V. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.1999 - 31.03.2001
6.4 Projekt TESTA Deutschland
Der Landesbeauftragte hatte erstmalig in seinem IV. Tätigkeitsbericht (vgl. S. 23 f) über dieses europäische Projekt, an dem sich auch das Land Sachsen-Anhalt unter dem Begriff „TESTA Deutschland” seit Dezember 1999 beteiligt, berichtet. Das Land ist dem Rahmenvertrag im Januar 2000 beigetreten. Ziel dieses ehrgeizigen Projektes ist die Realisierung einer einheitlichen Kommunikationsplattform für den Datenaustausch
- zwischen den Bundesländern, den obersten Bundesbehörden und den Bundeseinrichtungen,
- der Bundesländer mit dem Bundesrat und dem Bund,
- der Bundesländer zu ihren Landesvertretungen in Brüssel, sowie
- zukünftig zu den EU-Mitgliedstaaten und der EU und auch
- mit und zwischen kommunalen Einrichtungen.
Hierzu erfolgt für das jeweilige Landesverwaltungsnetz (hier das ITN-LSA) der Anschluß an TESTA Deutschland über einen Lokationszugang.
Bereits im September 2000 verfügten alle 16 Bundesländer über entsprechende Lokationzugänge (mit Bandbreiten zwischen 64 bis 256 kBit/s). Auch die obersten Bundesbehörden über den IVBB sowie weitere Bundeseinrichtungen, wie das Statistische Bundesamt, das Bundesamt für Finanzen, das Zentrale Staatsanwaltschaftliche Verfahrensregister beim Generalbundesanwalt, das Rechenzentrum für die Finanzverwaltung der Oberfinanzdirektionen der Bundesländer sowie das Kraftfahrtbundesamt, Dienstleister wie die juris GmbH, das FISCUS TESTA-Subnetz, das Netz des Verbandes der Rentenversicherer und auch Kommunen verfügen über eine Kommunikationsverbindung zu TESTA Deutschland.
Bereits die Aufzählung der bisher Beteiligten läßt leicht erkennen, daß in diesem Projekt Sicherheitskriterien wie Verfügbarkeit, Integrität und natürlich die Vertraulichkeit des Datenaustausches eine wesentliche Rolle spielen.
Nach den Informationen, die dem Landesbeauftragten durch Recherchen im Intranet des Landes zur Verfügung stehen, sind durch das IP-Konzept und die Leitungsverschlüsselung in TESTA-Deutschland bereits Sicherheitsmaßnahmen durch den Netzprovider, d.h. die Deutsche Telekom AG und durch die beteiligten Nutzer getroffen worden, die vom Landesbeauftragten begrüßt werden. Hierzu gehören die Umsetzung von Maßnahmen wie:
- kein Zugang zum Internet über TESTA Deutschland,
- Routing nicht öffentlicher IP-Adressen in TESTA Deutschland,
- Network-Adress-Translation (NAT) am Local Domain-Zugang beim Nutzer,
- Leitungsverschlüsselung zwischen den Lokationsstandorten durch Installation von Krypto-Boxen zwischen der Nutzer- und Providerschnittstelle am Standort des Nutzers.
Eine offizielle Information über den bisher erreichten Sicherheitsstandard des Anschlusses des Landesverwaltungsnetzes an TESTA Deutschland und weitere Vorhaben hat den Landesbeauftragten allerdings vom zuständigen Ministerium des Innern noch nicht erreicht. Die gesetzliche Verpflichtung dazu besteht auch hier nach § 22 Abs. 4 Satz 2 DSG-LSA.
Viele Problembereiche sind noch ungelöst. Der Landesbeauftragte hält z.B. die derzeitige Realisierungsform der Nutzerschnittstelle nur über einen Nutzer-Router mit NAT trotz dazwischengeschalteter Krypto-Box und der Übertragung der nicht öffentlichen 192er IP-Adresse vom Router des Netzproviders zukünftig für nicht ausreichend. Die nicht öffentlichen 192er IP-Adressen sind zwar im Internet nicht routbar. Wie aber die Deutsche Telekom AG als Netzprovider dem Mißbrauch innerhalb des bundesweiten Intranets TESTA Deutschland begegnet, wurde dem Landesbeauftragten noch nicht erläutert.
Deshalb sollte das Ministerium des Innern die jetzige Anbindung an TESTA Deutschland im Rahmen der Untersuchungen zum Sicherheitskonzept des ITN-LSA, als Übergang in ein Fremdnetz, mit in die Untersuchungen einbeziehen. Der Landesbeauftragte hält als Nutzerschnittstelle den Einsatz eines Proxy-Servers oder einer weiteren Firewall für erforderlich. Er geht davon aus, daß er über den Fortgang der Untersuchungen und deren Ergebnis zeitnah unterrichtet wird.
Mit dem Einsatz von TESTA kommen aber auf die öffentlichen Stellen des Landes auch materielle datenschutzrechtliche Probleme zu. Das vom Deutschen Bundestag am 15.02.2001 verabschiedete Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) bildet dabei nur den Anfang.
Neben dem SigG wird der Bundesgesetzgeber in naher Zukunft im Privatrecht neue Formvorschriften zur Erleichterung des elektronischen Rechts- und Geschäftsverkehrs hinsichtlich der elektronischen Unterschrift als Substitut der eigenhändigen Unterschrift und die elektronische Form als Option zur Schriftform sowie hinsichtlich der Vereinfachung des Rechtsverkehrs durch die Zulassung einer Textform für unterschriftslose Erklärungen einführen. Vorgesehen sind
Änderungen im BGB (z.B. Einfügung der §§ 126a u. 126b) und der ZPO (z.B. §§ 130a, 292a, 299a) sowie weiterer 31 Gesetze und Verordnungen (vgl. BT-Drs. 14/4987).