Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung Berlin, 14. September 2007 Martin Rost Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Gliederung Datenschutzparadigmen und ULD DS-Instrumente: Beratung, Prüfung, Auditierung Bewertungsmaßstäbe Die festgestellten Mängel an den Hochschulen in Schleswig-Holstein Was kann man tun? Fazit: Zur Zeit ist kein hinreichender Nachweis der Ordnungsmäßigkeit des Verwaltungshandelns an den Hochschulen in S-H möglich.

Eine kurze Geschichte der einander ergänzenden Datenschutzparadigmen ab 1890: Herausbildung des rechtsfähigen Anspruchs auf „right to be let alone“ (Warren/Brandeis, USA), seitdem spontan aufblitzendes Thematisieren bspw. des „Rechts am eigenen Bild“ insbesondere von Prominenten und Funktionsträgern ab 1970: Verstetigte bürgerrechtliche Politisierung von Datenschutzthemen ab Ende der 1970er: Verrechtlichung und Institutionalisierung des Datenschutzes, mit dem rechtlichen Höhepunkt 1983 „Volkszählungsurteil“: Recht auf informationelle Selbstbestimmung als Grundrecht. Ab Mitte der 70er Einrichtung öffentlicher Datenschutzbeauftragter. (vorläufiger Höhepunkt 2003/11: Europaweite Vereinheitlichung des DS-Rechts durch Inkraftsetzen der EU-Richtlinie.) ab Mitte der 1990er: Technisierung des Datenschutzes: „Privacy-Enhancing-Technologies“ (PET): „Datenschutz (nicht wie bislang gegen sondern) durch Inanspruchnahme von Technik implementieren“. ab 2000: Ökonomisierung des Datenschutzes: Datenschutz- Gütesiegel nach dem Motto: „Privacy sells“. ab 2006: Datenschutz als integrierender Bestandteil organisierten Prozessmanagements (im Rahmen von ITIL, CoBIT, BS, ISO27001) DS-Instrument: Prüfung DS-Instrument: Beratung/ Mitentwicklung DS-Instrument: Auditierung

Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modell- projekte Gütesiegel Audit Primäre Adressaten: Öffentl. Verwaltungen Unternehmen Bürger, Kunden, Klienten, Patienten Wirtschaft, Wissenschaft, Verwaltung

Projekte im ULD Ubiquitäres Computing - TAUCIS Identitätsmanagement - Prime und FIDIS Nutzerorientiertes Digital Rights Management - Privacy4DRM Datenschutzanforderungen für die Forschung – PRISE Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Spamingbekämpfung bei Voice-Over-IP – SPIT-AL Verkettungen und Identitätsmanagement SOA-Usecases and Privacy Biodatenbanken Euro-Prise, Datenschutzsiegel für Europa …

Beratung, Prüfung, Auditierung von Hochschulen in S-H

Die Beratung Auslöser für Beratung: Die Universität wird aktiv, typischerweise Verantwortliche aus dem Umfeld der EDV. Erwartungen seitens der Uni an Aufsichtsbehörde: Kompetent aber kostenfrei zu bereits getroffene oder noch anstehende Sicherheitsmaßnahmen sowie grundsätzlich zu RZ-Organisationsparadigmen (SOA, ITIL, CoBIT, ISO-27001) beraten werden. Aufklärung über rechtliche Anforderungen. Typische Fragen: Welche Gesetze gelten? Welche Dokumentationspflichten bestehen? Was ist wie zu protokollieren? Sind wir E-Mail-Provider? Erwartungen seitens der Aufsichtsbehörde an Ratsuchende: Die Empfehlungen werden umgesetzt. Der Dialog wird fortgesetzt, Teilnahme an Schulungen Zunahme der Sensibilität dafür, dass die Kriterien und Maßnahmen für Sicherheit (gem. BSI-Grundschutz) und für Datenschutz nicht deckungsgleich sind.

Die Prüfung Auslöser für Prüfungen: Durch strategische Maßgaben der Hausleitung Von Mitarbeiter oder Betroffenem wird ein DS-Vorfall gemeldet, der vom ULD als Datenschutzverstoß gewertet wird. Darauf folgt in der Regel eine Prüfung vor Ort. Zum (idR angekündigten) Prüfungstermin werden angefordert: Verantwortlicher Leiter der Organisation, Vertreter der Personal-abteilung, Datenschutzbeauftragte, IT-Systemverantwortliche Dokumente in Kopie: Bestellungsurkunde der/des Datenschutzbeauftragten (vgl. §10 LDSG) Aufgabenbeschreibung der Systemverantwortlichen Dienstanweisungen, z.B. zur Nutzung der EDV-Systeme oder Internetdienste Verfahrensverzeichnis (vgl. § 7 LDSG) IT-Konzept (vgl. § 4 DSVO), insbesondere Netzplan Sicherheitskonzept (vgl. § 6 DSVO) Test und Freigabe (exemplarisch anhand eines Verfahrens) (vgl. § 7 DSVO) Auszug aus dem IT-Inventarverzeichnis (vgl. § 8 DSVO) Auszug aus dem Berechtigungskonzept der Mitarbeiter/ Systemadministratoren an IT-Geräten, Programmen und Dateien (vgl. § 8 DSVO) Wartungs-/Dienstleistungs-Verträge mit externen Dienstleistern (vgl. § 17 LDSG)

Prüfungsablauf Initiierung: Gemeldeter Vorfall oder Prüfstrategie Prüfungsankündigung (erfolgt in der Regel) Bestandsaufnahme vor Ort Dokumentation der Befunde Bewertung der Befunde, mögliche Bewertungen: Als „In Ordnung“ bestätigen Mangel aussprechen bei Verstößen Beanstandung bei erheblichen Verstößen, zusätzlich ausführliche Darstellung im jährlichen Tätigkeitsbericht sowie möglicherweise Bußgeld (Aufsichtsbereich: bis 250T€ möglich.) Vorschläge für Maßnahmen zur Behebung festgestellter Schwächen, Verstöße und Mängel Nachprüfung

Behörden-Audit in Schleswig-Holstein durch das ULD Auslöser: Die betroffene öffentliche Verwaltung ODER ein Auftraggeber einer betroffenen öffentlichen Verwaltung äußern gegenüber dem ULD den Wunsch, die Datenschutzkonformität vom ULD nach Innen qualitätssichernd und nach Außen hin werbewirksam mit einem Siegel bestätigen zu lassen.

Audit: Unterschied zur Prüfung? Ein Audit ist zunächst wie eine Prüfung angelegt, allerdings mit dem Unterschied, dass beim Audit das ULD an der Behebung der festgestellten Mängel (meist: Dokumentation und Einrichtung von Kontrollverfahren bzw. Datenschutz-managementsystem) mitarbeitet. Die Vergabe des Audit-Zeichens verlangt, dass sich das Niveau in Bezug auf Datensicherheit und technischen Datenschutz wenigsten auf dem Stand der Technik befindet und bei zumindest einem Aspekt Exzellenz hervorgehoben werden kann.

Audit: Bestimmungen, Durchführung Maßgeblich bei der Durchführung sind die Anwendungs-bestimmungen des ULD zur Durchführung eines Datenschutz-Behördenaudits Die Projektmanagement-Methode eines ULD-Audits orientiert sich an PRINCE2 („PRojects IN Controlled Environments“). Stärken von PRINCE2: Produktorientierung, wesentliche Leitfrage: „Was sollen wir liefern?“ (nicht: „Was sollen wir tun?“) Eindeutige und vollständige Zuordnung von Rollen und Verantwortlichkeiten Standardisierte Projekt-Prozesse Kriterien für ein allseits erwatbares Risiko- und Changemanagement Controlling bzgl. des Status des Verfahrens

Audit: Trennung von Berater und Auditor Die Rollen des Beraters und des Auditors sind personell getrennt. Die Aufgabe des Beraters besteht darin, zusammen mit der zu auditierenden Organisation Auditierfähigkeit herzustellen. Der für die Auditierung zuständige Vertreter der Organisation, der Berater aus dem ULD und der Auditor aus dem ULD machen eine gemeinsame Begehung und stellen zusammen, was alles in die Bestandsaufnahme und Bewertung eingehen soll. Der Auditor begutachtet anschließend das vom Berater und Organisation hergestellte Dokument einschließlich Einsichtnahmen vor Ort.

Audit: Organisation und Aufgaben innerhalb eines Auditverfahrens „Programmatischer Wille“ Entscheidungsinstanz Kommunikations- und Beobachtungsinstanz Produktexperten- Instanz

Audit-Ablauf, Doing und Controlling Phase 1 „Vor-Audit“ Vertrags- verhandlung, Festlegung des Audit- Gegenstands Phase 2 „Bestands- aufnahme“ - Technik - Recht - Prozesse - Dokumen- tation Phase 3 „Defizit- Behebung“ - Technik - Recht - Prozesse - Dokumen- tation Phase 4 „Auditierung“ - Technik - Recht - Dokument. - Verträge Phase 5 „Verleihung“ des Audit- siegels Doing LG, Auditor, Berater Berater Berater Auditor Zertifizierungsstelle Übergang 1 „Begehung“ Pressearbeit Übergang 2 „Ist-Soll“ Übergang 3 „Test-Audit“ (letzte Defizit-Behebung) Übergang 4 „Abschluss“ Control Sitzung LG Freigabe des Audit- Starts Sitzung LG Freigabe Defizit- Behebung Sitzung LG Freigabe Auditierung Sitzung LG Feststellung des Projekt- erfolgs t

Die Bewertungsmaßstäbe des ULD für die Beurteilung der Qualität der Datenverarbeitung an Hochschulen

Sieben Goldene Regeln des Datenschutz (Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, in: DuD 2007/05: 350-356) Rechtmäßigkeit Jede DV bedarf einer rechtlichen Grundlage (Gesetz/ Vertrag, betriebl. Regelung oder Einwilligung des Betroffenen) Einwilligung Eine Einwilligung nur wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat. Zweckbindungsprinzip Personen bezogene Daten dürfen nur für erhobenen Zweck verwendet werden Erforderlichkeit Die DV auf den f. i. Erhebungszweck notw. Umfang zu begrenzen Transparenz Erhebung und Verarb. pers.bez.Dat. muss gegenüber Betroffenen transp. sein Datensicherheit DS nur gewährleistet, wenn pers.bez.Dat. sicher verarbeitet werden. Kontrolle Die DV unterliegt einer internen und externen Kontrolle.

Anforderungen an die Dokumentation gemäß Datenschutzverordnung (DSVO-SH) Verfahrensübergreifende Dokumentation Verfahrensdokumentation Verfahrenszweck Geräteverzeichnis Verfahrensbeschreibung Programmverzeichnis Sicherheitskonzept Berechtigungskonzept Test und Freigabe Administrationskonzept

Anforderungen Dokumentation gemäß DSVO, speziell Sicherheitskonzept Die Daten verarbeitende Stelle hat darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden, um §§ 5 und 6 LDSG zu erfüllen. Sicherheitskonzept Berechtigungskonzept (LDSG § 5 Abs. 1, § 6 Abs. 1) (LDSG § 5 Abs. 2, § 5 Abs. 4, DSVO § 6) Protokollierung Kryptokonzept (LDSG § 5 Abs. 3) Datenschutzmanagement (LDSG § 5 Abs. 5)

Sicherheitsmechanismen und –organisation nach Stand der Technik, typische Fragestellungen: Verfügbarkeit: Wie steht es um Redundanz und Zugänglichkeit von IT-Systemen? Integrität: Wie sind die IT-Verfahren eingerichtet um zu gewährleisten, dass Daten und Strukturen in Organisationen nicht unkontrollierbar verändert werden können? Vertraulichkeit: Wie ist das Zuordnungsmanagement gelöst, dass nur berechtigte Mitarbeiter personenbezogene Daten einsehen und bearbeiten dürfen? Authentisierungen: Wie werden Logins/Passworte, Chipkarten und biometrische Eigenschaften verwaltet (vermessen, ausgegeben, gelöscht)? Authorisierung: Wie werden die Zugriffsrechte auf Programme und Daten auf den relevanten Personenkreis verwaltet (festgelegt, umgesetzt, eingeschränkt, kontrolliert)? Wie werden Sicherheits- und Datenschutzvorfälle erkannt und verwaltet? Wie ist der Einbezug des Sicherheits- und Datenschutzmanagements in die Revision? Gibt es ein Management-Paradigma für IT-Betrieb, Sicherheit, Datenschutz?

Prozesse eines gemanagten IT-Betriebs (Beispiel ITIL)

Reifegradmodell für Prozesse Ebene 1: Ausgangszustand (Initial) Chaotisch, eher Projekte als Prozesse; Input und Ergebnis sind nicht definiert, Abläufe wiederholen sich nur selten. Ebene 2: Reproduzierbar (Managed) Auf Ebene der kleinsten Organisationseinheiten sind Prozesse organisiert; Input und Ergebnis sind weitgehend definiert. Ebene 3: Standardisiert (Standardised) Arbeitsschritte und Teilprozesse laufen wiederholbar ab, Prozesse sind dokumentiert. Ebene 4: Vorhersehbar (Predictable) Es existieren für Arbeitsschritte und Teilprozesse Qualitätskriterien, so genannte Key Performance Indikatoren (KPI). Ebene 5: Optimiert (Optimised) Der Prozess wird unter Auswertung der KPI beständig optimiert.

Aufbau des Prozess Reifegradmodells

Unterstützungsprozesse ISMS (Information-Security-Managementsystem, an BSI- bzw. ISO-27001-orientiert) Kernprozess: Erstellung und Pflege von Sicherheitskonzepten in Bezug auf Gewährleistung von Sicherheitszielen (Kriterien: Integrität, Vertraulichkeit, Verfügbarkeit, zyklischer Prozess: „Plan Do Check Act“ (nach Deming)) Schutzbedarfsfeststellung / Modellierung von Prozessen Unterstützungsprozesse IT-Sicherheitsvorfallmanagement (Strukturelement: IT-Sicherheitsvorfallmanagement-Team) Notfall-Vorsorge und Notfall-Management Entwicklung/ Pflege Notfall-Managementhandbuch IT-Revision: Interne und externe Auditierung des ISMS …

Datenschutzmanagementsystems (DSMS) Installieren und Identifizieren von Prüfpunkten, um die Rechtmäßigkeit der Datenverarbeitung gemäß LDSG und DSVO kontrollieren zu können. Ein Kontrollkonzept enthält typischerweise Regeln zur… Durchführen von regelmäßigen Kontrollen Durchführen von anlaßbezogenen Kontrollen Kontrolle des Berichtwesens Beauftragung von (externen) Prüfungen und Audits Beteiligung an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung und Fortschreibung von Sicherheitskonzepten. Für Datenschutz-Awareness durch Schulungen von Mitarbeitern sorgen. In Kommunikation mit der Aufsichtsbehörde stehen.

Befunde nach Beratungen, Prüfungen und einem laufenden Audit an Hochschulen in S-H

Fazit: Hochschulleitungen haben ein Governance-Problem! Befunde in Bezug auf Technik-Know-how, Datenschutz-Sensibilität, Rechtskenntnisse Vor Ort sind überwiegend technisch-funktional fähige Systemadministratoren anzutreffen. Durchgängig findet man ein durchaus glaubwürdiges Bekunden von Sensibilität für Sicherheit und Datenschutz auf der Hochschul- als auch der IT- bzw. RZ-Leitungs-Ebene. Durchgängig weitgehende Unkenntnisse geltender Rechtsvorschriften sowie von IT-Sicherheit und Datenschutz-Knowhow auf der Ebene von Fakultäts-, Instituts- oder Fachbereichs-VertreterInnen. Unter dem Label „Freiheit für Forschung und Lehre“ segelnd lässt sich regelrecht ein Bemühen um die Ausbildung unbeobachtbarer Räume an Hochschulen feststellen, selbst wenn Mechanismen des Finanzcontrollings etabliert sind. Fazit: Hochschulleitungen haben ein Governance-Problem!

Datenschutzbeauftragte Die Datenschutzbeauftragten waren in der Regel… mit geringem Zeitkontingent ausgestattet (5-50%) und selbst nach frisch genossenen Fortbildungen mit nur geringen technischen Kenntnissen gesegnet, verfügten über keine nachhaltigen operativ umsetzbaren Strategien mit Gestaltungsanspruch, somit verbleibt ihnen nur eine anlaßbezogene Aktivitätsentfaltung im Modus akuter Brandbekämpfung.

Befunde bzgl. Dokumentation von Organisation und Verfahren Keine aktuellen gültigen Organigramme von der HS-Struktur Keine aktuellen gültigen Geschäftsverteilungspläne Keine zutreffenden Tätigkeitsbeschreibungen insbesondere für die Systemadministration Rudimentäre Verfahrensverzeichnisse Keine System- und Verfahrensbeschreibungen im Rahmen eines übergreifenden, allgemeinen „IT-Konzepts“ Rudimentäre Netzwerkpläne, wenn vorhanden dann methodisch unreflektiert. Keine quantitativ oder qualitativ ausreichenden Sicherheitskonzept-Dokumentationen von Verfahren Zwar waren Testsysteme vorhanden, aber keine Dokumentation von Tests

Befunde bzgl. Dokumentation von Organisation und Verfahren Mit Bezug zur EDV-Nutzung gibt es in der Regel Nutzungs-anweisungen für Studierende, aber nur ausnahmsweise und unsystematisch Dienstanweisungen für SachbearbeiterInnen oder SystemadministratorInnen. Wie Zugriffsrechte der Uni-Leitung, des akademischen und Verwaltungs-Personals, der Studierenden und der Systemadministratoren verwaltet werden (Einrichtung, Unterweisung, Löschung), konnte nicht prüffähig dargestellt werden Keine dokumentiert geregelte Verfahren, wie Änderungen von Prüfungsordnungen in der IT tatsächlich umgesetzt und getestet werden. Keine beweissichere oder revisionsfeste (automatisierte) Protokollierung der Tätigkeiten der Systemadministration. Verträge mit externen IT-Dienstleistern (Hardware) oder Software (insbesondere der HIS) konnten nur rudimentär vorgelegt werden und waren dann von fragwürdiger Qualität.

Befund Prozessmanagement Keinerlei Kenntnisse - weder bei Administratoren noch bei Leitung, Verwaltung geschweige denn dem akademischen Personal - in Bezug auf methodischen Managementleitlinien für IT-Betrieb (a la ITIL, COBIT, ISO27001 oder BS, Datenschutzverordnung).

Grundsätzliche Mindest-Anforderungen an ein Datenschutzmanagementsystem einer Hochschule Ausweis von Prüfpunkten zur Nachweisbarkeit bzw. zur Kontrolle der Rechtmäßigkeit der Datenverarbeitung, Durchführung von Kontrollen des Berichtwesens durch DSB, Beauftragung von Prüfungen und Durchführen von anlaß- oder regelmäßigen Kontrollen sowie interner Audits durch DSB, Beteiligung des DSB an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung/ Fortschreibung von Sicherheitskonzepten, Erreichen von Datenschutz-Awareness in der Organisation durch Schulungen. (Besondere Aufmerksamkeit sollte der Schulung von Lehrstuhlinhabern gelten, um mit diesen gemeinsam die rechtlichen Grenzen der Freiheit von Forschung und Lehre besser bestimmbar zu machen.) Kommunikation mit der Aufsichtsbehörde.

Wie anfangen? Mehr Ressourcen für Datenschutz einfordern Die gibt es aber nur, wenn die Datenschützerin oder der Datenschützer etwas sichtbar Funktionales zu bieten hat. Zumindest sollte sie/er tatsächlich ein wesentlicher Compliance-Wächter für eine Hochschule sein. Der Leitung darlegen: Datenschutz ist zu einem konstruktiven Aspekt des Risk-Managements einer Organisation geworden! Datenschutz heute heisst: Konstruktive Beteiligung am Kommunikationsmanagement nach Innen und Außen.

Wie anfangen? Bündnispartner mit Interessensschnittmenge suchen Personalrat: Mitarbeiterdatenschutz Mit Studierendenvertretern sprechen Kontakt zum RZ-Sicherheitsbeauftragten aufbauen BSI-Grundschutz ist Minimum für RZ-Sicherheits-Design, das bietet Strukturierung, an die man anknüpfen kann. Mit der IT eine Dokumentationstrategie vereinbaren, Verzeichnisse anlegen und dann pragmatisch ANFANGEN! Win-Win-Situationen herstellen und z.B. die „Protokollierung“ von Prozessen thematisieren: Wie erzeugt unsere Organisation eigentlich Transparenz in der IT? Das interessiert Alle. Konkret: Auf die IT (auch: HIS) zugehen und sich darlegen lassen, was wie wo protokolliert wird, unter welchen Umständen wer warum und wie diese Daten auswertet und wie grundsätzlich mit möglicherweise festgestellten Sicherheitsvorfällen dann umgegangen wird. Dazu bedarf es keines eigenen Technik-Know-hows. Selber als Projektmanager agieren und sich mit einer Projektmanagementmethode vertraut machen (z.B. PRINCE2)

Fazit Die wesentlichen Prozesse gemäß ITIL sind im Bereich der Verwaltungs-IT an den Hochschulen noch nicht als solche gegeneinander separiert und hochauflösend konzipiert. Der Reifegrad dieser Prozesse bzw. des IT-Managements an den Hochschulen befindet sich bestenfalls auf Stufe 2. Das heisst: Es gibt „irgendwie laufende“ Prozesse, die wenig bis gar nicht dokumentiert und somit, aus der Perspektive der Organisations-steuerung, intransparent sind. Intransparenz wiederum bedeutet: Es ist kein hinreichend revisionssicherer oder beweisfester Nachweis der Rechtmäßigkeit des Verwaltungshandelns möglich (obwohl dieser operativ besser denn je möglich wäre). Keine prüffähe Transparenz der technisch-funktionalen Prozesse derzeit. (Und das bedeutet abgeleitet auch: Keine hinreichend präzisen Wirtschaftlichkeits- Berechnungen von Prozessen oder Verfahren möglich.)

E-Mail: LD32@datenschutzzentrum.de ULD - Martin Rost E-Mail: LD32@datenschutzzentrum.de Telefon: 0431 988 1391 ULD: Holstenstr. 98, 24103 Kiel