162576 und 163227 Schlussbericht. Die Senatsverwaltung für Inneres und Sport legt nachstehende

Die Senatsverwaltung für Inneres und Sport legt nachstehende Mitteilung dem Abgeordnetenhaus zur Besprechung vor:

Das Abgeordnetenhaus hat in seiner Sitzung am 17. Juni 2010 die o.g. Stellungnahme unter Maßgabe der aus der Drucksache Nr. 16/3227 ersichtlichen Beschlussempfehlung zur Kenntnis genommen.

Hierzu wird berichtet:

Zu Nr. 1 und 2:

1. Datenverarbeitung in der Berliner Verwaltung hier: IT-Politik für die Berliner Verwaltung, IT-Sicherheit in Berlin (1.2.1, 1.2.2, Drs S. 10 ff) und

2. Kontrolle der IT-Sicherheit beim polizeilichen Informationssystem POLIKS (3.2, Drs S. 40 ff)

Der Senat wird aufgefordert, dafür zu sorgen, dass unter Berücksichtigung der Erfahrungen des Polizeipräsidenten in Berlin und beginnend in den Behörden, die besonders umfangreiche und komplexe informationstechnische Systeme und Verfahren betreiben, ein ITSicherheitsmanagement eingerichtet wird, damit nicht nur die einmalige Erstellung von Sicherheitskonzepten, sondern auch deren nachhaltige Anpassung an geänderte technische, organisatorische und personelle Umgebungen sowie neu bekannt werdende Risiken organisatorisch sichergestellt werden.

Die Gewährleistung der erforderlichen IT-Sicherheit ist Bestandteil und Voraussetzung des Einsatzes von Informationstechnik in der Berliner Verwaltung. Grundlage dafür bilden die geltenden Regelungen der IT-Sicherheitsgrundsätze. In diesen ist u.

a. festgelegt, dass IT-Sicherheit als fortlaufender Prozess zu gestalten ist. Der Prozess betrifft insbesondere die regelmäßige Überprüfung der Umsetzung und Wirksamkeit von Sicherheitsmaßnahmen und die erforderliche Fortschreibung der jeweiligen IT-Sicherheitskonzepte.

Grundlegend für diesen Prozess ist die Einrichtung eines IT-Sicherheitsmanagements in dezentraler Verantwortung in den einzelnen Behörden. Die Berliner Verwaltung richtet sich dabei an den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Standards aus, in denen Aufgaben und Struktur eines anforderungsgerechten IT-Sicherheitmanagements beschrieben sind.

Die konkrete Ausgestaltung (z. B. bzgl. der personellen Ausstattung, der Aufgabenverteilung usw.) muss sich dabei an den vorhandenen Randbedingungen der Behörde orientieren. So ist das im Jahresbericht 2008 des Berliner Beauftragten für Datenschutz und Informationsfreiheit ausdrücklich positiv beurteilte IT-Sicherheitsmanagement der Berliner Polizei an den konkreten Anforderungen, Aufgaben und Strukturen der Berliner Polizei ausgerichtet und lässt sich nicht unverändert auf andere Behörden übertragen.

Neben diesem im Jahresbericht erwähnten Beispiel ist auch in verschiedenen anderen Einrichtungen der Berliner Verwaltung bereits ein IT-Sicherheitsmanagement eingerichtet. Gleichwohl zeigen die Ergebnisse des jährlich von der Senatsverwaltung für Inneres und Sport erstellten IT-Sicherheitsberichtes, dass hier noch in verschiedenen Behörden Handlungsbedarf besteht.

Der Beschluss des Abgeordnetenhauses unterstützt die Bemühungen des Senats, ausgehend von den vorhandenen Beispielen, auch in den restlichen Behörden im jeweils erforderlichen Maße ein IT-Sicherheitsmanagement einzurichten. Einen besonderen Schwerpunkt müssen dabei die Behörden mit einem besonders komplexen und umfangreichen IT-Einsatz bilden.

Zu Nr. 3:

3. Vorlage von Mietverträgen im Besteuerungsverfahren eines Vermieters (7.3, Drs S. 59 f.)

Der Senat wird aufgefordert, durch eine Dienstanweisung sicherzustellen, dass die Finanzverwaltung bei der Ermittlung der steuerpflichtigen Einkünfte eines Vermieters aus der Vermietung und Verpachtung personenbezogene Mieterdaten nur im jeweils erforderlichen Umfang erhebt. Steuerpflichtige sollten darauf hingewiesen werden, dass sie nicht erforderliche Angaben, z. B. in Mietverträgen, schwärzen dürfen.

Die Empfehlung, durch eine Dienstanweisung sicherzustellen, dass die Finanzverwaltung bei der Anforderung von Mietverträgen den Vermieter darauf hinweist, dass er nicht erforderliche Angaben in Mietverträgen schwärzen darf, wird aus Gründen der Praktikabilität nicht befürwortet.