9 Audit und Gütesiegel
9.1 Datenschutz-Audit konkret
9.1.1 Landesnetz Schleswig-Holstein
Das Verwaltungsnetz des Landes wurde erfolgreich auditiert. Das Finanzministerium und die von ihm beauftragten Dienstleister dataport und T‑Systems Enterprise Services GmbH haben mit großem Engagement die mit dem ULD gemeinsam festgelegten Datenschutzziele erreicht.
Das Audit für das Landesnetz Schleswig-Holstein (LN) konnte im Rahmen der alljährlichen Sommerakademie an Finanzminister Rainer Wiegard im August 2006 übergeben werden. Das Finanzministerium als verantwortlicher Betreiber hat alle Anforderungen umgesetzt, die aus Sicht des ULD für eine sichere Kommunikation notwendig sind (28. TB, Tz. 9.1.1). Das Landesnetz verfügt nun über herausragende Sicherheitsfunktionen, die über die Landesgrenzen hinaus zur Nachahmung einladen.
Besonders hervorzuheben ist die für das LN erstellte Generaldokumentation. Sie bildet auf einem hohen qualitativen Niveau die technische und organisatorische Grundlage für die Verfahrensweise und die komplexen Arbeitsabläufe im LN. Darüber hinaus beinhaltet sie die ganzheitliche Sicht der Prozesse aus Kunden- und Betreibersicht für den Transport der Daten. Sie ist sowohl für den Nutzer als auch für den Betreiber nachvollziehbar und verständlich erstellt und besteht aus folgenden Modulen:
- Teil 1: Beschreibung der IT-Systeme
- Teil 2: Sicherheitskonzept
- Teil 3: Weiterführende Dokumentation
- Teil 4: Verträge mit dataport
- Teil 5: Verträge mit T-Systems Enterprise Services GmbH
- Teil 6: Verträge mit den Nutzern
Ein weiteres Highlight im LN sind die integrierten Revisionswerkzeuge. Für das LN wurde ein automatisiert eingerichtetes Berichtswesen entwickelt, das die Umsetzung der Kundenaufträge transparent, lesbar und verständlich darstellt. Die Berichte enthalten Informationen über die Kommunikationsparameter zwischen Nutzern des LN untereinander sowie über die Parameter zwischen Nutzern des LN und dataport. Zudem erhalten die Nutzer ein Revisionstool – Landesnetz Router Controll (LNRC) – zur Überwachung der administrativen Aktivitäten auf dem beim Kunden installierten Landesnetzrouter (Übergaberouter).
Über das beim Finanzministerium eingerichtete Sicherheitsmanagement besteht die Möglichkeit, die beauftragten und tatsächlich umgesetzten Kommunikationseinstellungen zu kontrollieren.
Zusammenfassend konnten im Auditverfahren folgende datenschutzfreundliche Aspekte festgestellt werden:
- Mit dem Einsatz der MPLS-Technologie und der Einrichtung redundanter Netzkomponenten wird durch den vom Finanzministerium beauftragten Netzbetreiber T-Systems Enterprise Services GmbH sichergestellt, dass während des Transports der Daten über das LN die Verfügbarkeit, Vertraulichkeit und die Integrität sowie die Ordnungsmäßigkeit der Datenverarbeitung gewährleistet werden.
- Dataport stellt sicher, dass die im LN eingesetzten Übergaberouter und die Verbindungsfirewall nach den Kommunikationsparametern der Nutzer ordnungsgemäß administriert werden.
- Sicherheitsrelevante Ereignisse können über das automatisierte Berichtswesen sowie den Einsatz eines Revisionstools (LNRC) von den Administratoren der Landesnetznutzer rechtzeitig erkannt und ausgewertet werden.
- Die technischen und organisatorischen Abläufe im LN werden in der Generaldokumentation vollständig beschrieben.
- Das Finanzministerium hat für die Aufrechterhaltung eines hohen Sicherheitsniveaus ein Datenschutz- bzw. Sicherheitsmanagement eingerichtet, das eine umfassende Qualitätssicherung der sicherheitsrelevanten Landesnetzeigenschaften betreibt und auf Sicherheitsvorfälle zeitnah reagiert.
- Alle von dataport und T-Systems Enterprise Services GmbH getroffenen Sicherheitsmaßnahmen sind in dem „Katalog der Sicherheitsmaßnahmen im Landesnetz“ (KdS) festgelegt und damit Bestandteil des Sicherheitskonzepts.
Das ULD stuft das Landesnetz als ein abgeschlossenes Netzwerk ein, in dem personenbezogene Daten der Nutzer unverschlüsselt, aber isoliert von anderen Nutzergruppen transportiert werden können. Eine Verschlüsselung der im Rahmen von Fachanwendungen zu transportierenden Daten ist nur erforderlich, wenn die in dem Sicherheitskonzept des Finanzministeriums beschriebenen Restrisiken von der verantwortlichen Stelle als nicht tragbar bewertet werden. Zur Minimierung der Restrisiken bietet es sich an, die Daten vom Absender bis zum Empfänger zu verschlüsseln (Ende-zu-Ende-Verschlüsselung). Für Zweifelsfälle bietet das ULD seine Beratung an.
Das ULD hat zeitgleich zur Auditierung Hinweise zur Nutzung des Landesnetzes im Internet veröffentlicht, in dem die Nutzer auf ihre datenschutzrechtliche Verantwortlichkeit für ihr lokales Netz von der Schnittstelle des Übergaberouters an und die Befolgung bestimmter Verhaltensregeln hingewiesen werden. Dazu gehört die Beauftragung von Kommunikationsbeziehungen, die Prüfung und gegebenenfalls Korrektur der Berichte über die erfolgten Einstellungen ihrer Kommunikationsbeziehungen gegenüber dataport sowie die Installation und Nutzung des von dataport bereitgestellten Revisionstool „LandesNetzRouterControl“ (LNRC), um die Einstellungen auf dem Übergaberouter überprüfen zu können. Die Hinweise sind veröffentlicht unter
www.datenschutzzentrum.de/landesnetz/060828-hinweise.htm
Was ist zu tun?
Das Finanzministerium muss das erreichte Sicherheitsniveau dauerhaft aufrechterhalten. Die Nutzer sind verpflichtet, die Berichte über die Einstellungen ihrer Kommunikationsbeziehungen zu prüfen und gegebenenfalls gegenüber dataport zu korrigieren sowie das Revisionstool „LandesNetzRouterControl“ (LNRC) zu installieren und zu nutzen.
9.1.2 Stadt Pinneberg
Das ULD hat der Stadtverwaltung Pinneberg mit der Verleihung eines Auditzeichens bestätigt, dass sie sicherheitstechnisch und datenschutzrechtlich im Bereich ihrer internen Datenverarbeitung sowie des Internetanschlusses gut aufgestellt ist.
Die Bestandsaufnahme vor Ort hat nur wenige und schnell zu behebende Lücken in der IT-Konzeption, Konfiguration und Dokumentation der Systeme ergeben. Auf einem guten und teilweise sehr hohen Niveau erfolgt in Pinneberg der Betrieb des Serverraums, die Aufstellung, Konfiguration und Administration der Server sowie das Vorgehen bei der Einführung neuer Fachverfahren. Nach der Bestandsaufnahme musste der bereits gut funktionierende IT-Betrieb nur noch an wenigen Ecken abgerundet werden. Vor allem war das Datenschutzmanagementsystem (DSMS) zusammen mit dem neu bestellten Datenschutzbeauftragten, dessen Vorgänger und dem Leiter des IT-Bereichs neu zu definieren und mit Leben zu füllen.
Das Zertifizierungsverfahren wurde dadurch vereinfacht, dass sich die Datenverarbeitung der Stadt auf bereits vom ULD zertifizierte Produkte und Dienstleistungen stützen konnte. Die Stadt verfügt für ihre elektronische Kommunikation über einen zertifizierten Landesnetzanschluss (Tz. 9.1.1) mit bereits geprüften Sicherheitsfunktionen. Zudem setzt die Stadt Pinneberg das vom ULD im Sommer 2006 rezertifizierte Firewall-System von dataport ein.
Die durch das vorliegende Audit erfassten Verarbeitungsprozesse zeichnen sich insbesondere durch folgende datenschutzfreundliche Aspekte aus:
- Der technische Aufbau und Betrieb des Serverraumes ist vorbildlich.
- Alle Fachanwendungen und die mit ihnen verarbeiteten Daten werden strukturiert zentral auf den Servern verwaltet. Die Abschottung der Fachanwendungen untereinander ist sichergestellt. Die Zugriffe auf die Anwendungen sind durch eine transparente Zugriffsregelung gewährleistet.
- Die IT-Systeme sowie die auf ihnen eingesetzten Fachverfahren sind gut dokumentiert. Für jedes Fachverfahren ist ein Verantwortlicher benannt. Die jeweiligen Pflichten des IT-Bereichs und der Fachverfahrensverantwortlichen sind im IT-Konzept nachvollziehbar und eingängig festgelegt.
- Für die Absicherung und Kontrolle des Anschlusses an externe Netze werden Sicherheitskomponenten eingesetzt, die unerwünschte Zugriffe abwehren und den Transport schadhafter Inhalte verhindern.
- Die auf den Arbeitsplatz-PCs enthaltenen Funktionen sind durch den Einsatz von Gruppenrichtlinien auf ein Mindestmaß reduziert. Der Zugriff auf externe Schnittstellen wird über eine Sicherheitssoftware zentral reglementiert.
- Der IT-Bereich verfügt für Test- und Weiterbildungszwecke über eine Testumgebung. In dieser Testumgebung werden auch administrative Änderungen an Fachverfahren durch den Fachverfahrensverantwortlichen vor dem Einsatz in der Produktivumgebung getestet und freigegeben.
- Zur Einführung und Weiterentwicklung von Fachverfahren ist ein Prozess definiert, der für eine umfassende Berücksichtigung möglicher Anforderungen aus den Bereichen Datenschutz und Datensicherheit sorgt.
- Die Auswertung von Protokollen ist geregelt. Die Revisionstools zur Überwachung des Landesnetzzugangs befinden sich im Einsatz.
Was ist zu tun?
Die Stadt Pinneberg wird das erreichte hohe Niveau im Bereich Datensicherheit halten. Über ein Datenschutzmanagementsystem sind Prozesse etabliert, um Datenschutz und Datensicherheit in Zukunft auf dem jetzt nachgewiesenen hohen Niveau zu gewährleisten.
9.1.3 Neues Audit für Personalverwaltungs- und Informationssystem in Norderstedt
Anfang 2007 wurde die Reauditierung des Personalverwaltungs- und Informationssystems der Stadt Norderstedt mit der Verleihung des Datenschutzauditzeichens abgeschlossen.
Das Personalverwaltungs- und Informationssystem der Stadt Norderstedt hat einen modularen Aufbau mit verschiedenen Funktionalitäten wie die Verwaltung von Personalstammdaten, Organigrammerstellung, Stellenplanbewirtschaftung, Protokollierung und Datenschnittstellen zu anderen Programmen. Das Reauditierungsverfahren überprüfte erneut dieses System, dessen Einführung 2003 auditiert worden war (26. TB, Tz. 9.2.2).
Im Vordergrund der Untersuchung stand die Funktionsfähigkeit des Datenschutzmanagementsystems. Es zeigte sich, dass die selbst gesteckten Ziele erreicht wurden, einen datenschutzgerechten Betrieb und die laufende Anpassung des Systems und seiner Erweiterungen an die Anforderungen des Datenschutzes sicherzustellen. Bei der Einführung zweier neuer Programmmodule ging die Stadt Norderstedt mit derselben Sorgfalt vor. Die neu auditierten Module stellen Funktionen für die Organisation von Fortbildungsveranstaltungen und für die automatisierte Erzeugung von Dokumenten mit Daten aus dem Personalverwaltungs- und Informationssystem bereit. Aus der Auditierung 2003 und dem laufenden Betrieb war bekannt, dass einige datenschutzrechtliche Anforderungen zwar mithilfe der Software erfüllt werden können, dies aber nur manuell erfolgte, z. B. die Löschung nicht mehr benötigter Daten. Notwendige Ergänzungen der Software, die diese Arbeitsschritte automatisieren, wurden von der Stadt Norderstedt beim Hersteller der Software angefordert und durch diesen inzwischen umgesetzt. Sie kommen allen Kunden des Herstellers zugute.
Die von der Stadt Norderstedt vorgelegte Datenschutzerklärung zeigt, dass das Personalverwaltungs- und Informationssystem ein gutes datenschutzrechtliches Niveau erreicht hat und dies auch zukünftig beibehalten wird. Dies ist nicht zuletzt der Entscheidung zuzuschreiben, einen behördlichen Datenschutzbeauftragten zu bestellen – dieser hat das Audit maßgeblich unterstützt.
Was ist zu tun?
Die Reauditierung zeigt, dass mit dem Datenschutz-Audit eine dauerhafte Verbesserung des Datenschutzes in öffentlichen Einrichtungen erreicht werden kann, indem die hohen Maßstäbe bei Änderungen und Ergänzungen eingehalten werden. Bereits auditierte Stellen können bei einer Reauditierung auch solche Ergänzungen überprüfen lassen.
9.1.4 Gemeinde Ratekau
Mit seiner offensiven Herangehensweise an das Thema Datenschutz und Datensicherheit tut sich die Gemeinde Ratekau positiv hervor. Der Bürgermeister und seine Mitarbeiterinnen und Mitarbeiter räumen dem Datenschutz und der Datensicherheit einen hohen Stellenwert ein.
Anfang Dezember 2006 wurde der Gemeinde Ratekau vom ULD ein Datenschutzauditzertifikat für den vorbildlichen Betrieb ihrer IT-Systeme verliehen. Die Gemeinde hat für ihr Verwaltungsnetz ein Sicherheitskonzept erarbeitet, in dem Maßnahmen für die Absicherung der internen IT-Systeme und des Anschlusses des internen Verwaltungsnetzes an das Internet festgelegt sind. Mit diesen technischen Sicherheitsfunktionen werden die im internen Netz verarbeiteten Daten hinreichend geschützt. Darüber hinaus werden den Mitarbeitern die Internetdienste „E-Mail“ und „WWW“ zur Kommunikation mit Bürgern und anderen Verwaltungen sowie zur Beschaffung dienstlicher Informationen auf sicherem und datenschutzkonformem Wege ermöglicht.
Folgende in dem Sicherheitskonzept festgelegte Maßnahmen sind besonders hervorzuheben:
- Die auf den Arbeitsplatz-PCs verfügbaren Funktionen sind auf ein Mindestmaß reduziert.
- Die Disketten- und CD-ROM-Laufwerke sowie der USB-Port sind weitgehend deaktiviert.
- Die Fachanwendungen werden strukturiert zentral auf den Servern verwaltet.
- Der Internetanschluss ist durch eine qualifizierte Viren- und Contentmanagementsicherheitssoftware geschützt.
Grundlage der Überprüfung der IT-Systeme war eine detaillierte Dokumentation. Geprüft wurde im Zusammenwirken mit der bei der Gemeindeverwaltung tätigen behördlichen Datenschutzbeauftragten, ob die systemtechnischen Datenschutzvorschriften von den Fachabteilungen beachtet werden.
Bezüglich der Umsetzung und Einhaltung der technischen Sicherheitsmaßnahmen konnte darüber hinaus gewürdigt werden, dass sich der IT-Koordinator der Gemeindeverwaltung über die Teilnahme an Seminaren der DATENSCHUTZAKADEMIE besonders qualifiziert hatte. Ihm war kurz vor der Auditierung von der DATENSCHUTZAKADEMIE das Datenschutzzertifikat für Systemadministratoren verliehen worden (26. TB, Tz. 16.4).
Was ist zu tun?
Eine erfolgreiche Zertifizierung bestätigt der Verwaltung, dass sie ihre Hausaufgaben gemacht hat. Die Bürgerinnen und Bürger können sich auf eine sichere Verarbeitung ihrer Daten verlassen. Deshalb sollten sich nicht zertifizierte Kommunen an dem Sicherheitsstandard der Gemeinde Ratekau orientieren.
9.1.5 Kreis Plön
Die IT-Abteilung der Kreisverwaltung Plön setzt mit der angestrebten Auditierung ihres Sicherheitskonzepts zu Kreisnetz, zu Teilbereichen des Rechenzentrums sowie zum Internetzugang für die Kommunen neue Maßstäbe. Schon in der ersten Phase des Auditprozesses ist zu erkennen, dass die IT‑Abteilung gute und professionelle Arbeit leistet.
Der Kreis Plön bietet bisher schon auf hohem Sicherheitsniveau für seine Kommunen IT-Dienstleistungen an (27. TB, Tz. 6.6.3). Hierfür wurde beim Kreis ein sternförmig strukturiertes Kreisnetz und eine sogenannte Service Area geschaffen. Die IT-Abteilung wirkt darauf hin, dass die Regelungen zur Auftragsdatenverarbeitung und Datensicherheit beachtet werden. Auf der Basis eines Betreibervertrages zwischen Kreis und Netzlieferant werden zwischen den Kommunen und dem Kreis Dienstleistungsverträge geschlossen, in denen die Rechte und Pflichten der Vertragspartner auch im Hinblick auf den Datenschutz festgelegt sind. Die Kunden bzw. Kommunen werden in die Lage versetzt, die vom Kreis angebotenen Leistungen nachzuvollziehen. Sie können ihren Kontrollpflichten gegenüber dem Kreis im Rahmen der Auftragsdatenverarbeitung nachkommen.
Die IT-Abteilung des Kreises möchte ihr Sicherheitskonzept vor allem für das Kreisnetz, Teilbereiche der Service Area sowie den als Dienstleistung für die Kommunen angebotenen Internetzugang auditieren lassen. Zudem soll unter der Berücksichtigung gesetzlicher Regelungen eine praxiskonforme Dokumentation des Rechenzentrumsbetriebes erstellt werden. Diese soll als Muster anderen Kreisverwaltungen zugänglich gemacht werden. Eine Zusammenarbeit findet bereits mit dem Kreis Nordfriesland statt (Tz. 9.1.6).
Was ist zu tun?
Die Strategie der IT-Abteilung des Kreises Plön hat Vorbildcharakter.
9.1.6 Kreis Nordfriesland
Die Kreisverwaltung Nordfriesland setzt im Rahmen seiner E-Government-Strategie einen Schwerpunkt auf interkommunale Zusammenarbeit. Die von der Kreisverwaltung betriebenen IT-Systeme werden auf den neuesten Stand der Technik gebracht, um bei der Kooperation mit anderen Kommunen Datenschutz und Datensicherheit gewährleisten zu können.
Das von der Kreisverwaltung Nordfriesland betriebene Kreisnetz und Rechenzentrum wird im Rahmen des Audits nach den Anforderungen der vom Kreis für die Kommunen angebotenen Dienstleistungen umgestaltet (28. TB, Tz. 9.1.5). Ziel ist es, unter Wahrung hoher Flexibilität ein Sicherheitsniveau zu erreichen, das die Integrität, Vertraulichkeit und Verfügbarkeit der Daten der Kunden gewährleistet. Dabei geht es um folgende Maßnahmen:
- Virtualisierung der Datenhaltung durch die Einrichtung eines Storage Area Networks (SAN),
- abgeschotteter Einsatz von mehreren Applikationen auf einem Server durch den Einsatz von VMware,
- Einrichtung von sogenannten VLANs, um die Datenkommunikation über das Kreisnetz bis zur Applikation voneinander zu trennen.
Die Kreisverwaltung setzt hauptsächlich die Terminalservertechnologie ein, womit die Datenverarbeitung vom Client auf zentrale IT-Komponenten verlagert wird. Dies hat nicht nur wirtschaftliche Vorteile, sondern erleichtert auch die Administration und erhöht die Datensicherheit. Der Einsatz dieser zukunftsgerichteten Technologien erfordert organisatorische Veränderungen im Bereich der IT‑Abteilung der Kreisverwaltung.
Was ist zu tun?
Die Kreisverwaltung sollte ihren Weg der Verwaltungsmodernisierung fortführen und die ihr nachgeordneten Kommunen bei dem Betrieb ihrer IT-Systeme mit einem breit angelegten Dienstleistungsangebot unterstützen.
9.1.7 Fördermaßnahmen EAGFL und ELER des Ministeriums für Landwirtschaft, Umwelt und ländliche Räume
Ein beim Ministerium für Landwirtschaft, Umwelt und ländliche Räume (MLUR) durchgeführtes Audit soll bestätigen, dass die Zahlstelle und die dort für die Fördermaßnahmen eingesetzten IT-Systeme (ZIAF) nach den nationalen und europarechtlichen Vorgaben betrieben werden.
Der ländliche Raum wird durch den Europäischen Ausrichtungs- und Garantiefonds für die Landwirtschaft (EAGFL) und den Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) gefördert. Die Kommission der Europäischen Gemeinschaft (EU-Kommission) hat für die ordnungsgemäße Abwicklung der zur Verfügung gestellten Finanzmittel EU-Verordnungen erlassen, die von den eingerichteten Zahlstellen der einzelnen Bundesländer einzuhalten sind. Für die Umsetzung der Verordnung haben sich die Bundesländer auf die Anwendung des IT-Grundschutzhandbuchs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verständigt (28. TB, Tz. 9.1.3).
Im Dezember 2006 hat die EU-Kommission in einem anderen Bundesland eine erste Überprüfung einer Zahlstelle durchgeführt. Bereits Art und Umfang der im Rahmen dieser Prüfung vorzulegenden Unterlagen verdeutlichen, dass die EU‑Kommission hohe Anforderungen an die IT-Sicherheit stellt. Hierzu zählen insbesondere Informationen über die Verantwortlichkeiten, Sicherheitskonzepte, Netzpläne, Hard- und Software sowie Anwendungen, Jahrespläne der Innenrevision, Notfallplan und Katastrophenmanagementkonzept, Softwareentwicklungsmethoden, Verfahrensänderungsmanagement, Verfahrensanweisungen, Checklisten und Datenprotokolle.
Das Ministerium für Landwirtschaft, Umwelt und ländliche Räume (MLUR) nimmt die Vorgaben der Europäischen Kommission sehr ernst und hat bereits zu Beginn des Audits eine Lenkungsgruppe sowie Arbeitskreise eingerichtet, um die geforderten Sicherheitsanforderungen bis zum Sommer 2007 erfüllen zu können.
Nach den europäischen Anforderungen muss auch der Dienstleister dataport für das Verfahren seine Prozesse der Datenverarbeitung in den Bereichen Rechenzentrum sowie IT-Entwicklung an dem Sicherheitsstandard „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausrichten und diese erfüllen. Hierzu hat das ULD im Rahmen seiner Auditierung im Februar 2007 gemeinsam mit dataport eine umfassende Bestandsaufnahme durchgeführt, auf deren Grundlage die erforderlichen Maßnahmen zur Gewährleistung des IT-Grundschutzes getroffen und umgesetzt werden können.
Was ist zu tun?
Die im Rahmen des Audits zu erledigenden Aufgaben müssen zügig und konstruktiv von allen projektbeteiligten Mitarbeitern bearbeitet werden, damit das MLUR bis zum Sommer 2007 die Vorgaben der Europäischen Kommission einhalten kann.
9.1.8 SAP R/3 Kosten- und Leistungsrechnung
Das Finanzministerium hat zur Modernisierung und Steuerung der Verwaltungsprozesse SAP R/3 eingeführt. Das ULD hat im Rahmen eines Audits eine Bestandsaufnahme durchgeführt und aufgezeigt, an welchen Stellen organisatorische und technische Strukturen verbessert werden können.
Das Finanzministerium hat zur Modernisierung und Steuerung der Verwaltungsprozesse SAP R/3 eingeführt und strebt eine Auditierung des Verfahrens an. Aus diesem Grund hat das Finanzministerium das ULD beauftragt, eine Bestandsaufnahme durchzuführen (28. TB, Tz. 9.1.2). Diese wurde im März 2006 abgeschlossen und dem Finanzministerium als Betreiber des Verfahrens in einem umfassenden Bericht dargestellt. Das Finanzministerium beabsichtigt, die Anforderungen aus Datenschutz und Datensicherheit im Rahmen eines Redesign des SAP R/3-Verfahrens mit Unterstützung des ULD umzusetzen.
Was ist zu tun?
Auch im Redesign muss das SAP R/3-Verfahren die gesetzlichen Anforderungen aus Datenschutz und Datensicherheit erfüllen.
9.1.9 KITS (Kommunale IT-Standards )
Die Auditierung des Standardsystemkonzeptes für die Bürokommunikation im kommunalen Bereich kommt voran. Zur Lösung sicherheitstechnischer Herausforderungen haben die Beteiligten KomFIT, das Finanzministerium und das ULD einfache und innovative Lösungen gefunden.
Das Finanzministerium als Betreiber der IT-Infrastruktur für KITS („Kommunale IT-Standards“) und den Landesstandard IKOTECH III hat zusammen mit dem Kommunalen Forum für Informationstechnik der Kommunalen Landesverbände in Schleswig-Holstein (KomFIT) das ULD mit der Auditierung des Standardsystemkonzeptes für die Bürokommunikation im kommunalen Bereich beauftragt (28. TB, Tz. 9.1.4). Ziel der Auditierung ist das Angebot eines datenschutzgerechten Standards für die Bürokommunikation in den Kommunalverwaltungen.
Technische Unzulänglichkeiten der am Markt verfügbaren Produkte (Tz. 6.3) haben zusätzliche aufwendige organisatorische und technische Maßnahmen notwendig gemacht. So ist zur Kontrolle des Microsoft Active Directory das Produkt eines Drittherstellers notwendig. Auch bedarf es zur Absicherung der dezentralen Serversysteme zusätzlicher Sicherheitsmaßnahmen vor Ort. Die Auditierung wird zeitnah erreicht werden können.
Was ist zu tun?
Nach zügigem Abschluss des KITS-Audits kann den Kommunen eine funktionstaugliche und datenschutzkonforme Bürokommunikation angeboten werden.
9.1.10 Christian-Albrechts-Universität
Das ULD wird zusammen mit der rechtswissenschaftlichen Fakultät und dem Rektorat der Christian-Albrechts-Universität die automatisierte Verarbeitung der Studierendendaten zur Durchführung von Studiengängen auditieren.
Die Christian-Albrechts-Universität (CAU) unterwirft als erste Universität im Land Teile ihrer Datenverarbeitung freiwillig einer externen Sachverständigenüberprüfung. Die Organisation der Datenverarbeitung sowie die Gewährleistung ihrer Ordnungsmäßigkeit sind an Hochschulen im Vergleich zu anderen öffentlichen Verwaltungen nicht einfach. Die institutionelle Autonomie von Hochschule und Fakultäten erschwert die Umsetzung datenschutzrechtlicher Regelungen und bewährter technischer Praktiken. Wir erhoffen uns von dieser Auditierung eine positive Vorbildwirkung für andere Fakultäten und Hochschulen des Landes.
Was ist zu tun?
Nach erfolgreicher Auditierung sollten auch andere Fakultäten und Hochschulen in Schleswig-Holstein eine Begutachtung ihrer Datenverarbeitung in Betracht ziehen.
9.1.11 Gemeinde Stockelsdorf
Nach einer durch Personalwechsel bedingten Verzögerung befindet sich Stockelsdorf auf der Zielgeraden: Das Auditzeichen ist in Sicht.
Die Gemeindeverwaltung Stockelsdorf lässt ihre interne Datenverarbeitung sowie ihren Internetanschluss auf die Konformität mit den datenschutzrechtlichen Vorgaben in einem Auditverfahren überprüfen (28. TB, Tz. 9.1.6). Die Verwaltung wird im Frühjahr 2007 ihre Informations- und Kommunikationsinfrastruktur neu konzeptioniert haben. Dank eines schlanken Konzeptes zur Gliederung der Dokumentation gemäß der Datenschutzverordnung (Tz. 6.5) erhält Stockelsdorf eine aussagekräftige und handhabbare IT-Sicherheitsinfrastruktur.
Was ist zu tun?
Stockelsdorf muss die begonnenen Maßnahmen jetzt zügig umsetzen.
9.1.12 Stadt Flensburg
Die Anbindung eines verwaltungsinternen Netzes an fremde Netzwerke muss sorgfältig geplant und umgesetzt werden.
Die Stadt Flensburg hat für die sichere Anbindung ihres Verwaltungsnetzes an andere Netzwerke ein zentrales Firewall-System aufgebaut, das in Eigenregie administriert wird. Über das System wird jegliche Kommunikation mit unsicheren Netzen – etwa dem Internet – geleitet und kontrolliert. Das ULD auditiert dieses Firewall-System. Die Bestandsaufnahme im Rahmen des Auditverfahrens hat ergeben, dass das Konzept dieses Systems gut durchdacht und umgesetzt worden ist. Die Defizite in der Sicherheitsdokumentation werden zurzeit nach den Vorgaben des ULD behoben. Hierzu wurde ein Dokumentationsrahmen erarbeitet, der von den Administratoren der Stadt Flensburg mit den erforderlichen Inhalten ausgefüllt wird.
Was ist zu tun?
Die Stadt Flensburg führt den vielversprechenden Weg einer datenschutzkonformen Dokumentation ihres Firewall-Systems zu Ende.
9.2 Datenschutz-Gütesiegel
9.2.1 Abgeschlossene Gütesiegelverfahren
2006 konnten wir zahlreichen Produkten ein Datenschutz-Gütesiegel verleihen. Fünf Produkte wurden erstmalig zertifiziert. Fünf weitere Produkte wurden nach Fristablauf der ersten Zertifizierung in einem vereinfachten Verfahren rezertifiziert.
Das hohe Interesse an Rezertifizierungen zeigt, dass das Gütesiegel den Herstellern einen echten Wettbewerbsvorteil bietet. Zwar blieben die absoluten Zertifizierungszahlen etwas hinter denen des Vorjahres zurück, doch weisen Ankündigungen von Herstellern darauf hin, dass 2007 aller Voraussicht nach eine spürbare Steigerung der Anträge zu verzeichnen sein wird.
Im Einzelnen wurden folgende Produkte neu zertifiziert:
- Verfahren zur Vernichtung von Akten und Datenträgern durch die recall Deutschland GmbH,
- e-health.solutions, Version 4.0: Ein klinisches Datenmanagement, das der Integration medizinischer IT-Systeme im Krankenhaus dient und den Workflow am klinischen Arbeitsplatz unterstützt,
- Verfahren der Akteneinlagerung der recall Deutschland GmbH: Im Rahmen eines Auftrags zur Akteneinlagerung erfolgt gemäß dem jeweiligen Schutzbedarf sowohl die reine Archivierung von Akten als auch das Bereitstellen einer externen Akten-/Archivhaltung mit Anforderungsmöglichkeit durch den Kunden,
- Modul „EVA Beitrag“ der „Erweiterten Verwaltungsanwendung – EVA“, Version 2.09: Hierbei handelt es sich um eine Branchenlösung für Industrie- und Handelskammern, die zentral bei der IHK-GfI gehostet und IHKn zur Verfügung gestellt wird; das Modul EVA Beitrag dient der Verwaltung, Veranlagung und Erhebung von Beiträgen,
- Verfahrensregister 2.1 der FinanzIT GmbH: Dient der Unterstützung des betrieblichen Datenschutzbeauftragten bei der Erstellung und Verwaltung eines Verfahrensregisters.
Im Rezertifizierungsverfahren wurden folgende Produkte in einem vereinfachten Verfahren (27. TB, Tz. 9.1.4) erneut überprüft und zertifiziert:
- TightGate-Pro, Version 1.2: Softwaresystem mit VNC-Server, der unter einem gehärteten Betriebssystem eine rollenbasierte Rechtevergabe zur sicheren und datenschutzgerechten Internetanbindung von Verwaltungsarbeitsplätzen ermöglicht,
- RDA – Regionale Digitale Automation, Version 2: Verfahren zur Kommunikation und revisionssicheren Langzeitarchivierung von digitalen medizinischen Bildern und Befundberichten,
- Vernichtung von Akten, Datenträgern und Mikrofilmen durch die Firma Reisswolf Akten- und Datenvernichtung GmbH & Co. KG, Hamburg, im Auftrag für Auftraggeber aus dem öffentlichen und nicht öffentlichen Bereich,
- dataport Firewall Altenholz, Version 31.03.2006: Schutz der Resssourcen im Netzwerk der dataport gegen unberechtigte Zugriffe aus dem Internet durch Einschränken der Verbindungen von und zum Internet auf zulässige Dienste,
- Opti.List Professional, Version 7: Archivierung steuerrechtlich relevanter Drucklisten auf Grundlage der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sowie der Abgabenordnung.
Es ist festzustellen, dass in einigen Bereichen, in denen ein Hersteller ein Gütesiegel verliehen bekommen hat, auch die Konkurrenz nachzieht und Interesse anmeldet. So beweisen auch diese Hersteller ihr besonderes Engagement im Bereich Datenschutz. Zugleich wird dadurch eine generelle Hebung des Datenschutzniveaus in einem Marktsegment erreicht, ohne dass hierfür aufsichtsrechtliche Maßnahmen ergriffen werden müssen.
Weitere Informationen für Hersteller befinden sich im Internet unter
www.datenschutzzentrum.de/guetesiegel/infos_hersteller.htm
Was ist zu tun?
Die Hersteller von Produkten sind weiterhin auf die Vorzüge des Gütesiegels hinzuweisen. Die Verbreitung dieses Instrumentes zur Steigerung des Datenschutzbewusstseins bei den Herstellern sollte auf deutscher und internationaler Ebene vorangetrieben werden.
9.2.2 Erstes Gütesiegel für die Firma Microsoft
Ende 2006 schlossen wir das erste Gütesiegelverfahren zu einem Service der amerikanischen Firma Microsoft ab. Damit wurde diesem Service ein werbewirksames, gutes Zeugnis ausgestellt. Das ULD konnte Erfahrungen bei der Bearbeitung von Großverfahren sammeln, die uns künftig nützlich sein werden.
Zertifiziert wurden die Produkte Microsoft Updateservice 6.0 (MU) und Microsoft Windows Server Update Service 2.0 (WSUS). Beide dienen dazu, Updates für verschiedene Versionen des Betriebssystems Windows sowie anderer Software der Firma Microsoft bereitzustellen, auf Abruf zum Client zu übermitteln und dort zu installieren. Einzelnutzer verbinden sich in der Regel direkt mittels der Updatefunktion ihrer Windows-Installation mit diesem MU und bekommen so ihre Updates installiert. Bereitgestellt werden durch Microsoft derzeit Updates für die Betriebssysteme Windows 2000, Windows XP und Windows 2003 Server sowie für die Anwendungssoftware Office XP/2003, Exchange Server 2003, SQL Server 2000 und MDSE (Datenbankmodul). Da solche Updates häufig Sicherheitslücken schließen, ist eine zeitnahe und weitestgehend automatisierte Verteilung wichtig.
Update und Patch
Ein Software-Update ist eine Nachlieferung von Software, die Programmfehler behebt und meist auch kleinere Programmverbesserungen umfasst. Werden dadurch vorrangig Sicherheitslücken geschlossen, spricht man auch von Patches oder Hotfixes.
Größere Stellen und Organisationen haben die Möglichkeit, selbst eine Art Updateserver zu betreiben, der z. B. die Verteilung der Updates innerhalb eines Firmennetzwerkes nach Test und Freigabe übernimmt. Was wie verteilt wird, entscheidet dann der Administrator dieses Netzwerkes. Durch diese Eingriffsmöglichkeit verbleibt die Autonomie über die Softwarekonfiguration bei der Daten verarbeitenden Stelle. Dieses Verfahren ist – im Gegensatz zu früheren Verfahren, die keine Eingriffsmöglichkeiten vorsahen (26. TB, Tz. 6.4) – datenschutzrechtlich nicht zu beanstanden. Um so einen eigenen Updateservice anzubieten, betreiben diese Großkunden den WSUS-Server. Nur dieser verbindet sich mit dem MU von Microsoft und bekommt die Updates übermittelt, die er dann in einem zweiten Schritt an die Einzelrechner im lokalen Netzwerk weiterverteilt und entsprechende Protokolle erstellt.
Begutachtet wurden MU und WSUS durch TÜV IT und die Firma 2B Advice. Im Ergebnis wurde festgestellt, dass beide Systeme den in Schleswig-Holstein geltenden Datenschutzgesetzen entsprechen. Es werden keine personenbezogenen Daten der Nutzer über die Erbringung des Dienstes hinaus gesammelt. Sofern Identifikatoren, wie auch IP-Adressen, für die Verarbeitung bzw. Statistik erforderlich sind, werden diese umgehend, d. h. innerhalb weniger Stunden, wieder gelöscht bzw. anonymisiert. Im Fall des WSUS erfolgt die Weiterverteilung im lokalen Netz ohne Rückmeldung von Details (z. B. Art der Server, Nutzer, Fehler, Lizenznummer usw.) an Microsoft. Einzig die Datenschutzerklärung des Dienstes in Verbindung mit der Webseite von Microsoft entsprach nicht in vollem Umfang den gesetzlichen Vorgaben. Microsoft sagte zu, diese entsprechend zu ändern.
Die Übergabe des Gütesiegels erfolgte im Februar 2007 in der Landesvertretung von Schleswig-Holstein in Berlin durch Ministerpräsident Peter Harry Carstensen. Von Microsoft wurde in Aussicht gestellt, weitere Produkte dem Gütesiegelverfahren unterziehen zu wollen.
Weitere Informationen für Hersteller befinden sich im Internet unter www.datenschutzzentrum.de/guetesiegel/
9.2.3 Sachverständige
Das Interesse an der Anerkennung beim ULD als Sachverständiger ist weiterhin hoch.
In den Gütesiegelverfahren erfolgt die Begutachtung der zu zertifizierenden Produkte durch beim ULD anerkannte Datenschutzsachverständige. Je nach Antrag erfolgt die Anerkennung für den Bereich Recht oder den Bereich Technik. Möglich ist auch bei entsprechender Qualifikation eine Doppelzulassung sowie die Anerkennung einer ganzen Prüfstelle. Voraussetzungen für eine Anerkennung sind stets neben der Zuverlässigkeit und Unabhängigkeit der Nachweis der erforderlichen Fachkunde. Diese muss sich gerade auch auf den Datenschutzbereich erstrecken.
Hinzugekommen als Sachverständige sind 2006 zwei Prüfstellen, ein Einzelsachverständiger für beide Bereiche sowie zwei Sachverstände im Bereich Recht. Inzwischen sind beim ULD 25 Einzelsachverständige registriert. 12 Sachverständige sind für den Bereich Recht und 8 für den Bereich Technik anerkannt. 5 Sachverständige machen beides. Hinzu kommen noch 8 Prüfstellen, von denen 3 für Recht, 3 für Technik und 2 für beides bei uns eingetragen sind. Die Sachverständigen sind verpflichtet, im Abstand von jeweils drei Jahren nach dem Datum der Anerkennung Nachweise über die fortbestehende Qualifikation, also über die Wahrnehmung von Fortbildungen und Workshops zum Erfahrungsaustausch, beizubringen.
Im August 2006 schließlich fand der jährliche Gutachterworkshop in Kiel statt. Von dieser Möglichkeit des Erfahrungsaustausches machten 14 Sachverständige Gebrauch. Diskutiert wurden nicht nur aktuelle Erfahrungen mit Neu- und Rezertifizierungen, sondern auch Fragen des Marketings des Gütesiegels wie auch Möglichkeiten der Internationalisierung.
In diesem Zusammenhang wurden die Gutachter erneut darauf hingewiesen, dass E-Mail-Kommunikation über aktuelle Gütesiegelverfahren verschlüsselt erfolgen kann und dass dies unbedingt anzuraten ist. Schon der Umstand, dass überhaupt ein Gütesiegelverfahren stattfindet, kann ein Betriebsgeheimnis darstellen. Bei den auszutauschenden Dokumenten handelt es sich fast durchgängig um Unterlagen, die nicht in falsche Hände geraten dürfen.
Weitere Informationen für Sachverständige befinden sich im Internet unter www.datenschutzzentrum.de/guetesiegel/akkreditierungsunterlagen.htm
Was ist zu tun?
Sachverständige sind ein zentraler Baustein im Gütesiegelverfahren und hierfür wichtige Multiplikatoren. Ihr Antrieb, neue Produkte für das Gütesiegelverfahren zu gewinnen, wird vom ULD unbedingt unterstützt.
9.2.4 Werbung für das Gütesiegel
Das Gütesiegel stößt bei seiner Vorstellung auf Messen und sonstigen Veranstaltungen auf zunehmendes Interesse.
Wir nutzen die Übergaben der Gütesiegel dazu, medienwirksam auf dieses Instrument hinzuweisen. Hersteller von gütesiegelfähigen Produkten werden von uns hierbei direkt angesprochen. Auf der CeBIT 2006 in Hannover konnten wir Ministerpräsident Peter Harry Carstensen für die Überreichung eines Gütesiegels gewinnen. Weitere öffentliche Übergaben fanden auf der ITeG 2006 in Franfurt, auf der Sommerakademie 2006 in Kiel, auf der Messe S-Fit in Berlin und auf der DMS EXPO in Köln statt.
Bei verschiedenen Veranstaltungen konnten wir, meist auf Einladung der Initiatoren, in Vorträgen das Gütesiegel präsentieren, so etwa auf dem Heise Forum der CeBIT 2006, auf der Sommerakademie 2006, bei der Luther Rechtsanwaltsgesellschaft Hamburg oder auch bei einer Veranstaltung der ARGE Daten Wien. Im Rahmen des Förderprogramms e-Region sind die Projektpartner dazu verpflichtet, mit dem ULD über mögliche Datenschutzprobleme und Lösungen zu sprechen, was zwanglos zu der Frage führt, ob für das geförderte Produkt nicht auch ein Datenschutz-Gütesiegel in Betracht kommt.
Anfang 2006 wurde auch unser neuer Werbeflyer zum Gütesiegel erstellt und interessierten Gruppen, wie etwa den Gutachtern, für Werbemaßnahmen zur Verfügung gestellt. Die Gütesiegelwebsite wird insbesondere hinsichtlich Aktualität, Übersichtlichkeit und Internationalisierung überarbeitet. www.datenschutzzentrum.de/guetesiegel/
Was ist zu tun?
Insbesondere im Hinblick auf die anstehende Internationalisierung des Gütesiegels ist die englischsprachige Werbung auszubauen. Messen und andere Veranstaltungen sind ein geeignetes Forum, um potenziell interessierte Hersteller auf das Gütesiegel hinzuweisen.
9.2.5 Nationale und internationale Aktivitäten im Gütesiegelbereich
Die Bedeutung des Gütesiegelverfahrens wird nicht nur im Inland, sondern auch international immer stärker erkannt.
Im Laufe des Jahres haben wir mit verschiedenen Behörden und Organisationen einen intensiven Austausch über das Gütesiegelverfahren gepflegt. Diese waren an uns herangetreten, um von unseren Erfahrungen zu profitieren. Umgekehrt konnten wir bei diesen Gesprächen Anregungen für unser Verfahren mitnehmen. Dies betraf z. B. die Etablierung eines Gütesiegels in Mecklenburg-Vorpommern, das sich immer noch in der Planungsphase befindet. Der dortige Datenschutzbeauftragte will sich an die in Schleswig-Holstein entwickelten Kriterien zur Zertifizierung von Produkten und zur Zulassung von Gutachten anlehnen. Auch die Zulassung von Gutachtern für Datenschutzauditverfahren in Bremen wird sich am schleswig-holsteinischen Zulassungsverfahren orientieren.
Im internationalen Bereich erfolgten Gespräche mit der nationalen französischen Datenschutzaufsicht CNIL (28. TB, Tz. 9.2.6) sowie der nationalen schweizerischen Datenschutzaufsicht. Für das in der Schweiz im März 2007 startende Gütesiegelverfahren wurden die Kriterien des ULD inhaltlich übernommen. Umgekehrt konnten wir aus dem dortigen Auditverfahren, das wegen der Einbindung externer Experten stärker formalisiert ist, Anregungen für die eigene Strukturierung gewinnen.
Nicht nur Datenschutzbehörden, auch andere Organisationen sind an unseren Erfahrungen mit dem Datenschutz-Gütesiegel interessiert. So erhielten wir für einen Erfahrungsaustausch Besuch von der staatlichen Universität Tsukuba in Tokio, da auch in Japan inzwischen Zertifizierungen durchgeführt werden. Das dortige System „Privacy Mark“ betrifft vor allem firmeninterne Abläufe und keine Produkte. Im November 2006 nahmen wir auf Einladung der europäischen Datensicherheitsbehörde ENISA an einem Workshop von Zertifizierungsstellen teil, um unsere Konzepte vorzustellen und an einem Positionspapier für die EU-Kommission mitzuarbeiten.
Was ist zu tun?
Der Bundesgesetzgeber ist mit einem wachsenden Bedarf an Gütesiegeln und Auditierungen konfrontiert. Eine nationale Regulierung ist überfällig. Zugleich muss zur Etablierung eines europäischen Gütesiegels die grenzüberschreitende Koordination ausgebaut werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |