etwa Kopien der VS-Ermächtigungsbestätigung, voll‑
ständige Belehrungsnachweise oder Kopien der unter‑
schriebenen Zusatzvereinbarungen zum Arbeitsvertrag.
In einigen Akten war nicht dokumentiert, ob und in
welchem Bereich dem Betroffenen tatsächlich eine
sicherheitsempfindliche Tätigkeit übertragen wurde
und ob er diese noch immer ausübt. Die Sicherheitsakte
muss jedoch lückenlos dokumentieren, wo der Betroffe‑
ne seiner sicherheitsempfindlichen Tätigkeit nachgeht
und ob diese ggf. beendet wurde. Daneben enthielten
die Sicherheitsakten unzulässige Informationen, wie
nicht notwendige Personalausweis- oder Reisepassko‑
pien. Darüber hinaus befanden sich in den Sicherheits‑
akten vereinzelt auch Unterlagen der Personalstelle, die
für die sicherheitsmäßige Beurteilung des Betroffenen
nicht maßgeblich und erforderlich waren. Bei den von
mir geprüften Sicherheitsakten wurden die unzulässigen
Inhalte auf meine Veranlassung hin durch den jeweili‑
gen Sicherheitsbevollmächtigten (SiBe) der Unterneh‑
men noch unmittelbar vor Ort aus den Sicherheitsakten
entfernt. Zudem habe ich die Unternehmen in meinen
Abschlussgesprächen aufgefordert, alle Sicherheitsakten
hinsichtlich der angesprochenen Mängel zu sichten und
zu bereinigen.
Mir ist ebenfalls aufgefallen, dass es teilweise Probleme
beim Informationsfluss zwischen dem SiBe und der
Personalstelle gibt. Die Personalstelle ist nach §§ 15 a,
29 Absatz 2 SÜG verpflichtet, den SiBe unverzüglich
über Veränderungen der persönlichen, dienstlichen
und arbeitsrechtlichen Verhältnisse eines Betroffenen
zu unterrichten. Aus diesen Informationen können sich
nämlich für den SiBe potentiell einzuschätzende Sicher‑
heitsrisiken bei einem Betroffenen ergeben. Nicht bei
allen von mir geprüften Unternehmen waren dem SiBe
und der Personalstelle bekannt, dass diese Verpflichtung
besteht. Die betroffenen SiBe haben meine Prüfung zum
Anlass genommen, die Kommunikationsstruktur mit der
Personalstelle zu erörtern und ein Verfahren zu entwi‑
ckeln, welches sicherstellt, dass alle für das Sicherheits‑
überprüfungsverfahren erforderlichen Informationen
weitergeleitet werden.
In einigen Fällen zeigten sich Verstöße bei der Einhal‑
tung von Vernichtungs- und Löschfristen. So wurden
etwa Sicherheitsakten von Personen, die aus der sicher‑
heitsempfindlichen Tätigkeit ausgeschieden waren, über
die gesetzlichen Aufbewahrungsfristen hinaus verwahrt.
Gleichzeitig wurden die damit verbundenen elektronisch
gespeicherten Daten ebenfalls dauerhaft vorgehalten.
Ich habe die betroffenen SiBe aufgefordert, umgehend
die Vernichtungs- und Löschfristen aller Sicherheits
akten im Nachgang meiner Prüfung zu kontrollieren.
Da diese Verstöße offenbar aus Unkenntnis erfolgten,
86
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
habe ich auf das Sicherheitsseminar beim BMWi hinge‑
wiesen und einen Besuch empfohlen (vgl. hierzu auch
Nr. 9.3.12). Kritisch betrachte ich die Zeitanteile, die dem
SiBe durch die Geschäftsführung zur Erledigung seiner
Aufgaben nach dem SÜG eingeräumt werden.
Die Vorschriften des Sicherheitsüberprüfungsrechts im
nicht-öffentlichen Bereich erlauben ausdrücklich eine
vollständige automatisierte Verarbeitung der perso‑
nenbezogenen Daten aus der Sicherheitsüberprüfung
(vgl. § 31 SÜG). Hinsichtlich der Anforderungen an
Datensicherheit und Datenschutz sowie zum Zwecke
einer effektiven Datenschutzkontrolle halte ich eine
Protokollierung, welche die Aktivitäten und Zugriffe der
Nutzer dokumentiert, für zwingend notwendig. Meine
Prüfungen haben jedoch ergeben, dass auch in diesem
Bereich Defizite bei der Umsetzung dieser Anforderun‑
gen bestehen. Über die Art und Weise sowie den Umfang
einer Protokollierung bin ich mit dem BMWi noch im
Gespräch.
Besonders herausstellen möchte ich, dass mit allen
geprüften Unternehmen eine konstruktive Zusammen‑
arbeit möglich war. Meine Hinweise vor Ort und meine
Bitte, die von mir festgestellten Mängel zukünftig abzu‑
stellen, wurden von den SiBe angenommen.
9.3.14 Netze des Bundes – eine Kontrolle beim BSI
Der Informationsverbund Bonn-Berlin (IVBB) ist
zahlreichen Cyberangriffen ausgesetzt. Ich habe dies
zum Anlass genommen, mir bei einem Kontroll- und
Beratungsbesuch beim Bundesamt für Sicherheit in der
Informationstechnik (BSI) erneut über das Schadprogrammerkennungssystem (SES) und weitere Verfahren,
die bei der Abwehr dieser Angriffe eingesetzt werden,
berichten zu lassen.
Das SES wird vom BSI zur Gefahrenabwehr am Über‑
gabepunkt des Behördennetzes IVBB zum Internet ein‑
gesetzt. Im Jahr 2012 hatte ich beim BSI eine Kontrolle
hierzu durchgeführt. Dabei musste ich feststellen, dass
das BSI unerlaubt Meldungen an den BND, das BfV und
den MAD weitergab. Dies führte seinerzeit zu einer Be‑
anstandung des Verfahrens (vgl. 24. TB Nr. 4.7). In 2017
habe ich erneut eine entsprechende Kontrolle beim BSI
durchgeführt und mich dabei über das SES, den Mal‑
warescanner MWScan, die Malware Information Sharing
Platform MISP, die geplante Protokolldatenauswertung
nach § 5 BSI-Gesetz sowie über die Anti-Botnetz-Initiati‑
ve informiert. Die Kontrolle führte zu dem wesentlichen
Ergebnis, dass das Verfahren SES mittlerweile weiterent‑
wickelt wurde. Die entsprechenden Dokumentationen
waren jedoch teilweise noch nicht aktualisiert bzw. er‑
stellt. Aufgrund einer gesetzlichen Änderung besitzt das