Fachlichen Leitstelle SAP
Finanzen und Steuern Haushaltsverfahren: Anforderungen werden nicht erfüllt:
Die Dokumentation des Verfahrens SAP für Hamburg wird nicht zeitnah fortgeschrieben. Wieder wurden Originaldaten, die für Testzwecke genutzt worden waren, nicht unverzüglich gelöscht.
Für die Prozesse in der Kasse, der Mittelbewirtschaftung und der Anlagenbuchhaltung nutzt die FHH ein komplexes SAP-System. Die Fachliche Leitstelle, die zur Finanzbehörde/Amt für Haushalt und Aufgabenplanung gehört, ist verantwortlich für die Vorgaben für die Programmierung und die Systemaussteuerung, testet und gibt auch die laufenden Änderungen frei.
Der HmbBfDI hat sich in den Jahren 2007 und 2008 wiederholt darum bemüht, eine aktuelle Dokumentation des Berechtigungskonzepts für das IT-Verfahren SAP für Hamburg zu erhalten. Auch eine Dokumentation des Tests mit Originaldaten zum Umstieg auf SAP ERP 6.0 zum 1. Januar 2009, deren Zusendung die Fachliche Leitstelle zugesagt hat, hat der HmbBfDI trotz Nachfrage nicht erhalten. Diese unzureichende Information des HmbBfDI war Anlass für die Prüfung des Verfahrens SAP mit dem Schwerpunkt Dokumentation des Verfahrens.
Die Anforderungen an die Dokumentation eines produktiven IT-Verfahrens sind in der Freigaberichtlinie differenziert festgeschrieben. Danach ist die Fachliche Leitstelle dafür verantwortlich, dass die Dokumentation jederzeit vollständig und inhaltlich auf dem aktuellen Stand zur Verfügung steht. Verfahrens- und Softwareänderungen müssen in der Dokumentation zeitlich und inhaltlich nachvollzogen werden können. Die Dokumentation besteht aus der
· Verfahrensdokumentation und -beschreibung,
· Dokumentation für die Rechenstelle,
· Benutzerdokumentation und der
· Softwaredokumentation.
Der Rechnungshof hat bereits im Rechnungshofbericht vom 7. Februar 2007 auf eine nicht vollständige Dokumentation des Verfahrens hingewiesen und die Finanzbehörde aufgefordert, die Dokumentationsanforderungen unverzüglich umzusetzen. Die Finanzbehörde hatte damals bestätigt, dass die Verfahrensdokumentation zu verbessern ist. Bei der Prüfung durch den HmbBfDI im März 2009 hat die Fachliche Leitelle jedoch erneut erklärt, dass aus ihrer Sicht bei der Dokumentation noch wesentliche Verbesserungsnotwendigkeiten erforderlich sind und auch der derzeitige Stand nicht den Anforderungen entspricht. Damit hat die Fachliche Leitstelle die ihr übertragenen Aufgaben nicht im erforderlichen Umfange wahrgenommen.
Als Reaktion auf den Rechnungshofbericht wurde ein Projekt Dokumentation in der Fachlichen Leitstelle SAP aufgelegt. Dazu gibt es jedoch keine Projektbeschreibung und eine Projektplanung ist nicht vorhanden. Die Fachliche Leitstelle SAP hat den Beschluss gefasst, die Dokumentation nicht mehr in Form von ergänzenden Word-Dokumenten vorzunehmen. Diese Form hat sich als nicht praktikabel herausgestellt, weil innerhalb kurzer Zeit die Dokumentation und der Ist-Stand auseinandergelaufen sind. Die entsprechenden Dokumente wurden nicht nachgepflegt.
Die neue Dokumentationsform erfolgt im SolutionManager, den SAP zur Verfügung stellt. Es wurde auch festgelegt, dass eine vollständige Dokumentation aufgrund der bereits festgelegten Ablösung des Verfahrens bis 2013 nicht erfolgen soll, aber wichtige Bereiche zu dokumentieren sind. Die neue Form der Dokumentation wurde in einem ersten Bereich umgesetzt. Dadurch haben alle Entwickler und die Fachliche Leitstelle die Möglichkeit, sofort Änderungen zu dokumentieren und es müssen keine getrennten Dokumente in einem separaten Textverarbeitungsprogramm verfasst bzw. gepflegt werden. Auch lassen sich mit diesem System Aufträge etwa zum Testen von Programmänderungen anstoßen und verwalten, so dass diese unmittelbar in die Dokumentation einfließen können. Die Fachliche Leitstelle geht nach ihren ersten Erfahrungen davon aus, dass mit diesem System eine auf Dauer aktuell gehaltene Dokumentation erreicht werden kann.
Das Berechtigungssystem ist bisher nicht vollständig nach dem neuen Dokumentationsstandard dokumentiert. Wann dieses erfolgt sein wird, konnte nicht benannt werden. Vor dem Hintergrund des sehr komplexen Berechtigungssystems in SAP und der Tatsache, dass die Vertraulichkeit des hamburgweiten Systems wesentlich auf diesem basiert, ist dies äußert kritisch. Vor dem Hintergrund, dass das derzeitige System noch mindestens drei Jahre genutzt wird, sollte gerade die Dokumentation des Berechtigungssystems auf einem aktuellen Stand gehalten werden. Um auch dessen anforderungsgerechte Umsetzung zu kontrollieren, sollte darüber hinaus eine toolgestützte Überprüfung durchgeführt werden.
Auch die überprüfte Dokumentation des Tests mit Originaldaten ergab Mängel. Positiv ist hervorzuheben, dass es einen differenzierten Testplan gab. Es wurden jedoch zahlreiche Testkonstellationen aufgeführt, die als „nicht erledigt" gekennzeichnet waren. Die Nutzung von Originaldaten für Testzwecke ist nur zulässig, wenn die Voraussetzungen der Freigaberichtlinie erfüllt werden. Ob diese vollständig gegeben waren, ließ sich im Einzelnen nicht nachvollziehen, wie eine Dokumentation z. B. des Aufwandes für Anonymisierung der Daten und der an den Tests beteiligten Personen nicht vorlag. Insbesondere ist jedoch zu kritisieren, dass die Originaldaten auch viereinhalb Monate nach dem Produktivstart immer noch nicht gelöscht waren. Vor dem Hintergrund, dass der HmbBfDI bereits im 21.TB, 2. einen gravierenden Mangel beim Test mit Originaldaten beim SAP-Verfahren dokumentiert und auch gerade die zeitnahe Löschung der Produktivdaten nach dem Abschluss solcher Tests eindringlich eingefordert hat, ist dies besonders bedenklich und zeigt, dass hier nach wie vor Handlungsbedarf seitens der Finanzbehörde besteht.
4. Polizei
Novellierung des Polizeirechts Erforderliche Änderungen wurden im Gesetz über die Datenverarbeitung der Polizei (PolDVG) noch immer nicht umgesetzt. Für den Fall, dass Online-Durchsuchungen in den Katalog der verdeckten Ermittlungsmaßnahmen des PolDVG aufgenommen werden, sind die Vorgaben des Bundesverfassungsgerichts zu beachten.
Bereits im vorletzten Tätigkeitsbericht (20. TB, 7.2) hatten wir darauf hingewiesen, dass die Regelungen zur präventiven Telekommunikationsüberwachung in §10a PolDVG an die Rechtsprechung des Bundesverfassungsgerichts vom 27. Juli 2005 (1 BvR 668/04) zum niedersächsischen Polizeirecht angepasst werden müssen (siehe auch III 4.2). Dabei sollte zumindest der Standard des §100a der inzwischen novellierten Strafprozessordnung (StPO) zum Schutz des Kernbereichs privater Lebensgestaltung erreicht werden.
Im letzten Tätigkeitsbericht (21. TB, 8.1) hatten wir dargelegt, dass auch die Regelungen der optischen und akustischen Wohnraumüberwachung nach §10 Abs. 2 PolDVG an die Anforderungen des Kernbereichsschutzes anzupassen sind.
Ebenfalls im 21. Tätigkeitsbericht (8.1) hatten wir auf zwischenzeitlich weitere Änderungsbedarfe für die Rasterfahndung nach §23 PolDVG hingewiesen. Diese ergeben sich aus dem Beschluss des Bundesverfassungsgerichts vom 4. April 2006
(1 BvR 518/02). Die Rasterfahndung muss an das Vorliegen einer konkreten Gefahr geknüpft werden.
Inzwischen hat das Bundesverfassungsgericht in einer Entscheidung vom 27. Februar 2008 (1BvR370/07) zwar präventive Online-Durchsuchungen nicht grundsätzlich ausgeschlossen, aber deutliche Grenzen gezogen. Durch die tief greifende Veränderung der neuen Telekommunikationsmittel entwickeln sich neue, tief greifende Gefahren für das Persönlichkeitsrecht der Bürgerinnen und Bürger.
Deshalb hat das Bundesverfassungsgericht dargelegt, dass sich aus Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes (GG) auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ergibt. Soweit die Telekommunikationsinhalte vom staatlichen Eingriff berührt sind, ist Artikel 10 GG (Fernmeldegeheimnis) zu beachten. Soweit eine Infiltration z. B. durch Trojaner durch technische Manipulation am Rechner des Betroffenen in seiner Wohnung vorgenommen wird, gilt Artikel 13 GG (Unverletzlichkeit der Wohnung). Der Einsatz von Trojanern ist nach dem Urteil nur möglich bei existenzieller Gefährdung des Lebens, des Bestands des Staates oder der Versorgungseinrichtungen, die für die menschliche Existenz erforderlich sind.
Auch die Grenzen, die das Gericht für den Kernbereichsschutz ausgeführt hat, haben Auswirkungen auf den Spielraum des Hamburgischen Gesetzgebers, bei einer Novellierung des Gesetzes über die Datenverarbeitung der Polizei eine Online-Durchsuchung zu regeln.
Mit Urteil vom 11. März 2008 (1 BvR 207/05) hat das Bundesverfassungsgericht die Regelungen über die automatisierte Kraftfahrzeug-Kennzeichenerfassung nach dem Schleswig-Holsteinischen Landesverwaltungsgesetz und dem Hessischen Sicherheits- und Ordnungsgesetz für nichtig erklärt (siehe unten III 4.3).
Soweit Sprachaufzeichnungen der Notrufe und sonstigen in der PEZ ein- und ausgehenden Telefonate zu Gefahrenabwehrzwecken erfolgen, bedarf es einer gesetzlichen Regelung. Die Speicherung der Sprachaufzeichnung erfolgt derzeit für 60 Tage und dient unter anderem der Einsatzdokumentation, der Sicherstellung als Beweismittel im Rahmen der Strafverfolgung und dem Schutz der Beamten vor ungerechtfertigten Anschuldigungen. Auf unsere Nachfrage, zuletzt im Juli 2008, wurde uns von der Behörde für Inneres mitgeteilt, dass im Rahmen der Novellierung des PolDVG und des SOG (Gesetz zum Schutz der öffentlichen Sicherheit und Ordnung) auch die Aufzeichnung von Notrufen und sonstigen in der Polizeieinsatzzentrale eingehenden Notrufe auf eine sichere Rechtsgrundlage gestellt werden sollen.
Der Hamburger Senat hatte zunächst bereits für das Jahr 2006 einen Referentenentwurf eines überarbeiteten PolDVG angekündigt (vgl. 21. TB, 8.1). In seiner Stellungnahme zum 21. Tätigkeitsbericht hatte der Senat angegeben, das Urteil des Bundesverfassungsgerichts zur Online-Durchsuchung abwarten zu wollen (Drucksache 19/1383, Seite 4). Mitte 2008 war aus der Behörde für Inneres zu erfahren, ein Gesetzentwurf werde nach der Sommerpause vorliegen.