Die folgende Datensicherheitsvorschrift regelt die
Datensicherheitsma�nahmen beim Verwenden von Daten zum Aufbau und Betrieb bis
zur Aufnahme des Echtbetriebes des Zentralen Melderegisters (im folgenden:
�ZMR�) durch die Meldebeh�rde der Gemeinde
Fuschl am See
Die folgende Datensicherheitsvorschrift wird f�r den
Bereich der Systeme, �ber die der Zugang zum ZMR erfolgen soll, erlassen.
Sie gilt f�r die Bediensteten der Gemeinde Fuschl am See bzw. ihres
Dienstleisters sowie f�r die Bediensteten des Betreibers des ZMR (= des Bundesministers f�r Inneres) und
diejenigen Personen, die die R�ume, in denen Arbeitspl�tze oder sonstige
Komponenten des Systems installiert sind, betreten.
Der Umfang der Datenverwendung im System umfasst
s�mtliche in � 4 Zif. 8 DSG 2000 angef�hrten Handhabungen.
Daten d�rfen nur auf Grund von generellen oder speziellen Auftr�gen von Organen (B�rgermeister) der Gemeinde Fuschl am See oder des Bundesministers f�r Inneres im Rahmen der durch die Zust�ndigkeitsregelungen erfolgten Aufgabenstellungen in Vollziehung des Meldegesetzes verwendet werden.
Jede Meldebeh�rde hat zumindest einen Verantwortlichen f�r die Datensicherheitsma�nahmen im Rahmen der Datenverarbeitung f�r das ZMR zu bestellen und dem Betreiber des ZMR zu benennen; dieser Verantwortliche kann vom Betreiber des ZMR erm�chtigt werden, Zugriffsberechtigungen f�r den Betrieb des ZMR zu erteilen, sofern der Betreiber des ZMR die Berechtigungen nicht selbst vergibt. Verantwortlicher ist der jeweilige B�rgermeister der Gemeinde Fuschl am See.
Der Verantwortliche hat nach Ma�gabe des jeweiligen Standes der Technik und der organisatorischen M�glichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsma�nahmen zu organisieren und umzusetzen. Er hat insbesondere die Zust�ndigkeiten und Regeln f�r die Programmverwaltung in seinem Bereich festzulegen, sowie die Voraussetzungen f�r den physischen Zugriff auf die Daten des ZMR in seinem Zust�ndigkeitsbereich zu schaffen. Es obliegt diesem Verantwortlichen, alle Personen, die am Betrieb des Systems teilnehmen, �ber die Geheimhaltungsbestimmungen gem. � 15 DSG 2000 bei Dienstantritt zu belehren.
F�r den Verbindungsaufbau zum ZMR sind die vom Betreiber zur Verf�gung
gestellten Software-Zertifikate zu verwenden. Software-Zertifikate sind
Schl�ssel, die den Zugang zum ZMR �ber dezentrale Systeme er�ffnen und jedes
zugriffsberechtigte System eindeutig identifizieren. Anstelle von
Arbeitsplatz-Systemen kann mit einem Software-Zertifikat auch ein
Gateway-System authentifiziert werden, das sich in der Verf�gung des Anwenders
oder eines von ihm beauftragten Dienstleisters befindet.
Die Software-Zertifikate f�r die Gateway- und/oder Arbeitsplatz-Systeme
f�r den ZMR-Betrieb sind von eigens dazu mit Administrationsrechten
ausgestatteten Benutzern �ber eine entsprechende Datenanwendung des Betreibers
zu bestellen und werden in der Folge vom Betreiber zur Verf�gung gestellt.
Die Software-Zertifikate sind von den oa. administrationsberechtigten
Benutzern unter Verwendung der ihnen vom Betreiber zur Verf�gung gestellten
TAN-Codes auf den entsprechenden Rechnern zu installieren.
Wird ein Ger�t, das den Zugang zum ZMR erm�glicht, aus dem
Beh�rdenbereich oder einer Dienststelle entfernt, ist sicher zu stellen, dass
eine unberechtigte Verwendung der Software-Zertifikate ausgeschlossen ist. Im
Hinblick auf die besondere Schutzw�rdigkeit der Software-Zertifikate ist
sicherzustellen, dass bei Abbau von Gateway- oder Arbeitsplatz-Systemen
(Workstations), die Software-Zertifikate deinstalliert und bis zum allf�lligen
Installieren auf einem neuen Rechner sicher verwahrt werden.
Sollte ein Software-Zertifikat nicht mehr ben�tigt werden, so ist dieser
Umstand umgehend dem Betreiber (Abteilung IV/8 des Bundesministeriums f�r Inneres)
(fern-)schriftlich zur Kenntnis zu bringen.
Der Zugriff auf Software-Zertifikate durch Unbefugte ist jedenfalls durch
geeignete bauliche, technische und organisatorische Ma�nahmen zu verhindern.
Durch organisatorische und technische Vorkehrungen
ist sicher zu stellen, dass der Zutritt zu R�umen, in denen sich eine
Zugriffsm�glichkeit auf das ZMR befindet, grunds�tzlich nur Bediensteten der
Beh�rde m�glich ist.
Dar�berhinaus ist der Aufenthalt im (in den) Raum
(R�umen) des Systems nur den Bediensteten des Dienstleisters in Erf�llung
dienstlicher Auftr�ge, ferner dem Wartungs- und Reinigungspersonal f�r die
Dauer der erforderlichen T�tigkeit, sowie Angeh�rigen des Betreibers in
Erf�llung ihrer dienstlichen Auftr�ge, gestattet.
F�r den Fall, dass der Zutritt von Personen, die weder dem Personal, welches berechtigt ist, am Betrieb des Systems teilzuhaben, noch sonst den oa. zutrittsberechtigten Personen zuzurechnen sind, erforderlich ist, ist ausnahmslos daf�r Sorge zu tragen, dass eine Einsichtnahme in das ZMR durch entsprechende Ma�nahmen (z.B. entsprechende Aufstellung der Datensichtger�te, �rtliche Abgrenzung durch entsprechende M�blierung, Reduktion der Helligkeit des Bildschirmes auf jenes Ma�, das ein Ablesen von Informationen unm�glich macht, etc.) nicht m�glich ist.
�berdies ist �ber den Zutritt Angeh�riger von Firmen, die in den R�umlichkeiten des Systems Arbeiten zu verrichten haben, sowie �ber Bedienstete, die nicht der Gemeinde bzw. dem Dienstleister angeh�ren, w�hrend der Betriebszeit des Systems ein Besucherbuch zu f�hren, in welches Name, Firma, Dienststelle, Zeitpunkt des Zutritts und Verlassens des Raumes (der R�ume) des Systems, einzutragen sind.
Die Bediensteten, die am Betrieb des Systems teilhaben, haben die Pflicht, den Zutritt unbefugter Personen nach M�glichkeit zu verhindern.
Mitgliedern der Datenschutzkommission und des Datenschutzrates ist nach erfolgter Ausweisleistung der Zutritt zu gew�hren, sofern sie im dienstlichen Auftrag t�tig werden. Auf Verlangen sind die f�r deren Aufgabenerf�llung erforderlichen Ausk�nfte zu erteilen und die Einsicht in schriftliche Unterlagen zu gew�hren. Im Fall des Zutritts eines Mitgliedes der Datenschutzkommission oder des Datenschutzrates sind umgehend der B�rgermeister der Gemeinde Fuschl am See und der Betreiber (hier: Abteilung IV/8 des Bundesministeriums f�r Inneres) zu verst�ndigen.
4.3.1 Jedem Benutzer des Systems werden nach Ma�gabe der rechtlichen, technischen und organisatorischen Voraussetzungen die f�r seinen Aufgabenbereich erforderlichen Zugriffsberechtigungen vom Betreiber des ZMR individuell zugewiesen, sofern nicht der gem�� Punkt 3 Verantwortliche vom Betreiber (hier: Abteilung IV/8 des Bundesministeriums f�r Inneres) erm�chtigt wird, die Zugriffsberechtigungen f�r den Betrieb des ZMR selbst zu erteilen.
Der Datenschutz ist in diesem Zusammenhang nach Ma�gabe der technischen M�glichkeiten durch die Verwendung der vom Betreiber vergebenen Benutzeridentifikationen und Kennw�rter sicherzustellen.
Kennw�rter sind jedenfalls geheimzuhalten und m�ssen in periodischen Zeitabst�nden ge�ndert werden.
Benutzer werden jedenfalls nach dreimaliger Falscheingabe am System automationsgest�tzt gesperrt; die Freigabe der Benutzerberechtigung erfolgt nur �ber (fern-)schriftlichen Antrag von einem dazu berechtigten Administrator (bzw. gem�� Punkt 3 Verantwortlichen) beim Betreiber.
4.3.2. Sofern der gem�� Punkt 3 Verantwortliche vom Betreiber (hier: Abteilung IV/8 des Bundesministeriums f�r Inneres) erm�chtigt wird, die Zugriffsberechtigungen f�r den Betrieb des ZMR selbst zu erteilen, hat er f�r seinen Zust�ndigkeitsbereich die Zugriffsberechtigungen f�r das ZMR f�r die einzelnen Benutzer individuell zuzuweisen. Er hat hiebei insbesondere f�r die Erfassung der Zugriffsberechtigten und deren einzelne Berechtigungen zum System zu sorgen und die Aufgabenbereiche der Zugriffsberechtigten, den Umfang der Zugriffsberechtigung(en) zum ZMR (Update, Anfragen) festzulegen, sowie die Ver�nderungen (einschlie�lich des Entzugs der Berechtigungen) im Bereich des auf das ZMR zugriffsberechtigten Personals umzusetzen.
4.3.3. Benutzer sind vom gem�� Punkt 3 Verantwortlichen von der weiteren Benutzung f�r immer oder f�r eine bestimmte Zeit von der Aus�bung ihrer Zugriffsberechtigung auszuschlie�en, wenn
1. sie diese zur weiteren Erf�llung der ihnen
�bertragenen Aufgaben nicht mehr ben�tigen oder
2. sie die Daten nicht entsprechend den f�r den Betrieb des ZMR ma�geblichen Bestimmungen verwenden.
Der oa. Entzug der Zugriffsberechtigung ist vom gem�� Punkt 3 Verantwortlichen dem Betreiber des ZMR unverz�glich mitzuteilen, sofern ihm die Datenerfassung f�r die Benutzerverwaltung des ZMR nicht vom Betreiber �bertragen wurde.
4.3.4. Ben�tzung von Schnittstellen
Bei Nutzung der Schnittstellen zum ZMR (Applikationsgateways) sind jedenfalls zur Identifikation des Benutzers sowie zur Protokollierung der Datenverarbeitung die Stammdaten eines Benutzers (Familienname, Vorname, User-ID, SV-Nr., und Berechtigung) an das BMI-Portal zu �bermitteln.
Der Raum des Systems stellt eine Sicherheitszone dar (Einzelplatzsystem). Bei Mehrplatzsystemen ist eine Unterteilung in mehrere Sicherheitszonen vorzunehmen (Server/Arbeitspl�tze). Die Sicherheitszonen sind jeweils durch geeignete Ma�nahmen vor dem Zutritt unberechtigter bzw. unbefugter Personen zu sch�tzen.
Die Aufstellung von EDV-Ger�ten, insbesondere
Bildschirmen bzw. deren Betrieb hat unter Bedachtnahme darauf zu erfolgen, dass
au�enstehende Personen, wie Parteien, Angeh�rige und sonstige Unbefugte, deren
Eintritt in den Raum (die R�ume) des Systems durch den Dienstbetrieb notwendig
wird, nicht Einblick in das ZMR haben k�nnen (entsprechende Aufstellung der
Ger�te, entsprechende Vorkehrung bei der M�blierung).
Sofern bei dem(n) Datensichtger�t(en) ein
Betriebsschloss installiert ist, mit dessen Hilfe der Zugriff auf Daten
verhindert wird, ist f�r den Zeitraum, in dem befugte Personen nicht im Raum
(in den R�umen) des Systems aufhalten bzw. f�r den Zeitraum au�erhalb der
Betriebsstunden, dieses zu sperren und der Schl�ssel so zu verwahren, dass
unbefugte Personen keinen Zugriff haben k�nnen.
Jedenfalls ist bei Verlassen des Arbeitsplatzes
zumindest die Bildschirmsperre zu aktivieren.
Im Falle von Betriebsst�rungen, deren Behebung den
Einsatz von Personen, die nicht der Gemeinde bzw. dem Dienstleister, bei dem
der Gateway-Rechner installiert ist, angeh�ren, erforderlich macht, sind die
allenfalls im Zugriff befindlichen wechselbaren Datentr�ger aus den f�r den
Systembenutzer zug�nglichen Laufwerken zu entfernen und sicher zu verwahren,
sowie der Zugriff auf Daten bzw. das unbefugte Lesen von Datenbest�nden durch
Hard- und/oder Softwarema�nahmen zu verhindern.
Ein allenfalls vorhandener Server und dessen
allenfalls vorhandene Konsole sind jedenfalls versperrt (z.B.:
Sicherheitsschrank, Anlageraum) unterzubringen. Der gem�� Punkt 3 Verantwortliche
hat Regeln betreffend die sichere Verwahrung und Ausgabe der Schl�ssel f�r die
Versperrungseinrichtung des Servers und deren �ffnung bzw. das Manipulieren am
Server zu erlassen und f�r die Kontrolle von deren Einhaltung sowie f�r die
Dokumentation dieser Vorg�nge zu sorgen.
F�r den Fall, dass der Server zu Servicezwecken aus dem
Sicherheitsschrank und dieser oder ein Gateway-Rechner aus dem Bereich der
Gemeinde bzw. des Dienstleiters, bei der er installiert ist, entfernt werden
muss, ist daf�r Sorge zu tragen, dass eine unautorisierte Verwendung nicht
stattfinden kann. Bei einer Verbringung des Servers zu einer Fremdfirma, sind
die Daten jedenfalls zu l�schen und das Zertifikat zu deinstallieren. Dieser
Vorgang ist im Schl�sselprotokoll zu dokumentieren.
Es ist sicher zu stellen, dass geeignete, dem
jeweiligen Stand der Technik entsprechende und wirtschaftlich vertretbare
Vorkehrungen getroffen werden, um eine Vernichtung oder Ver�nderung der Daten
durch Programmst�rungen (Viren) zu verhindern.
Das Auftreten von Programmst�rungen, die den
Datenbestand gef�hrden k�nnen, ist dem Betreiber des ZMR unverz�glich
mitzuteilen.
S�mtliche personenbezogene Daten sind geheimzuhalten.
S�mtliche Datentr�ger sind so zu verwahren, dass sie vor unbefugtem Zugriff gesch�tzt sind (versperrbare Kassetten, Schr�nke, F�cher, etc.). Der Zugriff zu den Datentr�gern ist vom Verantwortlichen gem�� Punkt 3 zu organisieren und zu dokumentieren. Analoges gilt f�r Datensicherungen.
Ausdrucke oder sonstige schriftliche Unterlagen, die Daten des ZMR enthalten, sind, wenn sie nicht mehr f�r den Dienstgebrauch ben�tigt werden oder nach Ablauf der in den einschl�gigen Kanzlei- und Skartierungsvorschriften festgelegten Aufbewahrungsdauer, so zu sammeln und zu vernichten, dass der Inhalt der Unterlagen nichtberechtigten Personen nicht zug�nglich werden kann. Datentr�ger, die nicht mehr ben�tigt werden oder nicht mehr verwendet werden k�nnen, sind einer vollst�ndigen physischen L�schung aller Daten auf dem Datentr�ger durch entsprechende Programme bzw. der kontrollierten Vernichtung zuzuf�hren.
Unbeschadet der Verpflichtungen des Betreibers des ZMR ist daf�r zu sorgen, dass Aufzeichnungen gef�hrt werden, die die Zul�ssigkeit der tats�chlich im Bereich des ZMR durchgef�hrten Verwendungsvorg�nge im notwendigen Ausma� nachvollziehbar machen, wie insbesondere �nderungen, Abfragen und �bermittlungen.
Zugriffsprotokolle sind gesichert aufzubewahren und - unbeschadet anderer Regelungen betreffend die Skartierung von Aktenst�cken - 3 Jahre nach erfolgtem Zugriff auf das ZMR kontrolliert zu vernichten. Davon darf in jenem Ausma� abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zul�ssigerweise fr�her gel�scht oder l�nger aufbewahrt wird (� 14 Abs. 5 DSG 2000).
Protokoll- und Dokumentationsdaten d�rfen nicht f�r Zwecke verwendet werden, die mit ihrem Ermittlungszweck � das ist die Kontrolle der Zul�ssigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes � unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Pr�fung ihrer Zugriffsberechtigung, es sei denn, dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach � 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren H�chstma� f�nf Jahre �bersteigt, handelt
Die Kontrolle der Einhaltung der Datensicherheitsvorschriften f�r das System obliegt dem gem�� Punkt 3 Verantwortlichen. Er hat daf�r Sorge zu tragen, dass eine aktuelle Fassung dieser Datensicherheitsvorschrift zur Einsichtnahme durch die Benutzer an jedem System-Arbeitsplatz aufliegt. Ihm obliegt die Sammlung bzw. Aktualisierung s�mtlicher Vorschriften, die sich auf den Systemarbeitsplatz beziehen.
Dar�berhinaus �berpr�ft der Betreiber (hier: Abteilung IV/8 des Bundesministeriums f�r Inneres) im Zusammenwirken mit der Meldebeh�rde durch Stichproben, ob die Verwendung der Daten des ZMR den einschl�gigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsma�nahmen ergriffen worden sind.
Der gem�� Punkt 3 Verantwortliche ist berechtigt, bei Gefahr im Verzug Abweichungen von dieser Datensicherheitsvorschrift anzuordnen. Sollte eine Abweichung von dieser Datensicherheitsvorschrift erforderlich geworden sein, sind ehestm�glich der Dienststellenleiter bzw. dessen Vertreter und der Betreiber des ZMR (hier: Abteilung IV/8 des Bundesministeriums f�r Inneres) zu verst�ndigen. Abweichungen von der Datensicherheitsvorschrift sind schriftlich festzuhalten.
In den Anordnungen f�r den Katastrophenfall, die vom ...(Angabe des entsprechenden Funktionstr�gers) ... auf Grund der �rtlichen Gegebenheiten zu erlassen sind, sind Datenschutzaspekte soweit als m�glich zu ber�cksichtigen.
Bedient sich die Meldebeh�rde f�r den Datenverkehr mit dem Zentralen Melderegister eines privaten Dienstleisters, ist dieser - unbeschadet der sonstigen gesetzlichen Verpflichtungen gem�� �� 10ff DSG 2000 - zur Einhaltung aller datenschutzrechtlichen Bestimmungen und Ergreifung der in dieser Vorschrift und in der Meldedatensicherheitsma�nahmen-Verordnung des Bundesministers f�r Inneres, BGBl. II Nr. 174/2001, vorgesehenen Datensicherheitsma�nahmen zu verpflichten.
Der Wechsel oder das Ausscheiden eines Dienstleisters ist dem Betreiber des ZMR (hier: Abteilung IV/8 des Bundesministeriums f�r Inneres) unverz�glich mitzuteilen.
Diese Sicherheitsvorschrift tritt am 01.09.2001 in Kraft.
Der B�rgermeister:
(Ing. Hartmut Schremser)
Angeschlagen am:
Abgenommen am: