Sonntag, 18. August 2002

Audit: Gemeinde Büchen

Prüfnummer 02/2002
Befristet bis 15.08.2005

Verarbeitung personenbezogener Daten durch die Gemeinde und die Verarbeitung dieser Daten im Rahmen des Projektes "Virtuelles Rathaus"

Kurzgutachten über das Auditverfahren gemäß § 43 Abs. 2 LDSG
"Verarbeitung personenbezogener Daten durch die Gemeinde Büchen und die Verarbeitung dieser Daten im Rahmen des Projektes "Virtuelles Rathaus" "

Gemäß der Vereinbarung zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Gemeinde Büchen vom 06.06.2001 sind Gegenstand des Datenschutz-Behördenaudits "die gesamte Verarbeitung personenbezogener Daten durch die Gemeinde Büchen" sowie "die Verarbeitung personenbezogener Daten im Rahmen des Projektes virtuelles Rathaus".

 
1.     Verfahrensunterlagen
2.     Wesentlicher Inhalt der Bestandsaufnahme
  a)   Übersicht über die Verfahren
  b)   Bestandsaufnahme der technischen und organisatorischen Maßnahmen
3.     Wesentlicher Inhalt der Analyse der Restrisiken und Definition der Datenschutzziele
  a)   Konventionelle Datenverarbeitung
  b)   Sicherheit und Ordnungsmäßigkeit der elektronischen Datenverarbeitung
  c)   Virtuelles Rathaus
4.     Wesentlicher Inhalt des Datenschutzmanagementsystems
  a)   Erreichung der Datenschutzziele
  b)   Weitere Elemente
5.     Abschließendes Votum
 

1. Verfahrensunterlagen


Zu dem Gesamtaudit, das beide Komplexe betrifft, liegen folgende Unterlagen vor:

  1. Datenschutzerklärung der Gemeinde Büchen, enthaltend:
    1. Bestandsaufnahme
    2. Analyse der Restrisiken und Definition der Datenschutzziele
    3. Datenschutzmanagementsystem
  2. IT-Konzept
  3. Sicherheitskonzept
  4. Konzept i-wadis (virtuelles Rathaus) der Firma i-kom
  5. Dienstanweisung - Administrationsebene - für den Umgang mit Datenverarbeitungssystemen
  6. Dienstanweisung zur Nutzung der Internet-Dienste und des virtuellen Rathauses
  7. Vertrag mit der Telekom über den Anschluss an das Internet

2. Wesentlicher Inhalt der Bestandsaufnahme


In der Bestandsaufnahme werden vor allem dargelegt

1. die Übersicht, über die bei der Gemeinde zum Einsatz kommenden Verfahren der Datenverarbeitung sowie
2. eine Darstellung der technischen und organisatorischen Maßnahmen zur Aufrechterhaltung der Datensicherheit. 

In beiden Teilbereichen finden sich jeweils auch spezifische Aussagen zu den Verfahren der Datenverarbeitung bzw. Maßnahmen zur Aufrechterhaltung der Datensicherheit beim virtuellen Rathaus.

a) Übersicht über die Verfahren

Im Rahmen der Übersicht über die Verfahren werden die bei den einzelnen Fachbereichen vorgenommenen Datenverarbeitungen umfassend dargestellt. Benannt werden dabei jeweils:

  • Bezeichnung und Zweck des Verfahrens
  • Rechtsgrundlage des Verfahrens
  • Kreis der Betroffenen
  • die in dem Verfahren verarbeiteten Datenkategorien sowie
  • die in dem Verfahren erfolgenden Phasen der Datenverarbeitung

aa) Allgemeines

Die Auflistung der Verfahren erfolgt getrennt nach Fachbereichen und dort wiederum untergliedert nach Ämtern bzw. sonstigen Organisationseinheiten.

Es werden aufgezählt

  • im Fachbereich 1: 5 Verfahren, davon 4 im Personalamt,
  • im Fachbereich 2: 8 Verfahren, alle im Bereich Kämmerei,
  • im Fachbereich 3: 26 Verfahren, davon 12 im Bereich Bürgerservice, 1 im Bereich Sozialamt, 13 im Bereich Ordnungsamt,
  • im Fachbereich 4: 5 Verfahren, alle im Bereich Bauamt.

Die Beschreibungen der Verfahren sind konsistent und entsprechen auch den Anforderungen, die an ein Verfahrensverzeichnis nach § 7 Abs. 1 LDSG zu stellen sind.

bb) Besonderheiten im virtuellen Rathaus

Die im Bereich virtuelles Rathaus betriebenen Verfahren sind gesondert aufgezählt. Dabei ist zwischen drei Typen von Verfahren, die über das virtuelle Rathaus abgewickelt werden, zu unterscheiden:

(1) Verfahrenstypen

Zum einen gibt es Verfahren, für die ein Formular zum Download zur Verfügung steht. Dieses wird vom Bürger zu Hause ausgedruckt und ausgefüllt, unterschrieben und an die Verwaltung geschickt. Diese Verfahrensweise gibt keinen Anlass zu datenschutzrechtlichen Bemerkungen.

Daneben stehen Formulare zur Verfügung, die online am Bildschirm ausgefüllt werden und dann zum Teil mit, zum Teil ohne elektronische Signatur an die Verwaltung geschickt werden. Dabei ist darauf zu achten, dass der Datenschutz nicht dadurch verletzt wird, dass Unberechtigte die Möglichkeit bekommen, durch das Anstoßen eines Online-Verfahrens Daten Dritter zur Kenntnis zu erlangen. Dies wäre beispielsweise dann gegeben, wenn ohne weitere Authentisierungsmechanismen Urkunden beantragt werden könnten, die an beliebige Adressen, die in dem Online-Formular angegeben werden, versendet würden.

Die Verfahren, die bei der Gemeinde Büchen ohne Einsatz einer elektronischen Signatur angeboten werden, sind in Zusammenarbeit mit dem ULD darauf abgestimmt worden, dass die beschriebenen Gefahren minimiert werden. So kann beispielsweise eine weitere Lohnsteuerkarte über ein Formular beantragt werden. Die Zusendung erfolgt dabei jedoch nicht an eine beliebige Anschrift, sondern lediglich an die Meldeadresse der Person, für die die Lohnsteuerkarte ausgestellt wird. Damit wird die oben beschriebene Gefährdung weitgehend verhindert.

(2) Sicherheit des Verfahrens der elektronischen Signatur

Weiterhin werden bei bestimmten Formularen digitale Zertifikate eingesetzt, die von der Gemeinde Büchen zuvor ausgestellt worden sein müssen. Die Bestandsaufnahme beschreibt dezidiert die dabei erforderliche Prozedur der Schlüsselerzeugung, Zertifikatsbeantragung, Identitätsprüfung bei der Gemeinde, Freischaltung und Installation des Zertifikats. Dabei wird deutlich, dass das Konzept, das fortgeschrittene elektronische Signaturen im Sinne des Signaturgesetzes vorsieht, grundsätzlich geeignet ist, datenschutzrechtlichen Anforderungen zu genügen.

Allerdings ergibt sich Verbesserungsbedarf im Hinblick darauf, dass der Hersteller dieses E-Government-Systems (die Firma i-kom) für die mit dem Zertifikat verbundenen Prozeduren auf Programmteile zurückgreift, die standardmäßig im Web-Browser "Internet-Explorer" der Firma Microsoft installiert sind. Diese Standardsoftware beinhaltet bestimmte Einstellmöglichkeiten, die auch von professionellen Anwendungen wie dem E-Government-System von i-kom nicht geändert werden können. Dadurch ist es beispielsweise möglich, dass die Sicherheitsstufe von der empfohlenen "hohen" Sicherheit auf "niedrig" gesetzt wird. In einem solchen Fall bekommt der Nutzer keine Informationen darüber, falls sein digitales Zertifikat von Dritten benutzt wird und Nachrichten mit seinem privaten Schlüssel verschlüsselt werden. Dies würde eine erhebliche Unsicherheit bedeuten. Darüber hinaus ermöglicht die Software, dass Passwortabfragen dadurch umgangen werden, dass in die dafür vorgesehenen Fenster keine Passworte eingetragen werden, sondern die Fenster leergelassen werden. Werden Passworte verwendet, so sieht die Software vor, dass diese standardmäßig auf der Festplatte des Nutzerrechners gespeichert werden können. All dies hat zur Folge, dass auch ein unberechtigter Nutzer des Rechners bei Nichteinhaltung der gebotenen Sicherheit durch den eigentlich berechtigten Nutzer dazu befähigt werden könnte, die fremden Zertifikate bzw. Signaturschlüssel zu verwenden und unter der digitalen Identität eines anderen rechtlich relevante Erklärungen abzugeben.

Diese Defizite können jedoch hingenommen werden. In der Datenschutzerklärung werden bei den Datenschutzzielen Mechanismen aufgezeigt, mit denen vermieden werden kann, dass es zu nachteiligen Auswirkungen kommt. Werden die vorgegebenen Sicherheitsvorkehrungen eingehalten, kann das verwendete Verfahren die Authentisierung für die Zwecke der im virtuellen Rathaus angebotenen Verfahren sicherstellen.

Wie oben beschrieben setzt die Nutzung der Online-Formulare im virtuellen Rathaus auf bestimmte Programmkomponenten in dem Web-Browser Microsoft "Internet Explorer" auf. Dies hat zur Folge, dass das virtuelle Rathaus nur mit dieser Software benutzt werden kann. Generell erweckt es Bedenken, wenn durch technische Vorgaben ein nicht unerheblicher Teil der Nutzer vom Zugang zu Angeboten der Verwaltung ausgeschlossen wird. Allerdings handelt es sich hier um einen grundsätzlichen Aspekt, der im Rahmen eines einzelnen Datenschutzaudits nicht behandelt werden kann.

Im Ergebnis lässt sich aber feststellen, dass die Gemeinde Büchen mit dem Virtuellen Rathaus ein E-Government-Angebot geschaffen hat, das aus Sicht des Unabhängigen Landeszentrums für Datenschutz insgesamt als datenschutzgerecht zu bewerten ist.

b) Bestandsaufnahme der technischen und organisatorischen Maßnahmen

Die Bestandsaufnahme zählt auf, welche generellen und konkreten Maßnahmen zur Aufrechterhaltung der Datensicherheit erforderlich sind. Weiterhin werden sämtliche angewandten Hardware-Komponenten sowie die verwendete Software, getrennt nach Systemsoftware und Software in Fachverfahren, aufgezählt. Eine grafische Darstellung erläutert die Vernetzung bei der Gemeinde Büchen.

Aus der Bestandsaufnahme ergibt sich weiter, dass ein Sicherheitskonzept besteht, das am 02.01.2002 in Kraft gesetzt wurde. Weiterhin existiert eine Dienstanweisung für die IT-Koordination, die die wesentlichen datenschutzrechtlich relevanten Aspekte sachgerecht behandelt.

Die Bestandsaufnahme beschäftigt sich weiter ausführlich mit den technischen Details des Internetanschlusses der Gemeinde Büchen. Dazu werden zunächst die damit verbundenen Risiken beschrieben. Es wird dargelegt, dass das Sicherheitskonzept Vorkehrungen vorsieht, um diesen Risiken zu begegnen. Ausweislich der Bestandsaufnahme existiert eine Dienstanweisung zur Nutzung der Internet-Dienste, mit der die Mitarbeiter auf die erforderliche Datensicherheit hingewiesen werden.

3. Wesentlicher Inhalt der Analyse der Restrisiken und Definition der Datenschutzziele


Gemäß den Hinweisen zur Durchführung des Datenschutzaudits hat die Gemeinde Büchen im Teil B der Datenschutzerklärung beschrieben, welche Restrisiken die bestehenden Datenverarbeitungsverfahren mit sich bringen und wie diese nach Möglichkeit minimiert bzw. beseitigt werden (Datenschutzziele).

a) Konventionelle Datenverarbeitung

Im Bereich der konventionellen Datenverarbeitung in den unterschiedlichen Ämtern der Gemeinde steht hierbei im Vordergrund, die Aufbewahrungsfristen der papierenen Unterlagen umzusetzen und solche Unterlagen, die zu lange aufbewahrt wurden, in einem präzisen Zeitraum zu löschen. Im Bereich Personalamt wird außerdem eine Neuordnung der Personalakten vorgenommen werden, die bisher nicht vollständig gemäß den gesetzlichen Vorgaben geführt wurden. Im Bereich der Sozialdaten wird darauf hingearbeitet, dass vom Kreis Herzogtum-Lauenburg die relevanten Vorgaben für die Verfahren, die bei der Gemeinde im Auftrage des Kreises durchgeführt werden, eingeholt werden.

b) Sicherheit und Ordnungsmäßigkeit der elektronischen Datenverarbeitung

Bei den Maßnahmen zur Aufrechterhaltung der Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung gibt es einige kleinere Defizite, die behoben werden. Neben Problemen, die von der Gemeinde Büchen selbst beseitigt werden können, wie z. B. fehlende Dokumentation der Zugriffsbefugnisse in den Fachverfahren, sind andere Defizite nur in Zusammenarbeit mit dem Hersteller der Software für die jeweiligen Verfahren zu lösen. Dies betrifft z. B. das Programm Haushalts-, Kassen- und Rechnungswesen der Firma CIP, bei dem eine bestimmte Abschottung eingebaut werden muss.

Weitere Datenschutzziele betreffen die noch bessere Absicherung des Netzes der Gemeinde Büchen beim Anschluss an das Internet. Diese erfolgt zurzeit über eine Firewall, die von einem externen Dienstleister betrieben und verwaltet wird. Zusätzlich sollen bei der Gemeinde Büchen Maßnahmen zur Aufrechterhaltung des Virenschutzes, insbesondere beim E-Mail-Versand und -Empfang, getroffen werden.

Darüber hinaus soll zumindest mittelfristig ins Auge gefasst werden, sämtliche ausgehenden E-Mails zu verschlüsseln. Eine der Voraussetzungen dafür ist allerdings, dass geeignete Software beim Empfänger vorliegt. Auch die Nutzung des Internetdienstes World-Wide-Web soll nach den Zielvorstellungen der Gemeinde Büchen im Hinblick auf die Sicherheit verbessert werden. Es sollen insbesondere die Maßnahmen weiter optimiert werden, die verhindern, dass schädigende Inhalte wie z. B. so genannte Trojaner in den Bereich des internen Netzes gelangen.

c) Virtuelles Rathaus

Im Bereich des virtuellen Rathauses gibt es einige Zielvorgaben, die die Gemeinde Büchen selbstständig umsetzen kann, andere lassen sich wiederum nur in Zusammenarbeit mit Herstellern der Software erreichen. So sollen u. a. die Gültigkeitsdauer der digitalen Zertifikate auf das Maß verkürzt werden, das von der für diese Fragen zuständigen Regulierungsbehörde für Telekommunikation und Post für angemessen angesehen wird.

Da sich einige Schwachpunkte, die sich - wie oben aufgezeigt - aus der Nutzung von bestimmten Programmelementen ergeben, nicht vollständig beseitigen lassen, soll nach der Zielvorgabe insoweit die Aufklärung der Nutzer verbessert werden. Diese sollen darauf hingewiesen werden, dass sie nur bei Einhaltung der höchsten Sicherheitsvorkehrungen mit einer sicheren Authentisierung in den angebotenen Verwaltungsverfahren rechnen und Missbrauch durch Dritte ausschließen können.

Weiterhin werden bestimmte Prüfmechanismen bei der Gemeinde vorgesehen, die dazu führen sollen, dass die Antragstellung durch Unberechtigte, insbesondere in den Fällen, in denen kein Zertifikat verwendet wird, ausgeschlossen ist. Die zurzeit noch bei einigen Formularen des virtuellen Rathauses anzutreffende Problematik, dass zu viele Daten als Pflichtdaten erhoben werden, soll nach den Zielvorgaben abgestellt werden.

4. Wesentlicher Inhalt des Datenschutzmanagementsystems


a) Erreichung der Datenschutzziele

Aus den oben beschriebenen Zielvorgaben hat die Gemeinde Büchen ein Datenschutzmanagementsystem erstellt. Dieses weist vor allem die einzelnen Datenschutzziele bestimmten Mitarbeitern zu und gibt eine zeitliche Vorgabe, bis wann eine Umsetzung zu erfolgen hat. Weiterhin werden die Ziele, die zunächst in relativ abstrakter Weise definiert sind, konkretisiert und in einzelne Handlungsschritte aufgespalten. Darüber hinaus enthält die Beschreibung des Datenschutzmanagementsystems Elemente, die auch außerhalb der Datenschutzziele relevant sind und für eine dauerhafte Aufrechterhaltung des Datenschutzniveaus sorgen sollen.

Die Umsetzung der Ziele ist mit unterschiedlichen Zeithorizonten versehen. Diese reichen von September des Jahres 2002 bis Ende des Jahres 2003. Es kann daher davon ausgegangen werden, dass spätestens bis zu diesem Zeitpunkt sämtliche Datenschutzziele erreicht sind.

Kurzfristig umgesetzt werden dabei insbesondere die Ziele, überschüssige Unterlagen, die bisher zu lange aufbewahrt wurden, zu vernichten. Dies ist regelmäßig den zuständigen Sachbearbeitern in den jeweiligen Ämtern zugewiesen. Zielvorgaben, die sich auf elektronische Datenverarbeitung beziehen, werden vom IT-Koordinator, teilweise unter Miteinbeziehung der Datenschutzbeauftragten, umgesetzt.

Insgesamt ist das Konzept als schlüssig zu bezeichnen. Es kann auf Grund der vorliegenden Unterlagen und der zusätzlich vor Ort eingeholten Informationen davon ausgegangen werden, dass die Umsetzung der Datenschutzziele im vorgegebenen Zeitraum erfolgreich vorgenommen wird.

b) Weitere Elemente

Darüber hinaus ist besonders hervorzuheben, dass die Gemeinde Büchen zusätzlich zu den Maßnahmen, die sich aus den zuvor definierten Datenschutzzielen ergeben, ein allgemeines Datenschutzmanagementsystem beschrieben hat, das geeignet ist, als dauerhafter Prozess auch nach Umsetzung der konkreten Ziele für eine weitere Anhebung und Festigung des Datenschutzniveaus zu sorgen.

So sollen insbesondere die Bestandsaufnahme und Datenschutzziele auch nach Erreichen der zunächst definierten Ziele weiter fortgeschrieben werden. Diese Fortschreibung wird dokumentiert und Ziele und Stand der Umsetzung den Mitarbeitern bekannt gegeben.

Neben der vorgesehenen datenschutzrechtlichen Begleitung bei der Einführung neuer Verfahren spielt auch die in den Datenschutzzielen definierte Schulung der Mitarbeiter eine wichtige Rolle für die Qualität des Datenschutzmanagementsystems. Unterschieden wird dort zwischen externer Schulung, die den Fachmitarbeitern durch externe Schulungsangebote offeriert wird, und interner Schulung, die durch die Gemeinde zu den Fachthemen selbst dargeboten wird. Von Bedeutung ist schließlich auch die Einführung von Abstimmungs- und Kontrollverfahren, die die Identifizierung von und die Diskussion über Datenschutzprobleme zu einem regelmäßigen Prozess machen sollen. Damit wird das Thema dauerhaft in der Organisation verankert und voraussichtlich mit Erfolg weiterhin beachtet.

5. Abschließendes Votum


Im Ergebnis lässt sich feststellen, dass nach Durchführung des Datenschutz-Behördenaudits im Bereich der Verarbeitung personenbezogener Daten durch die Gemeinde Büchen allgemein und bei der Verarbeitung personenbezogener Daten im Rahmen des Projektes virtuelles Rathaus durch die Mechanismen der Datenschutzerklärung und deren Umsetzung ein gutes datenschutzrechtliches Niveau und dessen weitere Verbesserung bewirkt wird. Das Audit erreicht damit sein Ziel. Die Verleihung des Auditzeichens gemäß der Nr. 9 der Hinweise zur Durchführung des Datenschutzaudits ist gerechtfertigt.