Integration

Landtag des Saarlandes - 12. Wahlperiode - 22 Im Rahmen der Landesinititative „INTEL - Lehren für die Zukunft" wurde auch ein Gymnasium mit funkvernetzten Laptops ausgestattet, die im Unterricht nicht aber in der Schulverwaltung verwendet werden sollen. Da es nicht ausgeschlossen werden kann, dass dabei auch personenbezogene Daten über die Funkstrecke übertragen werden können, habe ich auch für diesen Einsatzfall auf die Problematik hingewiesen und eine Risikoanalyse und ein Sicherheitskonzept gefordert, was auch vorgelegt wurde. Das Ergebnis wird dem Ministerium für Bildung, Kultur und Wissenschaft zur Unterrichtung der Schulen und dem Landesinstitut für Pädagogik und Medien zur Projektbetreuung und Fortbildung der Lehrer zur Verfügung gestellt. „Kabinett-Online" und Verschlüsselung

Mit Unterstützung der Stabsstelle für Innovation, Forschung und Technologie bei der Staatskanzlei wurde das bundesweit einmalige Projekt „Kabinett Online" realisiert. In einer ersten Ausbaustufe wurde ein Intranet eingerichtet, auf das nur die Kabinettreferate, die Minister und Staatssekretäre und der Ministerpräsident mit ihren Laptops zugreifen konnten. Auf einem zentralen Server werden Sitzungsvorlagen und ­ protokolle zum Zugriff bzw. Abruf vorgehalten, die Gesetzesentwürfe, Verordnungen, Vorlagen, Berichte, Personalangelegenheiten und Parlamentarische Anfragen enthalten.

Auf Grund der teilweise hohen Sensibilität der Unterlagen und der dabei genutzten personenbezogenen Daten wurde auf meinen Vorschlag hin eine angemessene Verschlüsselung zur Absicherung der Übertragung und der lokalen Speicherung auf den Laptops erreicht.

Einheitliche eMail-Kommunikation in der saarländischen Landesverwaltung

In der Landesverwaltung steigt der Anteil der dienstlichen Kommunikation über eMail immer mehr an. Bedingt durch die historische Entwicklung kommen in den Behörden unterschiedliche Mail-Systeme zum Einsatz, durch die Probleme bei der Formatumwandlung entstehen können und übergreifende Groupware-Funktionalitäten wie z. B. Terminkalender, Aufgabenverwaltung oder Raumbelegung nicht nutzbar sind.

Aus diesen Gründen hatte sich eine Arbeitsgruppe darauf verständigt, als ClientSoftware generell das MS-Produkt „Outlook" einzuführen und für die GroupwareFunktionen auf einen Verbund dezentraler Exchange-Server zu setzen. In einer ersten Ausbauphase sollte ein Ressort-übergreifender Querriegel für die Führungsebenen der Ressorts realisiert werden. In weiteren Schritten sollten die Ressorts eigene Exchange-Server aufbauen und neben dem Mailing auch Groupware-Funktionalitäten anbieten. Zur Erleichterung der Nutzung sollte ein zentrales LDAP-Adressverzeichnis dienen. Der Umfang der dort präsentierten Daten und die Zugriffsmöglichkeit durch die saarländischen Behörden wurden mit mir einvernehmlich abgestimmt. Zu beachten ist auch, dass die Landesregierung in einer gemeinsamen Geschäftsordnung (GGO) die private Mitnutzung von eMail untersagt hat, so dass die aus einer privaten Nutzung folgende, besondere Behandlung des Mail-Verkehrs wegen des damit verbundenen Fernmeldegeheimnisses hier nicht berücksichtigt werden musste.

Ergänzend zu den technischen Tests habe ich von der Arbeitsgruppe eine Risikoanalyse und ein Sicherheitskonzept gefordert. Mein Hauptaugenmerk liegt dabei auf einer einfach zu handhabenden Verschlüsselung beim Mail-Versand, gegebenenfalls ergänzt durch eine elektronische Signatur sowie auf der Absicherung der weitreichenden Zugriffsrechte der Administratoren. Dabei soll das von der Bundesverwaltung favorisierte Verfahren „Sphinx" und das schon in der Landesverwaltung eingesetzte Verfahren „PGP", das auch weltweit und im privaten Bereich Standard ist, auf seine Integrationsmöglichkeit hin betrachtet werden. Wichtig ist auch ein Online-Virenschutz auf den beteiligten Servern und Arbeitsplatzrechnern, wobei die Problematik verschlüsselter Mails bzw. Anlagen berücksichtigt werden muss. Die Arbeitsgruppe hat zur Abstimmung einen ersten Entwurf vorgelegt, der noch verfeinert werden soll. Eine Testumgebung für den Querriegel ist fertig gestellt und muss noch begutachtet werden.

Schulung nach dem Saarländischen Datenschutzgesetz Ende 2001 trat die Neufassung des SDSG in Kraft, die insbesondere einen behördlichen Datenschutzbeauftragten als Option und eine generelle Vorabkontrolle bei neuen Verfahren einführte und die bisherige Dateibeschreibung durch eine Verfahrensbeschreibung ersetzte.

Wegen des zu erwartenden dringenden Bedarfs in der öffentlichen Verwaltung und des Fehlens geeigneter Schulungsangebote entschloss ich mich, in Kooperation mit dem Ministerium für Inneres und Sport und dem Ministerium für Frauen, Arbeit, Gesundheit und Soziales eine entsprechende Schulung anzubieten. Obwohl bei diesem Schulungstermin 70 Teilnehmerplätze vorhanden waren, war die Nachfrage so enorm, dass ich eine zweite Veranstaltung anbieten musste. Aber auch hier war noch eine so hohe Anmeldezahl festzustellen, dass ich nach dauerhaften Lösungen suchte. Inzwischen ist es gelungen, in Zusammenarbeit mit dem Schulungsbereich des TÜVSaarland eine Veranstaltungsreihe zu initiieren, die diesen Bedarf abdecken soll und offen ist für weitere Fortbildungen im gesamten Themenbereich des Datenschutzes und der Datensicherheit.

Als Hilfe für die Behörden habe ich eine Arbeitsfassung des neuen SDSG entworfen, eine Merkblatt für die nach § 6 erforderliche Unterrichtung erstellt und ein elektronisches Formular für die Verfahrensbeschreibung entwickelt und alle diese Materialien auf meiner Internet-Seite bereitgestellt. Ergänzend dazu habe ich auf der Basis der neuen Regelungen Vorschläge für eine Überarbeitung der IT-Sicherheitsrichtlinie des Saarlandes und der IT-Projektrichtlinien unterbreitet, die jetzt 2003 in Kraft gesetzt werden sollen.

Begleitung des Internet-Angebots der Landesverwaltung Anfang des Jahres 2000 begann die Landesverwaltung mit der Konzipierung einer integrierten Internet-/Intranet-Lösung. Ziel sollte sein, unter dem Stichwort „Kundenund Service-Orientierung" ein Portal für aktive Bürger und alle Mitarbeiter zur Verfügung zu stellen, bei dem auch aktuelle Informationen abrufbar sein sollten. Die Internet-Lösung basierte auf einer gemeinsamen Plattform mit weitgehend identischem Design, gleicher Struktur und ähnlichen Inhalten, an der sich die Ressorts mit ihren nachgeordneten Dienststellen orientieren sollten.

In enger Abstimmung mit der federführenden Staatskanzlei gelang es, auch die datenschutzrechtlichen Aspekte zur Geltung zu bringen, wobei auch hier die Kooperationsbereitschaft der Staatskanzlei durchaus vorbildlich war. Dabei wurde unter anderem die Zulässigkeit der präsentierten personenbezogenen Daten überprüft und auch über mögliche Navigationspunkte und Präsentationstechniken diskutiert. Das Design und die Präsentation wurden um einige kritische Elemente reduziert und um eine Datenschutz- und Haftungsinformation ergänzt. Es konnte auch erreicht werden, dass in der Präsentation von Organigrammen und Geschäftsverteilungsplänen lediglich die Führungsebene namentlich genannt wird und ansonsten eine funktionale Beschreibung der Aufgaben und der Kontaktmöglichkeiten, z. B. auch eine funktionale eMailAdresse, benutzt wurde.

Die mit der Staatskanzlei abgestimmte Präsentation diente den nachfolgenden Angeboten der Ressorts und der zugehörigen Dienststellen als Muster, so dass bei einer Prüfung im Rahmen der Freigabe in der Regel eine sofortige positive Stellungnahme aus datenschutzrechtlicher Sicht möglich war. Allerdings musste bei der Umsetzung in einzelnen Fällen zuerst einmal die Funktionalität von Suchmaschinen an Hand der Namenseingabe des Gesprächspartners konkret vorgeführt werden, um bei den Betroffenen ein entsprechendes Risikobewusstsein zu erzeugen, wonach dann doch die Präsentation von Mitarbeiterdaten auf den unbedingt notwendigen Umfang reduziert werden konnte.

Parallel dazu beschäftigte sich eine Arbeitsgruppe mit der Einrichtung eines verwaltungsinternen Intranets. Neben ressort-spezifischen Informationen für die eigenen Mitarbeiter sollten auch verwaltungsintern alle Informationen bereitgestellt werden, die im normalen Dienstgang benötigt werden. Dazu gehören aus datenschutzrechtlicher Sicht z. B. auch Telefonverzeichnisse und Geschäftsverteilungspläne. Nach sorgfältiger Abwägung aller Aspekte hatte ich mich damit einverstanden erklärt, dass diese Informationen in einem LDAP-Verzeichnisdienst nicht nur in den Ressorts und ihren nachgeordneten Dienststellen abrufbar sein sollten, sondern auch in anderen Dienststellen der öffentlichen Verwaltung wie z. B. den Gemeinden und Kreisen. Lediglich bei einem eventuellen Anschluss der Verzeichnisse an landes- oder bundesübergreifende Verwaltungsnetzwerke sollte eine Beschränkung der Präsentationen unter besonderer Abwägung der Erforderlichkeit erfolgen. Zur Zeit wird überlegt, die IntranetVerzeichnisse auch zur Präsentation der öffentlichen Schlüssel für eine Verschlüsselung oder elektronische Unterschrift zu nutzen. Die Pflege seiner Daten kann jeder Mitarbeiter selbst durchführen, was die Administration der Verzeichnisse wesentlich erleichtert.

Vor der Freigabe der Internet-/Intranet-Verfahren wurde mir Gelegenheit zu umfangreichen Tests gegeben, wobei Erkenntnisse aus dem einen Bereich auch im anderen umgesetzt wurden. Die Erstellung der Konzepte, der Struktur und der Inhalte der Präsentationen erfolgte erfreulicherweise in enger Abstimmung mit meiner Dienststelle, so dass auch bei der zukünftigen Weiterentwicklung davon ausgegangen werden kann, dass die datenschutzrechtlichen Belange vollständig beachtet werden.