X. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

In seinem IX. Tätigkeitsbericht (Nr. 4.2) hatte der Landesbeauftragte ausführlich von der Umsetzung des grundlegenden Kabinettbeschlusses der damaligen Landesregierung vom 14. November 2006 zur Bildung eines zentralen IT-Dienstleisters, dem Landesrechenzentrum (LRZ), berichtet und sich kritisch damit auseinandergesetzt sowie entsprechende Empfehlungen gegeben.

Wichtiger als die Entscheidung des Kabinetts zur Neuausrichtung der IT-Organisation und der Aufgabenverteilung und -abgrenzung zwischen der Staatskanzlei (IT-Strategie) und dem Ministerium des Innern (E-Government, Betrieb des Landesnetzes - ITN-LSA) war die zweite Entscheidung, nämlich der Auftrag an das Ministerium der Finanzen zur IT-Konsolidierung der Landesverwaltung und zum gleichzeitigen Aufbau des LRZ, unter datenschutzrechtlichen Gesichtspunkten, insbesondere in ihrer zukünftigen Auswirkung auf alle Ressorts des Landes Sachsen-Anhalt.

Der Landesbeauftragte hatte bereits im Mai 2009 im Rahmen des Workshops der Oberfinanzdirektion Magdeburg (OFD) bei der Vorstellung des Entwurfs einer Kabinettvorlage zum Geschäftsmodell "Landesrechenzentrum", als den zukünftigen zentralen IT-Dienstleister des Landes, zum Thema Migration der IT-Querschnittsdienste/Übernahme von Fachverfahren auf die bestehenden restriktiven datenschutzrechtlichen Bestimmungen hingewiesen und eine diesbezügliche Berücksichtigung im Entwurf der Kabinettvorlage gefordert. Er hatte zugleich seine Unterstützung für die Begleitung dieses Migrationsprozesses angeboten. Eine weitere Information oder Beteiligung des Landesbeauftragten erfolgte allerdings nicht. Erst Ende August 2009 erreichte den Landesbeauftragten per E-Mail der Entwurf der Kabinettvorlage zum Geschäftsmodell für das LRZ.

Im Hinblick auf eine rechtzeitige Unterrichtungspflicht des Landesbeauftragten nach § 14 Abs. 1 Satz 2 DSG-LSA war das nicht akzeptabel. Nach Intervention des Landesbeauftragten beim Ministerium der Finanzen wurde ihm die Kabinettvorlage im November 2009 zur Verfügung gestellt. Den dazugehörigen Kabinettbeschluss erhielt der Landesbeauftragte aber nur "auszugsweise".

In Zeiten des propagierten "Open Government/Open Data" (vgl. Nr.1.3.4) hält der Landesbeauftragte diese Verfahrensweise der Landesregierung mittlerweile für anachronistisch, zumal er hier nicht aus reiner Neugier, sondern im Rahmen seines gesetzlichen Beratungsauftrages als Kontrollbehörde tätig wurde und damit seine unabhängige Amtsführung beeinträchtigt wird. Zeugt sie doch von einer gewissen Ignoranz in Bezug auf die Verpflichtung aller öffentlichen Stellen zur Unterstützung ihm gegenüber (§ 23 Abs. 1 DSG-LSA).

Unter diesem Gesichtspunkt wäre, im Hinblick auf die Unterrichtungspflicht aus § 14 Abs. 1 Satz 2 DSG-LSA, eine Anpassung der bisherigen Regelung im Abschnitt VI der Gemeinsamen Geschäftsordnung der Ministerien - Allgemeiner Teil (Zusammenarbeit der Ministerien, Beteiligung, §§ 37, 38, 40 GGO LSA I) zur besseren Beteiligung des Landesbeauftragten mit Beginn der 6. Wahlperiode durch die neue Landesregierung wünschenswert. So wie in einer Kabinettvorlage ein "Gleichstellungspolitischer Bericht" enthalten sein muss (§ 38 GGO LSA I), könnten zukünftig in einem "Datenschutz-Bericht" etwaige Belange des Datenschutzes dargestellt werden.

Die Unterrichtung des Landesbeauftragten ist an keine Form gebunden. Im einfachsten Fall reicht also zur Erfüllung dieser Pflicht eine rechtzeitige Übersendung von Planungsunterlagen, u. a. auch von Entwürfen von Kabinettvorlagen, unter Hinweis auf eine Unterrichtung nach § 14 Abs. 1 Satz 2 DSG-LSA aus. Sie verursacht damit, im Gegensatz zu der dem Landesbeauftragten gegenüber oft geäußerten Meinung eines damit verbundenen "erheblichen zusätzlichen Aufwandes", diesen eben nicht, sondern unterstützt seine gesetzliche Aufgabe, bereits im Planungsstadium bei Vorhaben der Landesregierung einen vorgezogenen Grundrechtsschutz zu gewährleisten. Zu diesen Vorhaben gehören zweifellos die IT-Konsolidierung der Landesverwaltung und der Aufbau des LRZ.

Mit der gegenwärtigen formalen Festlegung in § 40 GGO LSA I, den Landesbeauftragten nur zu beteiligen, soweit personenbezogene Daten verarbeitet werden, steht die Landesregierung selbst im Widerspruch zu Grundsätzen und Zielen in ihrer eigenen IT-Strategie, in der den Belangen des Datenschutzes und der Datensicherheit im Rahmen des IT-Managementprozesses durch rechtzeitige Einbeziehung des Landesbeauftragten bei grundlegenden Planungen des Landes zum Aufbau oder zur Änderung automatisierter Verfahren bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten entsprochen werden soll. Einem solchen IT-Managementprozess gehen bekanntermaßen Grundsatzentscheidungen in Form von Kabinettbeschlüssen voraus.

Der Kabinettbeschluss vom 1. September 2009 bestätigte die Vorlage des Ministeriums der Finanzen zum Geschäftsmodell des LRZ. Die darin u. a. aufgeführten mittelfristig nur noch durch das LRZ bereitzustellenden IT-Querschnittsdienste für über 300 Behörden innerhalb der Landesverwaltung

• zentraler User Help Desk (UHD), Benutzerbetreuung,
• zentrale Softwareverteilung,
• Terminal-Server-Technik,
• Virtualisierung (Server und Anwendungen),
• SAP-Kompetenz-Center,
• zentrale Datenspeicherung und -archivierung,
• Betrieb E-Mail-Infrastruktur/zentraler Verzeichnisdienst und
• Druck

lassen erkennen, dass die damit im Zusammenhang stehenden datenschutzrechtlichen Fragen nach wie vor der Erörterung und Beachtung bedürfen. Das ist u. a. bei den Themen Auftragsdatenverarbeitung (§ 8 DSG-LSA), Wartung von Datenverarbeitungsanlagen oder -verfahren durch externe Dritte (§ 8 Abs. 7 DSG-LSA) sowie automatisierte Abrufverfahren (§ 7 DSG-LSA) in Verbindung mit der Vorabkontrolle bei automatisierten Verfahren (§ 14 Abs. 2 DSG-LSA) der Fall. Dem Datenschutz wurde in der Kabinettvorlage selbst kein und in der 37-seitigen Anlage A (Geschäftsmodell des LRZ) ein ganzer Satz gewidmet: "Die bei den einzelnen Querschnitts- und Fachverfahren bestehenden datenschutzrechtlichen Bestimmungen und Regelungen werden bei der Übernahme der einzelnen Verfahren berücksichtigt bzw. eingehalten."

Das LRZ wurde aus dem Finanzrechenzentrum (FRZ) der OFD und dem ehemaligen Landesinformationszentrum (LIZ) in Halle als Abteilung 4 der OFD gebildet. Mit dem 1. September 2009 erfolgte gleichzeitig die Gründung des LRZ in dieser neuen Struktur. Die Zusammenführung des LIZ als LHO-Betrieb mit dem FRZ zum LRZ mit Hauptsitz in Halle (Saale) und einer Nebenstelle in Magdeburg erfolgte am 1. Januar 2010.

Der Projektbeirat, der vom Aufbaustab der sogenannten Stabsstelle "Konsolidierung des IT-Betriebes" eingerichtet wurde, begleitete den IT-Konsolidierungsprozess beratend. Der Landesbeauftragte war Mitglied dieses Projektbeirates. In der 6. und letzten Sitzung des Projektbeirates im Mai 2010 wurde seiner Auflösung zugestimmt. Die Grundsatzentscheidung bezüglich der strukturellen Anbindung des LRZ in Form einer Verwaltungslösung an die OFD (Behördenmodell anstelle einer Anstalt des öffentlichen Rechts) machte diesen Projektbeirat quasi überflüssig.

Die Landesregierung hatte in ihrer Stellungnahme zum IX. Tätigkeitsbericht des Landesbeauftragten (LT-Drs. 5/2385) sehr knapp darauf verwiesen, dass der Aufbau des zentralen IT-Dienstleisters entsprechend dem Kabinettsbeschluss vom 14. November 2006 durch das Ministerium der Finanzen erfolgt. Inhaltlich wurde auf die Empfehlungen des Landesbeauftragten nicht eingegangen. "Bei der technischen und organisatorischen Umsetzung durch das MF bzw. das LRZ wird auf die datenschutzkonforme Einrichtung und Übernahme der IT-Querschnittsdienste geachtet.", so die damalige Antwort der Landesregierung.

Die praktische Umsetzung der Migration der zentralisierbaren IT-Querschnittsdienste zum LRZ als ein wesentlicher Schritt zur IT-Konsolidierung innerhalb der Landesverwaltung hat das Ministerium der Finanzen für seinen Geschäftsbereich selbst als Pilotprojekt am 6. April 2010 abgeschlossen. Gleichzeitig nahm der zentrale User Help Desk im LRZ seinen Betrieb zur Nutzerbetreuung der migrierten Dienststellen auf.

Die dem Landesbeauftragten im Mai 2010 vom Ministerium der Finanzen angekündigte Kabinettvorlage zur Migration weiterer Ressorts liegt bisher nicht vor. Er soll aber bei der nächsten Ressort-Migration zur Bestandsaufnahme eingeladen und beteiligt werden. Der Vorteil des derzeitigen Migrationskonzepts je Behörde, welches eine Ist-Analyse, eine Konzepterstellung zur Ablösung der IT-Querschnittsdienste und danach die Übernahme dieser IT-Querschnittsdienste von der jeweiligen Behörde durch das LRZ vorsieht, liegt in der damit nur einmal notwendigen Befassung mit einer Behörde.

Eine grundsätzliche Entscheidung zum Betrieb des zukünftigen Landesnetzes (ITN XT - "eXTended"), anstelle des bisherigen Betriebes des Landesnetzes (ITN-LSA) durch das Technische Polizeiamt, steht immer noch aus und wurde auch in der damaligen Kabinettvorlage zum Geschäftsmodell des LRZ bislang von einer Übernahme durch das LRZ ausgenommen.

Mit dem "Gesetz über die Verbindung der informationstechnischen Netze des Bundes und der Länder - Gesetz zur Ausführung von Artikel 91c Absatz 4 des Grundgesetzes - vom 10. August 2009 (BGBl. I S. 2706) - IT-NetzG" errichtet der Bund (gemäß § 1 IT-NetzG) zur Verbindung der informationstechnischen Netze des Bundes und der Länder ein Verbindungsnetz. Das IT-NetzG wurde als Art. 4 des Gesetzes vom 10. August 2009 (BGBl. I S. 2702) vom Bundestag mit Zustimmung des Bundesrates beschlossen. Gemäß § 3 IT-NetzG erfolgt der Datenaustausch zwischen dem Bund und den Ländern über dieses Verbindungsnetz. § 3 des IT-NetzG tritt gem. Art. 13 Abs. 3 des Artikelgesetzes allerdings erst am 1. Januar 2015 in Kraft.

Hier bleibt abzuwarten, welche Entscheidungen das Ministerium der Finanzen als nunmehr zuständiges Ressort für die IT-Strategie und als Vertreter des Landes Sachsen-Anhalt im IT-PLR treffen wird. Nach fünf Jahren erfolgt nach der Aufteilung der Verantwortlichkeiten für die IT-Strategie, das E-Government und den zentralen IT-Dienstleister auf verschiedene Ressorts (s. VIII. Tätigkeitsbericht, Nr. 4.1) nunmehr mit Beginn der 6. Wahlperiode die Bündelung dieser Verantwortlichkeiten in einem Ressort, dem Ministerium der Finanzen. Damit verfügt das Land Sachsen-Anhalt nun erstmalig auch über einen "IT-Beauftragten der Landesregierung", dessen Aufgaben ein Staatssekretär im Ministerium der Finanzen zukünftig im Sinne eines CIO wahrnehmen wird.

Die Staatskanzlei hat sich beim Landesbeauftragten im Mai 2011 für die vertrauensvolle Zusammenarbeit im Ständigen Staatssekretärsausschuss "Informationstechnologie" zur Vorbereitung der bisherigen vier Sitzungen des IT-PLR bedankt. Der Landesbeauftragte setzt nach der Konzentration der Zuständigkeiten im Ministerium der Finanzen für die IT-Strategie, das E-Government und das LRZ auf eine ebenso vertrauensvolle wie effektive Zusammenarbeit. Seine frühzeitige Einbeziehung etwa im Rahmen der Entwicklung eines zentralen Personalmanagementsystems (PROMIS) lässt trotz noch zu lösender datenschutzrechtlicher und -technischer Fragestellungen (s. Nr. 18.2) auf eine gute Zusammenarbeit hoffen.

Zu einem der zukünftig zu behandelnden Themen gehört z. B. die Aufgabenstellung für das LRZ auf Basis des Beschlusses des IT-Koordinierungsausschusses vom 5. April 2011 zur zentralen Identitäts- und Zugriffsverwaltung der Landesverwaltung (IAM - Identity and Access Management). Das Ministerium der Finanzen wird durch diesen Beschluss aufgefordert, das LRZ mit der Ausschreibung auf der Basis der Arbeitsgruppe IT-Architektur der Landesleitstelle IT-Strategie der Staatskanzlei zu beauftragen. An den Ergebnissen der Arbeitsgruppe war auch der Landesbeauftragte als Mitglied beteiligt. Datenschutzrechtliche Belange sollten bereits bei der Ausschreibung durch das LRZ berücksichtigt werden (s. IX. Tätigkeitsbericht, Nr. 4.3).