6 Systemdatenschutz
6.1 Transparenz und Revisionssicherheit: Basis jedes Datenschutzmanagements
Die automatisierte Verarbeitung personenbezogener Daten muss jederzeit auf ihre Gesetzeskonformität hin überprüft werden können. Dem dient ein Datenschutzmanagementsystem, dessen primäre Funktion darin besteht, nachweisbar für Transparenz und Revisionsfähigkeit zu sorgen.
Ein Datenschutzmanagementsystem (DSMS) integriert sämtliche datenschutz- und datensicherheitsrelevanten Prozesse einer Organisation. Durch ein funktionierendes DSMS wird dafür gesorgt, dass schon in der Planungsphase beim Neu- oder Redesign von Informationstechnologie die künftige Einhaltung gesetzlicher Regelungen berücksichtigt wird. Beim Betrieb der Verfahren müssen anlassbezogen und regelmäßig Kontrollen der Verarbeitung auf ihre Ordnungsmäßigkeit hin durchgeführt werden können. Dies funktioniert nur dann effektiv und wirtschaftlich, wenn bei der Auswahl von Systemen und Programmen und bei den technischen und organisatorischen Vorgaben für den Einsatz eines Verfahrens auf zwei Aspekte besonders geachtet wird: Transparenz und Revisionsfähigkeit.
Ein DSMS umfasst diejenigen Kontroll- und Konzepttätigkeiten, die Datenschutzbeauftragte zusammen mit den fachlich und technisch Verantwortlichen regelmäßig oder anlassbezogen durchführen. Ein DSMS kann Bestandteil eines bereits bestehenden Gesamtprozessmanagements – beispielsweise eines Ministeriums – sein. Oder es dient als zentrale Steuerungs- und Kontrollinstanz für alle Aspekte des Einsatzes von Informations- und Kommunikationstechnologie in kleineren Verwaltungseinheiten, etwa auf kommunaler Ebene, und wird so als Kern des Prozessmanagements genutzt.
Zu einem Datenschutzmanagementsystem gehört ein Datenschutzbeauftragter, der alle in einer Organisation auftauchenden Datenschutzfragen betreut, sowie ein Regelwerk, aus dem hervorgeht, welche Prüfkriterien gelten, wie diese zu kontrollieren sind, welche Abweichungen vom Sollwert inakzeptabel sind und was bei inakzeptablen Abweichungen zu tun ist. Der Datenschutzbeauftragte beteiligt sich an der Erstellung datenschutzgerechter Regelwerke und stellt den Grad der Konformität von Verfahren zu diesen Regelwerken fest. Als Regelwerke gelten neben den Gesetzen auch interne Dienstvereinbarungen, Dienstvorschriften oder Verträge mit externen Dienstleistern. Das ULD empfiehlt gerade öffentlichen Stellen mit großer Regelungsverantwortung – allen voran Finanzministerium, Innenministerium und dataport, aber auch den Kreisverwaltungen –, sich an internationalen Standards zum Prozessmanagement zur Organisation des IT-Bereichs (z. B. ITIL, COBIT) zu orientieren. Hier sind viele bereits in der Praxis erprobte Prozesse und deren Management prototypisch beschrieben. Sie können als Grundlage für ein übergreifendes, integriertes Datenschutzmanagement dienen.
Ziel der Orientierung am Prozessmanagement ist eine Abkehr von der „freien Improvisation“, wie sie heute immer noch in vielen IT-Bereichen anzutreffen ist. Eine Datenverarbeitung „auf Zuruf“ ist bei öffentlichen Stellen schlicht unzulässig.
Transparenz bei der Verarbeitung personenbezogener Daten besteht, wenn sämtliche Tätigkeiten bei der Planung, der Einführung und dem Betrieb von IT-Verfahren vordefiniert und dokumentiert sind. Außerdem muss geklärt sein, wie der Betrieb kontrolliert wird bzw. werden kann.
Die Datenschutzverordnung des Landes (DSVO) fördert Transparenz vor allem durch ihre Anforderung an die Verfahrensdokumentation. In einem informationstechnischen Konzept, kurz IT-Konzept, müssen die technischen und organisatorischen Vorgaben sowie die erzielbaren Ergebnisse beschrieben werden. Datenschutzbeauftragte können über dieses Mittel Transparenz in der Planung und im Betrieb herstellen. Es ist jederzeit klar, wozu das Verfahren dient und, nicht minder wichtig, wie es eingesetzt werden wird. Eine öffentliche Stelle kann mit einem IT-Konzept den korrekten Ablauf der Verarbeitung personenbezogener Daten bereits frühzeitig festlegen.
Aufbauend auf dem IT-Konzept fordert die DSVO, dass diejenigen technischen und organisatorischen Maßnahmen in einem Sicherheitskonzept dokumentiert werden, mit denen die Vertraulichkeit, Integrität und Verfügbarkeit der Verarbeitung personenbezogener Daten sichergestellt sind. Während also im IT-Konzept dargestellt wird, was gemacht werden soll, wird im Sicherheitskonzept festgelegt, wie es möglichst sicher gemacht werden soll. Über das Sicherheitskonzept werden Fragen des Datenschutzes und der Sicherheit gestellt und beantwortet. Die Güte der Sicherheitsmaßnahmen wird durch eine kritische Betrachtung in einer Risikoanalyse geprüft.
IT-Konzept, Sicherheitskonzept und Risikoanalyse sind die zentralen Dokumente für ein funktionierendes Datenschutzmanagementsystem. Datenschutzbeauftragte müssen dafür sorgen, dass die Prozesse, mit denen Informationstechnik geplant, beschafft und in Betrieb genommen wird, sauber dokumentiert sind. Sie müssen darauf achten, dass die Integration von Datenschutz und Datensicherheit durch eine Beteiligung des Datenschutzbeauftragten in all diesen Prozessen gewährleistet ist. Dabei müssen sie vor allem dafür sorgen, dass der alltägliche Betrieb tatsächlich so funktioniert wie geplant. Hier setzt die Revisionsfähigkeit an.
Revisionsfähigkeit bezeichnet die Möglichkeit, dass prüfbar ist, ob bei einem konkreten Vorgang die gesetzlichen Vorgaben auch tatsächlich so eingehalten werden bzw. wurden, wie es vorher im IT- und Sicherheitskonzept festgelegt und dokumentiert wurde. Vielfach lassen sich Verfahren nicht so planen, dass eine Fehlfunktion oder ein Missbrauch vollkommen ausgeschlossen ist. Daher müssen in öffentlichen Verwaltungen Vorkehrungen getroffen werden, um Missbrauch oder Fehlfunktionen zumindest im Nachhinein zu erkennen und gegebenenfalls zu beheben. Im Rahmen von regelmäßigen oder anlassbezogenen Kontrollen müssen Datenschutzbeauftragte die ordnungsgemäße Funktion von Verfahren und die rechtmäßige Verwendung personenbezogener Daten kontrollieren können. Deshalb sind bereits bei der Planung eines Systems Prüfpunkte zu definieren, an denen die Korrektheit der Datenverarbeitung kontrolliert werden kann.
Die Datenschutzverordnung (DSVO) unterstützt hier IT-Verantwortliche und Datenschutzbeauftragte mit konkreten Anforderungen zur Protokollierung (28. TB, Tz. 6.5). Datenschutzbeauftragte müssen darauf achten, dass eine angemessene, aussagekräftige und zugleich gegenüber den Mitarbeitern datenschutzkonforme Protokollierung von Zugriffen auf personenbezogene Daten oder von administrativen Änderungen an Fachverfahren geplant und implementiert wird.
Erst durch eine derart transparente und revisionsfähige Datenverarbeitung ist ein effektives Management von Datenschutz und Datensicherheit möglich. Datenschutzbeauftragte müssen dafür sorgen, dass Datenschutz und Datensicherheit in sämtliche relevanten Prozesse einer Organisation eingebunden werden. Dies kann sowohl informell durch die Teilnahme an Planungsrunden oder der weitverbreiteten wöchentlichen Kaffeerunde mit den IT-Verantwortlichen geschehen als auch formal über schriftlich fixierte Prozessbeschreibungen. Ebenso lassen sich in Teilen Synergien mit anderen Abteilungen, die mit Controlling etwa aus betriebswirtschaftlicher Sicht befasst sind, erzielen.
Was ist zu tun?
Datenschutzbeauftragte müssen zusammen mit den Fachverantwortlichen für eine transparente und revisionssichere Datenverarbeitung sorgen. Die Leiterinnen und Leiter öffentlicher Stellen müssen diese Qualitätskriterien als wichtige Leitlinien für ihre Organisation begreifen und mit Nachdruck für deren Umsetzung sorgen.
6.2 ISO 27001 – der neue Grundschutz
Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik wurde Anfang dieses Jahres grundlegend überarbeitet. Die Überarbeitung erweist sich in der Praxis als hilfreich. Die BSI-Sicherheitskonzeption und die Anforderungen der Datenschutzverordnung wurden einander angenähert.
Das ULD hat das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschlagene Vorgehen zur Erstellung von Sicherheitskonzepten bereits mehrfach betrachtet und entsprechende Hinweise zur Nutzung und Weiterentwicklung gegeben (28. TB, Tz. 6.4). Unsere Kritik richtete sich vor allem auf die unbedarfte Anwendung der Maßnahmenkataloge unter Nutzung des Grundschutztools (GS‑Tool). Die derart erstellten Sicherheitskonzepte folgen meist nicht dem vom BSI angedachten Konzept, sondern werden methodisch unreflektiert automatisiert erstellt. Fehlt zudem die qualitative Dokumentation der Sicherheitsmaßnahmen, so sinkt die Aussagekraft derartig erstellter Dokumente weiter ab. Sicherheitskonzepte auf Knopfdruck kann es weiterhin nicht geben.
Geht man dagegen methodisch korrekt vor und hält sich an die vom BSI entwickelte Vorgehensweise, so kann IT-Grundschutz eine zuverlässige Methode sein, dem Stand der Technik entsprechende IT-Sicherheitsanforderungen zu identifizieren und Sicherheitsmaßnahmen umzusetzen. IT-Sicherheit bedeutet mehr als das Umsetzen von Katalogen von Sicherheitsmaßnahmen. Das ULD empfiehlt öffentlichen Stellen bei der Umsetzung der Datenschutzverordnung (DSVO), stets den Prozesscharakter von Datensicherheit und Datenschutz zu beachten. Das heißt konkret: Verantwortlichkeiten müssen geklärt und regelmäßige und anlassbezogene Kontrollen durchgeführt werden. Ferner sind Sicherheitskonzepte zu planen, umzusetzen und fortzuschreiben. Datenschutz und Datensicherheit müssen bereits in der Planungsphase neuer oder bei der Innovation laufender Verfahren berücksichtigt werden. Die Handlungsanweisung zur Durchführung des Datenschutz-Behördenaudits fasst diese Prozesse unter dem Begriff des Datenschutzmanagementsystems (DSMS) zusammen (Tz. 6.1).
Das BSI hat Ende 2005 eine Überarbeitung des Grundschutzhandbuchs vorgenommen. Als Implementierung des international ausgerichteten Standards ISO 27001 bietet es neben begrifflichen Veränderungen und einer Überarbeitung und Erweiterung der Maßnahmenkataloge als größte Neuerung eine verstärkte Prozesssicht auf IT-Sicherheit. Damit bewegt sich das Modell des IT-Grundschutzes auf die vom ULD im Sinne der DSVO geforderte qualitative Betrachtung von IT‑Sicherheit zu. Durch die Einführung eines Managementsystems für IT-Sicherheit (ISMS) werden erstmalig auch qualitative Aspekte der Durchsetzung von Datensicherheit betrachtet.
Die Einführung von Managementsystemen speziell für Datensicherheit und speziell für Datenschutz kann theoretisch unabhängig voneinander erfolgen. In der Praxis führt dies jedoch zu doppeltem Aufwand. Datenschutz ist und bleibt ein großer Treiber für Maßnahmen aus dem Bereich der Datensicherheit. Somit bietet es sich an, neben den vorhandenen Prozessen zum Datenschutz den eigenen Datenschutzbeauftragten auch mit dem Management der Datensicherheit gemäß dem IT-Grundschutz zu beauftragen. Hinderlich ist hierfür der bisherige Zustand des Kapitels „Datenschutz“ im Grundschutzhandbuch, weil es kein integraler Bestandteil und zudem rechtlich als auch technisch veraltet ist.
Das ULD arbeitet deshalb aktiv in einer Unterarbeitsgruppe des Arbeitskreises Technik der Datenschutzbeauftragten des Bundes und der Länder mit. Im Frühjahr 2007 will diese Arbeitsgruppe eine Erweiterung der BSI-Methodik um Datenschutzaspekte veröffentlichen. Darüber hinaus erarbeitet das ULD ein Vorgehensmuster, wie die Datenschutzverordnung in Verbindung mit ISO 27001 umgesetzt werden kann.
Was ist zu tun?
IT-Verantwortliche oder Datenschutzbeauftragte, die die Datenschutzverordnung in Verbindung mit ISO 27001 umsetzen möchten, können sich vom ULD beraten lassen.
6.3 Verzeichnisdienste I: Active Directory
Zentrale Verzeichnisdienste wie das von Microsoft angebotene „Active Directory“ bilden das Herz zur Verwaltung vieler Netzwerke. Hier werden Berechtigungen und Einstellungen für Benutzer, Benutzergruppen bzw. Abteilungen, Computer und Programme vorgenommen. Die Umsetzung der rechtlich geforderten Protokollierung, die über das Active Directory erfolgen kann, ist jedoch unzulänglich.
Die Einführung von Verzeichnisdiensten ermöglicht es, zentral Berechtigungen für die Ressourcen einer Organisation – also vor allem für Benutzer und Programme – zu vergeben. Dem Administrator bleibt erspart, jeden PC-Arbeitsplatz einzeln aufzusuchen, um dort die Benutzer und Passwörter einzurichten. Mit dem Active Directory von Microsoft (AD) ist der klassische Verzeichnisdienst um viele weitere Funktionen gewachsen. So können neben Benutzern auch Clients, Server und Drucker sowie die Anwendungsprogramme der Verfahren verwaltet und administriert werden. Die sogenannten Gruppenrichtlinien ermöglichen diese Steuerung von Berechtigungen. Diese komfortable Funktionalität erlaubt es wenigen Administratoren, eine vergleichsweise große Anzahl an Computern gleichzeitig und relativ übersichtlich zu verwalten.
Diese Zentralisierung der Macht hat aber zwei Seiten: Einerseits ist eine effiziente Steuerung möglich, andererseits entscheidet ein Administrator mit zwei Klicks zwischen so unterschiedlichen Berechtigungen wie „Gast“ oder „Domänenadministrator“. Wenn eine Organisation hierbei einem Administrator schlicht vertraut, ihn also nicht zu kontrollieren imstande ist, handelt sie fachlich fahrlässig und zugleich rechtswidrig. Eine Protokollierung von administrativen Tätigkeiten, die die Organisation der IT und der Verfahren betrifft, ist unabdingbar, um ein Fehlverhalten von Software sowie den Missbrauch von administrativen Rechten nachweisen und aufklären zu können.
Unsere Versuche und Tests im IT-Labor des ULD haben gezeigt, dass eine revisionssichere und manipulationssichere Protokollierung im AD zurzeit nicht möglich ist. Dieser Aussage wird von Microsoft nicht widersprochen. Die Funktionalitäten der kommenden Betriebssystemgenerationen lassen erkennen, dass sich daran erst einmal auch nichts wesentlich ändern wird. Es kommt hinzu, dass einige Protokolleinträge nur schwer lesbar sind, weil sie unverständliche Detailangaben und scheinbar unnütze, damit ermüdende Quasi-Informationen enthalten. Das ULD empfiehlt, trotz dieser Einschränkungen die Protokollierungsfunktionen unter den Windows-Betriebssystemen so weit wie möglich zu nutzen. Inzwischen gibt es Programme von Drittherstellern, die zumindest in Teilbereichen eine deutlich bessere Protokollierung von Änderungen im Active Directory ermöglichen. Dabei werden spezielle Protokoll- bzw. Logserver eingesetzt, deren Datenbestände auf Einwegmedien geschrieben sind, die dem Einzugsbereich der AD‑Administration entzogen sind. Zu beachten bleibt, dass die Protokollierung von Mitarbeitertätigkeiten als ein eigenständiges Verfahren aufzufassen und zu behandeln ist (28. TB, Tz. 6.5).
Was ist zu tun?
Active-Directory-Umgebungen protokollieren nur unzureichend entsprechend den gesetzlichen Anforderungen. In größeren und kritischen Umgebungen sollten spezielle Protokoll- bzw. Logserver eingesetzt werden.
6.4 Verzeichnisdienste II: Virtuelle Verzeichnisdienste
Das Kommunale Forum für Informationstechnik der Kommunalen Landesverbände in Schleswig-Holstein (KomFIT) hat mit dem Aufbau eines virtuellen Verzeichnisdienstes begonnen. Informationen aus unabhängigen Verzeichnisdiensten des kommunalen Bereichs sollen an einer zentralen Stelle abgerufen werden können.
Kreise und Kommunen in Schleswig-Holstein setzen Verzeichnisdienste ein, um Informationen über ihre Nutzer und IT-Infrastruktur an zentraler Stelle vorzuhalten. Im Rahmen eines landesweiten E-Governments besteht zudem Bedarf, diese Informationen auch anderen Interessierten sicher und datenschutzkonform bereitzustellen.
Durch Standardsystemkonzepte wie KITS („Kommunale IT-Standards“) nehmen bereits viele öffentliche Kommunen an einem zentralen Verzeichnisdienst (Tz. 9.1.9) teil. Dennoch werden Kommunen und Kreise weiterhin eigene Infrastrukturen planen und betreiben. Im Sinne eines datenschutzfreundlichen E-Governments müssen diese über offene, standardisierte Schnittstellen die für die Zusammenarbeit notwendigen Daten austauschen. Der Zugriff auf in Verzeichnisdiensten verfügbaren Daten ist eine wesentliche Komponente eines kooperativen E‑Government-Ansatzes.
In einem Modellprojekt hat sich das KomFIT nach ausführlicher Evaluation verschiedener Lösungsansätze für den Aufbau eines virtuellen Verzeichnisdienstes entschieden. Dieser integriert die Informationen aus verschiedenen Verzeichnissen dynamisch zur Laufzeit und stellt sich nach außen als ein einziges Verzeichnis dar. Das ist für eine dezentrale kommunale Struktur eine naheliegende Konstruktion. Dies bietet den Vorteil, dass die Speicherung und Pflege der Verzeichnisdaten vor Ort geschieht, also qualitätsorientiert nahe an den Datenquellen ist, der Abruf jedoch von zentraler Stelle aus geschehen kann.
Das ULD unterstützt KomFIT in der Projektarbeit. Wir haben die Rahmenkriterien für die Suche in den Datenbeständen definiert, um zu verhindern, dass beispielsweise über eine Suchanfrage der komplette Datenbestand ausgelesen werden kann. Weiterhin hat das ULD die Protokollierung begutachtet. Am Beispiel virtueller Verzeichnisdienste lässt sich erkennen, dass die Arbeit mit dezentralen Datenbeständen durchaus praktikabel und aus Datenschutzsicht sogar ein Gewinn sein kann.
Was ist zu tun?
Das KomFIT sollte das vielversprechende Projekt zu einer einsatzfertigen Lösung fortentwickeln – im Interesse des Aufbaus innovativer Lösungen beim kommunalen E-Government.
6.5 Systematische Dokumentation nach LDSG und DSVO – ein Strukturierungsvorschlag
Im Rahmen von Prüfungen, Beratungen und Audits stellten wir fest, dass vielen Verantwortlichen und Datenschutzbeauftragten die praktische Umsetzung einer datenschutzrechtlich konformen Dokumentation entsprechend dem Landesdatenschutzgesetz (LDSG) und der Datenschutzverordnung (DSVO) Schwierigkeiten bereitet.
Der Grund dafür ist nicht fehlende Sensibilisierung oder Unkenntnis gesetzlicher Vorschriften. Vielmehr ist es schwierig, die Zusammenhänge zwischen konzeptioneller Vorarbeit und laufender Systemdokumentation, organisatorischen und technischen Regelungen, Differenzierung einzelner automatisierter Verfahren und den Revisionsinstrumenten zu berücksichtigen und zugleich die Übersicht zu behalten. Deshalb haben wir dieses Thema aufgegriffen und einen Strukturierungsvorschlag als vorbildhaftes Beispiel einer ordnungsgemäßen Dokumentation erarbeitet. Dieser Vorschlag soll den Verantwortlichen exemplarisch eine Empfehlung an die Hand geben, wie eine datenschutzkonforme Dokumentation strukturiert, übersichtlich erstellt und bequem gepflegt werden kann.
Die Grundlage einer modularen, übersichtlichen und leicht zu erweiternden Dokumentation bildet ein übergeordneter Ordner, der die allgemeinen Konzepte, Verzeichnisse und Anweisungen enthält. Dieser Stammordner verweist in einzelnen Gliederungspunkten auf speziellere Dokumentationen. Das Verfahrensverzeichnis verweist beispielsweise auf die entsprechenden Verfahrensakten, das Inventarverzeichnis auf die entsprechenden Systemakten.
Das Verfahrensverzeichnis soll den Überblick und die öffentliche Kenntnis über alle automatisierten Verfahren einer Organisation sicherstellen. Wie in der Abbildung oben im Gliederungspunkt 04 dargestellt, kann im Stammordner ein Verfahrensverzeichnis in Form einer Auflistung der gesetzlich vorgeschriebenen Angaben erstellt werden. Diese Auflistung schafft aufgrund ihrer Kürze einen hohen Grad an Übersichtlichkeit und dient als eine Art „Deckblatt“, das den Verweis (Aktenzeichen) auf die ausführliche Dokumentation in einer Verfahrensakte liefert.
In die Verfahrensakte werden systematisch alle notwendigen Konzepte und Dokumentationen aufgenommen. Dabei kann die nebenstehende Gliederung bei jedem Verfahren unterschiedlich umfangreich ausfallen. Grundsätzlich werden in den Verfahrensakten immer dann Konzepte, Verträge oder Ähnliches aufgenommen, wenn sie sich speziell auf das Verfahren beziehen und nicht durch die allgemeine Dokumentation im Stammordner abgedeckt werden. So gehören z. B. Test und Freigabe, die spezifisch für jedes automatisierte Verfahren durchgeführt bzw. erteilt werden müssen, in die Verfahrensakte.
Das Inventarverzeichnis im Stammordner stellt in unserem Strukturierungsvorschlag die Verknüpfung zu den einzelnen Systemakten dar, in denen die einzelnen IT-Komponenten dokumentiert werden. In eine Systemakte gehören alle Konzepte, Verträge oder Ähnliches, die sich speziell auf die entsprechende IT-Komponente beziehen und nicht durch die allgemeine Dokumentation im Stammordner abgedeckt werden. So können z. B. die speziellen Berechtigungen, die für einen Systemadministrator an einem Datenbankserver vergeben wurden, in der Systemakte des Datenbankservers dokumentiert werden. Die laufende Dokumentation nimmt einen hohen Stellenwert beim Führen der Systemakte ein, z. B. das regelmäßige Protokoll zur Durchführung der Datensicherung.
Was wird mit der vorgestellten Struktur erreicht? Unser Gliederungsvorschlag orientiert sich an einem hierarchischen modularen System, das sowohl für einen Prüfer oder Auditor als auch für den Systemverantwortlichen und alle an der Dokumentation beteiligten Personen einen hohen Grad an Übersichtlichkeit, Strukturierung und Flexibilität liefert. So ist im Stammordner auf einen Blick sowohl der strukturelle und technisch-organisatorische Aufbau einer IT-Organisation ersichtlich als auch ein Überblick über die datenschutzkonforme Dokumentation entsprechend dem LDSG und der DSVO gegeben. Für nähere Informationen zu einem bestimmten Verfahren oder System kann dann entsprechend der vermerkten Verweise (Aktenzeichen) auf die spezielleren Dokumentationen in den Verfahrens- bzw. Systemakten zurückgegriffen werden. Die vorgeschlagene Struktur dient als Grundlage und muss an die technischen und organisatorischen Gegebenheiten der Daten verarbeitenden Stelle angepasst werden.
Was ist zu tun?
Die Strukturierung ist ein Gliederungsvorschlag zur datenschutzkonformen Dokumentation entsprechend dem LDSG und der DSVO. Jede öffentliche Stelle kann die beratende Unterstützung des ULD in Bezug auf die Konzeption und Umsetzung einer datenschutzkonformen Dokumentation in Anspruch nehmen.
6.6 Fehlermanagement über die Clearingstelle
Das melderechtliche Rückmeldeverfahren wird in Schleswig-Holstein und Hamburg über die Clearingstelle bei dataport vermittelt. Diese Clearingstelle hat eine grundlegende konzeptionelle Schwäche, weil dataport Zugriff auf Inhaltsdaten der Meldebehörden bekommt. Als positiv erweist sich dagegen das Fehlermanagement.
Seit Anfang 2007 erfolgt die Übermittlung der elektronischen Rückmeldung zwischen Meldeämtern nach bundeseinheitlichen Vorgaben. Im Grundsatz darf eine Meldung nicht mehr auf Papier, sondern nur noch digital erfolgen. Die Kommunikation zwischen den rund 200 Meldeämtern des Landes und der Hamburger Meldebehörde sowie den restlichen ca. 5200 Meldebehörden in Deutschland erfolgt in Schleswig-Holstein über eine zentrale Vermittlungsstelle, die sogenannte Clearingstelle.
Die Landesmeldeverordnung legt fest, dass die schleswig-holsteinischen Meldebehörden die Clearingstelle benutzen müssen. Sie kann aber nur eine Übergangslösung sein, weil die zentrale Übersetzung von Daten aus Sicherheitsgründen eine konzeptionelle Schwachstelle darstellt (28. TB, Tz. 6.7). Zudem sind die Meldebehörden in Schleswig-Holstein mittlerweile technisch in der Lage, deutschlandweit verschlüsselt direkt miteinander Daten auszutauschen. Ungeachtet dieser grundsätzlichen Einwände fällt nach Prüfung des mittlerweile vorliegenden Sicherheitskonzepts und der Erfahrungen aus dem ersten Betriebsmonat das Urteil über die Clearingstelle positiv aus.
Die Clearingstelle wird von Schleswig-Holstein und Hamburg gemeinsam betrieben; die operative Durchführung ist dataport übertragen worden. Die Übermittlung der Daten zwischen der Meldebehörde und dataport erfolgt verschlüsselt über das auditierte Landesnetz (Tz. 9.1.1). Der konzeptionell kritische Punkt beim Betrieb besteht darin, dass die Meldedaten bei einem Transfer über die Landesgrenzen von Hamburg und Schleswig-Holstein hinaus nicht schon in der absendenden Meldebehörde vor Ort, sondern erst in der Clearingstelle in das verschlüsselte Übermittlungsformat OSCI-Transport übersetzt werden. Im Prinzip wäre es nicht nötig, dass dataport überhaupt Zugriff auf die Inhaltsdaten bekommt.
Zusammen mit den Kollegen vom Hamburgischen Datenschutzbeauftragten konnte das ULD die Konzeptionierung der Clearingstelle begleiten. Zentrale rechtliche Fragen wurden geklärt und technische Sicherheitsanforderungen eingearbeitet. Die Clearingstelle konnte den Betrieb pünktlich und spezifikationsgemäß aufnehmen. Die ersten Erfahrungen Ende Januar 2007 belegen eine signifikante Zahl an Fehlermeldungen an der Clearingstelle, die durch Meldebehörden außerhalb von Schleswig-Holstein verursacht wurden. Fehlermeldungen mag man als Hinweis auf konzeptionelle Schwächen bedauern. Aus Datenschutzsicht sind sie hier aber ein positiver Indikator für ein umsichtiges Fehler- und Sicherheitsmanagement, denn eine Rückmeldenachricht darf selbstverständlich nicht zugestellt werden, wenn ein Zertifikat nicht gültig oder abgelaufen ist oder sich der Empfänger nicht korrekt identifizieren lässt. Aufgrund der Fehlermeldungen kann dataport systematisch feststellen und nachvollziehen, dass einige Meldebehörden bzw. Clearingstellen in anderen Ländern ihre Technik nicht korrekt betreiben, und bei diesen entsprechende Fehlerkorrekturen anmahnen bzw. veranlassen.
Trotz der positiven Erfahrung mit der Clearingstelle im Rückmeldeverfahren gilt nach wie vor, dass sie nicht die Anforderung einer Ende-zu-Ende-Sicherheit erfüllt. Voraussetzung für einen etwaigen Einsatz der Clearingstelle für andere Daten und Nachrichten im Sinne eines „universellen Nachrichtenbrokers“ ist die Prüfung, ob der damit verbundene Zugriff in der Clearingstelle auf die Inhaltsdaten erforderlich ist.
Was ist zu tun?
Der Betrieb der Clearingstelle muss durch ein Datenschutzmanagement flankiert werden, in dem systematisch Fehlermeldungen ausgewertet und bearbeitet werden. Der Nachrichtenbroker muss nachweisen, dass er die hohen Anforderungen an die Mandantenfähigkeit zur Erfüllung der Anforderungen aus Datenschutz und Datensicherheit sowohl konzeptionell als auch im Betrieb erfüllt.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |