Das HAushalts-MAnagement-SYStem (HAMASYS)

Bei der Umstellung der Aktenführung von Papier auf EDV gibt es allerdings eine Reihe datenschutzrechtliche Aspekte zu beachten. So sind neben einem Sicherheitskonzept, vorab auch Fragen zur gesetzlichen Zulässigkeit der automatisierten Verarbeitung von Daten aus datenschutzrechtlicher Sicht, zum Schutzniveau der Daten, zu Zugriffsberechtigungen, zur Protokollierung von Vorgängen und Ereignissen, zur Löschung/Sperrung von Daten und zur Archivierung zu klären.

Das HAushalts-MAnagement-SYStem (HAMASYS) in der Thüringer Landesverwaltung

Bei HAMASYS handelt es sich um ein HAushalts-MAnagement-SYStem.

HAMASYS gliedert sich in folgende Teilprojekte:

1. Landesweite Einführung eines einheitlichen IT-Verfahrens für die Mittelbewirtschaftung, Kasse und Vermögensnachweisführung/Inventarisierung

2. Einführung eines modernen Verfahrens für die Haushaltsaufstellung

3. Einführung der Kosten- und Leistungsrechnung in geeigneten Bereichen

4. Controlling des gesamten Landeshaushaltes.

Ziel des Vorhabens sind genauere und aktuellere Aussagen zum Haushaltsmitteleinsatz sowie einen Verzicht auf Doppelerfassungen, wodurch Verwaltungsabläufe beschleunigt, Kostenstrukturen dargestellt sowie Wirtschaftlichkeitsbetrachtungen, Prognosen zur Kostenentwicklung und Vergleiche zwischen gleichartigen Behörden ermöglicht werden sollen. Daraus verspricht man sich Ansatzpunkte für eine Optimierung der Steuerung des Landeshaushaltes und eine Kostenreduzierung. Die Transparenz der Kosten soll durch die Abrechnung nach Produkten (dem liegt ein von der Finanzministerkonferenz des Bundes und der Länder 2004 beschlossener bundeseinheitlicher Produktrahmenplan zu Grunde), Kostenstellen, Kostenarten und Kostenträger erhöht werden. Unter Kostenstelle ist der Ort der Kostenentstehung - bspw. ein Referat - zu verstehen. Die Kostenstelle sollte mindestens drei Personen umfassen, damit ein Personenbezug weitestgehend ausgeschlossen werden kann. Das Gesamtprojekt soll ca. 350

Behörden mit 5000 bis 6000 Nutzern umfassen.

Dem Verfahren liegt der Verzeichnisdienst Active Directory und das Protokoll für Verzeichnisdienste LDAP zu Grunde.

Jeder Nutzer (bspw. HH-Sachbearbeiter, zur Auszahlungsanordnung Befugte, Kassenmitarbeiter, Inventarisierer, Controller) soll mittels Web-Client über das Corporate Network mit der Datenbank verbunden werden. Dabei muss sich der Nutzer nur einmal anmelden und kann das ganze System entsprechend seinen zugewiesenen Zugriffsrechten nutzen (Single Sign On- Fähigkeit). Bei der Nutzung von HAMASYS wird die vom Land bereitgestellte PKI-Infrastruktur genutzt. Es ist vorgesehen, dass Auszahlungsanordnungen mittels einer fortgeschrittenen Signatur gezeichnet werden.

Das erste Teilprojekt umfasst die Mittelbewirtschaftung, die Kasse und die Vermögensnachweisführung / Inventarisierung. Pilotbehörden sind die OFD Erfurt und das Thüringer Landesamt für Lebensmittelsicherheit und Verbraucherschutz (TLLV). Die Phase des Costumizing, die die Einstellung der Anfangsdaten und Abbildung der Projektstrukturen beinhaltet wurde mittlerweile innerhalb der Pilotbehörden abgeschlossen. Die Freigabe des Projektes in den Pilotbehörden wurde für Dezember 2005 angekündigt. Gleichzeitig soll das Verfahrensverzeichnis, eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 8 mit dem ZIV sowie das Sicherheitskonzept vorliegen. In den Jahren 2006 und 2007 soll die Einführungsphase abgeschlossen sein und das Projekt in den Produktivbetrieb gehen.

In diesem Teilprojekt fallen folgende Daten an:

6. Tätigkeitsbericht des 2004/2005

1. Die auf den Auszahlungsanordnungen angegebenen Daten wie z. B. Name, Vorname, Adresse, Bankverbindung von Mitarbeitern der Landesverwaltung, Bürgern und Firmen werden vom Client der einzelnen Dienststellen in die Datenbank HAMASYS im ZIV übertragen. Beim Datenbankzugriff ist die Mandantenfähigkeit gewährleistetet, d. h. jede Dienststelle hat nur Zugriff auf ihre eigenen Daten.

2. Im Rahmen des Controlling des gesamten Landeshaushaltes werden aus dem Datenbestand Statistiken, ohne unmittelbaren Personenbezug, erstellt.

Formularserver:

Als eine zentrale Anwendung im Service Portal der Thüringer Landesregierung wird der Formularserver fungieren.

Die Landesregierung strebt die Ablösung von Papierformularen durch elektronische Formulare in großem Umfang an. Ein wesentlicher Schritt in diese Richtung war deshalb im Rahmen des der Landesregierung auch die Bereitstellung eines Formularservers, um die teilweise noch dezentral vorgehaltenen Formulare zu bündeln und, soweit erforderlich und sachgerecht, auch ressortübergreifend zur Verfügung zu stellen, um diese in die elektronische Vorgangsbearbeitung integrieren zu können.

Die Landesregierung hält es darüber hinaus für geboten, künftig die Formulare nicht nur elektronisch zum Ausdruck bereitzustellen, sondern schrittweise deren elektronische Übertragung auszubauen. Angefangen mit der Möglichkeit, Formulare elektronisch auszufüllen, über automatische Plausibilitätsprüfungen bis hin zur elektronischen Übersendung an die Verwaltung und elektronischen Bearbeitung in der Verwaltung sollen nicht nur die Formularbereitstellung, sondern auch die Geschäftsprozesse der Verwaltung optimiert werden.

Mit dem Formularservice für Thüringen möchte das Land die technologischen, administrativen und organisatorischen Voraussetzungen zur Effektivierung der formularbasierten Verwaltungsprozesse schaffen:

- Angebot eines umfangreichen, qualitativ hochwertigen und sachgebietsbezogenen Formularpools zur Unterstützung der formularbasierten Geschäftsprozesse in Verwaltungen,

- Schaffung eines gemeinsamen, einheitlichen Zugangspunktes zu unterschiedlichen Bearbeitungssystemen und -vorgängen,

- Bereitstellung einer Plattform zur medienbruchfreien Erstellung und Bearbeitung von formularbasierten Vorgängen

Soweit mit diesen Formularen auch personenbezogene Daten elektronisch übertragen werden, spielen datenschutzrechtliche Aspekte eine wesentliche Rolle. Hier wird der auch künftig beratend tätig werden.

Datenschutzgerechter Anschluss an Internet und Online-Banking bei Gerichtsvollziehern

Im 5. TB (15.9) berichtete ich über Sicherheitsaspekte beim Online-Banking von Gerichtsvollziehern. Anlass war die Entscheidung des TJM, den Gerichtsvollziehern seines Geschäftsbereiches die Teilnahme am Online-Banking-Verfahren zu gestatten. In Absprache mit dem wurde der Einsatz dieses Verfahrens allerdings an die Einhaltung erforderlicher sicherheitstechnischer Vorgaben gebunden. Die hierfür vorgegebenen technischen und organisatorischen Sicherheitsmaßnahmen sollten sich zunächst im praktischen Einsatz bewähren und wurden deshalb zunächst als ergänzende Bestimmungen zu der Verwaltungsvorschrift Einsatz von EDV-Technik im Gerichtsvollzieherbüro erlassen. U. a. werden hier die für die Gerichtsvollzieher zuständigen Prüfungsbeamten verpflichtet, die Sicherheitsstandards der eingesetzten EDV regelmäßig zu überprüfen. Nach der Erprobung sollen die Regelungen in die bestehende Verwaltungsvorschrift aufgenommen werden. Das Thüringer Oberlandesgericht wird hierzu einen Erfahrungsbericht erstellen, anhand dessen die Wirksamkeit und Praktikabilität der erfolgten Vorschrift/ Regelungen zur Teilnahme am Online-Banking geprüft werden. Zwischenzeitlich teilte mir das TJM mit, dass dem Thüringer Oberlandesgericht der Kontrollumfang für die Prüfungsbeamten der Gerichtsvollzieher zu hoch erschien. Die Prüfungsbeamten hätten nicht die erforderlichen EDV-Kenntnisse, den wirksamen Einsatz der Sicherheitsapplikationen zu prüfen. Da insoweit unklar war, welchen Umfang die Prüfungstätigkeit bei den Gerichtsvollziehern haben soll, überarbeitete das TJM vorab diese ergänzende Vorschrift zum. In der Neufassung wird nun deutlicher geregelt, dass in erster Linie der Gerichtsvollzieher für die Sicherheit beim Online-Banking und den Schutz seines PC verantwortlich ist.

Daneben wurde die Kontrolle der Prüfungsbeauftragten auf den Einsatz der Sicherheitsapplikationen und ihrer testweisen Nutzung beschränkt. Desweiteren wurde der Vorschlag des aufgegriffen, ausschließlich nur Chipkartenlesegeräte der Klasse 3 zum Einsatz zuzulassen.

Diese verkörpern derzeit den höchsten sicherheitstechnischen Stand. Insbesondere wird hier die Eingabe der PIN direkt auf die Chipkarte übermittelt, ohne im Rechner zwischengespeichert zu werden. Damit wäre ein Auslesen der PIN durch bösartige Softwareprogramme (Trojaner) nicht möglich.

Aufgrund der bundesweiten Bedeutung dieser Thematik hat zwischenzeitlich auch eine Arbeitsgruppe des AK Technik der DSB, an dem sich auch der beteiligte, eine Orientierungshilfe zum datenschutzgerechten Anschluss an Internet und Online-Banking bei Gerichtsvollzieherinnen und Gerichtsvollziehern erarbeitet. Die Orientierungshilfe enthält u. a. sicherheitstechnische Hinweise zur Trennung von lokalen Rechnern und externen Systemen, zum Anschluss an das Internet, zum E-Mail-Dienst, zum Virenschutz und zum Online-Banking.

Maßgebende Sicherheitsvorkehrungen, die schon in den oben genanten ergänzenden Regelungen des TJM bestimmt sind, werden hier bundesweit empfohlen. Die Orientierungshilfe steht zur Einsicht und zum Abruf unter der Web-Adresse www.datenschutz.thueringen.de zur Verfügung.

1.10 Sicherheitsfragen bei der Internettelefonie Voice over IP

Unter Voice over IP versteht man die Übertragung von Sprache über IP (Internet Protocol)basierte Netze. Stellt das IP-Netz ein Intranet bzw. das Internet dar, so spricht man auch von Intranet- bzw. Internet-Telefonie. Grundsätzlich sind folgende Arten der Sprachkommunikation mit zu unterscheiden:

- Kommunikation PC-zu-PC,

- Kommunikation PC-zu-Telefon,

- Kommunikation Telefon-zu-Telefon.

Sowohl im privaten Bereich als auch in Unternehmen und Behörden kommt zunehmend zum Einsatz. Anfang des Jahres 2005 verzeichneten die Voice over IP-Anbieter bereits rund eine halbe Million Anschlüsse in Deutschland.

Ein neues Einsatzgebiet für ist die Übertragung der Sprachdaten über drahtlose Netze (Voice over WLAN).

Eine technische Herausforderung der Sprachübertragung über IP-Netze ist die Absicherung der gewohnten Sprachqualität. Die Hauptprobleme bei der Übertragung von Echtzeitdaten über IPNetze sind mögliche Verzögerungen und Verluste der Sprachpakete. Nach Angaben der Hersteller sind diese im Wesentlichen gelöst worden, sodass Gespräche in guter Sprachqualität geführt werden können. Zunächst wird die Sprache mit einem Mikrophon (z. B. Telefonhörer) Zeitschrift ct 2005, Heft 12.