Im März diesen Jahres ist – ausgelöst durch die Anfrage eines Bürgers in einer Sitzung der Gemeindevertretung – die E-Mailkommunikation der Gemeindeverwaltung in die öffentliche Diskussion gekommen. Hintergrund dieser Diskussion war, dass der gemeindliche E-Mailverkehr aus angeblich wirtschaftlichen Gesichtspunkten über einen privaten Dienstleister abgewickelt wird.
Chef dieser Firma Rightvision ist CDU-Vorstandsmitglied und Pressesprecher Frank Bueschler. Hierin wurden von verschiedenen Seiten mögliche datenschutzrechtliche Probleme gesehen: Der Geschäftsführer habe nämlich die Möglichkeit, die ankommenden und ausgehenden E-Mails einzusehen – auch wenn er dadurch eine Straftat begehen würde.
Der Hauptausschuss der Gemeinde hatte daher beschlossen, die Organisation der gemeindlichen E-Mailkommunikation durch das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) prüfen zu lassen. Die Prüfung ist nunmehr abgeschlossen.
Am 17. September hat das ULD der Gemeindeverwaltung schriftlich mitgeteilt: Nach eingehender datenschutzrechtlicher Überprüfung sei es der Auffassung, dass es keinen Anlass einer Beanstandung bei der praktizierten E-Mailkommunikation der Gemeindeverwaltung gebe. Das geht aus einer Pressemitteilung der stellvertretenden Bürgermeisterin Elisabeth von Bressensdorf (CDU) hervor.
Jörg Schlömann
20.09.2012
Die Antwort habe ich ja fast erwartet :-))
Ich habe auch gehört, dass es einen “ Dreizeiler“ geben soll.
Dafür macht die Verwaltung aber eine RIESENpresseerklärung :-)).
Dann warten wir mal auf die dem “ Dreizeiler“ der ULD zugrundeliegenden Anfrage der Gemeinde .
Ob sich die ULD überhaupt “ vor Ort “ umgesehen hat ( Unternehmen/ Gemeinde ?? ) , das ist wohl auch nicht klar.
Weiterhin viel TRANSPARENZ.
Lieber Herr Göttsch,
Sie kennen den „Bericht“ doch inzwischen auch ;-).
Die Aussagefähigkeit ist ohne die Anfrage nicht zu beurteilen. Ich habe die Gemeinde bereits gebeten, die Anfrage dem Bericht (oder auch Dreizeiler genannt), hinzuzufügen. Geben wir der Verwaltung noch diese Möglichkeit.
Ich bin – wie Sie – jedenfalls nach wie vor sehr gespannt 😉
@ Herr Holowaty
„Trotzdem: auch ich möchte den vollständigen Bericht erstmal lesen 😉 “
Liegt Ihnen der Bericht inzwischen vor und was folgern Sie daraus ?
Nicht nur ich freue mich über eine Nachricht von Ihnen.
Lieber Herr Holowaty,
selbstverständlich stehen alle Prüf-/Ergebnisse auf der Tagesordnung, egal welche Fraktion den zugrundeliegenden Antrag gestellt hat. Der ULD-Bericht steht im November (13.11.2012, so die Ankündigung der Verwaltung) an. Schön, dass auch Sie sich für den vollständigen Bericht interessieren.
@ Herr Holowaty,
Frau Honerlah hat an den Antrag der Schäfer – Fraktion BfB vom 08.05.0212 erinnert, der lautete:
“ Der Hauptausschuss beauftragt die Verwaltung mit der Prüfung, ob und zu welchen Bedingungen ein öffentlich-rechtliches Unternehmen, wie z.B. Dataport AöR oder der IT-Zweckverband Kommunit des Kreises Pinneberg und der Stadt Quickborn, die Überprüfung des gemeindlichen E-Mailverkehrs auf Viren und Spams übernehmen könnte.“
Beschlussfassung:
8 Stimmen dafür (SPD-Fraktion, WHU-Fraktion, BFB-Fraktion)
3 Enthaltungen (CDU-Fraktion)
Ihre FDP Fraktion hat kein Stimmrecht im Ausschuss.
Ich finde es legitim , dass darüber nach fast 5 Monaten ein Bericht der Verwaltung abzugeben ist.. Vllt. hätte Frau von Bressensdorf auf diesen Beschluss in der Presseerklärung hinweisen sollen, oder ??
Die stellv. Bgm. hat auch den Beschluss vom 12.06.2012 nicht erwähnt, dass der „ Hauptausschuss empfiehlt, einen Datenschutzbeauftragten für die Gemeindeverwaltung Henstedt-Ulzburg zu benennen“.
Auch dazu fehlt jeder Hinweis auf die Umsetzung.
Insofern wäre es gut, wenn die Stellungnahme der ULD veröffentlicht wird, sowie der Bericht zu den beiden Beschlüssen des Hauptausschusses in der nächsten Sitzung Thema wird.
Wenn der Bericht des – eigentlich eher als paranoid bekannten – ULD tatsächlich so ist, wie die 1. stellvertretende Bürgermeisterin dies darstellt, dann muß der Hauptausschuß entsprechend des Kommentares von Frau Honerlah dringend die hinter diesem Thema liegende grundsätzliche Frage beantworten: nämlich, ob ehrenamlich in der Gemeinde tätige Personen bzw. deren Firmen automatisch als „unzuverlässig“ und „latent kriminell und vertragsbrüchig“ gelten müssen und damit von öffentlichen Auftragsvergaben per se ausgeschlossen sein sollten (oder sich selber ausschliessen müssen, weil … bäh …).
Frau Honerlah ist ja Vorsitzende des Hauptausschusses, damit dürfte das bald auf der Tagesordnung stehen.
Trotzdem: auch ich möchte den vollständigen Bericht erstmal lesen 😉
Die Hauptausschussmitglieder haben die schriftliche Stellungnahme der Datenschutzbehörde bisher leider nicht erhalten; lediglich der zitierte Satz wurde den Mitgliedern per Mail von der Verwaltung übermittelt, nachdem die Presse informiert wurde.
Über den weiteren Beschluss, dass der Hauptausschuss die Verwaltung mit der Prüfung beauftragt hat, ob und zu welchen Bedingungen andere als das Unternehmen des CDU-Vorstandsmitglieds Bueschler, z.B. ein öffentlich-rechtliches Unternehmen, wie Dataport oder der IT-Zweckverband Kommunit des Kreises Pinneberg, die Überprüfung des gemeindlichen E-Mailverkehrs auf übernehmen könnte, wurde von der stv. Bürgermeisterin noch nichts verkündet, obwohl dies schon im Mai beschlossen wurde. Beschlossen übrigens ohne die Stimmen der CDU-Mitglieder, die sich alle enthielten.
Ob der CDU-Mann – wie es die Norderstedter Zeitung schreibt – weiterhin die Mails der Gemeinde checken darf – bleibt also abzuwarten. Ob es politisch der CDU zuträglich ist, kann jeder selbst beantworten.
@Oliver Grube
Genau deshalb ist es doch so wichtig, über welche Stationen – oder besser Server – eine email (= Postkarte) geroutet wird….oder?
Insofern ist das Urteil des ULD für mich unverständlich.
Ich habe die Antwort des ULD nicht im Wortlaut gesehen. Ich würde mir deshalb kein Urteil hierüber erlauben.
Ein Punkt, von dem ich nicht weiß, wie er technisch umgesetzt wurde:
Wenn über diesen externen eMail Server alle – auch und gerade die internen – eMails transportiert werden, so ist aus mehreren Gründen der Aufbau nicht optimal. Das hieße nämlich, dass jede eMail, auch die von einem Büro zum anderen, jeweils über mehrere Komponenten auf eine externe Leitung zu einem externen Server geschickt und von dort wieder abgeholt werden würde.
Das belastet die Leitung. Stellen Sie sich zum Beispiel eine eMail vor, die sie mit einigen größeren Anhängen (10MB) an eine Liste von Personen (10) schicken. Sie verlässt nur einmal das Haus (10MB Daten), kommt aber 10 mal zurück (100MB Daten). Und wenn das am Tag 5 Mitarbeiter machen geht das deutlich zu Lasten der Performance und wenn keine Flatrate für die Leitung existiert, auch der Transportkosten.
Ebenfalls erhöht ein längerer Weg das Ausfallrisiko deutlich. Je mehr aktive Komponenten beteiligt sind, desto höher sie die Gefahr, das eines dieser Geräte unplanmäßig ausfällt. Schlussendlich erhöht das externe Speichern der noch nicht abgeholten eMails die Gefahr des Zugriffs durch Unbefugte.
Wenn es aber einen internen eMail Server gibt und nur die externen eMails über den fraglichen eMail Server laufen, so würde ich dem ULD zustimmen.
Aus Datenschutzgründen würde ich prinzipiell eine Verschlüsselungsinfrastruktur empfehlen. Neben der Verschlüsselung hat eine solche Infrastrukture aber noch einen immensen Vorteil:
Der Aufbau eines „PKI“ Systems würde zusätzlich die Möglichkeit der digitalen Signatur schaffen und könnte zu einer Vereinfachung / Modernisierung von einfachen Verwaltungsabläufen (die bisher handschriftlicher Unterschriften bedürfen) führen.
Das ist so nicht mehr unbedingt richtig. Ein separater interner Mailserver entlastet zwar die Leitung. Dafür haben Sie mehr Aufwand zur Administration des Systems. Wenn die Anbindung an den externen Mailserver ohnehin sehr großzügig dimensioniert ist (100 MBit/s zum Beispiel), kann man den Schritt schon sinnvoll gehen.
„Ebenfalls erhöht ein längerer Weg das Ausfallrisiko deutlich. Je mehr aktive Komponenten beteiligt sind, desto höher sie die Gefahr, das eines dieser Geräte unplanmäßig ausfällt. Schlussendlich erhöht das externe Speichern der noch nicht abgeholten eMails die Gefahr des Zugriffs durch Unbefugte.“
Kann man so nicht sagen, bis auf den letzten Satz vielleicht. Gegen die höhere Zahl an beteiligten Komponenten steht der Punkt, dass externe Anbieter einfach die nötigen Fachleute haben, um eventuelle Störungen sehr schnell wieder zu beheben. Man kann auch entsprechende Service-Level einkaufen. Die Gemeinde hat keine eigene IT-Abteilung, oder?
Ich stimme zu; es gibt verschiedene Strategien um auf Risiken einzugehen. Ich nehme an, Sie meinen diesen Vorgang, wenn Sie weitere Argumente hinzufügen.
Zunächst aber sind Risiken einfach da.
Nach Ihrem Erkennen kann das Risikomanagement anfangen. Die Reihenfolge ist simpel:
Vermeiden – Ausschalten – Minimieren – Akzeptieren
Nach jeder Maßnahme muss das Risiko neu bewertet werden.
Zu den Argumenten:
Der Aufwand zur Administration ist immer der Gleiche, egal wo das System steht. Die Frage ist natürlich, wer diesen Aufwand betreiben muss.
Ich stimme auch hier zu:
Wenn die Anbindung an den externen Mailserver ohnehin sehr großzügig dimensioniert ist (100 MBit/s zum Beispiel), spielt das Argument der Leitungsbelastung nur noch eine marginale Rolle.
Deshalb kann man aber noch nicht den Schritt schon sinnvoll gehen.
Der Zugriff auf „Fachleute“ im Fehlerfall kann Ausfallzeiten minimieren, die Wahrscheinlichkeit eines Ausfalls aber nicht. Die simple Logik, je mehr beteiligte Komponenten, desto höher die Ausfallwahrscheinlichkeit, bleibt bestehen.
Die Themen SLA („ServiceLevelAgreement“) und Outsourcing können wir gerne mal getrennt diskutieren, da der interessante Glaube hierin ein Allheilmittel zu sehen, sehr weit verbreitet scheint.
TL;DR
Ich denke, wir sind grundsätzlich einer Meinung. Es geht wohl eher um die Wortwahl. Ihr erster Satz suggeriert fachliche Fehler in meinem Beitrag, die sie nicht nachweisen.
Sie bringen statt dessen zusätzliche Argumente ein, die richtig und tatsächlich zu berücksichtigen sind, aber meine Aussagen nicht weniger richtig machen.
„Der Aufwand zur Administration ist immer der Gleiche, egal wo das System steht.“
Richtig. Wenn Sie das System aber an anderer Stelle sinnvoll ko-nutzen können, macht es schon etwas aus. Die Gemeinde mit einer zweistelligen Zahl an Nutzern lastet keinen Mailserver dieser Welt von heute sinnvoll aus. Ebenso keine Systembetreuung. Deshalb kann es wirtschaftlich sehr sinnvoll sein, diese Aufgaben auszulagern und sich die Kosten dort mit anderen Stellen (z.B. anderen Gemeinden) zu teilen. Durch die höhere Auslastung lässt sich auch Backup-Kapazität wirtschaftlich günstiger aufbauen.
„Der Zugriff auf “Fachleute” im Fehlerfall kann Ausfallzeiten minimieren, die Wahrscheinlichkeit eines Ausfalls aber nicht. Die simple Logik, je mehr beteiligte Komponenten, desto höher die Ausfallwahrscheinlichkeit, bleibt bestehen.“
Da gehe ich nicht mit. Das stimmt nur zur groben Abschätzung, solange man die Verfügbarkeit nicht kennt. Zwei Komponenten mit je 99,8 % (z.B. garantierter) Verfügbarkeit haben zusammen genommen eine niedrigere Ausfallwahrscheinlichkeit als eine Komponente mit 99,3 % Verfügbarkeit.
„Sie bringen statt dessen zusätzliche Argumente ein, die richtig und tatsächlich zu berücksichtigen sind, aber meine Aussagen nicht weniger richtig machen.“
Soweit richtig, das wollte ich auch gar nicht anders darstellen.
@ Oliver Grube
Die Aussage, wie sie dort steht ist falsch (oder sehr schwammig):
Genauso kann man sagen, dass ein Brief auch für jeden lesbar ist. Der Unterschied ist, dass man den Brief öffnen muss und damit die Privatsphäre verletzt. Bei einer Postkarte ist das eben nicht der Fall – da darf man sie ohne Konsequenzen lesen. Wer eine eMail unbefugt öffnet (ob durch Passwortdiebstahl oder „hacken“), verletzt ebenfalls die Privatsphäre (glaub ich mal).
Also ist die eMail eher wie ein Brief. Wenn man es darauf anlegt (und man das Handwerkszeug hat), kann man sie lesen – aber man muss mit Konsequenzen rechnen.
Spätestens, wenn man eMails verschlüsselt, ist Ihre Aussage hinfällig.
Eigentlich würde ich ihre Aussage nicht kommentieren, aber Ihr letztes Wort „Überrascht?“ kommt für mich recht überheblich/neunmalklug rüber (es kann gut sein, dass ich Ihnen damit unrecht tue und Sie es ganz anders gemeint haben). Und das, verbunden mit einer „halb falschen“ Aussage, hat mich irgendwie gestört. 🙂
@H.Wagner
Meine Aussage ist vollständig korrekt und ist auch nicht schwammig. Ich habe mich auf die Postkarte und nicht auf den Brief bezogen. Ebenso habe ich von einem „kann“ lesen geschrieben, und bin auf die rechtliche Seite nicht eingegangen.
Sie haben in Ihrer Ergänzung ebenfalls vollinhaltlich recht.
Mich überrascht, dass Sie sich durch das „Überrascht“ angesprochen fühlen. Sie sind es ja nicht.
Eine eMail ist eine Postkarte. Jeder, der sie in die Hand bekommt kann sie lesen. Überrascht?