SchiedsamtsZeitung 73. Jahrgang 2002, Heft 11 Online-Archiv Seite Organ des BDS

Transkript

1 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum Die Dienstanweisung zum Datenschutz und zur Datensicherung beim Einsatz von IT-Geräten bei Justizbehörden des Landes Nordrhein- Westfalen (DA DS) - RV d. JM vom 25. März 2002 (50 - ID.5) -* von Erhard Väth, Direktor des AG a.d., Bundesvorsitzender des BDS Zur näheren Information der Schiedsfrauen und Schiedsmänner in Nordrhein- Westfalen erlaube ich mir die für das Schiedsamt unmittelbar wesentlichen Vorschriften nachstehend aufzuführen: Geltungsbereich () Diese Dienstanweisung gilt für die Benutzung von dienstlichen Geräten der Informationstechnik (IT-Geräte) im Bereich der Gerichte einschließlich Bewährungshilfe, Gerichtsvollzieherdienst und Schiedsämter, der Staatsanwaltschaften einschließlich Gerichtshilfe des Strafvollzugs sowie der Aus- und Fortbildungseinrichtungen der Justiz des Landes Nordrhein-Westfalen. 2 Für die Benutzung privater IT-Geräte gilt diese Dienstanweisung nur, soweit dies ausdrücklich vorgeschrieben ist. IT-Geräte sind Geräte, die auf der Grundlage der Mikroelektronik zur automatisierten Erfassung, Darstellung, Speicherung, Verarbeitung und Übermittlung von Informationen in Form von Texten, Daten, Bildern oder Sprache dienen [vgl. Nr..3 der IT- Richtlinien NW vom (SMBI )]. Diese Dienstanweisung regelt die Grundsätze zum Datenschutz und zur Datensicherung bei der Nutzung von IT-Geräten. 2 Die Behördenleitung ist verpflichtet, nach Maßgabe dieser Dienstanweisung für die Anforderungen ihres Geschäftsbereichs ergänzende ausführende Bestimmungen (z. B. zur Aufbewahrung der Datenträger) zu erlassen. 3 Für bestimmte Geschäftsbereiche oder IT-Verfahren können ferner spezifische landes- oder bezirksweite Regelungen erlassen werden, deren Inhalte in den ergänzenden ausführenden Bestimmungen der jeweiligen Behörde zu berücksichtigen sind. Für den Einsatz von Großrechnern in Rechenzentren sowie den Zugriff und die Nachdruck und Vervielfältigung Seite /8

2 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum Nutzung der dort vorgehaltenen Daten gelten spezielle Dienstanweisungen. (4) Rechtsvorschriften über den Datenschutz (z. B. das Bundesdatenschutzgesetz, das Datenschutzgesetz Nordrhein-Westfalen) und die Geheimhaltung sowie bereichsspezifische Gesetze (z. B. Prozessordnungen, Verwaltungsverfahrensgesetz, Strafvollzugsgesetz) sind vorrangig zu beachten. 2 Verantwortlichkeit Die Verantwortung für die Einhaltung der gesetzlichen Vorschriften sowie der Bestimmungen dieser Dienstanweisung und sonstiger Dienstanweisungen ( Abs. 2) obliegt der Behördenleitung; sie kann sich der Mithilfe Dritter, insbesondere der zentralen Betriebseinrichtungen nach Abschnitt D des IT-Organisationskonzepts der Justiz Nordrhein-Westfalen IT-OK (AV vom I D.4 JMBI. NRW S. 277) bedienen. 6 Meldung von Verfahren Anwender, die im Rahmen des Anwendungsbereichs des Datenschutzgesetzes Nordrhein-Westfalen ein nicht von der Behördenleitung zur Verfügung gestelltes Verfahren zur automatisierten Verarbeitung personenbezogener Daten einsetzen wollen (z. B. eigene Datenbanken), teilen dies der Behördenleitung unverzüglich mit. 2 Diese veranlasst das nach dem Datenschutzgesetz Nordrhein-Westfalen Erforderliche. 7 Einsatz privater IT Geräte bei der Verarbeitung dienstlicher Daten () Richterinnen und Richter sowie Staatsanwältinnen und Staatsanwälte dürfen im Rahmen der Erledigung von Aufgaben der Rechtspflege für die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten ein privates IT-Gerät auch in ihrem privaten Bereich unter Beachtung der nachfolgenden Bestimmungen einsetzen:. Es dürfen nur Daten aus laufenden Verfahren, mit denen sie dienstlich befasst sind, verarbeitet werden. 2. Auf dem Festplattenspeicher oder auf anderen Datenträgern gespeicherte Dateien sind umgehend zu löschen, soweit eine weitere Speicherung nicht mehr Nachdruck und Vervielfältigung Seite 2/8

3 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum erforderlich ist, spätestens jedoch beim Abschluss des Verfahrens. Sollen Texte als Vorlagen oder Bausteine weiterverwendet werden, so ist deren Speicherung zulässig, sofern sie durch Löschung der personenbezogenen Merkmale vollständig anonymisiert sind. 3. Die für dienstliche Zwecke verwendeten Daten sind vor dem Zugriff Dritter auch im privaten Bereich zu schützen. Dies gilt insbesondere, wenn über das private IT-Gerät die Nutzung moderner Kommunikationstechnologien, z. B. des Internets, möglich ist. Abs. 2, 7 Abs. S., 9 Abs. bis 3 gelten entsprechend. 4. Bei dem Transport von IT-Geräten und Datenträgern mit personenbezogenen Daten außerhalb des Dienstgebäudes ist 6 zu beachten. Beim Transport der Datenträger und ihrer Aufbewahrung ist mindestens die Sorgfalt aufzuwenden, die auch bei der Mitnahme von dienstlichen Akten erforderlich ist. Den dienstlichen Einsatz privater IT-Geräte haben die Richterinnen und Richter sowie Staatsanwältinnen und Staatsanwälte der Behördenleitung schriftlich anzuzeigen. 2 Die Behördenleitung hat sie schriftlich auf die Einhaltung der vorliegenden Dienstanweisung zu verpflichten. 3 In begründeten Einzelfällen haben die Richterinnen und Richter sowie Staatsanwältinnen und Staatsanwälte auf Verlangen der Behördenleitung die getroffenen Schutzmaßnahmen zu erläutern. Werden Aufgaben der Rechtspflege, des Gerichtsvollzieherdienstes oder des Schiedsamtes wahrgenommen, kann die Behördenleitung auf schriftlichen Antrag und unter der Voraussetzung eines dienstlichen Bedürfnisses sonstigen Mitarbeiterinnen und Mitarbeitern den Einsatz eines privaten IT-Gerätes auch in ihrem privaten Bereich für die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten widerruflich gestatten. 2 Absatz Nummer bis 4 und Absatz 2 Satz 2 und 3 gelten entsprechend. (4) Im Übrigen ist der Einsatz privater IT-Geräte für die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten nicht zu-lässig. (5) Ist der Einsatz privater IT-Geräte zulässig, dürfen Daten zwischen dienstlichen und privaten IT-Geräten ausgetauscht werden. 2 Hierbei ist der Schutz vor Computerviren Nachdruck und Vervielfältigung Seite 3/8

4 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum (vgl. 5) sicherzustellen. 0 Zugriffsschutz Die in den IT-Systemen gespeicherten Daten und Programme sind gegen die Einsichtnahme und Veränderung durch unberechtigte Personen zu schützen. 2 Dieser Zugriffsschutz ist durch die Verwendung von Kennworten ( ) sowie durch weitere technisch-organisatorische Maßnahmen ( 2) sicherzustellen. Kennworte () Das Starten des Systems ist von der Eingabe eines Kennworts abhängig zu machen. 2 Beim Verlassen eines in Betrieb befindlichen IT-Geräts hat der Anwender eine durch ein Kennwort geschützte Bildschirmsperre (z. B. Bildschirmschoner) zu aktivieren. 3 Von der Vergabe von Kennworten kann abgesehen werden, wenn der Zugriff auf personenbezogene oder sonst dem Dienstgeheimnis unterfallende Daten ausgeschlossen ist. Bei der Verwendung von Kennworten ist Folgendes zu beachten:. Kennworte dürfen nicht aus einer einfachen Buchstaben- und/oder Zahlenkombination (z. B»AAA«oder»23456«), aus einfach abzuleitenden Begriffen (z. B.»ABT43«oder»FEB997«) oder aus leicht zu erratenden Namen bestehen. Es sollte möglichst eine Kombination aus Buchstaben und Zahlen ohne erkennbare Gesetzmäßigkeit (z. B.»AF45QXQ«) gewählt werden. 2. Kennworte sollen mindestens 8-stellig sein. Lässt das System nur kürzere Kennworte zu, ist die maximale Stellenanzahl auszunutzen. 3. Kennworte dürfen nur eingegeben werden, wenn die Eingabe nicht von Dritten beobachtet werden kann. 4. Dem Anwender ist es untersagt, sein Kennwort einem Dritten mitzuteilen oder auf andere Weise zur Kenntnis zu bringen, es sei denn, dass im Einzelfall ein Zugriff einer weiteren Person auf das IT-Gerät notwendig wird (z. B. bei Eildienst oder im Vertretungsfall). 5. Kennworte sollen außer in den Fällen des Abs. 4 möglichst nicht aufge- Nachdruck und Vervielfältigung Seite 4/8

5 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum schrieben werden. Der Anwender hat eine schriftliche Niederlegung des Kennworts so aufzubewahren, dass eine Kenntnisnahme durch Dritte verhindert wird. 6. Kennworte von Anwendern sind spätestens nach drei Monaten zu ändern. 6 Versand und Transport von Datenträgern () Beim Versand von Datenträgern mit personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten sind die Daten durch geeignete Maßnahmen (z. B. Kennwortschutz, Verschlüsselung) vor fremdem Zugriff zu schützen. 2 Dies gilt auch beim Transport von Datenträgern außerhalb der jeweiligen Dienststelle. Jeder Anwender hat den Verlust von Datenträgern mit personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten unverzüglich der Behördenleitung anzuzeigen. 2 Dies gilt auch bei der Nutzung privater Datenträger. 3 Die Behördenleitung informiert unverzüglich den Beauftragten für den Datenschutz. 7 Löschung und Vernichtung von Datenträgern () Auf Datenträgern, z. B. (Wechsel-)Festplatten, die an den Hersteller oder Lieferanten endgültig zurückgegeben oder an Dritte verkauft werden sollen oder die nicht mehr verwendbar sind, sind noch vorhandene personenbezogene oder dem Dienstgeheimnis unterfallende Daten so zu löschen, dass eine Wiederherstellung ausgeschlossen ist. 2 Ist dies technisch nicht möglich, ist eine Weitergabe der Datenträger nicht zulässig, es sei denn, dass bei einer Herausgabe an den Hersteller oder Lieferanten mit diesem eine Vereinbarung getroffen wird, die einen sicheren Transport zum Hersteller oder zum Lieferanten und eine sofortige Löschung der Daten bei diesem gewährleistet. 3 Die Vereinbarung ist aktenkundig zu machen. Soweit gesetzliche oder sonstige Rechtsvorschriften eine Löschung von personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten vorsehen, ist diese nach Ablauf der jeweiligen Fristen vorzunehmen und zu dokumentieren. 2 Datenträger sind nur dann durch physische Zerstörung zu vernichten, wenn eine Löschung dieser Daten nicht auf andere Weise erreicht werden kann. 3 Die Vernichtung von Ausdrucken mit personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten hat durch Nachdruck und Vervielfältigung Seite 5/8

6 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum physische Zerstörung so zu erfolgen, dass eine Rekonstruktion ausgeschlossen ist. Bei nicht nur vorübergehendem Wechsel des Anwenders eines IT-Gerätes sind personenbezogene oder dem Dienstgeheimnis unterfallende Daten, die für die Tätigkeit des neuen Anwenders nicht erforderlich sind, so zu löschen, dass eine Wiederherstellung ausgeschlossen ist. 8 Übermittlung von Daten Die Übermittlung von Daten durch Einsatz von Datenübertragungseinrichtungen ist unter Beachtung von 6 Abs. Satz durch bereichs- bzw. verfahrensspezifische Regelungen festzulegen. 9 Wartung und Reparatur () Die Wartung oder Reparatur eines IT-Gerätes im Dienstgebäude darf nur in Abstimmung mit der IT-Betreuung in Anwesenheit einer geeigneten Aufsichtsperson erfolgen. Justizfremdes Wartungspersonal bedarf für den Zugriff auf personenbezogene oder dem Dienstgeheimnis unterfallende Daten einer ausdrücklichen Genehmigung durch die Behördenleitung. 2 Die Genehmigung darf nur erteilt werden, wenn dies für die Wartung oder Reparatur technisch unabweisbar notwendig ist. 3 Die Genehmigung ist schriftlich zu erteilen, wobei erforderlichenfalls ergänzende Weisungen zu technischen oder organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. 4 Sie ist unter Nennung des Namens der beauftragten Stelle und des die Reparatur oder Wartung Durchführenden zu dokumentieren; die Dokumentation ist drei Jahre aufzubewahren. Kommt eine Reparatur des IT-Gerätes im Dienstgebäude nicht in Betracht, müssen sämtliche gespeicherten personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten vollständig gesichert und danach auf den Datenträgern des IT- Gerätes gelöscht oder verschlüsselt werden. 2 Anderenfalls ist der Datenträger auszubauen. 3 Ist dies aus Wartungs- oder Reparaturgründen nicht durchführbar, gilt 7 Absatz Satz 2 entsprechend. Nachdruck und Vervielfältigung Seite 6/8

7 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum (4) Justizfremdes Wartungspersonal, das noch nicht entsprechend dem Gesetz über die förmliche Verpflichtung nicht beamteter Personen (Verpflichtungsgesetz vom , BGBl. 974, 469, 547) verpflichtet ist oder den danach Verpflichteten gleichsteht, ist von der die Wartung in Anspruch nehmenden Behörde nach dem vorgenannten Gesetz zu verpflichten. (5) Für die Wartung und Reparatur von Softwareprodukten, insbesondere von Datenbanken gelten die Absätze bis 4 sowie die 6 Abs., Absatz 2 Sätze und 3, 8 und 20 entsprechend. 20 Fernwartung durch justizfremdes Personal () Bei einer Fernwartung durch justizfremdes Personal ist sicherzustellen, dass - der Fernwartungsvorgang ausschließlich von der IT-Betreuung oder einer sonst von der Behördenleitung autorisierten Person eingeleitet und jederzeit abgebrochen werden kann, - vor jedem Fernwartungsvorgang die Identität der mit der Fernwartung beauftragten Stelle, z. B. durch einen Rückruf festgestellt wird, - die Betreuung oder die von der Behördenleitung autorisierte Person den Wartungsvorgang am Bildschirm verfolgt und in kritischen Fällen unterbricht, - der normale IT-Betrieb soweit möglich beendet ist, - eine Protokollierung der Wartung erfolgt. Ist für Wartungszwecke ausnahmsweise ein Zugriff auf personenbezogene oder dem Dienstgeheimnis unterfallende Daten erforderlich, bedarf dies der Zustimmung der Behördenleitung. In einem Fernwartungsvertrag sind diese Datensicherungsmaßnahmen sowie Art und Umfang der Wartung festzulegen. 2 Außerdem ist zu vereinbaren, dass Daten, Nachdruck und Vervielfältigung Seite 7/8

8 SchiedsamtsZeitung 73. Jahrgang 2002, Heft Postfach Bochum die während der Fernwartung zur Kenntnis gelangen, vertraulich behandelt, nicht weitergegeben und auf Datenträger gespeicherte Daten nach Erledigung des Wartungsvorgangs gelöscht werden. 3 Die getroffenen Maßnahmen sind zu dokumentieren; die Dokumentation ist drei Jahre aufzubewahren. 4 9 Abs. 4 gilt entsprechend... Sofern noch nicht geschehen, haben die Schiedsfrauen und die Schiedsmänner, die ein privates IT-Gerät für ihre dienstliche Tätigkeit einsetzen, zunächst die nach 7 Absatz 2 der DA DS erforderliche schriftliche Anzeige an die jeweilige Direktorin oder den jeweiligen Direktor oder den Präsidenten des Amtsgerichts zu erstatten; die Behördenleitung ist alsdann verpflichtet, das nach dieser Dienstanweisung für die Schiedspersonen im Rahmen der Dienstaufsicht Erforderliche zu veranlassen. * vgl. auch meine Ausführungen u. a. in Heft 7/2002, Seiten 56 f. der Schiedsamtszeitung Nachdruck und Vervielfältigung Seite 8/8