Verwaltungsvorschriften Suche
Datenschutz und Datensicherheit beim Einsatz von IT-Geräten im Geschäftsbereich des Ministeriums der Justiz des Landes Brandenburg
Datenschutz und Datensicherheit beim Einsatz von IT-Geräten im Geschäftsbereich des Ministeriums der Justiz des Landes Brandenburg
vom 28. Oktober 2009
(JMBl/09, [Nr. 11], S.146)
I.
Zum Schutz der Unversehrtheit und Vertraulichkeit von Informationswerten und personenbezogenen Daten sowie zur Sicherung der Verfügbarkeit der eingesetzten informationstechnischen beziehungsweise kommunikationstechnischen Systeme wird Folgendes bestimmt:
1 Geltungsbereich
1.1
Diese Allgemeine Verfügung (nachfolgend AV) gilt für die Benutzung von dienstlichen Geräten der Informationstechnik (IT-Geräte) im Bereich des Ministeriums der Justiz, der Gerichte einschließlich der Sozialen Dienste der Justiz und des Gerichtsvollzieherdienstes, der Staatsanwaltschaften, des Strafvollzugs sowie der Aus- und Fortbildungseinrichtungen der Justiz des Landes Brandenburg.
Für die Benutzung privater IT-Geräte gilt diese AV nur, soweit dies ausdrücklich vorgeschrieben ist.
IT-Geräte sind Geräte, die auf der Grundlage der Mikroelektronik zur automatisierten Erfassung, Darstellung, Speicherung, Verarbeitung und Übermittlung von Informationen in Form von Texten, Daten, Bildern oder Sprache dienen.
1.2
Diese AV regelt die Grundsätze zum Datenschutz und zur Datensicherheit sowie die wichtigsten organisatorischen Maßnahmen bei der Nutzung von IT-Geräten. Die Gerichts- beziehungsweise Behördenleitung ist verpflichtet, nach Maßgabe dieser AV unter Berücksichtigung der Anforderungen ihres Geschäftsbereichs ergänzende ausführende Bestimmungen zu erlassen. Dabei kann auf Dienstanweisungen der Mittel- und/oder Obergerichte und -behörden verwiesen werden, sofern nicht die konkreten örtlichen Gegebenheiten eine gesonderte Regelung erfordern. Soweit für bestimmte Geschäftsbereiche oder IT-Verfahren spezifische landes- oder bezirksweite Regelungen erlassen sind, sind diese zwingend zu berücksichtigen.
1.3
Für den Einsatz von Großrechnern in Rechenzentren sowie den Zugriff und die Nutzung der dort vorgehaltenen Daten können spezielle Dienstanweisungen erlassen werden.
1.4
Rechtsvorschriften über den Datenschutz (zum Beispiel das Bundesdatenschutzgesetz, das Brandenburgische Datenschutzgesetz) und die Geheimhaltung sowie bereichsspezifische Gesetze (zum Beispiel Prozessordnungen, Verfahrensgesetze, Strafvollzugsgesetz) sind vorrangig zu beachten.
2 Verantwortlichkeit
Die Verantwortung für die Einhaltung der gesetzlichen Vorschriften sowie der Bestimmungen dieser AV und sonstiger Dienstanweisungen (Nummer 1.2) durch die Mitarbeiter (Benutzer) obliegt am dienstlichen Arbeitsplatz der Gerichts- beziehungsweise Behördenleitung, am häuslichen Arbeitsplatz den Benutzern.
3 Einsatz von IT-Geräten
3.1
IT-Geräte der Justizbehörden und Gerichte dürfen nur von den Benutzern im Rahmen der ihnen zugewiesenen Aufgabenbereiche genutzt werden. Die Benutzer sind auf die sich aus der Nutzung ergebenden Pflichten hinzuweisen. Die Erfüllung der Hinweispflichten ist zu dokumentieren.
Dritte dürfen die IT-Geräte nur in Anwesenheit oder mit ausdrücklicher Zustimmung des jeweiligen Benutzers beziehungsweise der aufsichtführenden Person zu dem vorgesehenen Zweck (zum Beispiel JURIS-Anfragen in der Gerichtsbibliothek, Akteneinsicht in den Grundbuchämtern) benutzen.
3.2
Die Nutzung der IT-Geräte ist an die Vergabe von Zugangs- und Zugriffskennworten gebunden. Die Vergabe von Zugangs- und Zugriffsrechten an einzelne Benutzer ist zu dokumentieren.
Die in nicht vernetzten IT-Geräten gespeicherten Daten und Programme sind adäquat gegen die Einsichtnahme und Veränderung durch unberechtigte Personen zu schützen.
3.3
IT-Geräte, sofern sie nicht bestimmungsgemäß für den mobilen Einsatz vorgesehen sind, dürfen aus den Diensträumen grundsätzlich nicht entfernt werden. Die Gerichts- beziehungsweise Behördenleitung kann abweichende Regelungen treffen, falls dies zur Wahrnehmung von dienstlichen Aufgaben notwendig ist (zum Beispiel Einsatz eines PC für Präsentation und Schulung). Die abweichende Regelung ist zu dokumentieren.
4 IT-Betreuung und Betreuungsverbünde
4.1
Für die Betreuung der IT-Geräte, Netzwerke und Benutzer ist bei den Behörden fachlich qualifiziertes Personal (Administratoren und IT-Betreuer) einzusetzen. Mehrere Behörden könnten sich zu gemeinsamer IT-Betreuung zusammenschließen, wenn nicht die übergeordnete Behörde eine andere Regelung trifft oder die Betreuung selbst übernimmt. Erfolgt eine gemeinsame IT-Betreuung im Bereich der Datenverarbeitung von personengebundenen Daten, so sind vorher schriftliche Vereinbarungen gemäß § 11 des Brandenburgischen Datenschutzgesetzes zwischen den Beteiligten zu schließen.
4.2
Für die Mitarbeiter der IT-Betreuung ist eine Vertretungsregelung zu treffen.
4.3
Die Administratoren sind für den Betrieb des jeweiligen IT-Systems sowie für die Durchführung von Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit auf diesem System zuständig. Ihnen obliegt die Bereitstellung, die Implementierung, die Überwachung (Fehleranalyse und -beseitigung), die Optimierung beziehungsweise die Fortentwicklung der einzusetzenden beziehungsweise eingesetzten Hard- und Softwarekomponenten sowie die Mitwirkung bei der Beschaffung.
Die IT-Betreuer übernehmen die Beratung und Unterstützung der Benutzer. In besonders begründeten Fällen dürfen Administratoren und IT-Betreuer auf Dateien mit personenbezogenen Daten zugreifen. Jeder Zugriff ist zu protokollieren. Administratoren und IT-Betreuer sind auf die sich aus der Betreuung ergebenden Pflichten hinzuweisen. Die Erfüllung der Hinweispflichten ist zu dokumentieren.
5 Beauftragter für IT-Sicherheit
5.1
Die Gerichts- beziehungsweise Behördenleitung bestellt neben dem Datenschutzbeauftragten für ihren Geschäftsbereich Mitarbeiter, die für die Überwachung der Einhaltung dieser AV, sonstiger zum Datenschutz und zur Datensicherheit im IT-Bereich bestehender Vorschriften und Anweisungen sowie für die Überprüfung von Art und Umfang der getroffenen Maßnahmen zuständig sind (Beauftragte für IT-Sicherheit). Eine Vertretungsregelung ist zu treffen.
5.2
Ein Beauftragter für IT-Sicherheit kann für mehrere Gerichte und Behörden bestellt werden; die Einzelheiten werden einvernehmlich zwischen den jeweiligen Gerichts- beziehungsweise Behördenleitungen geregelt, sofern nicht durch die gemeinsame Aufsichtsbehörde Regelungen getroffen worden sind.
5.3
Die Beauftragten für IT-Sicherheit sollen Angehörige des höheren oder gehobenen Dienstes sein, dürfen jedoch nicht der Gerichts- beziehungsweise Behördenleitung, der Geschäftsleitung oder der IT-Leitung angehören beziehungsweise Aufgaben der leitenden Verwaltungstätigkeit in Personalsachen wahrnehmen.
5.4
Die Beauftragten für IT-Sicherheit können sich in dieser Funktion unmittelbar an die Behördenleitung wenden und sind in ihrer Eigenschaft als Beauftragte für IT-Sicherheit weisungsfrei. Stellen sie Verstöße gegen die in Nummer 5.1 genannten Vorschriften oder sonstige Mängel fest, so sind sie berechtigt, diese nach eigenem Ermessen unter Berücksichtigung von Art und Schwere gegenüber der Behördenleitung zu beanstanden.
Von einer Beanstandung können sie absehen, wenn es sich um unerhebliche Mängel handelt oder ihre Behebung sichergestellt ist. Im Übrigen ergeben sich die Rechte und Pflichten sowie weitergehenden Aufgaben der behördlichen Beauftragten für IT-Sicherheit aus Nummer 6.3 der Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg (IT-Sicherheitsleitlinie) sowie der IT-Sicherheitsrichtlinie für den Geschäftsbereich des Ministeriums der Justiz des Landes Brandenburg.
6 Meldung von Verfahren
Benutzer, die im Rahmen des Anwendungsbereichs dieser Vorschrift ein nicht von der Gerichts- beziehungsweise Behördenleitung zur Verfügung gestelltes Verfahren zur automatisierten Verarbeitung personenbezogener Daten einsetzen wollen (zum Beispiel eigene Datenbanken), teilen dies der Gerichts- beziehungsweise Behördenleitung unverzüglich mit. Diese veranlasst das Erforderliche.
7 Einsatz privater IT-Geräte am behördlichen Arbeitsplatz
7.1
Der Einsatz privater IT-Geräte am Arbeitsplatz ist, sofern das Gerät an das örtliche Netzwerk angeschlossen oder mit der am Arbeitsplatz eingesetzten Technik verbunden werden soll, grundsätzlich nicht gestattet. Die Gerichts- beziehungsweise Behördenleitung kann im Einzelfall auf schriftlichen Antrag des Benutzers eine Genehmigung zum Einsatz privater IT-Geräte am behördlichen Arbeitsplatz erteilen, wenn keine sicherheitstechnischen und datenschutzrechtlichen Bedenken bestehen.
Bei der Beantragung und Genehmigung ist anzugeben, für welche Anwendungen die privaten IT-Geräte eingesetzt werden sollen. Die Genehmigung kann widerrufen werden.
7.2
Beim Einsatz privater IT-Geräte für die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten ist durch geeignete Maßnahmen sicherzustellen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden und eine ausreichende Datensicherheit gewährleistet ist.
Die Nummern 8.1.1 bis 8.1.4, 12, 13.1 Satz 2, 13.3, 17.1 Satz 1, 17.2, 17.3 Satz 2, 17.4, 17.5 und 19.3 gelten entsprechend.
8 Anforderungen beim dienstlichen Einsatz privater IT-Geräte im privaten Bereich
Die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten soll auch im privaten Bereich grundsätzlich nur dann erfolgen, wenn ein dienstliches Endgerät zur Verfügung gestellt werden kann. Stehen solche Geräte nicht zur Verfügung, ist nach Maßgabe der folgenden Regelungen die Nutzung privater Endgeräte zulässig.
8.1
Die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten auf einem privaten IT-Gerät im privaten Bereich durch Richter ist der Gerichts- beziehungsweise Behördenleitung schriftlich anzuzeigen, soweit sie der Erledigung von Rechtspflegeaufgaben dient. In allen übrigen Fällen gilt Nummer 7.1 Satz 2 entsprechend. Bei der Benutzung des privaten IT-Gerätes sind nachfolgende Bestimmungen einzuhalten, wobei Richter, soweit sie im Rahmen der Rechtsprechung tätig werden, diese in eigener Verantwortung beachten.
8.1.1
Es dürfen nur Daten aus laufenden Verfahren, mit denen die betreffenden Benutzer dienstlich befasst sind, verarbeitet werden.
8.1.2
Die für dienstliche Zwecke verwendeten personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten sind vor dem Zugriff Dritter auch im privaten Bereich durch eine den Empfehlungen des Bundesamtes für Sicherheit entsprechende Verschlüsselung zu schützen. Dies gilt insbesondere, wenn über das private IT-Gerät die Nutzung moderner Kommunikationstechnologien, zum Beispiel des Internets, möglich ist; dann ist zudem die Verwendung einer Soft- oder Hardware-Firewall obligatorisch. Die Nummern 13.2, 19.1 Satz 1, 21.1 bis 21.3 gelten entsprechend.
8.1.3
Auf dem Festplattenspeicher oder auf anderen Datenträgern gespeicherte Daten sind umgehend und sicher zu löschen, soweit eine weitere Speicherung nicht mehr erforderlich ist. Nummer 19.1 Satz 2 und 3 gilt entsprechend. Sollen Texte als Vorlagen oder Bausteine weiterverwendet werden, so ist deren Speicherung zulässig, sofern sie durch Löschung der personenbezogenen Merkmale vollständig anonymisiert sind.
Geeignete Programme zum sicheren Löschen von Daten sind auf der Grundlage aktueller Vorgaben des Bundesamts für Sicherheit in der Informationstechnik auszuwählen.
8.1.4
Bei dem Transport von IT-Geräten und Datenträgern mit personenbezogenen Daten außerhalb des Dienstgebäudes ist Nummer 18 zu beachten. Dritte sind vom unbefugten Zugriff auf IT-Geräte und Datenträger auszuschließen.
8.2
Die Gerichts- beziehungsweise Behördenleitung hat die Benutzer, denen sie die dienstliche Nutzung privater IT-Geräte im privaten Bereich gestattet, schriftlich auf die Einhaltung der vorliegenden AV zu verpflichten. Auf begründetes Verlangen der Gerichts- beziehungsweise Behördenleitung haben die Benutzer die getroffenen Schutzmaßnahmen zu erläutern.
9 Austausch zwischen dienstlichen und privaten IT-Geräten
Ist der Einsatz privater IT-Geräte zu dienstlichen Zwecken zulässig, dürfen Daten zwischen dienstlichen und privaten IT-Geräten nur ausgetauscht werden, wenn das private IT-Gerät den Anforderungen von Nummer 17.1 Satz 1 genügt. Nummer 17.2 gilt entsprechend.
Werden personenbezogene Daten per E-Mail übermittelt, sind diese zu verschlüsseln.
10 Einsatz von Programmen
10.1
Auf dienstlichen IT-Geräten dürfen nur durch die Administratoren in Abstimmung mit der Behördenleitung freigegebene Software-Produkte eingesetzt werden. Die IT-Standards des Landes sind einzuhalten, soweit nicht durch den Einsatz länderübergreifender Verfahren abweichende Produkte benötigt werden.
10.2
Über sämtliche auf IT-Geräten eingesetzte Programme ist ein Verzeichnis (Softwarekataster) bei der Behördenleitung zu führen, soweit nicht ein solches zentral für mehrere Dienststellen geführt wird. Das Verzeichnis hat mindestens Name, Kurzbeschreibung, Versionsnummer und Freigabevermerk der Software zu enthalten.
11 Zutrittsberechtigung
11.1
Zutritt zu besonders eingerichteten Rechnerräumen/Serverräumen haben außer der Gerichts- beziehungsweise Behördenleitung nur die Administratoren und IT-Betreuer. Anderen Personen ist der Zutritt nur in Anwesenheit einer autorisierten Aufsichtsperson nach Abstimmung mit der IT-Betreuung gestattet.
11.2
Der Beauftragte für IT-Sicherheit, die Administratoren und die IT-Betreuer haben Zutritt zu allen Räumen, in denen IT-Geräte aufgestellt sind, soweit dies im Rahmen ihrer Aufgaben erforderlich ist. Der Zutritt zu diesen Diensträumen sollte nur in Anwesenheit des Benutzers erfolgen.
11.3
Räume, in denen IT-Geräte aufgestellt sind, sind bei Verlassen grundsätzlich abzuschließen.
12 Zugriffsschutz
Die in den IT-Systemen gespeicherten Daten und Programme sind gegen die Einsichtnahme und Veränderung durch unberechtigte Personen zu schützen.
13 Kennworte
13.1
Die Inbetriebnahme eines Einzelplatzrechners und der Zugang zu einem Netzwerk sind von der Eingabe eines Kennwortes abhängig zu machen. Beim Verlassen des Arbeitsplatzes ist das Gerät so zu sperren, dass es nur mit Hilfe eines Kennwortes wieder in Betrieb genommen werden kann.
13.2
Bei der Verwendung von Kennworten ist Folgendes zu beachten:
(1) Kennworte müssen komplexen Charakter tragen. Folgende Mindest-voraussetzungen müssen erfüllt sein:
- Sie dürfen weder einen Teil noch den vollständigen Anmeldenamen (Kontennamen) des jeweiligen Benutzers enthalten.
- Sie müssen mindestens acht Zeichen lang sein.
- Es sind Buchstaben in Kombination mit Sonderzeichen oder Zahlen zu verwenden.
(2) Kennworte dürfen nur eingegeben werden, wenn die Eingabe nicht von Dritten beobachtet werden kann. Kennworte dürfen nur nach Maßgabe von Nummer 13.4 aufgeschrieben werden, die darüber hinausgehende Weitergabe ist untersagt.
(3) Kennworte von Benutzern sind spätestens nach sechs Monaten zu ändern.
13.3
Ist ein Kennwort Dritten bekannt geworden oder besteht ein entsprechender Verdacht, so hat der Benutzer unverzüglich für eine Änderung des Kennwortes Sorge zu tragen.
13.4
Soweit dies für eine technische Systembetreuung beziehungsweise aus dringenden organisatorischen Gründen erforderlich ist, sind die Kennworte in versiegelten Umschlägen sicher bei der Gerichts- beziehungsweise Behördenleitung zu hinterlegen. Die Hinterlegung sowie der Austausch sind zu dokumentieren. Hinterlegte Kennworte dürfen nur aus wichtigem Grund zur Ermöglichung eines Zugangs verwendet werden. Die Verwendung sowie ihr Anlass sind zu dokumentieren und dem Benutzer unverzüglich mitzuteilen.
13.5
Soweit technisch möglich, sind Dateien anzulegen, die Versuche der Inbetriebnahme ohne oder mit falschen Kennworten dokumentieren (sogenannte Bad-log-Dateien). Die Dateien sind durch Administratoren oder IT-Betreuer regelmäßig auf mögliche Angriffe zu kontrollieren. Bei Verdacht ist der Beauftragte für die IT-Sicherheit zu unterrichten. Die Dateien sind grundsätzlich vierteljährlich bis zum zehnten Werktag des Folgemonats zu löschen.
14 Weitere technisch-organisatorische Maßnahmen
Für jede Behörde und jedes Gericht ist ein örtliches Sicherheitskonzept unter Beachtung der Vorgaben des aktuellen IT-Grundschutz-Kataloges des Bundesamts für Sicherheit in der Informationstechnik zu erstellen und aktuell zu halten.
15 Sicherung gespeicherter Daten gegen Verlust
15.1
Die Datenspeicherung in vernetzten Systemen erfolgt, soweit technisch möglich, auf zentralen Servern.
15.2
Für die Sicherung des Datenbestandes in vernetzten Systemen gelten die Regelungen in den bereichsspezifischen Dienstanweisungen (Nummer 1.2 Satz 4) oder in den von der Gerichts- beziehungsweise Behördenleitung für verbindlich erklärten technischen Konzepten. Soweit derartige Regelungen nicht vorliegen, ist der Datenbestand mindestens einmal wöchentlich vollständig zu sichern; außerdem ist eine tägliche Sicherung der Änderungen des Datenbestandes (Differenzsicherung) erforderlich.
15.3
Für nicht vernetzte IT-Geräte legt die Gerichts- beziehungsweise Behördenleitung die Sicherungsintervalle und die Art der Sicherung (zum Beispiel Differenzsicherung, vollständige Sicherung) unter Abwägung des Aufwandes für eine Rekonstruktion der Datenbestände gegenüber dem Sicherungsaufwand fest.
15.4
Die Durchführung der Datensicherung obliegt bei Mehrplatzanlagen und Servern den Administratoren oder IT-Betreuern. Für die lokalen Speichermedien und für nicht vernetzte IT-Geräte obliegt diese Aufgabe den Benutzern, sofern ihnen die erforderlichen Rechte eingeräumt worden sind.
15.5
Über die Sicherungen sind manuell oder automatisch Aufzeichnungen zu führen. Die Aufzeichnungen sind auf Verlangen dem Beauftragten für IT-Sicherheit vorzulegen.
15.6
Die verwendeten Datenträger sind zu kennzeichnen, zu registrieren und - soweit notwendig - mit einem Hinweis auf die begrenzte Verwendbarkeit zu versehen sowie in einem geeigneten feuerfesten Behältnis in einem anderen Raum unterzubringen. Für die Aufbewahrungsdauer und die Wiederverwendbarkeit der Datenträger gelten die Regelungen in bereichsspezifischen Dienstanweisungen (Nummer 1.2 Satz 4) oder in von der Gerichts- beziehungsweise Behördenleitung für verbindlich erklärten technischen Konzepten. Soweit derartige Regelungen nicht vorliegen, sollen die Datenträger mindestens drei Wochen aufbewahrt werden; danach können die Sicherungsmedien wieder verwendet werden.
16 Aufbewahrung von Datenträgern
16.1
Zur Archivierung verwendete Datenträger mit personenbezogenen Daten der Schutzstufe B des Schutzstufenkonzepts der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (veröffentlicht in der Broschüre “Technisch-organisatorische Aspekte des Datenschutzes“) sind zu verschlüsseln; zur Archivierung verwendete Datenträger mit personenbezogenen Daten der Schutzstufe C sowie dem Dienstgeheimnis unterfallenden Daten sind zusätzlich in Tresoren aufzubewahren. Die Aufbewahrungsdauer dieser Datenträger richtet sich nach den zugrunde liegenden Aufgaben und den dafür geltenden Vorschriften. Die verwendeten Datenträger sind eindeutig zu kennzeichnen; gegebenenfalls ist ein Verzeichnis zu führen.
16.2
Bei der langfristigen Datensicherung ist zu gewährleisten, dass im Aufbewahrungszeitraum die gesicherten Daten lesbar gemacht werden können.
17 Schutz vor Computerviren
Die Gerichts- beziehungsweise Behördenleitungen haben in geeigneter Weise die Bediensteten über das Verhalten bei einem Verdacht auf Virenbefall zu informieren.
17.1
IT-Geräte sind durch den Einsatz eines ständig mitlaufenden und ständig aktualisierten Virensuchprogramms zu schützen. Zusätzlich hat die IT-Betreuung bei Mehrplatzanlagen und Servern mindestens einmal wöchentlich eine Überprüfung mit einem Virensuchprogramm vorzunehmen. Art und Frequenz der im Einzelnen durchzuführenden Maßnahmen sind in einem behördlichen Virenschutzkonzept zu regeln.
17.2
Zum Schutz vor Computerviren (zum Beispiel Trojaner und sonstige Malware) ist ein Dateiaustausch mittels Datenträger zwischen nicht miteinander vernetzten IT-Geräten auf das notwendige Mindestmaß zu beschränken.
17.3
An vernetzten IT-Geräten sind von außen zugängliche Laufwerke und Schnittstellen (zum Beispiel Diskette, CD-ROM, USB-Slot) durch geeignete technische Maßnahmen zu deaktivieren, beziehungsweise deren Nutzung durch geeignete Software (zum Beispiel DeviceLock) auf bestimmte Geräte zu beschränken; ausgenommen hiervon sind die Geräte der IT-Betreuung. Mobile IT-Geräte sind vor Anschluss an das örtliche Netzwerk auf Virenbefall zu überprüfen. Die Gerichts- beziehungsweise Behördenleitung kann in eigener Verantwortung hiervon abweichende Regelungen treffen.
17.4
Bereits beim Verdacht eines Virenbefalls hat der Benutzer die Arbeit mit dem möglicherweise betroffenen IT-Gerät sofort einzustellen und das Gerät in unverändertem Zustand zu belassen. Er hat unverzüglich die Administratoren oder IT-Betreuer hierüber zu informieren. Diese treffen die weiteren Maßnahmen. Bestätigt sich der Verdacht, unterrichten sie sofort die Gerichts- beziehungsweise Behördenleitung und den Beauftragten für IT-Sicherheit.
17.5
Die Gerichts- beziehungsweise Behördenleitung hat jeden festgestellten Virenbefall der vorgesetzten Dienstbehörde und dem Ministerium der Justiz anzuzeigen, bei Virenbefall im Landesverwaltungsnetz auch dem jeweils zuständigen Betreiber. Besteht die Gefahr, dass der Virenbefall auch bei anderen Behörden auftritt, soll die Anzeige sofort, gegebenenfalls fernmündlich erfolgen.
18 Versand und Transport von Datenträgern
18.1
Beim Versand von Datenträgern mit personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten sind die Daten durch geeignete Maßnahmen (zum Beispiel Kennwortschutz, dem aktuellen Stand der Technik entsprechende Verschlüsselung) vor fremdem Zugriff zu schützen. Dies gilt auch beim Transport von Datenträgern außerhalb der jeweiligen Dienststelle.
18.2
Jeder Benutzer hat den Verlust von Datenträgern mit personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten unverzüglich der Gerichts- beziehungsweise Behördenleitung anzuzeigen. Dies gilt auch bei Nutzung privater Datenträger. Die Gerichts- beziehungsweise Behördenleitung informiert unverzüglich den Beauftragten für IT-Sicherheit.
19 Löschung und Vernichtung von Datenträgern
19.1
Auf Datenträgern, zum Beispiel (Wechsel-) Festplatten, die an den Hersteller oder Lieferanten endgültig zurückgegeben oder an Dritte verkauft werden sollen oder die nicht mehr verwendbar sind, sind noch vorhandene personenbezogene oder dem Dienstgeheimnis unterfallende Daten so zu löschen, dass eine Wiederherstellung ausgeschlossen ist. Die eingesetzten Löschverfahren sind nach dem jeweils aktuellen Stand der Technik und dem Schutzbedarf der auf dem Datenträger vorhandenen Daten auszuwählen. Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik sind hierbei zu berücksichtigen. Vom Erfordernis nach Satz 1 darf nur abgewichen werden, wenn bei einer Herausgabe an den Hersteller oder Lieferanten mit diesem eine Vereinbarung getroffen wird, die einen sicheren Transport zum Hersteller oder zum Lieferanten und eine sofortige und sichere Löschung der Daten bei diesem gewährleistet. Die Vereinbarung ist aktenkundig zu machen.
19.2
Soweit gesetzliche oder sonstige Rechtsvorschriften eine Löschung von personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten vorsehen, sind diese zu berücksichtigen. Die Löschung ist zu dokumentieren. Datenträger sind nur dann durch physische Zerstörung zu vernichten, wenn eine sichere Löschung dieser Daten wirtschaftlich nicht auf andere Weise erreicht werden kann.
19.3
Bei nicht nur vorübergehendem Wechsel des Benutzers eines IT-Gerätes sind personenbezogene oder dem Dienstgeheimnis unterfallende Daten, die für die Tätigkeit des neuen Benutzers nicht erforderlich sind, so zu löschen, dass eine Wiederherstellung ausgeschlossen ist. Nummer 19.1 Satz 2 und 3 gilt entsprechend.
20 Übermittlung von Daten
Die Übermittlung von Daten durch Einsatz von Datenübertragungseinrichtungen ist unter Beachtung von Nummer 18.1 Satz 1 durch bereichs- beziehungsweise verfahrensspezifische Regelungen festzulegen.
21 Wartung und Reparatur
21.1
Die Wartung oder Reparatur eines dienstlichen IT-Gerätes im Dienstgebäude darf nur in Abstimmung mit den Administratoren oder IT-Betreuern in Anwesenheit einer von ihnen autorisierten Aufsichtsperson erfolgen.
21.2
Justizfremdes Wartungspersonal bedarf für den Zugriff auf personenbezogene Daten ab Schutzstufe B (vgleiche Nummer 16.1) sowie dem Dienstgeheimnis unterfallende Daten einer ausdrücklichen Genehmigung der Gerichts- beziehungsweise Behördenleitung. Diese kann die Befugnis auf die Administratoren oder IT-Betreuer übertragen. Die Genehmigung darf nur erteilt werden, wenn dies für die Wartung oder Reparatur technisch unabweisbar notwendig ist.
21.3
Kommt eine Reparatur des IT-Gerätes im Dienstgebäude nicht in Betracht, müssen sämtliche gespeicherten personenbezogenen oder dem Dienstgeheimnis unterfallenden Daten zunächst vollständig gesichert und danach auf den Datenträgern des IT-Gerätes sicher gelöscht oder verschlüsselt werden. Für das sichere Löschen gilt Nummer 19.1 Satz 2 und 3. Gegebenenfalls ist der Datenträger auszubauen. Sind Sicherungsmaßnahmen aus Wartungs- oder Reparaturgründen nicht durchführbar, gilt Nummer 19. 1 Satz 4 und 5 entsprechend.
21.4
Erfolgt die Verarbeitung dienstlicher personenbezogener oder dem Dienstgeheimnis unterfallender Daten auf einem privaten IT-Gerät (Nummer 7 und 8), soll eine Wartung oder Reparatur des Gerätes nur in Anwesenheit des Benutzers stattfinden. Ist dies nicht möglich, gilt Nummer 21.3 entsprechend.
21.5
Justizfremdes Wartungspersonal, das noch nicht entsprechend dem Gesetz über die förmliche Verpflichtung nicht beamteter Personen (Verpflichtungsgesetz vom 2. März 1974, BGBl. I S. 469, 547) verpflichtet ist oder den danach Verpflichteten nicht gleichsteht, ist von der die Wartung in Anspruch nehmenden Behörde nach dem vorgenannten Gesetz zu verpflichten.
22 Fernwartung durch justizfremdes Personal
22.1
Bei einer Fernwartung durch justizfremdes Personal ist sicherzustellen, dass
- der Fernwartungsvorgang ausschließlich von der IT-Betreuung oder einer sonst von der Gerichts- beziehungsweise Behördenleitung autorisierten Person eingeleitet und jederzeit abgebrochen werden kann,
- vor jedem Fernwartungsvorgang die Identität der mit der Fernwartung beauftragten Stelle, zum Beispiel durch einen Rückruf festgestellt wird,
- die IT-Betreuung oder die von der Gerichts- beziehungsweise Behördenleitung autorisierte Person den Wartungsvorgang am Bildschirm verfolgt und in kritischen Fällen unterbricht,
- der normale IT-Betrieb - soweit möglich - beendet ist,
- eine Protokollierung der Wartung erfolgt.
22.2
Ist für Wartungszwecke ausnahmsweise ein Zugriff auf personenbezogene oder dem Dienstgeheimnis unterfallende Daten erforderlich, bedarf dies der Genehmigung der Gerichts- beziehungsweise Behördenleitung.
22.3
In einem Fernwartungsvertrag sind diese Datensicherungsmaßnahmen sowie Art und Umfang der Wartung festzulegen. Außerdem ist zu vereinbaren, dass Daten, die während der Fernwartung zur Kenntnis gelangen, vertraulich behandelt, nicht weitergegeben und auf Datenträger gespeicherte Daten nach Erledigung des Wartungsvorgangs gelöscht werden. Die getroffenen Maßnahmen sind zu dokumentieren; die Dokumentation ist drei Jahre aufzubewahren. Nummer 21.5 gilt entsprechend.
23 Prüfungspflichten
23.1
Die Gerichts- beziehungsweise Behördenleitung hat durch geeignete Maßnahmen die Einhaltung dieser, der gerichts- oder behördeninternen, sowie bereichsspezifischer Dienstanweisungen sicherzustellen und zu überprüfen.
23.2
Ergeben die Überprüfungen Anhaltspunkte für dienst- oder arbeitsrechtliche Verstöße gegen datenschutzrechtliche Bestimmungen, ist der Dienstvorgesetzte zu unterrichten. Im Übrigen dürfen die im Rahmen der Überprüfungen nach Nummer 23.1 erhobenen personenbezogenen Daten von Benutzern nicht zur Verhaltens- und Leistungskontrolle genutzt werden (§ 29 Absatz 4 BbgDSG).
23.3
Über Mängel, deren Beseitigung nicht im Einflussbereich der Gerichts- beziehungsweise Behördenleitung liegt (zum Beispiel Programmfehler), ist soweit nicht anders geregelt oder technisch vorgesehen (zum Beispiel SAP) der vorgesetzten Dienstbehörde zu berichten.
23.4
Die vorgesetzte Dienstbehörde prüft im Rahmen der regelmäßigen Geschäftsprüfungen, ob die Gerichts- beziehungsweise Behördenleitung ihren durch diese AV übertragenen Verpflichtungen in geeigneter Weise nachkommt.
24 Notfallvorkehrungen
24.1
Ein Notfall liegt vor, wenn durch einen Verlust der Verfügbarkeit von Teilen oder der Gesamtheit des IT-Systems ein Zustand eintritt, bei dem innerhalb einer angemessenen Zeit die Wiederherstellung der Verfügbarkeit nicht möglich ist und sich daraus ein sehr hoher Schaden ergibt oder einzutreten droht.
24.2
Die Gerichts- beziehungsweise Behördenleitung hat unter Berücksichtigung der jeweils aktuellen IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein Notfall-Handbuch zu erstellen, in dem die Maßnahmen anzuführen sind, die bei Eintritt eines Notfalls getroffen werden müssen.
Das Notfall-Handbuch sollte mindestens enthalten:
- Verzeichnis der Notfall-Verantwortlichen;
- Erstellung eines Notfall-Planes;
- Benennung der an der Durchführung des Notfall-Planes zu beteiligenden Personen und Stellen;
- Zuständigkeits- und Verhaltensregeln;
- ein Verzeichnis über die Beschreibungen der IT-Systeme;
- Wiederanlaufpläne für Netzwerkkomponenten.
Das Notfall-Handbuch ist so zu gestalten, dass ein sachkundiger Dritter in die Lage versetzt wird, die im Handbuch spezifizierten Notfallmaßnahmen durchzuführen. Ein aktuelles Exemplar des Notfall-Handbuches soll extern gelagert werden, wobei Zugriffsmöglichkeiten durch unbefugte Dritte auszuschließen sind.
24.3
Das Notfall-Handbuch ist durch die Gerichts- beziehungsweise Behördenleitung in Kraft zu setzen und nach Bedarf zu aktualisieren. Es ist allen Beteiligten entsprechend ihrer dienstlichen Betroffenheit zur Kenntnis zu geben.
25 Fortbildung
Die Benutzer, die Administratoren und die IT-Betreuer sind durch geeignete Fortbildungsmaßnahmen in die Lage zu versetzen, die in dieser AV geregelten Anforderungen des Datenschutzes und der Datensicherung einzuhalten.
26 Inkrafttreten, Außerkrafttreten
Diese Allgemeine Verfügung tritt am 28. Oktober 2009 in Kraft. Gleichzeitig tritt die Allgemeine Verfügung des Ministers der Justiz und für Bundes- und Europaangelegenheiten vom 2. September 1997 (JMBl. S. 117) außer Kraft.
Potsdam, den 28. Oktober 2009
Die Ministerin der Justiz
Beate Blechinger