6         Systemdatenschutz

6.1         Professionelle Informationstechnik

Ambitionierte Heimwerkerinnen und Heimwerker schauen gern einmal Profis bei der Arbeit über die Schulter und erkennen: Professionelle Werk­zeuge unterscheiden sich von Geräten für den Heimgebrauch. Sie müssen anderen Anforderungen genügen und sind vor allem auf Stabilität und gleichbleibend gute Arbeitsergebnisse hin optimiert.

Diese Unterscheidung gilt auch bei der Technik zur Verarbeitung personenbezo­gener Daten. Nicht alles, was im Heimbereich zur Anwendung kommt, ist für den professionellen Einsatz geeignet. Bei Beratungen und Prüfungen stoßen wir häufig auf Informations- und Kommunikationstechnik (IuK-Technik), die profes­sionellen Anforderungen nicht genügt. Dies erkennt man häufig daran, dass das für die IuK-Technik zuständige Personal sich primär mit der Technik und weniger mit den täglichen Anforderungen der Anwender beschäftigt. Um beim obigen Bild zu bleiben: Man beauftragt einen Handwerker damit, einen Holzboden zu verlegen; dieser ist einen Großteil der Zeit damit beschäftigt, seine Stichsäge einzustellen, umzustellen, zu prüfen und zu reparieren. Wertvolle Arbeitskraft wird für das Werkzeug verschwendet und steht nicht für die eigentliche Aufgaben­erledigung zur Verfügung.

Welchen Anforderungen muss professionelle Infor­mationstechnik genügen? Es geht darum, den Auf­wand für den laufenden Betrieb zu reduzieren und gleichzeitig eine stabile und gleichbleibend hohe Leistung zu gewährleisten. Hierfür muss ein System über Funktionen zur Selbst­auskunft verfügen. Der aktuelle Betriebszustand eines Programms oder eines Gerätes muss leicht ablesbar sein. Jedes IuK-System sollte Auskunft über seine aktuelle Auslastung und Fehlersituation geben können, ohne dass diese Daten aufwendig durch eigene Messungen oder Abfragen selbst erhoben werden müssen. Es muss Prüfpunkte bereitstellen, anhand derer man schnell und einfach die korrekte Funktion wichtiger Systembestandteile prüfen kann.

Die Datenschutzverordnung (DSVO) Schleswig-Holstein fordert, dass für jedes Verfahren eine Installations- und Konfigurationsdokumentation erstellt wird. Dies ist nur dann ein zusätzlicher Aufwand, wenn bei der Systemauswahl und -beschaf­fung nicht darauf geachtet wurde, dass das System über ausreichende Mechanis­men zur Selbstdokumentation verfügt. Jedes IuK-System sollte die aktuellen Einstellungen und Parameter automatisiert so dokumentieren, dass die Konfigura­tion für eine sachkundige Person in angemessener Zeit nachvollziehbar ist. Die Dokumentation darf hierbei nicht „im System eingeschlossen“ sein, sondern muss z. B. als Ausdruck auch in einer Systemakte oder in elektronischer Form in der Dateiablage abgelegt werden können.

Jedes System muss eine zentrale Verwaltung unterstützen. Dies kann über das Einbinden in vorhandene Verzeichnisdienste geschehen, um die dort hinterlegten Informationen zur Authentifizierung und Autorisierung nutzen zu können. Das ansonsten notwendige mehrfache Pflegen von Daten für die Zugriffskontrolle sorgt für erhöhten Aufwand im Betrieb und führt häufig zu Sicherheitsproblemen, weil das Umsetzen einheitlicher Vorgaben für die Verarbeitung personenbezoge­ner Daten erschwert wird. Das System muss von zentraler Stelle aus konfiguriert werden können. Fehlen diese zentralen Funktionen, kommt es zur „Turnschuh-Administration“: Systemververwalter müssen für jede Konfigurationsänderung zum System laufen. In solchen Situationen wird auf datenschutzrechtlich gebotene Änderungen der Technik oft wegen des hohen Personalaufwands verzichtet.

Grundvoraussetzung jeder professionellen Datenverarbeitung sind verlässliche Funktionen zur Datensicherung. Systemverwalterinnen und Systemverwalter müssen ein großes Interesse daran haben, dass die Konfiguration eines Systems und die auf dem System verarbeiteten Daten komfortabel gesichert und wieder­hergestellt werden können. Hieran hapert es häufig: Das korrekte Vorgehen zur Datensicherung und -wiederherstellung ist seitens der Hersteller nicht dokumen­tiert. Oft ist zweifelhaft, ob auch wirklich alles so gesichert ist, dass man das System in derselben Konfiguration und mit demselben Datenbestand nach einem Systemfehler wiederherstellen kann.

Werden personenbezogene Daten ausschließlich automatisiert verarbeitet, so sind Funktionen zur Protokollierung zwingend nötig. Für die Revisionsfähigkeit des Systems ist es zusätzlich wichtig zu wissen, wer wann welche Einstellungen durchgeführt hat. Immer wieder weisen wir auf die Notwendigkeit einer aussage­kräftigen Protokollierung hin, etwa in unseren Tätigkeitsberichten (28. TB, Tz. 6.5) oder durch die gemeinsame Arbeit mit unseren Kollegen in anderen Bundesländern (Tz. 6.5). Dennoch finden wir noch Systeme vor, deren Protokol­lierung nicht vollständig oder nicht aussagekräftig ist.

Das Landesdatenschutzgesetz (LDSG) definiert als zentrale Anforderung, dass eine Datenverarbeitung nur stattfinden darf, nachdem die Berechtigung der Benutzer festgestellt worden ist. Werden Daten automatisiert verarbeitet, so müssen die beteiligten Programme und Systeme über Möglichkeiten zur Berechti­gungsvergabe und zur Dokumentation der vergebenen Berechtigungen verfügen. Die Nutzung von Berechtigungen muss protokolliert werden können.

Behördliche und betriebliche Datenschutzbeauftragte kennen die obigen Funktio­nen: Sie fordern diese regelmäßig von den Administratorinnen und Administrato­ren zur Dokumentation und zum Nachweis ordnungsgemäßer Datenverarbeitung. Professionelle IuK-Technik bedeutet, die obigen Anforderungen möglichst auto­matisiert erfüllen zu können, um eine schlanke Umsetzung des Nachweises ordnungsgemäßer Datenverarbeitung zu ermöglichen.

Was ist zu tun?
Daten verarbeitende Stellen müssen ihre Informations- und Kommunikations­systeme daraufhin überprüfen, ob sie die oben dargestellten Anforderungen erfüllen. Mangelhafte Systeme sollten schnell durch besser geeignete Systeme ersetzt werden. Die Anforderungen sollten bei der Vergabe in einem Pflichten­heft als unabdingbar aufgeführt werden.

 

6.2         Die neue DSVO – Bilanz nach einem Jahr

Vor etwas mehr als einem Jahr wurde die neue Datenschutzverordnung (DSVO) veröffentlicht. Diese kommt gut an. Datenschutzbeauftragte, System­planer und Sicherheitsbeauftragte schätzen ihre modulare Struktur.

Evolution statt Revolution: So kann man das Vorgehen zur Aktualisierung der neuen DSVO bezeichnen. Im Geiste der kontinuierlichen Verbesserung haben wir die neue DSVO an den Stellen modernisiert, wo es in der Umsetzung der alten hakte: Die modularisierte Sicherheitskonzeption und kooperative Vorgehenswei­sen für Test- und Freigabeverfahren sind detaillierter ausgearbeitet. Der Erfolg kann sich sehen lassen. Viele Beispiele zeigen, dass die neue DSVO durch ihre Struktur und genaue Vorgaben das Umsetzen der Anforderungen des LDSG an Sicherheitskonzepte und Test- und Freigabeverfahren erleichtert.

Das Landesvermessungsamt war einer der Pilotkunden der neuen DSVO: Bei der Vorabkontrolle des Geoservers wurden die vorigen monolithischen Sicherheits­konzepte auf kleinere, handhabbare Module heruntergebrochen. Die Vorabkon­trolle ließ sich effektiv und effizient durchführen. Dabei griffen wir auf uns bekannte Module aus vorherigen Prüfungen und Auditverfahren zurück.

Das Finanzministerium hat inzwischen für ressortübergreifende Verfahren ebenfalls diese modularisierte Vorgehensweise zur Dokumentation von Verfahren übernommen. Mit dem ULD wurde ein gemeinsames modulares Vorgehen für die E-Government-Verfahren des Landes vereinbart. Betroffen ist hiervon die techni­sche Plattform für den „Einheitlichen Ansprechpartner“ in Schleswig-Holstein (Tz. 6.4). Auch hier werden bestehende Sicherheitskonzepte, z. B. für die elektro­nische Aktenführung, in einem Dokumentenmanagementsystem (eAkte) und das vom ULD auditierte Landesnetz genutzt.

Die neue DSVO soll die Wiederverwertung von bestehenden Sicherheitskonzep­ten steigern. Doppelarbeit wird vermieden.

Was ist zu tun?
Systemplaner und Datenschutzbeauftragte sollten modularisiert vorgehen. So kann unter steigendem Kostendruck ein effektives und effizientes Datenschutz­management aufgebaut und betrieben werden.

 

6.3         Tele-, Heim- und mobile Arbeit

Wir stellen steigenden Beratungsbedarf bei neuen Arbeitsformen fest, bei denen die Beschäftigten von zu Hause aus oder von einem anderen Platz außerhalb der Organisation tätig sind und häufig dafür Zugriff auf die IT‑Systeme über das Internet erhalten. Was muss man dabei bedenken?

Immer mehr öffentliche und nicht öffentliche Organisationen versuchen, das Idealbild des „vernetzten Wissensarbeiters“ zu erreichen. Sei es wegen der besse­ren Vereinbarkeit von Beruf und Familie, um Teilzeitbeschäftigten unangemes­sene Reisezeiten zu ersparen, oder um bestehendes Wissen an wechselnden Einsatzorten verfügbar zu machen: Mobilere Arbeitsformen lösen die klassische Arbeit am Schreibtisch in der Behörde oder im Betrieb ab, die ortsunabhängige, vernetzte Wissensarbeit nimmt zu. Das ULD berät bei der datenschutzkonformen und sicheren Umsetzung solcher Arbeitsformen.

Die wichtigsten Maßnahmen bei der Einführung von neuen Arbeitsformen sind organisatorisch und nicht technisch: Die Rechte und Pflichten der Beschäftigten müssen schriftlich festgelegt werden. Unter Wahrung der Mitbestimmung des Betriebs- oder Personalrates müssen geeignete Vereinbarungen abgeschlossen werden. Das ULD berät hierbei sowohl die Arbeitgeber als auch die Arbeitneh­mervertretung.

Durch eine datenschutzfreundliche Technikgestaltung kann das zusätzliche Risiko einer Datenverarbeitung außerhalb der Organisation deutlich verringert werden. Wir empfehlen häufig die Nutzung von Terminaldiensten. Bei der Beratung z. B. der Stadt Flensburg oder des Zweckverbands Kommunit konnte erreicht werden, dass durch den Einsatz von Terminaldiensten die eigentliche Datenverar­beitung weiterhin im sicheren Rechenzentrum stattfindet und auf den Geräten der mobilen Nutzerinnen und Nutzer nur die Bildschirme zur Darstellung der Inhalte genutzt werden.

Bei der Planung neuer Arbeitsformen muss immer darauf geachtet werden, dass Datentransport, -verarbeitung und -speicherung mindestens ein gleich hohes Schutzniveau aufweisen wie die bisherige „klassische“ Arbeitsumgebung. Häufig kann durch eine vollständige Festplattenverschlüsselung auf tragbaren Rechnern, eine Verschlüsselung der Datenübertragung durch VPN-Techniken (virtuelles, privates Netz) und eine Absicherung der Datenverarbeitung durch Software­beschränkungen und zentrale Einstellungen ein angemessenes Sicherheitsniveau erreicht werden.

Immer wieder stellten wir Lücken bei der Ausgestaltung der „klassischen“ papie­renen Datenverarbeitung fest. Obwohl immer mehr personenbezogene Daten­verarbeitung ausschließlich elektronisch erfolgt, werden häufig noch Akten auf Papier geführt und zur besseren Übersicht Ausdrucke erstellt. Am häuslichen Arbeitsplatz ist für diese Fälle vorzusorgen: Abschließbare Schränke und eine Möglichkeit, Papier ordnungsgemäß zu vernichten, z. B. mit einem Schredder, sollten stets vorhanden sein.

Was ist zu tun?
Neue Arbeitsformen müssen geplant und projektorientiert umgesetzt werden. Die Datenschutzbeauftragten sind bereits bei der Planung hinzuzuziehen, müssen den gesamten Prozess der Einführung beratend begleiten und die Durch­führung durch regelmäßige Kontrollen überprüfen.

 

6.4         Gerade der EAP  braucht einen modernen Datenschutz

Nach Vorgabe der EU-Dienstleistungsrichtlinie müssen alle Länder soge­nannte „Einheitliche Ansprechpartner“ installieren, über die Dienstleister ihre Genehmigungsverfahren an zentraler Stelle komfortabel abwickeln können. Datenschutzanforderungen sind von Anfang an in die Konzepte eingeflossen.

Die aufwendigen Vorarbeiten in Schleswig-Holstein sind vollbracht. Der Einheit­liche Ansprechpartner (EAP) soll als Verfahrensvermittler zwischen einem Dienstleistungsanbieter aus dem europäischen Raum und den Behörden agieren, ohne dass der EAP an den bestehenden Zuständigkeiten für behördliche Prüfungen oder Genehmigungen etwas ändert (31. TB, Tz. 6.3). In Arbeitsgruppen haben Vertreter der Kommunen, der Handwerks- und Industrie- und Handelskammern, des Landes sowie der IT-Dienstleister mit unserer Beteiligung begonnen, die behördenübergreifenden Prozesse zu konzipieren, zu dokumentieren und mit ihren jeweils lokalen Prozessen zu verbinden. Mit dieser nötigen Vorarbeit konnten die verschiedenartigen Genehmigungsverfahren samt Beteiligungen der jeweiligen Parteien über den EAP abgebildet werden.

Die durch den EAP ausgelöste Integration der Verwaltungskommunikation und die angestoßenen Änderungen der internen Informationsverarbeitung erzeugen allerdings neue – und damit auch rechtlich neu zu bewertende – Risiken für den Datenschutz. Diese Risiken bestehen sowohl für die Verarbeitung der Daten betroffener Bürger als auch der Mitarbeiter der Verwaltungen. An den technisch aufbereiteten Datenbeständen von Antragstellern bestehen Begehrlichkeiten. Für die Mitarbeiter in den Verwaltungen bewirkt die Vermessung der Verwaltungs­prozesse, dass diese erkennbar auch mit eigenen Kennzahlen zu ihrer Produkti­vität konfrontiert werden. Mit dem EAP steigt somit das Risiko, dass in der Verwaltung der Umgang mit solchen Kennzahlen eingeübt und schleichend zur Normalität wird, was auf eine automatisierte Verhaltens- und Leistungskontrolle hinauslaufen kann.

Die gegenseitigen technischen Abhängigkeiten der Kommunen, Länder und Nationen untereinander steigern die Fehleranfälligkeit der Systeme, wenn keine übergreifend wirksame Gesamtplanungsinstanz mit einem wirksamen Qualitäts­management eingerichtet wird. Kleine Ungereimtheiten können sich zu Fehlern aufschaukeln. Dieses Risiko wird durch die vorgegebene Trennung von Organisa­tionseinheiten reduziert, sei es durch Gewaltenteilung, Ressorthoheit und in diesem Falle vor allem durch die kommunale Selbstverwaltung. Bestehende Vor­schriften, die in diesem Sinne Funktionstrennungen gebieten, sollten bewahrt bzw. ausgebaut werden.
Das ULD sieht seine Aufgabe darin, diese funktional gebotene Trennung zu unterstützen. Die Komponenten der EAP-Infrastruktur müssen untereinander lose gekoppelt sein. Damit wird die Fortpflanzung von Fehlern vermieden und die Anpassung an lokale Besonderheiten erleichtert; zudem müssen und können immer nur einzelne Teile eines technischen Großsystems kontrolliert geplant und geplant kontrolliert werden. Dieses Vorgehen bietet sich an, zumal es keinen alles regulierenden europäischen Gesamtplan für den EAP gibt. Es wäre fatal, die Fehler zu wiederholen, die sich Anfang 2007 im durchdigitalisierten Meldeverfah­ren in Deutschland zeigten, bedingt durch die Schwierigkeit, organisationsüber­greifend Fehler als solche zu kennzeichnen und deren Ursachen bei einer anderen Verwaltung zu belegen und zuzurechnen, damit diese nachhaltig an der Quelle behoben werden (29. TB, Tz. 6.6).

Die Umsetzung der EU-Dienstleistungsrichtlinie (EU-DLR) bietet die Chance zur Verbesserung des Datenschutzes in der öffentlichen Verwaltung. Die zunehmende Automation der Verwaltungsprozesse führt zum Offenlegen der Zwecke der Datenbestände und Schnittstellen sowie zu einer Standardisierung der Verfahren und Techniken. Der gesteigerte Grad an Transparenz und Standardisierung macht wiederum die Verbindung zwischen Organisation und Technik besser kalkulierbar. Alle Beteiligten – die Verantwortlichen, die Nutzer, die Betreiber, die Auftraggeber und die Betroffenen – können künftig leichter klären, welche Datenverarbeitung zu welchem Zeitpunkt stattfinden soll, welche Datenverarbei­tung aktuell stattfindet oder stattfand. Eine wesentliche Voraussetzung zur Beherr­schung dieser Prozesse ist, dass mit der Entwicklung der neuen Informations- und Kommunikationshochleistungssysteme auch die Mechanismen zu deren Beob­achtung, Regulation, Kontrolle und Prüffähigkeit als wesentliche Systembestand­teile mitentwickelt werden. Dies bedeutet, dass mit der Automation sowohl der organisationsübergreifenden als auch der internen Verwaltungsprozesse die Instrumente zu deren Controlling automatisiert werden müssen, selbstverständlich ohne dazu auf die Inhaltsdaten zuzugreifen.

Schon aus haftungsrechtlichen Gründen kommt der revisionsfesten und beweis­sicheren Protokollierung der Verwaltungstätigkeiten mit starkem Bezug zu Unternehmen eine große Bedeutung zu. Der EAP kann die eigene Rechtssicher­heit durch detaillierte Prozessvorgaben, eine sicherheitstechnisch einwandfreie Ablaufumgebung, eine transparente Prozessdurchführung und eine revisionsfähige Ablaufdokumentation erreichen. Im Systemdesign sind deshalb von vornherein die Mechanismen zur Einrichtung eines effektiven Datenschutzmanagements – und somit auch des Qualitätsmanagements – vorzusehen.

Der Datenschutzbeauftragte des EAP steht vor der Aufgabe, die Wirksamkeit und Angemessenheit der technischen und organisatorischen Maßnahmen zu prüfen, mit denen die besonderen Risiken der Mitarbeiterüberwachung und der unerlaub­ten Verkettung normalerweise isolierter Verwaltungsverfahren verringert werden sollen. Zunächst wird es darum gehen, eine Dokumentation der Prozesse zur automatisierten und zur klassischen papierbezogenen Datenverarbeitung des EAP zu erstellen. Dann ist zu prüfen, ob und inwieweit die verwendete Informations- und Kommunikationstechnik sicher und datensparsam eingesetzt wird. Letztend­lich muss der Datenschutzbeauftragte darauf hinwirken, dass durch eine General­dokumentation des EAP für Antragsteller und am EAP-Prozess teilnehmende Behörden die notwendige Transparenz und Nachvollziehbarkeit in allen Prozess­schritten hergestellt wird. Das Finanzministerium erarbeitet eine DSVO-gerechte Dokumentation des gesamten EAP-Systems, das auf einer ganzen Reihe bereits existierender Komponenten der E-Government-Infrastruktur des Landes Schles­wig-Holstein aufsetzt.

Was ist zu tun?
Die rechts- und damit datenschutzkonforme Kontrolle des EAP als komplexes, automatisiertes System setzt ein Qualitätsmanagement auf hohem Technisie­rungsniveau voraus, das sich an den funktionalen Aspekten des Verfahrens orientiert.

 

6.5         Die unendliche Geschichte: Protokollierung

Die datenschutzkonforme Ausgestaltung der Protokollierung in automatisier­ten Verfahren ist ein Dauerthema. Das ULD unterstützt Daten verarbeitende Stellen durch konkrete Vorgaben.

Die Protokollierung ist nach wie vor das wichtigste Instrument zur Herstellung von Transparenz für den Nachweis rechtskonformer Verwaltungstätigkeit. Auf der Basis von Protokolldaten müssen Sachverhalte rekonstruiert und bewertet werden können. Die automatisierte Protokollierung darf aber nicht zur unzulässi­gen Verhaltens- und Leistungskontrolle von Mitarbeitern eingesetzt werden.

Protokolldaten unterliegen – ebenso wie andere Datenbestände – einer spezifi­schen Zweckbindung: Es darf keine Protokollierung, also z. B. keine Einträge in Logdateien geben, über deren Erforderlichkeit, Umfang und Speicherdauer nicht Rechenschaft abgelegt werden kann. Protokolldaten ergeben nur einen Sinn, wenn sie tatsächlich ausgewertet werden. Die Erforderlichkeit und Korrektheit der Protokolldaten müssen durch Tests sichergestellt werden. Insbesondere ist zu prüfen, ob sich bestimmte unerwünschte Ereignisse mithilfe der Protokolldaten belegen lassen. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sind zu berücksichtigen. Dabei können kryptografische Verfahren zum Einsatz kommen.

Die Protokollierung umfasst sowohl Änderungen an informationstechnischen Systemen durch Administratoren als auch deren Nutzungen bei der Verarbeitung personenbezogener Daten. Zu protokollieren sind hierbei Tätigkeiten

  • der Authentisierung und Autorisierung,
  • der Dateneingabe und Datenveränderung,
  • der lesenden Dateneinsicht,
  • der Datenübermittlung und
  • der Datenlöschung.

Zu den jeweiligen Ereignissen ist der Zeitpunkt sowie die auslösende Systemkom­ponente oder Person zu erfassen. Das Format, in dem die Daten gespeichert werden, muss so ausgewählt werden, dass diese automatisiert mit einem Analysewerkzeug auswertbar sind. In der Praxis hat sich bei großen Datenvor­kommen das zeilenweise Speichern im CSV-Format bewährt.

Bei der Konzeption der Protokollierungsregelungen zu jedem einzelnen Verfahren empfiehlt sich eine Orientierung am Lebenszyklus der Protokollierung:

  • Für die Erzeugung der Protokolldaten sind die Anforderungen der Gesetze sowie die des organisationsinternen Datenschutzmanagements zu berücksichti­gen. Jede als relevant eingestufte Tätigkeit muss zu einem Protokolleintrag führen. Wichtig: Änderungen an der Konfiguration der Protokollierung müssen ihrerseits einen Eintrag in den Protokolldaten erzeugen.
  • Art und Umfang der Speicherung der Protokolldaten müssen festgelegt werden. Die Zugriffsmöglichkeiten auf Protokolldaten sind zu minimieren, insbesondere für die Administratoren, deren Tätigkeiten anhand dieser Proto­kolldaten kontrolliert werden. Protokolldaten sollten deshalb nicht auf den Produktionsmaschinen, sondern auf eigens betriebenen Protokollservern gespeichert werden. Ausschließlich automatisiert gespeicherte Protokolldaten sind nach einem Jahr zu löschen.
  • Bei der Übertragung von Protokolldaten mit Personenbezug und/oder erhöh­tem Schutzbedarf über Netzwerke, z. B. bei zentraler Protokollspeicherung oder entfernter Auswertung, sind zur Wahrung der Vertraulichkeit, Integrität und Authentizität geeignete und für den Schutzbedarf angemessene kryptogra­fische Verfahren nach dem Stand der Technik zu nutzen.
  • Das Verfahren zum Löschen der Protokolldaten muss beschrieben sein. Dabei müssen diejenigen Protokolldaten einbezogen werden, die auf Datensiche­rungsmedien oder bei einem Auftragsdatenverarbeiter gespeichert sind. Bei der Protokollierung von Löschvorgängen für Protokolldaten dürfen keine perso­nenbezogenen Daten in den Inhalten des Löschprotokolls enthalten sein. Statt­dessen sind gegebenenfalls Hinweise auf Aktenzeichen oder Dateinamen aufzunehmen. Ferner müssen Angaben darüber ergänzt werden, welche Entität die Löschung dieser Protokolldaten zu welchem Zeitpunkt vorgenommen hat.
  • Beispiel:
         „Gelöscht
         Protokolldaten_Fachverfahren_AA200_bis_ZZ620_von200106_bis_200606, Admin_A, 20090302_1510_35“

Wie wichtig eine vollständige Protokollierung auch der lesenden Zugriffe ist, wenn ein Verfahrensschritt direkt auf die Ermittlung personenbezogener Daten – wie für die Polizeiarbeit typisch – abzielt, zeigte sich jüngst an einem Beispiel in Rheinland-Pfalz. Dort hatte in der sogenannten Nürburgring-Affäre ein Mitglied des Landtages ehemalige Kollegen bei der Polizei gebeten, im dortigen Polizei-Informationssystem nach Daten über Geschäftspartner der Nürburgring GmbH zu fahnden. Aufgrund der Protokollierung konnte nachgewiesen werden, dass die getätigten Abrufe nicht dienstlich veranlasst waren. Das ULD wird die Angemes­senheit und Wirksamkeit der erzeugten Protokolldaten in ähnlichen Verwaltungs­verfahren prüfen.

Eine Orientierungshilfe zur Protokollierung ist veröffentlicht unter:

http://www.lfd.m-v.de/dschutz/informat/protokol/oh-proto.pdf

Was ist zu tun?
Die automatisierte Verarbeitung personenbezogener Daten ist vollständig zu protokollieren. Zielt ein Verfahrensschritt direkt auf die Ermittlung personen­bezogener Daten ab, so muss die vollständige Protokollierung auch lesende Zugriffe umfassen. Protokolldaten mit Personenbezug unterliegen ebenfalls dem Datenschutzrecht.

 

6.6         Staatskanzlei: „interamt

Arbeitgeber bieten die Möglichkeit für E-Mail-Bewerbungen auf Stellen­angebote oder nutzen Online-Stellenbörsen. Das Land Schleswig-Holstein ist mit einer Online-Stellenbörse für den öffentlichen Dienst namens „interamt“ im Netz.

Da es sich dabei um ein Verfahren mit personenbezogenen Daten handelt, bat die Staatskanzlei das ULD um Beratung. Das Verfahren „interamt“ ist eine Jobbörse, die sich an den speziellen Anforderungen der Personalsuche des öffentlichen Dienstes orientiert. Sie steht grundsätzlich allen Institutionen und Mitarbeiterin­nen und Mitarbeitern des öffentlichen Dienstes zur Verfügung. Behörden können ihre offenen Stellen in der Stellenbörse ausschreiben sowie gezielt nach poten­ziellen Kandidaten für ihre offenen Stellen suchen. Mitarbeiterinnen und Mitar­beiter des öffentlichen Dienstes können in der Jobbörse ein Profil mit ihren Bewerbungsdaten hinterlegen und nach neuen passenden Stellen suchen. Die Hinterlegung und Veröffentlichung von Daten in dieser Plattform ist für alle regis­trierten Personen freiwillig.

Die Staatskanzlei ist sich bewusst, dass bei diesem Verfahren sensible personen­bezogene Daten verarbeitet werden. Die konzeptionelle Vorarbeit und die beste­hende Teststellung lassen erkennen, dass großes Gewicht auf Datensicherheit und Datenschutz gelegt wird. Kleine Lücken taten sich bei der Dokumentation des Verfahrens auf. Die Schieflage zwischen umgesetzten technischen Maßnahmen und lückenhafter Dokumentation ist – oft in deutlich größerem Ausmaß – auch andernorts im Land anzutreffen. Neben einer Verfahrensbeschreibung, der Doku­mentation des IT-Einsatzes und der Sicherheitsmaßnahmen einschließlich eines Berechtigungskonzepts, Prozessbeschreibungen und einigen Referenzdokumenten waren bereits Formulare zu Tests und zur Freigabe sowie ein Datenschutzleitfaden erstellt worden. Es fehlten lediglich die Risikoanalyse und die Restrisikobetrach­tung. Durch dieses Fundament an Dokumentation zum Verfahren „interamt“ und die effektive Zusammenarbeit hat die Staatskanzlei die Dokumentations­anforderungen nach der DSVO so konsequent umgesetzt, wie wir dies nur selten vorfinden. Die Dokumentation der Sicherheitsmaßnahmen einschließlich einer Risikoanalyse mit Restrisikobetrachtung wird von vielen IT-Verantwortlichen eher stiefmütterlich behandelt. Vollkommen vernachlässigt wird immer wieder die Dokumentation von Tests und Freigaben.

Als rühmliche Ausnahme war bei der Jobbörse „interamt“ von Anfang an die Dokumentation ein zentraler Bestandteil der Entwicklung des Verfahrens. Beglei­tend wurde das ULD als Berater hinzugezogen, um etwaige Fragen zu Inhalten und Struktur schnell zu klären. Herausgekommen ist ein vorbildlich nach LDSG und DSVO erstelltes Paket, das die Staatskanzlei als Vorlage – aber auch Mess­latte – für weitere Verfahren nutzen kann.

Was ist zu tun?
IT-Verantwortliche oder Administratoren, die an der Erarbeitung der erforder­lichen Dokumentation scheitern, weil sie nicht wissen, wie sie diese zu erstellen haben, sollten per E-Mail oder telefonisch mit dem ULD einen Beratungstermin vereinbaren. Andere Verfahren sollten mit derselben Systematik wie bei „inter­amt“ dokumentiert werden.

 

6.7         Datenschutzerklärung im Webangebot der Stadt Heide

Häufig wird das ULD um Unterstützung bei der Gestaltung der Datenschutz­erklärung eines Webauftritts gebeten. Nachfragen kommen sowohl aus dem öffentlichen als auch aus dem nicht öffentlichen Bereich. Oberstes Gebot einer Datenschutzerklärung ist immer die Transparenz: Wann werden welche Nutzerdaten zu welchem Zweck erhoben und wie lange werden sie gespeichert?

Positiver Nebeneffekt bei der Erstellung einer solchen Erklärung ist die zwangs­läufig erfolgende Prüfung der Rechtmäßigkeit der Verarbeitung personenbezoge­ner Daten im Bereich des Webangebots. Nach dem Telemediengesetz ist jeder Anbieter eines Webauftritts verpflichtet, den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten zu informieren. Meist ist den Verantwortlichen der Umfang der bei ihnen verarbeiteten Daten nicht bewusst, da ihnen das technische Know-how fehlt. Mit der Bitte um Hilfe bei der Erstellung der Datenschutzerklärung für ihren Webauftritt wandte sich auch die Stadt Heide an das ULD. Ihr Webauftritt vereint die Stadtverwaltung, die Stadtbücherei, die Volkshochschule und den Verein „Heide-rundum“.

Beschränkt sich ein Webangebot nicht auf die Informationsdarstellung, sondern ermöglicht es auch Dateneingaben, so empfiehlt es sich, in einem Workshop mit den Beteiligten – unter Einbeziehung der technischen Dienstleister – die Verant­wortlichkeiten zu klären und zu erarbeiten, welche personenbezogenen Daten bei der Nutzung des Webangebots anfallen. Dabei darf nicht vergessen werden: IP‑Adressen, die fast immer aus statistischen Gründen mitgeloggt werden, sind personenbezogene Daten.
Das ULD unterstützte die Stadt Heide bei der Zusammenstellung aller möglichen anfallenden personenbezogenen Daten und ihrer Bewertung in Bezug auf ihren Nutzen und die Rechtmäßigkeit dieser Erhebungen. Gerade beim Logging auf Webservern werden häufig mehr Daten gespeichert, als zur gewünschten Aus­wertung notwendig sind. Dann kann der Umfang der Logdaten reduziert werden. Gerade im öffentlichen Bereich ist das Verhalten des einzelnen Webnutzers nicht von Interesse, ganz im Gegensatz zur Anzahl einzelner Seitenabrufe.

Die Stadt Heide beschreibt in der Datenschutzerklärung explizit, welche Daten von Nutzenden sie beim Logging erfasst. Sie stellt dar, welche Form von Cookies sie einsetzt und wann diese gelöscht werden. Eine kurze Erklärung zu diesen kleinen Textdateien und wie der Nutzer seinen Browser in Bezug auf Cookies konfigurieren kann, ergänzt diesen Absatz. Es wird konkret auf Formulare einge­gangen, bei denen der Nutzer Daten von sich eingeben und Kontakt mit den jeweiligen Ansprechpartnern aufnehmen kann. Hier wird der Bearbeitungsprozess beschrieben und den Nutzenden erklärt, dass ihre Daten nur für die erforderliche Anfrage genutzt und anschließend gelöscht werden.

Die Stadtbücherei Heide bietet als Zusatzdienst ein Bücherforum an, in dem die Nutzer Kommentare zu Büchern abgeben können. Die Datenschutzerklärung stellt genau dar, welche Daten zur Registrierung und Nutzung notwendig sind und wie mit diesen umgegangen wird. Die Stadt klärt die Nutzer darüber auf, dass deren Nutzername und die von ihm abgegebenen Kommentare für alle sichtbar sind und von Suchmaschinen erfasst werden, und empfiehlt Pseudonyme als Nutzer­namen.

All dies dient der Information der Nutzer über die von ihnen erhobenen Daten. Alle Aspekte müssen klar und leicht verständlich formuliert werden. Die Datenschutzerklärung muss dann von jeder Seite des Webangebots schnell auf­findbar und durch einen Klick erreichbar sein. Transparenz ist oberstes Gebot. Die Nutzer müssen wissen, welche Daten bei Nutzung des Angebots über sie gesam­melt, zu welchem Zweck diese genutzt sowie wann diese gelöscht werden und an wen sie sich bei Nachfragen wenden können. Die Stadt Heide hat eine beispiel­hafte Datenschutzerklärung erstellt, die Vertrauen schafft.

Was ist zu tun?
Jeder Webseitenanbieter muss eine Datenschutzerklärung veröffentlichen. Er muss sich hierzu Gedanken machen, wo und wann welche Daten des Nutzers auf seiner Webseite entstehen. Die Transparenz zu Erfassung, Verarbeitung und Löschung seiner Daten wird beim Nutzer Vertrauen schaffen.

 

6.8         E-Mail  – Sicher oder nicht sicher?

Ob personenbezogene Daten sicher per E-Mail verschickt werden können, hängt vom Weg einer E-Mail durchs Netz und von den genutzten Systemen ab. Immer wieder wird uns die Frage gestellt, ob man personenbezogene Daten nicht einfach unverschlüsselt per E-Mail versenden darf.

Beim Versenden von Daten muss man sich immer darüber im Klaren sein, welchen Schutzbedarf diese haben. Im Umfeld von Verfahren, die einem Amts- oder Berufsgeheimnis unterliegen, z. B. bei Steuer- oder Patientendaten, ist dieser bereits gesetzlich festgelegt. In anderen Fällen ist aus Sicht der Betroffenen zu prüfen, welche Nachteile entstehen können, wenn eine E-Mail von Unbefugten gelesen oder verändert wird. Allein die Tatsache, dass ein Antrag auf Unterstüt­zungsleistungen gestellt wurde, kann bei unbefugter Kenntnisnahme negative Auswirkungen für den Betroffenen haben.

Um einschätzen zu können, wie hoch das Risiko einer unberechtigten Einsicht­nahme oder Veränderung von E-Mails ist, müssen die Quell- und Zielsysteme und der zur E-Mail-Übertragung genutzte Weg betrachtet werden. Für jedes beteiligte System ist zu prüfen, ob eine ausreichende Sicherheitskonzeption vorliegt. Darin muss das Risiko der unberechtigten Einsichtnahme in die Daten durch angemessene und wirksame Maßnahmen behandelt werden. Ist diese Prüfung für alle beteiligten Systeme nicht möglich, z. B. weil die Zielsysteme nicht bekannt sind, so müssen die E-Mail-Inhalte durch zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung geschützt werden. Genau diese Situation findet man in der Regel bei der Kommunikation mit Bürgern oder Kunden vor. Die wenigsten Kundinnen und Kunden betreiben eigene E-Mail-Systeme und können die Sicherheit des Übertragungsweges beeinflussen. Die Systeme ihrer Internetprovider oder von Drittanbietern haben zumeist kein definiertes Schutzniveau. Häufig verbleiben sämtliche E-Mails auf den Rechnern der Anbieter. In solchen Situationen kann keine ausreichende Aussage über die Sicherheit der Endsysteme getroffen werden.

Ergibt die eigene Analyse, dass die lokale IuK-Umgebung und die E-Mail-Server, der Transportweg zum Zielsystem und die dortige IuK-Umgebung ausreichenden Schutz gegen eine unberechtigte Einsichtnahme und Veränderung von E-Mails bieten, so kann auf zusätzliche Sicherheitsmaßnahmen verzichtet werden. Dies kann der Fall sein, wenn zwei Landesbehörden über das Landesnetz E-Mails versenden. Das Landesnetz wird u. a. vom ULD im Rahmen eines Audits regel­mäßig überprüft. Die Endsysteme der Landesbehörden sind größtenteils nach einheitlichen Vorgaben standardisiert – aktuell IKOTECH III, demnächst „+1“ –, konfiguriert und kontrolliert. Das ULD stuft das Landesnetz als ein abgeschlosse­nes Netz ein, in dem personenbezogene Daten der Nutzer unverschlüsselt, aber isoliert von anderen Nutzergruppen transportiert werden können. Eine Verschlüs­selung ist erforderlich, wenn die in dem Sicherheitskonzept des Finanzministe­riums beschriebenen Restrisiken als nicht tragbar bewertet werden. Problematisch ist, dass noch nicht alle öffentlichen Stellen E-Mails über das Landesnetz austau­schen oder andere Möglichkeiten zur Absicherung des E-Mail-Transports, z. B. über eine Transportverschlüsselung, (TLS) getroffen haben.
Die Entscheidung, ob E-Mails verschlüsselt werden müssen oder nicht, kann meistens nicht vom Endanwender getroffen werden. Ihm fehlen häufig die Ein­sichten, um eine genaue Analyse durchzuführen und eine valide Entscheidung treffen zu können. Insofern muss die Daten verarbeitende Stelle Hilfestellung liefern, z. B. durch schriftliche Anweisungen. Auf Basis einer sicherheitstechni­schen und datenschutzrechtlichen Betrachtung können in einer Dienstanweisung Festlegungen getroffen werden, bei welchen Empfängern und bei welchen Inhal­ten auf Verschlüsselung verzichtet werden kann.

Das ULD bietet im Rahmen seiner Beratungstätigkeit an, Analysen der End­systeme und des Transportweges durchzuführen, um eine belastbare Entschei­dungsgrundlage zur E-Mail-Verschlüsselung zu erhalten.

Was ist zu tun?
Personenbezogene E-Mails sollten grundsätzlich verschlüsselt werden. Ausnah­men sollten vorher sicherheitstechnisch und datenschutzrechtlich begutachtet und in Form einer schriftlichen Anweisung festgelegt werden.

 

6.9         „Schutzziele“ sind mehr als „CIA“

Unter führender Beteiligung des ULD wird von den Datenschutzbeauftragten für die Novellierung des Bundesdatenschutzgesetzes ein Entwurf zur Festle­gung „neuer Schutzziele“ erarbeitet. Die Schutzziele dienen als konstruktiv umsetzbare Vorgaben zur Herstellung von Datensicherheit in IuK-Systemen.

Die wichtigsten traditionellen Schutzziele der Datensicherheit sind Vertraulich­keit, Integrität und Verfügbarkeit (Confidentiality, Integrity, Availability – kurz: CIA). Hierzu gibt es Kataloge von Maßnahmen. Welche Schutzmaßnahmen in welcher Form zu treffen sind, wird anhand einer an den dokumentierten Risiken bemessenen Schutzbedarfsfeststellung festgelegt.

Die Schutzziele der Datensicherheit, die zumeist aus der Perspektive eines zu sichernden Betriebsablaufs formuliert sind, müssen aus Datenschutzsicht im Hin­blick auf den Persönlichkeitsschutz der jeweiligen Betroffenen spezifiziert werden. Für ein gutes Datenschutzniveau von technischen Systemen reichen aller­dings allein die Schutzziele der Datensicherheit nicht aus. Es wurden speziell auf den Datenschutz zugespitzte „neue“, die klassischen der Datensicherheit ergän­zende spezifische Datenschutz-Schutzziele erarbeitet: Transparenz, Zweckbin­dungsowie Intervenierbarkeit.

Das Schutzziel Transparenz zielt darauf ab, Organisationen, Verfahren und tech­nische Systeme durch Offenlegung sowohl der Verfahrensabläufe als auch der Zugänge zu den Systemen und Verfahren so einzurichten, dass diese datenschutz­rechtlich prüfbar und bewertbar werden – für die Zukunft, die Gegenwart und die Vergangenheit. Transparenz für die Zukunft bedeutet, dass bei neuen Projekten prüffähige Konzepte und Pläne auszuarbeiten sind. Gegenwärtige Transparenz umzusetzen fordert vom verantwortlichen Systembetreiber die Bereitstellung von Maßnahmen, mit denen jederzeit ermittelbar ist, in welchem Zustand sich die Systeme gegenwärtig befinden. Transparenz für die Vergangenheit bedeutet Revi­sionsfähigkeit, nämlich bei Rückfragen z. B. von Betroffenen, um nachweisen zu können, wie ein Sachverhalt war.

Das Schutzziel der Zweckbindung operationalisiert, dass rechtlich gebotene Trennungen von zweckgebundenen Datenverarbeitungen – etwa bezüglich der Gewaltenteilung, der Ressorthoheit, der Zuständigkeit oder allgemein der Funk­tionstrennungen von Organisationen – nicht durch technische Kurzschlüsse unter­laufen werden. Technik ist unter Berücksichtigung rechtlich gebotener Zweckbin­dungen bzw. Funktionstrennungen zu planen und zu betreiben.

Intervenierbarkeit zielt darauf ab, dass ein Betroffener von seinen ihm zustehen­den Rechten technisch auch wirksam Gebrauch machen kann. Systeme, bei denen Hersteller beispielsweise angeben, die Daten seien aus welchen Gründen auch immer nicht löschbar, dürfen wegen Verletzung dieses Schutzziels nicht zum Ein­satz in Verfahren mit Personenbezug kommen. Betroffene dürfen nicht Opfer von Systemen werden, die sich angeblich nicht stoppen und ändern lassen.

Die neuen Schutzziele bilden bereits die Grundlage zur Entwicklung von Regeln für WebServices – sogenannte Policies – für OSCI 2.0 (Online Services Computer Interface, 31. TB, Tz. 6.4), welches der inzwischen verabschiedete Nachfolgestan­dard zur sicheren Kommunikation in der öffentlichen Verwaltung in Deutschland werden soll. Noch nutzt kein Verfahren OSCI 2.0; zunächst müssen alle Sicher­heits- und Datenschutzmaßnahmen praxisgerecht umgesetzt werden.

Die Entwicklung von WebService Policies wird unter Beteiligung des ULD inten­siv fortgeführt werden, was wegen der Komplexität der Anforderungen dringend nötig ist. Diese Arbeit kann sich durchaus über Deutschland hinaus positiv auf das Datenschutzniveau der kommunikationstechnischen Infrastruktur auswirken. Die Teilnahme des ULD an internationalen Arbeitsgruppen der ISO (International Organization for Standardization) und des W3C (World Wide Web Consortium) ist insofern äußerst wertvoll (Tz. 2.3.2). Auch die Kriterienkataloge für das ULD‑Datenschutz-Gütesiegel, das ULD-Datenschutz-Audit sowie für das euro­päische Datenschutz-Gütesiegel EuroPriSe profitieren von der Arbeit an den neuen Schutzzielen.

Was ist zu tun?
Die Arbeiten zur Modernisierung des Abschnitts über technisch-organisatorische Bestimmungen im Bundesdatenschutzgesetz sind fortzusetzen. Ein Schwerpunkt muss auf die Entwicklung von praktikablen Maßnahmen zur Umsetzung der „neuen“ Datenschutz-Schutzziele gelegt werden.

 

6.10       Datenschutz messbar gemacht – KPIs  fürs Datenschutzmanagement

Datenschutzaktivitäten dienen dazu, Prozesse in einer Organisation im Hinblick auf Personenbezug zu beobachten, zu bewerten und gegebenenfalls zu korrigieren. Die Beobachtung von Prozessstrukturen unterliegt dabei den gleichen Anforderungen an Transparenz und Steuerbarkeit wie die vom Datenschutz beobachteten Prozesse selber.

Für Datenschutzprozesse gilt die klassische Aussage zum Controlling allgemein: Prozesse, die man nicht messen kann, kann man auch nicht kontrollieren, bewer­ten oder steuern. Hilfreich sind dabei sogenannte Key-Performance-Indikatoren (KPIs).

Datenschutzaktivitäten in einer Organisation müssen geplant werden und gesteuert geschehen. Im Rahmen der Ausrichtung auf das Prozessmanagement von ITIL (IT Infrastructure Library) führen Organisationen zunehmend ein entsprechendes Datenschutzmanagementsystem ein. Dazu gehört, den oder die Datenschutz­beauftragte in die Prozesse des Konfigurations-, Problem- und Change-Manage­ments einzubinden. Weiterhin können eigene Prozesse entwickelt werden, mit denen sich die Umsetzung von Datenschutzanforderungen systematisch beobach­ten lassen und die neben den anderen Prozessen des Controllings bzw. des Quali­tätsmanagements zur Verfügung gestellt werden. Datenschutzmanagement ist ein Teilaspekt einer Compliance-Strategie, die im Wesentlichen die Regeltreue in Bezug auf Bestimmungen zum Umgang mit personenbezogenen Daten und Prozessen transparent macht.

Ein systematisches Datenschutz-Controlling identifiziert zunächst datenschutz­relevante Funktionen und Tätigkeiten. Dann gilt es, verschiedene Prozesse aufzu­setzen, mit denen sich diese Funktionen und Tätigkeiten gemäß den Daten­schutzanforderungen systematisch beobachten lassen. Darüber hinaus muss die Leitung der Organisation einen Prozess etablieren, mit dem nach festgestellten Abweichungen gemessener Istwerte von den festgelegten Sollwerten Korrekturen oder zumindest Korrekturanforderungen ausgelöst werden. In einem solchen „zweistufigen“ Datenschutzprozess – erst einen Prozess zur Beobachtung und dann einen Prozess zur Behebung von Fehlern, Problemen oder Verstößen mit Korrekturvorschlägen – sind mindestens die folgenden Funktionen und Tätigkei­ten zu begleiten:

  • Strategie (z. B. Planung von neuen Prozessen),
  • Sicherheitsanalyse von Systemen, Verfahren, Prozessen,
  • Restrisikoanalyse,
  • Patch-Management und Updates für Systeme,
  • Test und Freigabe (z. B. Entwickeln eines Testplans für neue Verfahren),
  • Dokumentation von Verfahren,
  • Protokollierung von Prozessen,
  • regelmäßige oder anlassbezogene Kontrollen für laufende Verfahren, Prozesse und Systeme (z. B. für Patches, Back-ups, Sicherheitsmaßnahmen,
  • Berechti­gungsmanagement, Entsorgung),
  • Back-up,
  • Entsorgung (z. B. von Datenträgern wie Akten, Festplatten oder Disketten),
  • Besuchermanagement,
  • Berechtigungsmanagement,
  • Personalmanagement,
  • Wartung.

Zur Vermessung von Prozessen im Hinblick auf die Frage, ob diese ihre Ziele effizient und effektiv erreichen bzw. erreicht haben, setzen Organisationen heute typischerweise KPIs ein. Dabei sind generell drei Ebenen für KPIs zu unter­scheiden:

  1. KPIs, die aus dem technisch-automatisierten Betrieb der Systeme stammen, z. B. aus Protokolldaten: Hier lassen sich die Verfügbarkeit, Störungen oder abgewiesene Zugriffsversuche bei Log-ins automatisiert erkennen. Beispiele für KPIs mit unmittelbarem Datenschutzbezug sind die Anzahl der eingeführ­ten Compliance-Prüfpunkte, der Anteil gesichteter Protokolleinträge oder der Grad an Verringerung von Datenbankfeldern bei bereits bestehenden Verfah­ren.
  2. KPIs des innerorganisationellen Datenschutzmanagements, die teilweise auf den KPIs des Betriebes aufsetzen: KPIs lassen sich auf der Basis von Zahlen für die folgenden Verfahren ermitteln:
    • Anzahl von Verfahren, die einen vollständigen Test- und Freigabeprozess durchlaufen haben,
    • Anzahl von Verfahren, die gemäß den Datenschutznormen (z. B. nach DSVO) dokumentiert sind,
    • Anzahl von Dokumenten eines Verfahrens, die gemäß DSVO die Doku­mentation vervollständigen,
    • Anzahl von Verfahren, an deren Planung der oder die Datenschutzbeauf­tragte beteiligt war,
    • Anzahl von Verfahren, die von dem oder der Datenschutzbeauftragten innerhalb eines Zeitrahmens geprüft wurden,
    • Anzahl der Probleme mit Datenschutzbezug (Störungen, unzulässige Daten­verarbeitung, Beschwerden).
  3. KPIs mit organisationsexterner Relevanz, die die oberste Führungsebene der Organisation für Entscheidungen heranziehen: Neben den aggregierten Indika­toren, die aus den KPIs der unteren Ebenen zusammengesetzt werden, sind hier Indikatoren zur Erfassung des Anteils von Verfahren innerhalb der gesamten Organisation sinnvoll, für die z. B. Datenschutzrichtlinien erarbeitet wurden oder die Auskunft zum generellen Datenschutzbewusstsein der Mitarbeiter und Mitarbeiterinnen der Organisation geben.

Um die Kennzahlen für Bewertungen nutzen zu können, müssen sie zu Bezugs­größen in ein Verhältnis gesetzt werden (Benchmarking): Sinnvolle Bezugsgrößen sind normative Sollvorgaben – etwa die Anforderung gemäß DSVO, dass Verfah­ren vollständig und fortschreibend zu dokumentieren sind –, die entsprechende Anzahl aus der vorigen Messperiode, z. B. vom letzten Jahr, oder Maßzahlen, die man zum Vergleich aus anderen Organisation(seinheit)en bezieht. Wie auch immer: Dem oder der Datenschutzbeauftragten wird es anhand des Bench­markings erleichtert, differenziert Auskunft über die Datenschutzsituation in seiner Organisation zu geben. Die Organisation wiederum kann gegenüber einer Aufsichtsbehörde belegen, dass – selbst wenn noch nicht alles perfekt ist – ein Weg der systematisch überwachten, kontinuierlichen Verbesserung eingeschlagen wurde.

Die Datenschutzorganisation muss dafür sorgen, dass die Prozesse einer Einheit in Bezug auf den rechtskonformen Umgang mit personenbezogenen Daten zuneh­mend verbessert werden, doch auch die Datenschutzprozesse unterliegen der Anforderung nach ständiger Verbesserung. Hier hat sich als bekanntestes Planungswerkzeug der Deming-Zyklus etabliert, wonach sich ein kontinuierlicher Verbesserungsprozess in vier Phasen („Plan – Do – Check – Act“) unterteilen lässt: Beim „Plan“ muss ein Problem exakt beschrieben und eine mögliche Verbesserung konzipiert werden; beim „Do“ sind notwendige Daten zu sammeln, zu analysieren und mögliche Fehlerquellen zu untersuchen; beim „Check“ sind Daten mit den Annahmen aus der „Plan“-Phase zu vergleichen und zu bewerten – entsprechend sind Maßnahmen zur Prozessveränderung vorzunehmen; beim „Act“ sind Entscheidungen für oder gegen eine Prozessänderung zu treffen und umzusetzen, und die Änderungen sind zu dokumentieren. Dann beginnt der nächste Zyklus einer Prozessverbesserung, wieder mit der „Plan“-Phase.

Was ist zu tun?
Es müssen Erfahrungen mit KPIs für Datenschutzprozesse gesammelt werden. Das ULD beteiligt sich an einem Pilotprojekt, dessen Ziel es ist, die Praxistaug­lichkeit der KPIs nachzuweisen und eine Vorlage zur Nutzung durch verschie­dene Organisationen zu entwickeln.

 

6.11       Ergebnisse aus Kontrollen  vor Ort

Im Zuge der Verwaltungsstrukturreform sollen die öffentlichen Verwaltun­gen in Schleswig-Holstein auf Landes- und Kreisebene sowie auf der Ebene der Städte, Gemeinden, Ämter und Zweckverbände „professioneller, bürger­näher und wirtschaftlicher“ gestaltet werden. Vor allem die mangelnde Steuerung von externen Dienstleistern führt häufig zu datenschutzrecht­lichen Defiziten.

Das ULD hat die Verwaltungsstrukturreform zum Anlass genommen, fusionierte Amtsverwaltungen datenschutzrechtlich zu überprüfen. Warum sind hier immer noch so viele Beanstandungen nötig, wenn bei den zusammengelegten Verwaltun­gen das bestehende Wissen im Bereich Datenschutz doch verschmelzen und somit eher anwachsen konnte? Nachfolgend finden sich die häufigsten Fragestellungen, die sich bei Überprüfungen im Berichtszeitraum ergaben:

  • Warum werden externe Dienstleister ohne vertragliche Regelungen einge­schaltet und deren Arbeit nicht kontrolliert?
  • Warum existieren Nutzerkonten, deren Zweck niemand kennt?
  • Warum wird durch einen Dienstleister eine Firewall installiert und dieser erklärt nicht, welche Regeln konfiguriert wurden?
  • Warum ist es möglich, dass sich Nutzer mit einem „leeren“ Passwort im System anmelden können?
  • Warum werden Sicherheitskomponenten des Betriebssystems, wie z. B. Grup­penrichtlinien, nicht eingeschaltet?
  • Warum erfolgt keine Löschung der für die eigentliche Aufgabenerfüllung nicht mehr notwendigen Daten?
  • Warum sind die installierten technischen Systeme, die eingesetzte Software und die gespeicherten Datenbestände so schlecht dokumentiert?

Die Hitliste der Antworten auf unsere Fragen:

  • Der Abschluss der Fusion ist vorrangiges Ziel und der Datenschutz muss erst einmal „hinten anstehen“.
  • Wir vertrauen den externen Dienstleistern, diese werden schon alles richtig machen.
  • Wir, die Systemverantwortlichen, führen die Administration nur so „nebenbei“ aus und sind oft überfordert.

Die IuK-Systeme sowie die Datenverarbeitungsprogramme werden immer kom­plexer und damit störungsanfälliger. Gleichzeitig steigt quer durch alle Verwal­tungen die Abhängigkeit von den Systemen und Programmen. Selbst kleinste Störungen können dazu führen, dass ein Verfahren ganz oder teilweise ausfällt. Deshalb entschließen sich öffentliche Verwaltungen dazu, ihre EDV-Systeme nicht mehr selbst zu warten, sondern externe Dienstleister damit zu beauftragen.

In einem Fall der datenschutzrechtlichen Prüfung einer einzigen Amtsverwaltung wurden gleich drei externe Dienstleistungsfirmen vorgefunden. Diese waren zuständig für

  • die Administration der Terminalserver,
  • die Administration und Konfiguration der Firewall sowie der Software zur Kontrolle der E-Mail- und Internetnutzung und
  • die Administration des Verwaltungsnetzwerks.

Die Wartungsarbeiten erfolgten per Fernzugriff sowie vor Ort.

Wir beanstandeten folgende Punkte:

  • Die Wartung der Systeme erfolgte stets unter derselben Nutzerkennung der Administration, unabhängig davon, wer gerade am System arbeitete.
  • Eine Kontrolle der externen Dienstleister fehlte.
  • Eine nachvollziehbare Dokumentation der administrativen Tätigkeiten war nur teilweise vorhanden.
  • Die Dokumentation der installierten Firewallregeln wurde durch den Dienst­leister nicht erstellt.
  • Konfigurationseinstellungen der Internetverbindungen wurden nicht schriftlich vorgelegt.
  • Vertragliche Regelungen für die externen Dienstleistungen bestanden nicht.

Dieses Bild hat sich in mehreren Prüfungen immer wieder gezeigt. Wir mussten feststellen: Die Ämterfusion hat dem Datenschutz nicht genützt. Die bereits vor der Fusion bestehenden Defizite in der Steuerung einer zunehmend komple­xen IuK-Umgebung traten vielmehr noch deutlicher hervor.

Was ist zu tun?
Bei der Zusammenlegung von Verwaltungseinheiten muss das Wissen um den Datenschutz konzentriert werden. Die Systemadministratoren sind diesbezüglich auszubilden und zu fördern. Sie benötigen genügend Zeit und ausreichende Ressourcen für eine ordentliche Arbeit. Der Einsatz von externen Dienstleistern entbindet die Verwaltung nicht von der Pflicht, alle gesetzlichen Vorgaben für den Datenschutz und die Datensicherheit einzuhalten.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel