10.2.11.6 IT-Konsolidierung Bund
Die Neuaufstellung der IT des Bundes macht Fortschritte. Nachdem das BMI bereits seit 2006 die
IT-Konsolidierung für fast alle Behörden in seinem Geschäftsbereich plant, wurde im Mai 2015 von der Bundesregierung die Konsolidierung der IT der gesamten Bundesverwaltung beschlossen, bei deren Umsetzung ich
beratend einbezogen bin.
Die Konsolidierung der Informationstechnik des Bundes verfolgt das Ziel, die Informationssicherheit in der
Bundesverwaltung dauerhaft mit hoher Qualität zu gewährleisten. Die zunehmende Geschwindigkeit der technologischen Entwicklung macht es notwendig, flexibel reagieren zu können, um die Leistungsfähigkeit eines
stabilen IT-Betriebs sicherzustellen.
Die Umsetzung der IT-Konsolidierung bildet ein ressortübergreifendes Projekt, das sich aus mehreren Teilprojekten zusammensetzt. Die Bundesregierung hat mich frühzeitig sowohl auf der Ebene der Gesamtprojektleitung
als auch im Rahmen der einzelnen Teilprojekte um Beratung aus datenschutzrechtlicher Sicht gebeten. Daher
habe ich die Konsolidierung von Beginn an begleitet und deutlich gemacht, welche datenschutztechnischen
und -rechtlichen Rahmenbedingungen im Zuge der Anpassung der IT-Betriebe erfüllt sein müssen.
Neben Informations- und Beratungsgesprächen habe ich im Verlauf des Verfahrens unter anderem auch zum
Entwurf der Rahmenvereinbarung zwischen dem Bundesministerium des Innern, dem Bundesministerium für
Verkehr und digitale Infrastruktur und dem Bundesministerium der Finanzen für die Übertragung von Betriebsaufgaben auf das Informationstechnikzentrum Bund (ITZBund) Stellung genommen. Dabei habe ich besonders
auf die Problematik der Auftragsdatenverarbeitung aufmerksam gemacht. Denn sowohl das BDSG als auch die
europäische Datenschutz-Grundverordnung (DSGVO) fordern eine für die Verarbeitung personenbezogener
Daten verantwortliche Stelle. Lässt die Stelle diese Verarbeitung in ihrem Auftrag durch einen Dritten durchführen, müssen die Vorgaben des § 11 BDSG zur Auftragsdatenverarbeitung beachtet werden.
Mit der Übergabe des IT-Betriebs gehen zwar weitere Aufgaben auf das ITZBund über, aber die Verantwortlichkeit für die ordnungsgemäße Verarbeitung personenbezogener Daten bleibt bei der auftraggebenden Behörde. Deshalb finden die Vorgaben des § 11 BDSG zur Auftragsdatenverarbeitung hier Anwendung und die dort
vorgesehenen Vereinbarungen zur Festlegung technisch-organisatorischer Maßnahmen zur Gewährleistung
eines datenschutzgerechten Betriebs müssen vor der Betriebsübernahme verbindlich geschlossen sein.
Das BDSG sieht, genauso wie die DSGVO, umfangreiche Kontrollrechte und -pflichten für die datenverarbeitende Stelle vor. So umfasst § 11 BDSG auch die Pflicht der verantwortlichen Stelle, sich vor und in regelmäßigen Abständen während des laufenden Betriebs eines IT-Verfahrens von der ordnungsgemäßen Durchführung
der technisch-organisatorischen Maßnahmen zu überzeugen.
Weil diese Kontrollrechte und -pflichten, die jeden einzelnen Auftraggeber und jedes von ihm übertragene Verfahren betreffen, im laufenden Betrieb die Personalressourcen eines Rechenzentrums stark belasten können,
empfehle ich eine Zertifizierung des IT-Sicherheitsmanagements des ITZBund zum Beispiel nach dem Standard
ISO 27001 (Zertifizierung auf Basis von IT-Grundschutz).
Eine Zertifizierung und regelmäßige Re-Zertifizierung des IT-Sicherheitsmanagements erleichtert den Auftraggebern die Erfüllung ihrer Kontrollpflichten erheblich und entlastet in Folge auch die Personalressourcen des
ITZBund. Im Rahmen eines (Re-) Zertifizierungsprozesses wird einmalig für alle nach einem standardisierten
Schema geprüft, was sonst jeder Auftraggeber für sich für jedes Verfahren wiederholen müsste.
In meiner beratenden Funktion bringe ich mich außerdem in die Ressortabstimmungen zu den einzelnen Maßnahmen ein. Beispiele dafür sind der Entwurf des Rechenzentrums-Konsolidierungsplans 2017, die Weiterentwicklung der IT-Steuerung des Bundes oder der Entwurf einer Architekturrichtlinie für die IT des Bundes. Ein
zentraler Aspekt ist dabei Sorge dafür zu tragen, dass die datenschutzrechtlichen Prinzipien der Erforderlichkeit
und der Verhältnismäßigkeit beachtet werden.
Meine Beratungstätigkeit wird dabei teilweise auch durch den Austausch und die Zusammenarbeit mit dem BSI
ergänzt, damit Aspekte der Informationssicherheit und des Datenschutzes gleichermaßen Berücksichtigung
erfahren.
BfDI 26. Tätigkeitsbericht 2015-2016
– 129 –