Auszug - Informationstechnische Verwaltung personenbezogener Daten der Lüneburger Bürger und Gewährleistung der Datensicherheit (Anfrage der Gruppe FDP/Piraten, eingegangen am 06.07.2015)  

Beratungsinhalt:

Erste Stadträtin LUKOSCHEK beantwortet die Anfrage wie folgt:

Die einzelnen Fragen sind vom Bereich EDV zusammen mit der gemeinsamen Datenschutzbeauftragten von Stadt und Landkreis, Frau Röding, beantwortet worden.

Zu 1)

Alle Daten werden zentral in den beiden Rechenzentren, in der Reitenden-Diener-Straße 12 und Neue Sülze 31 gespeichert. Zugang zu diesen Räumen haben nur Mitarbeiter des Bereichs EDV sowie für Notfall- und Wartungsarbeiten ausgewählte Personen des Fachbereichs 8 und der Wachdienst.

Zu 2)

Eine Abstimmung der Daten in dem Sinne gibt es nicht. Der Zweck der Datenverarbeitung folgt aus der jeweiligen Fachaufgabe. Das Zweckbindungsprinzip ist für die Verarbeitung personenbezogener Daten von zentraler Bedeutung (§ 10 NDSG). Daher erheben die verschiedenen Fachbereiche die personenbezogenen Daten eines Bürgers, die für die Erfüllung der jeweiligen Fachaufgabe erforderlich sind, selbst. Insoweit ist es möglich, dass personenbezogene Daten mehrfach gespeichert sind. Die Daten unterliegen jeweils einer Zugriffsberechtigung.

Die personenbezogenen Daten der Bürger der Hansestadt Lüneburg sind zentral auf eigenen Servern der Hansestadt, die personenbezogenen Daten der Bürger des Landkreises zentral auf eigenen Servern des Landkreises gespeichert.

Eine Übermittlung personenbezogener Daten zwischen den öffentlichen Stellen (Landkreis/Hansestadt) erfolgt nur auf Anforderung. Die Datenübermittlung erfolgt nur bei Vorliegen einer Rechtsgrundlage und wenn die Daten zur Erfüllung der Aufgaben erforderlich sind. Dabei handelt es sich um einzelfallbezogene Daten.

Die Hansestadt hat keine städtischen Eigenbetriebe. Insofern erübrigt sich für diese die Frage. Auch mit den kommunalen Dienstleistern, gemeint sind wahrscheinlich die kommunalen Gesellschaften, erfolgt keine Übermittlung oder Abstimmung von personenbezogenen Daten.

Zu 3)

In den letzten Jahre wurde die Arbeitsplatzverkabelung neu gestaltet und die vorhandene Glasfaser-Infrastruktur zu den einzelnen Büros erweitert, um für alle Endgeräte ausreichend Kupferanschlüsse und bei Bedarf (z.B. die Telefone) auch Strom bereit zu stellen. In diesem Zusammenhang wurden auch weitere Sicherheitsmaßnahmen eingeführt, so dass jedes Gerät, das am Datennetz angeschlossen wird, nur dann zugelassen wird, wenn es sich entsprechend authentifiziert. Nach der Authentifizierung wird das angeschlossene Gerät in ein zugewiesenes Netz eingebunden, Telefone ins Telefon-Netz, Drucker ins Drucker-Netz, PCs, Laptops ins PC-Netz. Geräte, die sich nicht authentifizieren können, bekommen keinen Netzzugang.

Zusätzlich sind Netzwerkdosen nur dann aktiviert, wenn diese auch tatsächlich in Gebrauch sind.

Schutz der USB-Anschlüsse:

Diese werden durch eine spezielle Schutz-Software gesperrt und nur für einzelne Personen und nur für vom Bereich EDV beschaffte USB-Sticks freigegeben.

Die Datenübertragung von Fotos auf digitalen Kameras bzw. Smartphones wird ebenfalls für Einzelpersonen und Einzelgeräte freigegen und auf bestimmte Dateiformate beschränkt.

Zu 4)

Zugriff auf die jeweiligen Verfahren und Daten haben nur Mitarbeiter, die dafür die Berechtigung erhalten. Diese Berechtigungen werden von den Fachbereichen entsprechend der Aufgaben definiert und in den Verfahren verwaltet bzw. zentral vom Bereich EDV zugewiesen.
 

Zu 5)

Die Berechtigungen erfolgen auf Anforderung der Fachbereiche. Bei Wechsel der Beschäftigten werden die Berechtigungen für den neuen Fachbereich angepasst bzw. die alten Berechtigungen aufgehoben.

Zu 6)

Der Anschluss privater Geräte ins Datennetz ist nicht gestattet. Die Nutzung privater Geräte für dienstliche Zwecke beschränkt sich auf den Online-Zugang auf das dienstliche Postfach (Web-Mail).

Zu 7)

Externe Auftragsdatenverarbeitung erfolgt nur für ein Verfahren: für das Standesamtswesen. Dieses Verfahren ist bei der Hann-IT in Hannover, einer Anstalt des öffentlichen Rechts ausgelagert. Im Vertrag ist die Einhaltung der dafür vorgeschriebenen Datenschutzregelungen festgehalten.

Zu 8)

Es sind keine Hackerangriffe auf Datenmissbrauch bekannt. Der Missbrauch der Telefonanlage im Jahr 2014 betraf keine personenbezogene Daten, sondern nutzte Schwachstellen aus, um Telefongebühren zu erzeugen. Diese Schwachstellen sind unmittelbar nach Bekanntwerden des Missbrauchs behoben worden, der Dienstleister wurde gewechselt.

Zu 9)

Die Stadtverwaltung setzt keine veraltete, vom Hersteller nicht mehr unterstütze Software ein, die ein erhebliches Sicherheitsrisiko darstellen könnte. So sind z.B. alle PCs auf Windows 7 umgestellt.

Im pädagogischen Netz der Schulen, dem „Bildungsnetz“, sind noch vorwiegend Windows XP Rechner im Einsatz. Diese PCs sind aber durch zusätzliche Sicherheitssoftware abgesichert, so dass unabhängig vom Betriebssystem die Sicherheit gewährleistet ist.

Fazit:

Aus Sicht der Verwaltung sind keine Defizite bei der Datensicherheit im Umgang mit sensiblen, personenbezogenen Daten erkennbar, so dass es keine Veranlassung für die Beauftragung eines Konzeptes zur Beseitigung aufgezeigter Schwachstellen gibt.

Beigeordneter BRÜGGE bedankt sich für die ausführliche Beantwortung. Aus Sicht der Gruppe FDP/Piraten sei die Hansestadt Lüneburg bzgl. der personenbezogenen Daten gut geschützt.

Beschluss:

Der Rat der Hansestadt Lüneburg nimmt Kenntnis.

(II)