LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/12250 14.06.2016 Datum des Originals: 13.06.2016/Ausgegeben: 17.06.2016 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 4792 vom 17. Mai 2016 des Abgeordneten Theo Kruse CDU Drucksache 16/12047 Mangelhafte Datensicherheit in den nordrhein-westfälischen Kommunen? Wortlaut der Kleinen Anfrage Der 22. Datenschutz- und Informationsfreiheitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit (Vorlage 16/2934) stellt verschiedene Aspekte aus dem Bereich des Datenschutzes und der Informationsfreiheit in Nordrhein-Westfalen vom 1. Januar 2013 bis 31. Dezember 2014 dar. Ab S. 91 ff. des Berichts wird über eine flächendeckende Querschnittserhebung berichtet, die der Landesdatenschutzbeauftragte zur Frage der Datensicherheit in den Kommunen durchgeführt hat. Der Erhebung zufolge hat ein Drittel der Kommunen (33 %) bislang überhaupt kein Sicherheitskonzept für die Datenverarbeitung erstellt und hält sich damit nicht an die Vorgaben des § 10 Abs. 3 DSG NRW. Diese Zahl ist auffallend hoch, zumal die Verpflichtung zur Erstellung eines Sicherheitskonzeptes bereits seit der Novellierung des Datenschutzgesetzes im Jahre 2000 besteht. Nur etwa 43 % der Kommunen verfügen zudem über ein sogenanntes Schutzstufenkonzept, das nötig ist, um konkrete Schutzbedarfe überhaupt ermitteln und den weiteren IT-Sicherheitsprozess entsprechend anpassen zu können. Ebenfalls nur 43 % der Kommunen unterziehen ihre IT-Ausstattung umfangreichen Sicherheitstests mit Mitteln und Methoden, die ein Angreifer einsetzen würde (Penetrationstests). In gut einem Viertel (26 %) aller NRW-Kommunen fehlt sogar beides, d.h. dort hat man weder ein Sicherheitskonzept noch werden regelmäßige Sicherheitstests durchgeführt. In diesen Fällen sind in eigener Regie also weder konzeptionelle Sicherheitsüberlegungen noch praktische Sicherheitsüberprüfungen durchgeführt worden. Hinzu kommt, dass 25 % der Kommunen die Frage, ob zum Schutz besonders sensitiver Daten (zum Beispiel Gesundheits- oder Sozialdaten ) Verschlüsselungsverfahren eingesetzt werden, verneinen. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/12250 2 Insgesamt macht der Bericht damit deutlich, dass die rot-grüne Landesregierung die Kommunen in Nordrhein-Westfalen mit dem sensiblen Thema „IT-Sicherheit“ bislang völlig alleingelassen hat und sich offensichtlich auch nicht um die Einhaltung gesetzlich verpflichtender Datenschutzvorgaben in den Städten und Gemeinden kümmert. Seit der Abfassung des Berichts sind inzwischen fast eineinhalb Jahre vergangen. Der Minister für Inneres und Kommunales hat die Kleine Anfrage 4792 mit Schreiben vom 13. Juni 2016 namens der Landesregierung beantwortet. 1. Welche konkreten Maßnahmen hat die Landesregierung ergriffen, um die durch den Landesdatenschutzbeauftragten festgestellten Mängel in Bezug auf die Datensicherheit in den nordrhein-westfälischen Kommunen abzustellen? 2. Wie viele Kommunen haben bis heute ein Sicherheitskonzept im Sinne des § 10 Abs. 3 DSG NRW erstellt? 3. Wie viele Kommunen haben bis heute ein Stufenkonzept erstellt, um konkrete Schutzbedarfe überhaupt ermitteln zu können? 4. Wie viele Kommunen unterziehen ihre IT-Ausstattung regelmäßig umfangreichen Sicherheitstests mit Mitteln und Methoden, die ein Angreifer einsetzen würde (Penetrationstests )? 5. Wie viele Kommunen setzen zum Schutz besonders sensitiver Daten (z. B. Gesundheits - oder Sozialdaten) Verschlüsselungsverfahren ein? Die vorstehenden Fragen beziehen sich auf den Abschnitt 11 (Datensicherheit Querschnittserhebung zur Datensicherheit) im 22. Datenschutz- und Informationsfreiheitsbericht des damaligen Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI) aus dem Jahr 2015. Der LDI hat ausweislich der Ausführungen im Bericht versucht, sich im Wege einer Querschnittserhebung ein Bild über die Datensicherheit bei den Kommunen im Land zu verschaffen . Im Ergebnis der Umfrage ergaben sich nach Auffassung des Landesbeauftragten Anzeichen dafür, dass die IT-Sicherheit zumindest bei einem Drittel der Kommunen verbesserungsbedürftig sein dürfte. Mit der Aufnahme dieser Feststellung im Datenschutz- und Informationsfreiheitsbericht hat der damalige LDI einen Hinweis in Richtung der betroffenen Gemeinden gegeben, im Rahmen ihrer Zuständigkeit, die Datensicherheit jeweils zu überprüfen. Die Gemeinden und Gemeindeverbände haben jeweils für ihren Bereich die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen. Die Organisation der gemeindlichen Verwaltung ist im Übrigen Teil der Organisationshoheit und unterliegt dem verfassungsrechtlichen Schutz der kommunalen Selbstverwaltung. Für die Landesregierung, die zum Datenschutz- und Informationsfreiheitsbericht im Rahmen ihrer Zuständigkeit Stellung genommen hatte und das Bemühen des LDI um mehr Datensicherheit unterstützt, ergab sich keine Notwendigkeit, im Nachgang zu den Feststellungen und Appellen der zuständigen Datenschutzaufsichtsbehörde ergänzend tätig zu werden. Die Datenschutzaufsichtsbehörde in Nordrhein-Westfalen ist eine völlig unabhängige Behörde und nicht Teil der Landesregierung. Die Landesregierung kann im Rahmen einer (subsidiären) Kommunalaufsicht im Übrigen nur tätig werden, wenn sich die LDI unter Nennung einer Behörde und unter Beschreibung eines Sachverhaltes an sie wendet. Dies ist aber im vorliegen- LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/12250 3 den Fall nicht geschehen. Maßnahmen der Landesregierung einschließlich zusätzlicher Erhebungen sind daher nicht getroffen worden. Die Landesregierung kann hinsichtlich der nachgefragten Größenordnungen nur auf die vorliegenden Zahlen der zuständigen LDI im 22. Datenschutz - und Informationsfreiheitsbericht verweisen. Nordrhein-Westfalen Drucksache 16/12250