligung der eventuell betroffenen Funktionsträger erfolgen.

• festgelegt werden, anhand welcher möglichst konkret festgelegter Kriterien E-Mails zur Einsichtnahme ausgewählt werden,
• ebenfalls durch möglichst vorab formulierte Ausschlusskriterien ausgeschlossen werden, dass eine Einsichtnahme in erkennbar private E-Mails erfolgt, und
• geprüft werden, ob die Daten einer funktionierenden Datensicherung unterliegen oder ob andere Mechanismen getroffen wurden, um das Postfach bei einer unerwünschten Änderung während der Prüfung oder bei Automatismen wie z. B. Spamfiltern im Anzeigeprogramm in den Ausgangszustand vor der Prüfung versetzen zu können.

Während der Kontrolle sollten

• die Betroffenen und die Fachvorgesetzten beteiligt werden,
• eventuell betroffene Funktionsträger beteiligt oder zumindest fallweise hinzugezogen werden,
• die oder der behördliche Datenschutzbeauftragte beteiligt werden, wenn gemäß Prüfauftrag eine hohe Anzahl personenbezogener Daten oder besonders schutzbedürftige Daten von nicht direkt vom Prüfgegenstand erfassten Personen betroffen sind, und
• eine schriftliche Protokollierung der beteiligten Personen und jeder Einsichtnahme erfolgen. Hierbei muss jedes Öffnen einer E-Mail explizit nachvollzogen werden können, die Kommunikation mit besonders zu schützenden Funktionsträgern oder schutzwürdigen Inhalten, insbesondere privater Natur, enthält.

Danach sollte

• das erstellte Protokoll von allen Beteiligten unterzeichnet werden und
• das Protokoll an die Betroffenen übergeben werden.

Auch Aufsichtsbehörden müssen bei ihrer Tätigkeit datensparsam vorgehen. Das Öffnen eines E-Mail-Postfachs sollte mit einem hohen Maß an Transparenz und Nachvollziehbarkeit für die Betroffenen erfolgen.

 

6.6          Beratung  des Rechenzentrums der CAU

Das Rechenzentrum der Christian-Albrechts-Universität (CAU) hat 2011 seinen internen Betrieb durch das ULD datenschutzrechtlich betrachten lassen. ULD und CAU vereinbarten regelmäßige Beratungen und Prüfungen.

Die Prüfungen und Bewertungen fanden direkt mit den einzelnen zuständigen Mitarbeiterinnen und Mitarbeitern statt. Dabei konnte die Aufmerksamkeit der fachlich versierten Mitarbeiter des Rechenzentrums auf Sicherheitsaspekte gelenkt werden, die im Tagesgeschäft gern aus dem Blick geraten. Durch das stark gewachsene Vertrauen in die Verlässlichkeit der einzelnen Administratoren, Studenten und Dienstleister waren organisatorische Regelungen, Abstimmungsprozesse, der laufende Wissenstransfer und die Dokumentation vernachlässigt worden. Oft wird die Bedeutung solcher Lücken erst im Schadensfall oder bei einem unerwarteten Personalwechsel wahrgenommen, da sie im laufenden Betrieb mit einem eingespielten Team kaum sichtbar werden. Ähnliches gilt, wenn Verpackungsmaterialien in Brand geraten oder bauliche Risiken zutage treten, die auf alte Gebäudesubstanz zurückzuführen sind.

Erst Dokumentationen sowie verbindliche Prozesse und Regelungen ermöglichen die Beherrschbarkeit des IT-Betriebs unabhängig von einzelnen Personen. Die Beachtung und die Umsetzung der Anforderungen der Datenschutzverordnung (DSVO) sind insofern elementar. Die IT-Verantwortlichen müssen einsehen, dass ihre Administratoren neben fachlichem Spezialwissen auch übergeordnetes Wissen bezüglich den Vorgaben und gesetzlichen Regelungen zum Datenschutz und zur IT-Sicherheit beherrschen müssen, und dafür sorgen, dass diese sich das Wissen aneignen.

Die datenschutzrechtliche Betrachtung des internen Rechenzentrumsbetriebs zeigte, dass ein Blick von außen auf einen im Grunde gut funktionierenden IT-Betrieb stets noch Optimierungspotenzial aufzeigen kann. Unsere Vorschläge und kritischen Anstöße wurden konstruktiv aufgenommen. Das Rechenzentrum der CAU ist mit der freiwilligen Bitte zur Betrachtung einen vorbildlichen Weg gegangen.

6.7          Intelligente Energieversorgung: Smart Meter

Smart Meter sind Geräte, die den Energieverbrauch eines Haushaltes zentral speichern und als Gateway zur automatisierten Verbrauchsübermittlung an das Energieversorgungsunternehmen dienen.

Aus Datenschutzsicht entsteht das Problem, dass bei häufigen Messungen über eine Analyse der Verbrauchsdaten Rückschlüsse auf Tätigkeiten von Personen im Haushalt möglich sind und hierdurch eine informationelle Beeinträchtigung der Unverletzlichkeit der Wohnung erfolgt. Die Daten können für Versicherungen interessant sein, für Finanzämter, für Sicherheitsbehörden oder für die Sozialforschung. Den Verbraucherinnen und Verbrauchern verspricht man beim Einsatz von Smart Metern mehr Transparenz und durch flexible Kostenmodelle, bei denen sich die Nachfrage am Angebot orientiert, eine rationalere Gestaltung des Verbrauchs sowie Kostenersparnisse. Über eine bessere Steuerung soll bei dem wechselhaften Energieangebot durch Wind- und Solarkraftwerke und bei der wechselhaften Energienachfrage gleichbleibender Komfort gewährleistet werden.

Um Energieunternehmen, Netzbetreibern und dem Verordnungsgeber eine Vorstellung davon zu vermitteln, wie Datenschutz beim Smart Metering gestaltet werden kann, veröffentlichten Datenschutzbeauftragte im Januar 2012 die „Orientierungshilfe für ein datenschutzgerechtes Smart Metering“. Deren Ausarbeitung erfolgte durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie den Landesbeauftragten von Mecklenburg-Vorpommern, Berlin und Schleswig-Holstein. Zur Konkretisierung von § 21g Energiewirtschaftsgesetz (EnWG), der die Datenverarbeitung beim Smart Metering regelt, soll eine Verordnung erlassen werden. Die Orientierungshilfe zum Datenschutz macht hierzu Vorgaben und ergänzt eine technische Richtlinie (TR) zur Datensicherheit, die das Bundesamt für Informationssicherheit (BSI) für das zentrale Kommunikations-Gateway des Smart Meters angefertigt hat. Bislang gibt es noch keine Smart Meter, bei denen die Spezifikationen der TR umgesetzt sind.

Die Umstellung auf die Nutzung erneuerbarer Energieversorgung, die wegen erheblicher Schwankungen schwieriger als die bisher zu regulierende ist, führt zu einem Zielkonflikt: Um einen sorgsamen Umgang mit den endlichen Energieressourcen zu erreichen, bedarf es hierbei einer gewissen Kontrolle. Auf der anderen Seite stehen Bürger- und Freiheitsrechte, eine Funktionsbedingung für moderne Gesellschaften, die durch eine Überwachung des individuellen Verhaltens eingeschränkt werden. Es geht nun darum, leistungsfähige und umweltschonende Techniken zu entwickeln, bei denen keine übermäßige Kontrolle der Menschen stattfindet. Gerade für Schleswig-Holstein haben alternative Modelle der Energieversorgung eine hohe wirtschaftliche Bedeutung. Dieser Zukunftsmarkt wird aktiv vom ULD unterstützt, das berät, wie Konzepte für ein datenschutzkonformes Messen und Steuern des Verhaltens der Verbraucherinnen und Verbraucher realisiert werden können.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel