EDV Verfahrensrichtlinie

Verfahrensrichtlinie
Umgang mit EDV-Anlagen
und
Software

PLANUNG – ERSTELLUNG – UMSETZUNG

Planung / Herausgeber: Maik Güttge [www.kommunal-forum.de]
Dokumentenstand: 28.06.2017
Dokumentversion: 1.0

1. Allgemeine Informationen

Diese Verfahrensbeschreibung erhebt keine Ansprüche auf Vollständigkeit. Sie ist lediglich eine Empfehlung. Garantie und Gewährleistungsansprüche können nicht geltend gemacht werden. Für Hinweise und Zuarbeiten ist der Herausgeber dankbar.

Die Umsetzung und der Umfang einer EDV-Verfahrensrichtlinie ob liegt jedem selbst.

Folgender Grundsatz gilt und sollte jeder Kommune immer bewusst sein:

Fehler an Hardware oder Software, Viren, Bedienungsfehler, menschliche Fehler und Versäumnisse, Ereignisse wie Brand und Wasserschaden können Daten zerstören und den Arbeitsablauf der Prozesse einer Kommune empfindlich stören. Ein Schadensfall kann im ungünstigen Fall zeitaufwendig, kostenintensiv bzw. die Arbeitsfähigkeit einer Kommune komplett außer Betrieb setzen. Eine Wiederherstellung ist nur dann möglich wenn Daten und Einstellungen vorher zeitgemäß gesichert wurden.

Eine EDV-Verfahrensrichtlinie kann hier nur unterstützend sein, um Mängel und Engpässe im EDV-Konzept aufzudecken bzw. diese frühzeitig zu erkennen.

Die EDV-Verfahrensrichtlinie wird stetig angepasst und fortgeschrieben. Bitte kontrollieren Sie, ob eine neue Fassung der Richtlinie vorliegt.

1.1 Datensicherung

Die Kommune hat sicher zu stellen, dass eine korrekte Datensicherung an den Serveranlagen erfolgt. Dabei ist mindestens einmal täglich eine Datensicherung vorzunehmen und es sollte immer 5 Tage rückwirkend an Sicherungen vorliegen. (5-Generationen-Sicherungsprinzip). Die Datensicherung sollte zu Zeiten erfolgen, wo Sie den täglichen Arbeitsprozess nicht beeinflusst, d.h. in der Regel erfolgt diese in den Nachtstunden. Die Protokolle sind von einem sachverständigen Mitarbeiter der Kommune regelmäßig, aber mindestens einmal wöchentlich, zu prüfen.

Die Datensicherung sollte dabei umfassen:

  • sämtliche Datenbanken und Daten von Anwendungen bzw. Fachverfahren
  • sämtliche aktuellen Programmstände und Programm-Ordner von Fachverfahrenssoftware
  • abgelegte Dokumente und Einstellungen von Anwendern und Fachverfahren
  • sonstige zum reibungslosen Betriebsablauf dazugehörende Software und Dokumente

Im Abstand von maximal 1 bis 2 Monaten ist eine vollständige Rücksicherbarkeit der Datensicherung zu prüfen.

Die Datensicherungsmedien sind stets so zu verwahren, dass diese gegen Diebstahl, Feuer und Wasser geschützt sind. Zu empfehlen ist, ein Sicherungsmedium ortsfremd sicher aufzubewahren, beispielsweise in einem örtlichen Bankschließfach. Eine Verwahrung im privaten Umfeld von Angestellten ist aus Gründen von Diebstahl und Datenschutz zu vermeiden.

1.2 Virenschutz

Die Rechner sind mit einer marktgängigen und für gut eingeschätzten Anti-Virenlösung auszustatten. Dieses betrifft sowohl die Serveranlagen als auch die Arbeitsstationen. Die regelmäßige Aktualisierung der Virensignaturen an den EDV-Anlagen sollte mindestens einmal je Monat überprüft werden.

1.3 Dokumentenablage

Die Daten- und Dokumentenablage ist nur auf den EDV-Serveranlagen zulässig. Eine Ablage von Daten und Dokumenten auf lokalen Arbeitsplatzanlagen ist nicht zulässig und zu unterbinden. Hintergrund: In der Regel sind die lokalen Arbeitsplätze zum Zeitpunkt der Datensicherung aus und können somit nicht als Bestandteil der Datensicherung mit eingeschlossen werden.

Die Arbeitsplätze sind nach Möglichkeit so zu konfigurieren, das die Daten- und Dokumentenhaltung automatisch auf den Serveranlagen erfolgt, so dass ein menschliches Fehlverhalten ausgeschlossen werden kann.

Eine manuelle Sicherung an lokalen Arbeitsplätzen sollte aus Gründen des Datenschutzes per Dienstanweisung unterbunden werden.

Der Zugang auf EDV-Fachverfahren bzw. Dokumente ist auf das notwendige Minimum zu beschränken.

1.4 Passwörter

Sowohl lokale Anmeldepasswörter als auch Zugangspasswörter zu EDV-Systemen, Software und Portalen sind mit sicheren Kennwörtern auszustatten. Leere Kennwörter sind nicht zu lässig, ebenso sind Geburtsdaten, Nachnamen und Vornamen von Kindern und Anverwandten nicht zulässig. Passwörter können zur Sicherheit hinterlegt werden, allerdings nicht in unmittelbarer Nähe der EDV-Anlage.

Eine Kopie aller Kennwörter ist beim nächsten höheren Mitarbeiter oder Fachbereichs- bzw. Amtsleiter zu hinterlegen.

Kennwörter und Zugangsdaten in eMails sollten nach Kenntnisnahme unwiederholbar gelöscht werden. Dies schließt auch softwaremäßige Papierkorb-Mechanismen ein.

1.5 Verdachtsfälle auf Missbrauch

Verdachtsfälle auf Missbrauch sind dem nächsten höheren Mitarbeiter oder Fachbereichs- bzw. Amtsleiter zu melden. Jedem Verdachtsfall von Missbrauch ist nachzugehen. In jedem Fall sind im Missbrauchsverdachtsfall betroffene Zugänge und Kennwörter des Bereiches zu ändern.

1.6 Datenschutzbeauftragter

Neben einem sachkundigen Mitarbeiter, welcher die Verfahrensrichtlinie überwacht, sollte ein ebenso fachkundiger Datenschutzbeauftragter benannt werden, der als zweite Kontrollinstanz dient und die Einhaltung der Verfahrensrichtlinie mit überwacht.

Der Datenschutzbeauftragte ist schriftlich zu bestellen und per Datenschutzgesetz gesetzlich vorgeschrieben.

1.7 Datenschutz

Der Datenschutz der EDV-Anlagen und Software-Fachverfahren sollte folgende Kernthemen berücksichtigen:

  • Schutz personenbezogener Daten
  • Schutz vor unberechtigtem Zugriff
  • keine personenbezogenen Daten unverschlüsselt übertragen bzw. versenden
  • Vermeidung von Fehleingaben
  • Vermeidung von absichtlicher Fälschung, Manipulation oder Missbrauch
  • Schutz vor Diebstahl

1.8 Technische Ausstattung

Die EDV-Serveranlagen sollten mit folgendem Gefahrenschutz ausgestattet sein:

  • Brandschutz
    • Verwendung feuerfester Materialen
    • Feuerlöscher
    • Feuerfeste Türen
  • Blitz bzw. Überspannungsschutz
    • Steckdose mit Blitzschutz
    • separater Stromkreis für EDV-Serveranlagen
    • Notstromversorgung mit Überspannungsschutz
  • Notstromversorgung
  • Türsicherung
  • Sicherheitsschloss
  • Schließsystem mit begrenztem Zugriff
  • Parallelrechner
  • regelmäßige Anlagenwartung

1.9 Kontrollfunktionen

Dem fachkundigen Mitarbeiter obliegt in Zusammenarbeit mit dem Datenschutzbeauftragten folgende regelmäßige Kontrollfunktion:

  • Kontrolle der Datensicherung
  • Kontrolle der Virenscanner
  • Zugangsberechtigungen zu EDV-Fachverfahren
  • Benutzer-Rechte im Betriebssystem und Netzwerk
  • Kompetenzregelungen
  • Einhaltung des Datenschutzes
  • Dokumentation von Fehler und deren Behebung
  • Dokumentation von Verfahrensfehlern in EDV-Fachverfahren und deren Behebung
  • Technische Kontrolle der EDV-Anlagen bzw. Überprüfung von Wartungsintervallen

Sofern für eine Kontrollfunktion ein anderer Mitarbeiter benannt wurde bzw. eine IT-Fachfirma beauftragt wurde, ist dieses vertraglich festzuhalten bzw. von beiden Vertragsparteien zu unterschreiben.

1.10 Auswirkungen des Datenschutzgesetzes (BDSG)

  • Benachrichtungspflicht (§33 BDSG)
    Der Bürger ist über die Speicherung von Daten zu seiner Person zu unterrichten bzw. zu benachrichtigen, wenn er keine Kenntnis über die Speicherung seiner Daten hat, es sei denn die Angaben sind mit allgemein zugänglichen Quellen übereinstimmend.
    Es sind nur Daten zu speichern, welche für den Verfahrensablauf zwingend notwendig sind, sofern diese nicht allgemein bekannt sind.

  • Auskunftspflicht (§34 BDSG)
    Jedem Bürger ist auf Verlagen Auskunft über die zu seiner Person gespeicherten Daten zu geben. Es obliegt der Kommune dafür ein Entgelt zu erheben.

  • Berichtigungspflicht (§§4, 27 BDSG)
    Falsche personenbezogene Daten sind umgehend zu korrigieren.

  • Löschungspflicht(§§ 35, 2 BDSG)
    Für das Verfahren nicht notwendige Daten sind zu löschen. Ebenso wenn die Kenntnis der Daten nicht mehr notwendig ist, bspw. wenn das Vertrags- oder Abgabenverhältnis gekündigt wurde bzw. die Richtigkeit der Daten nicht nachgewiesen werden kann.

1.11 Datengeheimnis
Den an EDV-Fachverfahren beteiligten Anwendern sind untersagt personenbezogene Daten, Inhalte und Informationen an nicht am EDV-Fachverfahren beteiligte Personen weiterzugeben.

1.12 Eingabenkontrolle
Es ist sicherzustellen, das nachträglich überprüft und festgestellt werden kann, wann und von wem Daten in EDV-Fachverfahren eingegeben, verändert bzw. entfernt wurden. Ein- und Ausgabeprotokolle und Belege sind zur Kontrolle der Eingaben aufzubewahren.

1.13 EDV-Fachverfahrenssoftware

Über die eingesetzte Verfahrenssoftware innerhalb der Kommune ist ein Verzeichnis zu führen. Die Verwendung nicht aufgeführter EDV-Software ist nicht zulässig.

Generell sollten für die EDV-Fachverfahrenssoftware Wartungsverträge abgeschlossen sein, damit immer der neuste Rechtsstand eingearbeitet ist und mit der neuesten Version gearbeitet wird.

Es sollte generell immer nur mit der neusten freigegebenen Version des Herstellers gearbeitet werden, da nur so sicher gestellt ist, dass bekannte Fehler korrigiert sind und die Software den Rechtsvorschriften entspricht.

Sollte für eine Software kein Wartungsvertrag vorliegen, ist der Verfahrensbediener kontrollpflichtig, ob die Software den aktuellen Rechtsvorschriften des Bereiches obliegt. Sollten hier Abweichungen festgestellt werden, ist die Arbeit mit der Verfahrenssoftware einzustellen und dem sachkundigen Mitarbeiter bzw. Fachbereichs- oder Amtsleiter Meldung zu erstatten.

Aufgetretene Verfahrens- und Programmfehler sollten über den sachkundigen Mitarbeiter bzw. Fachbereichs- oder Amtsleiter direkt an den Hersteller gemeldet werden und mit einer Nachfrist behoben und korrigiert werden. Der Mitarbeiter führt darüber ein Verzeichnis und die Kontrolle der Behebung des Sachmangels. Die inhaltliche Prüfung der Behebung des Sachmangels erfolgt durch den Verfahrensbediener der Software.
Generell sollte für gleiche Aufgabenstellungen die gleiche Verfahrenssoftware festgelegt werden, damit die Daten inhaltlich in der gleichen Form durch alle Mitarbeiter verarbeitet werden und ein geradliniger Informationsfluss möglich ist.

1.14 Fernwartung und Fremdzugriff
Fernwartungszugriffe von Dritten, IT Fachfirmen oder sonstigen Verfahrensbeauftragten sind nur unter Beobachtung des Verfahrensbedieners zulässig. Ein unkontrollierter Zugriff auf die EDV-Anlagen ist nicht zulässig. Der Zugriff von Firmen ist vom Zeitpunkt und dem Grund des Zugriffes zu dokumentieren.