Weder PGP noch GnuPP erfüllen die Anforderungen des Signaturgesetzes an eine qualifizierte elektronische Signatur
Einsatz des Programms Prettty Good Privacy (PGP) in der Verwaltung
Bei dem Programm PGP handelt es sich um eine für Verschlüsselungs- und Signaturzwecke verbreitet eingesetzte Lösung. Im Blick auf entsprechende Anforderungen im Bereich der Landes- und Kommunalverwaltung wurde der LfD mehrfach gebeten, zur Einsetzbarkeit von PGP bzw. der vergleichbaren Open Source-Lösung Gnu Privacy Project (GnuPP) Stellung zu nehmen.
Weder PGP noch GnuPP erfüllen die Anforderungen des Signaturgesetzes an eine qualifizierte elektronische Signatur. Für viele Einsatzbereiche ist dies jedoch ohne Bedeutung. Im 18. Tb. (Tz. 21.3.2) hatte der LfD dargestellt, dass in vielen Fällen Lösungen einer fortgeschrittenen elektronischen Signatur im Sinne des § 2 Nr. 2 SigG ausreichend sind. Dem Einsatz von PGP/GnuPP stehen insoweit datenschutzrechtliche Bedenken nicht entgegen.
Vor einem etwaigen Einsatz von PGP sollten hinsichtlich der Schlüsselverwaltung folgende Punkte geklärt werden:
die Festlegung von Algorithmen und Schlüssellängen,
die Verwendung von Individual- bzw. Gruppenschlüsseln,
die Art der Schlüsselerzeugung (zentral oder dezentral),
die Notwendigkeit, im Bedarfsfall auf Kopien der eingesetzten geheimen Schlüssel zurückgreifen zu können,
die ggf. erforderliche Zertifizierung der öffentlichen Schlüssel,
die Gültigkeit der verwendeten Schlüssel sowie
das Verfahren der Sperrung von Schlüsseln im Fall der Kompromittierung, des Verlusts oder des Ausscheidens von Schlüsselinhabern.
Schlüsselverwaltung bei elektronischer Signatur und Verschlüsselung
Im Blick auf den zunehmenden Einsatz kryptografischer Verfahren wurde der LfD verschiedentlich zur Schlüsselverwaltung, insbesondere zur Frage der Verwendung von Gruppen- bzw. Dienststellenschlüsseln um Stellungnahme gebeten.
Gegen die Nutzung von Gruppen- oder Dienststellenschlüsseln bestehen aus datenschutzrechtlicher Sicht keine Bedenken, wenn lediglich die Zurechenbarkeit zu einer Behörde oder Organisationseinheit erforderlich ist. Gleiches gilt im Fall der Verschlüsselung, soweit lediglich die Übertragung personenbezogener Daten gegenüber einer Kenntnisnahme Dritter außerhalb der beteiligten Stellen abgesichert werden soll.
Soweit eine elektronische Signatur jedoch einer bestimmten natürlichen Person verbindlich zugerechnet werden soll, bzw. eine Entschlüsselung nur einer bestimmten Person möglich sein soll, muss der verwendete Schlüssel eindeutig sein. Insoweit empfiehlt es sich, separate Schlüsselpaare für Signatur und Verschlüsselung zu verwenden.
Die Anfertigung von Sicherungskopien oder die Berücksichtigung von Wiederherstellungsmöglichkeiten, als Vorsorge gegen Verlust oder Beschädigung, begegnet, soweit die genannten Einschränkungen bei Dienststellen- oder Gruppenschlüsseln beachtet werden, keinen Bedenken.
Gewährung von Akteneinsicht in Form digitalisierter Zweitakten
Im Zusammenhang mit der Abwicklung eines Großverfahrens wurde der LfD um Stellungnahme zu der Möglichkeit gebeten, Akteneinsicht in Form von auf CD-ROM bereitgestellter digitalisierter Aktenkopien zu gewähren.
Für das visuelle Erscheinungsbild einer Aktenkopie bedeutet es keinen Unterschied, ob sie auf einem Kopiergerät oder mit einem Scanner erzeugt wurde. Wird die Grafikdatei ausgedruckt, entspricht sie auch hinsichtlich ihrer Verkörperung einer Papierkopie.
Wenn im Rahmen der Akteneinsicht die Anfertigung von Papierkopien zulässig ist, gilt dies aus datenschutzrechtlicher Sicht damit im Grundsatz auch für digitalisierte Zweitakten in Form von Bitmap-Dateien. Eine andere Beurteilung ergäbe sich möglicherweise dann, wenn für Textdokumente beim Scannen OCR-Daten erzeugt würden, die zwar inhaltlich, aber nicht optisch mit dem Original übereinstimmen. Hier dürfte der Vergleich mit einer Abschrift zu ziehen sein. In Fällen, in denen Zweitakten üblicherweise mit einer eindeutigen Kennzeichnung versehen werden, um ihren Verbleib nachzuweisen, wäre dies auch für ihre digitalisierte Form vorzusehen. Geeignete technische Möglichkeiten stehen zur Verfügung. Datenschutzrechtliche Vorteile ergeben sich bei der Überlassung auf CD-ROM dadurch, dass die Imagedateien verschlüsselt, durch Passworte gesichert oder mit Prüfsummen bzw. Signaturen versehen werden können, und damit eine im Einzelfall notwendige besondere Vertraulichkeit oder Integritätssicherung technisch gewährleistet werden kann.
Soweit eine ausreichende Sorgfalt bei Aufbewahrung und Weitergabe der Datenträger gewahrt wird und im Übrigen eine den Papierkopien entsprechende Behandlung erfolgt, kann aus datenschutzrechtlicher Sicht Akteneinsicht auch in Form digitalisierter Aktenkopien gewährt werden.
Steuerung und Kontrolle des IT-Einsatzes im kommunalen Bereich
Im Rahmen einer durchgeführten örtlichen Feststellung zum technisch-organisatorischen Datenschutz bei einer Verbandsgemeindeverwaltung wurde bekannt, dass die Verwaltung den überwiegenden Teil der Betreuung der IT-Infrastruktur durch ein externes privatwirtschaftlich organisiertes Unternehmen durchführen lässt. Zwar befinden sich die Hardwarekomponenten wie auch die gespeicherten Informationen ausschließlich in Räumen der Verbandsgemeindeverwaltung, der tatsächliche Zugriff auf diese Daten ist jedoch durch das dienstleistende Unternehmen durch Fernzugriffe auch ohne Kenntnisnahme der Verwaltung jederzeit möglich. Dieser Umstand ist aus datenschutzrechtlicher Sicht als äußerst bedenklich zu bewerten, zumal die den Dienstleistungen zugrunde liegenden vertraglichen Regelungen nur unzureichende Dokumentationspflichten seitens des Dienstleisters wie auch unzureichende Kontrollmöglichkeiten seitens der Verwaltung als Auftraggeberin enthalten. Da sich im konkreten Fall durch die andauernde Praxis dieser externen Betreuung ein regelrechtes Abhängigkeitsverhältnis aufgebaut hat, ist die Verwaltung nicht mehr in der Lage, aus eigener Kraft die Grundbetreuung der IT-Infrastruktur sicherzustellen. Der LfD wird dies als Verstoß gegen datenschutzrechtliche Bestimmungen beanstanden.
Speicherung und Weitergabe der Protokolldaten von Webservern
Das „World Wide Web" (WWW) ist mehr denn je eine geeignete Plattform zur Präsentation. Kaum eine Verwaltung in Rheinland Pfalz nutzt nicht dieses Medium zur Darstellung und Information im Internet. Verständlich hierbei ist, dass die Anbieter von Informationen im WWW das Nutzungsverhalten derer, die ihre Seiten besuchen, gerne analysieren möchten. Protokolldateien, wie sie beim Betrieb von Webservern anfallen, sind hierzu geeignet, jedoch ergibt sich bei deren Auswertung ein datenschutzrelevanter Aspekt. Die Logdateien enthalten zum Teil personenbezogene oder zumindest personenbeziehbare Daten. Neben der IP-Adresse der beteiligten Rechner können in den protokollierten Informationen auch Namen, Bankverbindungen, Kennwörter und andere Informationen enthalten sein, die sicherlich für eine statistische Auswertung des Nutzungsverhaltens entbehrlich sind.
Insbesondere wenn die Auswertung der Logdateien durch Dritte erfolgen soll, ist es aus Sicht des LfD erforderlich, die Informationen hinreichend zu anonymisieren. Entsprechende Hinweise zur Behandlung von Webserverlogdateien vor der Weitergabe an Dritte zur Auswertung sind auf der Internetseite des LfD veröffentlicht worden.
Voice-over-IP (VoIP) in der Landesverwaltung
Seitens verschiedener Bereiche der Landesverwaltung ist eine Integration der Sprachkommunikation in die bestehende Dateninfrastruktur mittels VoIP angedacht. Beim Einsatz von VoIP wird Sprache wie andere Daten auch in Form von IP-Paketen durch Netze transportiert. Hierbei ist sicherzustellen, dass die Transportwege der „Sprachdaten" ebenso abgesichert sind, wie dies für andere Daten der Fall ist.
Generell ist hierbei zu unterscheiden, ob ein im rlp-Netz als VoIP-Verbindung geführtes Telefonat auch außerhalb des rlp-Netzes über VoIP, d. h. über das Internet, weitergeführt wird oder ob mittels Gateway eine Einspeisung in ein anderes öffentliches Telefonnetz (z. B. ISDN) erfolgen soll. Sofern die VoIP-Kommunikation auf das rlp-Netz beschränkt bleibt, ist keine unmittelbare „Gefährdung" des rlp-Netzes (oder eines VPN) durch schadensfunktiontragende VoIP-Pakete aus dem Internet zu erwarten. Wird zum Zwecke der VoIP-Kommunikation ein Verbindungsweg zwischen dem öffentlichen Netz (Internet) und dem rlp-Netz eröffnet, ist sicherzustellen, dass die Kommunikation ausschließlich über eine geeignete Sicherheitsinfrastruktur abgewickelt wird.
Die derzeitigen Planungen in den einzelnen Verwaltungsbereichen sehen zunächst lediglich den Einsatz von VoIP als interne Lösung zur Kommunikation vor, so dass keine Anbindung an öffentliche Netze erfolgt. Gleichwohl ist davon auszugehen, dass in Zukunft auch öffentliche Kommunikationsnetze zum Transport von Sprachinformationen über VoIP genutzt werden. Der LfD wird die Entwicklung in diesem Bereich weiter beobachten.
21.3.10 IT-Sicherheitsleitlinien für die Landesverwaltung
Die zunehmende Abhängigkeit der Verwaltungen von der eingesetzten Informationstechnik, die steigende Nutzung des Internets als Informationsplattform und die aus Sicherheitsvorfällen resultierenden Beeinträchtigungen führen zumal im Blick auf den erklärten Ausbau von E-Government-Lösungen zu grundlegenden Fragen des Schutzes und der Sicherheit von Informationen. Die IT-Sicherheit der Kommunikationsstrukturen und der Datenbestände der öffentlichen Verwaltung ist auch aus Sicht der Landesregierung von zunehmend hoher Bedeutung (vgl. Landtagsdrucksache 14/1459).
Unter Mitarbeit des LfD hat daher eine Arbeitsgruppe des IT-Ausschusses der Landesregierung Leitlinien zur Sicherheit beim Einsatz der Informationstechnik in der Landesverwaltung formuliert. Diese fußen auf dem IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Sicherheitsleitlinien wurden im Ministerrat beschlossen und als Rundschreiben der Landesregierung veröffentlicht (Planung und Realisierung der IT-Sicherheit in der Landesverwaltung Rheinland-Pfalz, MinBl. vom 4. Juni 2003). Sie erlegen den Verwaltungen bestimmte organisatorische und technische Vorkehrungen auf. Folgende Kernpunkte sind aus Sicht des LfD darin von besonderer Bedeutung:
Grundlage IT-Grundschutzhandbuch
Die Behörden, Gerichte und sonstigen Stellen der Landesverwaltung haben das IT-Grundschutzhandbuch des BSI anzuwenden.
Dieser weithin akzeptierte und regelmäßig aktualisierte Sicherheitsleitfaden deckt mit seinen Gefährdungs- und Maßnahmenkatalogen die Sicherheitsbedürfnisse der meisten Verwaltungen weitgehend ab.
Benennung einer für IT-Sicherheit verantwortlichen Stelle
Jede Verwaltung ist für die Umsetzung ihrer Sicherheitsziele verantwortlich. Die Analyse des jeweiligen Schutzbedarfs sowie Auswahl und Umsetzung geeigneter Maßnahmen liegen in lokaler Verantwortung. Für jede Verwaltung ist eine verantwortliche Stelle zu benennen, die bei sicherheitsrelevanten Ereignissen zu informieren ist und die erforderlichen Maßnahmen koordiniert. Die Verfahrensweise bei sicherheitsrelevanten Vorkommnissen ist festzulegen. Die übergreifende IT-Sicherheit wird innerhalb des Geschäftsbereichs durch das jeweilige Ministerium koordiniert, ressortübergreifende Fragen durch das für allgemeine IT-Angelegenheiten der Landesverwaltung zuständige Ministerium gegenwärtig ist dies das Innenministerium.
Schutzbedarfsanalyse und Sicherheitskonzept
Die vorhandene IT-Struktur einer Verwaltung und die eingesetzten Verfahren sind zu erfassen und hinsichtlich ihres Schutzbedarfs zu überprüfen. Zum Schutz aufgabenkritischer Komponenten sind geeignete Maßnahmen auszuwählen und in einem Sicherheitskonzept darzustellen. Die Sicherheitsmaßnahmen müssen gewährleisten, dass der ordnungsgemäße Betrieb von ITSystemen, die Vollständigkeit, Korrektheit und Vertraulichkeit von Informationen angemessen vor Beeinträchtigungen geschützt sind.
Kryptografische Verschlüsselung
Es ist zu gewährleisten, dass bei Bedarf Informationen durch kryptografische Verschlüsselung auch innerhalb der Verwaltung, z. B. gegenüber Personen mit besonderen Zugriffsrechten auf den eingesetzten IT-Systemen, vertraulich gehalten werden können.
Gleiches gilt für Informationen, die in elektronischer Form an Dritte weitergegeben oder von Dritten empfangen werden und vor unbefugter Kenntnisnahme zu schützen sind.
Elektronische Signatur
Es muss gewährleistet sein, dass für den Schutz von Informationen, an die besondere Anforderungen hinsichtlich ihrer Vollständigkeit, Korrektheit oder des Nachweises der Urheberschaft gestellt werden, bei Bedarf die Verwendung einer elektronischen Signatur möglich ist.
Verfügbarkeit relevanter Informationen
Für die Wahrnehmung von Sicherheitsaufgaben wird im Intranet des Landes eine „Informationsplattform IT-Sicherheit" aufgebaut.
Über die Umsetzung der Leitlinien ist im IT-Ausschuss zu berichten. Der LfD begrüßt ausdrücklich, dass nach längerer Vorarbeit die Sicherheitsleitlinien nunmehr in der vorliegenden Form verabschiedet wurden. Die Erkenntnisse aus seiner Kontroll- und Beratungstätigkeit haben gezeigt, dass es häufig weniger um die Frage geht, welche Maßnahmen konkret zu treffen wären, als darum, IT-Sicherheit als notwendigen Bestandteil des IT-Einsatzes gedanklich, technisch und organisatorisch zu verankern. Dies wird mit den vorliegenden Leitlinien unterstützt. Sie erlauben es, Ergebnisse einzufordern und damit einen zwar allmählichen, aber stetigen Sicherheitsprozess zu initiieren.
Der behördliche Datenschutzbeauftragte
Gemäß § 11 LDSG haben öffentliche Stellen, bei denen mindestens zehn Beschäftigte regelmäßig personenbezogene Daten verarbeiten, schriftlich einen behördlichen Datenschutzbeauftragten (behDSB) zu bestellen. Dieser muss die erforderliche Sachkunde und Zuverlässigkeit besitzen.
Mit der Bestellung eines behDSB soll gewährleistet werden, dass eine „Datenschutzfachkraft vor Ort" die öffentliche Stelle bei der Umsetzung der komplexen Materie des Datenschutzes unterstützt und berät. Nach der Intention des Gesetzgebers soll der behDSB innerhalb der Verwaltung die zentrale Anlaufstelle in allen Datenschutzfragen und Koordinator für alle Datenschutzmaßnahmen sein. Unter dem Aspekt der erforderlichen Sachkunde ist mit der Novellierung des LDSG die Möglichkeit geschaffen worden, Personen außerhalb der verantwortlichen Stelle oder mit Zustimmung der zuständigen Aufsichtsbehörde auch Bedienstete anderer öffentlicher Stellen als behDSB zu bestellen. Sachliche Gesichtspunkte sprechen jedoch dafür, den behDSB aus den eigenen Reihen zu rekrutieren.
Die Aufgaben und Befugnisse eines behDSB sind in § 11 Abs. 3 LDSG festgelegt. Die Festlegung ist jedoch nicht abschließend
vielmehr bleibt es der jeweiligen verantwortlichen Stelle überlassen, ihm weitere Aufgaben zu übertragen.