Kreis WunsiedelIT im Selbst-Check

Kommunen betreuen in ihren IT-Systemen eine große Vielfalt personenbezogener Daten. Dabei muss der Datenschutz gewahrt bleiben, was bei Themen wie Cloud Computing oder Outsourcing eine Herausforderung sein kann. Die rechtlichen Anforderungen zum Schutz der Daten finden sich an verschiedenen Stellen, allen voran dem Bundes- oder jeweiligen Landesdatenschutzgesetz. Allgemeine Musterbeispiele und Leitlinien sowie Empfehlungen der Software- und Hardware-Lieferanten sollen helfen, die rechtlichen Vorgaben in der Praxis umzusetzen. Aber auch Hilfestellungen durch externe Prüfer, umfangreiche Sicherheitskataloge und Zertifikate bieten Unterstützung an. Für die IT-Abteilung des Landratsamtes Wunsiedel im Fichtelgebirge ist Datenschutz und -sicherheit ein andauernder Prozess. Trotzdem ist es der Kommune angesichts der Fülle sich ändernder Gesetzeslagen unmöglich, in allen Bereichen auf dem Laufenden zu bleiben. „Die eigenen Verhältnisse mit den Bestimmungen des BSI-Grundschutzkataloges abzugleichen, ist eine Herkulesaufgabe“, weiß Walter Zimmet, IT-Leiter im Landratsamt Wunsiedel. Um diese Richtlinien auf die Praxis herunterzubrechen, hat das unabhängige Gutachterinstitut a.s.k. Datenschutz Ende des Jahres 2014 einen Quick-Check Datensicherheit und Datenschutz entwickelt. Auftraggeber dafür war die Innovationsstiftung Bayerische Kommune, zu deren Mitbegründern auch die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) gehört. Der Test verschafft Verwaltungseinheiten unterhalb der Ebene des Landratsamtes einen schnellen und systematischen Überblick über den Stand ihrer Informationssicherheit. Die AKDB vermittelt außerdem darauf aufbauend eine individuelle und ausführliche Detailberatung durch die a.s.k. Datenschutz. Diesen Weg ist auch das Landratsamt Wunsiedel gegangen.

Der Blick von außen

„Unsere IT-Abteilung kontrolliert sich selbstverständlich regelmäßig selbst“, kommentiert Landrat Karl Döhler. „Vom äußeren Blick eines unabhängigen Gutachters versprachen wir uns herauszufinden, wo wir bereits gut aufgestellt sind und wo noch Verbesserungsbedarf beherrscht.“ Schon im Vorfeld hatte das IT-Team die Ausfallsicherheitsszenarien bewertet. Die Expertise eines Dritten mit entsprechendem Marktüberblick sollte die Ergebnisse bestätigen und Empfehlungen für technische Maßnahmen aussprechen. Bei einem eintägigen Workshop in Wunsiedel im Oktober 2014 ging Sascha Kuhrau, Datenschutz-Fachmann der a.s.k., mit den IT-Mitarbeitern und dem Datenschutzbeauftragten des Landratsamts eine Check-Liste mit rund 250 Fragen zu IT-sicherheitsrelevanten Punkten durch. Für Wunsiedel war das eintägige Beratungspaket adäquat, da es sich bereits auf einem recht hohen Stand befand. Nach Aufbereitung der Antworten und einem Vorbericht mit Nacharbeitung offener Fragen, hielt Walter Zimmet kurz darauf das Audit in den Händen. „Es brachte uns eine gute Bewertung, fordert aber auch, ständig weiter an der Datensicherheit zu arbeiten“, resümiert Landrat Karl Döhler das Ergebnis des Audits. Das Landratsamt Wunsiedel setzt Software-Programme der AKDB im Finanz- und Personalbereich sowie bei Wahlen und im Führerscheinwesen ein. Teile der Datenverarbeitung, unter anderem in der Lohn- und Gehaltsabrechnung, lässt die Kommune von der AKDB durchführen. „Damit ist Wunsiedel in Sachen Datenschutz schon einmal gut aufgestellt“, erklärt a.s.k.-Gutachter Sascha Kuhrau. Erst 2013 hat die AKDB ihren Rechenzentrumsbetrieb vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach strengen Kriterien zertifizieren lassen. Auch Artikel sechs des Bayerischen Datenschutzgesetzes, der besondere Regeln für die Auftragsdatenverarbeitung durch Dritte definiert, stuft das Unternehmen ausdrücklich als sorgfältig ausgewählten Dienstleister ein.

Audit bringt Veränderung

Nach der Bestandsaufnahme geht Wunsiedel nun zielgerichtet an die Verbesserung von Datenschutz und -sicherheit heran. Einige Punkte ließen sich zügig umsetzen. Beispielsweise die Einrichtung des neuen Download-Portals beim eigenen Internet-Provider zum Datenaustausch mit externen Dienstleistern. Bisher hat das Amt die Online-Datenspeicherungsdienste Microsoft One­Drive oder Wetransfer verwendet. Bei diesen Plattformen ist aber nicht ersichtlich, wo die Daten liegen. Eigene Lösungen oder auch Plattformen wie KommSafe der AKDB bieten sich hier als sichere Alternativen an. Der Nutzer kann sich darauf verlassen, dass alle Informationen im Inland gehostet werden. Christa Marx, Leiterin der Hauptverwaltung im Landratsamt, erklärt: „Das Beispiel der großen Datenmengen zeigt auch die Gratwanderung, welche die IT gehen muss, einerseits den Beschäftigten größtmögliche Freiheit in der Verrichtung ihrer täglichen Arbeit einzuräumen, andererseits dabei maximalen Datenschutz zu gewährleisten. Jeder IT-Experte hat Bauchschmerzen beim Thema Cloud. Die Leute an den Schreibtischen interessiert das aber verständlicherweise nicht. Sie wollen nur Daten einfach und schnell austauschen können.“ Daher wird mit gezielten Mitarbeiterschulungen an der Verbesserung der Datensicherheit gearbeitet. Was ist eine gefährliche E-Mail? Wie geht man mit Passwörtern um? Welche Daten dürfen weitergegeben werden? Oder was ist beim Einsatz mobiler Geräte zu beachten? Über das E-Learning-Angebot der AKDB eignen sich die Mitarbeiter des Landratsamts derzeit die Antworten zu diesen Themen an. Das nächste größere Vorhaben ist die Schaffung einer Hochverfügbarkeitslösung mit hausinternem Ausweichrechenzentrum und redundanter Verkabelung. Landrat Karl Döhler: „So werden wir in Sachen Datenschutz und -sicherheit immer besser und können dies auf Basis des Audits auch unseren Bürgern gegenüber glaubhaft versichern.“