09

Kernpunkte:

  • Akkreditierung und Zertifizierung nach der DSGVO
  • Rückblick: Audit und Gütesiegel

9    Zertifizierung : Audit und Gütesiegel

9.1          Akkreditierung und Zertifizierung in Europa

9.1.1       Zukunft von Audits und Gütesiegel nach der DSGVO

Die DSGVO ermöglicht in den Artikeln 42 und 43, dass private Stellen und Datenschutzaufsichtsbehörden Zertifizierungen durchführen dürfen. Während die Aufsichtsbehörden direkt durch das Gesetz zur Durchführung von Zertifizierungen ermächtigt sind, müssen sich private Zertifizierungsanbieter hierfür akkreditieren. Das Akkreditierungsverfahren wird durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) durchgeführt. Hierin sind jedoch die zuständigen Aufsichtsbehörden maßgeblich eingebunden. So führen diese Begutachtungen der Zertifizierungsstellen durch und stimmen im Akkreditierungsausschuss mit darüber ab, ob eine Akkreditierung erfolgt, wobei hierbei das Prinzip der Einstimmigkeit gilt. Nach der Akkreditierung muss schließlich noch die Befugniserteilung durch die Aufsichtsbehörden in einem eigenen Verfahren erfolgen. Aber auch danach bestehen weiterhin Pflichten zur Überwachung der Zertifizierungsstellen und regelmäßige Überprüfungen, ob die Akkreditierungskriterien noch eingehalten werden. Hinzu kommt als Aufgabe für die Aufsichtsbehörden, dass sie den Kriterienkatalog genehmigen, mit denen Zertifizierungsstellen ihre Bewertungen vornehmen.

Für die Aufsichtsbehörden ist der hierfür erforderliche Aufwand schwer abzuschätzen und variiert wahrscheinlich stark zwischen den einzelnen Bundesländern. Daher wollen sich die deutschen Aufsichtsbehörden auf eine gegenseitige Unterstützung einigen.

 

Was ist zu tun?
Für die Begutachtung von Zertifizierungsstellen müssen ausreichend Kapazitäten an geschulten Mitarbeiterinnen und Mitarbeitern vorgehalten werden. Gegebenenfalls kann hierzu auch Hilfe von anderen Aufsichtsbehörden erbeten werden.

 

9.1.2       AK Zertifizierung

Das ULD leitet auf Wunsch der Datenschutzkonferenz seit zwei Jahren den Arbeitskreis Zertifizierung der Datenschutzaufsichtsbehörden in Deutschland. Ziel ist es, zusammen mit der Deutschen Akkreditierungsstelle GmbH (DAkkS) Kriterien und Verfahren für die gemeinsame Akkreditierung von Zertifizierungsstellen zu schaffen. Hauptaugenmerk in der Anfangszeit war jedoch die Erstellung von datenschutzspezifischen Ergänzungen zur DIN EN ISO/IEC 17065, wie es die DSGVO von den Aufsichtsbehörden fordert. Diese Norm regelt die allgemeinen Vorgaben zur Akkreditierung von Zertifizierungsstellen. Die Mitglieder des AK Zertifizierung haben hierfür ein Papier entwickelt, das nähere Vorgaben – etwa zur Fachkunde von Gutachtern und Datenschutzmanagementaufgaben – enthält. Dieses Papier wurde 2018 von der Datenschutzkonferenz angenommen und wird nunmehr dem Europäischen Datenschutzausschuss zur Stellungnahme weitergeleitet.

Weitere Aufgaben waren und sind etwa das Erstellen einer Kooperationsvereinbarung zwischen den Aufsichtsbehörden und der DAkkS, Kriterien für die vergleichbare Bewertungen von Kriterienkatalogen zu entwickeln, Informationsmaterialen für die Verfahren zu entwerfen sowie die Klärung einer Reihe von Grundsatzfragen. Dabei sind stets die Entwicklungen des Europäischen Datenschutzausschusses in diesem Bereich zu berücksichtigen, was zu einer engen Zusammenarbeit des AK Zertifizierung mit den entsprechenden Beteiligten auf europäischer Ebene führt.


Was ist zu tun?
Die Leitung des AK Zertifizierung durch das ULD wird fortgesetzt. Aktuell sind noch zahlreiche wichtige Fragen zu klären, sodass regelmäßige Treffen erforderlich bleiben.

 

9.1.3       Tätigkeiten des ULD  im Rahmen von Akkreditierung en

Um im Bereich des Datenschutzes zukünftig Zertifizierungen gemäß Art. 42 DSGVO durchführen zu können, benötigt die jeweilige Zertifizierungsstelle zunächst eine Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) . Bei der Akkreditierung handelt es sich um ein mehrstufiges Verfahren (Antragsprüfung, Prüfung der Zertifizierungsprogramme, Prüfung der Fachkompetenz und des Managements der zu akkreditierenden Stelle, Akkreditierungsentscheidung, Befugniserteilung), bei dem die datenschutzrechtlichen Aufsichtsbehörden, und mithin auch das ULD, unterschiedliche Aufgaben wahrnehmen.

Zum einen prüft und genehmigt das ULD im Rahmen seiner Zuständigkeit die ihm vorgelegten Zertifizierungskriterien anhand bestimmter, im AK Zertifizierung erarbeiteter Mindestanforderungen. Diese Mindestanforderungen treffen eine Aussage zu den wesentlichen Inhalten der jeweiligen Zertifizierungskriterien und sollen eine zwischen den deutschen Aufsichtsbehörden vergleichbare Vorgehensweise bei der Prüfung und Beurteilung der eingereichten Zertifizierungskriterien sicherstellen.

Zum anderen wird gemäß § 2 Abs. 3 Satz 2 Akkreditierungsstellengesetz (AkkStelleG) die für eine Akkreditierung notwendige Fachbegutachtung der zu akkreditierenden Zertifizierungsstelle durch die Befugnis erteilende Behörde vorgenommen. Das ULD wird somit in dieser Rolle bei den zu akkreditierenden Stellen eine Vor-Ort-Prüfung der Zertifizierungstätigkeit vornehmen und dabei die Fachkompetenz und die Durchführung der Zertifizierungstätigkeit überprüfen und beurteilen.

Ferner entscheidet das ULD zusammen mit der DAkkS im Rahmen eines Akkreditierungsausschusses (AKA) über die Akkreditierung einer Zertifizierungsstelle in einem konkreten Verfahren. Darüber hinaus fungiert das ULD gemäß § 39 BDSG, im Rahmen seiner Zuständigkeit, als Befugnis erteilende Behörde für die akkreditierte Zertifizierungsstelle.


9.2          Datenschutz-Gütesiegel

9.2.1       Abgeschlossene Gütesiegelverfahren

Im Zeitraum 2017/2018 hat das ULD für fünf Produkte erstmalig ein Datenschutz-Gütesiegel verliehen. Darüber hinaus konnten im Berichtszeitraum für zwölf weitere Produkte nach Fristablauf der bestehenden Zertifizierung Rezertifizierungen erfolgreich durchgeführt werden.

Im Vergleich zum vorhergehenden Berichtszeitraum 2015/2016 sind sowohl die Zahlen der Neuvergaben von Datenschutz-Gütesiegeln als auch die der Rezertifizierungen um jeweils etwa 50 Prozent zurückgegangen. Die Anzahl der Interessenten, die das ULD bezüglich eines Datenschutz-Gütesiegels Schleswig-Holstein kontaktiert haben, war jedoch im Vergleich zu den Vorjahren in etwa konstant. Das zeigt, dass das Datenschutz-Gütesiegel Schleswig-Holstein bei Herstellern und Diensteanbietern auch im zurückliegenden Berichtszeitraum weiterhin akzeptiert und anerkannt war. Wie dem ULD in einer Vielzahl von Gesprächen mitgeteilt wurde, war die zum Zeitpunkt der Gespräche unklare Entwicklung der Rechtslage und damit der weiteren Gültigkeit einer Zertifizierung von Produkten und Dienstleistungen in den ganz überwiegenden Fällen der Grund, eine solche Zertifizierung zum entsprechenden Zeitpunkt nicht aktiv anzugehen.

Nichtsdestotrotz waren es auch im abgelaufenen Berichtszeitraum wieder Unternehmen aus einigen Branchen, in denen das Gütesiegel eine hohe Marktdurchsetzung aufweist, die sich trotz dieser Unsicherheiten für eine (Re-)Zertifizierung entschieden. Insbesondere betraf dies wieder Unternehmen aus dem Bereich der Akten- und Datenträgervernichtung.

Darüber hinaus waren neben Produkten im Bereich der Medizin- und Sozialdaten wiederum auch cloudbasierte Dienstleistungen häufig Zertifizierungsgegenstand.

Auch im abgelaufenen Berichtszeitraum zeigte sich bei den einzelnen Zertifizierungsgegenständen eine sehr unterschiedliche Ausgestaltung. Aufgrund der u. a. im Bereich der Medizin- und Sozialdaten zum Teil hochsensiblen, personenbezogenen Daten des Betroffenen war die Einbindung anderer Referate des ULD, aber auch anderer Aufsichtsbehörden in den Zertifizierungsprozess oftmals ein wichtiger Aspekt im Zertifizierungsverfahren.

Im Einzelnen wurden folgende Produkte neu zertifiziert:

  • „vimacc – Video Management Software“, Version 2.2: universelle Videomanagementsoftware zur Übertragung, Anzeige, Auswertung und Archivierung von Videobildern und zugehörigen Metadaten sowie zur Steuerung der Videotechnik wie z. B. von Kameras, Encodern und Schaltkontakten eines digital vernetzten CCTV-Systems,
  • „healthCONNECT“, Version 1: Proxy-Server zur Verschlüsselung von Daten auf Basis eines Java-Softwaremoduls,
  • „Medikationsplanserver des Modellvorhabens ARMIN Stufe 3“, Version 1.0.2018.2.19: IT-Service der AOK Plus zur Unterstützung des Anlegens und der Verwendung gemeinsamer Medikationspläne eines Versicherten durch den ihn betreuenden Arzt und Apotheker,
  • „REISSWOLF f.i.t.“, Version 1.5: webbasiertes Archivierungssystem zur Datenspeicherung und zum Datenzugriff,
  • „ennit Cloud“, Stand Mai 2018: Infrastructure as a Service auf performanter Hard- und Software, bei der virtuelle Maschinen betrieben werden können.

Im Rahmen eines Rezertifizierungsverfahrens wurden folgende Produkte in einem vereinfachten Verfahren erneut überprüft und zertifiziert:

  • „mdex fixed.IP+ (zuvor mdex fixed.IP)“, Stand Mai 2018: Ermöglichung der IP-basierten Kommunikation zwischen Mobilgeräten über Mobilfunknetze bzw. Kommunikation von stationären Geräten mit einem Mobilgerät über ein Mobilfunknetz auf IP-Basis,
  • „DC4, DCM4, DCM5“, Stand August 2017: Lesegeräte zur Altersverifikation der Firma ICT Europe GmbH,
  • „e-pacs Speicherdienst “, Version 3.0: elektronische externe Archivierung von Röntgenbildern und anderen patientenbezogenen medizinischen Daten,
  • „Business Keeper Monitoring System (BKMS)“, Version 3.1: Dialog zwischen Hinweisgebern und Hinweisbearbeitern, um Missstände, Gefahren und Risiken in einer Organisation melden zu können (Whistleblowing),
  • „Verfahren der Akten- und Datenträgervernichtung“, Stand April 2018: Verfahren zur Vernichtung von Akten und Datenträgern durch die Ropakt GmbH,
  • „Datenträgervernichtung (DV)“, Version 9: mobile und stationäre Akten- und Datenträgervernichtung im Rahmen einer Auftragsdatenverarbeitung durch die Firmen Rhenus Data Office GmbH und Datenmühle GmbH,
  • „RED Medical“, Stand Mai 2018: Erhebung, Verarbeitung und Nutzung von medizinischen Patientendaten zur Unterstützung von ärztlichen Anamnesen, Diagnosen und Therapien,
  • „DRACOON (ehem. Secure Data Space), Version 4.5.0”: webbasierter, virtueller Datenraum, in welchen Daten hochgeladen, gespeichert, verwaltet und ausgetauscht werden können,
  • „HealthDataSpace“, Version 2, Stand Januar 2018: webbasierter, virtueller Datenraum zum Hochladen, Speichern, Verwalten und Austauschen von medizinischen Daten,
  • „stepnova“, Varianten: Professional Edition, Basic Edition, Starter Edition, stepfolio, Refugee Edition, Version 4.48: webbasiertes Datenbanksystem zur Organisation im Bildungssektor,
  • „ProCampaign 7.0“: multifunktionale, webbasierte Anwendung zur Unterstützung des Customer Relationship Managements bzw. Permission Marketings,
  • „KOMMBOSS“, Version 2.10: Unterstützung von Kommunen und öffentlichen Stellen in den Bereichen Personalwesen, zentrale Verwaltung und Organisation.

9.2.2       Sachverständige  und Prüfstellen

In den Jahren 2017 und 2018 konnten sechs neue Sachverständige für das Verfahren zur Erlangung des Datenschutz-Gütesiegels Schleswig-Holstein anerkannt werden.

Im Zuge des zweistufig aufgebauten Gütesiegelverfahrens erfolgt die Begutachtung der Zertifizierungsgegenstände durch beim ULD anerkannte Gutachter. Eine Anerkennung als Gutachter kann entweder für den Bereich Recht oder den Bereich Technik beantragt werden, bei Nachweis einer entsprechenden Qualifikation besteht auch die Möglichkeit einer Doppelzulassung. Ebenso ist die Anerkennung einer Prüfstelle möglich. Für eine Anerkennung als Gutachter sind durch den Antragsteller dessen Zuverlässigkeit und Unabhängigkeit sowie die erforderliche Fachkunde nachzuweisen. Letztere muss sich insbesondere auf den Bereich Datenschutz und die Durchführung von Prüfungen/Begutachtungen beziehen und eine mehrjährige praktische Erfahrung beinhalten.

Hinzugekommen als Sachverständige/sachverständige Prüfstellen sind 2017/2018:

  • Christian Heutger, Fulda (Technik),
  • Michael Pöhlsen, Hamburg (Technik),
  • Dr. Thomas Schwenke, Berlin (Recht),
  • ePrivacy GmbH, Hamburg (Recht/Technik),
  • Stephan Dirks, Kiel (Recht),
  • Dr. Volker Wodianka, LL.M., Hamburg (Recht).

Diese Möglichkeit der Anerkennung als Sachverständige bzw. sachverständige Prüfstelle ist jedoch mit dem Wegfall der Rechtsgrundlage im LDSG am 25. Mai 2018 entfallen. Zukünftige Zertifizierungen durch das ULD auf Basis der DSGVO werden voraussichtlich in einem einstufigen Verfahren durchgeführt.


9.2.3       Die Zukunft des Gütesiegels unter der DSGVO

Mit Einführung des neuen Landesdatenschutzgesetzes Schleswig-Holstein zum 25. Mai 2018 fielen die Regelungen für das Datenschutz-Gütesiegel Schleswig-Holstein und das Behördenaudit weg. Damit endete eine 17-jährige erfolgreiche Ära der Möglichkeit, die Datenschutzkonformität von Produkten und Abläufen in einer Behörde auch vertrauensbildend nach außen tragen zu können.

Der Grund für die Abschaffung der Regelungen im LDSG liegt darin, dass die DSGVO selber die Möglichkeit für Aufsichtsbehörden schafft, Zertifizierungen vorzunehmen. Im Gegensatz zu privaten Zertifizierungsanbietern müssen sich die Aufsichtsbehörden hierfür nicht akkreditieren. Allerdings dürfen sie auch nur im Rahmen ihrer eigenen Zuständigkeit tätig werden. Das ULD kann somit nur Verantwortliche und Auftragsverarbeiter sowohl aus dem Privatbereich als auch öffentliche Stellen in Schleswig-Holstein zertifizieren. Dabei muss sich die Zertifizierung auf konkrete Datenverarbeitungsvorgänge beziehen. Zertifizierungen von reinen Produkten (etwa reine Softwarelösungen ohne einen konkreten Einsatz) sind nicht mehr möglich.

Da das ULD mit dem eigenen Angebot auch in einem Bereich tätig wird, der auch von privaten Zertifizierungsstellen bedient werden könnte, wollen wir vergleichbare Voraussetzungen, wie sie für die Privaten gelten, erfüllen. Maßgeblich sind hierfür auch Papiere zu den Themen Akkreditierung und Zertifizierungskriterien, die vom Europäischen Datenschutzausschuss erstellt werden. Diese lagen erst Ende 2018 bzw. Anfang 2019 in endgültigen Versionen vor, sodass wir hierauf auch bei der Erstellung unserer eigenen Kriterien gewartet haben. Diese werden nunmehr zusammen mit den zugehörigen Verfahren erstellt, sodass wir davon ausgehen, dass wir im Jahresverlauf 2019 auch wieder eigene Zertifikate vergeben können. Hierbei beachten wir auch die aktuell noch zu entwickelnden weiter gehenden Vorgaben aller deutschen Aufsichtsbehörden, die der AK Zertifizierung entwirft. Die bisherige Zweistufigkeit des Verfahrens, bei dem anerkannte Sachverständige die Prüfung vornehmen und das ULD dann nach einer Plausibilitätsprüfung das Siegel erteilt, wird so nicht fortgeführt werden. Vielmehr wird das ULD sowohl die Prüfung des Zertifizierungsgegenstandes als auch die Zertifizierung selbst durchführen.


Was ist zu tun?
Das ULD wird einen eigenen Kriterienkatalog für Zertifizierungen nach der DSGVO erstellen und ein Zertifizierungsverfahren entwerfen. Diese werden nach Fertigstellung auf der Webseite des ULD frei veröffentlicht.

 

9.2.4       Projekt PRO-OPT

2017 haben wir u. a. das Projekt PRO-OPT des Deutschen Forschungszentrums für Künstliche Intelligenz GmbH bei Datenschutzfragen unterstützt. Ein Ziel des vom Bundesministerium für Wirtschaft und Energie geförderten Projekts war die datenschutzkonforme Verarbeitung von Produktionsdaten in verteilten smarten Ökosystemen am Beispiel der Automobilindustrie.

Insbesondere sollte es ermöglicht werden, dass fahrzeugbezogene Daten von gesamten Fahrzeugflotten (etwa bei einem Autovermieter) ausgewertet werden. Hierbei bieten sich verschiedene Pseudonymisierungstechniken an, die insbesondere die sogenannte „Vehicle Identification Number“ betreffen.

Zum Untersuchungsgegenstand gehörte auch das „Crowdsourcing“, bei dem öffentliche Foren zu Fahrzeugen ausgewertet werden sollen.

In Form einer Studie haben wir das Projekt über die grundsätzlichen Funktionen des Datenschutzrechts auf Basis der Datenschutz-Grundverordnung informiert, aber auch Stellung zu verschiedenen Pseudonymisierungsverfahren bezogen und Grenzen der Verwendung von vermeintlich oder tatsächlich öffentlichen Daten aufgezeigt.


9.2.5       Projekt AUDITOR

Ziel des Forschungsprojekts AUDITOR ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Hierfür haben die Partner des AUDITOR-Projekts bereits eine erste Version der notwendigen Kriterien für die Zertifizierung entwickelt und auf der Webseite des Projekts veröffentlicht. Momentan liegt der Fokus des Projekts auf der Entwicklung von die Zertifizierung begleitenden Prozessen, die u. a. ein gleichbleibendes datenschutzrechtliches Niveau bei der Zertifizierung sicherstellen und garantieren sollen, dass die unterschiedlichen Zertifizierungsstellen selbst nach vergleichbaren Maßstäben zertifizieren.

Im weiteren Verlauf des Jahres 2019 sind bereits die ersten Pilotzertifizierungen im Rahmen des AUDITOR-Projekts geplant.

Das ULD ist im Rahmen dieses Projekts seit Anfang 2018 Unterauftragnehmer und in dieser Rolle als beratender Partner in die Entwicklung des Zertifizierungsprogramms und der dafür erforderlichen Kriterien eingebunden.


9.3          Datenschutzaudits

9.3.1       Audit  Bad Schwartau

Vor 15 Jahren, als das Datenschutzaudit vom ULD ins Leben gerufen wurde, gehörte die Stadtverwaltung Bad Schwartau zu den ersten Verwaltungen, die sich der Überprüfung in einem Datenschutzaudit stellten. Schon damals wurden vom ULD die Datenverarbeitungsprozesse bei der Stadtverwaltung begutachtet und erfolgreich zertifiziert. Nach Ablauf der dreijährigen Gültigkeit des Zertifikats hat sich die Stadtverwaltung dann kontinuierlich vom ULD reauditieren lassen und immer wieder einen guten Schutz der Daten bestätigt.

Im April 2018 hat das ULD zum fünften Mal der Stadtverwaltung Bad Schwartau ein Datenschutzauditzeichen verliehen. Damit steht die Stadtverwaltung in Schleswig-Holstein für eine vorbildliche und ordnungsgemäße Datenverarbeitung in vorderster Reihe. Die im Rahmen der Überprüfung erfassten Verarbeitungsprozesse zeichnen sich besonders durch folgende datenschutzfreundliche Aspekte aus:

  • Das Datenschutz- und Informationssicherheitsmanagement führt in regelmäßigen Abständen Sitzungen durch, in denen Datenschutz- und Informationssicherheitsaspekte bearbeitet werden.
  • Es wurden organisatorische Abläufe für die Behandlung von auftretenden Datenschutz- und Sicherheitsvorfällen festgelegt.
  • An den Arbeitsplätzen werden überwiegend Thin Clients eingesetzt, sodass damit eine Standardisierung der Arbeitsumgebung sichergestellt wird. Ferner lassen sich Sicherheitsfunktionen zentral und einheitlich administrieren.
  • Über einen Penetrationstest wurden von einer Fachfirma die IT-Komponenten (z. B. die Firewall und die Serverbetriebssysteme) der Stadtverwaltung Bad Schwartau auf Schwachstellen überprüft. Festgestellte Sicherheitslücken wurden von der Stadtverwaltung Bad Schwartau sofort beseitigt.
  • Durch die Anwendung des IT-Grundschutzstandards lassen sich Schutzmaßnahmen zu den schützenswerten Bereichen – Gebäude, Räume, Clients, Server, Router, Firewall, Fachanwendungen usw. – direkt zuordnen, sodass eine gute Transparenz und Überprüfbarkeit gewährleistet wird.
  • Für den Anschluss des internen Verwaltungsnetzes an das Internet werden Sicherheitskomponenten eingesetzt, die unerwünschte Zugriffe abwehren.
  • Tablets werden durch den Einsatz einer Sicherheitssoftware reglementiert und auf Systemen der Stadtverwaltung Bad Schwartau zentral verwaltet.

9.3.2       Audit  Stockelsdorf

Die Gemeinde Stockelsdorf hat sich im Jahr 2017 erfolgreich einem Datenschutzaudit unterzogen, um sich einen sorgfältigen Umgang mit den Daten der Bürgerinnen und Bürger bestätigen zu lassen.

Gegenstand des Datenschutz-Behördenaudits war die Sicherheit und Ordnungsmäßigkeit der internen automatisierten Datenverarbeitung der Gemeinde Stockelsdorf. Dazu gehören

  • der Betrieb der PCs, Notebooks, Tablets, Smartphones, Server und Netzkomponenten sowie
  • die Anbindung des internen Netzes der Gemeinde Stockelsdorf an externe Netze.

In einer Leitlinie für Datenschutz und Informationssicherheit hat die Gemeinde Stockelsdorf Leitaussagen zu ihrer Datenschutz- und Informationssicherheitsstrategie zusammengefasst, um die festgelegten Datenschutz- und Sicherheitsziele und das angestrebte Datenschutz- und Sicherheitsniveau für alle Beschäftigten transparent zu machen.

Bei der Umsetzung von Datenschutz und Informationssicherheit orientiert sich die Gemeinde Stockelsdorf an dem Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Darüber hinaus ist für die Bewältigung der Aufgaben ein behördlicher Datenschutzbeauftragter ernannt und ein Datenschutz- und Informationssicherheitsmanagement-Team (DISM-Team) eingerichtet worden. Das DISM-Team, bestehend aus der Bürgermeisterin, der Hauptamtsleitung, dem Datenschutzbeauftragten und der IT-Administration, steuert und kontrolliert vorbildlich den Datenschutz und den Informationssicherheitsprozess in der Verwaltung.

Die Durchführung des Datenschutz-Behörden-audits erfolgte in den folgenden Schritten:

  • Analyse der Datenschutz- und Informationssicherheitsdokumentation,
  • Begutachtung der Wirkungsweise des Datenschutzmanagementsystems und der Erreichung der festgelegten Datenschutzziele,
  • stichprobenartige Überprüfung der Umsetzung der festgelegten Sicherheitsmaßnahmen und
  • Überprüfung der Einhaltung datenschutzrechtlicher und bereichsspezifischer Vorschriften in Bezug auf den Auditgegenstand.

Die von der Gemeinde Stockelsdorf vorgelegte Dokumentation für den Auditgegenstand bildete die Grundlage für die Begutachtung vor Ort.


9.3.3       Audit  Oststeinbek

Gegenstand des Datenschutz-Behördenaudits für die Gemeindeverwaltung Oststeinbek war die Sicherheit und Ordnungsmäßigkeit der internen automatisierten Datenverarbeitung. Dazu gehören

  • der Betrieb der PCs, Notebooks, Server und Netzkomponenten,
  • die Anbindung des internen Netzes der Gemeindeverwaltung Oststeinbek an das Internet sowie
  • die netztechnische Anbindung der Außenstellen „Kindertagesstätte“, „Bauhof“, „Jugendzentrum“ und „Jugendberatung“ an das interne Netz der Gemeindeverwaltung.

Um die vielfältigen Verwaltungsaufgaben unter Berücksichtigung des Datenschutzes und der Informationssicherheit zu erbringen, hat der Bürgermeister ein Datenschutz- und Informationssicherheitsmanagement (DISM) eingerichtet, über das er von der Datenschutzbeauftragten und dem Informationssicherheitsbeauftragten über alle wesentlichen diesbezüglichen Aspekte informiert werden soll.

Zu den Aufgaben der Datenschutzbeauftragten gehört:

  • Vorsitz des DISM-Teams einschließlich Managementberichte an die Dienststellenleitung,
  • die Leitungsebene bei der Erstellung der Datenschutz- und Informationssicherheitsleitlinie zu unterstützen,
  • die Erstellung des Sicherheitskonzepts und anderer Sicherheitsrichtlinien zu koordinieren,
  • datenschutz- und sicherheitsrelevante Zwischenfälle zu untersuchen sowie
  • Sensibilisierungs- und Schulungsmaßnahmen zum Datenschutz und zur Informationssicherheit zu initiieren und zu steuern.

Die Datenschutzbeauftragte wird bei allen größeren Projekten, die Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungen und IT-Systeme beteiligt. Sie hat während des Audits mit großem Engagement die vielfältigen Aufgaben bearbeitet.

Für die Umsetzung des Datenschutzes und der Informationssicherheit hat sich die Gemeindeverwaltung Oststeinbek folgende Anforderungen auferlegt:

  • Schaffung von organisatorischen Rahmenbedingungen zur nachhaltigen Umsetzung der Datenschutzanforderungen,
  • Herstellung des Bewusstseins bei den Mitarbeiterinnen und Mitarbeitern für den sicheren Umgang mit vertraulichen Daten,
  • regelmäßige Durchführung von Schulungen und Unterweisungen der Mitarbeiterinnen und Mitarbeiter in den Bereichen Datenschutz und Informationssicherheit,
  • Erstellung einer Sicherheitskonzeption auf der Basis des IT-Grundschutzstandards,
  • Einrichtung von Kontrollmechanismen zur Überprüfung der Umsetzung der Datenschutz- und Informationssicherheitsziele bzw. der Sicherheitskonzeption.

9.4          Auditberatungen

9.4.1       Auditberatung  Ärztekammer SH

Die Ärztekammer Schleswig-Holstein (ÄKSH) verarbeitet personenbezogene Daten ihrer Mitglieder und Beschäftigten sowie personenbezogene Daten im Rahmen der Patientenberatung und von Fortbildungsmaßnahmen. Darüber hinaus ist bei der ÄKSH eine Vertrauensstelle des Krebsregisters eingerichtet, die besonders sensible Daten verarbeitet.

Der Geschäftsführer der ÄKSH hat das ULD beauftragt, die ÄKSH über die grundsätzliche Beratung hinaus bei der Analyse bestehender Prozesse der Datenverarbeitung sowie bei der Festlegung und Umsetzung von geeigneten Schutzmaßnahmen zu unterstützen.

Die Datenverarbeitung der ÄKSH sollte nach Empfehlung des ULD auf Basis des IT-Grundschutzstandards in Verbindung mit den zu beachtenden Regelungen der DSGVO datenschutzkonform betrieben werden. Daraufhin hat die ÄKSH ihre Konzeption neu nach dem Grundsatz „Datenschutz auf der Basis von IT‑Grundschutz“ festgelegt.

Das ULD hat danach eine Bestandsaufnahme der Datenverarbeitung der ÄKSH durchgeführt. Im Anschluss wurden in Zusammenarbeit mit der Geschäftsführung, dem Leiter der IT-Abteilung und der Datenschutzbeauftragten Schutzmaßnahmen auf der Basis des IT-Grundschutzstandards festgelegt. Ferner wurden erforderliche Datenschutzanforderungen aufgenommen und projektbezogen in die Umsetzung gebracht.

Die IT-Abteilung der ÄKSH hat den Betrieb der Datenverarbeitungssysteme einschließlich Informationssicherheits-, Softwareentwicklungs-, Netz- und Administrationsmanagement professionell umgesetzt. Auch die in der Verantwortung der IT-Abteilung betriebenen Server- und Technikräume werden mit hoher Sorgfalt fachkundig geführt. Geringfügig festgestellte Schwachstellen wurden mit der Implementierung der neuen Konzeption abgestellt.

Die Datenschutzanforderungen wurden gemeinsam mit der Datenschutzbeauftragten erörtert. Eine Bestandsaufnahme der Verarbeitungstätigkeiten und der damit verbundenen noch zu ergreifenden Schutzmaßnahmen wurden im Rahmen von umsetzenden Aufgaben beschrieben. Diese wurden von ihr in angemessener Zeit bearbeitet.

Insgesamt hat die Geschäftsführung die vom ULD festgestellten Sachverhalte konstruktiv aufgenommen und mit allen beteiligten Mitarbeiterinnen und Mitarbeitern besprochen. Daraufhin wurden von ihr die Empfehlungen des ULD zur Verbesserung des Datenschutzes und der Informationssicherheit zeitnah umgesetzt.


Was ist zu tun?
Für ein gutes Niveau an Informationssicherheit können sich Verantwortliche und Auftragsverarbeiter an dem aktualisierten IT-Grundschutzstandard des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren und geeignete Sicherheitsmaßnahmen für die Daten der Betroffenen umsetzen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel