Gemeindevertretung Schöneiche bei Berlin

Transkript

1 Gemeindevertretung Schöneiche bei Berlin Beschlussvorlage X öffentlich nicht öffentlich Sitzung der Gemeindevertretung am Beschlussnummer 6./2015/ Eingang der Beschlussvorlage MR Nummer der Beschlussvorlage 171 / 2015 Betreff: Datensicherheit Beschlussergebnis Gemeindevertretung Anwesende JA NEIN Enthaltungen befangen Beschlussergebnis Anwesende JA NEIN Enthaltungen befangen Hauptausschuss Beratungsfolge und empfehlende Beschlussergebnisse in Ausschüssen: Gemeindevertreter Sachkund. Einwohner Ausschuss Datum JA NEIN Enth. JA NEIN Enth. HA - Hauptausschuss am OPA - Ortsplanung am FWA - Finanzen und Wirtschaft am BSA - Bildung und Soziales am UVA - Umwelt und Verkehr am WWA - Wohnungswirtschaft am RPA - Rechnungsprüfung am eingereicht durch: Fraktion DIE LINKE Rechtsgrundlage Kommunalverfassung X 28 Abs. 1 X 28 Abs. 2 Ziffer 1 Vorschlag für Beschlusstext, den die Gemeindevertretung beschließen möge: 1. Angesichts der umfassenden Spionage- und Überwachungsskandale der letzten Jahre sowie der jüngsten Erfahrungen mit Hackerangriffen auf das IT-System der Gemeinde Schöneiche bei Berlin sieht die Gemeindevertretung die dringende Notwendigkeit zur Überprüfung und ggf. zur Modernisierung der Datensicherheitsstandards der Gemeinde Schöneiche bei Berlin. 2. Der Bürgermeister wird beauftragt, der Gemeindevertretung bis spätestens zur ersten (ordentlichen) Sitzungsrunde im Jahr 2016 eine Datensicherheitsstrategie zur Beschlussfassung vorzulegen. Bei der Erarbeitung der Datensicherheitsstrategie sind insbesondere die Sicherung der gemeindeeigenen Datenbanken und Server gegen unbefugte Zugriffe und Datenabflüsse sowie die Sicherheit der internen wie externen elektronischen Kommunikation der Gemeindeverwaltung sowie der Gemeindevertretung zu berücksichtigen. 3. Die Gemeindevertretung strebt einen höchstmöglichen Datensicherheitsstandard unter Verwendung von Verschlüsselungstechniken für Speichermedien und elektronische Kommunikation an. Dabei sollen vorzugsweise freie Softwarelösungen (Open Source) genutzt werden. 1

2 Folgekosten und finanzielle Auswirkungen: Je nach Ausgestaltung des geforderten Datensicherheitskonzeptes und der zu erarbeitenden Maßnahmen können durch spätere Umsetzungsbeschlüsse der Gemeindevertretung finanzielle Aufwendungen für die Anschaffung von Hard- und/oder Software sowie für die Schulung von Mitarbeiter/innen entstehen. Für die Umsetzung des vorliegenden Beschlusses fallen Personal- und Sachkosten im Rahmen der laufenden Verwaltung an. Stellungnahme Kämmerei - Haushaltsprüfung: Datum Andrea Liske, Kämmerin Unterschrift Einreicher/in: Schöneiche bei Berlin, Fritz R. Viertel Stellv. Fraktionsvorsitzender DIE LINKE Sachverhalt: Seit den Enthüllungen der Plattform WikiLeaks ab 2010 sowie des Whistleblowers Edward Snowden 2013 werden die modernen Industriegesellschaften massiv mit Problemen der Datensicherheit sowie der (staatlichen) Massenüberwachung und Datensammlung konfrontiert. Nachdem zunächst insbesondere US-amerikanische und britische Geheimdienste im Fokus standen, wurden zunehmend Verstrickungen des deutschen Bundesnachrichtendienstes (BND) in die massenhafte Sammlung und Auswertung von Daten ans Licht gebracht. Damit beschäftigt sich seit März 2014 ein Untersuchungsausschuss des Deutschen Bundestages. Neben der staatlichen Massenüberwachung häufen sich die Fälle von kriminellen Hackerangriffen auf öffentliche Einrichtungen und private Unternehmen. Zuletzt gab es im Frühjahr 2015 schwere Angriffe auch auf das IT- System der Gemeinde Schöneiche bei Berlin. Die Gemeinde Schöneiche bei Berlin verfügt über einen Bestand sensibler Datenbanken. Nicht nur in der Einwohnermeldedatei werden personenbezogene Daten der Einwohnerschaft erhoben und gespeichert. Gleichzeitig existiert innerhalb der Gemeindeverwaltung und der Gemeindevertretung sowie zwischen Gemeindeverwaltung und Einwohnerschaft elektronische Kommunikation über z.t. sensible Daten bzw. schutzwürdige Belange Dritter. Es ist Aufgabe der Gemeinde Schöneiche bei Berlin, einen höchstmöglichen Schutz dieser Daten bzw. dieser Kommunikation vor unbefugtem Zugriff durch in- wie ausländische Behörden sowie private Organisationen oder Personen sicherzustellen. Der jüngste Hackerangriff auf das IT-System der Gemeinde Schöneiche bei Berlin hat gezeigt, dass die Datenbestände der Gemeinde in den Fokus unerlaubten Zugriffs geraten können. Hier besteht dringender Handlungsbedarf, um die zeitgemäße Sicherung von Daten und (elektronischer) Kommunikation sicherzustellen. Hierbei sollte insbesondere die Anwendungen moderner Verschlüsselungstechnologien geprüft und umgesetzt werden. 2

3 Information an die Gemeindevertretung BV 171/2015 Datensicherheit Stellungnahme des Bürgermeisters I. Für die Sitzung der Gemeindevertretung am wurde durch die Fraktion DIE LINKE eine Beschlussvorlage mit folgendem Beschlusstext eingereicht: 1. Angesichts der umfassenden Spionage- und Überwachungsskandale der letzten Jahre sowie der jüngsten Erfahrungen mit Hackerangriffen auf das IT-System der Gemeinde Schöneiche bei Berlin sieht die Gemeindevertretung die dringende Notwendigkeit zur Überprüfung und ggf. zur Modernisierung der Datensicherheitsstandards der Gemeinde Schöneiche bei Berlin. 2. Der Bürgermeister wird beauftragt, der Gemeindevertretung bis spätestens zur ersten (ordentlichen) Sitzungsrunde im Jahr 2016 eine Datensicherheitsstrategie zur Beschlussfassung vorzulegen. Bei der Erarbeitung der Datensicherheitsstrategie sind insbesondere die Sicherung der gemeindeeigenen Datenbanken und Server gegen unbefugte Zugriffe und Datenabflüsse sowie die Sicherheit der internen wie externen elektronischen Kommunikation der Gemeindeverwaltung sowie der Gemeindevertretung zu berücksichtigen. 3. Die Gemeindevertretung strebt einen höchstmöglichen Datensicherheitsstandard unter Verwendung von Verschlüsselungstechniken für Speichermedien und elektronische Kommunikation an. Dabei sollen vorzugsweise freie Softwarelösungen (Open Source) genutzt werden. Eine Rechtsgrundlage wurde hier 28 Abs. 1 und Abs. 2 Ziffer 1 angegeben. Hinsichtlich der Folgekosten und finanziellen Auswirkungen wurde angegeben: Je nach Ausgestaltung des geforderten Datensicherheitskonzeptes und der zu erarbeitenden Maßnahmen können durch spätere Umsetzungsbeschlüsse der Gemeindevertretung finanzielle Aufwendungen für die Anschaffung von Hard- und/oder Software sowie für die Schulung von Mitarbeiter/innen entstehen. Für die Umsetzung des vorliegenden Beschlusses fallen Personal- und Sachkosten im Rahmen der laufenden Verwaltung an. Der Zuständigkeitsbereich der Gemeindevertretung ist für den hier vorliegenden Sachverhalt nicht eröffnet, da gesetzlich etwas anderes bestimmt ist. Bei der Prüfung der Zuständigkeit sind gemäß 28 Rdnr Schumachers Kommentar zur Kommunalverfassung zunächst die gesetzlichen Zuständigkeiten der Gemeindevertretung und die des Hauptverwaltungsbeamten zu prüfen. In Betracht kommt für die Zuständigkeit der Gemeindevertretung 28 II 1 Kommunalverfassung Brandenburg, wonach die allgemeine Grundsätze, nach denen die Verwaltung geführt werden soll in deren Zuständigkeitsbereich fallen. Dieser Anwendungsfall ist vorliegend jedoch zu verneinen, da hier eine ausschließliche Zuständigkeit des Bürgermeisters entsprechend der Vorschrift des 61 Kommunalverfassung Brandenburg besteht. Schumachers Kommentar schreibt hierzu Folgendes: Nach der Begründung S. 165 der LT-Drs. 4/5056 soll die Gemeindevertretung für die äußere Organisation und der Hauptverwaltungsbeamte aufgrund der Regelung des 61 Abs. 1 S. 2 Bbg KVerf für die innere Organisation (Aufbau- und Ablauforganisation) zuständig sein. Die Ablauforganisation legt dabei die Arbeitsprozesse unter Berücksichtigung von Raum, Zeit, Sachmitteln und Personen mit dem Ziel, ein optimales Ergebnis zu erzielen, fest. Die Verantwortung für den Datenschutz in einer öffentlichen Stelle trägt grundsätzlich die Leitung der Stelle. Der Hauptverwaltungsbeamte stellt sicher, dass die datenschutzrechtlichen Bestimmungen in der öffentlichen Stelle eingehalten werden. Die zu bestellenden Datenschutzbeauftragten sind in dieser Funktion weisungsfrei ( 7a DSG Bbg). Sie können selbst über Zeitpunkt sowie die Art und Weise ihrer Tätigkeit ent-

4 scheiden. Dies umfasst die Entscheidung, ob sie eine datenschutzrechtliche Prüfung durchführen, ebenso wie die Freiheit, sich für die Rechtsauffassung zu entscheiden, die nach ihrer begründeten Überzeugung im Einzelfall zutrifft. Welche konkreten Einzelfallmaßnahmen zu treffen sind, obliegt wiederum allein der Behördenleitung, die als datenverarbeitende Stelle alle technischen und organisatorisch notwendigen Maßnahmen gemäß 10 Datenschutzgesetz Brandenburg zu treffen hat. Gemäß 10 Abs. 1 S. 2 haben die Maßnahmen für den angestrebten Schutzzweck angemessen zu sein und richten sich nach den im Einzelfall zu betrachtenden Risiken und dem jeweiligen Stand der Technik. Die hierzu vom Landesgesetzgeber herausgegebene Verwaltungsvorschrift gibt hierzu Erläuterungen, wie die Standards auszusehen haben. Es gilt dabei immer der Grundsatz der Verhältnismäßigkeit. Der Aufwand für die Maßnahmen hat in einem angemessenen Verhältnis zum angestrebten Schutzzweck zu stehen, wobei sich die Maßnahmen nach dem jeweiligen Stand der Technik richten. Stand der Technik sind am Markt verfügbare Produkte. Die Anforderungen an die zu treffenden Maßnahmen richten sich nach dem Schutzbedarf der personenbezogenen Daten. Je größer dieser ist, desto höhere Anforderungen sind an die zu treffenden technischen und organisatorischen Maßnahmen zu stellen. Ob eine Maßnahme angemessen ist, kann nur anhand der konkreten Umstände des Einzelfalles entschieden werden. Dabei sind der vom Brandenburgischen Datenschutzgesetz oder von anderen datenschutzrechtlichen Vorschriften verlangte Schutz der Daten, das durch die Maßnahme erreichte Schutzniveau und der damit verbundene Aufwand zu betrachten. Ebenso ist das Ausmaß der zu erwartenden Schäden für die Rechte der Betroffenen in die Prüfung, ob eine Maßnahme beziehungsweise das hinsichtlich eines Verfahrens bestehende Schutzniveau angemessen ist, einzubeziehen. Als Entscheidungshilfen bei der Angemessenheitsprüfung können neben der Art der verarbeiteten Daten und ihrer Schutzwürdigkeit auch die Menge der verarbeiteten Daten sowie die Art der eingesetzten Verfahren dienen. So erfordern zum Beispiel Angaben über gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen weitergehende Schutzvorkehrungen. Gleiches gilt, je mehr Daten über Betroffene gespeichert werden (zum Beispiel mit Hilfe einer Datenbank) oder bei der Verknüpfung mehrerer Datenbestände. Es sind immer alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Ausführung der Vorschriften des Brandenburgischen Datenschutzgesetzes zu gewährleisten. Soweit im Einzelfall eine Maßnahme nicht oder nicht vollständig umgesetzt wird, ist die dadurch entstehende Lücke durch entsprechende alternative Maßnahmen zur Erfüllung der Anforderungen zu schließen. Entscheidend ist das insgesamt gewährleistete Schutzniveau. Dieses bestimmt sich nach der Gesamtheit der getroffenen technischen und organisatorischen Maßnahmen. Die Datensicherheit ist dann ausreichend, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz gegen die Beeinträchtigung schutzwürdiger Interessen der Betroffenen beim Umgang mit ihren Daten gewährleisten. 7 Absatz 3 Satz 3 BbgDSG verpflichtet darüber hinaus den Hauptverwaltungsbeamten ohnehin dazu, das Sicherheitskonzept fortzuschreiben, das heißt, die Technikentwicklung zu beobachten und dementsprechend die Schutzmaßnahmen in angemessenen Abständen zu überprüfen und bei Bedarf nachzubessern. 28 Abs. 2 Nr. 1 b, Halbsatz 2 BbgKVerf stellt auch ausdrücklich klar, dass die Gemeindevertretung den allgemeinen Grundsätzen der Verwaltung nicht ein Verständnis zu Grunde legen darf, welches die Regelungshoheit des Hauptverwaltungsbeamten nach 61 Abs. 1 S. 2 BbgKVerf einschränken würde. Die Überprüfung und ggf. geforderte Modernisierung der Datensicherheitsstandards, noch dazu mit, wie gefordert, vorzugsweise freien Softwarelösungen greift in diese Regelungshoheit ein. Die Regelungen des 61 BbgKVerf, konkretisiert durch datenschutzrechliche Erwägungen beinhalten damit Ausnahmen vom Grundsatz der Allzuständigkeit der Gemeindevertretung. Schöneiche bei Berlin, Heinrich Jüttner Bürgermeister

5 Information an die Gemeindevertretung BV 171/2015 Datensicherheit 2. ergänzende Stellungnahme des Bürgermeisters In der Gemeinde gibt es derzeit 62 PC - Arbeitsplätze im Rathaus und etwa 100 PC - Arbeitsplätze in Einrichtungen. Im neuen Rathaus gibt es 11 Server. Die Gemeinde verfügt über die Datenbanken SQL, MySQL und Foxpro. Folgende Sicherheitsmaßnahmen zum Datenschutz werden derzeit angewandt: Virenschutzsoftware Firewall Beratende Tätigkeit des Datenschutzbeauftragten bei allgemeinen und besonderen Vorgängen Dienstanweisung für IT Sicherheit und IT Sicherheitsbeauftragte Verwaltungsinternes Datenschutzportal Schlüsselordnung Es gibt zu dieser Angelegenheit auch die Dienstanweisung für den Einsatz von Informationstechnik, Datensicherung und Nutzung von Internetdiensten sowie die Dienstanweisung für IT- Sicherheit und IT - Sicherheitsbeauftragte. Die Kommunikation nach außen ist auf allen Wegen verschlüsselt. Die Gemeinde ist durch Gesetze und Verordnungen dazu verpflichtet, Daten nach außen zu anderen Behörden zu übermitteln. Beispiele hierfür sind Meldedaten der Einwohnermeldestelle, Standesamtsdaten, Lohndaten. Alle Kommunikationswege sind vom BSI Bundesamt für Sicherheit in der Informationstechnik oder einer anderen Organisation zertifiziert worden. Die - Übertragung durch die Gemeinde ist verschlüsselt, sowie die Anbindung der Außenstellen zum Rathaus. Für die Gemeine gibt es ein Datenschutzkonzept. Die Gemeinde hat im Jahr 2011 ein IT - Sicherheitskonzept mit einem Sicherheitscheck durchführen lassen durch einen externen Dienstleister. Die Ergebnisse dieses Konzeptes wurden fortlaufend umgesetzt und geprüft. Die Gemeinde hat ein IT - Sicherheitskonzept für den elektronischen Personalausweis in der Gemeinde Schöneiche bei Berlin nach Vorlage Handlungsleitfaden für Personalausweisbehörden Konzept - Version 1.0 erstellen lassen durch einen externen Dienstleister. Die Gemeinde hat ein IT - Sicherheitskonzept zur Benutzer- und Medienverwaltung - elektronische Ausleihverbuchung in der Gemeindebibliothek der Gemeinde Schöneiche bei Berlin erstellen lassen durch einen externen Dienstleister. Datensicherungen werden in einem nicht lesbaren Format abgelegt. Die neue Datensicherungssoftware lässt

6 auch eine Verschlüsselung zu. Zu Bedenken ist hierbei, dass eine Verschlüsselung von Daten auch Risiken und Geld für Hardware und Lohnkosten zur Folge hat. Daten in der Größenordnung für unsere Gemeinde benötigen zum Ver- und Entschlüsseln enorme Leistungskapazitäten und viel Zeit. Datensicherungen können nur direkt aus dem Serverraum abgegriffen werden. Von Open Source Software wird abgeraten. Kosten für die Umstellung, Anpassung und Schulung ist oftmals teurer als kommerzielle Software. Ein gutes Beispiel ist die Stadt München, welche von Open Source (Linux) nun wieder zurück zu Microsoft geht.! Ein höchstmöglicher Sicherheitsstandard verursacht unvertretbare Sach- und Personalkosten. Es geht stets um eine optimierte Lösung, die auch dem Grundsatz einer sparsamen und wirtschaftlichen Haushaltsführung entspricht. Eine sorgsame Abwägung ist erforderlich.! Für das neue Rathaus wird bereits die Erarbeitung eines neuen IT - Sicherheitskonzeptes vorbereitet. Schöneiche bei Berlin, Heinrich Jüttner Bürgermeister