Kredit

Zur zweiten Kategorie gehört das IT-Verfahren MESTA23 der Generalstaatsanwaltschaft Berlin, das als Ersatz für das gescheiterte IT-Verfahren MODESTA in der Berliner Staatsanwaltschaft eingeführt wird. Die zentrale Verarbeitung wird außerhalb Berlins erfolgen. Dies entbindet die Generalstaatsanwaltschaft jedoch nicht von der Pflicht zur Erstellung eines Sicherheitskonzepts für das Verfahren, denn bei der Kommunikation mit dem auswärtigen Rechenzentrum ist zumindest die Sicherheit der dezentralen Komponenten in Berlin und der Datenübertragungswege zu gewährleisten, die für die dezentrale Nutzung von MESTA in Berlin erforderlich sind.

Aktuelle IT-Projekte MESTA ­ Mehrländer-Staatsanwaltschaft-Automation

Im Vorjahr berichteten wir ausführlich über das Projekt MODESTA zur Modernisierung der Staatsund Amtsanwaltschaft24. Wie uns der Generalstaatsanwalt Ende 2009 mitteilte, hat die Senatsverwaltung für Justiz im Oktober das Projekt abgebrochen. Gründe nannte er dabei nicht. Allerdings hatte die Presse zuvor bereits berichtet, dass der mit der Realisierung von MODESTA beauftragte ITDienstleister offensichtlich überfordert war. Das Projekt sei bereits viermal um ein Jahr verschoben worden.

Anstelle einer Eigenentwicklung wird sich Berlin einem Mehrländerverbund anschließen, dem bereits Schleswig-Holstein, Hamburg, Brandenburg, Hessen, Nordrhein-Westfalen und Mecklenburg-Vorpommern angeschlossen sind. Das Verfahren MESTA (Mehrländer-Staatsanwaltschaft-Automation) wurde von Dataport, einer Anstalt des öffentlichen Rechts mit Sitz in Altenholz bei Kiel, entwickelt und wird von Dataport auch zentral für alle Länder verarbeitet.

Die Teilnahme der Berliner Amts- und Staatsanwaltschaft am MESTA-Verbund bedeutet aber nicht, dass die Berliner Strafverfolgungsbehörden von der datenschutzrechtlichen Verantwortung für die Berliner Teilnahme am Verfahren freigestellt sind. Sie bleiben datenverarbeitende Stellen im Sinne von §4 Abs. 1 BlnDSG und müssen als Auftraggeber die Berliner Regelungen zur Vergabe von Aufträgen zur Datenverarbeitung nach §3 BlnDSG beachten. Da auf den schleswig-holsteinischen Auftragnehmer Dataport das BlnDSG keine Anwendung findet, sind auch die speziellen Regelungen von §3 Abs. 4 BlnDSG zu beachten, wonach Dataport in Bezug auf die Verarbeitung der Berliner Daten verpflichtet werden muss, das BlnDSG anzuwenden und sich der Kontrolle des Datenschutzbeauftragten des Landes zu unterwerfen, in dem die Datenverarbeitung durchgeführt wird.

Hinsichtlich der Sicherheitskonzeption bestehen in Schleswig-Holstein (und in Mecklenburg-Vorpommern) ähnliche Anforderungen wie in Berlin, sodass zunächst davon ausgegangen werden kann, dass die Dataport-Rechenzentren den Anforderungen des §5 BlnDSG genügen. Allerdings bleiben die Berliner Strafverfolgungsbehörden verpflichtet, für die in der Verantwortung Berlins -stehenden Verfahrensteile (Arbeitsplatzrechner als Benutzerschnittstelle, ggf. Server sowie die Datenübertragung und die dazugehörigen Einrichtungen auf Berliner Seite) ein verfahrensspezifisches Sicherheitskonzept zu erstellen und umzusetzen.

Webbasierte Bewerberdatenbank

Bei dem Projekt der Senatsverwaltung für Inneres und Sport handelt es sich um eine wesentliche Modernisierung und Zusammenführung zweier alter IT-Verfahren: ABIDA zur Verwaltung der Daten der Bewerberinnen und Bewerber um einen Ausbildungsplatz in der Berliner Verwaltung und die Testauswertungsdatenbank für die Verwaltung der Testergebnisse des Eignungsprüfungsverfahrens BETA.

Die Modernisierung wurde mit dem irreparablen Plattencrash des Servers erzwungen. Da die alte Software für neue Server inkompatibel war und für die Software kein Support mehr bestand, weil die Herstellerfirma nicht mehr existierte, musste die Software vollständig ersetzt werden.

Da es sich um die Weiterentwicklung eines seit langem bestehenden und bewährten Verfahrens handelte, führte die rechtliche Überprüfung zu keinen Mangelhinweisen.

Obwohl zugesagt worden war, dass zum Beginn des Echtbetriebs des neuen Verfahrens das dann erforderliche Sicherheitskonzept erstellt und umgesetzt werde, ging das Verfahren ohne diese rechtliche Voraussetzung in Betrieb, was wir im April förmlich beanstandet haben. Zu Beginn des Jahres 2010 erhielten wir das Sicherheitskonzept, über dessen Prüfung wir im nächsten Jahr berichten werden.

IT-Verfahren „Nexus VeLiS-Kammer" zur Verwaltung der Habe der Gefangenen in den Justizvollzugsanstalten

Das Verfahren „Nexus VeLiS-Kammer" dient der Verwaltung der persönlichen Habe und Ausstattung von Gefangenen in den Berliner Justizvollzugsanstalten. Die persönlichen Daten der Gefangenen stammen aus dem JVAVerwaltungssystem Basis-Web und werden direkt in die Masken von VeLiS eingeblendet, jedoch nicht in die VeLiS-Datenbank kopiert. Ansonsten werden die Gegenstände benannt und hinsichtlich Beschaffenheit und Zustand beschrieben, der aktuelle Aufbewahrungsort sowie die Bewegungen werden dokumentiert. Darüber hinaus werden Listen und Historien aller persönlichen Gegenstände und der im Eigentum der JVA stehenden Ausstattungsgegenstände der Gefangenen geführt.

Die Erfassung der persönlichen Habe der Gefangenen einerseits und der Ausstattung mit Gegenständen der JVA beruhen auf unterschiedlichen Rechtsgrundlagen.

Wir haben daher die Justizverwaltung darauf hingewiesen, dass diese beiden Datenerhebungen strikt voneinander zu trennen sind. Außerdem bestehen bei manchen Daten, die im Katalog der zu beiden Zwecken zu erhebenden Daten aufgeführt sind, Zweifel an der Erforderlichkeit und damit an der Rechtmäßigkeit." Dieser Satz eines Rechtsprofessors trifft sicher auch auf die drei im Jahr 2009 verabschiedeten Novellen zum Bundesdatenschutzgesetz25 (BDSG) zu. Auch wenn die Novellierungen insgesamt zu einer Verbesserung des Datenschutzniveaus im nichtöffentlichen Bereich geführt haben, klagen viele Unternehmen zu Recht über die entstandenen Auslegungsprobleme. Die ersten Fragen, die die Wirtschaft uns gestellt hat, werden im Folgenden beantwortet.

In der Praxis gab es bisher häufig Probleme bei Verträgen zur Auftragsdatenverarbeitung. Nun regelt das Gesetz in §11 Abs. 2 Satz 2 Nr. 1­10 BDSG die Mindestfestlegungen, die der schriftliche Auftrag enthalten muss. Außerdem ist der Auftraggeber nach §11 Abs. 2 Satz 4 BDSG nun ausdrücklich verpflichtet, regelmäßig die Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überwachen. Da §11 Abs. 2 Satz 2 Nr. 1­10 BDSG nur Mindestanforderungen („insbesondere") festlegt, sollten bei der Auftragsgestaltung zusätzlich die Hinweise der Datenschutzaufsichtsbehörde im 25 Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009 (BGBl. I, S. 2254); Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I, S. 2814); Art. 5 des Gesetzes zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdiensterichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht vom 29. Juli 2009 (BGBl. I, S. 2355).