Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung...
-
Upload
senta-nein -
Category
Documents
-
view
103 -
download
0
Transcript of Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung...
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Datenschutz an Hochschulen in S-H:Aktuelle Erfahrungen nach Beratungen, Prüfungen und
Auditierung
Berlin, 14. September 2007
Martin RostUnabhängiges Landeszentrum für Datenschutz
Schleswig-Holstein
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Gliederung
• Datenschutzparadigmen und ULD• DS-Instrumente: Beratung, Prüfung, Auditierung • Bewertungsmaßstäbe • Die festgestellten Mängel an den Hochschulen in
Schleswig-Holstein• Was kann man tun?• Fazit:
Zur Zeit ist kein hinreichender Nachweis der Ordnungsmäßigkeit des Verwaltungshandelns an den Hochschulen in S-H möglich.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Eine kurze Geschichte der einander ergänzenden Datenschutzparadigmen
• ab 1890: Herausbildung des rechtsfähigen Anspruchs auf „right to be let alone“ (Warren/Brandeis, USA), seitdem spontan aufblitzendes Thematisieren bspw. des „Rechts am eigenen Bild“ insbesondere von Prominenten und Funktionsträgern
• ab 1970: Verstetigte bürgerrechtliche Politisierung von Datenschutzthemen• ab Ende der 1970er: Verrechtlichung und Institutionalisierung des
Datenschutzes, mit dem rechtlichen Höhepunkt 1983 „Volkszählungsurteil“: Recht auf informationelle Selbstbestimmung als Grundrecht. Ab Mitte der 70er Einrichtung öffentlicher Datenschutzbeauftragter. (vorläufiger Höhepunkt 2003/11: Europaweite Vereinheitlichung des DS-Rechts durch Inkraftsetzen der EU-Richtlinie.)
• ab Mitte der 1990er: Technisierung des Datenschutzes: „Privacy-Enhancing-Technologies“ (PET): „Datenschutz (nicht wie bislang gegen sondern) durch Inanspruchnahme von Technik implementieren“.
• ab 2000: Ökonomisierung des Datenschutzes: Datenschutz-Gütesiegel nach dem Motto: „Privacy sells“.
• ab 2006: Datenschutz als integrierender Bestandteil organisierten Prozessmanagements (im Rahmen von ITIL, CoBIT, BS, ISO27001)
DS-Instrument: Beratung/
Mitentwicklung
DS-Instrument: Prüfung
DS-Instrument: Auditierung
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Die 7 Säulen des ULD
Prüfung Beratung Schulunginkl.
DATEN-SCHUTZ-
AKADEMIE
IT-Labor Modell-projekte
Gütesiegel Audit
Öffentl. Verwaltungen
Unternehmen
Bürger, Kunden, Klienten, Patienten
PrimäreAdressaten:
Wirtschaft,Wissenschaft,Verwaltung
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Projekte im ULD
• Ubiquitäres Computing - TAUCIS
• Identitätsmanagement - Prime und FIDIS
• Nutzerorientiertes Digital Rights Management - Privacy4DRM
• Datenschutzanforderungen für die Forschung – PRISE
• Europäische Melderegisterauskunft - RISER
• Verbraucherdatenschutz und Datenschutzrecht im Scoring
• Spamingbekämpfung bei Voice-Over-IP – SPIT-AL
• Verkettungen und Identitätsmanagement
• SOA-Usecases and Privacy
• Biodatenbanken
• Euro-Prise, Datenschutzsiegel für Europa
• …
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Beratung, Prüfung, Auditierungvon Hochschulen in S-H
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Die Beratung
• Auslöser für Beratung: Die Universität wird aktiv, typischerweise Verantwortliche aus dem Umfeld der EDV. – Erwartungen seitens der Uni an Aufsichtsbehörde:
• Kompetent aber kostenfrei zu bereits getroffene oder noch anstehende Sicherheitsmaßnahmen sowie grundsätzlich zu RZ-Organisationsparadigmen (SOA, ITIL, CoBIT, ISO-27001) beraten werden.
• Aufklärung über rechtliche Anforderungen. Typische Fragen: Welche Gesetze gelten? Welche Dokumentationspflichten bestehen? Was ist wie zu protokollieren? Sind wir E-Mail-Provider?
– Erwartungen seitens der Aufsichtsbehörde an Ratsuchende:
• Die Empfehlungen werden umgesetzt.
• Der Dialog wird fortgesetzt, Teilnahme an Schulungen
• Zunahme der Sensibilität dafür, dass die Kriterien und Maßnahmen für Sicherheit (gem. BSI-Grundschutz) und für Datenschutz nicht deckungsgleich sind.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Die Prüfung
• Auslöser für Prüfungen: – Durch strategische Maßgaben der Hausleitung– Von Mitarbeiter oder Betroffenem wird ein DS-Vorfall
gemeldet, der vom ULD als Datenschutzverstoß gewertet wird. Darauf folgt in der Regel eine Prüfung vor Ort.
• Zum (idR angekündigten) Prüfungstermin werden angefordert:– Verantwortlicher Leiter der Organisation, Vertreter der Personal-
abteilung, Datenschutzbeauftragte, IT-Systemverantwortliche– Dokumente in Kopie:
• Bestellungsurkunde der/des Datenschutzbeauftragten (vgl. §10 LDSG)• Aufgabenbeschreibung der Systemverantwortlichen• Dienstanweisungen, z.B. zur Nutzung der EDV-Systeme oder Internetdienste• Verfahrensverzeichnis (vgl. § 7 LDSG)• IT-Konzept (vgl. § 4 DSVO), insbesondere Netzplan• Sicherheitskonzept (vgl. § 6 DSVO)• Test und Freigabe (exemplarisch anhand eines Verfahrens) (vgl. § 7 DSVO)• Auszug aus dem IT-Inventarverzeichnis (vgl. § 8 DSVO)• Auszug aus dem Berechtigungskonzept der Mitarbeiter/ Systemadministratoren
an IT-Geräten, Programmen und Dateien (vgl. § 8 DSVO)• Wartungs-/Dienstleistungs-Verträge mit externen Dienstleistern (vgl. § 17 LDSG)
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Prüfungsablauf
1. Initiierung: Gemeldeter Vorfall oder Prüfstrategie2. Prüfungsankündigung (erfolgt in der Regel)3. Bestandsaufnahme vor Ort4. Dokumentation der Befunde5. Bewertung der Befunde, mögliche Bewertungen:
– Als „In Ordnung“ bestätigen – Mangel aussprechen bei Verstößen– Beanstandung bei erheblichen Verstößen, zusätzlich
ausführliche Darstellung im jährlichen Tätigkeitsbericht sowie möglicherweise Bußgeld (Aufsichtsbereich: bis 250T€ möglich.)
6. Vorschläge für Maßnahmen zur Behebung festgestellter Schwächen, Verstöße und Mängel
7. Nachprüfung
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Behörden-Audit in Schleswig-Holstein durch das ULD
Auslöser: Die betroffene öffentliche Verwaltung ODER ein Auftraggeber einer betroffenen öffentlichen Verwaltung äußern gegenüber dem ULD den Wunsch, die Datenschutzkonformität vom ULD nach Innen qualitätssichernd und nach Außen hin werbewirksam mit einem Siegel bestätigen zu lassen.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Audit: Unterschied zur Prüfung?
• Ein Audit ist zunächst wie eine Prüfung angelegt, allerdings mit dem Unterschied, dass beim Audit das ULD an der Behebung der festgestellten Mängel (meist: Dokumentation und Einrichtung von Kontrollverfahren bzw. Datenschutz-managementsystem) mitarbeitet.
• Die Vergabe des Audit-Zeichens verlangt, dass sich das Niveau in Bezug auf Datensicherheit und technischen Datenschutz wenigsten auf dem Stand der Technik befindet und bei zumindest einem Aspekt Exzellenz hervorgehoben werden kann.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Audit: Bestimmungen, Durchführung
• Maßgeblich bei der Durchführung sind die Anwendungs-bestimmungen des ULD zur Durchführung eines Datenschutz-Behördenaudits
• Die Projektmanagement-Methode eines ULD-Audits orientiert sich an PRINCE2 („PRojects IN Controlled Environments“). Stärken von PRINCE2:– Produktorientierung, wesentliche Leitfrage: „Was sollen wir
liefern?“ (nicht: „Was sollen wir tun?“)
– Eindeutige und vollständige Zuordnung von Rollen und Verantwortlichkeiten
– Standardisierte Projekt-Prozesse
– Kriterien für ein allseits erwatbares Risiko- und Changemanagement
– Controlling bzgl. des Status des Verfahrens
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Audit: Trennung von Berater und Auditor
• Die Rollen des Beraters und des Auditors sind personell getrennt.
• Die Aufgabe des Beraters besteht darin, zusammen mit der zu auditierenden Organisation Auditierfähigkeit herzustellen.
• Der für die Auditierung zuständige Vertreter der Organisation, der Berater aus dem ULD und der Auditor aus dem ULD machen eine gemeinsame Begehung und stellen zusammen, was alles in die Bestandsaufnahme und Bewertung eingehen soll.
• Der Auditor begutachtet anschließend das vom Berater und Organisation hergestellte Dokument einschließlich Einsichtnahmen vor Ort.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Audit: Organisation und Aufgaben innerhalb eines Auditverfahrens
„Programmatischer Wille“
Entscheidungsinstanz
Kommunikations- und Beobachtungsinstanz
Produktexperten-Instanz
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Audit-Ablauf, Doing und Controlling
Phase 1„Vor-Audit“Vertrags-verhandlung,Festlegungdes Audit-Gegenstands
Phase 3„Defizit-Behebung“ - Technik - Recht - Prozesse - Dokumen- tation
Phase 4„Auditierung“ - Technik - Recht - Dokument. - Verträge
Phase 5„Verleihung“des Audit-siegels
Übergang 1„Begehung“Pressearbeit
Übergang 3„Test-Audit“(letzte Defizit-Behebung)
Übergang 4„Abschluss“
t
Sitzung LGFreigabe
Auditierung
Phase 2„Bestands-aufnahme“ - Technik - Recht - Prozesse - Dokumen- tation
Sitzung LGFeststellungdes Projekt-
erfolgs
Übergang 2 „Ist-Soll“
Sitzung LGFreigabe Defizit-
Behebung
Sitzung LGFreigabe des Audit-
Starts
Doing
Control
Berater Berater AuditorLG, Auditor, Berater Zertifizierungsstelle
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Die Bewertungsmaßstäbe des ULD fürdie Beurteilung der Qualität der
Datenverarbeitung an Hochschulen
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Sieben Goldene Regeln des Datenschutz(Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, in: DuD 2007/05: 350-356)
1. RechtmäßigkeitJede DV bedarf einer rechtlichen Grundlage (Gesetz/ Vertrag, betriebl. Regelung oder Einwilligung des Betroffenen)
2. EinwilligungEine Einwilligung nur wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat.
3. ZweckbindungsprinzipPersonen bezogene Daten dürfen nur für erhobenen Zweck verwendet werden
4. ErforderlichkeitDie DV auf den f. i. Erhebungszweck notw. Umfang zu begrenzen
5. TransparenzErhebung und Verarb. pers.bez.Dat. muss gegenüber Betroffenen transp. sein
6. DatensicherheitDS nur gewährleistet, wenn pers.bez.Dat. sicher verarbeitet werden.
7. KontrolleDie DV unterliegt einer internen und externen Kontrolle.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Anforderungen an die Dokumentation gemäß Datenschutzverordnung (DSVO-SH)
Verfahrenszweck
Verfahrensbeschreibung
Sicherheitskonzept
Test und Freigabe
Verfahrensdokumentation
Geräteverzeichnis
Programmverzeichnis
Berechtigungskonzept
Administrationskonzept
Verfahrensübergreifende Dokumentation
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Anforderungen Dokumentation gemäß DSVO, speziell Sicherheitskonzept
Die Daten verarbeitende Stelle hat darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden, um §§ 5 und 6 LDSG zu erfüllen.
Berechtigungskonzept
Protokollierung
Kryptokonzept
Datenschutzmanagement
Sicherheitskonzept
(LDSG § 5 Abs. 1, § 6 Abs. 1)
(LDSG § 5 Abs. 2, § 5 Abs. 4, DSVO § 6)
(LDSG § 5 Abs. 3)
(LDSG § 5 Abs. 5)
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Sicherheitsmechanismen und –organisation nach Stand der Technik, typische Fragestellungen:
• Verfügbarkeit: Wie steht es um Redundanz und Zugänglichkeit von IT-Systemen?
• Integrität: Wie sind die IT-Verfahren eingerichtet um zu gewährleisten, dass Daten und Strukturen in Organisationen nicht unkontrollierbar verändert werden können?
• Vertraulichkeit: Wie ist das Zuordnungsmanagement gelöst, dass nur berechtigte Mitarbeiter personenbezogene Daten einsehen und bearbeiten dürfen?
• Authentisierungen: Wie werden Logins/Passworte, Chipkarten und biometrische Eigenschaften verwaltet (vermessen, ausgegeben, gelöscht)?
• Authorisierung: Wie werden die Zugriffsrechte auf Programme und Daten auf den relevanten Personenkreis verwaltet (festgelegt, umgesetzt, eingeschränkt, kontrolliert)?
• Wie werden Sicherheits- und Datenschutzvorfälle erkannt und verwaltet? Wie ist der Einbezug des Sicherheits- und Datenschutzmanagements in die Revision?
• Gibt es ein Management-Paradigma für IT-Betrieb, Sicherheit, Datenschutz?
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Prozesse eines gemanagten IT-Betriebs (Beispiel ITIL)
Incident-Management
Nutzer
ManagementServicelevel-Management
Problem-Management
Change-Management
Configuration-Management
Release-Management
Availability-Management
Continuity-Management
Financial-Management
Capacity-Management
Kunde IT-Service-Dienstleister
Service Support
Service Delivery
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Reifegradmodell für Prozesse
• Ebene 1: Ausgangszustand (Initial)– Chaotisch, eher Projekte als Prozesse; Input und Ergebnis sind
nicht definiert, Abläufe wiederholen sich nur selten.
• Ebene 2: Reproduzierbar (Managed)– Auf Ebene der kleinsten Organisationseinheiten sind Prozesse
organisiert; Input und Ergebnis sind weitgehend definiert.
• Ebene 3: Standardisiert (Standardised)– Arbeitsschritte und Teilprozesse laufen wiederholbar ab,
Prozesse sind dokumentiert.
• Ebene 4: Vorhersehbar (Predictable)– Es existieren für Arbeitsschritte und Teilprozesse
Qualitätskriterien, so genannte Key Performance Indikatoren (KPI).
• Ebene 5: Optimiert (Optimised)– Der Prozess wird unter Auswertung der KPI beständig
optimiert.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Aufbau des Prozess Reifegradmodells
Stufe 1
Stufe 2
Stufe 3
Stufe 4
Stufe 5
AusgabeEingabe
AusgabeEingabe
AusgabeEingabe
AusgabeEingabe
EingabenAusgaben
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
ISMS (Information-Security-Managementsystem,
an BSI- bzw. ISO-27001-orientiert)
• Kernprozess:– Erstellung und Pflege von Sicherheitskonzepten in Bezug auf
Gewährleistung von Sicherheitszielen (Kriterien: Integrität, Vertraulichkeit, Verfügbarkeit,zyklischer Prozess: „Plan Do Check Act“ (nach Deming))
– Schutzbedarfsfeststellung / Modellierung von Prozessen
• Unterstützungsprozesse– IT-Sicherheitsvorfallmanagement
(Strukturelement: IT-Sicherheitsvorfallmanagement-Team)
– Notfall-Vorsorge und Notfall-Management
• Entwicklung/ Pflege Notfall-Managementhandbuch
– IT-Revision:
• Interne und externe Auditierung des ISMS
– …
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Datenschutzmanagementsystems (DSMS)
• Installieren und Identifizieren von Prüfpunkten, um die Rechtmäßigkeit der Datenverarbeitung gemäß LDSG und DSVO kontrollieren zu können.
• Ein Kontrollkonzept enthält typischerweise Regeln zur…– Durchführen von regelmäßigen Kontrollen
– Durchführen von anlaßbezogenen Kontrollen
– Kontrolle des Berichtwesens
– Beauftragung von (externen) Prüfungen und Audits
• Beteiligung an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung und Fortschreibung von Sicherheitskonzepten.
• Für Datenschutz-Awareness durch Schulungen von Mitarbeitern sorgen.
• In Kommunikation mit der Aufsichtsbehörde stehen.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Befunde nach Beratungen, Prüfungen und einem laufenden Audit
an Hochschulen in S-H
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Befunde in Bezug auf Technik-Know-how, Datenschutz-Sensibilität, Rechtskenntnisse
• Vor Ort sind überwiegend technisch-funktional fähige Systemadministratoren anzutreffen.
• Durchgängig findet man ein durchaus glaubwürdiges Bekunden von Sensibilität für Sicherheit und Datenschutz auf der Hochschul- als auch der IT- bzw. RZ-Leitungs-Ebene.
• Durchgängig weitgehende Unkenntnisse geltender Rechtsvorschriften sowie von IT-Sicherheit und Datenschutz-Knowhow auf der Ebene von Fakultäts-, Instituts- oder Fachbereichs-VertreterInnen. – Unter dem Label „Freiheit für Forschung und Lehre“ segelnd
lässt sich regelrecht ein Bemühen um die Ausbildung unbeobachtbarer Räume an Hochschulen feststellen, selbst wenn Mechanismen des Finanzcontrollings etabliert sind. Fazit: Hochschulleitungen haben ein Governance-Problem!
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Datenschutzbeauftragte
Die Datenschutzbeauftragten waren in der Regel… – mit geringem Zeitkontingent ausgestattet (5-50%) und
– selbst nach frisch genossenen Fortbildungen mit nur geringen technischen Kenntnissen gesegnet,
– verfügten über keine nachhaltigen operativ umsetzbaren Strategien mit Gestaltungsanspruch, somit
– verbleibt ihnen nur eine anlaßbezogene Aktivitätsentfaltung im Modus akuter Brandbekämpfung.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Befunde bzgl. Dokumentation von Organisation und Verfahren
• Keine aktuellen gültigen Organigramme von der HS-Struktur• Keine aktuellen gültigen Geschäftsverteilungspläne• Keine zutreffenden Tätigkeitsbeschreibungen insbesondere für
die Systemadministration• Rudimentäre Verfahrensverzeichnisse• Keine System- und Verfahrensbeschreibungen im Rahmen eines
übergreifenden, allgemeinen „IT-Konzepts“• Rudimentäre Netzwerkpläne, wenn vorhanden dann methodisch
unreflektiert.• Keine quantitativ oder qualitativ ausreichenden
Sicherheitskonzept-Dokumentationen von Verfahren• Zwar waren Testsysteme vorhanden, aber keine Dokumentation
von Tests
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
• Mit Bezug zur EDV-Nutzung gibt es in der Regel Nutzungs-anweisungen für Studierende, aber nur ausnahmsweise und unsystematisch Dienstanweisungen für SachbearbeiterInnen oder SystemadministratorInnen.
• Wie Zugriffsrechte der Uni-Leitung, des akademischen und Verwaltungs-Personals, der Studierenden und der Systemadministratoren verwaltet werden (Einrichtung, Unterweisung, Löschung), konnte nicht prüffähig dargestellt werden
• Keine dokumentiert geregelte Verfahren, wie Änderungen von Prüfungsordnungen in der IT tatsächlich umgesetzt und getestet werden.
• Keine beweissichere oder revisionsfeste (automatisierte) Protokollierung der Tätigkeiten der Systemadministration.
• Verträge mit externen IT-Dienstleistern (Hardware) oder Software (insbesondere der HIS) konnten nur rudimentär vorgelegt werden und waren dann von fragwürdiger Qualität.
Befunde bzgl. Dokumentation von Organisation und Verfahren
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Befund Prozessmanagement
Keinerlei Kenntnisse - weder bei Administratoren noch bei Leitung, Verwaltung geschweige denn dem akademischen Personal - in Bezug auf methodischen Managementleitlinien für IT-Betrieb (a la ITIL, COBIT, ISO27001 oder BS, Datenschutzverordnung).
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Grundsätzliche Mindest-Anforderungen an ein Datenschutzmanagementsystem einer Hochschule
• Ausweis von Prüfpunkten zur Nachweisbarkeit bzw. zur Kontrolle der Rechtmäßigkeit der Datenverarbeitung,
• Durchführung von Kontrollen des Berichtwesens durch DSB,• Beauftragung von Prüfungen und Durchführen von anlaß-
oder regelmäßigen Kontrollen sowie interner Audits durch DSB,
• Beteiligung des DSB an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung/ Fortschreibung von Sicherheitskonzepten,
• Erreichen von Datenschutz-Awareness in der Organisation durch Schulungen. (Besondere Aufmerksamkeit sollte der Schulung von Lehrstuhlinhabern gelten, um mit diesen gemeinsam die rechtlichen Grenzen der Freiheit von Forschung und Lehre besser bestimmbar zu machen.)
• Kommunikation mit der Aufsichtsbehörde.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Wie anfangen?
• Der Leitung darlegen: Datenschutz ist zu einem konstruktiven Aspekt des Risk-Managements einer Organisation geworden!
• Datenschutz heute heisst: Konstruktive Beteiligung am Kommunikationsmanagement nach Innen und Außen.
• Mehr Ressourcen für Datenschutz einfordernDie gibt es aber nur, wenn die Datenschützerin oder der Datenschützer etwas sichtbar Funktionales zu bieten hat. Zumindest sollte sie/er tatsächlich ein wesentlicher Compliance-Wächter für eine Hochschule sein.
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Wie anfangen?
• Bündnispartner mit Interessensschnittmenge suchen– Personalrat: Mitarbeiterdatenschutz– Mit Studierendenvertretern sprechen– Kontakt zum RZ-Sicherheitsbeauftragten aufbauen
• BSI-Grundschutz ist Minimum für RZ-Sicherheits-Design, das bietet Strukturierung, an die man anknüpfen kann.
• Mit der IT eine Dokumentationstrategie vereinbaren, Verzeichnisse anlegen und dann pragmatisch ANFANGEN!
• Win-Win-Situationen herstellen und z.B. die „Protokollierung“ von Prozessen thematisieren: Wie erzeugt unsere Organisation eigentlich Transparenz in der IT? Das interessiert Alle.
– Konkret: Auf die IT (auch: HIS) zugehen und sich darlegen lassen, was wie wo protokolliert wird, unter welchen Umständen wer warum und wie diese Daten auswertet und wie grundsätzlich mit möglicherweise festgestellten Sicherheitsvorfällen dann umgegangen wird. Dazu bedarf es keines eigenen Technik-Know-hows.
• Selber als Projektmanager agieren und sich mit einer Projektmanagementmethode vertraut machen (z.B. PRINCE2)
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Fazit
• Die wesentlichen Prozesse gemäß ITIL sind im Bereich der Verwaltungs-IT an den Hochschulen noch nicht als solche gegeneinander separiert und hochauflösend konzipiert.
• Der Reifegrad dieser Prozesse bzw. des IT-Managements an den Hochschulen befindet sich bestenfalls auf Stufe 2. Das heisst: Es gibt „irgendwie laufende“ Prozesse, die wenig bis gar nicht dokumentiert und somit, aus der Perspektive der Organisations-steuerung, intransparent sind.
– Intransparenz wiederum bedeutet:
• Es ist kein hinreichend revisionssicherer oder beweisfester Nachweis der Rechtmäßigkeit des Verwaltungshandelns möglich (obwohl dieser operativ besser denn je möglich wäre).
• Keine prüffähe Transparenz der technisch-funktionalen Prozesse derzeit. (Und das bedeutet abgeleitet auch: Keine hinreichend präzisen Wirtschaftlichkeits- Berechnungen von Prozessen oder Verfahren möglich.)
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
ULD - Martin Rost
E-Mail:[email protected]
Telefon: 0431 988 1391ULD: Holstenstr. 98, 24103 Kiel