Montag, 25. August 2003

Audit: Stadt Norderstedt

Prüfnummer 04/2003
Befristet bis 24.08.2006

Personalverwaltungs- und Informationssystem

I.   Gegenstand des Auditverfahrens
II.  Verfahrensunterlagen
III. Wesentlicher Inhalt der Bestandsaufnahme
IV. Wesentlicher Inhalt der Analyse der Restrisiken und Definition der Datenschutzziele
V.  Wesentlicher Inhalt des Datenschutzmanagementsystems
VI. Abschließende Bewertung
 

I. Gegenstand des Auditverfahrens

Die Einführung eines Personalverwaltungs- und Informationssystems bildet gemäß der zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Stadt Norderstedt mit Datum vom 12. Juni 2001 geschlossenen Vereinbarung den Gegenstand des Datenschutz-Behördenaudits.

Vor der Beschaffung eines Personalverwaltungs- und Informationssystems erstellte die Stadt Norderstedt im Jahre 2000 ein "Pflichtenheft zur Einführung eines Personalverwaltungs- und Informationssystems". Dieses enthält eine detaillierte Beschreibung der einzelnen Arbeitsabläufe zur Erfüllung der Personalverwaltungsaufgaben. Gleichzeitig wurde daraus ein Anforderungsprofil für den Einsatz eines automatisierten Verfahrens abgeleitet. Zum Zwecke der frühzeitigen Berücksichtigung der Bestimmungen des Datenschutzes wurde dieses Pflichtenheft dem ULD vorgelegt. Im Rahmen der im Jahre 2001 begonnenen Pilotierungsphase zum Datenschutzaudit wurde mit der Durchführung eines Datenschutzaudits bezogen auf die Einführung des Personalverwaltungs- und Informationssystems bei der Stadt Norderstedt begonnen.

Grundlage des Datenschutz-Behördenaudits bei der Stadt Norderstedt sind die Anwendungsbestimmungen des ULD zur Durchführung eines Datenschutz-Behördenaudits nach § 43 Abs. 2 Landesdatenschutzgesetz (LDSG) vom 22. März 2001 (Amtsblatt Schl.-H. 13/2001, S. 196).

Mit dem vorliegenden Kurzgutachten fasst das ULD gemäß Ziff. B 8.5 der Anwendungsbestimmungen (im Folgenden HDSA) das Ergebnis seiner Mitwirkung zusammen. Dieses enthält eine Zusammenfassung der Datenschutzerklärung sowie die Bewertung der dort getroffenen Aussagen durch das ULD.

 

II. Verfahrensunterlagen

Im Rahmen des Auditverfahrens wurden von der Stadt Norderstedt im Wesentlichen folgende Unterlagen vorgelegt:

a. Datenschutzerklärung der Stadt Norderstedt vom 15. August 2003, enthaltend:
   (1) Bestandsaufnahme,
   (2) Analyse der Restrisiken gemäß Ziff. B 5.2 und Festlegung der Datenschutzziele gemäß Ziff. B 6 HDSA,
   (3) Datenschutzmanagementsystem gemäß Ziff. B 7 HDSA,
b. Pflichtenheft zur Einführung eines Personalverwaltungs- und Informationssystems,
c. EDV-Sicherheitskonzept der Stadt Norderstedt,
d. Benutzerhandbuch Kommboss,
e. Kommboss Zugriffsrechteverwaltung,
f. Vordruck der Stadt Norderstedt für die Rechtefreigabe im Verfahren Kommboss,
g. Auszug über die Protokollierung von Änderungen im Verfahren,
h. Vordruck über die Durchführung von Verfahrenstests im Verfahren Kommboss,
i. Dienstanweisung für die elektronische Datenverarbeitung der Stadt Norderstedt (DA 10.16).

 

III. Wesentlicher Inhalt der Bestandsaufnahme

a) Allgemeines

Die Bestandsaufnahme enthält vor allem

  • eine Darstellung der Zwecke des Personalverwaltungs- und Informationssystems sowie der zum Einsatz kommenden Module, die dem Datenschutzaudit unterfallen,
  • eine Benennung der wesentlichen datenschutzrechtlichen Vorschriften, die bei der Datenverarbeitung im Rahmen des
  • Personalverwaltungs- und Informationssystems zu beachten sind,
  • eine Beschreibung der technischen und organisatorischen Maßnahmen zur Aufrechterhaltung der Datensicherheit sowohl in abstrakter als auch in konkreter Form.

b) Zweck des Verfahrens

Die Stadt Norderstedt setzt das Personalverwaltungs- und Informationssystem Kommboss in der Version 2.7.2 der Firma GfOP Neumann und Partner mbH ein. Die Freigabe des Systems soll nach erfolgreichem Abschluss des Auditverfahrens noch im August 2003 erfolgen.

Mit Hilfe des Systems werden die Daten der bei der Stadt Norderstedt beschäftigten Mitarbeiterinnen und Mitarbeiter zum Zwecke der Begründung, Durchführung, Beendigung oder Abwicklung der Dienst- und Arbeitsverhältnisse sowie zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zum Zwecke der Personalplanung und des Personaleinsatzes verwaltet. Bei den verarbeiteten Daten handelt es sich um Personaldaten sowie um Organisations- und Stellenplandaten.

Das System Kommboss besteht aus verschiedenen Modulen. Folgende Module werden auditiert:

  • Personalmanagement (Personalinformation)
  • Stellenplan
  • Terminüberwachung
  • Datenschnittstelle
  • Protokollierung
  • Administration

Die Software ermöglicht den Einsatz weiterer Module (Personalkostenplanung, Bewerberverwaltung, Fortbildung und Dokumentenverwaltung). Diese Module sind nicht Gegenstand des Audit-Verfahrens.

Die Datenverarbeitung im System Kommboss richtet sich gemäß § 23 LDSG im Wesentlichen nach den Vorschriften der §§ 106 bis 106h des Landesbeamtengesetzes (LBG). Diese datenschutzrechtliche Vorschrift regelt die Datenverarbeitung bei Dienst- und Arbeitsverhältnissen und erweitert den Anwendungsbereich der Vorschriften des Landesbeamtengesetzes auf die Datenverarbeitung aller Beschäftigten bei öffentlichen Stellen.

Eine detaillierte Beschreibung der einzelnen im System verarbeiteten und zu verarbeitenden Daten sowie der hierbei zu beachtenden Rechtsvorschriften lässt sich dem o.g. Pflichtenheft entnehmen. Dieses Pflichtenheft ist Gegenstand der Bestandsaufnahme.

c) Technische und organisatorische Maßnahmen

Die Bestandaufnahme enthält eine Beschreibung der technischen und organisatorischen Maßnahmen, die abstrakt und konkret für die Aufrechterhaltung der Datensicherheit erforderlich sind. Außerdem werden die eingesetzten Hard- und Softwarekomponenten beschrieben.

Ein Zugang zum Verfahren Kommboss ist lediglich innerhalb der Personalabteilung möglich. Eine eventuelle künftige Erweiterung der Zugriffe auf das System durch andere Fachämter oder den Personalrat erfolgt erst nach einer sorgfältigen Prüfung, ob der Zugriff auf die vorhandenen Daten zur Aufgabenerfüllung der jeweiligen Mitarbeiterin bzw. des jeweiligen Mitarbeiters erforderlich ist.

Das System kann erst genutzt werden, nachdem sich die Mitarbeiterin oder der Mitarbeiter mit einer spezifischen Benutzerkennung und einem gesonderten Passwort authentifiziert haben. Für die einzelnen Datenfelder der verschiedenen Module werden Zugriffsrechte mitarbeiterbezogen definiert. Da für jedes einzelne Datenfeld die Zugriffsrechte gesondert vergeben werden, wird ein ungeprüfter Zugriff ausgeschlossen. Die Vergabe der Zugriffsrechte wird auf einem eigens hierfür entwickelten Vordruck dokumentiert. Die Rechtefreigabe erfolgt ausschließlich aufgrund konkreter schriftlicher Vorgaben des Fachamtes durch die Administration.

 

IV. Wesentlicher Inhalt der Analyse der Restrisiken und Definition der Datenschutzziele

Die Datenschutzerklärung enthält eine Beschreibung einzelner noch bestehender Restrisiken im Hinblick auf die Einhaltung datenschutzrechtlicher und datensicherheitstechnischer Vorgaben. Des Weiteren werden Ziele zur Erhaltung und Verbesserung bezüglich des Datenschutz- und Datensicherheitsniveaus festgelegt; in diesem Zusammenhang wird ein Zeitraum für deren Umsetzung benannt.

Konkret handelt es sich bei diesen Restrisiken z.B. um in der Software gegenwärtig noch fehlende Funktionen, die bereits mit Auslieferung der nächsten Version der Software im Oktober 2003 zur Verfügung stehen werden. Insoweit ist für die Erreichung der Datenschutzziele ein präziser Zeithorizont vorgegeben.

Es ist zu erwarten, dass die Vorgaben im Rahmen dieses Zeitraumes erfüllt werden, so dass es gerechtfertigt ist, bereits zum gegenwärtigen Zeitpunkt das Vorliegen der für ein erfolgreiches Auditverfahren erforderlichen Voraussetzungen zu bestätigen.

 

V. Wesentlicher Inhalt des Datenschutzmanagementsystems

Das Datenschutzmanagementsystem enthält die internen Organisationsregelungen der Stadt Norderstedt im Hinblick auf die Erreichung der in der Bestandsaufnahme genannten Datenschutzziele sowie die Einhaltung der datenschutzrechtlichen Vorgaben.

Die Grundlagen hierfür bilden das "Pflichtenheft zur Einführung eines Personalverwaltungs- und Informationssystems" sowie das "EDV-Sicherheitskonzept der Stadt Norderstedt". Sowohl das Pflichtenheft als auch das Sicherheitskonzept werden laufend an geänderte rechtliche und technische Bedingungen angepasst.

Das Datenschutzmanagementsystem enthält ferner allgemeine Vorgaben, die geeignet sind, eine dauerhafte Aufrechterhaltung des erreichten Datenschutzniveaus zu gewährleisten.

Die Zuständigkeiten und Verantwortlichkeiten im Hinblick auf die Rechtmäßigkeit und Ordnungsmäßigkeit der Datenverarbeitung sind detailliert geregelt. Die Zuständigkeit für das Verfahren obliegt nach der "Dienstanweisung für die elektronische Datenverarbeitung der Stadt Norderstedt (DA 10.16)" dem Hauptamt, Personalabteilung. Die Zuständigkeit für die technische Vergabe der Zugriffsrechte obliegt der Administration. Alle Änderungen im Verfahren bedürfen der förmlichen Freigabe durch die Hauptamtsleitung.

Die Stadt hat bislang auf die förmliche Bestellung eines behördlichen Datenschutzbeauftragten im Sinne des § 10 LDSG verzichtet. Allerdings wird die Einhaltung der Datenschutzbestimmungen für den städtischen Bereich vom Rechnungsprüfungsamt überwacht. Der Leiter des Rechnungsprüfungsamtes nimmt die Funktion eines Datenschutzbeauftragten wahr. Die Stadt beabsichtigt, zu einem späteren Zeitpunkt eine förmliche Bestellung des Datenschutzbeauftragten vorzunehmen.

Hinsichtlich aller im Pflichtenheft beschriebenen Aufgaben ist ein umfangreiches Test- und Freigabeverfahren durchzuführen. Hierfür wurde eine Vorgehensweise entwickelt, die nachvollziehbar und schlüssig dokumentiert ist.

Bezüglich der Einführung der einzelnen Module sind bereits Schulungen der Mitarbeiterinnen und Mitarbeiter erfolgt. Sofern Änderungen vorgenommen werden, finden erneut Schulungen statt, die insbesondere auch Fragen des Datenschutzes und der Datensicherheit behandeln.

Bei Aktualisierung der Software wird dafür Sorge getragen, dass Änderungen einer Prüfung im Hinblick auf die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit unterzogen werden.

 

VI. Abschließende Bewertung

Die Stadt Norderstedt hat bei der Einführung des Personalverwaltungs- und Informationssystems die geltenden Vorschriften zu Datenschutz und Datensicherheit von vornherein berücksichtigt. Das vor der Beschaffung der Software Kommboss erstellte Pflichtenheft wurde im Rahmen des Auditverfahrens einer ständigen Bearbeitung und Anpassung im Hinblick auf die datenschutzrechtlichen Vorgaben unterzogen. Eine laufende Anpassung an gegebenenfalls geänderte sachliche und rechtliche Anforderungen wird auch in Zukunft stattfinden.

In der Dokumentation zum Verfahren Kommboss wird dargelegt, für welche der im Pflichtenheft genannten Aufgaben die einzelnen in Kommboss gespeicherten Daten zum Einsatz kommen sollen. Da für jedes Datenfeld ein entsprechender Nachweis erbracht wird, ist gewährleistet, dass die vorgesehene Datenspeicherung insgesamt zur rechtmäßigen Erfüllung der im Pflichtenheft nachgewiesenen Personalverwaltungsaufgaben erforderlich ist. Eine Nutzung von Datenfeldern aus dem Standardprogramm, die zur Aufgabenerfüllung der Stadt nicht erforderlich sind, wird dadurch ausgeschlossen, dass dafür keine Zugriffsrechte vergeben werden. Insoweit wird die Einhaltung der datenschutzrechtlichen Vorgaben durch technische Maßnahmen sichergestellt.

Die Einhaltung der Löschungsfristen für die einzelnen Personalaktendaten, insbesondere diejenigen aus § 106 h Abs. 2 LBG, wird durch entsprechende automatisierte Auswertungsmöglichkeiten des Datenbestandes überwacht.

Im Ergebnis ergibt die Begutachtung der von der Stadt Norderstedt vorgelegten Datenschutzerklärung, dass die Stadt Norderstedt bei der Einführung des Personalverwaltungs- und Informationssystems ein gutes datenschutzrechtliches Niveau erreicht hat. Die präzise zeitliche Festlegung der Umsetzung der in der Datenschutzerklärung definierten Datenschutzziele sowie das entwickelte Datenschutzmanagementsystem lassen erwarten, dass im Gültigkeitszeitraum des verliehenen Auditzeichens dieses Niveau gehalten oder sogar noch eine weitere Verbesserung des Datenschutzes erreicht wird.

Die Verleihung des Auditzeichens auf der Grundlage von § 43 Abs. 2 LDSG in Verbindung mit Ziff. B 9 HDSA ist gerechtfertigt.