Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

9    Audit und Gütesiegel

Seit den 90er-Jahren wird in Deutschland verstärkt darüber nachgedacht, wie der Schutz des Rechts auf informationelle Selbstbestimmung mithilfe von Wettbewerbsinstrumenten und insbesondere über freiwillige Audit- und Gütesiegelverfahren verbessert werden kann. Im Jahr 2000 wurden dem ULD im Landesdatenschutzgesetz Schleswig-Holstein Befugnisse zur Auditierung und zur Zertifizierung von IT-Produkten und IT-basierten Dienstleistungen zugewiesen. Seitdem führt das ULD erfolgreich Audit- und Gütesiegelverfahren auf der Grundlage des Landesrechts durch. Einige weitere Bundesländer, zuletzt Mecklenburg-Vorpommern, sind diesem Beispiel gefolgt, praktizieren jedoch die gesetzlich vorgesehenen Möglichkeiten noch in einem eingeschränkten Umfang. Aus dem Gütesiegel Schleswig-Holstein hat das ULD das Europäische Datenschutz-Gütesiegel (European Privacy Seal – EuroPriSe) entwickelt, das ab Anfang 2014 an einen privaten Betreiber abgegeben wurde und seitdem erfolgreich im Markt platziert ist (Tz. 9.3).

Die Audit- und Gütesiegelverfahren in Schleswig-Holstein waren von Anfang an und sind weiterhin darauf angelegt, Vorbild für eine nationale und europäische Lösung zu sein. Mit den Entwürfen für eine Europäische Datenschutz-Grundverordnung bekam die Idee einer Datenschutzzertifizierung neuen Aufwind. Während der Vorschlag der EU-Kommission diesbezüglich noch sehr im Unverbindlichen blieb, ist der Entwurf des EU-Parlaments von höherer Klarheit und gibt den Datenschutzbehörden im Verfahren eine wichtige Rolle.

 

9.1          Wichtiger denn je: eine valide nationale Datenschutzzertifizierung

Seit 2001 enthält das Bundesdatenschutzgesetz (BDSG) eine Regelung, die Auditierungen auf der Grundlage eines speziellen Gesetzes vorsieht. Pläne für ein solches Gesetz scheiterten im Jahr 2009. Mit der Einrichtung der Stiftung Datenschutz machte die schwarz-gelbe Bundesregierung ab Januar 2013 einen weiteren Versuch der Etablierung von bundesweiten Zertifizierungsverfahren im Datenschutz. Leider hat sich die Konzeption der Stiftung als nicht geeignet erwiesen, dieses Ziel zu realisieren (34. TB, Tz. 2.3). Auch die im Vertrag der schwarz-roten Regierungskoalition auf Bundesebene vorgesehenen Erwägungen, die Zertifizierungsaufgaben der Stiftung im Rahmen der Stiftung Warentest umzusetzen, scheinen sich nicht realisieren zu lassen.

Inzwischen gibt es eine Vielzahl von privatwirtschaftlichen Initiativen für Datenschutzzertifizierungen. Diese haben auf dem Markt aber bisher aus mehreren Gründen keine hohe Akzeptanz gefunden: fehlende Einheitlichkeit, ungenügende Transparenz, unklare Zertifizierungskriterien, fehlendes Vertrauen in die Zertifizierungsstelle. Dies hat zur Folge, dass das primär die öffentliche Verwaltung betreffende Landessiegel von Schleswig-Holstein auch für Produkte und Dienstleistungen auf dem privaten Markt die höchste Akzeptanz gefunden hat, wie eine Aufstellung der Stiftung Datenschutz bestätigt.

https://stiftungdatenschutz.org/wp-content/uploads/2014/12/SDS-Zertifizierungsu%CC%88bersicht-20-11-14.pdf

Dem ungenügenden Angebot an etablierter Zertifizierung steht ein zunehmender Bedarf in der Wirtschaft sowie bei den Verbraucherinnen und Verbrauchern gegenüber, ausgelöst nicht zuletzt durch die Spionage von NSA und GCHQ wie auch durch die vielen öffentlich bekannt gewordenen erfolgreichen Angriffe auf IT-Systeme.

Im Auftrag des Bundeswirtschaftsministeriums entwickelt das Kompetenzzentrum Trusted Cloud an der Universität des Saarlandes ein Zertifizierungsschema für die Auftragsdatenverarbeitung in Form des Cloud Computing. Das ULD ist gemeinsam mit anderen Aufsichtsbehörden sowie relevanten Stellen und Unternehmen an dem Projekt beratend beteiligt. Für Online-Shops gibt es schon seit Längerem zur Sicherung des Verbraucherschutzes Gütesiegel der D21-Initiative, an dessen Gütesiegel-Board das ULD ebenfalls als einzige Datenschutzbehörde beratend beteiligt ist, zumal Verbraucherdatenschutz bei Online-Angeboten immer wichtiger wird. Die deutsche Wirtschaft hat gegenüber US-Anbietern, deren Datenschutzniveau in der Regel erheblich niedriger ist, bisher wenige Wettbewerbsvorteile davon, dass sie sich am deutschen und europäischen Datenschutz orientiert. Ein Grund hierfür liegt im Fehlen einer vertrauenswürdigen Zertifizierung.

Angesichts dieser Sachlage hat sich das ULD an das Bundesministerium des Innern gewandt mit dem Vorschlag, die Erfahrungen mit dem Datenschutzgütesiegel-Schleswig-Holstein national stärker fruchtbar zu machen. Dies könnte in eine gemeinsame Bund-Länder-Initiative münden, deren Autorität sich insbesondere aus der Qualität und Transparenz der Zertifizierung ergibt und die durch Träger gut beraten, aber ohne großen bürokratischen Überhang unabhängig agiert. Wegen der vorhandenen Erfahrungen ist nur ein geringer Konzeptaufwand nötig. Ein deutsches Zertifizierungsverfahren könnte prägend für die europäische Ebene sein.

9.2          Datenschutz-Gütesiegel  Schleswig-Holstein

9.2.1       Abgeschlossene Gütesiegelverfahren

In den Jahren 2013 und 2014 konnte das ULD acht Produkten erstmalig ein Datenschutz-Gütesiegel verleihen. Vierzehn weitere Produkte konnten nach Fristablauf der bestehenden Zertifizierung in einem vereinfachten Verfahren rezertifiziert werden.

Die gleichbleibend hohe Anzahl von Rezertifizierungen zeigt, dass das Gütesiegel Schleswig-Holstein für Hersteller von hoher Relevanz ist. In einigen Branchen, wie etwa bei Schredderunternehmen, weist das Gütesiegel eine hohe Marktdurchsetzung auf. Die Umsetzung der nunmehr gültigen DIN 66399 für den Bereich der Akten- und Datenträgervernichtung warf bei den Gutachtern praktische Fragen für aktuelle Zertifizierungsverfahren auf, die zusammen mit dem ULD gelöst werden konnten.

Die Einbindung von Cloud-Diensten gewinnt bei der Zertifizierung zunehmend an Relevanz. Maßgebend für die hierfür notwendigen rechtlichen und technischen Anforderungen an die Ausgestaltung entsprechender Dienste ist die „Orientierungshilfe Cloud Computing“ der Arbeitskreise Technik und Medizin (Tz. 5.5). Zertifizierungsverfahren, die sich mit der Bereitstellung von Dienstleistungen im Bereich der Medizin- und Sozialdaten beschäftigen, nehmen zu. Wegen der sehr unterschiedlichen Ausgestaltung der einzelnen Zertifizierungsgegenstände und der hierbei verarbeiteten hochsensiblen personenbezogenen Daten des Betroffenen gewinnt die Einbindung anderer Referate des ULD wie auch anderer Aufsichtsbehörden im Zertifizierungsprozess zunehmend an Bedeutung.

Folgende Produkte wurden neu zertifiziert:

• „WIMES“, Version 2012.1: Webportal zur Evaluation der Wirksamkeit von Hilfen im Bereich der Erziehung,
• „DIGITTRADE – High Security HDD HS256S“, Version 1.0: Externe Festplattenlösung mit 256-Bit Full Disk AES Hardwareverschlüsselung,
• „Zentrale Kassenprüfung“, Releasestand Mai 2013: Analysetool für Kassendaten zur Aufdeckung von Manipulationen im Kassierprozess,
• „I.S.S Schulmensaverwaltung“, Version 6.0: Software zur Unterstützung von Schulen bei der Verwaltung von Mensen,
• „RED Medical“, Releasestand Juli 2013: Software zur Erhebung, Verarbeitung und Nutzung von medizinischen Patientendaten zur Unterstützung von ärztlichen Anamnesen, Diagnosen und Therapien,
• „Business Keeper Monitoring System (BKMS)“, Version 2.7.3: Onlinegestütztes Tool für den Dialog zwischen Hinweisgebern und Hinweisbearbeitern zur Meldung von Missständen, Gefahren und Risiken in Organisationen,
• „Datenträgervernichtung (DV)“, Stand August 2014: Mobile und stationäre Akten- und Datenträgervernichtung,
• „Stepnova“, Version 4: Webbasiertes Datenbanksystem zur Organisation im Bildungssektor.

Im Rahmen einer Rezertifizierung wurden u. a. folgende Produkte in einem vereinfachten Verfahren erneut erfolgreich überprüft:

• „Akten- und Datenvernichtung“ der Firma MAMMUT Dokumentenservice GmbH, Stand April 2013: Verfahren zur datenschutzgerechten, physikalischen Datenträgervernichtung,
• „Elefant Profi im Security-Mode“, Version 13.02: Verwaltungsprogramm für psychotherapeutische und ärztliche Praxen,
• „e-pacs Speicherdienst“, Version 3.0: Elektronische externe Archivierung von Röntgenbildern und anderen patientenbezogenen medizinischen Daten,
• „BackStor“, Version 1.2: Eine Remote-Backup-Lösung für die Sicherung, Archivierung und Wiederherstellung von Daten für Unternehmen und öffentliche Stellen,
• „Altersverifikation KBA 18“, Version 27R4: Altersüberprüfung durch das Einlesen von Personalausweisen oder Führerscheinen,
• „TeamDrive“, Version 3: Ein Kollaborationstool für den Zugriff mehrerer Benutzer und die gemeinsame Bearbeitung von Dokumenten in einem verschlüsselten Datenbestand,
• „Verfahrensregister“, Version 1.0 (2014): Anwendung zur Unterstützung des betrieblichen Datenschutzbeauftragten bei der Erstellung und Verwaltung eines Verfahrensregisters,
• „KOMMBOSS“: Anwendung zur Unterstützung von Kommunen und öffentlichen Stellen in den Bereichen Personalwesen, zentrale Verwaltung und Organisation,
• „Verfahren zur Akteneinlagerung“ der recall Information Services GmbH: Im Rahmen eines Auftrags zur Akteneinlagerung erfolgt gemäß dem Schutzbedarf sowohl die reine Archivierung von Akten als auch das Bereitstellen einer externen Akten-/Archivhaltung mit Anforderungsmöglichkeit durch den Kunden,
• „Easybooth Modell 37, Easybooth V3 Modell 36, Minicabine3 Modell 38 und UPD Modell 3“: Digitale Fotokabine mit integrierter biometrischer Bildbearbeitung zur Nutzung in Meldebehörden,
• „RED Medical“: Erhebung, Verarbeitung und Nutzung von medizinischen Patientendaten zur Unterstützung von ärztlichen Anamnesen, Diagnosen und Therapien.

Informationen für Hersteller befinden sich im Internet unter:
https://www.datenschutzzentrum.de/guetesiegel/hersteller/

Was ist zu tun?
Die Nachfrage nach Neuzertifizierungen beim ULD ist zwar erfreulich hoch, doch ist die Möglichkeit der Datenschutzzertifizierung noch nicht in allen Bereichen der Wirtschaft bekannt, sodass auch zukünftig ein Augenmerk darauf zu legen ist, diese Bereiche besonders anzusprechen.

 

9.2.2       Sachverständige  und Prüfstellen

Weitere Sachverständige wurden vom ULD für das Verfahren zur Erlangung des Datenschutz-Gütesiegels Schleswig-Holstein anerkannt.
Im Rahmen des zweistufigen Gütesiegelverfahrens erfolgt die Begutachtung der zu zertifizierenden Produkte durch vom ULD anerkannte Datenschutzsachverständige. Dies kann – für Prüfstellen wie für Einzelpersonen – entweder für den Bereich Recht oder für den Bereich Technik erfolgen, bei entsprechender Qualifikation ist auch eine Doppelzulassung möglich. Voraussetzungen für eine Anerkennung sind stets neben der Zuverlässigkeit und Unabhängigkeit der Nachweis der erforderlichen Fachkunde. Diese muss sich insbesondere auf den Datenschutzbereich und dort gesammelte langjährige Erfahrungen erstrecken.

Hinzugekommen als Sachverständige/sachverständige Prüfstellen sind 2013/2014:

• Dr. Christian Szidzek, Giebelstadt (Recht),
• Dr. Markus Lang, Düsseldorf (Recht),
• Prof. Dr. Carsten Noogie Thomas Kaufmann, Hamburg (Recht).

Bei folgender Prüfstelle haben sich Änderungen ergeben:

• ditis Systeme, Niederlassung der JMV GmbH & Co. KG, Ulm (Andreas Zeller (Leiter Recht), Bernd Sobottka (Leiter Technik))

Derzeit sind beim ULD 59 Einzelsachverständige registriert. Hinzu kommen noch 16 Prüfstellen.

Jeweils im August 2013 und 2014 fanden im Anschluss an die Sommerakademie Gutachterworkshops in Kiel statt. Von dieser Möglichkeit des Erfahrungsaustausches machten zahlreiche Sachverständige Gebrauch. Diskutiert wurden u. a. die Zusammenarbeit mit der jetzt eigenständigen EuroPriSe GmbH, aktuelle Erfahrungen mit Neu- und Rezertifizierungen, insbesondere die Umsetzung der Anforderungen der DIN 66399, die Gestaltung von Gutachten, die Überarbeitung des Kriterienkatalogs, typische Fehler bei der Gutachtenerstellung, die aktuelle Gesetzgebung sowie Fragen des Marketings. Eine wichtige Funktion der Sachverständigen liegt darin, bei Herstellern Interesse für das Gütesiegel zu wecken.

Weitere Informationen für Sachverständige befinden sich im Internet unter:
http://www.datenschutzzentrum.de/guetesiegel/sachverstaendige/

Was ist zu tun?
Um das Verfahren der Zertifizierung weiterhin effektiv zu gestalten und den Ablauf stetig zu verbessern, bleibt es wichtig, die Sachverständigen bei ihrer Arbeit zu unterstützen.

 

9.2.3       Überarbeitung des Gütesiegel-Anforderungskatalogs

Der Gütesiegel-Anforderungskatalog ist die Grundlage für die Sachverständigen für die Prüfung von IT-Produkten. Durch Gesetzesänderungen und die Einführung der Schutzziele im LDSG war es notwendig geworden, den Kriterienkatalog anzupassen und zu modernisieren.

Die Version 2.0 des Anforderungskatalogs ist 2014 in Kraft getreten. Alle seit dem Zeitpunkt des Inkrafttretens begonnenen Zertifizierungsverfahren werden hiernach durchgeführt. Die Struktur des Anforderungskatalogs wurde beibehalten; es erfolgten zahlreiche Anpassungen und Konkretisierungen aufgrund neuerer technischer und rechtlicher Entwicklungen. Vier Komplexe sind zu prüfen: grundsätzliche technische Ausgestaltung des Produkts, Zulässigkeit der Datenverarbeitung, technisch-organisatorische Maßnahmen und Rechte der Betroffenen. Prüfungen nach dem alten Katalog bleiben so mit den neuen Standards vergleichbar.

Ein Prüfungsschwerpunkt liegt nunmehr auf den Schutzzielen, an denen sich zu zertifizierende IT-Produkte ausrichten müssen: Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit. Eine Herausforderung für die Sachverständigen besteht darin, die Gewichtung dieser Schutzziele vorzunehmen und damit zu einem angemessenen Prüfmaßstab für das jeweilige IT-Produkt zu gelangen.

Gesetzesänderungen werden auch künftig in den Anforderungskatalog eingepflegt. Zur Erleichterung der Arbeit der Sachverständigen und zur Vereinheitlichung der Ergebnisse stellt das ULD regelmäßig Erfahrungen im Zertifizierungsprozess u. a. mittels Beispielen den Sachverständigen zur Verfügung.

 

9.2.4       Neue Datenschutzgütesiegelverordnung

Die im November 2013 in Kraft getretene Datenschutzgütesiegelverordnung (DSGSVO) ersetzt die bis dahin gültige Datenschutzauditverordnung (DSAVO). Sie nimmt eine Begriffsbestimmung des IT-Produktes als zulässigen Zertifizierungsgegenstand vor und regelt grundsätzliche Voraussetzungen und Abläufe des Zertifizierungsverfahrens sowie der Anerkennung von Sachverständigen für das Gütesiegel Schleswig-Holstein. Die Änderungen betrafen begriffliche Klarstellungen sowie Regelungen zur Verwendung des Gütesiegels über den Gültigkeitszeitraum hinaus. Im Fall der Verwendung des Gütesiegels nach Ablauf der Gültigkeit muss nunmehr in geeigneter Weise ein deutlicher Hinweis auf den Ablauf der Gültigkeit erfolgen. Wurden wesentliche Änderungen an dem IT-Produkt vorgenommen, ist in passender Form darauf hinzuweisen, dass sich das Zertifikat auf eine Vorversion bezieht. Ist innerhalb eines Jahres nach Ablauf der Gültigkeit oder nach Vornahme wesentlicher Änderungen am IT-Produkt keine erneute Zertifizierung erfolgt, darf das Gütesiegel nicht mehr verwendet werden.

9.2.5       Zusammenarbeit mit EuroPriSe

Auch nach dem Übergang von EuroPriSe in die EuroPriSe GmbH bieten das ULD und die EuroPriSe GmbH für Hersteller von IT-Produkten die Möglichkeit einer gemeinsamen Zertifizierung nach beiden Schemata. Die Durchführung eines solchen Kombiverfahrens kann sich für viele Hersteller auch weiterhin lohnen, da die damit einhergehenden Synergieeffekte erhalten bleiben.

Während das Datenschutz-Gütesiegel Schleswig-Holstein die rechtskonforme Einsatzmöglichkeit von IT-Produkten nach dem Recht in Deutschland und in Schleswig-Holstein bestätigt, hat EuroPriSe vorrangig das europäische Recht und die dazu ergangene Rechtsprechung sowie Auslegungen durch die Artikel-29-Arbeitsgruppe im Blick. Will ein Hersteller sowohl national als auch international mit seinem Produkt auftreten, ist ein Kombiverfahren zumeist sinnvoll. Durch die Einreichung eines Gutachtens für beide Verfahren bei einer der beiden Zertifizierungsstellen können Kosten eingespart werden. Eine Zertifizierungsstelle nach Wahl des Antragstellers übernimmt dann in diesem Verfahren die führende Rolle und stimmt den Zertifizierungsprozess mit der jeweils anderen Zertifizierungsstelle ab. Voraussetzung ist, dass die beteiligten Sachverständigen für beide Verfahrensarten anerkannt sind – was für zahlreiche Gutachter gilt. Auch die Gebühren des ULD sind geringer, als wenn zwei getrennte Verfahren durchgeführt werden. Weitere Anträge werden derzeit im ULD bearbeitet.

9.3          EuroPriSe

2014 ging das EuroPriSe-Gütesiegel und damit die Zertifizierung der Datenschutzkonformität nach europäischem Recht von IT-Produkten und IT-basierten Dienstleistungen vom ULD auf die EuroPriSe GmbH über.

Die Behördenstruktur und die eingeschränkten finanziellen Mittel des ULD machten es notwendig, das EuroPriSe-Siegel auf neue Füße zu stellen. So kann dieses Zertifizierungsangebot erhalten und ausgebaut werden. Verantwortlich ist nun die EuroPriSe GmbH, die zur 2B-Advice-Gruppe gehört, einer internationalen Beratungsgruppe für Datenschutz, die mit ihren Beratungsgesellschaften in mehreren Ländern Europas und in den USA vertreten ist. Es erfolgt eine enge Zusammenarbeit, insbesondere im Rahmen von gemeinsamen Verfahren (Tz. 9.2.5). Das ULD ist in einem Expertengremium, dem Advisory Board von EuroPriSe, vertreten.

Mit der neuen Struktur besteht die Möglichkeit, die erlangten Erfahrungen auf die Zertifizierung von Verfahren, Verarbeitungen im Auftrag, Konzepten, Personen, Schulungen oder Webseiten zu übertragen und gemäß den Vorgaben der EU-Datenschutzgesetzgebung und den Festlegungen der Artikel-29-Arbeitsgruppe weiterzuentwickeln. Vorbild hierfür ist das bewährte EuroPriSe-Modell mit der Schulung und Akkreditierung von Prüfern, der Prüfung durch EuroPriSe-Experten entlang objektiver Schemata und der abschließenden Validierung und Zertifizierung. Gleichzeitig kann die EuroPriSe GmbH den Herstellern und Experten räumlich entgegenkommen, z. B. durch Schulungsangebote in weiteren Mitgliedstaaten der EU und lokalen Dependancen.

 

9.4          Auditverfahren

Im Berichtszeitraum wurden vier Auditierungen erfolgreich abgeschlossen. Neben den im Folgenden genannten wurden das Zutrittsberechtigungssystem und die Videoüberwachung des Landtags reauditiert (Tz. 3.1).

 

9.4.1       Unfallkasse Nord

Im März 2013 auditierte das ULD die Unfallkasse Nord. Diese wies im Rahmen des Verfahrens nach, wie sie die datenschutzrechtlichen Vorgaben einhält und die erforderlichen technischen Maßnahmen ergriffen hat. Ein wichtiger Prüfpunkt war die Implementation und die tägliche Umsetzung eines wirksamen Managementverfahrens für Datenschutz und Datensicherheit. Dieses erlaubt es der Unfallkasse Nord, auch in Zukunft und langfristig guten Datenschutz zu gewährleisten. Das Audit umfasste u. a. die allgemeine Datenverarbeitung, die Personalverwaltung, Leistungsgewährung, Teilhabe, den Regress und den Arbeitsschutz.

 

9.4.2       Bad Schwartau

Zum vierten Mal verlieh das ULD der Stadtverwaltung Bad Schwartau das Datenschutzauditzeichen für eine vorbildliche und ordnungsgemäße Datenverarbeitung. Sie legt damit einen neuen Maßstab in Bezug auf die Beständigkeit des von ihr gelebten Datenschutzes und die stetige Weiterentwicklung der Datensicherheitsmechanismen.

Im Jahr 2004 hatte die Stadtverwaltung Bad Schwartau zum ersten Mal ihr hohes Niveau an Datensicherheit bei der Verarbeitung ihrer Bürgerdaten auf EDV-Systemen vom ULD auditieren lassen. Mit Ablauf des Auditzertifikats nach drei Jahren wurde die Aufrechterhaltung des Sicherheitsniveaus jeweils in den Jahren 2007 und 2010 erfolgreich reauditiert. Für die Mitarbeiterinnen und Mitarbeiter der Stadtverwaltung Bad Schwartau gehören Datenschutz und Datensicherheit inzwischen selbstverständlich zu den täglichen Arbeitsabläufen. Die Verantwortlichen signalisieren, dass nur ein beständig hohes Datenschutzniveau die Daten der Bürgerinnen und Bürger dauerhaft schützt.

Die Reauditierung im Jahr 2013 ergab, dass das Datenschutzkonzept an die Datenverarbeitungsprozesse der Fachabteilungen und an den Stand der Technik angepasst wurde. Das gesetzte Sicherheitsniveau wurde mit der Erneuerung zentraler IT-Systeme und dem Einsatz von Sicherheitssoftware positiv fortentwickelt. Der Bürgermeister, der Büroleiter, die Mitarbeitenden in der IT-Koordination sowie der behördliche Datenschutzbeauftragte sorgen dafür, dass die im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen dauerhaft umgesetzt werden. Sie unterstützen den IT‑Sicherheitsprozess vorbildlich.

Was ist zu tun?
Die Stadt Bad Schwartau verfolgt den richtigen Weg. Andere kommunale Verwaltungen sollten diese Stadtverwaltung zum Vorbild nehmen und ihr Datenschutzkonzept ebenfalls durch das ULD auditieren lassen.

 

9.4.3       Ratekau

Bereits im Jahr 2006 hatte die Gemeindeverwaltung Ratekau ein Datenschutzaudit erfolgreich bestanden. Nach Auslaufen des Zertifikats wurde es jedoch nicht unmittelbar verlängert. Nun beauftragte der Bürgermeister das ULD mit einer erneuten Begutachtung. In der Zwischenzeit war die in der Gemeindeverwaltung Ratekau für die Datenverarbeitung eingesetzte Technik auf einen neuen Stand gebracht worden.

Im Rahmen der Auditierung wurden die internen IT-Systeme sowie die Netzanbindungen an das Internet der Kindergärten der Gemeindeverwaltung Ratekau gründlich überprüft. Die eingesetzten Datenverarbeitungssysteme wurden begutachtet. In einem Datenschutzkonzept sind die Sicherheitsmaßnahmen für die automatisierte Datenverarbeitung und für den Anschluss des Verwaltungsnetzes an externe Netze festgelegt, die auf ihre Umsetzung und Wirkungsweise überprüft wurden. Die durch das Datenschutz-Behördenaudit in der Gemeindeverwaltung Ratekau erfassten Verarbeitungsprozesse zeichnen sich besonders durch folgende datenschutzfreundliche Aspekte aus:

• Die mit den Fachverfahren der Gemeindeverwaltung verarbeiteten Bürgerdaten werden durch ausreichende IT-Sicherheitsmaßnahmen geschützt.
• An den Arbeitsplätzen werden sogenannte Thin Clients eingesetzt, über die ein besonderer Schutz der Datenverarbeitung am Arbeitsplatz gewährleistet wird.
• Die Gemeindeverwaltung hat eine gut strukturierte, systematische und übersichtliche Dokumentation gemäß DSVO als effektive Arbeitsgrundlage für das Datenschutz- und IT-Sicherheitsmanagement erstellt.
• Für den Anschluss des internen Verwaltungsnetzes an das Internet werden Sicherheitskomponenten eingesetzt, die unerwünschte Zugriffe abwehren.
• Die Sicherheitsmechanismen zur zentralen Vergabe von Berechtigungen und zur Steuerung der Arbeitsplatzrechner werden nachhaltig gepflegt.
• Das Datenschutz- und IT-Sicherheitsmanagement führt in regelmäßigen Abständen Sitzungen durch, in denen Datenschutz- und IT-Sicherheitsaspekte bearbeitet werden.

Was ist zu tun?
Das Datenschutz- und IT-Sicherheitsmanagement der Gemeindeverwaltung Ratekau sollte Vorbild für andere kommunale Verwaltungen sein.

 

9.5          Beratungen

Das ULD führt gemäß dem LDSG gebührenpflichtige Beratungen durch. Hierbei stehen die Erhöhung des Datenschutzniveaus und das Sammeln von Erfahrungen mit neuen Datenschutzinstrumenten im Vordergrund.

 

9.5.1       Kommunales Rechenzentrum Niederrhein

2013 wurde – nach vorheriger Absprache mit dem dortigen Datenschutzbeauftragten – das Kommunale Rechenzentrum Niederrhein (KRZN) in Nordrhein-Westfalen durch das ULD unterstützt. Dabei wurden die Voraussetzungen für eine ISO-27001-IT-Grundschutzzertifizierung des Rechenzentrums geschaffen.

Die internen Datenschutz- und IT-Sicherheitsbeauftragten des KRZN baten das ULD um Hilfe bei der Implementierung des IT-Grundschutzstandards mit dem Ziel, ein ISO-27001-Zertifizierungsverfahren auf der Basis von IT-Grundschutz durchzuführen. Die angefragten Dienstleistungen stellten sich als besonders anspruchsvoll und komplex dar, sodass die Beratung für das ULD eine Lernerfahrung darstellte.

Gegenstand der Begutachtung und Beratung war die grundschutzkonforme Überprüfung und Herstellung des Rechenzentrumsbetriebes und damit u. a. Folgendes:

• Bestandsaufnahme und Abgrenzung des IT-Verbundes,
• Ermittlung der Schutzbedarfe in einer Schutzbedarfsfeststellung,
• Bausteinzuordnung aus dem Grundschutzkatalog mithilfe des Tools „Verinice“,
• Maßnahmenbearbeitung im Rahmen von Inspektionen und Interviews,
• Prüfung des Umsetzungsstandes der Grundschutzmaßnahmen vor Ort,
• Mitwirkung bei der Erstellung aller erforderlichen IT-Grundschutz-Dokumentationen,
• Durchführung einer Risikoanalyse für Bereiche mit hohem Schutzbedarf,
• Abgleich der Verfahrensschritte mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI),
• Durchführung einer Prüfungssimulation nach dem Auditierungsschema des BSI,
• Einleitung des Zertifizierungsverfahrens nach ISO 27001 auf der Basis von IT-Grundschutz.

Darüber hinaus führte das ULD zielgruppenorientiert mehrere Grundschutzschulungen im Schulungszentrum des KRZN für dessen Mitarbeiterinnen und Mitarbeiter im Rahmen der DATENSCHUTZAKADEMIE Schleswig-Holstein durch.

Die Beratungstätigkeit des ULD wurde mit der vollständigen Implementierung des IT-Grundschutzstandards abgeschlossen. Im Juli 2014 erhielt das KRZN vom BSI das Grundschutzzertifikat für drei Jahre. Die Geschäftsführung des KRZN wies darauf hin, dass Sicherheit Vertrauen schafft, nicht nur bei den Kunden, sondern gerade auch bei den Bürgerinnen und Bürgern, um deren Daten es letztendlich geht. Der wirtschaftliche Vorteil besteht u. a. in einer Optimierung der internen organisatorischen Abläufe und der großen Transparenz der Prozesse. Man könne davon ausgehen, dass künftig öffentliche IT-Dienstleistungen nur noch von zertifizierten Anbietern marktfähig sind.

Was ist zu tun?
Die im ULD gesammelten Erfahrungen sollten für Schleswig-Holstein bei der Zertifizierung der hier tätigen Rechenzentren nutzbar gemacht werden.

 

9.5.2       AON

AON ist ein weltweit tätiger technischer Versicherungsmakler, Berater für Risikomanagement und Rückversicherungsmakler mit Standorten in mehreren Staaten. Der Konzern beauftragte das ULD mit einer Überprüfung der Datenverarbeitungsprozesse in Bezug auf die IT-Sicherheit an drei Standorten. Im Rahmen eines Audits wurde ermittelt, wie hoch die Aufwände für eine erfolgreiche ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz sind.
Aufgabe des ULD war ein Sicherheitscheck im Bereich der Datenverarbeitung auf der Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es sollte festgestellt werden, ob das Datenschutz- und IT-Sicherheitsniveau des AON-Konzerns an den drei Standorten ausreichend ist.

Das übergreifende Audit erfolgte in folgenden Schritten:

• Analyse der Aufbau- und Ablauforganisation,
• Überprüfung des ordnungsgemäßen Einsatzes der Informationstechnik (IT-Komponenten, Fachverfahren),
• Analyse über den Stand der Implementierung von Datenschutz und IT-Sicherheitsmanagement und der dazugehörigen Sicherheitsdokumentation,
• stichprobenartige Überprüfung der Datenverarbeitungsprozesse,
• standortbezogene Gespräche mit den Beteiligten über die festgestellten Sachverhalte.

Darüber hinaus sollte festgestellt werden, welche Aufwände für eine ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz erforderlich sind.
Die Überprüfung der Organisationsstrukturen, des zentral eingerichteten IT-Betriebs, der Kommunikationsprozesse sowie der umgesetzten Datenschutz- und IT-Sicherheitsmaßnahmen erfolgte in Zusammenarbeit mit dem bei AON integrierten Datenschutz- und IT-Sicherheitsmanagement. Die Ergebnisse wurden den Verantwortlichen in einem umfänglichen Auditbericht dargestellt.

Was ist zu tun?
Der IT-Grundschutzstandard des BSI gewinnt zunehmend an Bedeutung. Unternehmen wie AON können ihre Datenverarbeitung durch das ULD auf Herz und Nieren prüfen lassen und dabei feststellen, inwieweit sie die Anforderungen des IT-Grundschutzes des BSI und des Datenschutzes erfüllen.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel