27. Tätigkeitsbericht (2005)
6 | Systemdatenschutz
6.1 | Pflichten des Auftraggebers beim Outsourcing
Werden personenbezogene Daten nicht von der verantwortlichen Behörde selbst verarbeitet, sondern externe Dienstleister beauftragt, obliegt dem Auftraggeber eine Kontrollpflicht. Viele Behörden werden dieser Verantwortung nicht gerecht, weil sie bezüglich der Sicherheit ihrer Daten nach der Devise handeln: "Aus dem Auge, aus dem Sinn."
Die Bürgerinnen und Bürger haben einen Anspruch darauf, dass Daten, die eine Behörde über sie erhebt, grundsätzlich nur von ihr verarbeitet werden. Abweichungen von dem Grundsatz bedürfen einer Legitimation durch Zweckänderungs- und Übermittlungsvorschriften oder durch eine vertragliche Vereinbarung. Als eine weitere Ausnahme sind die datenschutzrechtlichen Regelungen über die Auftragsdatenverarbeitung (im Wirtschaftsleben wird alternativ oft der Begriff "Outsourcing" gebraucht) anzusehen. Sie gestatten es, unter bestimmten Voraussetzungen andere öffentliche oder private Stellen mit der Durchführung der Datenverarbeitung zu betrauen.
Dies ist als ein Privileg anzusehen. Bei Schaffung der Regelungen standen nicht die Interessen der Betroffenen im Vordergrund, sondern die der Daten verarbeitenden Stellen. Wie dominant der ökonomische Aspekt heute ist, zeigt eine aktuelle Studie, in der als Gründe für ein Outsourcing die folgende Rangfolge ermittelt wurde:
- Reduzierung der Kosten,
- Konzentration auf das Kerngeschäft,
- Ergänzung fehlender interner Ressourcen,
- Profitieren vom Prozess-Know-how des Dienstleisters,
- Aufrechterhaltung der Servicequalität,
- fehlendes internes Know-how,
- Steigerung der Anwenderzufriedenheit und
- Freiräume schaffen für Innovationen.
Von einem Mehrwert für die Kunden bzw. die Bürger ist in diesem Zusammenhang nicht die Rede.
In der Verwaltungspraxis begegnen uns neben den klassischen Rechenzentrumsaktivitäten die Auftragsdatenverarbeitungsverhältnisse in sehr unterschiedlichen Erscheinungsformen. Externe Dienstleister bieten sich an als:
Im Wortlaut: § 17 LDSG
Verarbeitung personenbezogener Daten im Auftrag, Wartung
(1) Lässt eine Daten verarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. ...
- Internetprovider,
- Betreiber von Verzeichnisdiensten,
- Zertifizierungsinstanzen,
- Application-Service-Provider,
- Fernwartungseinrichtungen,
- Telekommunikationsdienstleister,
- Hard- und Software-Supporter,
- Trainings- und Coachingdienstleister,
- BackUp-Einrichtungen,
- Langzeitarchive,
- Kuriertransportdienste,
- Ermittlungs- und Inkassodienste usw.
Die datenschutzrechtliche Zulässigkeit derartiger Formen der Auftragsdatenverarbeitung ist an konkrete Bedingungen geknüpft. Diese differieren leicht in den Datenschutzgesetzen des Bundes und der Länder bzw. in den bereichsspezifischen Gesetzen. Als gemeinsame Basis sind allerdings die folgenden Kriterien anzusehen:
Gewährleistung der Verantwortlichkeit des Auftraggebers
In der Fachliteratur ist häufig zu lesen, dass Unternehmen ihre gesamte Informationstechnologie outsourcen. Bei genauerer Analyse stellt man allerdings fest, dass dies nicht für die unternehmenskritischen Verarbeitungsprozesse gilt. Diese geben Unternehmen grundsätzlich nicht in fremde Hände. Bei der personenbezogenen Verarbeitung von Verwaltungsdaten käme eine Verantwortungsverlagerung einer Aufgabenübertragung gleich. Dies ist jedoch grundsätzlich nur durch ein Gesetz oder aufgrund eines Gesetzes möglich. Bei der Einschaltung externer Dienstleister muss also die auftraggebende Behörde stets Herr des Verfahrens bleiben. Das hat auch verwaltungsverfahrensrechtliche Gründe, z. B. im Hinblick auf die Zurechenbarkeit von Verwaltungsakten.
Erfüllung der Ansprüche der Betroffenen
Durch ein Outsourcing dürfen außerdem die Rechte der Betroffenen, z. B. auf Sperrung, Berichtigung, Löschung und Beauskunftung von Daten, nicht beeinträchtigt werden. Kann ein externer Dienstleister derartige Funktionen nicht bereitstellen, scheidet er aus dem Kreis der Bewerber um einen Auftrag aus. Auch einige der marktführenden Standardsoftwareprodukte, die vorzugsweise von externen Dienstleistern eingesetzt werden, sind bei weitem nicht so datenschutzkonform, wie ihre Verkäufer es uns glauben machen wollen. Wer z. B. Daten nicht wirklich löscht, sondern sie nur langzeitarchiviert, bereitet damit einer Stelle, die Daten aus Rechtsgründen löschen muss (gesetzliche Bestimmungen, Gerichtsurteile), unlösbare Probleme. Eine Stelle, die das Angebot eines externen Dienstleisters nicht vorher genau bezüglich dieser Funktionalitäten prüft, kann später in erhebliche rechtliche Probleme geraten.
Sorgfältige Auswahl des externen Dienstleisters
Externe Dienstleister wollen Gewinne machen, um Reinvestitionen tätigen bzw. den Kapitalgebern Dividenden ausschütten zu können. Da Sicherheit nicht zum Nulltarif erreicht werden kann, versucht man, auch auf diesem Gebiet nicht mehr Aufwand zu treiben, als die Kunden verlangen. Erfahrungsgemäß verlassen sich diese wiederum nur allzu gern auf Versprechungen. Deshalb ist es in der Praxis eher eine Ausnahme, dass externe Dienstleister ihre Sicherheitsmaßnahmen freiwillig offen legen. Welcher Provider beschreibt z. B. die Filtermechanismen seiner Firewall für den Kunden verständlich und verrät, was passiert, wenn ein Angriff (möglicherweise) doch erfolgreich war. Da "security by obscurity" kein tragbares Fundament für eine Auftragsdatenverarbeitung sein kann, darf es nicht zu einem Vertragsabschluss kommen, bevor der Dienstleister seinen Kunden nicht sein Sicherheitskonzept erläutert hat.
Schriftform der Aufträge
Für Dienstverträge, die eine personenbezogene Datenverarbeitung zur Grundlage haben, wird gesetzlich die Schriftform gefordert, weil es in diesem Bereich eines Höchstmaßes an Transparenz bedarf. Dieses Ziel wird faktisch von nahezu allen externen Dienstleistern konterkariert. Formal wird die Schriftform zwar eingehalten, der Inhalt der Verträge und der häufig diversen Anlagen (Leistungsbeschreibungen) sagt jedoch in der Regel wenig darüber aus, zu welchen Leistungen sich der Auftragnehmer tatsächlich im Einzelnen verpflichtet. Kaum eine datenschutzrechtliche Prüfung durch uns bleibt in diesem Bereich ohne Beanstandung. Würden die rechtlichen Anforderungen hart umgesetzt, dann dürften viele Auftragsverhältnisse nur sehr eingeschränkt fortgesetzt werden. Besonders bedenklich ist, dass der Trend in die falsche Richtung geht. In den vergangenen Jahren wurden vertragliche Vereinbarungen in der Regel detaillierter und aussagekräftiger formuliert als heute. Das gilt besonders im Bereich des E-Government und betrifft nicht nur die privaten, sondern auch die in öffentlich-rechtlicher Trägerschaft stehenden Provider.
Ergänzende Weisungen zur Datensicherheit
Ein Auftraggeber darf seine Datenbestände einem externen Dienstleister nur zur Verfügung stellen, nachdem er sich vergewissert hat, dass das dortige Sicherheitsniveau mindestens ebenso hoch ist wie das im eigenen Haus. Wer ein preiswertes Standardangebot in Anspruch nehmen will, muss sich fragen, ob seine speziellen rechtlichen Rahmenbedingungen nicht eigentlich ein höheres als das angebotene Sicherheitsniveau erfordern. Hier herrscht in der Praxis eine ebenso große Nachlässigkeit wie bei der gesamten Vertragsgestaltung. Welcher Amtsarzt hat sich z. B. Gedanken darüber gemacht, dass eine an ihn gerichtete E-Mail beim Provider nicht dem Schutz des Patientengeheimnisses unterliegt und dass er deshalb extrem kurze Löschungsfristen vereinbaren müsste? Welcher Personalchef, Steuer- oder Sozialamtsleiter weiß wirklich, wie mit dem Papierschrott in einem Druckzentrum umgegangen wird? Wer weiß, ob durch den Druck auf die Löschtaste des Telefons eine Voice-Mail tatsächlich physisch oder nicht nur logisch und damit rekonstruierbar gelöscht wird?
Genehmigung von Unterauftragsverhältnissen
Externe Dienstleister lassen sich oft Unterauftragsverhältnisse genehmigen. Mit wem sie diese einzugehen gedenken und welche Verarbeitungsprozesse weiterdelegiert werden, wird von ihnen jedoch nicht offen gelegt. In der Regel bleibt den Auftraggebern also verborgen, welche weiteren Unternehmen Kenntnis von den im Auftrag verarbeiteten Daten erhalten bzw. die Verfügungsgewalt über die Datenbestände erlangen. Es wird seitens der externen Dienstleister unterstellt, dass die Auftraggeber ihr stillschweigendes Einverständnis gegeben haben, um den Erfolg der Outsourcingmaßnahmen nicht zu gefährden (z. B. zur Einschaltung von Spezialisten bei technischen Problemen; ein klassischer Fall ist auch die Rekonstruktion von inkonsistenten Datenbanken im Hause des Softwarelieferanten). Jeder Auftraggeber sollte darauf achten, dass Unterauftragsverhältnisse zunächst einmal ausgeschlossen sind und Ausnahmen von seiner ausdrücklichen schriftlichen Genehmigung abhängen.
Kontrollen durch den Auftraggeber
Zunehmend werden nicht nur einzelne Verarbeitungsschritte, sondern die gesamte Informationsverarbeitung auf externe Dienstleister verlagert. Dazu gehört auch das "Hosting" der Rechnersysteme und deren Administration. Im Hause des Auftraggebers verbleibt oft nur die Bedienung der Arbeitsplatzrechner. Auf eigenes IT-Know-how wird aus Kostengründen bewusst verzichtet. Diese Verfahrensweise wird als Application-Service-Providing bezeichnet und ist im Bereich der Webpräsentation und in anderen rechtlich nicht besonders reglementierten Bereichen auch problemlos.
Bei der personenbezogenen Datenverarbeitung tun sich jedoch erhebliche Probleme auf. Wenn beim Auftraggeber nicht das erforderliche Wissen verfügbar ist, um die Arbeit des Auftragnehmers zu überprüfen, entsteht dort ein kontrollfreier Raum, den man im eigenen Hause nie und nimmer dulden würde und der folgender Grundregel widerspricht: "Die Daten verarbeitende Stelle hat sicherzustellen, dass die Verarbeitungsprozesse rechtskonform ablaufen." In einem gewissen Umfang ist es zwar immer möglich, die fachliche Korrektheit der Verarbeitungsergebnisse zu überprüfen (Inaugenscheinnahme der gespeicherten Daten und der ausgedruckten Verwaltungsakte). Ob aber z. B. die Zugriffsrechte der Benutzer und die Kommunikationsströme bei Netzverknüpfungen richtig konfiguriert sind, ist an den Arbeitsplätzen faktisch nicht prüfbar. Man kann zwar feststellen, dass zu wenige Rechte, nicht aber, ob zu viele Rechte erteilt worden sind.
Besonders bedenklich ist, dass in diesen Fällen eine Spirale in Gang gesetzt wird. Je weniger der Auftraggeber selbst in der Lage ist, IT-Konzepte zu entwickeln und umzusetzen, desto weniger kann er die Qualität der vom externen Dienstleister vorgeschlagenen Konzepte beurteilen. Er ist ihm bereits nach kurzer Zeit faktisch ausgeliefert. Es bleibt im Grunde nur noch, einen vertrauenswürdigen Dritten als Revisor einzuschalten. Es ist zu befürchten, dass sich dieser Trend gerade in den kleinen und mittelgroßen Organisationseinheiten der Verwaltung verstärken und zu einem zentralen Problem entwickeln wird. Das als Allheilmittel propagierte E-Government führt zu einer immer stärkeren Vernetzung lokaler Rechnersysteme und damit zu höheren Anforderungen an die Systemadministration. Diese wiederum führen zu einem verstärkten Outsourcing und damit zu einer Bevormundung der eigentlich Verantwortlichen. Datenschutzrechtlich und sicherheitstechnisch kann dies nicht akzeptiert werden.
Kontrollen durch Datenschutzinstitutionen
In den Diskussionen wird die Ideallösung oft darin gesehen, dass man unsere Kontrollkompetenzen in Anspruch nimmt. Dabei handelt es sich aber keineswegs um eine generelle Problembereinigung. Weder sind wir in der Lage, alle Outsourcingfälle im Auge zu behalten, noch können wir die Kontrollen stets zu dem Zeitpunkt durchführen, an dem eine Modifikation der Verfahrensweise noch möglich ist. Letztlich wären derartige Aktivitäten durch das ULD auch nur dann sinnvoll, wenn wir Fehlentwicklungen unterbinden und Nachlässigkeiten bei den externen Dienstleistern sanktionieren könnten.
Was ist zu tun?
Die derzeitige praktische Ausgestaltung des Outsourcing in der öffentlichen Verwaltung im Lande gibt aus datenschutzrechtlicher und sicherheitstechnischer Sicht Anlass zur Sorge. Es ist höchste Zeit, dass das Management der Verwaltung und die Dienstleister sich auf rechtlich tragfähige und zukunftsfähige Grundkonzepte besinnen. Die Aufgabe des ULD kann neben der Intensivierung seiner Kontrollen (und Beanstandungen) in diesem Bereich nur darin bestehen, dass es ausreichende Kapazitäten für die Zertifizierung von Produkten und Dienstleistungen (Datenschutz-Gütesiegel) und die Auditierung von Verarbeitungsprozessen (Behördenaudit) bereithält. Das ist geschehen.
6.2 | Hat dataport eine Sonderstellung?
Dadurch, dass die Länder Hamburg und Schleswig-Holstein als Träger von dataport deren Geschäftspolitik beeinflussen können, erlangt diese Anstalt keinen datenschutzrechtlichen Sonderstatus gegenüber anderen IT-Dienstleistern. Wer ihr Aufträge erteilt, muss prüfen, ob sie korrekt ausgeführt worden sind. Das liegt auch im Interesse von dataport.
Als vor über 30 Jahren die Datenzentrale durch die Landesregierung gegründet wurde, definierte man deren Aufgaben wie folgt: "Die Datenzentrale soll die Erledigung von Aufgaben der öffentlichen Verwaltung im Lande Schleswig-Holstein durch elektronische Datenverarbeitung ermöglichen. Die Geschäfte sind ... nach kaufmännischen Gesichtspunkten zu führen." In gemeinsamen Geschäftsanweisungen wurde festgelegt, dass die Kapazität der Datenzentrale möglichst wirtschaftlich eingesetzt und ausgenutzt werden sollte. Die Kontrollpflichten wurden den Fachverwaltungen und dem Organisationsreferat des Innenministeriums auferlegt.
Bei der Verabschiedung des ersten Datenschutzgesetzes im Land (LDSG) gab es keine Diskussionen darüber, dass die Aktivitäten der Datenzentrale in datenschutzrechtlichem Sinne als "normale" Auftragsdatenverarbeitung zu betrachten waren. Es wurde nur Wert darauf gelegt, dass sie aufgrund ihrer Rechtsform als Anstalt öffentlichen Rechts und ihrer Reputation grundsätzlich als "sorgfältig ausgewählt" galt. Diesen Status teilte sie sich mit einer Anzahl anderer öffentlicher Rechenzentren (von Stadtwerken, Sparkassen, Verkehrsbetrieben usw.), die (auch) für andere Behörden tätig waren.
Die Klassifikation von dataport als "externer Dienstleister" war bis zum September 2004 gemeinsame Auffassung aller Beteiligten. In seiner Stellungnahme zu unserem 26. TB (Umdruck 15/4945) stellte jedoch der Innenminister im Einvernehmen mit dem Finanzminister überraschenderweise fest, dass eine entsprechende Formulierung unter Tz. 6.5 "nicht zutreffend" sei. Der Gesetzgeber habe entschieden, die IT-Unterstützung der Landesverwaltung, insbesondere wegen der hoheitlichen Aufgaben, öffentlich-rechtlich zu organisieren, sie aus wirtschaftlichen Gründen an einer Stelle zu konzentrieren und einer uneinheitlichen IT-Infrastruktur entgegenzuwirken. Daher sei dataport eine "interne" IT-Dienstleisterin des Landes Schleswig-Holstein.
Im Wortlaut: § 17 Abs. 2 LDSG Die Daten verarbeitende Stelle hat dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. ... |
Ungeachtet der Tatsache, dass die Aussage nicht uneingeschränkt zutrifft – vgl. z. B. die Inanspruchnahme der Firma Telekom für die Administration der Telekommunikationsrechner, die Beauftragung des Freistaates Bayern mit der Verarbeitung der InVeKos-Daten und den Aufbau der Clearingstellen in Bayern und Nordrhein-Westfalen für die Verarbeitung von Elster-Daten –, könnte man diesen Unterschied als semantische Petitesse abtun, wenn damit nicht Konsequenzen verbunden wären. In einer Innen- und Rechtsausschusssitzung im September 2004 wurde vom Innenministerium des Landes zugestanden, dass auf die Dienstleistungen von dataport die datenschutzrechtlichen Vorschriften der Auftragsdatenverarbeitung anzuwenden sind. Eine Veranlassung, dataport besonders zu kontrollieren, sehe das Innenministerium jedoch nicht. Insgesamt dürfe man die Verantwortung der Verwaltung nicht überziehen. Es sei nicht sinnvoll, die ganze Kraft auf eine Innenkontrolle zu legen. Man könne dataport nicht mit einer normalen Firma wie z. B. IBM gleichsetzen, denn dataport sei eine Anstalt öffentlichen Rechts. Folgt man dieser Argumentation, stellt sich die Frage, in welchem Maße die Kontrollintensität bei einer Beauftragung von dataport im Vergleich zu einem entsprechenden Auftragsverhältnis mit der Firma IBM reduziert werden könnte. Für beide Fälle gilt jedoch die nebenstehende gesetzliche Regelung.
Dataport selbst beansprucht für sich keine Sonderstellung, wie sich aus einer jüngst neu aufgelegten Kundeninformation ergibt. Dort wird ausdrücklich hervorgehoben, dass jeder Auftraggeber das Recht habe, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen durch dataport im erforderlichen Umfang zu kontrollieren. Dataport erteile dem Kunden jederzeit Auskünfte zu seinen den Vertrag betreffenden Fragen und gewähre auf Anforderung Einblick in die während der Verarbeitung erzeugten Unterlagen sowie in die Dokumentation der Verfahren und Systeme.
Diese (selbstverständliche) Offenheit lässt die Diskussion mit der Landesregierung obsolet erscheinen, wäre da nicht die Erfahrung aus anderen Verwaltungsbereichen, dass sich Auftraggeber nur zu leicht und zu gern ihrer Kontrollpflichten entziehen (Tz. 6.1). Aus dem Umstand, dass dataport vergaberechtlich als integraler Bestandteil der Landesverwaltung angesehen wird (mit der Folge, dass eine Beauftragung ohne Ausschreibung zulässig ist), kann nicht geschlossen werden, dass auftraggebende Behörden sich nicht von der Einhaltung vereinbarter Sicherheitsstandards überzeugen müssen. Ein solches Verständnis von "interner Dienstleistung" wäre unzulässig. Alle Landes- und Kommunalbehörden haben in Abhängigkeit davon, wie sicherheitskritisch die Verarbeitungsprozesse sind, die "erforderlichen und angemessenen" Maßnahmen zu ergreifen, um insbesondere die Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten. Dies hat auch bei dataport im Wege der Prävention (Vereinbarung von Sicherheitskonzepten) und der Revision (Kontrollen) zu geschehen, unabhängig von den sonstigen Einflussmöglichkeiten auf die Art der Durchführung der Dienstleistungen durch die Träger und Organe der Anstalt.
Was ist zu tun?
Die öffentlichen Auftraggeber von dataport sollten ihre rechtliche Bewertung und ihre Praxis bei der Kontrolle des Auftragnehmers überdenken. Dataport sollte im eigenen Interesse dafür sorgen, dass den Kunden ihre Kontrollobliegenheiten so weit wie möglich erleichtert werden. Dies würde sicher von allen als vertrauensbildende Maßnahme begrüßt.
6.3 | Die neuen IT-Richtlinien des Landes
Das Land tut sich schwer, die neuen Zuständigkeitsregelungen für die IT-Basisinfrastruktur in die Praxis umzusetzen. Wegen fehlender Schnittstellendefinitionen besteht in Teilbereichen nach wie vor eine unklare Sicherheitslage.
Nachdem im Jahr 2003 der grundlegende Umbau der IT-Organisation des Landes durch die Zuständigkeitskonzentration beim Finanzminister in Gang gesetzt worden ist (26. TB, Tz. 6.5), bestand im vergangenen Jahr der dringende Bedarf, die neuen Schnittstellen zwischen den IT-Aufgaben der einzelnen Ministerien und den ressortübergreifenden Aufgaben des Finanzministeriums neu zu definieren. Wie schwierig dieser Prozess ist, zeigen folgende Merkmale:
- Es brauchte ca. 18 Monate, um einen Text zu formulieren, der nur knapp vier Seiten umfasst.
- Der Finanzminister betitelt das Papier nicht wie in vergleichbaren Fällen üblich als "Erlass", sondern nur als "Richtlinie".
- Nicht alle Regelungen sind abschließend, einige bedürfen der Ergänzung durch so genannte "IT-Ausführungsbestimmungen".
- Für das Justizministerium gilt eine Sonderregelung.
Das Ganze ist vor dem Hintergrund zu sehen, dass einerseits sehr wichtige Grundsatzfragen der künftigen IT-Konzeption des Landes der Entscheidung harren (E-Government innerhalb der Landesverwaltung, Einbindung der Kommunen in die IT-Infrastruktur des Landes, Kooperation mit anderen Bundesländern, Aufbau bundesweiter Netzwerke, Outsourcing von IT-Verarbeitungsprozessen), andererseits bezüglich der konkreten Verantwortlichkeiten nach wie vor ein Regelungsvakuum besteht.
Die Tragweite der Sonderregelung für die Justiz ist nicht zu unterschätzen. Der zugrunde liegende Organisationserlass der Landesregierung legt das ressortübergreifende strategische und operative IT-Management sowie die Zuständigkeit für die zentralen Komponenten und Services der IT-Infrastruktur der Landesverwaltung ohne Einschränkungen in die Verantwortung des Finanzministeriums. Trotzdem finden die IT-Richtlinien in der Justizverwaltung keine Anwendung, "soweit durch sie die richterliche Unabhängigkeit beeinträchtigt wird". Außerdem hat das Justizministerium als einziges Ressort das Recht, über "Ausnahmen im Bereich der Gerichte und Staatsanwaltschaften" eigenständig zu entscheiden. Über die infrage kommenden bzw. betroffenen Sachverhalte schweigen sich die offiziellen Erläuterungen des Finanzministeriums zu den Richtlinien aus.
Betrachtet man die Richtlinien genauer, fallen folgende Eckpunkte für das zentrale IT-Management mit Datenschutzrelevanz ins Auge, von denen es keine Ausnahmen für einzelne Ressorts geben darf, soll nicht das Gesamtkonzept ins Wanken geraten:
- Das beim Finanzministerium angesiedelte zentrale IT-Management definiert die IT-Basisinfrastruktur und schreibt sie fort.
- Es beauftragt Dienstleister mit dem Betrieb dieser Infrastruktur.
- Es regelt dessen Nutzung und überwacht den ordnungsgemäßen Betrieb.
- Die Entwicklung und Umsetzung der jeweiligen IT-Ressortstrategie erfolgen unter Berücksichtigung der IT-Gesamtstrategie.
- Die IT-Kommission beschließt (nur noch) in Form von Empfehlungen.
Eine derartige (noch zu konkretisierende) Verantwortungsabgrenzung zwischen den Ressorts, der IT-Kommission und den externen Dienstleistern wurde von uns seit Jahren gefordert (vgl. erstmalig die Kritik am CAMPUS-Netz im Jahr 1997, 20. TB, Tz. 6.7.6). Sie ist der Schlüssel für das lange überfällige grundlegende Sicherheitskonzept des Landes. Wenn nicht einmal die IT-Basisinfrastruktur auf ein solides und einheitliches Sicherheitsfundament gestellt wird, können die darauf aufbauenden ressortspezifischen Anwendungen kaum ein adäquates Sicherheitsniveau erreichen. Deshalb sollte eine der ersten Ausführungsbestimmungen das Sicherheitskonzept des zentralen IT-Managements zum Gegenstand haben. "Öffnungsklauseln" in Sachen Sicherheit für einzelne Ressorts verbieten sich von selbst bzw. sind als Ultima Ratio zu behandeln.
Was ist zu tun?
Der Finanzminister sollte kurzfristig ein umfassendes Sicherheitskonzept für sämtliche Komponenten der IT-Basisinfrastruktur erarbeiten und die Beachtung durch alle Daten verarbeitenden Stellen des Landes durchsetzen. Eine Auditierung durch das ULD kann dazu beitragen, Gründe für "Sonderwege" einzelner Ressorts weitestgehend auszuschließen.
6.4 | Auswirkungen der E-Government- Vereinbarung auf die Kommunen
Vorübergehend hatte es den Anschein, das Land wolle die Kreise verpflichten, über Kreisnetze bestimmte Dienstleistungen für die kreisangehörigen Kommunen zu erbringen. Fehlinterpretationen der E-Government-Vereinbarung und Kommunikationsprobleme zwischen dem Land und den Kommunen waren die Ursache. Inzwischen ist unstrittig, dass die Vereinbarung keine Kommune zu etwas zwingt, was sie meint nicht verantworten zu können.
Manchmal ist es sogar im Zusammenhang mit Fragen der IT-Infrastruktur und der Verantwortlichkeit für IT-Sicherheit erforderlich, sich auf die verfassungsrechtlichen Grundzüge des Aufbaus unseres Landes zu besinnen. Was zunächst etwas weit hergeholt erscheint, war im vergangenen Jahr ein wesentlicher Aspekt bei der Diskussion über die E-Government-Vereinbarung, die das Land, vertreten durch den Finanzminister, im Jahr 2003 mit den kommunalen Landesverbänden geschlossen hat (26. TB, Tz. 6.6). In dieser Vereinbarung bekundet das Land seine Absicht, im Einzelnen bezeichnete IT-Maßnahmen der "kommunalen Familie" zu fördern, sofern diese mit den Standardisierungsbemühungen und den E-Government-Zielen des Landes konform gehen.
Derartige Konzepte sind unter Datenschutz- und Sicherheitsaspekten grundsätzlich zu begrüßen, weil sich aufgrund der einheitlicheren Strukturen in der Regel Lösungen mit weniger Schnittstellenproblemen ergeben. Allerdings findet der Nutzen der Vereinheitlichung dort seine Grenzen, wo über die Köpfe der Verantwortlichen hinweg entschieden wird. Diese Gefahr hat für einige Teilbereiche der E-Government-Vereinbarung durchaus bestanden, konnte aber zwischenzeitlich – nicht zuletzt durch unsere Intervention und Beratung – behoben werden.
Die Landesregierung und die kommunalen Landesverbände sehen in der Vereinbarung nämlich u. a. folgende Infrastrukturmaßnahmen als dringlich an und wollen die dazu erforderliche Basisinfrastruktur gemeinsam aufbauen:
- landesweit standardisierte Kreisnetze als integraler Bestandteil des landesweiten Datennetzes,
- ein landesweit wirksamer Verzeichnisdienst,
- eine landesweit einheitliche PKI mit digitaler Signatur und Ver- und Entschlüsselungsfunktionen und
- eine zentrale Datendrehscheibe für die Steuerung der Datenströme.
Hierzu wurde eine Lenkungsgruppe, eine Geschäftsstelle und eine Projektorganisation eingerichtet. Zudem erhalten die Kreise in ihrer Eigenschaft als untere Landesbehörden "zwangsweise" einen Anschluss an das Landesnetz. Zunächst bestand für sie aber noch kein Zwang, ihn zu nutzen bzw. auf ihren IT-Systemen Applikationen des Landes zu installieren und zum Ablauf zu bringen.
Im Wortlaut: § 6 Abs. 1 Landesmeldeverordnung (LMV) Die Datenübermittlungen zwischen Meldebehörden erfolgen durch Datenübertragung über geschlossene Kommunikationsnetze. ... |
Zu Verwirrungen führten dann jedoch die Konsequenzen aus den Regelungen im Landesmeldegesetz und der Landesmeldeverordnung, nach denen der Datenaustausch zwischen Meldebehörden spätestens ab 2007 über "geschlossene Kommunikationsnetze" zu erfolgen hat.
Hieraus schloss man, es dürfe nur das Landesnetz genutzt werden; um dies den ca. 220 Meldebehörden zu ermöglichen, bedürfte es eines Anschlusses entsprechend der E-Government-Vereinbarung in allen Kreisen und Kreisnetzen. Die Kreise seien mithin zur Erbringung dieser Dienstleistung gegenüber den ihnen angehörenden Gemeinden, Ämtern und Städten verpflichtet. Es schwirrten schon Begriffe wie "virtuelle" und "dedizierte" Kreisnetze im Raum. Wir wurden mit Fragen besorgter Systemadministratoren überhäuft, worin denn der Unterschied bestehe und nach welchen Sicherheitskonzepten der Anschluss der lokalen Netzwerke zu erfolgen habe. Offensichtlich wegen einer nicht sehr glücklichen Aufklärungsarbeit der beteiligten Stellen (Innenministerium, Finanzministerium, dataport und kommunale Landesverbände) sind zwei unterschiedliche Sachverhalte miteinander vermischt worden:
Richtig ist, dass die Meldebehörden gemäß der Meldeverordnung der Landesregierung über eine technische Verknüpfungsstelle zu kommunizieren haben. Zu diesem Zweck müssen alle Meldebehörden dataport mit dem Transport ihrer Meldedaten beauftragen. Es handelt sich also um den seltenen Fall, dass dem Bürgermeister die Installation und der Betrieb bestimmter IT-Komponenten und die Inanspruchnahme eines bestimmten externen Dienstleisters vorgeschrieben wird (Tz. 6.2). Mit der Frage, ob dies auf dem Verordnungswege möglich ist, mögen sich Kommunalverfassungsrechtler befassen; sicherheitstechnisch bedarf es jedenfalls eines transparenten Sicherheitskonzeptes für die Verknüpfungsstelle (Tz. 6.3).
Unrichtig ist dagegen, dass die E-Government-Vereinbarung die Kreise verpflichtet, Kreisnetze aufzubauen,zu dem Zweck, die Meldedaten zu "kanalisieren", an die Verknüpfungsstelle weiterzuleiten und in umgekehrter Richtung als Verteiler zu agieren. Sie sind eben keine Meldebehörden und bezüglich ihres Serviceangebotes gegenüber ihren kreisangehörigen Kommunen entscheidungsfrei. Daran ändert auch die Tatsache nichts, dass der Landkreistag der Vereinbarung zugestimmt hat.
Dies ist nunmehr durch eine De-facto-Änderung der E-Government-Vereinbarung klargestellt worden. Der Finanzminister als Betreiber des Landesnetzes bietet nur noch "kommunale Landesnetzanschlüsse" an. Das gilt für jede einzelne Kommune, gleich welchen kommunalverfassungsrechtlichen Status sie hat und wie groß ihre Verwaltung ist. Hierüber schließt er mit ihr einen Vertrag. Kreisnetze werden aus der Sicht des Landesnetzes wie lokale Netzwerke des betreffenden Kreises behandelt. Die Beziehungen zwischen Kreis und Kommune basieren auf gesonderten (individuellen) Vereinbarungen; das Land ist daran nicht beteiligt. Für die Freischaltung der Kommunikationsbeziehungen in den Routern und deren sonstige Administration sind von den direkt angeschlossenen Kommunen bzw. den Kreisen spezielle Verträge mit dataport zu schließen, da der Finanzminister ihr durch einen Betreibervertrag die alleinige Administrationsbefugnis übertragen hat.
Diese intensiv ausdiskutierte Lösung zeichnet sich dadurch aus, dass die kommunalen Entscheidungsspielräume nur insoweit eingeschränkt werden, wie das Melderecht es vorsieht. Außerdem ergibt sich eine aus sicherheitstechnischen Gründen unabdingbare Möglichkeit der klaren Trennung der Verantwortungsbereiche der einzelnen Daten verarbeitenden Stellen. Die E-Government-Vereinbarung behält ihren ursprünglichen Status: Sie ist eine wichtige Absichtserklärung des Landes für die Zusammenarbeit mit den Kommunen auf dem Gebiet der Informationstechnik, sie hat aber für die einzelne Kommune keine verpflichtende Wirkung.
Was ist zu tun?
Bei der weiteren Projektplanung zur IT-Synchronisation zwischen dem Land und der "kommunalen Familie" sollten durch mehr Transparenz und frühzeitigere Beteiligung der letztendlich verantwortlichen Stellen Fehlinterpretationen vermieden werden. Die aktuellen Projekte "Verknüpfungsstelle", "PKI" und "Verzeichnisdienste" bieten hierzu gute Gelegenheiten.
6.5 | PKI, virtuelle Poststellen, Clearingstellen und sonstige Geheimnisse
"E-Government" verliert zunehmend die Aura des Besonderen. In den Vordergrund treten konkrete Fragestellungen zu den einzelnen Projekten. Diese befriedigend zu beantworten ist die Aufgabe der für den Echtbetrieb des E-Government Verantwortlichen. Geheimnisse darf es auf diesem Gebiet bald nicht mehr geben.
Die Anzahl und die Ausführlichkeit der Abhandlungen über die Segnungen des E-Government, die in den letzten fünf bis sechs Jahren verfasst worden sind, lassen viele andere Themen aus dem Bereich der Informationstechnik nebensächlich erscheinen. Trotzdem geht es im Augenblick mit der Sache nach anfänglicher Euphorie nicht so recht voran. Zitat eines Teilnehmers an einer der vielen E-Government-Kick-off-Veranstaltungen (an den Referenten gerichtet): "Ich danke Ihnen für die erneute anschauliche Darstellung von Zielvorstellungen, über die wir uns bereits vor einem Jahr unterhalten haben."
Die Ursache für die zurückgehende Dynamik ist darin zu sehen, dass die Visionen von den Realitäten eingeholt werden. Sehr plastisch wird dies, wenn man sich die neueren Publikationen der Landesregierung zu dem Thema E-Government anschaut. Nach wie vor findet man die abstrakte Darstellung der "E-Government-Plattform" als Wolke oder umfassendes Oval. Sie ist aber nur noch die gemeinsame Überschrift über die immer größer werdende Zahl der realen Applikationen, Dienstleistungen, Standards, Basisinfrastrukturen usw., die die bisher weitgehend leere Hülle ausfüllen.
Im Augenblick stehen folgende Begriffe im Raum:
|
|
Die Aufzählung ist sicher nicht vollständig. Es dürfte nur wenige IT-Spezialisten und noch weniger Verwaltungsfachleute im Lande geben, die alle Bezeichnungen richtig interpretieren und die praktischen Auswirkungen beurteilen können. Für viele sind die meisten Begriffe noch geheimnisvoll. Auch uns fällt der Überblick zunehmend schwerer. Dieser ist jedoch unabdingbar, denn hinter jedem Begriff verbirgt sich ein konkretes automatisiertes Verfahren, das unter Berücksichtigung der datenschutzrechtlichen und sicherheitstechnischen Rahmenbedingungen zu gestalten ist. Da es auf diesem Gebiet bisher nur vereinzelt verbindliche Verfahrensbeschreibungen und Sicherheitskonzepte gibt, sind wir auf "Dinge vom Hörensagen" und auf die Interpretation von Ideenskizzen angewiesen. Dabei tun sich weit mehr Fragen auf, als wir Antworten finden.
Das beginnt z. B. mit der Festlegung, welche der vorgenannten Komplexe als Bestandteile der IT-Basisinfrastruktur anzusehen sind und damit der Verantwortung des zentralen IT-Management beim Finanzminister unterliegen. Einige Teile werden sicher als Produkt bzw. Dienstleistung durch dataport vermarktet werden. Beim Internetgateway ist das bereits heute der Fall mit der Folge, dass jeder Nutzer hierüber vertragliche Vereinbarungen direkt mit dataport zu schließen hat. Wer die virtuelle Poststelle repräsentiert und wann und durch welchen technischen Vorgang in dieser Stelle der rechtliche Übergang, also die Datenübermittlung vom Absender an den Empfänger erfolgt, ist offensichtlich noch nicht geklärt. Das Gleiche gilt für die Clearingstelle (Datendrehscheibe). Seitens des Melderechts gibt es zwar einige Vorgaben, über die Art ihrer Umsetzung und die Handhabung anderer Datenströme liegen jedoch noch keine Aussagen vor.
Von großer rechtlicher und sicherheitstechnischer Tragweite ist auch die Ausgestaltung der PKI (private key infrastructure). Im Teilbereich Verschlüsselung muss gewährleistet werden, dass keine Datenbestände entstehen, die die verantwortliche Behörde nicht selbst entschlüsseln kann. Bei der elektronischen Unterschrift lautet dagegen die Gretchenfrage: "Liegt der private Schlüssel unauslesbar in der Chipkarte des Benutzers oder als Datei im System desjenigen, dem gegenüber er rechtsverbindlich wirksam werden soll?"
In allen Fällen, in denen die örtlichen oder fachlichen Zuständigkeiten von Behörden durch (noch so sinnvolle) Integrationsmaßnahmen geändert werden sollen, bedarf es rechtlich einwandfreier Rahmenbedingungen (Auftragsdatenverarbeitungen, Aufgabenübertragungen, gesetzliche Experimentierklauseln u. Ä.), da andernfalls "verantwortungsfreie" Räume entstehen könnten. Das gilt insbesondere für das Management zentralisierter Datenbestände in Verzeichnisdiensten, Zahlungsplattformen, Zertifizierungsinstanzen, Workflow-Systemen usw. Dabei sollte ein besonderes sicherheitstechnisches Augenmerk auf diejenigen E-Government-Prozesse gerichtet werden, in die die Bürger eingebunden sind (Mailverkehr, Verwaltungsportal, Formularserver, Zahlungsplattform, Online-Fachanwendungen wie z. B. die Online-Melderegister und -Handelsregister sowie die Sachstandsauskünfte). In diesen Fällen tragen die Behörden, ähnlich wie die Geldinstitute beim Online-Banking, eine Mitverantwortung dafür, dass auch durch eine (etwas) fehlerhafte Nutzung der Dienste keine wesentlichen Risiken für die IT-Systeme der Nutzer entstehen.
Alles in allem dürfte es dringend an der Zeit sein, eine Prioritätenliste für die Verfahren zu erstellen und entsprechend dieser Reihenfolge "belastbare" IT-Konzepte und Sicherheitsvorgaben zu erarbeiten. Fatal wäre es, wenn durch Koordinationsdefizite an einer Stelle technische Fakten geschaffen würden, die an anderer Stelle zu schwer handhabbaren Sicherheitsproblemen führen. Insoweit besteht insbesondere im Bereich der Verzeichnisdienste und der Administration von Schnittstellenkomponenten Anlass zur Sorge.
Was ist zu tun?
Die Vielzahl der Absichtserklärungen und Planungen unter dem gemeinsamen Signum "E-Government" sollten kurzfristig priorisiert und auf die Ebene konkreter IT-Projekte gehoben werden. Die offenen Fragen zur Rechtmäßigkeit, zu Zuständigkeiten und zur Sicherheit sind umso besser zu lösen, je frühzeitiger sie formuliert und diskutiert werden.
6.6 | Kontrollen vor Ort – ausgewählte Ergebnisse
6.6.1 | Krankenhausinformationssystem Itzehoe
Obwohl die Sicherheitsdefizite im Krankenhaus Itzehoe von uns öffentlich kritisiert worden sind, konnten wir bislang keine entscheidenden Verbesserungen feststellen. Erst hat das Krankenhaus gegen die Veröffentlichung protestiert, jetzt schweigt es.
Bei der Vorstellung unseres Tätigkeitsberichtes für das Jahr 2003 (26. TB, Tz. 6.7.1) hatten wir das Zweckverbandskrankenhaus Itzehoe in Bezug auf dessen Patientendatenverarbeitung im Krankenhausinformationssystem als ein besonders problematisches Beispiel für die schleppende Behebung von sicherheitstechnischen Mängeln bezeichnet. Dies führte dort zu einer gehörigen Entrüstung und zu Widersprüchen in der örtlichen Presse.
Anfang 2004, also zwei Jahre nach Feststellung der Mängel, wurde noch nicht über deren tatsächliche Behebung, sondern nur über die Absicht, dies zu tun, gesprochen. Man habe jemanden beauftragt, einen Plan zu entwickeln. Es mag sein, dass dies in der Vergangenheit geschehen ist. Vielleicht sind auch einzelne Maßnahmen ergriffen worden. Uns ist darüber jedoch bis zum Redaktionsschluss dieses Berichtes nichts bekannt geworden. Da offensichtlich auch der Appell an die Repräsentanten des Zweckverbandes als dem Träger des Krankenhauses nichts Entscheidendes bewirkt hat, haben wir uns entschieden, das Krankenhaus in die Liste derjenigen Stellen aufzunehmen, bei denen eine Nachprüfung unumgänglich ist. Dies wird geschehen, sobald hierfür die personellen Kapazitäten zur Verfügung stehen.
Was ist zu tun?
Falls das Krankenhaus zwischenzeitlich konkrete Verbesserungen in Bezug auf die Sicherheit der Patientendatenverarbeitung vorgenommen hat, sollten uns diese zum Zweck der Begutachtung bekannt gegeben werden.
6.6.2 | Klein, aber oho!
Es kommt nicht auf die Größe einer Verwaltung an, wenn es um die Realisierung guter Sicherheitskonzepte geht. Eine kleine Amtsverwaltung wurde "Testsieger" mit der Note "sehr gut".
In den vergangenen Jahren gab es immer wieder Prüfungen, bei denen wir keinen Grund zu Beanstandungen gefunden haben bzw. bei denen die vorgefundenen Mängel von so geringer Bedeutung waren, dass uns das Wort "Beanstandung" überzogen erschien. Aber auch in diesen Fällen haben wir einen Katalog von Vorschlägen zur Verbesserung der Datensicherheit hinterlassen und im Einzelnen mit der Behördenleitung und den Systemadministratoren erörtert.
Im abgelaufenen Berichtszeitraum haben wir erstmalig den Fall gehabt, dass uns keine schriftlich zu formulierenden Verbesserungsvorschläge eingefallen sind. Beim Amt Hanerau-Hademarschen handelt es sich um eine kleine Amtsverwaltung mit weniger als 20 IT-Arbeitsplätzen. Im Gegensatz zu der langläufigen Meinung, dass derartige Organisationseinheiten ihre IT-Systeme nicht effektiv und sicher managen könnten, fanden wir hier ein Konzept vor, das den Vergleich mit vielen großen Netzwerken standhält.
Worin liegt das Geheimnis der Lösung? Man hat nur solche Dinge in die Praxis umgesetzt, die tatsächlich erforderlich und durch die Mitarbeiter beherrschbar sind. Wenn also z. B. die Nutzung des Internets mit erheblichen Sicherheitsrisiken verbunden ist, warum muss man dann eine Verknüpfung mit dem gesamten lokalen Netz vornehmen? Ein Einzelplatzrechner als Internetstation reicht aus. Eingehende E-Mails werden ausgedruckt, mit einem Eingangsstempel versehen und wie ein normaler Posteingang behandelt. Von ausgehenden E-Mails braucht man ohnehin eine Kopie in den Akten. Wenn man sich beim Surfen oder beim Mailen trotz aller Vorsicht einen Virus oder ein anderes bösartiges Programm einfängt, wird der Internetrechner neu aufgesetzt, fertig! Die Fernwartung wird selbstverständlich nur im Bedarfsfall freigeschaltet; die Arbeiten des externen Dienstleisters werden überwacht. Der leitende Verwaltungsbeamte hat zu Kontrollzwecken Zugriffsrechte auf alle Verzeichnisse. Der Systemadministrator und sein Vertreter haben getrennte Benutzerkennungen für ihre Aktivitäten als Administratoren und als normale Sachbearbeiter. Die Passwortregelungen sind plausibel, und das Gesamtsystem ist so dokumentiert, dass man sich auch darin zurechtfindet, wenn die Administratoren einmal nicht zur Verfügung stehen sollten. Kennzeichnend für die Einstellung der betreffenden Verwaltung war die Aussage: "Mehr brauchen wir nicht, warum sollen wir mehr machen?"
Was ist zu tun?
Die Amtsverwaltung Hanerau-Hademarschen sollte ihr gutes Konzept weiterverfolgen. Es ist zu hoffen, dass sie nicht durch Einflüsse von außen (z. B. Online-Kommunikationspflichten) zu Lösungen gezwungen wird, die das erreichte Sicherheitsniveau absenken.
6.6.3 | Kreisnetz – klare Verhältnisse zwischen Kreis und Amtsverwaltung
Kein Kreis ist gezwungen, den ihm angeschlossenen Kommunen Netzdienstleistungen anzubieten. Tut er dies gleichwohl, müssen die Regelungen zur Auftragsdatenverarbeitung und zur Datensicherheit beachtet werden. Dies ist im Kreis Plön geschehen.
Parallel zu den vielfältigen Erörterungen über die Ausgestaltung von Kreisnetzen und der interkommunalen Zusammenarbeit auf der Basis von IT-Netzwerken (Tzn. 6.1 und 6.4) haben einige Kreise und Gemeinden bereits Fakten geschaffen. Sie haben Vereinbarungen über Kreisnetze getroffen und befinden sich im Produktionsbetrieb.
Auf einen solchen Kreisnetzanschluss sind wir bei einer sehr kleinen Amtsverwaltung gestoßen und deshalb insbesondere den Fragen nachgegangen: Bleibt das Amt noch Herr des Geschehens, oder ist es dem Kreis "ausgeliefert"? Lässt sich aus der Perspektive des Amtes nachvollziehen, was der Kreis tut, oder ist das Kreisnetz eine "Blackbox"?
Im Hinblick auf die Klarheit der Ausgestaltung des Auftragsverhältnisses und das erreichte Sicherheitsniveau aufseiten des Amtes und des Kreises Plön waren wir angenehm überrascht, dies umso mehr, als in dem netzunabhängigen Teil der IT-gestützten Datenverarbeitung des Amtes die üblichen Schwachstellen zu verzeichnen waren. Als positive Eckpunkte des Kreisnetzanschlusses sind hervorzuheben:
- In dem auf einem schriftlichen Betreibervertrag basierenden Sicherheits- und Betreiberkonzept ist festgelegt, dass der Datentransport über sternförmige dedizierte Kommunikationsleitungen (DSL-Leitungen) erfolgt. Die Daten werden auf dem Transportweg verschlüsselt.
- Die Fachanwendungen werden auf der Basis eines Terminalserversystems betrieben. Sie werden aufgrund spezifischer Nutzungsvereinbarungen beim Kreis "gehostet".
- Die Kommunikation erfolgt stets über eine Service-Area beim Kreis. Direkte Verbindungen zwischen den Teilnehmern am Kreisnetz bestehen nicht.
- Es sind mehrere logische Netze definiert, die jeweils in eigenen Sicherheitsbereichen (DMZ) betrieben werden (z. B. Extranet-KoKoNet, Extranet-Landesnetz, Internet-Area).
- Die einzelnen Kommunen werden in einem Active Directory als Organisationseinheiten (OE) abgebildet. Der Administrator der jeweiligen Kommune behält die Befugnis, die Benutzerkonten der Mitarbeiter zu verwalten.
- Der Internetserver für E-Mail und WWW wird von der Kreisverwaltung betrieben. Die E-Mail- und WWW-Nutzung darf nur zu dienstlichen Zwecken erfolgen. Jeder Benutzer erhält eine Kreisnetz-E-Mail-Adresse. Darüber hinaus erhält jede Kommune eine "funktionale", nicht personenbezogene E-Mail-Adresse.
- Zwischen der Kommune und der Service-Area des Kreises werden eine Firewall und ein Virenscanner eingesetzt. Der ein- und ausgehende E-Mail-Verkehr sowie der Aufruf von Webseiten wird für Kontrollzwecke protokolliert. Die Protokolle werden auf Anfrage der Kommunen den Verantwortlichen zur Verfügung gestellt. Die Löschung erfolgt nach sechs Monaten.
- Es erfolgt eine Content-Filterung der E-Mail-Dateianhänge. Anhänge mit bestimmten Dateiendungen werden geblockt.
- Downloads werden auf dem Internet-Proxy-Server in der Service-Area abgelegt. Auf lokalen Rechnern der Kommunen können keine Downloads abgelegt werden. Der Zugriff auf die Webseiten wird gefiltert. ActiveX-Controls, Java und Flash sind deaktiviert.
Das Konzept des Kreisnetzes stellt sich für die Kommune als zweckmäßig und überschaubar dar. Die organisatorischen Regelungen sind systematisch gegliedert und geben ihr einen ausreichenden Überblick über den Aufbau des Kreisnetzes und die darüber zur Verfügung gestellten Services. Die Zuständigkeiten der Kreisverwaltung und die der Kommune sind klar abgegrenzt. Für die Nutzung der Fachverfahren und der Internetdienste hat die Kreisverwaltung für die Kommunen einheitliche Regeln hoher Sicherheit festgelegt, die hinreichend durch Firewall-Systeme und Sicherheitssoftware umgesetzt wurden. Durch den Einsatz der Terminalservertechnologie in Verbindung mit einer Spezialsoftware lassen sich die Zugriffsbefugnisse der Kommunen auf die Services zentral administrieren.
Was ist zu tun?
Es ist an der Zeit, dass die Kreise, die ihren Kommunen Kreisnetzdienstleistungen anbieten, das jeweils erreichte Sicherheitsniveau und die Vertragsgestaltung untereinander abgleichen und soweit erforderlich optimieren.
6.7 | Datenschutzmanagement erfolgreich automatisieren
Unternehmen und Behörden verlagern immer mehr Informationen in interne Netze. Dabei entstehen umfangreiche, unterschiedlich strukturierte Datenbestände mit einer Fülle von Zugriffsberechtigungen für Mitarbeiter, aber auch Externe. Solche Netze sind bisher für Unternehmen, Behörden und deren Datenschutzbeauftragte nur mit beträchtlichem personellen Einsatz und hohem technischen Fachwissen datenschutzrechtlich unter Kontrolle zu halten.
Eine effektive Lösung für die Einhaltung des Datenschutzes in solchen Umgebungen zu akzeptablen Kosten soll ein automatisiertes Datenschutzmanagement auf Netzebene bieten. Zu diesem Zweck werden vom World Wide Web Consortium (W3C), großen Softwareunternehmen und Forschungseinrichtungen technische Plattformen entwickelt, mit deren Hilfe notwendige Kontextinformationen zu personenbezogenen Daten so im Netz verfügbar gemacht werden, dass vor datenschutzrechtlich relevanten Vorgängen eine automatisierte Prüfung der Zulässigkeit des Vorgangs stattfinden kann.
So kann ein Autohändler gemäß einer unternehmensweiten Datenschutzpolicy freigeben, dass Werkstattmitarbeiter zur Beschaffung von Ersatzteilen die zu Servicezwecken gespeicherte Fahrgestellnummer seiner Kunden nutzt, dass die Auswertung derselben Daten durch die Marketingabteilung mit anschließender Werbeaktion aber vom System unterbunden wird. Die Umsetzung der Policy erfolgt auf technischem Wege durch die datenschutzgerechte Zuweisung von Zugriffsrechten für den Abrufenden.
Um international entwickelte technische Plattformen für ein automatisiertes Datenschutzmanagement auch für das deutsche Datenschutzrecht und damit für Unternehmen und Behörden in Schleswig-Holstein nutzbar zu machen, begleiten wir die Entwicklung der Systeme und bringen unser rechtliches Know-how zum deutschen Datenschutzrecht und die technischen Erfahrungen aus dem schon abgeschlossenen Projekt "Datenschutz im Internet mit Platform for Privacy Preferences (P3P)" ein. Zu diesem Zweck veranstalteten wir zusammen mit der International School for New Media (isnm) und IBM in Lübeck einen mehrtägigen Workshop zur Umsetzung deutscher Rechtsnormen in Policies für ein automatisiertes Datenschutzmanagement.
www.datenschutzzentrum.de/adam/
Was ist zu tun?
Behörden und Unternehmen können ihre Organisation durch ein automatisiertes Datenschutzmanagement optimieren.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |