Regulierung

Im Jahr 2001 wurde dann jedoch auf Wunsch verschiedener Ressorts unter Leitung der Koordinierungsstelle - IuK - von einer Arbeitsgruppe eine zum Teil recht detaillierte Muster-Rahmendienstanweisung und eine Dienstanweisung für die Systemadministratorinnen und Systemadministratoren erarbeitet.

Zu 7.5.2: Verschlüsselung bei Speicherung und Übermittlung und zu 7.5.3: Elektronische Signatur/Crypto-Card Niedersachsen

Um die Sicherheit der Daten in der Landesverwaltung zu gewährleisten, wurden diverse Konzepte entwickelt und umgesetzt oder befinden sich in der Umsetzung.

Um die Sicherheit der Daten im Landesnetz iznNet zu gewährleisten, sind beispielsweise die Konzepte Sicherheitskonzept für das iznNet, Anbindung Dritter an das iznNet, Temporäre Remotezugänge zum iznNet und VPN-Firewall für das iznNet erarbeitet worden. Darüber hinaus gibt es die Möglichkeit, auf der Übertragungsplattform des Landesnetzes virtuelle private Netze (VPN) zu implementieren und im Bedarfsfall eine Verschlüsselung der Daten auf Netzwerkebene zu realisieren.

Unabhängig von den Maßnahmen auf Netzwerkebene sind in der Landesverwaltung für die Anwendung „Automatisiertes Haushaltswirtschaftssystem" ca. 15 000 Chipkarten (SignaturCard Niedersachsen) im Einsatz, mit deren Hilfe die elektronische Signatur und Verschlüsselung in diesem Verfahren realisiert wird.

Geplant ist die flächendeckende Einführung der SignaturCard Niedersachsen in der Landesverwaltung. Ziel dieser Infrastrukturmaßnahme ist es, die SignaturCard Niedersachsen in alle Fachanwendungen, für die die elektronische Signatur und Verschlüsselung notwendig ist, zu integrieren.

Ferner ist die SignaturCard Niedersachsen für darüber hinaus gehende Einsatzmöglichkeiten (multifunktionale Nutzung) vorgesehen wie beispielsweise den digitalen Dienstausweis, die Zutrittskontrolle oder Single-Sign-On.

Im Rahmen der strategischen Partnerschaft des Landes mit der Telekom wurde das Projekt SiNiKom (SignaturCard Niedersachsen kommunaler Bereich) als gemeinsames E-GovernmentProjekt des Landes, der kommunalen Spitzenverbände, der Region Hannover, des Landkreises Schaumburg und der Städte Nordhorn, Wunstorf, Garbsen und Melle zur Erprobung von E-Government-Anwendungen und -Technologien aufgesetzt.

In den teilnehmenden Kommunen werden die elektronische Signatur und Verschlüsselung für die E-Mail-Kommunikation und Dateiablage auf der Basis der SignaturCard Niedersachsen eingeführt.

Um die verschlüsselten Dokumente beispielsweise auch nach Sperrung oder Beschädigung der SignaturCard entschlüsseln zu können, wurde in dem Projekt die so genannte Message-RecoveryFunktionalität eingeführt. Durch dieses Verfahren ist gewährleistet, dass bei Verlust des privaten Schlüssels des Empfängers eine Wiederherstellung von Dokumenten möglich ist.

Zusätzlich wurden neben der SignaturCard Niedersachsen so genannte Bereichskarten eingeführt, die einer Organisationseinheit, aber keiner Person zugeordnet sind. Mit den Bereichskarten kann nur ver- bzw. entschlüsselt werden. Dadurch ist beispielsweise die Bürgerin oder der Bürger in der Lage, mit der ihr oder ihm zunächst als anonyme Institution gegenüberstehenden Behörde vertraulich zu kommunizieren.

Diese Verfahren werden in technischer und organisatorischer Hinsicht unter Berücksichtigung der gewonnenen Erfahrungen ständig optimiert.

Zurzeit verhandelt die Landesverwaltung mit der TeleSec über die Ausgestaltung der nächsten Kartengeneration, um die Einsatzmöglichkeiten der SignaturCard Niedersachsen zu optimieren.

Im Kontext dieser Ausführungen sei auf ein weiteres geplantes Projekt hingewiesen. Das Projekt Virtuelle Poststelle wird die bisherigen Aktivitäten der Landesverwaltung bezüglich Datensicherheit durch Funktionalitäten wie beispielsweise die automatische Prüfung von Signaturen, Ver- und Entschlüsselung von Nachrichten und die beweiskräftige Protokollierung des Nachrichtenein- und -ausgangs ergänzen.

Zu 8.2: Eine harmonisierte Medienordnung tut Not Zwischen der Bundesregierung und den Ministerpräsidenten der Länder ist eine Reform der Medienordnung vereinbart worden, die vorrangig den Jugendschutz, aber auch den Bereich Datenschutz erfassen soll.

Im Jugendschutz sind durch das neue Jugendschutzgesetz des Bundes und den Jugendmedienschutz-Staatsvertrag der Länder neue gesetzliche Grundlagen geschaffen worden. Die hier konzipierte Freiwillige Selbstkontrolle greift die Praxis der Selbstkontrolle auf (z. B. Presserat, FSF, FSK) und hat das Ziel, unter größtmöglicher Beibehaltung der Autonomie der Anbieter eine Balance mit einer effektiven Durchsetzung des Jugendschutzrechts zu erreichen. Bereits im Vorfeld einer Verbreitung soll durch die vom Staat auf gesetzlicher Basis überprüfbare - und insofern normierte - Selbstregulierung auf Dauer ein hoher Standard normgerechter Angebote gewährleistet werden. Durch die hoheitliche Anerkennung der Kontrolleinrichtungen mit Widerrufsmöglichkeit und die Überprüfung der finanziellen Ausstattung und inhaltlichen Unabhängigkeit der Selbstkontrolleinrichtungen soll gewährleistet werden, dass die rechtlichen Anforderungen erfüllt werden. Die vorgesehene Evaluierung nach zwei Jahren soll Gelegenheit geben, die Wirksamkeit dieses Konzeptes zu überprüfen.

Freiwillige Selbstkontrolle kann im Kontext der verfassungsrechtlichen Kategorien von Grundpflichten und Bürgerverantwortung als milderes Mittel zur staatlichen Regulierung definiert werden, das im Ergebnis aber gleich wirksam sein muss. Dem Demokratiedefizit der Selbstregulierung muss durch gezielte gesetzliche Regulierungen der Grundsätze Rechnung getragen werden, z. B. durch staatliche Anerkennung von Einrichtungen und Maßnahmen der Selbstregulierung oder durch interne und externe Kontrollinstrumentarien. Diese Grundsätze müssten auch bei einer Einführung von mehr Selbstkontrolle im Datenschutz gelten.

Für die im Grundsatz avisierte Regelungskompetenz des Bundes im Bereich des Datenschutzes in den elektronischen Medien sind jedoch Umfang und Inhalt der Kompetenzen noch nicht abschließend geklärt. Selbst wenn Zuständigkeiten beim Bundesbeauftragten für den Datenschutz vorgesehen sind (z. B. die Anerkennung von Einrichtungen der Freiwilligen Selbstkontrolle, Richtlinien hinsichtlich der Anerkennungsvoraussetzungen), müsste letztlich der Vollzug bei den jeweiligen Landesdatenschutzbeauftragten liegen.

Die in diesen und anderen Punkten des vorliegenden Entwurfs für ein Gesetz über den Datenschutz bei der Nutzung elektronischer Medien (EMDSG) noch offenen Fragen wie z. B. die Prüfung der Vereinbarkeit der Selbstkontrolleinrichtungen mit der EU-Datenschutzrichtlinie im Hinblick auf die geforderte Unabhängigkeit oder die Möglichkeiten der Ahndung von Verstößen durch die der Selbstkontrolle unterliegenden Anbieter sollten zunächst geklärt werden.

Der grundsätzliche Ansatz für die Installierung einer Freiwilligen Selbstkontrolle sollte jedoch nicht von vornherein in Frage gestellt werden, zumal die Kontrolle der Gewährleistung eines effizienten Datenschutzes angesichts der Dimensionen der Verarbeitung personenbezogener Daten in der Informationsgesellschaft und der angespannten finanziellen Situation der öffentlichen Haushalte und der damit verbundenen Personalreduzierung in ausschließlich öffentlich-rechtlich organisierter Aufsichtsform kaum noch leistbar erscheint.

Zu 8.3: Internet am Arbeitsplatz

Mit Erlass vom 20.07.2000 - Az.: 02823-izn-net - ist für das Innenressort im Benehmen mit dem Hauptpersonalrat beim MI und dem Polizeihauptpersonalrat beim MI die Muster-Rahmendienstanweisung für die Nutzung des vom Informatikzentrum Niedersachsen betriebenen Internetzugangs der Landesverwaltung für verbindlich erklärt worden. Die aktuelle Fassung in der Bekanntmachung des Niedersächsischen Finanzministeriums (MF) vom 19.12.2000 - VD1 32-02 804/17 (Nds. MBl. 2001 S. 191) regelt unter Nr. 2.1, dass das Internet nur zu dienstlichen Zwecken genutzt werden darf. Die Muster-Rahmendienstanweisung ist dem LfD, der Mitglied im IMA-IuK ist, bekannt. Die Landesregierung sieht keinen Bedarf für den Abschluss einer Vereinbarung nach § 81 Niedersächsisches Personalvertretungsgesetz (NPersVG), da eine solche Vereinbarung die erforderlichen Beteiligungstatbestände wie sie z. B. durch die o. g. Benehmensherstellung erfolgt ist, ohnehin nicht ersetzen würde.

Für den Bereich der E-Mail-Nutzung hat das MF mit Schreiben vom 03.12.2002 den Ressorts den Entwurf einer Kabinettsvorlage mit der Bitte um Mitzeichnung vorgelegt, der eine MusterRahmendienstanweisung für die Nutzung der elektronischen Post in der Landesverwaltung enthält.

Diese lässt die Nutzung des E-Mail-Dienstes grundsätzlich nur für den dienstlichen Gebrauch zu.

Nach der in Kürze zu erwartenden Beschlussfassung durch das Kabinett bleiben die einzelnen Ressorts aufgefordert, die Rahmendienstanweisung für ihren Geschäftsbereich umzusetzen. Der Abschluss einer Vereinbarung gemäß § 81 NPersVG wird auch für diesen Bereich von der Landesregierung nicht als erforderlich angesehen.

Zu 8.4: Briefwahlunterlagen über das Internet - sicher?

Die Eröffnung des Antragsverfahrens für das Medium E-Mail ist bei den Bundestagswahlen 2002 gut von den Bürgerinnen und Bürgern angenommen worden. Beschwerden sowie Wahleinsprüche hinsichtlich der Regelung des § 27 Abs. 1 Satz 2 der Bundeswahlordnung in der Fassung der Bekanntmachung vom 19.04.2002 (BGBl. I S. 1376), zuletzt geändert durch Artikel 1 des Gesetzes vom 27.08.2002 (BGBl. I S. 3429), sind nicht vorgelegt worden.

Die Bürgerinnen und Bürger haben sich bei der Beantragung ihrer Briefwahlunterlagen in der Regel der von den Städten und Gemeinden im Internet angebotenen Online-Formulare bedient.

Damit wurde ein erhöhter Verwaltungsaufwand bei den Städten und Gemeinden vermieden, der bei „freien Mailanträgen" durch die Klärung der Identität der Antragstellerin oder des Antragstellers und zur Authentifizierung hätte entstehen können.

Zu 8.6.2: Befugnisse von Strafverfolgungsbehörden zur Internet-Überwachung

Die Vorratsdatenspeicherung von Telekommunikationsdaten ist auch von der Landesregierung in der Vergangenheit abgelehnt worden. Zwar sind entsprechende Regelungen zur Vorratsspeicherung im Rahmen des Gesetzgebungsverfahrens für ein Gesetz zur Verbesserung der Ermittlungsmaßnahmen wegen des Verdachts des sexuellen Missbrauchs von Kindern und der Vollstreckung freiheitsentziehender Maßnahmen - BR-Drs. 275/02 - diskutiert worden. Die auf Anträgen der Freistaaten Bayern und Thüringen beruhenden Regelungsvorschläge sind jedoch von Niedersachsen seinerzeit nicht unterstützt worden.

Zu 10.3: Meldewesen

In dem sensiblen Bereich der Meldedaten haben Fragen des Datenschutzes und der Datensicherheit eine besondere Bedeutung. Für die länderübergreifende Übertragung der Meldedaten ist ein bundesweit einheitlicher Sicherheitsstandard zu gewährleisten. Die Innenminister von Bund und Ländern haben im April 2002 eine Projektgruppe mit der Untersuchung der rechtlichen und technischen Voraussetzungen für einen automatisierten Datenaustausch zwischen den Meldebehörden und Möglichkeiten der elektronischen Anmeldung und Melderegisterauskunft über das Internet bei den Meldebehörden beauftragt. Es sollten u. a. sachgerechte und wirtschaftliche technische Standards für die Kommunikation zwischen den Meldeämtern definiert werden.

Die Innenministerkonferenz hat sich zwischenzeitlich für den Einsatz im Meldewesen von OSCIXmeld und OSCI-Transport - als überaus wichtigem und unverzichtbaren Bestandteil der elektronischen Infrastruktur im Rahmen des E-Government auf Bundes- und Landesebene - ausgesprochen. Sie hat das Bundesministerium des Innern gebeten, die für die länderübergreifende Kommunikation der Meldebehörden untereinander notwendigen Standards OSCI-Xmeld und OSCI-Transport verbindlich vorzuschreiben und festzulegen, dass keine Software im Einwohnermeldewesen eingesetzt werden darf, die nicht diese Standards implementiert hat. Darüber hinaus wurden weiterführende Prüfaufträge an die Arbeitskreise und Projektgruppen (z. B. zum Erwerb und Betrieb erforderlicher Lizenzen sowie die Schaffung von Schnittstellen) erteilt.

Auch wenn unter Berücksichtigung des Rahmenrechts eine Anpassung des niedersächsischen Melderechts zum jetzigen Zeitpunkt bereits rechtlich möglich ist, sollen insbesondere im Interesse von Datenschutz und Datensicherheit zunächst weitere Ergebnisse der Projektgruppe zur praktischen Ermöglichung des länderübergreifenden Datenaustausches abgewartet werden.