Asylbewerber

Das Ministerium für Frauen, Arbeit, Gesundheit und Soziales (MiFAGS) unternahm die Herkules-Arbeit, einmal für ein gesamtes Ministerium und alle unterschiedlichen Anwendungsbereiche ein solches Sicherheitskonzept zu erstellen. Wie in der IT-Sicherheitsrichtlinie vorgesehen, wurde ein Sicherheitsmanagement eingesetzt, dem die entscheidenden Stellen des Hauses angehörten. Zuerst wurde eine Bestandsaufnahme der eingesetzten Informationstechnik und der betriebenen Verfahren vorgenommen. In einem zweiten Schritt wurden dann die Sensibilität der zu verarbeitenden personenbezogenen Daten bewertet, eine Beschreibung der mit den unterschiedlichen Betriebsformen verbundenen Risiken erstellt und aus dem ITGrundschutzhandbuch jeweils geeignete Maßnahmen entnommen, um eine angemessene Sicherheit gewährleisten zu können. Der gesamte Prozess lief in enger Abstimmung mit meiner Dienststelle.

Das erarbeitete Konzept diente dem Ministerium selbst als Grundlage für die Umsetzung der erarbeiteten Maßnahmen, für weitere Konzepte im nachgeordneten Bereich (z. B. Landesamt für Arbeitssicherheit, Immissionsschutz und Gesundheit und die IT-Einführung bei den Landesarbeitsgerichten) und führte zu einer abgerundeten hausinternen IT-Dienstanweisung. Das Sicherheitskonzept wurde nach seiner Fertigstellung den anderen obersten Landesbehörden als Muster zur Verfügung gestellt. Ich hoffe, dass die übrigen Ressorts diese Materialien nutzen, um daraus ein eigenes Konzept abzuleiten; die umfangreichen Vorarbeiten des MiFAGS machen dies mit relativ geringem Aufwand möglich.

Online-Kfz-Zulassung im Landkreis Saarlouis

In vergleichbarer Weise habe ich versucht, auf Landkreisebene an der Entwicklung eines beispielhaften Verfahrens mitzuwirken.

Der Landrat des Kreises Saarlouis beabsichtigte, die Abwicklung der Kraftfahrzeugzulassung durch die Nutzung von Internet-Technologien wesentlich zu verbessern und zu erleichtern; das Zulassungsverfahren sollte effizienter, schneller, zeitunabhängiger und kundenfreundlicher gestaltet werden. Dazu sollten Zulassungsdaten von den Händlern und Zulassungsdiensten über das Internet zur Zulassungsstelle übermittelt werden, die dann die Daten ohne eigene Datenerfassung in ihr Verfahren übernehmen und den zuliefernden Stellen bzw. den Schilderprägern das zugeteilte Kennzeichen und die Fertigstellung des Vorgangs mitteilen wollte. Für den Bürger sollte ergänzend die Möglichkeit eröffnet werden, Wunschkennzeichen über das Internet zu reservieren. Die gesamten Internet-Aktivitäten sollten über einen privaten Dienstleister datenschutzgerecht abgewickelt werden; die Zulassungsstelle sollte natürlich jederzeit Herr des Verfahrens und der Daten sein, und ein Durchgriff auf die Rechnersysteme des Kreises und damit eine Gefährdung der Verfahren und Daten musste ausgeschlossen bleiben.

In enger Abstimmung zwischen Kreisverwaltung, privatem Auftragnehmer und LfD gelang es, das beabsichtigte Projekt datenschutzgerecht bis zum Echteinsatz zu entwickeln. Auf der Basis der IT-Sicherheitsrichtlinie des Saarlandes wurden eine Risikoanalyse und ein IT-Sicherheitskonzept entwickelt; vor der Freigabe des Verfahrens waren die entscheidenden Maßnahmen umgesetzt. Speziell dafür geschulte Mitarbeiter der Händler und Zulassungsdienste greifen nach gesicherter Authentifikation auf den WebServer des Dienstleisters zu und legen dort die Zulassungsdaten ab. Zusätzlich werden die für die Abwicklung notwendigen Papierunterlagen im Nachttresor der Zulassungsstelle eingeworfen. Die Zulassungsstelle übernimmt diese Daten zu planbaren Zeitpunkten vom Server, wickelt das Zulassungsverfahren nach Sichtkontrolle der elektronischen Daten und Papierunterlagen im hausintern abgeschotteten Online-Verfahren der Zulassungsstelle ab und übermittelt die Kennzeichen an die Händler, Zulassungsdienste und Schildermacher zur weiteren Abwicklung. Die Datenübertragung über das Internet ist durch eine SSL-Verschlüsselung gesichert. Ein Durchgriff auf die Netze, Rechner und Daten der Kreisverwaltung wird zusätzlich durch eine Firewall verhindert. Alle innerhalb des Online-Verfahrens auftretenden Zugriffe werden protokolliert und zeitnah ausgewertet. Für die Auftragsdatenverarbeitung des privaten Dienstleisters wurde auch ein datenschutzgerechter Dienstleistungsvertrag konzipiert und in Kraft gesetzt.

Die hier modellhaft entwickelte Anwendung soll bundesweit auch in anderen Zulassungsstellen zum Einsatz kommen. Die Risikoanalyse und das Sicherheitskonzept wurden den Datenschutzbeauftragten des Bundes und der Länder zur Verfügung gestellt.

Muster-Sicherheitskonzept zum Einsatz von Care beim Saarpfalzkreis

Der Saarpfalzkreis beabsichtigte, das Verfahren CARE in seinem Sozialamt als Netzwerklösung zur Berechnung und Zahlbarmachung der Sozialhilfe sowie entsprechender Leistungen für Asylbewerber einzusetzen. Das Verfahren sollte auch die Erstellung der amtlichen Sozialhilfe-Statistik unterstützen.

Das Verfahren CARE wurde bisher bundesweit und im Saarland auf Einzelarbeitsplätzen eingesetzt; soweit es im Netz erfolgte, gab es jedoch keine klare Beschreibung, inwieweit dies datenschutzrechtlichen Anforderungen entspricht. Die Kreisverwaltung, insbesondere das Sozialamt erklärte sich bereit, auf Basis der IT-Sicherheitsrichtlinie des Saarlandes eine komplette Risikoanalyse und ein Sicherheitskonzept unter Anwendung des IT-Grund 15 schutzhandbuchs des BSI für den geplanten Einsatz zu erstellen und diese Ergebnisse als Muster zur Verfügung zu stellen.

Auch hier war meine Dienststelle zu einem frühen Zeitpunkt an der Konzeption und Durchführung beteiligt. Dabei wurden die Sensibilität der zu verarbeitenden personenbezogenen Daten bewertet, eine Beschreibung der mit dem Netzbetrieb verbundenen Risiken erstellt und aus dem IT-Grundschutzhandbuch geeignete Maßnahmen entnommen, um eine angemessene Sicherheit herstellen zu können. In Abstimmung mit dem SoftwareErsteller wurde auch eine Muster-Meldung zum Dateienregister entwickelt, so dass in Zukunft allen öffentlichen Stellen der datenschutzgerechte Einsatz, die Freigabe des Verfahrens und die Meldung zum Dateienregister wesentlich erleichtert und für den LfD der Aufwand für eine Beteiligung vor der Einführung eines solchen Verfahrens deutlich reduziert wird. Zusätzlich wurde auch noch eine datenschutzgerechte Vertragsgestaltung unter Berücksichtigung der BVB-Vertragsmuster entwickelt.

Neuausschreibung des Landesdatennetzes und Verschlüsselung 1998 hatte der Ministerrat ein Gutachten in Auftrag gegeben, das die Organisation der Sprach- und Datenübertragung insbesondere für die Behörden und Einrichtungen des Landes untersuchen sollte. Erfreulicherweise hatte mich die Landesregierung schon in die Vertragsgestaltung und damit die Festlegung des Arbeitsauftrages einbezogen. So konnte ich schon im Vorfeld auf die Notwendigkeit einer Basis-Verschlüsselung der Datenübertragung hinweisen.

Das dann im Mai 1999 vorgelegte Gutachten enthielt unter anderem Vorschläge zur Zusammenfassung der bestehenden Datennetze unter virtueller Aufsplittung für notwendige Teilnetze und zentraler Administration. Die Gutachter hatten die von mir angeregte Verschlüsselung berücksichtigt. Darüber hinaus enthielt das Gutachten die Empfehlung, über dieses Datennetz auch die Telefonie abzuwickeln und dazu alternativ die Administration der Hauptund Nebenstellenanlagen mit Hilfe des Centrex-Dienstes ebenfalls zu zentralisieren oder aus Kostengründen möglicherweise sogar zu privatisieren.

Insbesondere mit Blick auf die mögliche Privatisierung der Administration mit ihren weitrechenden Kontroll- und Kenntnisnahmemöglichkeiten für hochkritische Daten und Telefongespräche habe ich eine Risikoanalyse und ein Sicherheitskonzept gefordert, auf Basis derer die Entscheidung zu Zentralisierung und Privatisierung getroffen werden sollte. Ergänzend habe ich auf die Sicherheitsmaßnahmen verwiesen, die schon bei der Realisierung der gemeinsamen TK-Anlage der Landesverwaltung mit mir abgestimmt wurden.