Auf die Anfrage der Piraten vom 14.11.2014 antwortete die Stadtverwaltung wie folgt:
Sehr geehrter Herr Wetzler, vielen Dank für Ihre Anfrage zum Thema Datenschutz und Informationssicherheit bei der Stadt Kaarst. Im Auftrag von Herrn Bürgermeister Moormann habe ich die von Ihnen gestellten Fragen zum Datenschutz beantwortet. Die Antworten zu den von Ihnen gestellten Fragen wurden in Zusammenarbeit mit der ITK Rheinland erarbeitet, da die Stadt Kaarst Mitglied im Zweckverband der ITK Rheinland ist und sich überwiegend der Dienstleistungen bedient. Für Kommunen (Gemeinde und Gemeindeverbände) ist das Gesetz zum Schutz personenbezogener Daten des Landes NRW (DSG NRW) einschlägig, so dass die von Ihnen aufgeführten Paragraphen nicht ganz den Bezeichnungen und rechtlichen Regelungen des BDSG entsprechen. Ich möchte Ihnen anbieten, sich gerne vor Ort über den Datenschutz und das Sicherheitskonzept zu informieren und bitte Sie bei Interesse einen Termin mit Herrn Boehm und Frau Fuhrmann abzustimmen. Über die Einsichtnahme des Sicherheitskonzeptes der ITK entscheidet der TÜV Zertifizierte Datenschutzbeauftragte der ITK Rheinland im Einzelfall. Zu Frage 1: 1. Hat die Stadt Kaarst einen Datenschutzbeauftragten (§4f BDSG) bestellt? Antwort: Die Stadt Kaarst hat im Rahmen des § 32 a DSG NRW Herrn Ulrich Boehm als Datenschutzbeauftragen und Frau Dr. Magdalena Kubiak als seine Stellvertreterin bestellt. Zu Frage 2: 2. Werden regelmäßig Datenschutzaudits (§9a BDSG) oder Penetrationstests durchgeführt? Wenn ja, wie lauten die Ergebnisse? Antwort: Die ITK Rheinland führt regelmäßig mit eigenem aber auch mit Fremdpersonal solche Penetrationstest durch. Die Stadt Kaarst selbst führt keine Penetrationstests oder Audits durch. Nach aktuell gültiger Rechtslage sind Audits freiwillig und nicht vorgeschrieben. Zu Frage 3: 3. Existiert ein Datenschutzkonzept? Wenn ja, bitte zur Verfügung stellen. Antwort: Ein Datenschutzkonzept existiert in Form einer Dienstanweisung. Diese können Sie gerne einsehen. Zu Frage 4: 4. Hat die Stadt Kaarst einen Informationssicherheitsbeauftragten benannt oder diese Dienstleistung outgesourced? Antwort: Die Stadt Kaarst hat Frau Sabine Druska als IT-Sicherheitsbeauftragte benannt. Ebenfalls hat die ITK Rheinland einen IT-Sicherheitsbeauftragten. Zu Frage 5: 5. Existiert ein Informationssicherheitskonzept? Wenn ja, bitte zur Verfügung stellen. Antwort: Auch dieses besteht in Form von Dienstanweisungen, die gerne eingesehen werden können. Zu Frage 6: 6. Werden die Mitarbeiter der Verwaltung hinsichtlich Datenschutz und Datensicherheit geschult (§4g (1) 2. BDSG)? Wenn ja, bitte die Maßnahmen genau beschreiben. Antwort: Gültige Rechtsgrundlage ist § 32 a Abs. 1 DSG NRW; durch die geltende Dienstanweisung über die Einhaltung des Datenschutzes und der Datensicherheit sind alle Mitarbeiter/innen gehalten diese auch zu beachten. Die Dienstanweisung steht allen im Dokumentenmanagementsystem der Stadt Kaarst jederzeit zur Verfügung. Zu Frage 7: 7. Werden bei der automatischen Datenverarbeitung erforderliche technische und organisatorische Maßnahmen gemäß §9 BDSG durchgeführt? Wenn ja, welche? Antwort: Gültige Rechtsgrundlage ist § 10 DSG NRW; Die in § 10 Abs. 2 DSG NRW zu treffenden Maßnahmen (Vertraulichkeit, Integrität, Transparenz etc.) werden bereits bei der Auswahl einer möglichen Software berücksichtigt. Zum Bespiel durch sog. Rollen und Rechtekonzepte und die technischen Möglichkeiten diese auch umzusetzen, werden entsprechende Maßnahmen getroffen. Zu Frage 8: 8. Werden vor der Vergabe von Aufträgen (im Rahmen der Auftragsdatenverarbeitung) alle erforderlichen Maßnahmen gemäß §11 (2) BDSG umgesetzt? Antwort: Gültige Rechtsgrundlage ist § 11 DSG NRW bzw. Spezialgesetze zur Vergabe. Zu Frage 9: 9. Wird nach der Vergabe von Aufträgen (im Rahmen der Auftragsdatenverarbeitung) die Einhaltung der Vorgaben regelmäßig kontrolliert? Wenn ja, wie lauten die Ergebnisse? Antwort: Ich bitte die Fragen 8 und 9 genauer zu spezifizieren. Im Rahmen der öffentlichen Vergabe sind die Spezialnormen des Vergaberechts zu beachten. Diese bedingen im Bereich des Bieterschutzes einen weitergehenden Datenschutz. Anmerkung Markuss Wetzler: "Diese wurden von Ihnen meines Erachtens mit der Nennung der Rechtsquelle ausreichend beantwortet." Zu Frage 10: 10. In welchem Rahmen hat die Stadt Kaarst bereits personenbezogene Daten an Dritte (beispielsweise an Firmen zu Werbezwecken gegen Bezahlung oder an politische Parteien) übermittelt? Antwort: Daten werden durch die Stadt Kaarst grundsätzlich nicht übermittelt. Ansonsten werden die gesetzlichen Grundlagen nach dem Meldegesetz NW beachtet. Ausnahmen zur Übermittlung von Personen gebundenen Daten ergibt sich nach Rücksprache mit dem zuständigen Bereich 32 nur im gesetzlichen Rahmen des Meldegesetzes. Darübergehende Ausnahmen werden durch den Bereich nicht zugelassen. Zu Frage 11: 11. Welche automatisierten Einzelfallentscheidungen (§6a BDSG) werden in der Stadt Kaarst durchgeführt? Antwort: Gültige Rechtsgrundlage ist § 4 Abs. 4 DSG NRW; demnach sind automatisierte Einzelfallentscheidungen nicht zulässig und werden nicht durchgeführt oder das Einverständnis der jeweiligen Mitarbeiterin/ des jeweiligen Mitarbeiters eingeholt. Zu Frage 12: 12. Sind schon einmal Fälle von Datenmissbrauch, Datenverlust und/oder Datendiebstahl in der Stadt aufgetreten? Wenn ja, wann war das und welche Daten waren betroffen? Was genau ist danach unternommen worden? Antwort: Solche Fälle sind in der nachvollziehbaren Zeit des derzeitigen Datenschutzbeauftragten nicht vorgekommen. Personenbezogene Daten werden bei der Stadt Kaarst lediglich auf den Servern der ITK Rheinland oder des KRZN Kamp-Lintfort und nicht mehr auf einer PC gebundenen Festplatte oder ähnlichem hinterlegt. Die Sicherung der Daten dort erfolgt nach dem dortigen Sicherheitskonzept für Rechenzentren. Zu Frage 13: 13. Bietet die Stadt Kaarst eine Möglichkeit für den Bürger zu einer verschlüsselten Kontaktaufnahme an? Wenn nein, warum nicht? Wann ist mit einer entsprechenden Implementierung zu rechnen? Antwort: Derzeit kann die Stadt Kaarst noch keine digitalen Signaturen verarbeiten. Hinweis auf: http://www.kaarst.de/hinweis-digitale-signatur Jedoch ist die Einführung der DeMail geplant. Ein Zeitpunkt der Einführung kann noch nicht genannte werden, da entsprechende organisatorische Regelungen noch getroffen werden müssen. Der Arbeitskreis IT wird jedoch entsprechend informiert. Zu Frage 14: 14. Betreibt die Verwaltung der Stadt Kaarst Rechner mit Windows-XP-Betriebssystemen? Wenn ja, wann ist mit einer Migration auf neuere Betriebssysteme zu rechnen? Antwort: Die Stadt Kaarst betreibt ausschließlich Windows 7 Rechner die durch ein einheitliches Image den Mitarbeiter/innen zur Verfügung gestellt werden. Dies wird in Absprache und unter Begleitung der ITK Rheinland eingeführt und betreut. Zu Frage 15: 15. Betreibt die Stadt Kaarst gemeinfreie Software? Wenn ja, welche? Wenn nein, ist angedacht gemeinfreie Software zukünftig zu nutzen? Antwort: In einigen Bereichen sind die Kolleginnen und Kollegen an Informationsportalen oder Auskunftsportalen angemeldet. Open Source Software (z.B. Open Office) wird derzeit bei der Stadt Kaarst nicht implementiert. Aufgrund der Anbindung an das Rechenzentrum ITK Rheinland werden von dort die notwendigen Software Produkte zur Verfügung gestellt. Der Einsatz von Open Source Produkten macht nur Sinn, wenn dadurch entsprechende Kosten (Lizenzkosten etc.) entfallen. Dabei ist zu beachten, dass ein Softwaremigrationsprozess nicht nur die Lizenzkosten, sondern die gesamten Kosten des Nutzers (sog. TCO = Total Cost of Ownership) berücksichtigt werden müssen. Beispielsweise sind stets die Kosten für die Schulungen der Endanwender einzubeziehen. Hinzu kommt die Sicherung evt. Daten, die aufgrund von Datenschutzrechtlichen Bestimmungen nicht in irgendeiner Cloud gespeichert werden dürfen. Unsere Office Produkte interagieren mit vielen verschiedenen Fachverfahren und Anwendungen wie z.B. Datenbanken, Groupware usw-. so dass die Schnittstellenkompatibiliät zu diesen Programmen überprüft und angepasst werden müssten. Dazu stehen der Stadt Kaarst in der Abteilung TUIV keine Mitarbeiter/innen zur Verfügung, die über entsprechendes Programmier Know-How verfügen. Die Nutzung der freien Software würde dann kostenintensiv werden, wenn der Einsatz nur spezielle Anwendungsgebiete abdeckt und die Implementierung durch externe IT Dienstleister nötig wird (z.B. durch Schnittstellenprogrammierung, Sourcecodeerweiterung etc.). Kleinere Open Source Entwicklerprojekte wurden in der Vergangenheit zudem häufiger aufgegeben, so dass keine Anwenderunterstützung mehr angeboten werden konnte. Durch die ITK Rheinland werden auch entsprechend Open Source Produkte jeweils geprüft und der Anwendergemeinschaft bei Bedarf vorgestellt. In vielen Bereichen sind jedoch sehr spezielle Fachverfahren notwendig, die auch die gesetzlichen Regelungen entsprechen und den Endanwender bei der täglichen Arbeit unterstützen bzw. Arbeitsprozesse effizienter gestalten und verkürzen.
Vielen Dank für die ausführlichen und guten Fragen, das reiche ich auch mal an meine Verwaltung weiter.
Danke. Dann vielleicht die Rechtsgrundlage mit dem DSG des jeweiligen Bundeslandes ersetzen.
Die geplante Verwendung von deMail hat neben der konzeptionellen Unsicherheit dieses Dienstes (der Dienst wurde von De Maiziére (!) qua Amt als sicher qualifiziert) auch den Nachteil, dass jeder registrierte deMail-Nutzer eine Verpflichtung zum Abruf der Daten u.a. auch zur Wahrung von Fristen eingeht. Funktional und juristisch entspricht deMail damit einem Einwurfeinschreiben. Zur Vermeidung von Nachteilen und evtl. juristischen Konsequenzen hat daher der Nutzer zu evtl. Fristwahrung die Pflicht, jederzeit ein empfangsfähiges Endgerät zur Verfügung zu halten und dies auch in kurzen Abständen zu nutzen.
Obwohl ich schon Betriebssysteme implementierte, als andere noch mit dem Amiga spielten, werden ich einen solchen Dienst nicht nutzen. Da laufe ich lieber zum Rathaus oder nutze den Briefverkehr bzw. ein Faxgerät.
Genauso sehe ich das auch. Je nachdem, wie die Politik in die Entscheidung einbezogen wird, werde ich das entsprechend anbringen.