X. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

Der Landesbeauftragte hat in seinem IX. Tätigkeitsbericht (Nr. 4.4) über die seit Jahren andauernden Bemühungen zur Erarbeitung einer IT-Sicherheitsstrategie für das Land berichtet.

Mit dem Beschluss der Landesregierung über die IT-Strategie des Landes Sachsen-Anhalt vom 29. Juli 2008 (MBl. LSA S. 619) wurden Festlegungen getroffen, welche die Belange des Datenschutzes und der Datensicherheit berücksichtigen. Eine Landesleitlinie Informationssicherheit (LL IS) soll demnach die Grundlage für die Etablierung einer IT-Sicherheitsorganisation in den Ressorts bilden. Im damaligen Beschluss zur IT-Strategie wurde noch von "IT-Sicherheit" gesprochen, für die Landesleitlinie soll aber die Informationssicherheit bei allen Verwaltungsprozessen und Fachaufgaben berücksichtigt werden. Vorgesehen war als mittelfristige Maßnahme der IT-Strategie, den Datenschutz - als Bestandteil des IT-Managements - in die LL IS zu integrieren, um damit bei der Modernisierung der Verwaltung die Beachtung des informationellen Selbstbestimmungsrechts und des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sicherzustellen.

Der Datenschutz muss dabei als integraler Bestandteil dieses IT-Managementprozesses verstanden werden. Durch eine rechtzeitige Einbeziehung des Landesbeauftragten bei grundlegenden Planungen des Landes zum Aufbau oder zur Änderung automatisierter Verfahren bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, die Unterrichtung bei automatisierten Abrufverfahren und bei Auftragsdatenverarbeitung durch Dritte, die Durchführung einer Vorabkontrolle für bestimmte automatisierte Verfahren durch die behördlichen Beauftragten für den Datenschutz, sowie die Führung von Verfahrensverzeichnissen, so die Festlegungen im Beschluss zur IT-Strategie, soll den Belangen des Datenschutzes und der Datensicherheit im Rahmen der IT-Managementprozesse entsprochen werden.

Der Landesbeauftragte hatte Gelegenheit, zu einem 1. Entwurf der LL IS der Staatskanzlei im März 2010 Stellung zu nehmen. Seine Empfehlungen, insbesondere zur Aufnahme datenschutzspezifischer Schutzziele wie Authentizität, Revisionssicherheit und Transparenz in die LL IS, wurden berücksichtigt. Er hat sich aktiv an der weiteren Ausarbeitung, in der vom IT-Koordinierungsausschuss mit Beschluss vom 25. Oktober 2010 eingesetzten Arbeitsgruppe "Informationssicherheit" unter Leitung der Staatskanzlei, beteiligt. Mit Fertigstellung der LL IS sollte die Beschlussfassung der Landesregierung zum Aufbau eines Informationssicherheitsmanagements im Land vorbereitet werden.

Kritisch ist anzumerken, dass es beim Entwurfsstand dieser Landesleitlinie Informationssicherheit vom Februar 2011 vorerst geblieben ist, denn eine abschließende Sitzung der Arbeitsgruppe wurde im April 2011 kurzfristig abgesagt.

Der Landesbeauftragte hofft, dass nach dem Wechsel der Zuständigkeit für die IT-Strategie von der Staatskanzlei zum Ministerium für Finanzen zu Beginn der 6. Wahlperiode, auf Grund der Regierungsneubildung, die Erarbeitung der LL IS schnell zum Abschluss gebracht werden wird.

Inwieweit die nunmehr bereits drei Jahre alte IT-Strategie des Landes Sachsen-Anhalt unter den neuen Bedingungen der Zusammenarbeit vom Bund und Ländern im Rahmen des IT-Staatsvertrages und dem Aufbau eines Verbindungsnetzes durch den Bund (s. Nr. 1.3.1) einer Überarbeitung bzw. Fortschreibung bedarf, sollte ebenfalls vom jetzt zuständigen Finanzministerium überprüft werden. Der Landesbeauftragte geht davon aus, dass er rechtzeitig unterrichtet und beteiligt wird, wenn es dabei um die Lösung datenschutzrechtlicher Probleme geht.