Migration
Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats der Berechnung der Bezahlung der Freistellungstage nur eine Bezahlung von 15 Tagen" zuließ. So zitiert das Inhaltsprotokoll der Sitzung des Ausschusses für Verfassungs- und Rechtsangelegenheiten, Immunität und Geschäftsordnung (Rechtsausschuss) vom 17. Februar 2000 den zuständigen Staatssekretär, der im Übrigen Verständnis für die Probleme hatte, aber auf die Abhängigkeit von technischen Programmen verwies. Man stelle sich vor, wie die Debatte stattgefunden hätte, wenn allen öffentlichen Bediensteten ab einer bestimmten Gehaltshöhe ohne Entschädigung das Einkommen gekappt worden wäre, nur weil die Zahlungsverfahren höhere Gehälter nicht hätten ausrechnen können.
Mit diesem Stichwort gelangt man zum Großverfahren „Integrierte Personalverwaltung" - IPV, welches nach langer Entwicklungszeit, während der sogar ein international renommiertes Beratungsunternehmen seine Beteiligung an dem Projekt aufgab, weil kein Konsens über eine gemeinsame Strategie zwischen Verwaltung und Unternehmen erreicht werden konnte, eingeführt wurde. Der Hersteller der zugrunde liegenden Standardsoftware übernahm die Anpassung an die Kundenbedürfnisse (Customizing) dann selbst. Der Dissens betraf die Integration der Zahlungsverfahren in das IPV-Verfahren. Offenbar hat dies jetzt auch zu dem Problem geführt, dass IPV bisher nur Daten von Beamten verarbeiten kann, nicht jedoch von Angestellten, deren komplexes Tarifsystem mit Hunderten von unterschiedlichen Zulagenarten bisher nicht abgebildet werden kann.
Der Berliner Beauftragte für Datenschutz und Akteneinsicht geht fehl in der Annahme, dass die derzeitige Einführungsstrategie noch den seinerzeitigen Dissens über die Integration der Zahlungsverfahren (ADVVerfahren Tarif und Besoldung) in das Verfahren IPV widerspiegelt. Es liegt vielmehr in der Natur der Sache, dass ein derartiges Großverfahren nicht schlagartig einsatzfähig ist, zumal erhebliche Entwicklungsund Anpassungsarbeiten zu leisten sind.
Maßgeblich für die sukzessive Einführung des Verfahrens IPV sind daher nicht die "Unfähigkeit" des Systems oder die Komplexität des Tarifverfahrens, sondern die umfangreichen Vorarbeiten, die die Ablösung der ADV-Verfahren Tarif und Besoldung benötigt. Sie beinhalten im Wesentlichen ein Produktivsetzungskonzept zur Übernahme der "Altdaten" aus den ADVVerfahren, ein Schulungskonzept zu den verschiedenen Anwendungsbereichen für weit mehr als 1000
Einzelanwender in allen Behörden der Berliner Verwaltung und Anpassungsarbeiten an das besondere Recht des öffentlichen Dienstes im Lande Berlin (u.a. für mindestens 19 zahlungsrelevante berlinspezifische Tarifverträge). Allein dies macht einleuchtend, dass eine taggleiche Einführung der neuen Zahlungsverfahren unmöglich und nur eine schrittweise Umsetzung erfolgversprechend ist. Nachdem die entsprechenden Arbeiten auch unter besonderer Beachtung der Aspekte "Datenschutz und Datensicherheit" abgeschlossen werden konnten, wird das Zahlungsverfahren Tarif seit April 2001 sukzessive eingeführt.
Selbstverständlich sind zu diesem Einführungstermin alle für den Tarifbereich notwendigen Bestandteile in das Verfahren IPV eingepflegt worden. Die "alten" Zahlungsverfahren werden parallel aufgegeben und ab
1. Januar 2002 termingerecht eingestellt, so dass sämtliche Zahlungen ausschließlich mit dem neuen SAP-System abgewickelt werden müssen.
Nach heutiger Sicht werden keine Verzögerungen in der weiteren Einführung des Verfahrens IPV auftreten, so dass in nur 24 Monaten, d.h. zum 1. Januar
JB 1999, 4.4.1
Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats
2002, das Verfahren IPV komplett in der Berliner Verwaltung eingeführt sein wird. Der Senat sieht dies als eine außerordentliche Leistung sowohl bei den für die Entwicklung als auch bei den für den täglichen Einsatz zuständigen Mitarbeitern an.
Eigentlich sollte das IT-Verfahren der Berliner Sozialverwaltung BASIS II Ende 1999 in Betrieb gegangen sein. Das auch von politischer Seite vehement geforderte Nachfolgeverfahren für das alte DOS-Verfahren BASIS I auf der Grundlage des Standardprogramms PROSOZ sollte endlich die funktionalen Defizite und softwareergonomischen Mängel beheben, die die Arbeit mit dem veralteten Verfahren erschwerten. Ein Konsortium aus dem amerikanischen Softwarekonzern ORACLE, der renommierten deutschen ITBeratungsfirma PSI und der Senatsverwaltung für Arbeit, Soziales und Frauen wollte auf der Grundlage modernster Software- und Entwicklungstechniken unter dem Namen BASIS 3000 ein umfassendes, flexibel anpassbares Verfahren entwickeln, dessen Kosten über die Vermarktung in anderen Städten und Gemeinden gemildert werden sollten.
Die Darstellung im ersten Satz des nebenstehenden Absatzes ist irreführend. Richtig ist, dass Ende 1999 das Firmenkonsortium ORACLE/PSI die Software nicht zur Abnahme bereitstellen konnte. Entsprechend dem Mitte 2000 kommunizierten Projektplan sollte die Software bis Ende 2002 erstellt werden und anschließend flächendeckend in Berlin eingeführt werden. Der Pflegevertrag für die bisher eingesetzte Software PROSOZ/DOS wurde vom Hersteller fristgerecht zum 31. Januar 2001 gekündigt mit dem Ziel, höhere Pflegegebühren zu vereinbaren. Im Dezember 2000 wurde ein neuer Pflegevertrag abgeschlossen.
Im Laufe der Zeit verzögerte sich der Fertigstellungstermin bis Ende 2003, ein Termin, an dem für das alte Verfahren keine Unterstützungsgarantie von dem Softwarehersteller mehr gegeben werden mochte. Der Zeitdruck führte offensichtlich auch zum Versuch, Vereinfachungen beim Testen bestimmter Programme zu finden, die mit den geltenden datenschutzrechtlichen Bestimmungen nicht in Einklang zu bringen waren und im Jahre 1999 auf Grund unserer formellen Beanstandung eingestellt wurden
.
Hier wird Bezug genommen auf eine Beanstandung des Datenschutzbeauftragten im Jahresbericht 1999.
Darin hatte er gerügt, dass zur Vorbereitung der Migration nicht ein Testdatenbestand, sondern ein Echtdatenbestand hergestellt worden war. Dieses Vorgehen hatte weder etwas mit „Zeitdruck" noch mit „Vereinfachungen beim Testen bestimmter Programme" zu tun. Zu diesem Vorgehen hatte sich seinerzeit das Bezirksamt Neukölln in seiner Stellungnahme geäußert.
Nunmehr wurde das Projekt aufgegeben. Aus Sicht der Firma ORACLE lag eine nicht vorhersehbare Komplexität vor, die zu finanziellem und zeitlichen Mehraufwand führte. Außerdem wurde die Unterstützung der Bezirksämter vermisst. Die Senatsverwaltung beendete das Projekt wegen des unverhältnismäßigen zeitlichen Verzuges. Die Bezirke forcieren derweil eine Übergangslösung auf der Grundlage von WINDOWS NT, die von Anfang an mit einem Problem mit der informationstechnischen Sicherheit zu kämpfen hat
.
Das Projekt wurde bisher noch nicht aufgegeben und die Senatsverwaltung für Arbeit, Soziales und Frauen beendete bisher auch noch nicht das Projekt. Richtig ist, dass die zuständige Senatsverwaltung seit November 2000 die Rückabwicklung der bestehenden Projekt-Verträge betrieben hat. Zur Zeit besteht jedoch ein Vertragsmoratorium, um einen alternativen Vorgehensplan zur Realisierung des Projektes BASIS II zu prüfen. Der Hauptausschuss wird Ende Mai über das weitere Vorgehen beraten.
IT-Sicherheit in der Berliner Verwaltung
Es ist unbestritten, dass es um die informationstechnische Sicherheit in der Berliner Verwaltung nicht überall zum Besten steht. Eine solche allgemeine Aussage wird wohl überall zutreffen, wo unüberschaubar viele IT-Projekte mit unterschiedlichen Graden an Professionalität erarbeitet, eingeführt und betrieben werden.
Dem Senat ist bewusst, dass die Sicherheit des ITEinsatzes in der Berliner Verwaltung noch weiter verbessert werden kann und muss. Die Umsetzung anforderungsgerechter Sicherheitsmaßnahmen ist ein ständiger Prozess, der durch eine entsprechende Erfolgs- und Qualitätskontrolle begleitet wird. Der Stand
JB 1999, 4.4.3 vgl. 4.4.3 sowie JB 1999, 4.4.3
Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats
Und dass selbst Professionalität keine ausreichende Gewähr für erfolgreiche Projekte bringt, machten die beiden letzten Beispiele in den vorigen Absätzen deutlich. Die zentralen Koordinations- und Entscheidungsgremien für die Datenverarbeitung in Berlin haben ihre Verantwortung für die sichere Verarbeitung der personenbezogenen Daten der Bürgerinnen und Bürger einerseits sowie Mitarbeiterinnen und Mitarbeiter andererseits verstanden. Bei diesen Gremien handelt es sich um den IT-Koordinierungs- und Beratungsausschuss Berlin (IT-KAB) mit seinen Arbeitsgruppen, insbesondere der Arbeitsgruppe ITSicherheit. Wir wirken in diesen Gremien beratend mit. der Umsetzung wird u. a. durch den jährlichen ITSicherheitsbericht erfasst und analysiert.
Im Berichtsjahr ging es u. a. um folgende datenschutzrelevante Fragestellungen:
Mit dem IT-Warenkorb wurde eine Aufstellung aller Produkte unterschiedlicher IT-Produktgruppen entwickelt, deren Beschaffung in der Verwaltung empfohlen wird. Damit soll trotz der Entscheidungshoheit der einzelnen Verwaltungen auf eine gewisse Vereinheitlichung der eingesetzten Produkte hingewirkt werden, was einerseits die Anforderungen an die Qualifikation der Beschaffer begrenzt und andererseits die Beratungstiefe, z. B. durch den Landesbetrieb für Informationstechnik, verbessert. Beide Zielsetzungen dienen auch datenschutzrechtlichen Belangen, haben wir doch wiederholt unsere Sorge zum Ausdruck gebracht, dass das verwaltungsinterne Qualifikationsniveau mit der zunehmenden Komplexität der Datenverarbeitung nicht Schritt halten könnte. Die Aufnahme des Produkts Safeguard VPN für die Verschlüsselung von Daten im Berliner Landesnetz in den Warenkorb haben wir ausdrücklich begrüßt
.
Der Einsatz von Windows 2000 in der Berliner Verwaltung als Nachfolgeprodukt für Windows NT war bundesweit diskussionsbedürftig. Bestimmte in ihm enthaltene sicherheitsrelevante Teilprogramme wurden von einem amerikanischen Unternehmen zugeliefert, welches aufgrund der herausgehobenen Position des Unternehmenschefs in der Scientology Organisation den Prinzipien dieser Organisation folgt. So wurde vermutet, dass dieser Programmteil verborgene Funktionen haben könnte, die der Ausforschung der Nutzer von Windows 2000 und ihrer Arbeitgeber dienen könnten. Das Bundesministerium des Innern und Microsoft hatten sich über ein gemeinsames Vorgehen verständigt, das den Verzicht auf den problematischen Programmteil beinhaltete. Daraufhin hat das Bundesamt für Sicherheit der Informationstechnik (BSI) auf die geplante Prüfung des Windows-2000-Quellcodes verzichtet. Allerdings sind inzwischen Zweifel aufgekommen, ob Microsoft das gemeinsame Vorgehen
Der Einsatz von Windows 2000 in der Berliner Verwaltung wird durch eine vom IT-Koordinierungsausschuss Berlin (IT-KAB) eingesetzte Arbeitsgruppe vorbereitet, die auch die im IT-Sicherheitsbericht 1999 angeführten Fragestellungen untersucht hat. Das im Bericht erwähnte Teilprogramm kann aus Windows 2000 entfernt und durch ein anderes Programm ersetzt werden.