9         Audit  und Gütesiegel

-Audit und Gütesiegel sind neue freiwillige Instrumente des präventiven Datenschutzes, die an unterschiedlichen Objekten ansetzen und sich gegenseitig ergänzen. Das Gütesiegel bestätigt die Datenschutzkonformität eines Produktes, während mit dem Audit eine datenschutzkonforme Implementierung automatisierter Verfahren geprüft und bestätigt wird. In beiden Bereichen eines proaktiven Datenschutzes sind erhebliche Aktivitäten und Erfolge zu verzeichnen.


9.1         Datenschutz-Audit konkret

Mit dem Datenschutz-Audit verfügt das ULD über ein modernes und leistungsfähiges Instrument des präventiven Datenschutzes. In dem Auditverfahren können öffentliche Stellen ihr Datenschutzkonzept durch das ULD prüfen und beurteilen lassen. Das bei einem positiven Ergebnis verliehene Auditzeichen bestätigt nicht nur der Verwaltung, sondern auch den betroffenen Bürgerinnen und Bürgern, dass sich die Investition in den Datenschutz in Form von Sicherheit und Qualität ausgezahlt hat. Das ULD hat bereits 12 Auditierungen erfolgreich abgeschlossen. Sieben weitere Audits sind derzeit in Bearbeitung.

9.1.1      Landesnetz Schleswig-Holstein

Damit die Daten im landesweiten E-Government "laufen" können, werden Landesbehörden und Kommunen über das Landesnetz miteinander verbunden. Als Basisinfrastruktur des E-Government bedürfen Datenschutz und Datensicherheit des Landesnetzes großer Aufmerksamkeit. Das vom Finanzministerium für das Landesnetz beauftragte Auditverfahren ist noch nicht abgeschlossen.

Nach der E-Government-Vereinbarung des Landes Schleswig-Holstein und der kommunalen Spitzenverbände steht das Landesnetz Schleswig-Holstein (LN) auch den Kommunen zur Verfügung. Als Datendrehscheibe erfüllt das LN eine zentrale datenschutzrelevante Funktion für das E-Government. Die Bürgerinnen und Bürger dürfen erwarten, dass ihre Daten nur dann über das LN übermittelt werden, wenn es auch sicher ist. Das Sicherheitsniveau muss von den an das LN angeschlossenen Behörden beurteilt werden können. Nur so können sie feststellen, ob und welche weiteren Sicherheitsmaßnahmen erforderlich sind.

Zum besseren Verständnis skizzieren wir einige wesentliche Punkte zur Struktur des LN:

  • Betreiber des LN ist das Finanzministerium, das mit der T-Systems International (TSI) – heute T-Systems Enterprise (TSE) – über die Bereitstellung von Netzkapazitäten einen Vertrag geschlossen hat. Da die TSE selbst keine Netze besitzt, kauft sie die Netzleistungen bei Dritten wie z. B. der T-Com ein.
  • Das LN basiert technisch auf einer Verknüpfung von Datenleitungen, die nicht nur von LN-Benutzern in Anspruch genommen werden.
  • Als Dienstleister des Finanzministeriums stellt dataport die Anschlüsse zur Verfügung und übernimmt die Administration der Kommunikationsbeziehungen.
  • Der Datentransport über das Landesnetz wird nicht statisch festgelegt, sondern in Abhängigkeit von der Auslastung und Verfügbarkeit der Leitungen gesteuert. Das LN ist also ein "virtuelles" Netz für den Datentransport.
  • Das LN stellt Funktionen zur Verfügung, die den Datentransport benutzerbezogen kennzeichnen (MPLS-Technologie), sodass jeder Benutzer einer bestimmten Gruppe zugeordnet werden kann.
  • Der Transport von Daten erfolgt im LN grundsätzlich unverschlüsselt. Der Benutzer kann aber veranlassen, dass eine Verschlüsselung im Bereich des LN optional aktiviert wird.
  • Unter Sicherheitsaspekten ist die Benutzung des LN wie der Anschluss an ein sonstiges externes Netz zu betrachten.
  • Über das LN wird auch die Sprachkommunikation der Landesbehörden übertragen.

 

-

 

 

 

 

 

 

 

 

 

Aus technischer Sicht besteht das LN aus den Systemkomponenten (Backbone) der TSE bzw. der T-COM bis hin zum Übergaberouter. Für die Datensicherheit dieser Komponenten ist das Finanzministerium verantwortlich. Auf dem Übergaberouter werden nicht nur die Kommunikationsbeziehungen, sondern auch die Sicherheitsregeln definiert, die das interne Netz eines Benutzers vor Angriffen aus dem externen Landesnetz oder Fehlkonfigurationen schützen sollen. Die Sicherheit der internen Netze der Benutzer wird also durch die Sicherheitseinstellungen auf dem Übergaberouter maßgeblich beeinflusst. In der Regel sind jedoch dem Benutzer die jeweils aktuellen Einstellungen auf dem Übergaberouter weder bekannt noch von ihm zu beeinflussen.

Um ihrer Verantwortung für die Sicherheit der Daten in ihrem internen Netz gerecht werden zu können, installieren Benutzer des LN nicht selten zwischen ihrem internen Netz und dem Landesnetz eine in ihrer Verfügungsgewalt stehende Firewall. Auf diese Weise schotten sich diese Stellen gegenüber dem LN ab, dessen sicherheitsrelevante Einstellungen sie nicht beeinflussen können, die aber erheblichen Einfluss auf die Sicherheit ihres internen Netzes haben können. Diese Vorgehensweise ist konsequent, solange sich die Schnittstelle zwischen Übergaberouter und internem Netz nicht angemessen sicher für den Kunden darstellt (27. TB, Tzn. 9.2.2 und 9.2.4).

Um den Benutzern bzw. Kunden des LN eine ausreichende Transparenz über die Funktionen und die Sicherheit des LN zu vermitteln, erstellt dataport im Auftrag des Finanzministeriums eine Generaldokumentation zur aktuellen Netzinfrastruktur. Eine weitere "Baustelle" der Verantwortlichen ist das Sicherheitskonzept des LN, das auf wesentliche Sicherheitsfragen noch Antworten liefern muss. Erst nach Abschluss dieser Vorarbeiten kann die Begutachtung mit dem Audit abgeschlossen werden.

Was ist zu tun?

Generaldokumentation und Sicherheitskonzept für das LN sollten zeitnah fertig gestellt werden. Die Benutzer bzw. Kunden müssen gegen unzulässige Zugriffe aus dem LN auf ihr eigenes internes Netz wirksam geschützt werden.

9.1.2      SAP R/3-Modul Kosten- und Leistungsrechnung

Mit dem Einsatz der Kosten- und Leistungsrechnung kann die Wirtschaftlichkeit des Verwaltungshandelns überprüft und beeinflusst werden. Das komplexe Verfahren wird derzeit im Auftrag des Finanzministeriums einem Audit unterzogen.

-

Ein Kernelement der Verwaltungsmodernisierung ist die flächendeckende Einführung der Kosten- und Leistungsrechnung (KLR) in den Landesbehörden mithilfe der Software SAP R/3. Das Verfahren KLR befindet sich bereits in vielen Landesbehörden im Einsatz. Dieses SAP R/3-Verfahren ist eines der größten Fachverfahren der Landesverwaltung Schleswig-Holstein. Es wird in über 200 Landesbehörden mit mehr als 2000 Benutzern eingesetzt. Die Daten der einzelnen Landesbehörden werden zentral auf Rechnern des Dienstleisters dataport verarbeitet. Dataport ist nicht nur für den Betrieb zuständig, sondern auch für die Entwicklung und Programmpflege des SAP R/3-Verfahrens.
Das Finanzministerium hat als verantwortlicher Betreiber des Verfahrens das ULD mit der Auditierung der KLR beauftragt. Gegenstand des Audits ist der datenschutzrechtlich und sicherheitstechnisch ordnungsgemäße Einsatz der KLR unter dem Management des Finanzministeriums. Um die Anforderungen des Datenschutzes und der Datensicherheit beim Betrieb des Verfahrens zu gewährleisten, ist eine Reihe von technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen. Noch steht das Auditverfahren am Anfang.

Was ist zu tun?

Aufgrund seiner Komplexität bedarf SAP R/3 der Einrichtung eines verantwortungsvollen Sicherheitsmanagements, damit die Ordnungsmäßigkeit der Datenverarbeitung dauerhaft gewährleistet werden kann.

9.1.3      Das "EAGFL-G" des Landwirtschaftsministeriums

Das Ministerium für Landwirtschaft, Umwelt und ländliche Räume hat bei der Durchführung von Ausgleichszahlungen EU-Vorschriften zu beachten, die einen erhöhten Sicherheitsstandard für den Einsatz von IT-Systemen vorgeben. Im Rahmen eines Audits stellt sich das Ministerium den neuen EU‑Anforderungen.

Nach der gemeinsamen Agrarpolitik der Europäischen Union (EU) gibt es einen Europäischen Ausrichtungs- und Garantiefond für die Landwirtschaft (EAGFL), aus dem Ausgleichszahlungen in Milliardenhöhe für Landwirte geleistet werden. Die Kommission der Europäischen Gemeinschaft erlässt für eine ordnungsgemäße Abwicklung dieser Finanzmittel Verordnungen, die von den einzelnen Bundesländern einzuhalten sind.

Anträge für eine Fördermaßnahme werden in Schleswig-Holstein hauptsächlich von den Ämtern für ländliche Räume bearbeitet. Die Zahlungen werden dann von einer Zahlstelle im Landwirtschaftsministerium durchgeführt und verbucht. Für die Verwaltung der Datenbestände wurde länderübergreifend ein Zahlungsinformationssystem für Agrarfördermittel (ZIAF) entwickelt, wodurch die Bearbeitung der Antragsabwicklung einheitlich gestaltet ist.

Das Landwirtschaftsministerium hat für den Betrieb des Verfahrens dataport beauftragt; die Applikation und die Datenbestände werden dort verwaltet. Darüber hinaus wurde dataport länderübergreifend die Entwicklung einiger Programmteile übertragen.

Die Kommission der Europäischen Gemeinschaft hat im März 2005 ihre Kriterien für eine ordnungsgemäße Abwicklung der Finanzmittel mit einer neuen Verordnung verschärft. Die Zahlstellen der einzelnen Bundesländer haben ab 2008 für die Sicherheit der Informationssysteme einen international anerkannten Standard anzuwenden. Für die Umsetzung der Verordnung haben sich die Bundesländer auf die Anwendung des IT-Grundschutzhandbuchs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verständigt. Die Bundesländer beginnen jetzt, die für die Abwicklung der Zahlungen eingesetzten IT-Systeme zu untersuchen und sie an die neuen Sicherheitsbestimmungen anzupassen.

In Schleswig-Holstein hat das Landwirtschaftsministerium das ULD bei der Umsetzung der Verordnung um Unterstützung gebeten. Im Rahmen eines Audits wird zunächst eine umfassende Bestandsaufnahme der technischen und organisatorischen Gegebenheiten durchgeführt. Sich ergebender Anpassungsbedarf soll umgesetzt werden. Es soll ein Sicherheitsmanagement aufgebaut werden, um den vorgegebenen Sicherheitsstandard zur Abwicklung der Zahlungen langfristig aufrechtzuerhalten. Mit der Anwendung des BSI-Grundschutzhandbuchs erfolgt eine IT-Strukturanalyse, eine Schutzbedarfsfeststellung sowie die Modellierung der IT‑Sicherheitsmaßnahmen. Ziel der Auditierung ist es, dem Ministerium zu bescheinigen, dass die geforderten EU-Kriterien erfüllt sind und zugleich eine ordnungsgemäße Datenverarbeitung im Sinne des Landesdatenschutzgesetzes vorliegt.

Was ist zu tun?

Das Landwirtschaftsministerium hat rechtzeitig begonnen, die Sicherheitsaspekte für ihr Zahlungsinformationssystem an die EU-Verordnung anzupassen. Die für Schleswig-Holstein entwickelte Sicherheitspolicy kann auch anderen Bundesländern bereitgestellt werden.

9.1.4      Kommunale IT-Standards (KITS)

Das Kommunale Forum für Informationstechnik der Kommunalen Landesverbände in Schleswig-Holstein (KomFIT) hat mit den "Kommunalen IT‑Standards" (KITS) ein Standardsystemkonzept der Bürokommunikation für den IT-Einsatz im kommunalen Bereich entwickelt. Das ULD prüft die Datenschutzkonformität des KITS in einem Auditverfahren.

Bereits 1999 hat das KomFIT eine erste Version eines Standardsystemkonzeptes für die Bürokommunikation in Kommunalverwaltungen entwickelt. 2002 wurde das Konzept aktualisiert und erweitert. In der aktuellen Version definiert KomFIT eine standardisierte Umgebung sowohl für zentrale Komponenten wie einen Verzeichnisdienst und Mechanismen für den E-Mail-Austausch als auch für dezentrale Komponenten wie die Ausgestaltung der Softwareumgebung auf einem Standard-PC oder einem verwaltungsinternen Fileserver.

Die Auditierung eines IT-Standards für die Bürokommunikation von Verwaltungen hat für den Datenschutz eine große Bedeutung. Erfüllt bereits der IT-Standard grundlegende Anforderungen des Datenschutzes nicht, so wird seine Implementierung in der Fläche großen Schaden anrichten. Wird aber umgekehrt ein IT-Standard bereits datenschutzgerecht formuliert und zudem nach den Regeln der Technik sauber implementiert, so kann im Interesse der Betroffenen ein Höchstmaß an Datenschutz und Datensicherheit erreicht werden. Natürlich wird das Ergebnis der Auditierung Einfluss auf die Motivation der Entscheidungsträger in den Kommunen Schleswig-Holsteins haben, KITS in ihren Verwaltungen zur Verarbeitung der Daten der Bürgerinnen und Bürger einzusetzen.

Die zu KITS gehörenden zentralen Komponenten werden in der Verantwortung des Finanzministeriums betrieben. Dieses hat dataport mit der Durchführung des Betriebs der zentralen Infrastruktur beauftragt. Die Auditierung von KITS bezieht daher die Bedingungen dieser Auftragsdatenverarbeitung mit ein. Schwerpunkte des Audits werden sein:

  • Untersuchung der Datenschutzaspekte im KITS-Konzept,
  • Prüfung der vertraglichen Vereinbarungen zwischen den Beteiligten auf ihre Datenschutzkonformität,
  • Implementierung des Standards in den zentralen Komponenten wie dem Active Directory,
  • Umsetzung des Standardsystemkonzepts in einer Beispielkommune.

Was ist zu tun?

Standardkonzepte für mehrere Verwaltungen sollten bereits während der Konzeptionsphase vom ULD begleitet werden, was deren Implementierung stark vereinfacht.

9.1.5      Kreisnetz Nordfriesland

Die Kreisverwaltung Nordfriesland hat für die Umsetzung ihrer E-Government-Projekte ein eigenes Kreisnetz geschaffen. Um datenschutzrechtlich und sicherheitstechnisch gegenüber ihren Kommunen vorbildlich zu sein, will sie ihr Kreisnetz im Rahmen eines Audits durch das ULD begutachten lassen.

Der Kreis Nordfriesland und die ihm angehörigen Kommunalverwaltungen sind seit Anfang 2004 elektronisch miteinander vernetzt. Durch die Verbindung zum Landesnetz Schleswig-Holstein und zum Internet wird eine umfassende regionale E-Government-Infrastruktur aufgebaut. Fachverfahren der Kommunen werden nach und nach im Servicebereich der Kreisverwaltung zentralisiert. Die sich daraus ergebenden vielschichtigen Veränderungen der IT-Systeme und die von der Kreisverwaltung für ihre Kommunen angebotenen technischen Dienstleistungen werden im Rahmen eines Audits untersucht.

Zusammen mit der Datenschutzbeauftragten und dem IT-Leiter der Kreisverwaltung wurden folgende Maßnahmen festgelegt:

  • Bestandsaufnahme der IT-Organisation,
  • Festlegung der Datenschutzziele,
  • Erstellung fehlender Dokumentationsunterlagen,
  • Erarbeitung von Dienstleistungsverträgen,
  • Beseitigung technischer und organisatorischer Schwachstellen,
  • Einrichtung eines Datenschutzmanagementsystems,
  • Sensibilisierung der Mitarbeiter durch Schulungsmaßnahmen,
  • Begutachtung durch das ULD.

Die Kreisverwaltung wird mit der datenschutzkonformen Gestaltung ihres Kreisnetzes einen Sicherheitsstandard festlegen, der Maßstab für die Netze anderer Kreisverwaltungen sein kann.

Was ist zu tun?

Als Dienstleistung für kreisangehörige Gemeinden und Ämter müssen Kreisnetze die Anforderungen des Datenschutzes erfüllen. Auditverfahren sind insofern hilfreich.

9.1.6      Stockelsdorf: Interne Datenverarbeitung und Internet anbindung

Audits gibt es nicht nur für Großprojekte – ganz im Gegenteil: Gerade für kleinere Gemeinden kann sich die konzeptionelle Unterstützung sowie die spätere Begutachtung durch das ULD lohnen. Die Gemeinde Stockelsdorf macht vor, wie es gehen könnte.

Das ULD hilft mit seinem Know-how bei der Analyse der Datenverarbeitung und ihrer datenschutzgerechten Strukturierung. Dies ist ein einmaliger Aufwand, der die Gemeinde entlastet und sich für die Zukunft auszahlt: So lässt die Gemeindeverwaltung Stockelsdorf ihre interne Datenverarbeitung sowie ihren Internetanschluss auf die Konformität mit den datenschutzrechtlichen Vorgaben in einem Auditverfahren überprüfen. Nach einer Bestandsaufnahme vor Ort haben der Datenschutzbeauftragte und der Administrator der Gemeinde Optimierungsmöglichkeiten für die interne automatisierte Datenverarbeitung erarbeitet. Durch eine gute Arbeitsplanung und die Beratung durch das ULD ist die datenschutzkonforme Restrukturierung der internen Datenverarbeitung und der Internetanbindung bereits auf einem guten Weg.

Was ist zu tun?

Kleine und mittlere kommunale Verwaltungen können mit einer Auditierung ihrer Datenverarbeitung bei guter Vorbereitung und Arbeitsplanung zügig und ohne hohe Aufwände zu einem erfolgreichen Ergebnis kommen.

9.1.7      Konzept für pharmakogenetische Forschung

Pharmakogenetische Forschung

Pharmakogenetische Forschung hat zum Ziel, den Einfluss genetischer Faktoren bei der Reaktion von Patienten auf Arzneimittel zu erforschen und die Ergebnisse für die Entwicklung und die Verabreichung von Arzneimitteln zu nutzen.

Die Universität Kiel hat im Auftrag des Pharmakonzerns Schering AG ein Konzept für die Lagerung, Verwaltung und wissenschaftliche Auswertung von genetischen und klinischen Daten in der pharmakogenetischen Forschung erstellt. Den ersten Teil des Konzepts haben wir im Jahr 2003 auditiert. Anfang 2006 konnten wir auch die Fortsetzung des Konzepts mit einem Audit auszeichnen.

Im ersten Teil dieses Konzepts ging es um die Schaffung einer wichtigen Grundlage für die pharmakogenetische Forschung: die pseudonyme Einlagerung von Blut- und Gewebeproben. Der zweite Teil des Konzepts befasst sich mit der Durchführung der Forschung selbst. Im Mittelpunkt steht die Frage der Zusammenführung der genetischen und der klinischen Daten eines Teilnehmers. Es gilt zu verhindern, dass bei diesem Prozess die nach der ersten Phase des Konzepts pseudonymisierten genetischen Informationen durch die hinzukommenden klinischen Daten wieder der Person des Teilnehmers zugeordnet werden können.

Genetische und klinische Daten

Genetische Daten werden durch eine Analyse der DNA ermittelt, die wiederum aus Blut- oder Gewebeproben der Teilnehmer gewonnen wird. Klinische Daten sind in einer klinischen Studie erhobene medizinische Daten, z. B. Befunde, Laborergebnisse, Geburtsdatum, Gewicht und Größe. Im Rahmen einer solchen Studie lassen sie direkte Rückschlüsse auf die Person des Teilnehmers zu.

Dazu werden in den klinischen Datensätzen Informationen, die eine persönliche Zuordnung erlauben (z. B. Namen oder Geburtsdaten), gelöscht. Neben diesem Reinigungsprozess ist ein so genannter Feed-back-Prozess Gegenstand des Audits: Auf Wunsch eines Teilnehmers an dem Forschungsprogramm kann dieser zusammen mit einem Arzt seines Vertrauens über Erkenntnisse zu seiner persönlichen genetischen Veranlagung informiert werden. Dazu müssen die pseudonymisierten genetischen Informationen wieder dem Teilnehmer zugeordnet werden. Mithilfe eines Verschlüsselungsverfahrens kann das Konzept sicherstellen, dass innerhalb der Forschungsstelle niemand zugleich Teilnehmerinformationen und genetische Informationen kennt. Der Teilnehmer und sein Arzt können nur gemeinsam auf die genetischen Informationen zugreifen.

Ein dritter Schwerpunkt des Audits ist ein Anonymisierungsprozess für sonstige interessierte Forschungsstellen, die anonymisierte Gewebeproben und dazugehörige klinische Daten zur Verfügung gestellt bekommen. Da diese nicht an die speziellen Datenschutzmaßnahmen des Konzeptes gebunden sind, dürfen sie nur Proben und Daten ohne Personenbezug erhalten. Hierfür werden mindestens acht Datensätze zusammengefasst; dieser Datenbestand wird nur mit einem Teil der Gewebeproben, die zu den aggregierten Datensätzen gehören, herausgegeben. Eine 1:1-Zuordnung zwischen Gewebeproben und klinischen Daten ist so nicht mehr möglich.

Was ist zu tun?

Das Auditverfahren zeigt, dass ein datenschutzgerechter Umgang mit genetischen Daten und Probenmaterial möglich und praktikabel ist. Ähnliche Forschungsvorhaben können sich an diesem Konzept orientieren.

9.2         Datenschutz-Gütesiegel

9.2.1      Abgeschlossene Gütesiegelverfahren

Im Berichtszeitraum konnte zahlreichen Produkten ein Datenschutz-Gütesiegel verliehen werden. Es wurden 12 Produkte erstmalig zertifiziert. Zwei weitere Produkte wurden nach Fristablauf der ersten Zertifizierung in einem vereinfachten Verfahren rezertifiziert.

Dank der Förderung durch das EU-Programm "e-Region" (27. TB, Tz. 9.1.1) konnte das ULD seine Zertifizierungsdienstleistungen in der Startphase gebührenfrei erbringen. Obwohl inzwischen für die Durchführung des Gütesiegelverfahrens den Produktanbietern Kosten entstehen, reißt die Nachfrage nicht ab. Das steigende Interesse der Hersteller, eine Zertifizierung auch ohne finanzielle Zuschüsse durchzuführen, belegt die Notwendigkeit des Angebotes von Datenschutzzertifikaten für die Wirtschaft.

Im Einzelnen wurden folgende Produkte zertifiziert:

  • PrimeSharing TeamDrive, Version 1.1, ein Kollaborationstool für den Fernzugriff mehrerer Benutzer auf einen verschlüsselten Datenbestand zur gemeinsamen Bearbeitung von Dokumenten,
  • CC DMS, Version 2.2, ein Dokumentenmanagement- und Archivsystem für öffentliche Verwaltungen, das die elektronische Ablage und Verwaltung von Dokumenten ermöglicht,
  • MESO Internetauskunft, Version 1.2, eine internetbasierte Anwendung für Meldebehörden, die Daten aus dem Melderegister für die Behördenauskunft oder für die einfache Melderegisterauskunft zur Verfügung stellt,
  • e-NFS, Version 1.0, eine webbasierte Anwendung zur Erhebung und Verarbeitung der Daten von Teilnehmern an berufsvorbereitenden Bildungsmaßnahmen,
  • Verfahren der Akten- und Datenträgervernichtung, Stand: Oktober 2005, ein Verfahren zur Vernichtung von Akten und Datenträgern durch die Lutz von Wildenradt GmbH im Auftrag für öffentliche und nichtöffentliche Stellen,
  • TurboMed.Net, Version 1.0, eine Kommunikationslösung zum verschlüsselten Austausch von Nachrichten und Patienteninformationen zwischen Ärzten über das Internet,
  • MBS-easy, Version 3.6.0.0, eine Softwareapplikation für die Aufnahme, weitere Verarbeitung und Verwaltung von digitalen ärztlichen Diktaten durch Schreibkräfte oder durch ein Spracherkennungsprogramm.

 

Darüber hinaus wurden fünf Produkte zertifiziert, die als Branchenlösung für Industrie- und Handelskammern zentral bei einem IT-Dienstleister der IHK, der IHK GfI, gehostet und zur Verfügung gestellt werden. Im Einzelnen sind dies:

  • Erweiterte Verwaltungsanwendung – EVA, Version 2.05, Modul FiDa (Firmendaten), ein Informationssystem für die Verarbeitung von Stammdaten der IHK-Mitgliedsunternehmen,
  • Erweiterte Verwaltungsanwendung – EVA, Version 2.05, Modul Beruf, ein Modul zur Unterstützung der Wahrnehmung der gesetzlichen Aufgaben der Industrie- und Handelskammern in der Berufsausbildung,
  • die drei Module IHK SELEROM (Version 1.2), IHK SELEInfo (Version 2004) und IHK SELEInfoPlus (Version 5.0), die das Produkt EVA ergänzen und als Selektionsverfahren den Abruf, die Auswahl und den Export von Daten aus dem Datenbestand der Industrie- und Handelskammern auf DVD, im Extranet sowie im Intranet der Industrie- und Handelskammern ermöglichen.

 

Im Rezertifizierungsverfahren wurden die folgenden Produkte in einem vereinfachten Verfahren (27. TB, Tz. 9.1.4) erneut überprüft und zertifiziert:

  • e-pacs Speicherdienst, Version 3.0, eine Lösung für die elektronische externe Archivierung von Röntgenbildern und anderen patientenbezogenen medizinischen Daten, und
  • ein Verfahren der Vernichtung von Akten und Mikroformen der Firma AVZ im Auftrag für öffentliche und nichtöffentliche Stellen, das Akten und Mikroformen in verschlossenen Containern der Vernichtung zuführt.

 

Einen Gesamtüberblick über alle zertifizierten und rezertifizierten Produkte enthält das Register auf unserer Homepage, das auch auf die Kurzgutachten mit den Ergebnissen der Prüfung und mit näheren Erläuterungen zu den Produkten verweist.

Weblink
www.datenschutzzentrum.de/guetesiegel/register.htm

Auch im letzten Jahr erreichten uns viele Anfragen von Herstellern, die wir – oft zu unserem Bedauern – wegen fehlender rechtlicher Voraussetzungen zurückweisen mussten. Dazu gehörte z. B. der Betrieb von Webportalen, Datenschutzliteratur sowie Online-Schulungen datenschutzrechtlicher Inhalte. Einigen Angeboten mangelte es an der Produkteigenschaft im Sinne der Datenschutzverordnung: Sie hatten zwar Berührungspunkte mit dem Datenschutz, verarbeiteten selbst aber weder personenbezogene Daten, noch unterstützten sie auf technische Weise eine sichere Datenverarbeitung. Andere Anfragen hatten die Zertifizierung eines datenschutzgerechten Verfahrensablaufs einer nichtöffentlichen Stelle zum Gegenstand. Diese können wir mangels einer rechtlichen Grundlage nicht zertifizieren. Immer noch nicht ist die Ankündigung des Bundesgesetzgebers umgesetzt, ein Bundesdatenschutzauditgesetz zu erlassen (27. TB, Tz. 9.1.6). So schön es sein mag, dass das ULD bisher auch von der Privatwirtschaft als wichtiger Datenschutzzertifizierungspartner angesprochen wird, so ärgerlich ist es, dass wir den offensichtlich bestehenden Bedarf selbst nicht stillen können und ein Bundesgesetz nicht in Aussicht steht.

Was ist zu tun?

Die Ausarbeitung eines Bundesdatenschutzauditgesetzes ist überfällig.

9.2.2      Überarbeitung der Regelungen für das Zertifizierung sverfahren

Gütesiegelverfahren sind nichts Statisches. Laufend sind Anpassungen an die Änderungen der rechtlichen und technischen Gegebenheiten nötig. Dabei fließen die Erfahrungen aus bisherigen Zertifizierungen ein.

Anforderungskatalog

Der Anforderungskatalog stellt beispielhaft Datenschutz- und Datensicherheitsanforderungen sowie in ihrem Zusammenhang zu berücksichtigende Fragestellungen nach wichtigen Rechtsnormen dar. Er gibt eine Mustergliederung für das Abarbeiten von Anforderungen jeweils nach Art der Daten und der Anwendungen vor (Prüfschema).

Im vergangenen Jahr haben wir die Regelungen für das Zertifizierungsverfahren an aktuelle Entwicklungen angepasst. Dies betraf neben den Regeln für die Anerkennung von Sachverständigen (Tz. 9.2.4) den Anforderungskatalog, der die Prüfpunkte bei der Begutachtung eines Produktes vorgibt. Der Katalog wurde in Teilen umstrukturiert und gestrafft, was die Prüfung der Zulässigkeit der Datenverarbeitung vereinfacht. Einige Prüfkriterien wurden im Katalog deutlicher als bisher hervorgehoben. Dies betraf die Zulässigkeit und die technische Sicherheit von Abrufverfahren und so genannten Gemeinsamen Verfahren, die im letzten Jahr verstärkt Gegenstand von Zertifizierungsverfahren waren.

In fast allen Produkten werden Protokolldaten aus Gründen der Datensicherheit und der Revision verarbeitet. Diese unterliegen selbst strengen datenschutzrechtlichen Anforderungen wie Zweckbindung, Zugriffsbeschränkungen und Löschungsverpflichtungen, die im Gütesiegelverfahren überprüft werden. Da diese Prüfung durch die Sachverständigen immer wieder unzureichend war und häufiger Nachfragen durch uns bedurften, haben wir die Anforderungen an Protokolldaten in einem speziellen Anforderungsprofil zusammengestellt, um die Prüfung zu erleichtern.

Anfragen zum Gütesiegelverfahren zeigten uns, dass der genaue Ablauf des Zertifizierungsverfahrens für Hersteller im Detail nicht ganz einfach nachzuvollziehen ist. Wir haben daraufhin unsere Webseite auf einzelne Nutzergruppen zugeschnitten und in einem Dokument speziell die für Hersteller notwendigen Informationen zusammengefasst.

9.2.3      Umfrage zu den Erfahrungen der Hersteller zertifizierter Produkte

Gut zwei Jahre nach der ersten Verleihung eines Gütesiegels wollten wir von den Empfängern der bis dahin 20 vergebenen Gütesiegel über eine an die Hersteller gerichtete Fragebogenaktion erfahren, wie sich diese in der Praxis ausgewirkt haben.

Ungefähr die Hälfte der Herstellerunternehmen hat sich an unserer Umfrage beteiligt. Zwei Drittel der Hersteller haben die Auswirkungen der Zertifizierung für ihr Produkt als sehr positiv angegeben; für mehr als die Hälfte der Unternehmen ist es nach erfolgter Zertifizierung einfacher geworden, Aufträge in ihrem Bereich zu erhalten. Ein Großteil der befragten Hersteller bietet ihr Produkt bzw. ihre IT-Dienstleistung sowohl für die Verwaltung als auch für die Privatwirtschaft, teilweise sogar schwerpunktmäßig für Letztgenannte, an. Auffällig ist, dass die Erfahrungen im Bereich der Verwaltung und in der Privatwirtschaft gleich sind. Als erfolgreichste Branche für den Einsatz zertifizierter Produkte hat sich der Medizinbereich herausgestellt. Hier haben die Hersteller durch das Gütesiegel teilweise erhebliche Erleichterungen und Steigerungen bei dem Absatz ihrer Produkte erzielen können. Für ein Drittel der Hersteller hat sich die Zertifizierung ihres Produktes nur geringfügig ausgewirkt. Vielfach konnte sich dieses wegen anderer Kriterien, hauptsächlich aufgrund des Preises, trotz Zertifizierung nicht gegen Konkurrenzprodukte durchsetzen.

Wir baten die Hersteller um ihre Einschätzung zu den Gründen, weshalb sich in ihrem Fall das Gütesiegel nicht positiv auf die Vermarktung des Produkts ausgewirkt hat. Am häufigsten wurde angegeben, dass das Datenschutz-Gütesiegel einen zu starken Regionalbezug habe. Als weiterer Grund wurde die fehlende Bekanntheit des Instruments des Gütesiegels und des ULD als Zertifizierungsstelle genannt. Nur in Einzelfällen wurde angegeben, die Kunden seien an Datenschutz und Datensicherheit nicht interessiert oder die Tatsache der konkreten Produktzertifizierung sei diesen nicht bekannt. Die Antwortmöglichkeit "Fehlendes Vertrauen in die Zertifizierung und in das ULD" wurde von keinem Hersteller angekreuzt.

Wir haben die Hersteller sowohl nach ihren Erwartungen, die sie mit der Zertifizierung verbunden hatten, als auch danach gefragt, in welchem Maß diese Erwartungen tatsächlich eingetreten sind. In erster Linie haben die Hersteller eine Verbesserung ihrer Marktposition und der Akzeptanz bei den Kunden erwartet. Bei genau zwei Dritteln der Hersteller sind die hohen Erwartungen in der Praxis tatsächlich eingetreten. Ein Drittel der Hersteller konnte jedoch nur geringe Auswirkungen des Gütesiegels auf die Marktposition bzw. die Akzeptanz des Produkts verzeichnen. Betrachtet man die Hersteller einzeln für sich, wird deutlich, dass überwiegend die anfänglichen Erwartungen erreicht oder sogar übertroffen wurden.
Nach Kritik und Verbesserungsvorschlägen gefragt, haben die Hersteller am häufigsten die Aufforderung zu stärkerer Information der Verwaltung und der Privatwirtschaft über das Gütesiegel, zertifizierte Produkte und über die Wichtigkeit von Datenschutz gestellt. In einem Fall wurde darauf hingewiesen, dass das Gütesiegel bei Ausschreibungen nicht das alleinige Vergabekriterium und der Preis meist von höherer Bedeutung sei. Positiv wurde von zwei Herstellern geäußert, durch die Zertifizierung habe das Unternehmen ein Alleinstellungsmerkmal für ihr Produkt erhalten und so zahlreiche Aufträge bekommen können.

9.2.4      Sachverständige

Drei Jahre nach Beginn des Verfahrens belegen die Zahlen der Neuanträge ein stetes Interesse an der Akkreditierung als Datenschutzsachverständiger beim ULD.

Die Begutachtung von IT-Produkten im Zertifizierungsverfahren erfolgt durch externe Sachverständige. Personen oder Prüfstellen, die ihre Fachkunde im Bereich Recht und/oder Technik sowie Unabhängigkeit und Zuverlässigkeit nachweisen, können auf Antrag bei uns als Sachverständige oder sachverständige Prüfstellen anerkannt werden. Einhergehend mit dem wachsenden Angebot und der Nachfrage nach Beratungsdienstleistungen im Datenschutz nimmt auch das Interesse an einer Akkreditierung beim ULD als Nachweis der Fachkunde zu. Die für eine beratende Tätigkeit im Datenschutz, etwa als betrieblicher Datenschutzbeauftragter, geforderte Fachkunde ist jedoch nicht identisch mit den Anforderungen an eine Akkreditierung als Sachverständiger für das Gütesiegel. Die Akkreditierung setzt neben einer einschlägigen rechtlichen oder technischen Ausbildung eine mindestens dreijährige berufliche Erfahrung im Datenschutz voraus. Kenntnisse und Fähigkeiten sind über den betrieblichen Bereich hinaus auch im öffentlichen Sektor gefordert. Einigen Interessenten mussten wir von einer Antragstellung abraten, da zumeist wegen geringer beruflicher Erfahrungen keine Aussicht auf eine Anerkennung bestand.

Anerkennungen im Berichtszeitraum

Im Berichtszeitraum haben wir fünf Anträge auf Anerkennung erhalten und auch fünf Sachverständige anerkannt. Unter diesen ist eine Sachverständige für die Bereiche Recht und Technik; ein Sachverständiger wurde für den Bereich Technik und drei Sachverständige wurden für den Bereich Recht akkreditiert. Drei Anträge, teilweise noch aus dem Vorjahr, waren nicht erfolgreich: Zwei der Anträge wurden von den Antragstellern zurückgenommen, einen Antrag haben wir abgelehnt.

Überarbeitung der Regelungen für die Anerkennung

Für die Anerkennung von Sachverständigen haben wir im Jahr 2002 umfangreiche Regelungen erstellt, die die Voraussetzungen für die Anerkennung sowie Pflichten bei der Ausübung der Sachverständigentätigkeit benennen. Diese Regelungen wurden von uns anhand der umfangreichen zwischenzeitlich gesammelten praktischen Erfahrungen auf den Prüfstand gestellt. Der Informations- und der Pflichtenkatalog für Sachverständige wurden überarbeitet.
Die umfangreichste Änderung gab es bei den Anforderungen an die Fachkunde für Technik und Recht. Diese beiden Bereiche wurden angeglichen, indem für jeden Bereich jeweils drei gleichartige Stufen des Fachkundenachweises formuliert wurden. Die einzelnen Anforderungen in diesen Stufen wurden präzisiert und auf die tatsächlichen Ausbildungsmöglichkeiten in beiden Bereichen angepasst.

Wir haben zwei Regelungen zur Unabhängigkeit des Sachverständigen aus dem Katalog herausgenommen, da sie sich als nicht praxisgerecht erwiesen. Dies betrifft zum einen das in der ersten Fassung enthaltene Verbot für den Sachverständigen, technische Einrichtungen des Auftraggebers für die Begutachtung zu nutzen. Zum anderen ist das Verbot einer Beteiligung des angestellten Sachverständigen an dem Gewinn seines Arbeitgebers entfallen. Während die ursprüngliche Fassung die Koppelung des Einkommens eines angestellten Sachverständigen an die Zahl und das Ergebnis seiner Gutachten verbot, ist nunmehr lediglich die Koppelung an das Ergebnis der Sachverständigengutachten untersagt. Außerdem ist die Pflicht zur Vorlage eines Auszugs aus dem Gewerbezentralregister entfallen. Es erfolgten Klarstellungen hinsichtlich der zulässigen Organisationsformen von Prüfstellen sowie der Werbung und Haftung von Sachverständigen.

9.2.5      Gütesiegel  und PRIME

Im Projekt PRIME werden Prototypen eines Identitätsmanagementsystems entwickelt. Das ULD begleitet das Projekt in datenschutzrechtlicher Hinsicht. Dazu gehört auch eine Prüfung der Prototypen nach Gütesiegelkriterien.

Common Criteria (CC)

Bei den CC handelt es sich um eine international abgestimmte Grundlage für die Prüfung und Bewertung der Sicherheitseigenschaften von Produkten und Systemen der Informationstechnik, die auch bei der Entwicklung und Beschaffung anwendbar sein kann.

Bei der Entwicklung der Prototypen (Tz. 8.2.1) werden auch Aspekte der Qualitätssicherung beachtet. Dabei geht es nicht nur um die Beachtung von Datenschutz- und Datensicherheitskriterien, vielmehr werden im Rahmen einer Evaluation die Gesichtspunkte der IT-Sicherheit und des Datenschutzes auch an etablierten Kriterien gemessen. Für die Prüfung der IT-Sicherheit werden die Common Criteria (CC) verwendet. Zur Datenschutzprüfung sollen u. a. die Kriterien des Datenschutz-Gütesiegels eingesetzt werden. Diese sind im Projekt PRIME nicht unmittelbar anwendbar: Sie bilden das Datenschutzrecht von Schleswig-Holstein ab, das für die Behörden des Landes gilt. Der Prototyp des Projekts PRIME wendet sich aber an Verbraucher und Firmen in der gesamten EU. Daher haben wir den Anforderungskatalog des Gütesiegels übersetzt und an den Aufbau und die Formulierungen der EU-Datenschutzrichtlinie angepasst. Diese "EU-Version" deckt die Anforderungen der EU-Datenschutzrichtlinie ab und kann auch in anderen internationalen Projekten, z. B. im Projekt RISER (Tz. 8.3), als Prüfschema verwendet werden. Die Prototypen wurden während der Entwicklungsphase nach den Anforderungen des angepassten Anforderungskataloges geprüft.

Was ist zu tun?

Die bisher gewonnenen Erfahrungen sind bei den weiteren Entwicklungsschritten zu berücksichtigen und bei der Produktgestaltung umzusetzen.

9.2.6      Europäische Aktivitäten im Gütesiegelbereich 

Nicht nur in Deutschland gibt es Regelungen für Audit und Gütesiegel, sondern auch in Frankreich. Eine Delegation der Französischen Datenschutzkommission (Commission Nationale de l’Informatique et des Libertés, CNIL) besuchte im Januar 2006 das ULD, um sich über das schleswig-holsteinische Verfahren und über Erfahrungen mit dem Gütesiegel zu informieren.

Das französische Datenschutzgesetz, das – anders als die deutschen Regelungen auf Länder- und Bundesebene – für alle Behörden und Firmen in ganz Frankreich gilt, sieht die Zertifizierung von datenschutzkonformen Produkten und Verfahren vor. Während in Deutschland auf Bundesebene (27. TB, Tz. 9.1.6) und in den meisten Ländern solche Umsetzungen noch ausstehen, wird in Frankreich an den konkretisierenden Regelungen gearbeitet. Der Besuch der Delegation hatte den Zweck, möglichst viele Informationen und Erfahrungen aus der Praxis zu sammeln, um diese in die französische Verordnung einfließen zu lassen. Am Dialog mit den französischen Kollegen nahmen auch ein schleswig-holsteinischer Hersteller eines zertifizierten Produktes und ein Sachverständiger teil, die über Aufwand und Nutzen der Zertifizierung aus erster Hand berichten konnten.

Bei dem Informationsbesuch wurden auch zukünftige Kooperationsmöglichkeiten erörtert. Erstes Ziel ist ein europaweiter Austausch zur Gültigkeit von Zertifizierungen durch gegenseitige Anerkennung. Langfristig kommt auch – einhergehend mit der Weiterentwicklung der nationalen Erfahrungen – ein europäisches Gütesiegel in Betracht.

Was ist zu tun?

Der Bundesgesetzgeber sollte sich mit dem Bundesdatenschutzauditgesetz beeilen und sich so an die Spitze der europäischen Entwicklung setzen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel