Veröffentlichung JMBl. 2015/01 S. 2 vom 06.08.2014

Das Bayerische Staatsministerium der Justiz hat Aufgaben der Datenverarbeitung für die Gerichte und Staatsanwaltschaften dem Rechenzentrum Nord des Bayerischen Landesamts für Steuern sowie einem privaten IT-Dienstleistungsunternehmen (derzeit Fa. Unisys Deutschland GmbH) zur Wahrnehmung übertragen (externe Dienstleister). Zur Sicherstellung der richterlichen Unabhängigkeit, der sachlichen Unabhängigkeit der Rechtspflegerinnen und Rechtspfleger sowie des Legalitätsprinzips der Staatsanwaltschaften und zur Gewährleistung von deren schutzwürdigen Interessen und Belangen werden mit dieser Dienstvereinbarung Kontrollmaßnahmen vereinbart.

Die von Richterinnen, Richtern, Rechtspflegerinnen, Rechtspflegern, Staatsanwältinnen und Staatsanwälten selbst oder auf deren Veranlassung mit den dienstlichen IT-Systemen erzeugten Daten im Sinne von Nr. 3 Absatz 1 werden unter Berücksichtigung der Grundsätze ordnungsgemäßer Datenverarbeitung in den exklusiv für die Justiz vorgesehenen dezentralen und zentralen Systemen verarbeitet.

Im Rechenzentrum des Bayerischen Landesamts für Steuern werden die Daten im Auftrag der Justiz unter der Fachaufsicht des Bayerischen Staatsministeriums der Justiz (§ 3 Abs. 2 Finanzverwaltungsgesetz) verarbeitet.

Die genannten Bediensteten haben zusätzlich die Möglichkeit, Dokumente und Daten auf den lokalen Laufwerken der Arbeitsplatzcomputer zu speichern. Auf diese Laufwerke erstrecken sich die Aufgaben der externen Dienstleister nicht. Für die Sicherung dieser Daten sind die Anwender selbst verantwortlich. Auf Anforderung werden externe Speichermedien (z. B. verschlüsselte USB-Sticks, DVDs) zur Verfügung gestellt.

Auf die bei Ausübung der Dienstaufgaben der Richterinnen, Richter, Rechtspflegerinnen, Rechtspfleger, Staatsanwältinnen und Staatsanwälte erstellten Dokumente (z. B. Protokolle, Voten, Hinweise, Entwürfe, Entscheidungen) dürfen Mitarbeiter der externen Dienstleister zur Erledigung ihrer IT-fachlichen Betriebsaufgaben (z. B. Administration der Systeme, Beseitigung von Störungen an Hard- oder Software, Datensicherung, Einspielen von Datensicherungen, Datenmigration bei Systemwechsel) Zugriff nehmen, wenn hierbei eine inhaltliche Kenntnisnahme ausgeschlossen ist.

Ein Zugriff auf Dokumente und Daten, der die inhaltliche Kenntnisnahme der externen Dienstleister ermöglicht, ist nur zulässig, soweit und solange dies für die Wahrnehmung der diesen übertragenen Aufgaben zwingend notwendig ist. Gleiches gilt in Bezug auf die Metadaten zu diesen Dokumenten; Metadaten sind Daten, die Informationen über die Dokumente enthalten, wie z. B. Zeitpunkt des Anlegens des Dokuments, Zeitpunkt des Löschens.

Die Weitergabe der Dokumente und Daten im Sinne der Nr. 3 Absatz 1 durch die externen Dienstleister an Dritte ist gestattet, soweit und solange hierfür ein zwingender IT-betrieblicher Grund (z. B. notwendige Einbeziehung weiterer externer Dienstleister bei Hard- oder Softwareschaden) vorliegt.

Im Übrigen dürfen solche Daten und Dokumente durch die externen Dienstleister nur nach Weisung des Bayerischen Staatsministeriums der Justiz an Dritte weitergegeben werden. Dieses holt hierzu die Einwilligung des Kontrollgremiums nach Nr. 7 ein.

Die Weitergabe von Dokumenten und Daten auf Grund gesetzlicher Vorschriften (z. B. strafrechtliches Ermittlungsverfahren, Wahrnehmung der Dienstaufsicht) bleibt hiervon unberührt.

Jeder Zugriff auf Dokumente und Daten gemäß Nr. 3 Absatz 2 und jede Weitergabe von Dokumenten und Daten an Dritte gemäß Nr. 4 sind vom externen Dienstleister zu protokollieren. Gleiches gilt für sonstige besondere Vorfälle (z. B. Abschaltung der Protokollierung).

Aus der Dokumentation muss hervorgehen, wer wann auf welche Daten und Dokumente inhaltlich zugegriffen oder diese weitergegeben hat und aus welchem Grund sie weitergegeben wurden. Bei einer Weitergabe von Daten und Dokumenten nach Nr. 4 Absatz 1 genügt die Angabe der Systeme und der betroffenen Anwendungen. In den Fällen der Nr. 4 Absatz 2 ist auch der Empfänger der Weitergabe zu erfassen.

Kennungen für Administratoren dürfen nur im zwingend notwendigen Umfang zugeteilt werden.

Es ist zu dokumentieren, welchen konkreten Personen (Name, Stelle, Kontaktdaten) für welchen Aufgabenbereich eine Administratorenkennung zugeteilt worden ist. Die Liste wird dem Kontrollgremium nach Nr. 7 zur Verfügung gestellt.

Für die Überwachung der Einhaltung der vorstehenden Maßnahmen wird ein Kontrollgremium eingerichtet, dem angehören:

Das Kontrollgremium tritt einmal jährlich oder aus besonderem Anlass auf Antrag mindestens eines Mitglieds zusammen. Es trifft seine Entscheidungen mit einfacher Mehrheit der Mitglieder.

Das Kontrollgremium kann sich zu relevanten Sachverhalten berichten lassen und lässt sich die Protokolle und Dokumentationen vorlegen. Zur Aufklärung des Sachverhalts kann es Sachverständige beiziehen. Bei Feststellung von Verstößen trifft es die erforderlichen Maßnahmen.

Das Kontrollgremium entscheidet über die Benachrichtigung von Bediensteten, die von einem inhaltlichen Zugriff auf Dokumente und Daten oder deren Weitergabe an Dritte ohne zwingenden IT-betrieblichen Grund betroffen sind.

Das Bayerische Staatsministerium der Justiz trägt dafür Sorge, dass die Regelungen dieser Dienstvereinbarung in den Vereinbarungen und Verträgen mit den externen Dienstleistern umgesetzt werden.

Soweit sich künftig die Zuständigkeit des Rechenzentrums oder das private IT-Dienstleistungsunternehmen ändert, wird die Vereinbarung entsprechend angepasst. Das Bayerische Staatsministerium der Justiz wird die Regelungen dieser Dienstvereinbarung auch gegenüber neuen Vertragspartnern durchsetzen.

Diese Dienstvereinbarung tritt mit der Unterzeichnung in Kraft. Sie gilt unbefristet.

Die Dienstvereinbarung kann mit einer Frist von sechs Monaten zum Ende eines Kalenderjahres gekündigt werden. Für diesen Fall nehmen die Beteiligten unverzüglich Verhandlungen mit dem Ziel einer neuen Vereinbarung auf. Die Vereinbarung gilt bis zum Abschluss einer neuen Regelung weiter.

München, 6. August 2014