6
6.1
Ausschuss für Ernährung und Landwirtschaft
Aus Beratung und Kontrolle
Beratungs- und Kontrollbesuch beim Bundesinstitut für Risikobewertung
Beim Bundesinstitut für Risikobewertung musste ich feststellen, dass die Sicherheitsarchitektur des IT-Bereichs
verbesserungsbedürftig ist.
Im Herbst 2015 habe ich mir beim Bundesinstitut für Risikobewertung (BfR), einer Behörde im Geschäftsbereich des Bundesministeriums für Ernährung und Landwirtschaft, einen Überblick über den Umgang mit personenbezogenen Daten im Rahmen der Aufgaben des Instituts verschafft. Neben der Funktion und Stellung der
behördlichen Datenschutzbeauftragten (bDSB) waren für mich dabei die vom Institut selbst durchgeführten
bzw. in Auftrag gegebenen Forschungsvorhaben von besonderem Interesse, ebenso wie die
IT-Sicherheitsarchitektur.
Die organisatorische Einbindung der bDSB unmittelbar unterhalb der Behördenleitung entspricht den gesetzlichen Vorgaben. Datenschutzkritische Punkte wurden vom BfR im Nachgang des Besuches aufgegriffen. Ein
neues Datenschutzkonzept befindet sich derzeit in der Abstimmung mit dem zuständigen Ministerium. Ich gehe
davon aus, das Konzept in Kürze zur Prüfung zu erhalten.
Nach den Vor-Ort-Feststellungen meiner Mitarbeiter erhebt das BfR im Rahmen seiner Forschungstätigkeit nur
in begrenztem Umfang personenbezogene Daten. Die stichprobenhafte Betrachtung eines Projekts erfüllte die
datenschutzrechtlichen Erfordernisse und gab keinen Anlass zu kritischen Anmerkungen.
Bei der Einrichtung und Umsetzung von IT-Sicherheitsvorgaben habe ich allerdings Mängel feststellen müssen.
Das BfR verfügte nicht über ein Informations-Sicherheits-Management-System, wie es die Empfehlungen des
Bundesamts für Sicherheit in der Informationstechnik vorsehen. Obwohl zwischenzeitlich eine Vollzeitstelle für
die Aufgaben des IT-Sicherheitsbeauftragten geschaffen wurde, konnte diese Funktion innerhalb des Berichtszeitraums nicht besetzt werden. Die zum Zeitpunkt meines Besuchs noch ausstehende Erstellung und Umsetzung eines umfassenden Informationssicherheitskonzepts soll nach Aussage des BfR vordringlichste Aufgabe
des neuen IT-Sicherheitsbeauftragten sein. Das BfR hat mir zwischenzeitlich versichert, das personelle Defizit
bei der Realisierung der Sicherheitsanforderungen des Instituts übergangsweise durch eine interne Stellenumsetzung gelöst werde. Ich gehe daher davon aus, das IT-Sicherheitskonzept in Kürze vorgelegt zu bekommen.
A. Zudem von besonderem Interesse
Nr. 1.1; 1.2.1; 1.6; 21.1; 21.5
BfDI 26. Tätigkeitsbericht 2015-2016
– 79 –