Entwurf eines Anforderungskatalogs für die Begutachtung von IT-Produkten im Rahmen des Datenschutzauditverfahrens beim Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern

Stand17.11.2005

Der Anforderungskatalog stellt beispielhaft Datenschutz- und Datensicherheitsanforderungen sowie in ihrem Zusammenhang zu berücksichtigende Fragen nach wichtigen Rechtsnormen dar. Er gibt eine Mustergliederung für das Abarbeiten von Anforderungen jeweils nach Datenart vor (siehe Prüfschema). Eine reine Prüfcheckliste kommt nicht in Betracht, da sich die Anforderungsprofile und Datenarten pro zu prüfendem IT-Produkt unterscheiden und außerdem die Sachverständigen ihre Bewertungen stets begründen müssen.

Pro Frage ist zu untersuchen,

• ob sie jeweils relevant für das IT-Produkt ist,
  
• ob das IT-Produkt zur Erfüllung der Datenschutzanforderung beiträgt, diese erschwert oder den Punkt unberührt lässt,
  
• ob eine Realisierung gemäß dem Stand der Technik erfolgt,
  
• ob die Erfüllung der Anforderungen keinen erheblichen Aufwand erfordert,
  
• welche Standardeinstellung ausgeliefert wird,
  
• welche Konfigurationsmöglichkeiten oder andere Freiheitsgrade bestehen und
  
• wie all dies dokumentiert und nutzeradäquat umgesetzt ist.
  
  

Dieser Text stellt im Komplex 1 zunächst Anforderungen an die Technikgestaltung dar. Dies betrifft insbesondere Anforderungen der Datenvermeidung und der Transparenz.

Komplex 2 zählt die einschlägigen Datenschutzbestimmungen auf, um die Zulässigkeit der angestrebten Datenverarbeitung überprüfen zu können.

In Komplex 3 wird untersucht, welche technischen und organisatorischen Maßnahmen zum Schutz der Betroffen das Produkt unterstützt.

Komplex 4 stellt Kriterien vor, um die Umsetzungen der Rechte der Betroffenen (z. B. Benachrichtigung, Auskunft, Transparenzgebote) beurteilen zu können.

Alle Komplexe müssen gleichermaßen bei der Prüfung des IT-Produktes berücksichtigt werden.

Übersicht über die einzelnen Komplexe

A. Allgemeines Anforderungsprofil

Komplex 1: Grundsätzliche technische Ausgestaltung von IT-Produkten

In diesem Komplex werden allgemeine und übergreifende Anforderungen an die Technikgestaltung bearbeitet. Dies betrifft insbesondere Anforderungen der Datenvermeidung und der Transparenz.

Komplex 2: Zulässigkeit der Datenverarbeitung

Die Frage der Zulässigkeit einer Datenverarbeitung beurteilt sich danach, welches Recht auf die Stellen anzuwenden ist, für die das Produkt vorgesehen ist. Bei Stellen des Landes Mecklenburg-Vorpommern ist dies grundsätzlich das Landesdatenschutzgesetz (DSG M-V), bei Wettbewerbsunternehmen u. U. das BDSG (§ 2 Abs. 5 DSG M-V). Bei Sozialleistungsträgern gilt das SGB. Die insofern geltenden Vorschriften werden ausgeführt. Daneben sind sämtliche speziellen bereichsspezifischen Regelungen zu beachten. Beispielhaft (aber nicht abschließend) seien hier als Bundesrecht

         §§ 75 ff. AusländerG,
         BundesstatistikG,
         PersonenstandsG,
         Pass- und PersonalausweisG,
         Strafprozessordnung,
         §§ 185 ff. StrafvollzugsG,
         StraßenverkehrsG,
         Teledienstedatenschutzgesetz
         Telekommunikationsgesetz

oder als Landesrecht

         § 7 LHochschulG,
         Mediendienste-Staatsvertrag
         LMeldeG,
         LArchivG,
         §§ 100 ff. LBeamtenG,
         LStatistikG,
         Sicherheits- und OrdnungsG,
         § 4 LPresseG,
         §§ 70 ff. SchulG,

genannt.

Komplex 3:    Technische und organisatorische Maßnahmen:
                     Begleitmaßnahmen zum Schutz der Betroffenen

In Komplex 3 werden für Datenschutzanforderungen, die sich bei zulässiger Datenverarbeitung im Wesentlichen aus den Katalogen nach BDSG und DSG M-V über technische und organisatorische Maßnahmen ergeben, beispielhaft (technische) Maßnahmen diskutiert, die zur Umsetzung dieser Anforderungen führen können. Dabei wird auch der Grad der technischen Umsetzung dieser Maßnahmen durch das Produkt problematisiert. Beachtet werden muss bei der Bewertung,

• welches Angreifermodell den getroffenen/zu treffenden Maßnahmen zugrunde liegt,
• gegen welche Angriffe Schutzmaßnahmen vom IT-Produkt selbst vorgesehen sind,
• welche zusätzlichen Maßnahmen unterstützt werden (bzw. ob es dabei Einschränkungen gibt) und schließlich,
• welche Restrisiken verbleiben.

Komplex 4: Rechte der Betroffenen

Die Gewährleistung der Betroffenenrechte wird heutzutage vielfach auf organisatorischer Ebene abgedeckt. Beim zu zertifizierenden IT-Produkt ist entscheidend, inwieweit dort technisch

• die Wahrnehmung der Rechte direkt durch die Betroffenen ermöglicht oder sogar gefördert sowie
  
• die organisatorische Ebene beim Betreiber zur Gewährleistung der Betroffenenrechte unterstützt wird.

Es sind jeweils zusätzlich sowohl die Aspekte der Datensparsamkeit (z. B. ist eine Abwicklung anonym oder unter Pseudonym möglich) als auch der Protokollierung der Wahrnehmung der Betroffenenrechte zu berücksichtigen.

B. Anforderungsprofil für Protokolldaten


Bewertung

Es ist zu beachten, dass innerhalb eines Produktes verschiedene Datenarten verarbeitet und zwischen einzelnen Komponenten ausgetauscht werden. Beispielhaft genannt seien hier Betroffenendaten (häufig auch als Primärdaten bezeichnet), z. B. Daten über Einwohner in einem Einwohnermeldeamt, und Sekundärdaten (z. B. Protokolldaten über Dateneingaben und Datenbankzugriffe, aber auch über Konfigurationsänderungen oder Zugang zu sensiblen Räumen wie Rechenzentrum).

Für jede dieser Datenarten ist nur ein Ausschnitt des Anforderungskataloges relevant. Durch mehrfaches Überprüfen des Kataloges (einmal für jede Datenart) müssen die entsprechenden Anforderungen gefunden und die Umsetzung durch das Produkt bewertet werden.

A. Allgemeines Anforderungsprofil

Komplex 1: Grundsätzliche technische Ausgestaltung von IT-Produkten

1.1         Datensparsamkeit

Untersuchungsgegenstand:
Wurden die Anforderungen der Datensparsamkeit umgesetzt?

In diesem Zusammenhang wichtige Fragen:

1.2         Frühzeitiges Löschen, Anonymisieren oder Pseudonymisieren, wenn Daten noch erforderlich, aber              Personenbezug verzichtbar

Untersuchungsgegenstand:
Gibt es Methoden für frühzeitiges Löschen, Anonymisieren oder Pseudonymisieren personenbezogener Daten?

In diesem Zusammenhang wichtige Fragen:

• Wie werden Löschen, Anonymisierung und Pseudonymisierung umgesetzt (automatisch / in welchen Abhängigkeiten)?
  
• Wird die Pseudonymisierung/Anonymisierung zum frühest möglichen Zeitpunkt vorgenommen?
  
• Wovon hängt der Zeitpunkt der Anonymisierung oder Pseudonymisierung ab?
  
• Sind geeignete Maßnahmen ergriffen worden, um die Zuordnungsfunktion bei einer Pseudonymisierung zu sichern? Ist die Zuordnungsfunktion geeignet, oder besteht die Gefahr, mit nur wenig Zusatzwissen einzelne Daten depseudonymisieren zu können (etwa bei einer Pseudonymisierung durch Vertauschen von Namensbuchstaben etc.)?
  
• Zu technischen Fragen des Löschens siehe auch Abschnitt 4.3.2.

1.3         Transparenz und Produktbeschreibung

Untersuchungsgegenstand:
Liegt eine aussagekräftige und aktuelle Produktbeschreibung vor?

In diesem Zusammenhang wichtige Fragen:

• Ist die Transparenz der Datenverarbeitung (Datenflüsse, Speicherungsorte, Übermittlungswege, Zugriffsmöglichkeiten) gegenüber
  
• Anwendern (Systemadministration und Nutzer) sowie
  
• Betroffenen
  
• gewährleistet?
  
• Sind die Vorkenntnisse, die zum Verstehen der Produktbeschreibung erforderlich sind (Sprache, Know-how), angemessen?
  
• Inwieweit ist ein leichter Zugriff auf die Produktbeschreibung und eine geeignete Auswertbarkeit gewährleistet (Inhaltsverzeichnis, Index, Volltextsuche)?
  
• Wird die Aktualität sichergestellt?
  
• Wird das zu Grunde liegende Konzept ausreichend erläutert?
  
• Besteht eine Einsichtsmöglichkeit in den Quelltext/das Gerät? Für wen (auch für Außenstehende oder nur für den Gutachter)?

1.4         Sonstige Anforderungen

Welche sonstigen Anforderungen sind in diesem Komplex zu beachten, die sich aus den (ggf. spezielleren) Rechtsvorschriften zu Datenschutz und Datensicherheit ergeben?

Komplex 2: Zulässigkeit der Datenverarbeitung

2            Zulässigkeit der Datenverarbeitung

2.1         Ermächtigungsgrundlage für die Verarbeitung von Daten (für jede Phase der Datenverarbeitung               gesondert)

2.1.1      Gesetzliche Ermächtigung zur Verarbeitung der Daten (z. B. §§ 7, 14-16 DSG M-V; §§ 28 ff. BDSG oder               bereichsspezifisches Recht wie §§ 67a ff. SGB X)

Untersuchungsgegenstand:
Sind die Zulässigkeitsvoraussetzungen für die Datenverarbeitung erfüllt?

In diesem Zusammenhang wichtige Fragen:

• Gibt es einen abgeschlossenen Katalog von Daten, die verarbeitet werden sollen?
• Wenn ja: Werden die Erhebung und die Speicherung auf diese Daten beschränkt (keine Freitextfelder!)?
• Wenn nein: Beschränken sich die Daten auf das Erforderliche?
• Erfolgt eine Verarbeitung besonders sensibler Daten (§ 67 Abs. 12 SGB X, § 3 Abs. 9 BDSG), die die Zulässigkeit einschränken könnte (§ 7 Abs. 2, 3 DSG M-V, § 67a Abs. 1 S. 2, 67b Abs. 1 S. 2 SGB X, § 28 Abs. 6-9 BDSG)? Wie wird eine solche Einschränkung umgesetzt?
• Unterliegen die Daten zusätzlichen besonderen materiellen Anforderungen (z. B. berufliche Schweigepflicht, vgl. § 203 StGB), und wie werden diese bei der weiteren Verarbeitung berücksichtigt?
• Inwieweit sind Pseudonymisierung- bzw. Anonymisierungsgebote (z. B. § 34 DSG M-V) zu beachten?

2.1.2      Einwilligung des Betroffenen (§ 8 DSG M-V, § 67b Abs. 2, 3 SGB X, § 4a BDSG)

Untersuchungsgegenstand:
Wird die Wirksamkeit einer Einwilligung unterstützt?

In diesem Zusammenhang wichtige Fragen:

• Stellt das Produkt eine Mustereinwilligungserklärung oder Hinweise zur Gestaltung der Einwilligungserklärung zur Verfügung? Ist die Formulierung einer vorgegebenen Einwilligungserklärung hinreichend bestimmt, d. h. enthält sie Angaben zu verarbeitenden Stellen, verarbeiteten Datenkategorien, den Phasen der Datenverarbeitung, insbesondere geplanten Übermittlungen und den Empfängern der Übermittlung, dem Zweck der Datenverarbeitung sowie einen Hinweis auf die Freiwilligkeit und Widerrufbarkeit der Einwilligung?
• Sind die Formerfordernisse nach § 8 Abs. 2 DSG M-V (bzw. § 67b Abs. 2 SGB X, § 4a Abs. 1 S. 3, 4 BDSG) gewahrt?
• Kann die Einwilligung frei erklärt werden, oder ist eine Leistung an die Erklärung der Einwilligung gekoppelt?
• Gibt es eine Unterstützung durch das IT-System (dabei ist zu berücksichtigen, dass i. d. R. die Einwilligung vor der ersten Speicherung vorliegen muss)?

2.1.3      Besonderheiten in den einzelnen Phasen der Datenverarbeitung

2.1.3.1   Vorschriften über die Datenerhebung (§ 9 DSG M-V, § 67a Abs. 1 SGB X, § 28 Abs. 1 BDSG, vgl. § 13               BDSG)

Untersuchungsgegenstand:
Werden die gesetzlichen Regelungen bei der Erhebung von Daten umgesetzt?

In diesem Zusammenhang wichtige Fragen:

2.1.3.2   Vorschriften über die Übermittlung (§§ 14-17 DSG M-V, §§ 67d-78 SGB X, §§ 28, 29 BDSG)

Untersuchungsgegenstand:
Werden die Vorschriften zur Übermittlung umgesetzt?

In diesem Zusammenhang wichtige Fragen:

• Erfolgt eine Protokollierung der Übermittlungen? Sind die datenschutzrechtlichen Vorschriften für die Protokolldaten erfüllt?
• Erfolgt ein Hinweis bzw. eine Verpflichtung auf die Zweckbindung der erhaltenen Daten (vgl. §§ 15 Abs. 2 S. 3, 16 Abs. 5 S. 2 DSG M-V, § 78 Abs. 2 SGB X, § 4b Abs. 6 BDSG)?
• Kann eine Zweckbindung technisch überwacht werden, und können Daten, die nicht übermittelt werden dürfen, von der Übermittlung ausgeschlossen werden?
• Wird die Richtigkeit der Empfängeradresse verifiziert? Gibt es Filter für mögliche Adressaten bzw. Adressatenkreise, an die keinesfalls eine Übermittlung erfolgen darf (z. B. durch Sperrung von Empfängeradressen außerhalb des Hauses in einem E-Mail-System)?
• Filter für ausgehende Informationen: Gibt es Mechanismen, um eine versehentliche unbefugte Weitergabe oder Offenbarung von Daten/Datenträgern zu verhindern oder zu erschweren, z. B. durch rückstandslose Beseitigung von personenbezogenen (Zusatz-)Daten bei möglicher Herausgabe (z. B. detaillierte Informationen über den Autor in Word-Dokumenten, automatisierte Weitergabe von Zusatzinformationen bei HTTP-Kommunikation durch Voreinstellungen im Webbrowser)?
• Gibt es Maßnahmen zur Steigerung der Sensibilität der Verarbeiter, um diese vor unbedachten/unerlaubten Übermittlungen zu schützen?
• Sind bei der Übermittlung an Dritte Maßnahmen vorgesehen, um Daten zu anonymisieren oder pseudonymisieren (siehe auch Abschnitt 1.2)?

2.1.3.3   Löschung nach Wegfall der Erfordernis (§ 13 DSG M-V)

Untersuchungsgegenstand:
Wird sichergestellt, dass Daten nach Wegfall der Erfordernis gelöscht werden oder ein Personenbezug abgetrennt wird?

In diesem Zusammenhang wichtige Fragen:

• Sind Fristen (Löschungsfristen, Wiedervorlagefristen) zu beachten? Wie wird deren Beachtung sichergestellt?
• Siehe auch Abschnitt 4.3.2 zu Löschung.

Siehe auch Abschnitt 1.2 zur Anonymisierung/Pseudonymisierung.

2.2         Einhaltung allgemeiner datenschutzrechtlicher Grundsätze und Pflichten

2.2.1      Zweckbindung (§ 10 Abs. 2 DSG M-V, § 67c Abs. 1 SGB X) und Zweckänderung (§ 10 Abs. 3 DSG M-V,              § 67c Abs. 2 SGB X, § 28 Abs. 2, 3 BDSG)

Untersuchungsgegenstand:
Wie wird sichergestellt, dass die erhobenen Daten nur gemäß ihrer Zweckbestimmung verarbeitet werden bzw. dass eine Zweckänderung nur innerhalb des gesetzlichen Rahmens erfolgt?

In diesem Zusammenhang wichtige Fragen:

• Wie wird der Zweck dokumentiert, für den die personenbezogenen Daten erhoben werden?
• Gibt es eine revisionssichere Protokollierung der Verarbeitung, um Zweckänderungen nachweisen zu können?
• Wird die Zweckbindung dadurch garantiert, dass personenbezogene Daten vermieden werden oder ihre Verkettbarkeit und damit eine zweckändernde Nutzung erschwert oder verhindert wird?
• Gibt es eine Kennzeichnung von Datensätzen mit entsprechenden Zwecken sowie Zugriffsrechte, die andere Auswertungsmethoden oder eine Übermittlung einschränken?

2.2.2      Erleichterung der Umsetzung des Trennungsgebotes nach § 5 Abs. 3 DSG M-V

Untersuchungsgegenstand:
Wird das Trennungsgebot unterstützt?

In diesem Zusammenhang wichtige Fragen:

• Wie ist das Trennungsgebot technisch umgesetzt?
• Gibt es Verfahren zur automatisierten Pseudo-/Anonymisierung (siehe auch Abschnitt 1.2)?
• Werden schutzwürdige Belange geprüft, die einer Weitergabe von untrennbar verbundenen Daten entgegenstehen?

2.2.3      Gewährleistung der Datensicherheit (§§ 21, 22 DSG M-V, Anlage zu § 9 BDSG)

Untersuchungsgegenstand:
Werden die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit durch das Produkt selbst ergriffen bzw. enthält das Produkt Hinweise zur Umsetzung der erforderlichen Maßnahmen?

Dazu Komplex 3

2.3         Datenverarbeitung im Auftrag (§ 4 DSG M-V, § 80 SGB X, § 11 BDSG)

Frage: Erfolgt eine Datenverarbeitung im Auftrag bzw. ist eine solche vorgesehen?

Untersuchungsgegenstand:
Sind die Voraussetzungen für eine Datenverarbeitung im Auftrag gegeben?

In diesem Zusammenhang wichtige Fragen:

• Ist eine Verarbeitung der Daten durch einen externen Dritten zulässig (vgl. dazu § 203 StGB, § 80 Abs. 5 SGB X)?
• Gibt es einen Vertrag oder einen Mustervertrag zur Datenverarbeitung im Auftrag?
• Entspricht der Vertrag den Anforderungen der einschlägigen Vorschriften (§ 4 Abs. 1 Satz 4 DSG M-V, § 80 SGB X, § 11 Abs. 2 BDSG)
• Wie wird die Kontrolle des Auftragnehmers durch den Auftraggeber unterstützt?
• Wie wird das Recht des Auftraggebers unterstützt, dem Auftragnehmer Weisungen zu erteilen?
• Wie sind die technischen und organisatorischen Maßnahmen umgesetzt, die die Bindung des Auftragnehmers an die Weisungen der Daten verarbeitenden Stelle sicherstellen?

2.4         Voraussetzungen besonderer technischer Verfahren

2.4.1      Handelt es sich um ein gemeinsames Verfahren oder um ein Abrufverfahren (§ 3 Abs. 8, 9, § 17 DSG              M-V, § 79 SGB X, vgl. § 10 BDSG)?

Untersuchungsgegenstand:
Werden Daten in einem gemeinsamen Verfahren oder einem automatisierten Abrufverfahren an Dritte übermittelt, und sind die Voraussetzungen für die Einrichtung eines solchen Verfahrens erfüllt?

In diesem Zusammenhang wichtige Fragen:

• Ist ein automatisiertes Abrufverfahren unter den Beteiligten zulässig (vgl. insbesondere § 79 SGB X)?
• Inwieweit ist die Einrichtung des Verfahrens im Hinblick auf die schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen?
• Wie wird die Zuständigkeit der Verfahrensbeteiligten für einzelne Verfahrensteile festgelegt und die Kontrollierbarkeit der Zulässigkeit gewährleistet?
• Inwiefern sind Festlegungen von Fachaufsichtsbehörden zu Zwecken, Art der übermittelten Daten, Empfängern sowie technischen und organisatorischen Maßnahmen zu beachten (§ 10 Abs. 2 BDSG, § 79 Abs. 2 SGB X)?
• Inwiefern bestehen Unterrichtungspflichten von Aufsichtsbehörden (§ 10 Abs. 3 BDSG, § 79 Abs. 3 SGB X)?
• Wie sind die Protokollierungserfordernisse für Datenübermittlungen und Abrufe (z. B. § 10 Abs. 4 BDSG, § 79 Abs. 4 SGB X) umgesetzt?

2.4.2      Weitere besondere technische Verfahren

Untersuchungsgegenstand:
Wie wird die Beachtung zusätzlicher spezieller materiell-rechtlicher Anforderungen beim Einsatz besonderer technischer Verfahren sichergestellt?

In diesem Zusammenhang wichtige Fragen:

• Sind besondere Anforderungen einschlägig, z. B.
• Zulässigkeit von mobilen personenbezogenen Datenverarbeitungssystemen (§ 36 DSG M-V, § 6c BDSG)
• Automatisierte Einzelentscheidungen (§ 12 DSG M-V, § 6a BDSG, § 67b Abs. 4 SGB X)
• Videoüberwachung und -aufzeichnung (z. B. § 37 DSG M-V, § 6b BDSG)
• Fernmessen, Fernwirken (§ 38 DSG M-V)
• Siehe auch Abschnitte 3.2.3.1(mobile Datenverarbeitungssysteme), 3.2.3.2 (Videoüberwachung), 3.2.3.3 (automatisierte Einzelentscheidungen).

2.5         Sonstige Anforderungen

Welche sonstigen Anforderungen sind in diesem Komplex zu beachten, die sich aus den (ggf. spezielleren) Rechtsvorschriften zu Datenschutz und Datensicherheit ergeben?

Komplex 3:    Technische und organisatorische Maßnahmen:
                      Begleitmaßnahmen zum Schutz der Betroffenen

3.1         Abstrakte Pflichten

3.1.1      § 21 DSG M-V (bzw. § 78a SGB X oder § 9 BDSG jeweils mit Anhang)

3.1.1.1   Maßnahmen, um Unbefugten den Zugang zu Datenträgern zu verwehren

Untersuchungsgegenstand:
Wird durch geeignete Maßnahmen Unbefugten der Zugang zu Datenträgern verwehrt?

In diesem Zusammenhang wichtige Fragen:

3.1.1.2   Maßnahmen, um zu verhindern, dass Daten unbefugt verarbeitet werden oder Unbefugten zur               Kenntnis gelangen können (§ 21 Abs. 2 Nr. 1 DSG M-V)

Untersuchungsgegenstand:
Wurden geeignete Maßnahmen ergriffen, um zu verhindern, dass personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können?

In diesem Zusammenhang wichtige Fragen:

• Sind Methoden zur Authentisierung realisiert (insb.: Ist ein Passwortschutz sicher umgesetzt, z. B. durch Einmalpasswörter (z. B. Challenge-Response), zeitabhängige Passwörter, Schutz gegen Ausspähung oder Erraten, Prüfung der Länge, Vergabe/Wechsel durch Nutzer selbst, Prüfung von Komplexitätsanforderungen, automatisierte Beschränkung des Gültigkeitszeitraumes, Einschränkung der Wiederverwendbarkeit, Sperrmöglichkeit bei Fehlversuchen)?
• Unterliegen die Zugangs- und Zugriffskontrollmechanismen datenschutzrechtlichen Regelungen (insb. bei Chipkarten, Token, biometrische Verfahren durch die Verarbeitung von Sekundärdaten)?
• Werden Systemadministrationsebene und Anwendungsebene ausreichend getrennt?
• Können und werden ausreichend detaillierte Zugriffsrechte vergeben? Sind ggf. Rollenkonzepte (etwa besondere Berechtigungen von Systemadministration und Kontrollrollen wie Leitung, Datenschutzbeauftragtem oder Revision) berücksichtigt?
• Wie wird die Vergabe dieser Rechte dokumentiert (z. B. durch eine Protokolldatei, ein externes Tool)? Wer hat Zugriff auf die Dokumentation? Wie wird die Einhaltung der Aufbewahrungsfrist der Dokumentation sichergestellt (vgl. auch Abschnitt 3.3)?
• Werden Firewalls oder Intrusion Detection & Response Systeme wirkungsvoll gegen unbefugte Zugriffe eingesetzt?
• Sind verwendete Verschlüsselungsverfahren adäquat umgesetzt (s. a. Abschnitt 3.2.1)
• Sind Maßnahmen zum Löschen/Sperren/Zerstören der Daten oder Geräte bei unbefugtem Öffnen/Eingriff (z. B. bei Chipkarten) vorgesehen?
• Werden geeignete Mechanismen eingesetzt, um eine absichtliche unbefugte Weitergabe oder Offenbarung von Daten/Datenträgern zu verhindern oder zu erschweren, z. B. Kennzeichnung der Daten für Sensibilisierung (z. B. „VS“) oder Nachverfolgbarkeit (z. B. steganographische Markierung)?
• Filter für ausgehende Informationen: Gibt es Mechanismen, um eine versehentliche unbefugte Weitergabe oder Offenbarung von Daten/Datenträgern zu verhindern oder zu erschweren, z. B. durch rückstandslose Beseitigung von personenbezogenen (Zusatz-)Daten bei möglicher Herausgabe (z. B. detaillierte Informationen über den Autor in Word-Dokumenten, automatisierte Weitergabe von Zusatzinformationen bei HTTP-Kommunikation durch Voreinstellungen im Webbrowser)? (siehe auch Abschnitt 2.2.3)
• Werden Mechanismen eingesetzt, um eine versehentliche unbefugte Weitergabe oder Offenbarung von Daten/Datenträgern zu verhindern oder zu erschweren, z. B. durch die Reduktion des Einsichtwinkels bei Monitoren oder das Vermeiden von Abstrahlung bei Monitor, (Funk-)Tastatur, Maus usw. (Tempest)?
• Wird die rückstandslose Beseitigung personenbezogener Daten von Datenträgern/Geräte(teile)n (z. B. Festplatten, Schreibbändern, Faxbauteilen), die an Dritte weitergegeben werden können, gewährleistet oder unterstützt?
  Wurden Maßnahmen ergriffen, um die Sensibilität der Verarbeiter zu steigern (z. B. automatisierte Warnhinweise etc.)?
• Zu technischen Fragen des Löschens siehe auch Abschnitt 4.3.2.
• Zu technischen Fragen der Sicherung der Übermittlung siehe auch Abschnitt 2.2.3.
• Zu technischen Fragen der Sicherung der Integrität siehe auch Abschnitt 3.1.1.4.

3.1.1.3   Protokollierung von Datenverarbeitungsvorgängen (§§ 21 Abs. 2 Nr. 5, 22 Abs. 2 DSG M-V, § 10 Abs. 4              BDSG, § 79 Abs. 4 SGB X)

Untersuchungsgegenstand:
Werden Daten und Datenverarbeitungsvorgänge (u. a. Eingabe, Veränderung, Weitergabe, Abruf, Löschung etc.) protokolliert, wenn dies rechtlich erforderlich ist?

In diesem Zusammenhang wichtige Fragen:

• Welche der Daten werden ausschließlich automatisiert gespeichert?
• Wie lassen sich die Protokolldaten auswerten? Gibt es automatisierte Auswertungsroutinen? Nach welchen Kriterien? Welche Zugriffsrechte gibt es?
• Ist eine Vollprotokollierung erforderlich? Sind Stichproben ausreichend? Ist der Umfang der Stichprobe konfigurierbar?
• Wurden die datenschutzrechtlichen Anforderungen für die Verarbeitung der Protokolldaten geprüft? Sind ggf. spezielle Regelungen zu beachten (z. B. bei Aufzeichnung von Telefonaten, Videoüberwachung)?
• Wann werden die Protokolldaten gelöscht (zeitgesteuert statt speicherplatzgesteuert)?
• Sind gesetzliche Speicherfristen für die Protokolldatenbestände zu beachten (z. B. § 22 Abs. 4 DSG M-V), oder sind die Speicherfristen durch die Anwender festzulegen? Wie können sie in diesem Fall konfiguriert werden?
• Welche Maßnahmen wurden zum Schutz überlaufender Protokolldateien unternommen?

3.1.1.4   Weitere technische und organisatorische Maßnahmen (§ 21 Abs. 1, Abs. 2 Nr. 1-3 DSG M-V)

Untersuchungsgegenstand:
Sind durch die bisher untersuchten oder weitere Mechanismen die Sicherheitsziele wie Vertraulichkeit, Integrität und Verfügbarkeit im notwendigen Umfang gewährleistet?

In diesem Zusammenhang wichtige Fragen:

• Kommen Maßnahmen zur Sicherstellung der Integrität von Daten und Programmen (z. B. Virenschutz, Prüfsummen, digitale Signatur, Kapselung von Programm(teil)en, Deaktivieren von möglicherweise schädigenden Funktionen (z. B. ActiveX)) zur Anwendung, und sind sie adäquat umgesetzt?
• Werden ausreichende Maßnahmen zur Sicherstellung der Verfügbarkeit (z. B. Sicherheitskopien in erforderlichem Umfang mit geeigneter Lagerung, ggf. unterbrechungsfreie Stromversorgung, Zugangs-, Zutritts- und Zugriffsrechte auch für Stellvertreter) ergriffen?
• Wird die Vertraulichkeit von Datenbeständen bei Speicherung und Übermittlung ausreichend sichergestellt?
• zu technischen Fragen der Verschlüsselung siehe auch Abschnitt 3.2.1

3.1.2      Erleichterung der Vorabkontrolle (§ 19 Abs. 2 DSG M-V, vgl. § 4d Abs. 5, 6 BDSG, Art. 20 EU-DSRL)

Untersuchungsgegenstand:
Wird eine eventuell notwendige Vorabkontrolle durch das Produkt (inkl. Beschreibung) unterstützt?

In diesem Zusammenhang wichtige Fragen:

• Werden Test und Freigabe unterstützt (z. B. durch die Mitlieferung von relevanten und umfassenden Testdaten/fällen, Hinweise zu Prüfungen, Bereitstellung von Formularen etc.)
• Werden Werkzeuge (Formulare, interaktive Tools) zur Erstellung von individuell zugeschnittenen Dokumentationen und Konzepten bereitgestellt?

3.1.3      Erleichterung bei der Erstellung des Verfahrensverzeichnisses (§ 18 DSG M-V, vgl. Meldepflicht §§ 4d,              4e BDSG)

Untersuchungsgegenstand:
Wird durch das Produkt (inkl. Beschreibung) die Erstellung von Verfahrensverzeichnissen oder die Meldung von Verfahren unterstützt?

In diesem Zusammenhang wichtige Fragen:

3.1.4      Sonstige Unterstützung der Tätigkeit des behördlichen Datenschutzbeauftragten (§ 20 DSG M-V, vgl. §               81 Abs. 4 SGB X, §§ 4e, 4f BDSG)

Untersuchungsgegenstand:
Wird der behördliche Datenschutzbeauftragte bei der Wahrnehmung seiner Pflichten unterstützt?

In diesem Zusammenhang wichtige Fragen:

3.2         Spezifische Pflichten

3.2.1      § 22 DSG M-V, z. B. Verschlüsselung bei tragbaren Computern

Untersuchungsgegenstand:
Wird eine bestehende Pflicht zur Verschlüsselung von Datenbeständen adäquat umgesetzt?

In diesem Zusammenhang wichtige Fragen:

3.2.2      Erleichterung bzw. Unterstützung von Pseudonymität und des Pseudonymisierens (§ 3 Abs. 4 Satz 2 Nr.              9 DSG M-V, § 67 Abs. 8a SGB X, § 3 Abs. 6a BDSG)

Untersuchungsgegenstand:
Wird eine gebotene oder geforderte Pseudonymisierung erleichtert oder unterstützt?

In diesem Zusammenhang wichtige Fragen:

3.2.3      Technische Umsetzung von Transparenz- und Beteiligungsgeboten für die Betroffenen bei besonderem              Technikeinsatz

3.2.3.1   bei Chipkarten (§ 36 Abs. 2, 3 DSG M-V, § 6c BDSG)

Untersuchungsgegenstand:
Werden die besonderen Vorschriften zur Information der Betroffenen bei der Verwendung personenbezogener Speicher- und Verarbeitungsmedien umgesetzt?

In diesem Zusammenhang wichtige Fragen:

3.2.3.2   bei Videoüberwachung (§ 37 Abs. 2 S. 1 DSG M-V, § 6b Abs. 2, 4 BDSG)

Untersuchungsgegenstand:
Werden die gesetzlichen Vorgaben umgesetzt?

In diesem Zusammenhang wichtige Fragen:

3.2.3.3   bei automatisierten Einzelentscheidungen (§ 12 S. 2 Nr. 2 DSG M-V, § 6a Abs. 2 Nr. 2, Abs. 3 BDSG)

Untersuchungsgegenstand:
Werden die gesetzlichen Vorgaben umgesetzt?

In diesem Zusammenhang wichtige Fragen:

• Gibt es Rechtsgrundlagen für automatisierte Einzelentscheidungen, die sich ausschließlich auf die Ergebnisse automatisierter Verfahren stützen?
• Auf welche Weise können Betroffene ihre besonderen persönlichen Interessen geltend machen?

3.3         Sonstige Anforderungen

Untersuchungsgegenstand:
In welcher Weise werden Anwender bei der Erfüllung ihrer sonstigen, sich aus dem Landesdatenschutzgesetz ergebenden Pflichten unterstützt?

In diesem Zusammenhang wichtige Fragen:

• Gibt es Anleitungen, um die nötigen Unterlagen zu erstellen?
• Wie werden die Erstellung des Sicherheitskonzeptes und der Risikoanalyse (nach §§ 21, 22 Abs. 5 DSG M-V) unterstützt? (siehe auch Abschnitte 3.1.2, 3.1.4)
• Wie werden Test und Freigabe (nach § 19 Abs. 1 DSG M-V) sowie deren Protokollierung und Dokumentation unterstützt? (siehe auch Abschnitte 3.1.2, 3.1.4)
• Wie wird die Erstellung der Verfahrensdokumentation (nach §§ 18, 21 Abs. 2 Nr. 6 DSG M-V) unterstützt, insbesondere die Darstellung des Verfahrenszwecks (nach § 18 Abs. 1 Nr. 2 DSG M-V, siehe auch Rechtsgrundlagen nach Abschnitt 2) sowie die sonstige Verfahrensbeschreibung (nach § 18 DSG M-V, siehe auch Abschnitte 3.1.2, 3.1.3, 3.1.4)? Wie wird dokumentiert, welchen Personen welche Nutzungsrechte an welchen informationstechnischen Geräten, Programmen und automatisierten Dateien für welche Zeiträume gewährt wurden (z. B. durch die Bereitstellung von Werkzeugen zur Dokumentation der Nutzungsrechtevergabe und Administration)? Wie werden dabei die Aufbewahrungsfrist von mindestens 5 Jahren und die Revisionssicherheit gemäß § 21 Abs. 2 Nr. 5 DSG M-V sichergestellt?
• Wie wird dokumentiert, welche Personen für welche Zeiträume befugt sind, Änderungen an der Funktionsweise von informationstechnischen Geräten, an den Programmen, an der Speicherorganisation der automatisierten Dateien und den Nutzungsrechten vorzunehmen (s. § 22 Abs. 2 DSG M-V)? Wie werden dabei die Aufbewahrungsfrist von mindestens 5 Jahren und die Revisionssicherheit gemäß § 21 Abs. 2 Nr. 5 DSG M-V sichergestellt?

Welche sonstigen Anforderungen sind in diesem Komplex zu beachten, die sich aus den (ggf. spezielleren) Rechtsvorschriften zu Datenschutz und Datensicherheit ergeben?

Komplex 4: Rechte der Betroffenen

4.1         Aufklärung und Benachrichtigung (§§ 23, 9 Abs. 3, 4 DSG M-V, vgl. § 33 BDSG)

Untersuchungsgegenstand:
Inwieweit werden Aufklärung und Benachrichtigung von Betroffenen vom IT-Produkt geleistet oder unterstützt?

In diesem Zusammenhang wichtige Fragen:

4.2         Auskunft (§ 24 DSG M-V, §§ 25, 83 SGB X, § 34 BDSG, Art. 12 EU-DSRL)

Untersuchungsgegenstand:
Wird eine Auskunft vom IT-Produkt angemessen unterstützt?

In diesem Zusammenhang wichtige Fragen:

4.3         Berichtigung, Löschung, Sperrung, Einwand bzw. Widerspruch, Gegendarstellung (§§ 13, 25 DSG M-V,              § 84 SGB X, § 35 BDSG)

4.3.1      Berichtigung

Untersuchungsgegenstand:
In welcher Form leistet oder unterstützt das IT-Produkt die Berichtigung von Daten?

In diesem Zusammenhang wichtige Fragen:

• Gibt es automatisierte Berichtigungsbearbeitung vom IT-Produkt?
• Wie wird eine korrekte und unverzügliche Umsetzung der Berichtigung sichergestellt?
• Wie wird eine automatisierte Berichtigung qualitätsgesichert?
• Wie werden Berichtigungen an Empfänger vorangegangener Datenübermittlungen weitergeleitet?

4.3.2      Vollständige Löschung

Untersuchungsgegenstand:
Wie ist die Löschung realisiert?

In diesem Zusammenhang wichtige Fragen:

4.3.3      Sperrung

Untersuchungsgegenstand:
Wie wird eine Sperrung von Daten umgesetzt?

In diesem Zusammenhang wichtige Fragen:

4.3.4      Einwand bzw. Widerspruch gegen die Verarbeitung (§ 25 Abs. 3 DSG M-V, § 84 Abs. 1a SGB X, § 35              Abs. 5 BDSG)

Untersuchungsgegenstand:
Gibt es eine technische Unterstützung des Widerspruchsrechtes?

In diesem Zusammenhang wichtige Fragen:

4.3.5      Gegendarstellung (§ 35 Abs. 6 S. 2, 3 BDSG)

Untersuchungsgegenstand:
Wie wird realisiert, dass auf Verlangen des Betroffenen dessen Gegendarstellung beigefügt wird?

4.4         Sonstige Anforderungen

Welche sonstigen Anforderungen sind in diesem Komplex zu beachten, die sich aus den (ggf. spezielleren) Rechtsvorschriften zu Datenschutz und Datensicherheit ergeben?

B. Anforderungsprofil für Protokolldaten

Für die Bewertung der Verarbeitung von Protokolldaten sind nicht immer sämtliche Anforderungen aus dem Allgemeinen Anforderungsprofil einschlägig. Im Folgenden sind die wichtigsten Anforderungen dargestellt, die bei der Bewertung der Protokolldaten zu beachten sind. Dieser Katalog ist nicht abschließend, im Einzelfall können auch weitere Anforderungen zu prüfen sein.

Komplex 1:

• Datenvermeidung und Datensparsamkeit

Wird der Grundsatz der Datenvermeidung und Datensparsamkeit berücksichtigt, d. h., werden Protokolldaten nur in dem erforderlichem Maß erhoben und wird - falls dieser nicht erforderlich ist - auf den Personenbezug verzichtet?

• Transparenz

Ist der Umfang der Protokollierung für die Betroffenen hinreichend transparent?

Komplex 2:

• Auf welcher Rechtsgrundlage sind die Erhebung und Speicherung der Protokolldaten zulässig? Sind die Voraussetzungen der Rechtsgrundlage erfüllt?
• Wird die Einhaltung der Zweckbindung für Protokolldaten (§ 10 Abs. 6 DSG M-V, § 14 Abs. 4 BDSG) durch das Produkt unterstützt?
• Gibt es gesetzliche Aufbewahrungsfristen für die Protokolldaten? Werden die Protokolldaten nach Ablauf der Frist bzw. nach Wegfall der Erfordernis gelöscht?

Komplex 3:

• Fragestellungen aus 3.1.1.3
• Sind die Protokolldaten ausreichend gegen unbefugte Zugriffe, gegen Manipulationen und gegen Verlust geschützt? Wer kann die Zugriffsbefugnisse verwalten (wichtig für die Manipulationsresistenz sowie bei gemeinsamen Verfahren und Abrufverfahren).
• Können anhand der protokollierten Daten die in § 22 Abs. 4 DSG M-V genannten Informationen über die Daten verarbeitende Person, den Zeitpunkt sowie die Art und Weise der Speicherung, Verarbeitung und Übermittlung ermittelt werden? Insbesondere: Kann bei ändernden Zugriffen ermittelt werden, welche Datenbestände vor der Änderung verfügbar waren? Kann bei lesenden Zugriffen ermittelt werden, welche Daten der Daten verarbeitenden Person angezeigt bzw. übermittelt werden ? (Dies ist nicht evident, wenn lediglich Datenbankbefehle protokolliert werden.)
• Sind ggf. unterschiedliche Speicherfristen mit folgender Löschung für verschiedenartige Protokolldaten, die aber durch ein System verarbeitet werden, technisch darstellbar (vgl. z. B. § 22 Abs. 4 DSG M-V)?

Komplex 4

• Sind die Protokolldaten im Sinne des Komplexes 4 verarbeitbar (selektive Löschung von Einzeldaten, Beauskunftung, Berichtigung, Sperrung, Einwand)? Dies betrifft zum einen die Protokolldaten der Daten verarbeitenden Person selbst (in erster Linie Mitarbeiterinnen und Mitarbeiter) als Betroffene, zum anderen die Daten der Betroffenen (Bürgerinnen und Bürger), deren (Primär-)Daten verarbeitet und als Teile der Protokolldaten erhoben, gespeichert und verarbeitet werden.