Datenschutzbericht bis 24.05.2018 Gast-Umgebungen, die auf Basis derselben physischen Umgebung bereitge- stellt werden. In einem solchen Fall ist die zentrale Anforderung der Isolation virtueller Umgebungen untereinander nicht mehr sichergestellt. Zusätzlich kann auch die Abgrenzung zwischen der physischen Umgebung auf der einen und den virtuellen Umgebungen auf der anderen Seite betroffen sein. Schlussfolgerungen Das Gefahrenpotenzial für einzelne, auf Basis virtueller Umgebungen be- triebene Verfahren hängt von mehreren Faktoren ab. Grundsätzlich ist zum Ausnutzen der Schwachstellen die Möglichkeit zur Programmcodeausführung erforderlich. Zu beachten ist hierbei, dass die Ausführung nicht unbedingt innerhalb der betrachteten virtuellen Umgebung erfolgen müsste. Vielmehr könnte, bedingt durch die aufgebrochene Isolation, ein entsprechender Programmcode in einer virtuellen Umgebung ausgeführt werden, um eine andere virtuelle Umgebung innerhalb derselben physischen Umgebung auszuspähen. Virtuelle Umgebungen können folglich bei der Risikoanalyse und -bewertung nicht isoliert betrachtet werden. In einer privat betriebenen oder dediziert bereitgestellten physischen Um- gebung liegen Informationen über deren virtuelle Umgebungen vor. Für all diese virtuellen Umgebungen muss das Risiko der Programmcodeausführung zu Ausspähzwecken betrachtet und bewertet werden. Hierbei muss von der Annahme ausgegangen werden, dass die gefährdetste virtuelle Umgebung die Risikobewertung der übrigen Umgebungen bestimmt. Zusätzlich müs- sen Maßnahmen ergriffen werden, um relevante Änderungen im Zeitablauf zu identifizieren und zu berücksichtigen. Hierzu zählen insbesondere auch Änderungen bei der Zuordnung von virtuellen Umgebungen zu den zugrunde­ liegenden physischen Umgebungen. In den vorangegangenen Szenarien wurde implizit davon ausgegangen, dass ein Angreifer sich Zugriff auf eine virtuelle Umgebung verschaffen muss, um den für das Ausspähen notwen- digen Programmcode auszuführen. Zu beachten ist hierbei, dass ein solcher Zugriff nicht zwingend einen Angriff auf eine virtuelle Maschine voraussetzt. Ein denkbares Szenario wäre auch das Anmieten einer virtuellen Umgebung in einer Public Cloud mit dem Ziel, diese zu Angriffszwecken auf benachbarte Umgebungen derselben physischen Umgebung zu verwenden. Eine daten- schutzrechtliche Anforderung kann daher auch die exklusive Verwendung von dedizierter Hardware für bestimmte Verfahren sein. Zusammenfassend ist festzustellen, dass die durch die Veröffentlichung von Spectre und Meltdown aufgedeckten Schwachstellen tiefgreifende Auswirkungen auf Risikobetrachtungen von virtualisierten Umgebungen und Landschaften haben. Damit ist eine zentrale Anforderung des Datenschutzes, 61

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz die umfassende und wirksame Isolation virtueller Gast-Umgebungen und Verbindungen zwischen diesen, nicht mehr uneingeschränkt erfüllt. Kon- sequenzen hieraus ergeben sich auf allen Ebenen der zugrundeliegenden Architekturen und für alle beteiligten Akteure. Der Hessische Datenschutz- beauftragte hat am 11.01.2018 eine Pressemitteilung herausgegeben, in der er alle Akteure zur Ergreifung notwendiger Maßnahmen aufgefordert hat. Die Pressemitteilung kann von der Website des Hessischen Beauftragten für Datenschutz und Informationsfreiheit unter https://datenschutz.hessen. de/pressemitteilungen/spectre-und-meltdown abgerufen werden. 3.5.2 Einführung der App „BAföGdirect“ Bereits im 41. Tätigkeitsbericht (Ziff. 3.3.3.2) und im 44. Tätigkeitsbericht (Ziff. 3.2.1) habe ich mich ausführlich mit dem Hessisches BAföG-/AFBG-Ver- fahren beschäftigt. Es gehörte von Anfang an zu den modernsten Verfahren in Deutschland. Mit der Einführung der App „BAföGdirect“ ist Hessen aber- mals Vorreiter. Ab Mai 2018 sind damit Services rund um den Antrag auf Leistungen für Smartphone und Tablet optimiert möglich. Die Firma Datagroup IT Solutions GmbH hat als Dienstleister des HMWK für das IT-Fachverfahren (BAföG- und AFBG-Software inkl. Betrieb) als weitere Ausbaustufe des bestehenden Vertrages des seit Mai 2012 unter https://www. bafög-hessen.de vorhandenen Online-Antragangebotes eine App für BAföG (Studierende und Schüler/-innen) und Aufstiegs-BAföG (AFBG) entwickelt. Die Entwicklung wurde durch das HMWK und meine Mitarbeiter begleitet. Die App „BAföGdirekt“ unterstützt die bisherigen Features der Online-­ Beantragung im BAföG und AFBG auf Smartphone und Tablet und wurde am 25.01.2018 in Hessen eingeführt. Folgende Dienstleistungen werden durch die App mobil ermöglicht: –– Das zuständige Amt und dessen Kontaktdaten können ermittelt werden, eine Kontaktaufnahme kann direkt aus der App heraus erfolgen (durch Anruf oder per E-Mail). –– Die App enthält eine „Navigationsfunktion“. Diese ermöglicht den Nutzern, nach Ermittlung des zuständigen Amtes direkt die Route zur Besucher­ anschrift abhängig vom verwendeten Endgerät in Google Maps bzw. Apple Maps berechnen und anzeigen zu lassen. –– Die Statusabfrage zum Stand der Antragsbearbeitung kann passiv erfol- gen, in dem bei einer Statusänderung in der Antragsbearbeitung – nach expliziter Zustimmung durch den Nutzer im Rahmen der Installation der 62

Datenschutzbericht bis 24.05.2018 App – eine Pushmitteilung automatisiert übermittelt wird. Diese Funktion kann vom Nutzer jederzeit aktiviert oder deaktiviert werden. –– Wesentliche Neuerung: Dokumente können zur Übermittlung mit dem Smartphone oder Tablet fotografiert und direkt und sicher an das zustän- dige Amt übermittelt werden. Dadurch kann auf das bislang erforderliche Einscannen und Hochladen für eine Übermittlung im Dokumenten-Upload- portal verzichtet werden. Die Dokumente werden ins Fachverfahren über- tragen, ein wichtiger weiterer Schritt auf dem Weg hin zur Digitalisierung von Verwaltungsleistungen und der elektronischen Akte. Die App unterstützt die Betriebssysteme iOS (Apple) und Android (google). Damit können derzeit 97 % aller Smartphone-Besitzer in Deutschland diese Dienstleistung nutzen. Die App ist ein wichtiger weiterer Beitrag zur Strategie „Digitales Hessen 2020“. Das „Hessische BAföG und AFBG-Verfahren (HeBAV)“ ist darin in Teil II unter 3.10 benannt. Zum einen dient die Erweiterung des bestehenden Onlineangebotes um die App dem weiteren Ausbau der Dienste für Bürger (E-Services) und zum an- deren trägt sie zur Optimierung der Verwaltungsprozesse (E-Administration) bei, weil darüber übermittelte Dokumente vom Amt direkt in die sich im Aufbau befindliche elektronische Akte übernommen werden können. Es wird erwartet, dass durch dieses zeitgemäße Feature die BAföG- und AFBG-Antragsteller verstärkt angesprochen und insbesondere von der mobilen Funktion der Dokumentenübermittlung Gebrauch machen werden. Hessen ist das erste Bundesland, das seinen Antragstellern im BAföG und AFBG (Studierenden, Schülerinnen und Schülern sowie Teilnehmenden an Fortbildungsmaßnahmen) eine solche Dienstleistung anbietet. 3.5.3 Bürger- und Unternehmensservice Hessen Das Onlinezugangsgesetz sieht vor, dass alle Verwaltungsdienstleistungen über das Internet angeboten werden sollen. Ein Infrastrukturbaustein für die Angebote sowohl der Kommunen als auch des Landes ist das Angebot von interoperablen Nutzerkonten. Hier baut Hessen auf die Vorarbeiten des Bürger- und Unternehmensservice Hessen (BUS Hessen) auf. 63

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz Die Vorgaben des Onlinezugangsgesetzes Das Onlinezugangsgesetz (OZG) vom 14.08.2017 trat am 18.08.2017 in Kraft. In § 1 Abs. 1 OZG werden alle Behörden von Bund und Ländern verpflichtet, ihre Verwaltungsleistungen binnen fünf Jahren (bis 2022) auch elektronisch und über Verwaltungsportale zur Verfügung zu stellen. Nach § 1 Abs. 2 OZG müssen Bund und Länder ihre Verwaltungsleistungen in einem Portalverbund miteinander verknüpfen. § 3 Abs. 2 OZG verpflichtet Bund und Länder, Nutzerkonten im Portalver- bund bereitzustellen. Nach § 7 OZG bestimmen Bund und Länder öffentliche Stellen, die die Einrichtung und Registrierung von Nutzerkonten vornehmen. Daran ist ersichtlich, dass ein wesentliches Ziel des OZG die Bereitstellung von interoperablen Nutzerkonten für einen einheitlichen, komfortablen und sicheren Zugang zu online angebotenen Verwaltungsleistungen ist. Das gilt für die Kommunal-, Landes- oder Bundesebene. Ein OZG-Umsetzungskatalog kommt als Ausgangsbasis für die Erfassung/ Kartierung der Verwaltungsleistungen zum Einsatz: –– 575 umzusetzende Leistungsbündel gegliedert in 55 Lebenslagen und Geschäftslagenpaket (wobei jedes dieser Pakete durchschnittlich zehn Verwaltungsleistungen enthält) bzw. 1981 aktuell in Hessen umzusetzende Leistungen. Der Katalog soll laufend aktualisiert und fortgeschrieben werden. Über das Hessische Gesetz zur Förderung der elektronischen Verwaltung (Hessisches E-Government-Gesetz – HEGovG) werden auch die Kommunen verpflichtet, einen Zugang für die Übermittlung elektronischer Dokumente zu schaffen (§ 1 Abs. 1 Nr. 1 i. V. m. § 3 Abs. 1 HEGovG). § 3 Abs. 1 HEGovG Jede Behörde ist verpflichtet, einen Zugang für die Übermittlung elektronischer Dokumente, auch soweit sie mit einer qualifizierten elektronischen Signatur versehen sind, zu eröffnen. Die Umsetzung des OZG in Hessen Um die genannten Anforderungen zu erfüllen, wurde durch die Hessische Landesverwaltung u. a. das Projekt „Umsetzung OZG“ ins Leben gerufen. Das Projekt ist als Vorprojekt im HMDIS angesiedelt. Im Projekt „Umsetzung OZG“ sollen die notwendigen organisatorischen, inhaltlichen, zeitlichen und finanziellen Konkretisierungen erarbeitet werden. Diese bilden die Grundlage einer Strategie zur Umsetzung des OZG bis Ende 64

Datenschutzbericht bis 24.05.2018 des Jahres 2022. Wesentliche Ziele und Rahmenbedingungen des Projekts sind u. a. folgende Punkte: –– Aufarbeiten der rechtlichen, politischen und organisatorischen Rahmen­ bedingungen auf EU-, Bundes- und Landesebene (beinhaltet die Kom- munen), –– Beantwortung rechtlicher Fragestellungen sowie Fragen bzgl. des Da- tenschutzes bei Land und Kommunen, u. a. zur rechtlichen Verankerung der OZG-Aktivitäten im Rahmen des HEGovG. –– Die Umsetzung der einzelnen Fachverfahren soll dezentral erfolgen und durch die Ressorts gesteuert werden. –– Alle Verwaltungsleistungen i. S. d. OZG sind ja bereits vorhanden und gründen sich auf Rechtsnormen, d. h. auf ein breites Spektrum von Bundesgesetzen, Landesgesetzen, Richtlinien und Verordnungen bis hin zu kommunalen Satzungen und Subventionsrichtlinien im Sinne von Verwaltungsvorschriften. –– Teilweise sind die Leistungen auch schon online zugänglich. In Hessen trifft dies aktuell auf 13 % der kommunalen Leistungen zu. –– Zuständig für die Pflicht zur Einhaltung der Datenschutzvorschriften der DS-GVO und des HDSIG bei der Verarbeitung von personenbezogenen Daten sind die Verantwortlichen. –– Im öffentlichen Bereich ist Verantwortlicher die jeweiligen Daten verarbei- tende öffentliche Stelle im Sinne von § 2 Abs. 1 HDSIG, also wie bisher z. B. die Gemeinde oder das Ministerium. Die Letztverantwortlichkeit ver- bleibt dabei nach der DS-GVO bei der Behördenleitung bzw. der Leitung der öffentlichen Stelle. Die jeweiligen Verantwortlichen und Auftragsverarbeiter haben eine zentrale Verantwortung, insbesondere für –– die Zulässigkeit der Verarbeitung der personenbezogenen Daten, –– die Beachtung der Verfahrensvorschriften, d. h. das Führen von Verzeich- nissen der Verarbeitungstätigkeiten, Melde- und Benachrichtigungspflichten und die Durchführung von Datenschutz-Folgenabschätzungen sowie –– die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten. Bei der Analyse der Ausgangslage waren nicht zuletzt die rechtlichen Rah- menbedingungen sowie Fragen bzgl. Datenschutz bei Land und Kommunen einzubeziehen. Da gerade die Bereitstellung von interoperablen Nutzerkonten eine wichtige Komponente des Systems sein wird, hatte man sich entschlos- 65

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz sen, auf die Vorarbeiten der Entwicklung des Bürger- und Unternehmens- service (BUS) Hessen zurückzugreifen. Entwicklung des Bürger- und Unternehmensservice (BUS) Hessen Bereits Mitte 2015 hatte sich der IT-Planungsrat für eine flächendeckende Verbreitung von Servicekonten für Bürger und Unternehmen ausgespro- chen. Nach einer gründlichen Prüfung der rechtlichen Rahmenbedingungen, wie beispielsweise das EGovG des Bundes, hatte das HMDIS Mitte 2016 Grundsätze formuliert, aus denen sich insbesondere ergab, welche Daten zu diesem Zweck verarbeitet werden dürfen. Die hessische Landesverwaltung hat dann die Strategie „Digitales Hessen“ entwickelt, in der u. a. die Dienstleistungen für Bürger und Unternehmen (e-Services) untersucht wurden. Dabei wurden die EU-Verordnung zur Er- richtung eines zentralen digitalen Zugangstors (Single Digital Gateway) und der Entwurf des OZG berücksichtigt. Zu den unverzichtbaren Komponenten gehörte der Identitätsbaustein „Servicekonto mit Postfach“, der als Service­ konto im BUS-Hessen firmierte. Anfang 2018 stellte sich die Lage wie folgt dar: –– Interoperable Servicekonten werden auf der Ebene der Länder gehalten und sind als Nutzerkonten im OZG beschrieben. –– Interoperable Servicekonten existieren in der Ausprägung: Bürgerkonten für natürliche Personen oder Unternehmenskonten für juristische Personen. –– Interoperable Servicekonten haben interoperable Postfächer. –– Interoperable Servicekonten können an einen Payment-Serviceprovider angebunden werden. –– Die Interoperabilität wurde mit Erfolg getestet. –– Das interoperable Servicekonto Hessen nutzt die Technologie, die von dem Rechenzentrum AKDB der bayerischen Kommunen bereitgestellt wird, und wird bei der ekom21 installiert. –– Ein Kooperationsvertrag Bund/Bayern/Hessen ist abgeschlossen. Im Folgenden wurden für das Servicekonto eine Muster-Vorabkontrolle durchgeführt und ein Muster-Verfahrensverzeichnis erstellt. Diese wurden mir vorgestellt. Nach meinen Anmerkungen wurde die Vorabkontrolle überarbeitet. Potenzielle Nutzer, nämlich Bürgerinnen und Bürger (aktuell in Hessen ca. 5 Mio.) sowie Unternehmen (aktuell in Hessen ca. 260.000), sollen nach § 3 OZG und § 3 Abs. 4 HEGovG Nutzerkonten (früher Servicekonto genannt) einrichten können. Hierbei wird – einmalig – ein Kerndatensatz hinterlegt, der 66

Datenschutzbericht bis 24.05.2018 bei einer Inanspruchnahme der Verwaltungsleistungen zum Einsatz kommt (Once-Only-Prinzip). Die unterschiedlichen öffentlichen Stellen sollen über Schnittstellen auf das Nutzerkonto zugreifen und die erforderlichen Daten für ein Fachverfahren abrufen, soweit sie dazu autorisiert sind. Nach § 7 Abs. 1 OZG bestimmen Bund und Länder jeweils eine öffentliche Stelle, die den Nutzern die Einrichtung eines Nutzerkontos im Portalverbund anbietet. Nach Festlegung des BMI ist damit nicht alleine die Zuständigkeit für die technische Einrichtung und Zurverfügungstellung des Nutzerkontos gemeint, sondern auch die datenschutzrechtliche Verantwortung für dieses Konto. § 7 Abs. 1 OZG sagt also u. a. aus, dass die von Bund und Ländern be- stimmten Stellen die Verantwortung für die Einhaltung des Datenschutzes tragen, soweit das Nutzerkonto betroffen ist. Von dieser Festlegung können die EGovG der Länder nicht wirksam abweichen, da das OZG diesbezüglich auch für die Länder verbindlich ist. In Hessen wurde die ekom21 als diese Stelle bestimmt. Technische Einbindung des Nutzerkontos/Servicekontos im BUS-Hessen Zum Datenabruf berechtigte Verwaltungsdiensteanbieter werden von der ekom21 – KGRZ Hessen jeweils unter Angabe von –– EntiyID, –– Rücksprungadresse, –– X509-Zertifikat geprüft, registriert und eingerichtet. Es werden abhängig von den für den Service benötigten Daten nur die hierfür erforderlichen Attribute zum Datenabruf bereitgestellt. Der technische Ablauf des Datenabrufs stellt sich wie folgt dar: 67

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz Legende: FC:       Fachverfahren-Client FS:       Fachverfahren-Server NKC:      Nutzerkonto-Client NKS:      Nutzerkonto-Server FSID:     ID des Fachverfahrens/Services Kommunikationswege: 1 Aufruf der Webseite des Service durch einen Externen (z. B. einen Bürger) 2a Abruf der Seite vom Fachverfahrensserver 2b Rückgabe der notwendigen Informationen über die vom Fachverfahren (Verwaltungsdienst) notwendigen Attribute aus Nutzerkonto und Trans- aktionsID/VerfahrensID und Übermittlung der notwendigen Authentifi- zierungsstufe 3 Aufruf der Loginseite des Nutzerkontos (Aufruf in einem Popup oder in einer separaten Seite) und Übergabe der TransaktionsID/VerfahrensID sowie der notwendigen Attribute 4 Validierung der Logindaten gegen das Nutzerkonto 5 Rückgabe der TransaktionsID/VerfahrensID und der notwendigen Attribute 6 Aufruf des Fachverfahrensservers mit Übergabe TransaktionsID/Verfah- rensID und der angeforderten Attribute 7 Rückgabe der neuen Seite des Fachverfahrens 68

Datenschutzbericht bis 24.05.2018 Die Abläufe bedeuten, dass jeder Bürger sich beim einzelnen Aufruf ent- scheiden kann, ob er das Nutzerkonto einsetzen möchte. Fazit Es werden damit die Voraussetzungen geschaffen, Portale mit einem da- tenschutzgerechten Identitätsnachweis zu nutzen. 3.6 Arbeitsstatistik (bis 24.05.2018) 3.6.1 Eingaben und Beratungen Die Tätigkeit praktisch aller meiner Mitarbeiterinnen und Mitarbeiter (Ge- schäftsstelle, IT-Abteilung und Rechtsabteilungen) war bis 24.05.2018 weit- hin von den 2017 begonnenen Vorbereitungen auf die Anforderungen der Europäischen Datenschutzreform geprägt. Hausintern untersuchten in über 35 Teilprojekten einzelne Arbeitsgruppen spezifische Themen der DS-GVO auf ihre Auswirkungen im Verwaltungs- vollzug. Aufgabe der einzelnen Arbeitsgruppen war es insbesondere heraus­ zuarbeiten, welche rechtlichen, technischen und/oder organisatorischen Maßnahmen zur Vorbereitung auf das neue Recht zu treffen waren. Auf diese Weise konnten erste Anwendungs- und Verständigungsfragen von verantwortlichen Datenverarbeitern, internen Datenschutzbeauftragten, Bürgerinnen und Bürgern sowie Anfragen aus der Politik und den Medien zuverlässig beantwortet werden. In vielen Arbeitssitzungen wurden, nicht nur behördenintern, sondern auch auf Länder-, Bund- und EU-Ebene, Auslegungs-, Abstimmungs- und Organisa­ tionsfragen diskutiert und nach Möglichkeit geklärt, Meinungsbildungsprozesse eingeleitet und Orientierungshilfen bzw. Leitlinien festgelegt, um zum Stichtag der DS-GVO erste Ergebnisse für eine einheitliche Anwendung der DS-GVO präsentieren zu können. Die notwendigen organisatorischen Vorgaben, wie z. B. Einführung eines Fristensystems, Erneuerung der Homepage mit Bereitstellung eines elektronischen Zugangs für Datenschutzbeschwerden und Datenschutzpannen, konnten fristgerecht umgesetzt werden. Auf der Homepage wurden zahlreiche Beiträge und Anwendungshinweise (z. B. aus dem Schulbereich oder Gesundheitswesen) zusammengetragen, um Nut- zern eine erste Orientierung anzubieten. Diese Vorbereitungsmaßnahmen erfolgten neben der alltäglichen Facharbeit. Was letztere angeht, so war die Anzahl der Eingänge von Beschwerden und Beratungsanfragen in den 69

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz ersten Monaten noch ähnlich wie im Vorjahr. Bis zum Stichtag 25.05.2018 wich die Statistik trotz erster Nachfragen zur DS-GVO nicht auffällig von der aus dem Jahr 2017 ab. In der nachfolgenden Tabelle sind Angaben zur Anzahl der Eingaben und Beratungsanfragen dargestellt, die neben der Bearbeitung von Grundsatzfra- gen, Stellungnahmen zu Gesetzesvorhaben und der Marktbeobachtung im Bereich von IT-Produkten einen wesentlichen Teil meiner Tätigkeit ausmachen. Die Statistik wird weitgehend automationsgestützt mit Hilfe des eingesetzten Dokumentenverwaltungssystems erstellt. Die Anzahl der telefonischen Ein- gaben und Beratungen, die mehr als 10 Minuten in Anspruch nahmen, aber keinen Niederschlag in Akten fanden, wurden aus den Durchschnittsdaten des November 2017 fortgeschrieben, da keine signifikanten Abweichungen festgestellt werden konnten. Die gegenüber dem Vorjahr etwas gestiegene Anzahl an schriftlich dokumen- tierten Beratungen in der ersten Jahreshälfte zeigte erste Anzeichen dafür, dass bereits einige für die Datenverarbeitung Verantwortliche im öffentlichen und nicht-öffentlichen Bereich die Brisanz der nahenden Rechtsänderungen erkannten. Das tatsächliche Ausmaß wurde jedoch von vielen unterschätzt. Schlagartig änderte sich die Aufmerksamkeit mit dem 25.05.2018, dem Tag, an dem die DS-GVO Geltung erlangte. 70