Bürgeramt, 01.07.2008, 8700-150.4 /Bö - Interne Regelung über die Nutzung der DV - Technik in der ZAB 1. Vorbemerkungen In der ZAB steht allen Mitarbeiterinnen und Mitarbeitern in großem Maße DV-Technik zur Unterstützung bei der täglichen Arbeit zur Verfügung. Aufgrund der Tatsache, dass über die vorhandene DV in einem hohen Maße personenbezogene Daten verarbeitet werden, soll hiermit noch einmal auf die bei der Stadt Bielefeld geltenden grundsätzlichen Regeln für den Umgang mit der DV und insbesondere personenbezogenen Daten hingewiesen werden. Die vorhandenen Dienstanweisungen: Dienstanweisung zum Datenschutz vom 30.03.1989, Dienstanweisung über den Einsatz von Personal Computern bei der Stadt Bielefeld (PC-DA) vom 21.01.2002; Dienstanweisung für die Nutzung des Internet bei der Stadt Bielefeld (DA Internet-Nutzung) vom 25.07.2000 und Dienstanweisung zur Benutzung und Behandlung elektronischer Post (DA elektronische Post) vom 01.12.2000 bleiben durch diese interne Regelung unberührt und gelten uneingeschränkt für die ZAB. Der Erlass der neuen PC-DA vom 21.01.2002 machte es erforderlich, unsere bisherige interne Regelung zu überarbeiten und an den jetzt bei der Stadt Bielefeld geltenden Standard anzupassen. 2. Systemverwalter/in In der ZAB wird ständig eine Systemverwalterin bzw. ein Systemverwalter und eine Vertreterin bzw. ein Vertreter bestellt. Wer aktuell diese Aufgabe wahrnimmt ergibt sich aus der Anlage I, die ggf. umgehend aktualisiert wird. 3. Datenschutz Im Umgang mit personenbezogenen Daten sind die Bestimmungen des Gesetzes zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz - BDSG) vom 20.12.1990 (BGBl. I S. 2954), des Gesetzes zum Schutz personenbezogener Daten (Datenschutzgesetz Nordrhein - Westfalen - DSG NW -) in der Fassung des Gesetzes zur Fortentwicklung des Datenschutzes vom 15.03.1988 (GV NW S. 160 / SGV NW 20061) sowie alle weiteren einschlägigen Gesetze zu beachten. Bei allen Zweifelsfragen ist die Datenschutzsachbearbeiterin bzw. der Datenschutzsachbearbeiter zu beteiligen. Die aktuelle Datenschutzsachbearbeiterin bzw. der aktuelle Datenschutzsachbearbeiter ergibt sich ebenfalls aus der Anlage I zu dieser Dienstanweisung.
Die genannten gesetzlichen Bestimmungen erfordern die Beachtung folgender Grundsätze: Personenbezogene Daten dürfen ausschließlich gespeichert und abgerufen werden, sofern dieses für dienstliche Zwecke erforderlich und aufgrund gesetzlicher Regelungen (z. B.: AuslG, AsylVfG, AZRG, AuslDatVO) zulässig ist. Dieser Grundsatz gilt sowohl für die Speicherung und den Abruf an sich (nur zulässig, wenn es für dienstliche Zwecke erforderlich ist) als auch für den Umfang der Speicherung und des Datenabrufes (nur die Daten, die wirklich benötigt werden). Bei der Bearbeitung von personenbezogenen Daten muss dafür Sorge getragen werden, dass Unbefugte keine Einsicht in diese Daten bekommen können. Um dieses sicherzustellen, sind folgende Maßnahmen zu treffen: In allen Räumen mit Publikumsverkehr sind die Bildschirme so aufzustellen, dass Unbefugte sie nicht einsehen können. Alle Anwendungen, mit denen personenbezogene Daten verarbeitet werden (wie z. B. Z.E.u.S. und AZR) sind umgehend abzumelden, wenn sie nicht mehr benötigt werden. Besucherinnen und Besucher dürfen sich nur in Büros aufhalten, wenn eine Mitarbeiterin bzw. ein Mitarbeiter anwesend ist. Auf allen PCs ist die automatische Einschaltung des Bildschirmschoners mit Passwortkennung in einer angemessenen Zeit (i. d. R. maximal 5 Minuten) zu aktivieren. Beim Verlassen des Büros müssen alle Anwendungen, mit denen personenbezogene Daten verarbeitet werden, durch den passwortgeschützten Bildschirmschoner gesichert sein. Sofern die automatische Einschaltung des Bildschirmschoners diesen noch nicht aktiviert hat, ist der Bildschirmschoner manuell einzuschalten (gleichzeitige Betätigung der Tasten Strg, Alt und Entf, im anschließend erscheinenden Dialogfenster entweder die Schaltfläche Computer sperren anklicken oder den Buchstaben s auf der Tastatur drücken). Alle Büros, die in einem für Besucher zugänglichen Bereich liegen, müssen verschlossen werden, sobald keine Mitarbeiterin bzw. kein Mitarbeiter mehr anwesend ist. Daten dürfen nur an andere Personen (auch Behörden, Initiativen usw.) weitergegeben werden, wenn dieses gesetzlich zulässig ist und wenn feststeht, dass es sich bei dem Gegenüber tatsächlich um die berechtigte Person handelt (daher grundsätzlich eine schriftliche Vollmacht verlangen bzw. sicherstellen, dass es sich tatsächlich um eine Behördenmitarbeiterin bzw. einen Behördenmitarbeiter handelt - z. B. durch Rückruf bzw. Dienstausweis verlangen -) Zugriff auf das AZR darf nur Personen gegeben werden, die nach 22 AZRG besonders ermächtigt worden sind. Diese besondere Ermächtigung wird in der ZAB nach entsprechender Prüfung durch die Zuteilung einer persönlichen AZR-Kennung vergeben. Die Prüfung, ob die Voraussetzungen für die Erteilung der besonderen Berechtigung gegeben sind, wird durch die Abteilungsleiterin bzw. den Abteilungsleiter in Zusammenarbeit mit der Systemverwalterin bzw. dem Systemverwalter durchgeführt. Dieses bedeutet für alle Mitarbeiterinnen und Mitarbeiter, die eine persönliche Kennung erhalten haben, dass sie die AZR - Kennung sowie das damit verbundene Passwort an niemanden, auch keine andere ZAB - Mitarbeiterinnen oder Mitarbeiter, weitergeben dürfen (ausgenommen die Systemverwalterin bzw. der Systemverwalter). Unterlagen über diese Berechtigung (Berechtigungsziffer und Passwort) dürfen nur verschlossen und nicht in der Nähe des ADV-Gerätes aufbewahrt werden (sofern sich eine Berechtigte oder ein Be-
rechtigter zur persönlichen Sicherheit das Passwort aufschreibt, ist es der Systemverwalterin bzw. dem Systemverwalter zum Verschließen im Tresor zu übergeben). 4. Passworte Passworte sind für alle Anwendungen nur als Buchstaben/Zahlenkombination mit mindestens 6 Zeichen zulässig. Passworte müssen grundsätzlich nach spätestens 4 Wochen geändert werden, es ist nicht zulässig ein Passwort kurzfristig wieder zu nutzen (ständiges Wechseln zwischen 2 Passwörtern). Sofern Passworte schriftlich niedergelegt werden, müssen diese Aufzeichnungen der Systemverwalterin bzw. dem Systemverwalter zum Verschließen im Tresor übergeben werden. Passworte dürfen keiner anderen Mitarbeiterin oder Mitarbeiter im Hause mitgeteilt werden. 5. Datenspeicherung und Sicherung, Datenübermittlung Zur Vermeidung von Datenverlusten ist es grundsätzlich nicht gestattet Daten außerhalb des zugewiesenen Serverlaufwerkes aufzubewahren. Bei einer Datenspeicherung auf einem Laptop ist dieser schnellstmöglich wieder in das Netzwerk einzubinden oder der Systemverwalterin bzw. dem Systemverwalter zu übergeben, damit die Sicherung auf dem Serverlaufwerk umgehend erfolgen kann. Die Datensicherung ist entsprechend dem erarbeiteten Datensicherungskonzept durchzuführen. Die Durchführung dieser Datensicherungen wird durch geeignete technische Einrichtungen sichergestellt. Sofern durch eine technische Störung die Datensicherung länger als 2 Werktage nicht durchgeführt werden kann, ist hierüber ein Vermerk zu fertigen und der Abteilungsleiterin bzw. dem Abteilungsleiter zu übergeben. In diesem Fall muss mit der Abteilungsleiterin bzw. dem Abteilungsleiter unverzüglich besprochen werden, wie die Datensicherung erfolgen kann und Datenverluste vermieden werden können. Das Ergebnis dieser Besprechung und der vereinbarten Maßnahmen ist ebenfalls in einem Vermerk festzuhalten. Im Falle der Übermittlung personenbezogener Daten ist ein Protokoll zu fertigen. Bei dem Austausch einer nicht gelöschten Festplatte ist ebenfalls ein Protokoll zu fertigen. 6. Verzeichnis über eingesetzte Hard- und Software Durch die Systemverwalterin bzw. dem Systemverwalter wird ein Verzeichnis gem. Ziffer 4.3.4 PC-DA geführt, welche Benutzerinnen und Benutzer für welches System autorisiert wurde und welche Hard- sowie Software - Komponenten auf welchem System installiert sind. Dieses Verzeichnis ist auf einem ständig aktuellen Stand zu halten. 7. Sperrung von Zugangsberechtigungen Wenn festgestellt wird, dass gegen gesetzliche Regelungen bzw. Dienstanweisungen verstoßen wird, ist die Systemverwalterin bzw. der Systemverwalter berechtigt, bis zur endgültigen Klärung des weiteren Verfahrens alle vergebenen Abrufberechtigungen zu sperren (z. B. AZR, Z.E.u.S.). Unberührt hiervon bleibt die Prüfung der Einleitung eines Straf- oder/und Disziplinarverfahrens aufgrund der o. g. Bestimmungen.
8. Bekanntgabe dieser Dienstanweisung I. A. Diese interne Regelung muss von allen Mitarbeiterinnen und Mitarbeitern zur Kenntnis genommen werden. Die Kenntnisnahme ist durch Unterschrift auf dem Umlaufzettel zu bestätigen. Dieser Umlauf ist spätestens einmal pro Halbjahr zu wiederholen. Neuen Mitarbeiterinnen und Mitarbeitern (auch Auszubildenden oder Praktikanten) darf der Zugriff auf personenbezogene Daten erst ermöglicht werden, nachdem sie diese interne Regelung zur Kenntnis genommen und dieses mit ihrer Unterschrift bestätigt haben. Böhling
Anlage I zur Internen Regelung über die Nutzung der DV Technik in der ZAB Systemverantwortlicher/r: Vertreter/in der/des Systemverantwortlichen: Datenschutzsachbearbeiter/in: Rainer Baur Klaus Michler Klaus Werther