Anfragen Kommunales Ratsarbeit

Datenschutz und Datensicherheit: Stadtverwaltung Kaarst antwortet auf Anfrage der Piraten

Auf die Anfrage der Piraten vom 14.11.2014 antwortete die Stadtverwaltung wie folgt:

Sehr geehrter Herr Wetzler, 

vielen Dank für Ihre Anfrage zum Thema Datenschutz  und 
Informationssicherheit bei der Stadt Kaarst. 

Im Auftrag von Herrn Bürgermeister Moormann habe ich die von Ihnen 
gestellten Fragen zum Datenschutz beantwortet. 

Die Antworten zu den von Ihnen gestellten Fragen wurden in Zusammenarbeit 
mit der ITK Rheinland erarbeitet, da die Stadt Kaarst Mitglied im 
Zweckverband der ITK Rheinland ist und sich überwiegend der 
Dienstleistungen bedient. 

Für Kommunen (Gemeinde und Gemeindeverbände) ist das Gesetz zum Schutz 
personenbezogener Daten des Landes NRW (DSG NRW) einschlägig, so dass die 
von Ihnen aufgeführten Paragraphen nicht ganz den Bezeichnungen und 
rechtlichen Regelungen des BDSG entsprechen.

Ich möchte Ihnen anbieten, sich gerne vor Ort über den Datenschutz und das 
Sicherheitskonzept zu informieren und bitte Sie bei Interesse einen Termin 
mit Herrn Boehm und Frau Fuhrmann abzustimmen. Über die Einsichtnahme des 
Sicherheitskonzeptes der ITK entscheidet der TÜV Zertifizierte 
Datenschutzbeauftragte der ITK Rheinland im Einzelfall.


Zu Frage 1: 

1. Hat die Stadt Kaarst einen Datenschutzbeauftragten (§4f BDSG) bestellt?

Antwort: 

Die Stadt Kaarst hat im Rahmen des § 32 a DSG NRW Herrn Ulrich Boehm als 
Datenschutzbeauftragen und Frau Dr. Magdalena Kubiak als seine 
Stellvertreterin bestellt. 

Zu Frage 2:

2. Werden regelmäßig Datenschutzaudits (§9a BDSG) oder Penetrationstests 
durchgeführt? Wenn ja, wie lauten die Ergebnisse?

Antwort: 

Die ITK Rheinland führt regelmäßig mit eigenem aber auch mit Fremdpersonal 
solche Penetrationstest durch. Die Stadt Kaarst selbst führt keine 
Penetrationstests oder Audits durch. Nach aktuell gültiger Rechtslage sind 
Audits freiwillig und nicht vorgeschrieben. 

Zu Frage 3:

3. Existiert ein Datenschutzkonzept? Wenn ja, bitte zur Verfügung stellen.

Antwort: 

Ein Datenschutzkonzept existiert in Form einer Dienstanweisung. Diese 
können Sie gerne einsehen. 

Zu Frage 4:

4. Hat die Stadt Kaarst einen Informationssicherheitsbeauftragten benannt 
oder diese Dienstleistung outgesourced?

Antwort: 

Die Stadt Kaarst hat Frau Sabine Druska als IT-Sicherheitsbeauftragte 
benannt. Ebenfalls hat die ITK Rheinland einen IT-Sicherheitsbeauftragten. 


Zu Frage 5:

5. Existiert ein Informationssicherheitskonzept? Wenn ja, bitte zur 
Verfügung stellen.

Antwort: 

Auch dieses besteht in Form von Dienstanweisungen, die gerne eingesehen 
werden können. 

Zu Frage 6:

6. Werden die Mitarbeiter der Verwaltung hinsichtlich Datenschutz und 
Datensicherheit geschult (§4g (1) 2. BDSG)? Wenn ja, bitte die Maßnahmen 
genau beschreiben.


Antwort: 

Gültige Rechtsgrundlage ist § 32 a Abs. 1 DSG NRW; durch die geltende 
Dienstanweisung über die Einhaltung des Datenschutzes und der 
Datensicherheit sind alle Mitarbeiter/innen gehalten diese auch zu 
beachten. Die Dienstanweisung steht allen im Dokumentenmanagementsystem 
der Stadt Kaarst jederzeit zur Verfügung. 

Zu Frage 7: 

7. Werden bei der automatischen Datenverarbeitung erforderliche technische 
und organisatorische Maßnahmen gemäß §9 BDSG durchgeführt? Wenn ja, 
welche?

Antwort: 

Gültige Rechtsgrundlage ist § 10 DSG NRW;
Die in § 10 Abs. 2 DSG NRW zu treffenden Maßnahmen (Vertraulichkeit, 
Integrität, Transparenz etc.) werden bereits bei der Auswahl einer 
möglichen Software berücksichtigt. Zum Bespiel durch sog. Rollen und 
Rechtekonzepte und die technischen Möglichkeiten diese auch umzusetzen, 
werden entsprechende Maßnahmen getroffen. 

Zu Frage 8:

8. Werden vor der Vergabe von Aufträgen (im Rahmen der 
Auftragsdatenverarbeitung) alle erforderlichen Maßnahmen gemäß §11 (2) 
BDSG umgesetzt?

Antwort: 

Gültige Rechtsgrundlage ist § 11  DSG NRW bzw. Spezialgesetze zur Vergabe. 

Zu Frage 9: 

9. Wird nach der Vergabe von Aufträgen (im Rahmen der 
Auftragsdatenverarbeitung) die Einhaltung der Vorgaben regelmäßig 
kontrolliert? Wenn ja, wie lauten die Ergebnisse?

Antwort: 

Ich bitte die Fragen 8 und 9 genauer zu spezifizieren. Im Rahmen der 
öffentlichen Vergabe sind die Spezialnormen des Vergaberechts zu beachten. 
Diese bedingen im Bereich des Bieterschutzes einen weitergehenden 
Datenschutz. 

Anmerkung Markuss Wetzler:

"Diese wurden von Ihnen meines Erachtens mit der Nennung der
Rechtsquelle ausreichend beantwortet."

Zu Frage 10:

10. In welchem Rahmen hat die Stadt Kaarst bereits personenbezogene Daten an Dritte (beispielsweise an Firmen zu Werbezwecken gegen Bezahlung oder an politische Parteien) übermittelt? 

Antwort: 

Daten werden durch die Stadt Kaarst grundsätzlich nicht übermittelt. Ansonsten werden die gesetzlichen Grundlagen nach dem Meldegesetz NW beachtet.
Ausnahmen zur Übermittlung von Personen gebundenen Daten ergibt sich nach 
Rücksprache mit dem zuständigen Bereich 32 nur im gesetzlichen Rahmen des 
Meldegesetzes. Darübergehende Ausnahmen werden durch den Bereich nicht 
zugelassen.
Zu Frage 11:

11. Welche automatisierten Einzelfallentscheidungen (§6a BDSG) werden in der Stadt Kaarst durchgeführt?

Antwort: 

Gültige Rechtsgrundlage ist § 4 Abs. 4 DSG NRW; demnach sind automatisierte Einzelfallentscheidungen nicht zulässig und werden nicht durchgeführt oder das Einverständnis der jeweiligen Mitarbeiterin/ des jeweiligen Mitarbeiters eingeholt.

Zu Frage 12:

12. Sind schon einmal Fälle von Datenmissbrauch, Datenverlust und/oder Datendiebstahl in der Stadt aufgetreten? Wenn ja, wann war das und welche Daten waren betroffen? Was genau ist danach unternommen worden?

Antwort: 

Solche Fälle sind in der nachvollziehbaren Zeit des derzeitigen Datenschutzbeauftragten nicht vorgekommen. Personenbezogene Daten werden bei der Stadt Kaarst lediglich auf den Servern der ITK Rheinland oder des KRZN Kamp-Lintfort und nicht mehr auf einer PC gebundenen Festplatte oder ähnlichem hinterlegt. Die Sicherung der Daten dort erfolgt nach dem dortigen Sicherheitskonzept für Rechenzentren.
Zu Frage 13:

13. Bietet die Stadt Kaarst eine Möglichkeit für den Bürger zu einer verschlüsselten Kontaktaufnahme an? Wenn nein, warum nicht? Wann ist mit einer entsprechenden Implementierung zu rechnen?

Antwort: 

Derzeit kann die Stadt Kaarst noch keine digitalen Signaturen verarbeiten. Hinweis auf: http://www.kaarst.de/hinweis-digitale-signatur Jedoch ist die Einführung der DeMail geplant. Ein Zeitpunkt der Einführung kann noch nicht genannte werden, da entsprechende organisatorische Regelungen noch getroffen werden müssen. Der Arbeitskreis IT wird jedoch entsprechend informiert.

Zu Frage 14:

14. Betreibt die Verwaltung der Stadt Kaarst Rechner mit Windows-XP-Betriebssystemen? Wenn ja, wann ist mit einer Migration auf neuere Betriebssysteme zu rechnen?
Antwort: 

Die Stadt Kaarst betreibt ausschließlich Windows 7 Rechner die durch ein einheitliches Image den Mitarbeiter/innen zur Verfügung gestellt werden. Dies wird in Absprache und unter Begleitung der ITK Rheinland eingeführt und betreut. 

Zu Frage 15:

15. Betreibt die Stadt Kaarst gemeinfreie Software? Wenn ja, welche? Wenn nein, ist angedacht gemeinfreie Software zukünftig zu nutzen?

Antwort: 

In einigen Bereichen sind die Kolleginnen und Kollegen an Informationsportalen oder Auskunftsportalen angemeldet. Open Source Software (z.B. Open Office) wird derzeit bei der Stadt Kaarst nicht implementiert. Aufgrund der Anbindung an das Rechenzentrum ITK Rheinland werden von dort die notwendigen Software Produkte zur Verfügung gestellt. Der Einsatz von Open Source Produkten macht nur Sinn, wenn dadurch entsprechende Kosten (Lizenzkosten etc.) entfallen. Dabei ist zu beachten, dass ein Softwaremigrationsprozess nicht nur die Lizenzkosten, sondern die gesamten Kosten des Nutzers (sog. TCO = Total Cost of Ownership) berücksichtigt werden müssen. Beispielsweise sind stets die Kosten für die Schulungen der Endanwender einzubeziehen. Hinzu kommt die Sicherung evt. Daten, die aufgrund von Datenschutzrechtlichen Bestimmungen nicht in irgendeiner Cloud gespeichert werden dürfen. Unsere Office Produkte interagieren mit vielen verschiedenen Fachverfahren und Anwendungen wie z.B. Datenbanken, Groupware usw-. so dass die Schnittstellenkompatibiliät zu diesen Programmen überprüft und angepasst werden müssten. Dazu stehen der Stadt Kaarst in der Abteilung TUIV keine Mitarbeiter/innen zur Verfügung, die über entsprechendes Programmier Know-How verfügen. Die Nutzung der freien Software würde dann kostenintensiv werden, wenn der Einsatz nur spezielle Anwendungsgebiete abdeckt und die Implementierung durch externe IT Dienstleister nötig wird (z.B. durch Schnittstellenprogrammierung, Sourcecodeerweiterung etc.). Kleinere Open Source Entwicklerprojekte wurden in der Vergangenheit zudem häufiger aufgegeben, so dass keine Anwenderunterstützung mehr angeboten werden konnte. Durch die ITK Rheinland werden auch entsprechend Open Source Produkte jeweils geprüft und der Anwendergemeinschaft bei Bedarf vorgestellt. In vielen Bereichen sind jedoch sehr spezielle Fachverfahren notwendig, die auch die gesetzlichen Regelungen entsprechen und den Endanwender bei der täglichen Arbeit unterstützen bzw. Arbeitsprozesse effizienter gestalten und verkürzen.