Deutscher Bundestag – 17. Wahlperiode
63 –
–
–– 63
Verfügung stehenden Zeit – im Ergebnis nur kleinteilige
Änderungen diskutiert und wirklich grundsätzliche Fragen nicht angegangen werden. Immerhin wird die am
Ende abzuliefernde Machbarkeitsstudie alle eingegangenen Vorschläge beinhalten, und nicht nur die, die tatsächlich betrachtet worden sind. Es besteht also noch Hoffnung, dass sich die Bundesregierung als Empfänger der
Studie entschließt, grundsätzliche Probleme anzugehen,
die im Projekt OMS noch keine Berücksichtigung gefunden haben.
K a s t e n z u N r. 4 . 2 . 3
P23R ist ein vom BMI initiiertes E-Government-Forschungsprojekt. Das P23R-Prinzip umfasst Grundlagen
und Methoden, die den Datenaustausch zwischen Wirtschaft und Verwaltung einfacher, sicherer und transparenter gestalten sollen. Es spezifiziert ein Infrastrukturkonzept, auf dessen Grundlage Unternehmen ihre
gesetzlichen Informations- und Meldepflichten in einer
abgesicherten Umgebung effizient erfüllen können.
4.3
IT-Konsolidierung
Der IT-Betrieb fast aller Geschäftsbereichsbehörden des
BMI soll unter der fachlichen Gesamtverantwortung der
Bundesstelle für Informationstechnik (BIT) beim Bundesverwaltungsamt zusammengefasst werden.
Die BIT soll – neben der IT im Bundesverwaltungsamt –
ab Ende 2012 an den beiden Standorten Köln und Wiesbaden schrittweise IT-Dienstleister werden für
– das Bundesamt für Bevölkerungsschutz und
Katastrophenhilfe,
– das Statistisches Bundesamt,
– das Bundesinstitut für Sportwissenschaft,
– das Bundesinstitut für Bevölkerungsforschung,
– das Bundesamt für Migration und Flüchtlinge,
– das Beschaffungsamt des Bundesministeriums des
Innern,
– die Fachhochschule des Bundes für öffentliche
Verwaltung,
– die Bundesakademie für öffentliche Verwaltung,
– die Bundeszentrale für politische Bildung,
– die Bundesanstalt Technisches Hilfswerk,
– das Bundesamt für Kartographie und Geodäsie und
– das Bundesamt für Sicherheit in der
Informationstechnik.
Die IT der Sicherheitsbehörden des BMI sollen erst danach konsolidiert werden.
Planungen zur Bündelung der Informationstechnik im
Geschäftsbereich des BMI existieren bereits seit einigen
Jahren. Auch in den Geschäftsbereichen des BMF oder
Drucksache 17/13000
des BMVBS bestehen Dienstleistungszentren mit ähnlichen Zielen.
Die jetzt geplante Zusammenfassung der IT des BMI-Geschäftsbereichs im Bundesverwaltungsamt habe ich von
Anfang an beratend begleitet. Als erster Schritt ist die
Übernahme der IT des Statistischen Bundesamts (StBA)
Anfang 2013 vorgesehen.
Bei der Übernahme der IT durch die BIT handelt es sich
um Auftragsdatenverarbeitung nach § 11 BDSG. Daher
müssen zuvor nicht nur die technisch-organisatorischen
Maßnahmen nach § 9 BDSG, sondern auch die Vorgaben
des § 11 BDSG vollständig umgesetzt sein (vgl. Kasten
zu Nr. 4.3). Folglich genügt beispielsweise die alleinige
Vorgabe der Fachanforderungen mit Schutzbedarfsklassifizierung durch den Auftraggeber bei weitem nicht.
Da das StBA Mitglied im Statistischen-Verbund (Artikel 91c GG, § 3a BStatG) ist, muss der Umgang mit den
entsprechenden Anwendungen noch geklärt werden. Weiter sind die sich aus dem Statistikgeheimnis (§ 16
BStatG) ergebenden Besonderheiten zu beachten. Dies
gilt insbesondere für das Abschottungsgebot durch organisatorische, personelle und räumliche Trennung sowie
eine umfassende Belehrung und Verpflichtung aller Personen, die mit statistischen Daten in Berührung kommen
könnten.
Nach einer Rahmenvereinbarung zwischen dem Hauptpersonalrat und dem BMI vom 19. April 2012 sollen alle
Personen, die überwiegend in der IT beschäftigt sind, in
die BIT wechseln. Dies darf aber nicht dazu führen, dass
die abgebenden Stellen nicht mehr über ausreichendes eigenes IT-Fachwissen verfügen. Nur mit eigenem Sachverstand über die Funktionsweise von IT-Systemen können sie „gleichberechtigt“ beispielsweise Service Level
Agreements verhandeln oder Neuplanungen von IT bedarfsgerecht durchführen. Auch im Hinblick auf die Verpflichtungen der fachlich zuständigen Stellen als Auftraggeber gemäß § 11 BDSG müssen diese in der Lage sein,
die Verfahrensabläufe und die Maßnahmen zur IT-Sicherheit beim BVA zu beurteilen und ggf. entsprechende Weisungen zu erteilen.
Im Rahmen meiner Beratung habe ich ausdrücklich und
mehrfach darauf hingewiesen, dass
– das Gebot der Abschottung nur durch ein hohes
Schutzniveau für die besonders schützenwerten personenbezogenen Daten gewährleistet werden kann,
– für datenschutzrechtliche Kontrollen durch den bDSB
des StBA und durch meine Dienststelle eine umfassende und revisionssichere Protokollierung zu implementieren ist
– und die Empfehlung zur „Mandantenfähigkeit“
(„Orientierungshilfe Mandantenfähigkeit – Technische und organisatorische Anforderungen an die Trennung von automatisierten Verfahren bei der Benutzung
einer gemeinsamen IT-Infrastruktur“ des Arbeitskreis
Technik der Konferenz der Datenschutzbeauftragten
des Bundes und der Länder) zu beachten ist.
BfDI 24. Tätigkeitsbericht 2011-2012