B.
Kontrollaufgabe des IT-Rats
1.
Gegenstand der Kontrollaufgabe
Die Kontrollaufgabe des IT-Rats bezieht sich auf die von Richterinnen und Richtern selbst oder auf deren Veranlassung mit den dienstlichen IT-Systemen erzeugten oder verarbeiteten Dokumente und die zu diesen Dokumenten gehörenden Metadaten (im Folgenden: Dokumente und Daten).
Dokumente sind insbesondere Notizen, Voten, Hinweise, Entwürfe, Handakten, Sprachdateien. Metadaten sind Daten, die Informationen über die Dokumente enthalten, wie z.B. Zeitpunkt des Anlegens des Dokuments, Zeitpunkt des Löschens.
Sobald ein Dokument unterschrieben und zur Verfahrensakte genommen wird, unterliegt es nicht mehr der Kontrolle des IT-Rats.
2.
Speicherung von Dokumenten und Daten
Die Dokumente und Daten werden unter Berücksichtigung der Grundsätze ordnungsgemäßer Datenverarbeitung in den vorgesehenen Systemen verarbeitet.
Im Rechenzentrum Nord des Bayerischen Landesamts für Steuern werden die Dokumente und Daten im Auftrag der Justiz unter der Fachaufsicht des Bayerischen Staatsministeriums der Justiz (§ 3 Abs. 2 Finanzverwaltungsgesetz) verarbeitet.
Die Richterinnen und Richter haben zusätzlich die Möglichkeit, Dokumente und Daten auf den lokalen Laufwerken der Arbeitsplatzcomputer zu speichern. Auf Anforderung werden externe Speichermedien (z.B. verschlüsselte USB-Sticks) zur Verfügung gestellt. Für die Sicherung dieser Dokumente und Daten sind die Anwender selbst verantwortlich.
3.
Zugriffe auf Dokumente und Daten
Auf die bei Ausübung der Dienstaufgaben der Richterinnen und Richter erstellten Dokumente und Daten dürfen Mitarbeiter der externen Dienstleister zur Erledigung ihrer IT-fachlichen Betriebsaufgaben (z.B. Administration der Systeme, Beseitigung von Störungen an Hard- oder Software, Datensicherung, Einspielen von Datensicherungen, Datenmigration bei Systemwechsel) ohne inhaltliche Kenntnisnahme Zugriff nehmen.
Ein Zugriff auf Dokumente und Daten, der die inhaltliche Kenntnisnahme der externen Dienstleister ermöglicht, ist nur zulässig, soweit und solange dies für die Wahrnehmung der diesen übertragenen Aufgaben notwendig ist oder eine Einwilligung der Richterin oder des Richters vorliegt.
4.
Weitergabe von Dokumenten und Daten an Dritte
Die Weitergabe der Dokumente und Daten durch die externen Dienstleister an Dritte ist gestattet, soweit und solange hierfür ein zwingender IT-betrieblicher Grund (z.B. notwendige Einbeziehung weiterer externer Dienstleister bei Hard- oder Softwareschaden) vorliegt.
Im Übrigen dürfen solche Dokumente und Daten durch die externen Dienstleister nur nach Weisung des Bayerischen Staatsministeriums der Justiz an Dritte weitergegeben werden. Dieses holt hierzu die Einwilligung des IT-Rats (in der in Abschnitt B Nr. 7 genannten Besetzung) ein.
Die Weitergabe von Dokumenten und Daten auf Grund gesetzlicher Vorschriften (z.B. strafrechtliches Ermittlungsverfahren, Wahrnehmung der Dienstaufsicht) bleibt hiervon unberührt.
5.
Protokollierung und Dokumentation
Jeder Zugriff auf Dokumente und Daten gemäß Abschnitt B Nr. 3 Abs. 2 und jede Weitergabe von Dokumenten und Daten an Dritte gemäß Abschnitt B Nr. 4 sind vom externen Dienstleister zu protokollieren. Gleiches gilt für sonstige besondere Vorfälle (z.B. Abschaltung der Protokollierung).
Aus der Dokumentation muss hervorgehen, wer wann auf welche Dokumente inhaltlich zugegriffen oder diese weitergegeben hat und aus welchem Grund dies geschehen ist.
Bei einer Weitergabe nach Abschnitt B Nr. 4 Abs. 1 genügt die Angabe der Systeme und der betroffenen Anwendungen. In den Fällen nach Abschnitt B Nr. 4 Abs. 2 ist auch der Empfänger der Weitergabe zu erfassen.
6.
Inhaber von Administratorenkennungen
Kennungen für Administratoren dürfen nur im notwendigen Umfang zugeteilt werden. Der Kreis der Administratoren ist möglichst klein zu halten.
Es ist zu dokumentieren, welchen konkreten Personen (Name, Stelle, Kontaktdaten) für welchen Aufgabenbereich eine Administratorenkennung zugeteilt worden ist. Die Liste wird dem IT-Rat (in der in Abschnitt B Nr. 7 genannten Besetzung) regelmäßig, mindestens aber alle sechs Monate, oder auf Anforderung zur Verfügung gestellt.
7.
Wahrnehmung der Kontrollaufgabe
Nach Art. 51 Abs. 1 Satz 2, Abs. 3 Nr. 1 BayRiStAG gehören dem IT-Rat zur Sicherstellung der richterlichen Unabhängigkeit bei der Auftragsdatenverarbeitung und der Überwachung von vereinbarten Maßnahmen zum Schutz der richterlichen Unabhängigkeit an:
- a)
der Präsident oder die Präsidentin des Oberlandesgerichts Nürnberg (Vorsitz),
- b)
ein Vertreter des Bayerischen Staatsministeriums der Justiz,
- c)
ein Vertreter des IT-Servicezentrums der bayerischen Justiz,
- d)
zwei Vertreter des Hauptrichterrats der ordentlichen Gerichtsbarkeit.
Der IT-Rat tritt gemäß Art. 51 Abs. 4 BayRiStAG einmal jährlich oder aus besonderem Anlass auf Antrag eines Mitglieds zusammen. Der IT-Rat trifft seine Entscheidungen mit der Mehrheit der Stimmen seiner Mitglieder. Eine Stimmenthaltung ist nicht möglich.
Der IT-Rat kann den weiteren Mitgliedern gemäß Abschnitt C die Anwesenheit gestatten. Diese weiteren Mitglieder haben kein Stimmrecht.
Der IT-Rat kann sich zu relevanten Sachverhalten berichten lassen und lässt sich die Protokolle und Dokumentationen (Abschnitt B Nr. 5 der Dienstvereinbarung) vorlegen. Zur Aufklärung des Sachverhalts kann er Sachverständige beiziehen.
Bei Feststellung von Verstößen trifft er die erforderlichen Maßnahmen. Er kann insbesondere Verstöße beanstanden und das Staatsministerium der Justiz zur Stellungnahme binnen einer bestimmten angemessenen Frist auffordern.
Der IT-Rat entscheidet über die Benachrichtigung von Richterinnen und Richtern, die von einem inhaltlichen Zugriff auf Dokumente und Daten gemäß Abschnitt B Nr. 3 Abs. 2 oder deren Weitergabe an Dritte ohne IT-betrieblichen Grund gemäß Abschnitt B Nr. 4 Abs. 2 betroffen sind.
8.
Umsetzung der Ziele und Regelungen
Das Bayerische Staatsministerium der Justiz trägt dafür Sorge, dass die Regelungen dieser Dienstvereinbarung in den Vereinbarungen und Verträgen mit den externen Dienstleistern umgesetzt werden.
Das Bayerische Staatsministerium der Justiz wird die Regelungen dieser Dienstvereinbarung auch gegenüber neuen Vertragspartnern durchsetzen.
Das Bayerische Staatsministerium der Justiz unterrichtet den IT-Rat über die beauftragten externen Dienstleister und legt diesem die insoweit getroffenen vertraglichen Vereinbarungen in der jeweils aktuellen Fassung vor.