datenschutzkonformen, wirtschaftlichem, stabilem und
zukunftsfähigem Betriebssystem erfolgt sein.
Des Weiteren führt der Einsatz von Windows 10 aus Da‑
tenschutzsicht zu einem größeren Problem: Durch das
nicht verhinderbare Auslesen von (auch personenbezo‑
genen) Daten und deren Übertragung zu Microsoft in die
USA können Datenschutz, Geheimschutz und IT-Sicher‑
heit nicht gewährleistet werden. Dies wurde durch eine
im November 2018 veröffentlichte Studie des BSI mit
dem Titel „SiSyPHuS Win10: Studie zu Systemaufbau,
Protokollierung, Härtung und Sicherheitsfunktionen in
Windows 10“ bestätigt. Vom BSI vorgeschlagene Gegen‑
maßnahmen sind lediglich temporär wirksam und füh‑
ren nicht zu einem möglichen datenschutzkonformen
Einsatz von Windows 10. Aus diesem Grund kann der
Einsatz von Windows 10 in der Bundesverwaltung nach
wie vor nicht empfohlen werden. Meine Aufgabe war
und wird sein, zu dieser Problemstellung weiter zu bera‑
ten. Insbesondere bei der durch den Lenkungsausschuss
des Teilprojekts 6 beschlossenen „Machbarkeitsstudie zu
alternativen Betriebssystemen“ ist eine intensive Mitar‑
beit erforderlich, um eine langfristige und zukunftsfähi‑
ge Alternative zu Windows 10 zu eruieren, mit der sich
sowohl die Ziele der IT-Konsolidierung Bund erreichen,
als auch die Anforderungen an den Datenschutz auf
Basis der DSGVO erfüllen lassen.
Alle Maßnahmen des Teilprojekts 6 „Dienstekonsolidie‑
rung“ müssen auf Konformität untereinander – insbe‑
sondere zur Bundescloud als der grundlegenden Infra‑
struktur – geprüft werden. Da ich bei allen Maßnahmen
umfassend beteiligt werde, können Datenschutzaspekte
auch maßnahmenübergreifend bewertet werden, was
sich positiv auf die Beratungsqualität auswirkt.
Um die Projektleitung der IT-Konsolidierung Bund
langfristig bei den strategischen Entscheidungen zu
unterstützen, war eine intensive Mitarbeit in den ent‑
sprechenden Gremien, etwa zur Architekturrichtlinie,
erforderlich. Darüber hinaus erfolgten ein regelmäßiger
Austausch mit der Gesamtprojektleitung und die Teil‑
nahme an Ressortworkshops, um Fragestellungen zum
Datenschutz einzubringen und zu beantworten.
Neben den Maßnahmen der Teilprojekte wurde ich zu
konkreten Vorhaben wie PVS+ (Personalverwaltungs‑
64
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
system) und E-Akte (elektronische Aktenführung)
hinzugezogen. Hierbei ging es u. a. um Themen wie
Mandantentrennung, Monitoring und Logging sowie
Aufbewahrungszeiten. Im Vorhaben PVS+ wurden
meine Empfehlungen bisher nicht umgesetzt. Es erfolgt
nach wie vor keine, dem Schutzbedarf der personenbe‑
zogenen Daten entsprechende Mandantentrennung bei
der Datenhaltung und der Datenverarbeitung. Es wird
weder die anwendungsseitig vorhandene Mandantenfä‑
higkeit genutzt, noch erfolgen eine physisch bzw. logisch
getrennte Datenhaltung. Der Zugriff wird lediglich über
ein Rechte- und Rollenkonzept gesteuert. Hier sehe ich
die mandantenspezifische Verschlüsselung als kurzfris‑
tiges Mittel der Wahl, auch unter dem Aspekt, dass beim
PVS+ Microsoft- und Adobe-Produkte verwendet werden.
Das Vorhaben E-Akte wurde datenschutzkonform
umgesetzt. Besonders hervorzuheben sind die brows‑
erbasierte Oberfläche und die offenen Schnittstellen,
die den Betrieb unabhängig von Betriebssystem und Of‑
fice-Anwendungen ermöglichen. Dasselbe wäre auch für
die behördeneigenen Fachverfahren wünschenswert.
Fachverfahren müssen aus Sicherheits-, Stabilitäts- und
Datenschutzgründen unabhängig vom Betriebssystem
und etwaiger Basisanwendungen betrieben werden
können. Obwohl diese Anforderung bereits in den Archi‑
tekturrichtlinien für die Bundesverwaltung festgeschrie‑
ben ist, wurde sie bisher nur in wenigen Behörden als
Aufgabe angegangen. Dies ist aber die Voraussetzung für
den Einsatz einer alternativen, datenschutzkonformen
Plattform.
Zusammenfassend stelle ich fest, dass die Bundesregie‑
rung die Aufforderung des Haushaltsausschusses des
Deutschen Bundestages zu meiner Einbeziehung ernst
nimmt und die Zusammenarbeit mit allen Beteiligten,
einschließlich der IT-Dienstleister des Bundes, sehr
gut ist. Meiner Verantwortung, auf die Einhaltung des
Datenschutzes bei der Umsetzung der IT-Konsolidierung
Bund hinzuwirken, werde ich zukünftig nachkommen.
8.A Zudem von besonderem Interesse
1.1, 14.1.1, 17.1, 17.5, 17.9, Die Arbeit des BfDI in Zahlen