Brandenburgisches Vorschriftensystem

Elektronischer Datenaustausch mit den staatlichen Schulämtern

Mit der Vereinbarung zur Änderung der Rahmendienstvereinbarung über die automatisierte Personaldatenverarbeitung in den staatlichen Schulämtern vom 29. September 1999 (Rundschreiben 8/00 vom 14. Februar 2000 - ABl. MBJS. S. 135) ist die Ziff. 4.5 - Übermittlung und elektronischer Versand entsprechend erweitert und gleichzeitig die Möglichkeit eröffnet worden, personenbezogene Daten auf elektronischem Weg versenden zu dürfen, sofern besondere Schutzmaßnahmen gegeben sind. In diesem Zusammenhang lege ich folgendes fest:

1. Die elektronische Post ist als Kommunikationsmittel, soweit technische, rechtliche oder wirtschaftliche Gründe dem nicht entgegenstehen, zur Beschleunigung und Vereinfachung von Vorgängen vorrangig gegenüber der Briefpost und gegenüber dem Fax zu nutzen. Sofern die Adressaten über das Landesverwaltungsnetz (LVN) zu erreichen sind, ist dieser Kommunikationsweg vorrangig zu nutzen.
2. Da hauptsächlich sensible Daten ausgetauscht werden, soll der elektronische Versand von vertraulichen und personenbezogenen Daten von und zu den staatlichen Schulämtern grundsätzlich in verschlüsselter Form erfolgen. Die für die elektronische Kommunikation ausgewählten Arbeitsplätze werden mit einer Verschlüsselungssoftware ausgestattet, die vom MBJS anerkannt sein muss.
   
   Die Definitionen personenbezogener und vertraulicher Daten sind der Anlage 1 zu entnehmen. Im Zweifelsfall sind die Daten zu verschlüsseln.
3. Der Absender hat dafür Sorge zu tragen, dass die Herkunft des elektronischen Dokumentes erkannt werden kann. Elektronisch zu versendende Post muss die erforderlichen Angaben zum Absender (Dienststelle, Bearbeiter, Geschäftszeichen, Datum) und zum Adressaten enthalten. Die Versandadresse sollte der als Text auf dem Dokument angebrachten Adresse entsprechen.
4. Eine Ver- und Entschlüsselung hat grundsätzlich nur bei den fachlich zuständigen Stellen zu erfolgen.

Anlage 1

Definition personenbezogener und vertraulicher Daten

Nachfolgend werden personenbezogene und vertrauliche Daten beschrieben. Obwohl für den elektronischen Versand von und zu den Schulämtern nicht relevant, weil die vorgenannten Daten grundsätzlich verschlüsselt werden sollen, wird der Vollständigkeit halber auch die Zuordnung zu den einzelnen Schutzstufen beschrieben, so wie sie dem Schutzstufenkonzept des Landesdatenschutzbeauftragten entspricht.

Personenbezogene Daten:

Stufe A	Personenbezogene Daten, deren Missbrauch keine besondere Beeinträchtigung erwarten läßt - z. B. Adressangaben (Name, Anschrift, Telefon-Nummer), Berufs-, Dienst-, Amts-, Branchen- oder Geschäftsbezeichnungen, und zwar ohne die Möglichkeit, auf den Verwendungszweck der Daten schließen zu können.	= einfacher Schutzbedarf
Stufe B	Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann - z. B. Daten über Mietverhältnisse, Geschäftsbeziehungen, Ausbildung.	= mittlerer Schutzbedarf
Stufe C	Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen kann bzw. die einem Berufs- oder Amtsgeheimnis unterliegen, insbesondere die Daten nach § 28 Abs. 2 Nr. 1 BDSG - gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten, religiöse oder politische Anschauungen, arbeitsrechtliche Verhältnisse.	= hoher Schutzbedarf
Stufe D	Personenbezogene Daten, deren Missbrauch für den Betroffenen Gefahren für Leib und Leben bedeuten - z. B. Adressen von polizeilichen V-Leuten, Adressen von Personen, die dem Zeugenschutzprogramm unterliegen.	= sehr hoher Schutzbedarf

Vertrauliche Daten

Die besondere Vertraulichkeit ist nicht gefordert. Ein Verlust der Vertraulichkeit hätte nur eine unwesentliche Beeinträchtigung der Institution zur Folge - einfacher Schutzbedarf - .

Das Bekanntwerden dieser politisch sensiblen Daten kann zu Irritationen in Politik und Öffentlichkeit führen und so dem Ansehen der Institution schaden. Der Schutz der Informationen, die für den internen Gebrauch bestimmt sind, muss gewährleistet sein. Mögliche Schäden haben eine sichtbare Beeinträchtigung der Institution zur Folge - mittlerer Schutzbedarf -.

Das Bekanntwerden dieser sensiblen Daten verursacht eine beträchtliche Ansehens- oder Vertrauensbeeinträchtigung im politischen Bereich oder in der Öffentlichkeit. Der Schutz vertraulicher Daten muss hohen gesetzlichen Anforderungen genügen und in sicherheitskritischen Bereichen stärker ausgeprägt sein - hoher Schutzbedarf -.

Die vorgenannten Definitionen von vertraulichen Daten basieren auf einer Schätzung darüber, welche möglichen Schäden durch den Verlust der Vertraulichkeit zu erwarten wären.

Grundsätzlich sind dabei folgende Schadenskategorien denkbar:

• Verstoß gegen Gesetze, Vorschriften, Verträge
• Beeinträchtigung der Aufgabenerfüllung
• Negative Wirkung auf die interne und/oder externe Öffentlichkeit
• finanzieller Schaden

Zur Bewertung der Daten(gruppen), die elektronisch versandt werden sollen, sind folgende Fragen zur Vertraulichkeit zu stellen:

• Welche Schäden können durch den Missbrauch der Daten entstehen?
• Bedeutet ein Verlust der Vertraulichkeit einen Verstoß gegen Gesetze oder andere Vorschriften?
• Welche Konsequenzen ergeben sich für die Institution durch die unerlaubte Veröffentlichung der gespeicherten Daten (z. B. Ansehensverlust, politische Verunsicherung, finanzielle Forderungen)?