Spezifikationsbericht E-Procurement

Weitere Magazine

Empfehlungen

Info

SPEZIFIKATION DES VERFAHRENS „E-PROCUREMENT“ 4.5 Anforderungen an die Sicherheit Die Gewährleistung sicherer und vertraulicher Kommunikations- und Dienstleistungsangebote über das Internet ist eine zwingende Voraussetzung für die Akzeptanz und den Erfolg einer E-Vergabe-Lösung bei den Nutzern. Anforderungen an die Sicherheit beziehen sich einerseits auf den Datenschutz sowie andererseits auf die Daten- bzw. IT-Sicherheit. Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten 7 in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. Die Daten- bzw. IT-Sicherheit umfasst alle Maßnahmen für die Sicherstellung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten. Im Folgenden werden Anforderungen im Zusammenhang mit dem Datenschutz sowie der Daten- bzw. IT-Sicherheit erläutert. 4.5.1 Datenschutz Eine Kommune bzw. ein Kreis hat zu prüfen, ob und inwieweit personenbezogene Daten über die Vergabelösung erhoben, verarbeitet 8 oder genutzt werden. Für personenbezogene Daten muss generell ein Grundschutz gewährleistet werden. Im Bundesdatenschutzgesetz (BDSG) ist darüber hinaus geregelt, dass personenbezogene Daten verstärkt zu schützen sind (vgl. § 3 Abs. 9 BDSG). Werden über die Vergabelösung personenbezogene Daten (z. B. Kontaktdaten eines Mitarbeiters) übermittelt, sind entsprechende technische und organisatorische Maßnahmen des Datenschutzes zu treffen, so z. B.: • Feststellung und Bewertung des Schutzbedarfs personenbezogener Daten: Personenbezogene Daten sind im Hinblick auf ihren Schutzbedarf sowohl einzeln als auch im Gesamtkontext der Anwendung zu bewerten. Da an einer Vergabelösung verschiedene Stellen mitwirken können, ist darauf zu achten, dass die Daten der beteiligten Einrichtungen insgesamt bewertet werden. Die Ausgestaltung von Schutzmaßnahmen muss sich daran orientieren, welche Folgen für einen Betroffenen bei Datenschutzverletzungen entstehen können und welcher potenzielle Schaden für die Behörde eintreten kann. • Personelle Maßnahmen: Es ist ein Rollen- und Zugriffsrechtekonzept zu erstellen, das regelt, welche Personen im Rahmen ihrer jeweiligen Funktion (Anwen- 7 Als personenbezogene Daten werden einzelne Informationen gewertet, durch die sich Rückschlüsse auf die Identität oder die sachlichen Verhältnisse einer Person ziehen lassen (vgl. § 3 Abs. 1 Bundesdatenschutzgesetz), so z. B. Name, Anschrift, Staatsangehörigkeit, Familienstand, Beruf oder Einkommen. 8 Zur Verarbeitung personenbezogener Daten zählen das Speichern, Verändern, Übermitteln, Sperren und Löschen (§ 3 Abs. 5 BDSG). 40 von 64
SPEZIFIKATION DES VERFAHRENS „E-PROCUREMENT“ dungsentwickler, Systemadministrator, Anwenderbetreuer, Sachbearbeiter, Datenschutzbeauftragter) welche Daten erheben, verarbeiten und nutzen dürfen. • Veröffentlichung von Mitarbeiterdaten der Kommune bzw. des Kreises: Eine Die Veröffentlichung von Bedienstetendaten (z. B. Kontaktdaten) auf der Vergabeplattform sollte nur erfolgen, wenn der Dienstverkehr es erfordert oder die Einwilligung des Bediensteten eingeholt wurde. • Veröffentlichung personenbezogener Daten weiterer Akteure: Die Veröffentlichung von personenbezogenen Daten weiterer Akteure setzt in jedem Fall eine Einwilligung voraus. • Protokollierung der Nutzung: Für Art, Umfang und Aufbewahrung der Protokollierung und Bestandsdaten gilt der Grundsatz der Erforderlichkeit. Protokolldaten dürfen nur zu den Zwecken genutzt werden, die Anlass für ihre Speicherung waren. Die Verwendung von Protokolldaten zu Zwecken der Verhaltens- und Leistungskontrolle ist untersagt. Nur im Einzelfall ist eine Auswertung der Protokolldaten zur Aufdeckung von Missbräuchen zulässig. • Nutzungsbedingungen: Nutzungsbedingungen regeln die Bedingungen der Inanspruchnahme elektronischer Informations- und Dienstleistungsangebote. Dazu zählen beispielsweise Ausführungen zum Datenschutz, die Abgrenzung des Angebots der Verwaltung von dem Angebot anderer Behörden oder privater Rechtsträger sowie Regelungen zur Haftung bei mangelnder Verfügbarkeit der Dienste und für Verweise auf fremde Webseiten (Hyperlinks) etc. Die Formulierung der Nutzungsbedingungen ist abhängig vom Umfang des Dienstleistungsangebots. Die Nutzungsbedingungen sollten in der Vergabelösung integriert sowie über einen deutlichen Hinweis auf der Angebotsseite leicht erreichbar sein. • Beteiligung des Datenschutzbeauftragten: Durch den Einbezug des behördlichen Datenschutzbeauftragten wird gewährleistet, dass die Kommune bzw. der Kreis den Erfordernissen des Datenschutzes umfassend Rechnung trägt. Umfassende Lösungskonzepte sowie Leitlinien zum Thema Datenschutz sind im E-Government-Handbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 9 niedergelegt. 4.5.2 Datensicherheit/IT-Sicherheit 4.5.2.1 Schutzbedarfsfeststellung Mit der Schutzbedarfsfeststellung wird für identifizierte onlinefähige Dienstleistungen definiert, welchen Schutzbedarf die ihr zu Grunde liegende Kommunikation zwischen 9 Vgl. BSI 2005b. 41 von 64
Seite 1 und 2: Spezifikationsbericht „E-Procurem
Seite 3 und 4: VORWORT Vorwort An der Nahtstelle v
Seite 5 und 6: INHALTSVERZEICHNIS Inhaltsverzeichn
Seite 7 und 8: ABBILDUNGSVERZEICHNIS Abbildungsver
Seite 9 und 10: ABKÜRZUNGSVERZEICHNIS Abkürzungsv
Seite 11 und 12: EINLEITUNG 1 Einleitung Die Initiat
Seite 13 und 14: EINLEITUNG zu stellen, wurden diese
Seite 15 und 16: HARMONISIERUNG IM RAHMEN DER INITIA
Seite 17 und 18: HARMONISIERUNG IM RAHMEN DER INITIA
Seite 19 und 20: BESCHREIBUNG DES VERFAHRENS „E-PR
Seite 25 und 26: SPEZIFIKATION DES VERFAHRENS „E-P
Seite 39: SPEZIFIKATION DES VERFAHRENS „E-P
Seite 47 und 48: PRAXISBEISPIELE AUS DEN TRANSFER-KO
Seite 55 und 56: LITERATURVERZEICHNIS Literaturverze
Seite 57 und 58: ANHANG 1 - SCHUTZBEDARFSFESTSTELLUN
Seite 59 und 60: ANHANG 1 - SCHUTZBEDARFSFESTSTELLUN
Seite 61 und 62: ANHANG 2 - KRITERIENKATALOG FÜR SO
Seite 63 und 64: ANHANG 2 - KRITERIENKATALOG FÜR SO

Spezifikationsbericht E-Procurement

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?