Bereits im Ersten Tätigkeitsbericht informierte ich über das Integrierte Verwaltungs- und Kontrollsystem (InVeKoS) für flächenbezogene Beihilfen in der Landwirtschaft (siehe Punkt 2.15.1, Seite).
Im März 1994 habe ich den Umgang mit personenbezogenen Daten in einem Amt für Landwirtschaft kontrolliert.
Jeder landwirtschaftliche Betrieb innerhalb des Zuständigkeitsbereiches kann dort einen Antrag auf Agrarförderung stellen. Dazu werden Daten wie Name des Unternehmens, Anschrift des Betriebssitzes, Bankverbindung, Name und Anschrift des verantwortlichen Betriebsleiters sowie weitere Daten zum Betrieb, zu den angebauten Kulturen und Flächengrößen mit Einwilligung der Betroffenen erhoben. Es wird darauf hingewiesen, daß die Daten maschinell verarbeitet und auch zu Kontrollzwecken genutzt werden. Nach der Prüfung der Unterlagen erhalten die Antragsteller Bewilligungsbescheide. Die Zahlungsdaten werden auf Disketten gespeichert und über das Landwirtschaftsministerium an die Bundeskasse nach Frankfurt/Main übermittelt. Von dort aus werden die bewilligten Beträge auf die jeweiligen Konten überwiesen.
Dem Amt für Landwirtschaft habe ich unter anderem empfohlen, die genutzten Disketten in einem Verzeichnis zu erfassen, damit der aktuelle Bestand jederzeit überprüft werden kann. Die Antragsteller sind darüber zu informieren, an welche Stellen ihre Daten übermittelt werden. Die Empfehlungen wurden realisiert.
Die nächste Stufe der Verarbeitung der Antragsdaten kontrollierte ich anschließend im Landwirtschaftsministerium. Auf der Grundlage der Verordnung (EWG) Nr. 3508/92 wird dort eine automatisierte Datenbank für Kontrollzwecke geführt. Es ist vorgeschrieben, daß fünf Prozent aller Antragsteller stichprobenartig kontrolliert werden müssen. Neben den aufwendigen Vor-Ort-Kontrollen ist auch die Satellitenfernerkundung zugelassen. Mit Hilfe der gefertigten Satellitenfotos kann die Schlaggröße und die Anbaukultur erkannt und dann mit den Angaben des Antragstellers verglichen werden. Zur Auswertung dieser Aufnahmen wurde ein Vertrag mit einer privaten Firma abgeschlossen.
In meinem Kontrollbericht habe ich das Landwirtschaftsministerium darauf hingewiesen, daß es sich bei der Auswertung der Satellitenfotos durch diese Firma um Datenverarbeitung im Auftrag handelt. Deshalb wäre das Ministerium verpflichtet gewesen, mich nach Vertragsabschluß über diese Beauftragung zu informieren (§ 4 Abs. 3 Satz 2 DSG MV). Ich habe unter anderem empfohlen, den Datenschutzhinweis in den Anträgen auf Agrarförderung neu zu formulieren.
Im Februar 1995 teilte mir das Landwirtschaftsministerium mit, daß meine Empfehlungen zu InVeKoS künftig berücksichtigt werden.
2.16.1 Einige Sicherungsmaßnahmen für Personalcomputer
In der öffentlichen Verwaltung werden personenbezogene Daten häufig mit Personalcomputer (PC) verarbeitet. Obwohl einige Sicherheitsfunktionen auch schon im BIOS (Basic Input/Output System) vieler PC zu finden sind, können die nach § 17 DSG MV erforderlichen technisch-organisatorischen Maßnahmen ohne zusätzliche Sicherheitshard- und -software meistens nicht realisiert werden. Verschiedene Hersteller bieten solche Produkte seit längerer Zeit an.
In PC vorhandene Sicherheitsfunktionen sind beispielsweise Urladepaßwörter und konfigurierbare Sperrmöglichkeiten für Schnittstellen und Laufwerke. Je nach Implementation ist aber oft nur ein kleiner Eingriff in das Gerät notwendig, um diese Sperren zu überwinden.
PC-Sicherheitsprodukte enthalten Funktionen, wie zum Beispiel Paßwortschutz, Bildschirmschoner mit Paßwort, Nutzer- und Rechteverwaltung, konfigurierbare Protokollierung von Management- oder Benutzeraktionen sowie Verschlüsselung von Daten auf Datei- oder Datenträgerebene, deren Überwindung mit erheblichem technischen Aufwand verbunden ist.
Andere Produkte sind dazu bestimmt, die Auswirkungen und ggf. die Ausbreitung von dysfunktionaler Software einzuschränken (Fehler, Trojanische Pferde, Viren, Würmer usw.). Diese Werkzeuge basieren auf einer Vielzahl geeigneter Verfahren:
- Scanner: Programm, das nach speziellen Codesequenzen zum Beispiel von
Viren oder "Trojanischen Pferden" sucht. Es ist auf die regelmäßige
Aktualisierung des Produktes zu achten.
- Integrity Checker: Programm, das die auf einem Rechner gespeicherte
Software und auch Daten auf unzulässige Veränderungen hin überprüft.
- Monitor: Programm oder Hardware zur Prüfung von Schreiboperationen
auf Datenträgern. Schreibzugriffe auf Programme und Systembereiche
werden abgewiesen.
- Programmsignaturverfahren: Das Ausführen von Programmen wird von
einem Freigabeprozeß abhängig gemacht, bei dem die Programme
digital signiert werden. Wenn keine passenden Signaturen zu einem Programm
vorliegen, wird das Programm nicht abgearbeitet.
Besondere Aufmerksamkeit muß dem normalerweise unkomlizierten Import und Export von Daten und Programmen geschenkt werden. Nach Möglichkeit sind bei Arbeitsplatzcomputern die Schnittstellen zu sperren. Bei vernetzten PC sollte auf Diskettenlaufwerke möglichst ganz verzichtet werden.
Vor der Entscheidung für ein bestimmtes Sicherheitsprodukt sollte
der Anwender sich bei unabhängigen Stellen, wie dem Bundesamt für
Sicherheit in der Informationstechnik, über die Leistungsfähigkeit
dieses Produktes informieren.
2.16.2 Empfehlungen zum Einsatz von tragbaren Computern
Behörden, deren Mitarbeiter personenbezogene Daten auch im Außendienst speichern sollen, haben mich gebeten, Hinweise für den datenschutzgerechten Einsatz von tragbaren Computern (Laptops, Notebooks) zu geben.
Im Außendienst sind bauliche Zugangskontrollmaßnahmen verständlicherweise nicht zu realisieren. Daten und Geräte verlassen den kontrollierten Bereich der Büroumgebung und sind in erhöhtem Maße Gefahren wie Diebstahl oder Verlust ausgesetzt. Zusätzlich begünstigt der modulare Aufbau tragbarer Geräte den Diebstahl einzelner Komponenten. Ohne Werkzeug zu benutzen, kann man mit einem Griff beispielsweise die Festplatte ausbauen.
Die im folgenden empfohlenen technischen und organisatorischen Maßnahmen sollen dazu beitragen, Risiken beim Einsatz tragbarer Computer so zu minimieren, daß auch hier der Schutz personenbezogener Daten weitgehend gewährleistet wird.
Technische Maßnahmen
Um Hardware-Manipulationen zu erschweren, sollten die Notebookgehäuse verplombt werden. Alle Schnittstellen und das Diskettenlaufwerk des Notebooks sind grundsätzlich zu sperren. Die Berechtigung zum Entsperren darf nur der Systemverwalter besitzen. Falls ein Übertragen von Daten regelmäßig nötig ist, darf das nur nach entsprechenden Berechtigungsprüfungen erfolgen.
Alle zur Abarbeitung auf dem Notebook freigegebenen Programme müssen so abgespeichert werden, daß unberechtigte Veränderungen ausgeschlossen sind (z. B. softwaremäßige Versiegelung). Dienstprogramme wie Norton-Utilities, PC-Tools usw. sollten unterwegs nicht zur Verfügung stehen. Das Notebook ist mit Sicherheitshard- und -software auszustatten, die folgende Funktionen bereitstellt:
• Identitäts- und Authentizitätsprüfungen
• Protokollierung auswählbarer Aktivitäten
• Verschlüsselung von Daten
• Realisierung von Zugriffsbeschränkungen
• ein geeignetes Backup-Verfahren in der Büroumgebung
• Suche von Schadprogrammen (Viren, Trojanische Pferde, ...).
Einer Kombination aus Soft- und Hardwarekomponenten ist der Vorzug zu geben, weil dadurch die Verarbeitungsgeschwindigkeit am wenigsten beeinträchtigt wird und Manipulationen sehr erschwert werden. Die Verwendung von entsprechend ausgestatteten PCMCIA-Karten (Personal Computer Memory Card International Association) bieten sich hierfür an. Nur der Besitzer der Karte hat Zugriff auf die Festplatte, und nur mit ihr können die verschlüsselten Daten verarbeitet werden.
Organisatorische Maßnahmen
Die Beschaffung von Hard- und Software der öffentlichen Stelle
sollte zentral erfolgen und die nötige Sicherheitsausstattung mit
beinhalten, damit auf allen Geräten ein einheitliches
Sicherheitskonzept umgesetzt werden kann. Die Geräte sind nach
Dienstende grundsätzlich in der Dienststelle unter Verschluß
aufzubewahren. In einer Dienstanweisung ist die Nutzung für private
Zwecke ist zu untersagen. Dort sollte auch festgeschrieben werden, daß
der Einsatz eines Notebooks im Außendienst einer formellen Freigabe
bedarf.
Öffentliche Stellen sind nach § 17 DSG MV verpflichtet, ihre automatisierte Datenverarbeitung so zu gestalten, daß nachträglich feststellbar ist, wer wann welche Daten gelesen oder eingegeben bzw. übermittelt hat. Das ist mit einer Protokollierung der Benutzeraktivitäten zu erreichen, deren Umfang, Kontrolle sowie Speicherdauer sich an der Sensibilität der Daten orientieren sollte. Eine Protokollierung ist freilich nur insoweit sinnvoll, wie auch eine Auswertung der Protokolldaten erfolgt. Diese Auswertung muß mit angemessenem Aufwand möglich sein.
Bei jedem Verfahren ist zu prüfen, mit welchem Protokollierungsumfang die gesetzlichen Bestimmungen erfüllt werden. In einigen Gesetzen sind die Protokollierungsverpflichtungen ausdrücklich genannt, etwa in § 42 Abs. 1 SOG MV (siehe auch Punkt 2.17.2).
Bei Art und Umfang der Protokollierung ist insbesondere zu unterscheiden zwischen Administration und Nutzung. Die Aktivitäten der Administration beinhalten Basisfunktionen, die den Betrieb des Datenverarbeitungs-Systems überhaupt erst möglich machen. Das sind unter anderem: Systemgenerierung, Benutzereinrichtung, Rechtevergabe, Änderungen an Dateien, Datensicherungsmaßnahmen oder Fehlerbeseitigung. Die Protokolle dieser Aktionen sind in geschützten Dateien zu speichern. Diese sollten nur zusammen mit dem internen Datenschutzbeauftragten eingesehen werden können (Vier-Augen-Prinzip).
Es ist zweckmäßig, die Nutzeraktivitäten auf Anwendungsebene zu protokollieren, weil so Unregelmäßigkeiten bei der Anmeldeprozedur (außer Paßwörtern), der Benutzung von automatisierten Abrufverfahren und Löschungen von Daten sowie bei Dateneingaben und Datenübermittlungen am besten zu erfassen sind.
Protokolldaten lassen sich leicht zur Kontrolle der Mitarbeiter mißbrauchen. Wenn jedoch ausschließlich zu Zwecken der Datenschutzkontrolle oder der Datensicherung protokolliert wird, dann dürfen die Daten auch nur zu diesem Zweck genutzt werden (§ 9 Abs. 2 DSG MV). Die Prüfung der Protokolle sollte deshalb nach einem Revisionskonzept erfolgen, das den Inhalt der Protokolle sowie Auswertungsverfahren und Speicherungsdauer festlegt.
Vom Arbeitskreis "Technische und organisatorische Datenschutzfragen"
(siehe Abschnitt 2.21) wurde eine Orientierungshilfe zu Fragen der
Protokollierung ausgearbeitet, die in meiner Dienststelle kostenlos erhältlich
ist.
2.16.4 Verschlüsselung im Dienste des Datenschutzes
Die Fortschritte in der Kryptografie machen es möglich, daß sichere Verschlüsselungsverfahren heute nicht mehr beispielsweise nur Geheimdiensten, sondern bereits dem Normalverbraucher preisgünstig zur Verfügung stehen. Kryptografische Verfahren eignen sich für den Schutz der Daten auf Laptops und in Rechnernetzen, aber auch zur Erhöhung der Datensicherheit auf vernetzten PC und Stand-alone-Geräten. Mit kryptografischen Methoden lassen sich die Vertraulichkeit und die Integrität von Daten sichern. Darüber hinaus sind Verschlüsselungsverfahren verwendbar, um jeder Aktion in einem IT-System einen Urheber zuordnen zu können (Zurechenbarkeit). Somit kann auch die Verbindlichkeit elektronischer Kommunikation sichergestellt werden.
Jeder Datenschutzbeauftragte sollte sich Grundkenntnisse über Verschlüsselungsverfahren aneignen, um sie im Rahmen seiner Beratungstätigkeit als Hilfsmittel zum Schutz personenbezogener Daten empfehlen zu können.
Gegenwärtig kommen zwei unterschiedliche Verfahrensklassen zum Einsatz:
Symmetrische Verschlüsselungsverfahren verwenden zur Ver- und Entschlüsselung den gleichen Schlüssel. Die geheimzuhaltenden Schlüssel müssen deshalb zwischen den Partnern ausgetauscht werden. Bei mehreren Partnern bedingt das eine aufwendige Schlüsselverwaltung. Bekannte symmetrische Verschlüsselungsverfahren sind DES (Data Encryption Standard) und dessen Weiterentwicklung Triple-DES.
Bei den asymmetrischen Verfahren wird ein Schlüsselpaar erzeugt: der öffentliche Schlüssel und der geheime Schlüssel. Ein mit dem öffentlichen (allgemein zugänglichen) Schlüssel verschlüsseltes Dokument kann nur mit dem dazugehörigen privaten (geheimen) Schlüssel entschlüsselt werden. Werden die Schlüssel umgekehrt verwendet, dann kann mit dem öffentlichen Schlüssel geprüft werden, ob ein Dokument vom Besitzer des geheimen Schlüssels verschlüsselt, also elektronisch unterschrieben wurde (elektronische Signatur). Für beide Anwendungen müssen die Schlüssel nicht vertraulich ausgetauscht werden. Voraussetzung für die Sicherheit des Verfahrens ist jedoch, daß der öffentliche Schlüssel authentisch ist. In der Praxis wird häufig das Verfahren RSA eingesetzt (benannt nach den Entwicklern Rivest, Shamir und Adleman). RSA erfordert eine höhere Rechenleistung als DES. Deshalb wird es nur für kleine Datenmengen oder in Kombination mit dem DES zum Schlüsselaustausch verwendet. Mit RSA ist sowohl Verschlüsselung als auch Signatur möglich.
Triple-DES sowie RSA mit 1024 Bit Schlüssellänge gelten nach
den heutigen Erkenntnissen und der mittelfristig abschätzbaren
Entwicklung der Rechentechnik als hinreichend sicher. Es ist allerdings
schwer voraussagbar, wie sich die Rechentechnik und insbesondere die
Erkenntnisse über die Kryptoalgorithmen in den nächsten
Jahrzehnten entwickeln werden. Möglicherweise gelten die heute noch
als sicher anzusehende Verschlüsselungsverfahren in wenigen Jahren
als unbrauchbar.
Für Netze sowie für Einzelanwendungen wird eine Vielzahl von
Verschlüsselungshard- und -software angeboten, um eine sichere
Kommunikation und Datenspeicherung zu gewährleisten. Neben den
Verschlüsselungsverfahren selbst entscheiden auch die verwendeten
kryptografischen Protokolle und die sorgfältige Implementation sowie
die Einsatzumgebung über die Sicherheit des Produktes.
Beim breiten Einsatz kryptografischer Methoden ergeben sich eine Reihe verfahrenstechnischer und rechtlicher Probleme. Die Bestätigung der Echtheit von öffentlichen Schlüsseln (Zertifizierung) und deren Verteilung sind nur mit einer geeigneten Infrastruktur realisierbar. Es muß eine vertrauenswürdige Instanz (Trust-Center) gefunden werden, die diese Aufgabe zugewiesen bekommt.
Damit beweissichere elektronische Verfahren beispielsweise zum Abschluß
von Verträgen eingesetzt werden können, müssen
elektronische Signaturen und handgeschriebene Unterschriften rechtlich
gleichgestellt werden. Mit dem Referentenentwurf einer Verordnung über
die Elektronische Unterschrift (VEU) aus dem Bundesinnenministerium werden
erste Versuche in diese Richtung unternommen.
2.16.5 IT-Sicherheitskonzepte - nur überflüssige Bürokratie?
In vielen Bereichen der öffentlichen Verwaltung wird Informationstechnik (IT) eingesetzt, um Verwaltungsprozesse zu beschleunigen und die Arbeit effizienter zu gestalten. Einige Behörden begeben sich damit jedoch in eine Abhängigkeit von dieser Technik, die beim Versagen bis zur Arbeitsunfähigkeit führen kann: Anträge werden nicht mehr bearbeitet, Zahlungen an falsche Empfänger geleistet oder Auskünfte nicht mehr erteilt. Der datenschutzgerechte Umgang mit elektronisch gespeicherten personenbezogenen Daten ist dann in hohem Maße gefährdet.
Deshalb ist für jedes IT-Verfahren ein Datenschutz- und IT-Sicherheitskonzept zu erarbeiten, das die erforderlichen und angemessenen technischen und organisatorischen Maßnahmen enthält. Die Empfehlungen des BSI oder der IT-Strukturrahmen für die Landesverwaltung Mecklenburg-Vorpommern (ITSR) können hierbei geeignete Hilfen sein. Laut ITSR ist der IT-Sicherheitsbeauftragte dafür zuständig, in Zusammenarbeit mit dem Datenschutzbeauftragten ein Sicherheitskonzept mit geeigneten Maßnahmekatalogen zu erstellen. Es sollten aber auch die Mitarbeiter der entsprechenden Fachabteilungen beteiligt werden, da deren Kenntnisse, etwa über die Arbeitsorganisation, unerläßlich sind.
In den BSI-Handbüchern wird der Aspekt des Schutzes personenbezogener Daten und der Gewährleistung des informationellen Selbstbestimmungsrechtes zwar noch nicht in ausreichendem Maße berücksichtigt, aber die vorgestellten Verfahren sind prinzipiell anwendbar, um IT-Sicherheitskonzepte zu erstellen.
Im BSI-Sicherheitshandbuch werden dazu vier Schritte vorgeschlagen:
1. Die Schutzbedürftigkeit des IT-Verfahrens ist festzustellen. Ein
Verfahren beinhaltet dabei Hardware, Software und verarbeitete -
insbesondere personenbezogene - Daten.
2. Die Bedrohungen sind zu ermitteln, die das ausgewählte Verfahren
gefährden könnten.
3. Im Rahmen einer Risikoanalyse wird bewertet, wie stark sich diese
Bedrohungen auf das Verfahren auswirken können, welche Risiken also
tatsächlich bestehen.
4. Es werden diejenigen Maßnahmen ausgewählt und im
Sicherheitskonzept festgehalten, die notwendig und angemessen sind, um das
Risiko auf ein hinnehmbares Maß zu reduzieren.
Ein vereinfachtes Verfahren, bei dem sich der Aufwand zur Erstellung von Sicherheitskonzepten an der Schutzwürdigkeit der Anwendung orientiert, wird im BSI-Grundschutzhandbuch beschrieben. Daten, Hard- und Software werden entsprechend ihrer Schutzbedürftigkeit mit Hilfe dreier Schutzstufen klassifiziert. Erfolgt eine Zuordnung zur niedrigsten Schutzstufe, sind keine zusätzlichen Sicherheitsmaßnahmen notwendig. Die Zuordnung zur mittleren Schutzstufe verlangt die Erstellung eines Sicherheitskonzeptes durch Auswahl geeigneter Maßnahmen aus dem Katalog des Grundschutzhandbuches, ohne vorher eine detaillierte Risikoanalyse durchführen zu müssen. Die Ausarbeitung eines Sicherheitskonzeptes mit der oben beschriebenen aufwendigen Methode des BSI-Sicherheitshandbuches ist nur noch erforderlich, wenn die Zuordnung zur höchsten Schutzstufe erfolgt ist.
Das im BSI-Grundschutzhandbuch dargestellte Vorgehen halte ich für praktikabel, wenn die Schutzwürdigkeit der personenbezogenen Daten ausreichend berücksichtigt wird. Diese sollten grundsätzlich mindestens der mittleren Schutzstufe zugeordnet werden.
Für alle vorgestellten Verfahren gilt jedoch, daß bei einem
zu hohen und damit nicht akzeptierbaren Restrisiko möglicherweise
ganz auf den Einsatz des IT-Verfahrens verzichtet werden muß.
Deshalb ist bereits in der Planungsphase eine ausreichende Berücksichtigung
von Datenschutz und IT-Sicherheit besonders wichtig.
Ein beispielhaftes IT-Sicherheitskonzept wurde für das Landesweite
Polizei Informationssystem (LAPIS) erstellt. Nach anfänglichen
Schwierigkeiten (siehe Punkt 2.17.2) wurde unter angemessener Berücksichtigung
der Gefährdungen bei der Verarbeitung personenbezogener Daten das im
BSI-Sicherheitshandbuch vorgeschlagene Verfahren angewandt. So entstand
ein Sicherheitskonzept, das sich auf einzelne Dienststellen, eingebundene
Verfahren, benutzte Netze und verwendete Endsysteme bezieht und das
aufgrund seiner Modularität einfach erweiterbar ist und entsprechend
der technischen Weiterentwicklung fortgeschrieben werden kann. Ich wurde
rechtzeitig beteiligt und konnte dadurch bereits in der Planungsphase
datenschutzrechtliche Empfehlungen geben.
2.16.6 Dienstanweisungen und Dienstvereinbarungen
Dienstanweisungen
Bei einigen Kontroll- und Informationsbesuchen habe ich festgestellt, daß bisweilen keine oder nur unzureichende Dienstanweisungen zur Einhaltung des Datenschutzes vorlagen. Dienstanweisungen sind jedoch ein notwendiges und durchaus geeignetes organisatorisches Hilfsmittel, um den Mitarbeitern Hinweise für den datenschutzgerechten Umgang mit personenbezogenen Daten bei der täglichen Arbeit zu geben. Für einige Bereiche der öffentlichen Verwaltung sind solche Dienstanweisungen ausdrücklich vom Gesetzgeber gefordert, zum Beispiel für Leistungsträger gemäß § 35 Abs. 1 SGB I in § 78 a SGB X und für Krankenkassen und Kassenärztliche Vereinigungen in § 286 Abs. 3 SGB V. Eine allgemeine Dienstanweisung zum Datenschutz sollte jedoch in jeder Behörde vorhanden sein. Folgendes müßte sie mindestens beinhalten:
- Hinweise zu personellen Fragen
- Regelungen zur automatisierten Verarbeitung personenbezogener Daten
- Regelungen zum Verfahren bei Auskunftsersuchen Betroffener
- Regelungen zum Umgang mit Schriftgut (Entsorgung, Lagerung usw.)
- Erläuterung bereits bestehender Maßnahmen zum Datenschutz
Dienstvereinbarungen
In öffentlichen Stellen werden immer mehr automatisierte Verfahren zum Umgang mit personenbezogenen Daten der Beschäftigten eingeführt oder ältere Verfahren dem Stand der Technik angepaßt. In diesem Zusammenhang bin ich mehrfach darum gebeten worden, bei der Ausarbeitung von Dienstvereinbarungen zu beraten oder bei vorliegenden Vereinbarungen die datenschutzgerechte Ausgestaltung zu prüfen.
Auch Kontroll- und Informationsbesuche haben oft gezeigt, daß Dienstvereinbarungen nicht den Anforderungen entsprachen oder nicht vorhanden waren. Sie sind jedoch notwendig, um die Mitbestimmung der Personalvertretung gemäß § 70 PersVG sicherzustellen und das informationelle Selbstbestimmungsrecht derjenigen zu schützen, deren personenbezogene Daten automatisiert verarbeitet werden. Gemäß § 66 Abs. 2 PersVG werden solche Dienstvereinbarungen zwischen Behördenleiter und Personalvertretung abgeschlossen, wenn automatisierte Verfahren zum Umgang mit personenbezogenen Daten der Beschäftigten eingeführt oder wesentlich geändert werden.
Um die datenschutzgerechte Ausgestaltung der Dienstvereinbarungen zu gewährleisten, sollte der behördliche Datenschutzbeauftragte immer beteiligt werden. Hat das betreffende Verfahren landesweite Bedeutung, sollte ich in die Beratungen mit einbezogen werden.
Diese Vorgehensweise ist bereits erfolgreich bei der Ausarbeitung der Musterdienstvereinbarung zum Einsatz des Personal- und Stellenverwaltungssystems PERSYS für die Landesverwaltung Mecklenburg-Vorpommern (siehe Punkt 2.13.3) praktiziert worden.
Mein Beratungsangebot bei der Ausarbeitung von Dienstvereinbarungen wurde auch in anderen Bereichen in Anspruch genommen, beispielsweise beim Einsatz von ISDN-Anlagen (siehe Punkt 2.18.1) in obersten Landesbehörden, Stadtverwaltungen und Krankenhäusern.