11 minute read
5.3 Fachinformationssysteme/Datenbanken der Wasserversorgung
Grundsätze – Leitbild
Fachinformationssysteme (FIS) sind ein wesentliches Instrument, um Umweltinformationen systematisch, konzentriert und effizient erfassen, verarbeiten und zielgerichtet dem jeweiligen Nutzer (Bürger, Fachexperten, Behördenmitarbeiter etc.) oder Entscheidungsträger zeitgerecht übermitteln zu können.
Sie bilden Daten, Funktionen und Prozesse informationstechnisch zweckmäßig und umfassend ab und automatisieren bestimmte Verfahren und Abläufe, um so einerseits die Informationsnachfrage decken und andererseits bei der Erfüllung behördlicher Aufgaben unterstützen zu können.
Integraler Bestandteil der Informationssysteme sind die Anwendungssysteme, welche die für den jeweiligen Fachaufgabenbereich eingesetzte Software (in der Regel Datenbanksysteme) darstellen. Von besonderer Bedeutung für den Umweltbereich ist die Darstellung und Verarbeitung räumlicher Daten in Geoinformationssystemen.
Grundsätzlich sind bei der Entwicklung und dem Betrieb von Informationssystemen die fachlich abgestimmten Anforderungen mit den (datenschutz-)rechtlichen, organisatorischen, technischen und wirtschaftlichen Rahmenbedingungen bestmöglich in Einklang zu bringen. Ziele – Umsetzungsstrategie
Bei der Entwicklung und dem Betrieb der FIS mit mittelbarem und unmittelbarem Bezug zur Wasserversorgung sind die Grundlagen der Wirtschaftsinformatik zu berücksichtigen sowie die Ziele und Anforderungen, die im Zusammenhang mit der Umsetzung der Schutzziele der Informationssicherheit stehen, zu beachten.
Die mehrfache Erhebung von identischen Daten soll vermieden werden. Dazu sind nach Möglichkeit Schnittstellen zwischen den FIS zu schaffen und für einen effizienten Datenaustausch zu nutzen. Die Entscheidung zur Veröffentlichung und -herausgabe (nach SächsUIG) von schutzbedürftigen Daten, die in mehreren FIS gehalten werden, ist abzustimmen und einheitlich anzuwenden.
Durch die oberste Wasserbehörde ist zu prüfen, inwieweit ressortübergreifende Barrieren, die einen Austausch von fach- und vollzugsrelevanten Datensätzen erschweren, rechtssicher und bei vollumfänglicher Wahrung der Datensicherheit abgebaut werden können.
Die mittel- bis langfristige Planung sieht die Neukonzipierung und -entwicklung der Datenbankanwendung WAVE vor, die den technischen und rechtlichen Anforderungen (Datenschutz und Informationssicherheit) sowie den wasserwirtschaftlichen Aufgaben und Berichterstattungen gerecht werden kann.
IST-Zustand – Status quo
In einem als digitale Anlage bereitgestellten Struktogramm sind die landesbehördlichen Fachinformationssysteme (FIS) und Anwendungen aus Fachbereichen, die Schnittstellen mit dem Bereich Wasserwirtschaft/Wasserversorgung aufweisen und deren Informationen daher für wasserwirtschaftliche Belange Relevanz besitzen können, übersichtsweise dargestellt. Entsprechend der per Rechtsnorm übertragenen Aufgabe werden die Systeme bei unterschiedlichen Behörden betrieben. Die Erarbeitung der für die Erreichung der Ziele bedeutsamen Konzepte (Informationssicherheits-, DV-, Fach- und Nutzungskonzepte etc.) liegt in der Zuständigkeit der jeweils datenhaltenden Behörde. Für die vom LfULG betriebenen FIS und Anwendungen ist der jeweilige Handlungsbedarf weitestgehend in den Fach- und Nutzungskonzepten abgebildet. Defizite liegen insbesondere noch bei der Erarbeitung von Informationssicherheitskonzepten.
Grundsätzlich sind immer die Datenschutzziele der IT-Sicherheit anzustreben, die nachfolgend aufgeführt sind.
Vertraulichkeit: Zum Schutz des Informationsverhaltens als auch der Informationsinhalte der FIS dürfen die sicherheitsrelevanten Elemente nur Befugten zugänglich sein (vgl. gesetzliche Regelungen zum Schutz der Vertraulichkeit u. a. DSGVO, BDSG, Artikel 10 GG, § 88 TKG, §§ 203 und 206 StGB). Daher muss jedes FIS ein Datenschutzkonzept (und ggfs. Informationssicherheits-
konzept) besitzen. Mithilfe einer Schutzbedarfsfeststellung müssen Art und Umfang aller im FIS enthaltenen Daten dokumentiert und ihr Schutzbedarfsniveau datenschutzrechtlich beurteilt werden. Der Zugriffsschutz ist durch ein Berechtigungskonzept mit Rollen- oder Benutzergruppen und die Verschlüsselung von Daten zu regeln. Im Allgemeinen sind die entsprechenden BSI-Standards einzuhalten. Da das FIS immer in eine IT-Infrastruktur (z. B. der Behörde) integriert ist, gilt insbesondere das gemäß BSI IT-Grundschutz erarbeitete, übergeordnete Informationssicherheitskonzept der Organisation195 .
Verfügbarkeit: Der funktionell und technisch fehlerfreie Betrieb der Systeme ist jederzeit zu gewährleisten, um zeitgerecht auf Informationen und Daten zugreifen zu können. Durch redundante Systeme, wie interne Backup- und Prüfmechanismen sind die Verfügbarkeit zu erhöhen und das Risiko eines Datenverlustes zu schmälern. In diesem Zusammenhang sind die IT-Betrieblichen und technischen Rahmenbedingungen der Behörde/Organisation regelmäßig zu prüfen. Darüber hinaus ist das Ziel einer inklusiven Informationsgesellschaft Informationen auch barrierefrei (gemäß BITV196) zur Verfügung zu stellen.
Integrität: Unter Datenintegrität wird die Vollständigkeit und Korrektheit von Daten und unter Systemintegrität die korrekte Funktionsweise von Systemen verstanden197. Die unverfälschte Informationsbereitstellung wird durch eine Überprüfung der Korrektheit von Daten bereits während der Eingabe und der Verhinderung bzw. nachträglichen Erkennung von unautorisierten Manipulationen erlangt. Sollten Manipulationen erfolgt sein, sind bestenfalls technische Lösungen zur Wiederherstellung des Ausgangszustands zu nutzen. Die fachlichen Anforderungen, die an Erfassungs-, Verarbeitungs- und Auswertungsprozesse des FIS gestellt sind, müssen erfüllt werden können.
Bei der (Weiter-)Entwicklung eines Systems ist darauf zu achten, dass die Erfassung und Verarbeitung der Daten und Informationen weitestgehend automatisiert abläuft und dabei die dafür notwendigen Daten, Funktionen und Prozesse (unter Berücksichtigung sowohl technischer als auch organisatorischer Aspekte) logisch integriert werden. Gleichzeitig ist das Ziel der Kontingenz zu beachten, indem die technische Lösung/Umsetzung so flexibel gestaltet wird, dass veränderte oder neue Systemanforderungen (z. B. aufgrund neuer oder angepasster Rechtsgrundlagen) umgesetzt werden können.
Transparenz: Um eine intuitive Handhabung und breite Akzeptanz des Informationssystems zu gewährleisten, sind Zweck, fachlicher und technischer Aufbau sowie Funktionsweise der Systeme und ausstehender priorisierter Handlungsbedarf nachvollziehbar und verständlich in einem Fach-, DV-, Nutzungs- und Berechtigungskonzept darzustellen. Darüber hinaus sind die Systeme benutzerfreundlich zu gestalten (einfache Programmier- bzw. Abfragesprachen, kurze Zugriffs- und Verarbeitungszeiten, übersichtliche Benutzeroberfläche, leicht verständliche Programmhilfen etc.). Defizite und Handlungsbedarf sind in einem Abstimmungsprozess durch Einbindung der Nutzer und Gründung einer Arbeitsgemeinschaft zu ermitteln.
Um Datenredundanz und Mehrfachspeicherung in einer unübersichtlichen Flut an Datenbanken und Informationssystemen zu vermeiden, sind die relevanten Fachinformationen zweckmäßig zu sortieren, zu verdichten und in FIS einzubetten. Von besonderer Wichtigkeit ist der regelmäßige Abgleich der in unterschiedlichen Systemen und Datenbanken gehaltenen Informationen (insbesondere innerhalb eines verwaltungstechnischen Ressorts), um im Zusammenhang mit der Datenredundanz Schnittstellen, Reengineering-Bedarf oder Informationsintegration (z. B. Vereinigung/ Zusammenführung von Datenbanken) festzustellen.
In diesem Punkt besteht wesentlicher Handlungsbedarf, da einige der im Struktogramm (digitale Anlage) dargestellten FIS und Anwendungen dieselben Informationen enthalten, diese aber zum Teil für jede Anwendung einzeln und unabhängig von der Erhebung anderer Behörden abgefragt und auch in unterschiedlicher Weise geschützt, veröffentlicht oder nach SächsUIG herausgegeben werden. Ersteres führt zu Mehrfachabfragen und damit zu vermeidbarer Belastung sowohl bei den Berichtspflichtigen (insbes. Aufgabenträger der öffentlichen Wasserversorgung) als auch bei der öffentlichen Verwaltung. Dies betrifft beispielsweise eine nicht unbeachtliche Menge an Daten bei der Berichterstattung an das StaLa nach UStatG und andererseits an die Umweltbehörden, speziell LfULG (WAVE) nach SächsWG.
195 BSI. (2016). IT-Grundschutz-Kataloge. 15. Ergänzungslieferung 2016. Zuletzt abgerufen am 01.09.2020 von: IT-Grundschutz-Kataloge 15. Ergänzungslieferung (bund.de) 196 Barrierefreie-Informationstechnik-Verordnung 197 BSI. (2016). IT-Grundschutz-Kataloge. 15. Ergänzungslieferung 2016, Glossar
Rechtsgrundlage – Handlungsrahmen
Um Fachinformationssysteme erfolgreich entwickeln und betreiben zu können, muss zunächst grundsätzlich die Zielsetzung bzw. der Einsatzbereich definiert sein. Für die Erhebung und Verarbeitung von Informationen in den FIS bedarf es gesetzlicher Grundlagen, die auch Anforderungen an die Form der Datenhaltung stellen können. Den Wasserbehörden sind mit dem WHG und SächsWG zahlreiche Aufgaben des Vollzugs des Wasserrechts übertragen, sodass eine Fülle von Daten anfällt, die insbesondere durch die Bearbeitung von wasserrechtlichen Verfahren geschaffen wird. Für die Haltung dieser Daten schreibt § 87 WHG explizit die Führung eines Wasserbuches vor. § 88 SächsWG regelt darüber hinaus, dass die Führung der Wasserbücher elektronisch zu erfolgen hat (Abs. 1) und die darin enthaltenen Informationen im Internet zum Abruf bereitzustellen sind (Abs. 5). In Ergänzung zu § 87 Abs. 2 WHG legt § 88 Abs. 2 SächsWG weitere im sächsischen Wasserbuch einzutragende Tatbestände fest.
Gesondert wird die Erhebung der Wasserentnahmeabgabe in § 91 SächsWG behandelt.
Das Recht zur Erhebung und Verwendung von Daten und Informationen auf dem Gebiet des Wasserhaushalts einschließlich personenbezogener Daten wird der zuständigen Behörde in § 88 WHG unter Berücksichtigung der Datenschutzgesetze eingeräumt. Voraussetzung dafür ist, dass sich das Erfordernis im Rahmen der Durchführung von Rechtsakten der Europäischen Gemeinschaften, der Europäischen Union, zwischenstaatlicher Vereinbarungen, innerstaatlicher Rechtsvorschriften oder grenzüberschreitender Zusammenarbeit ergibt.
Wenngleich die von der WRRL verpflichtende Bestandsaufnahme zu Gewässerqualität und Analyse der auf diese einwirkenden Faktoren maßgeblich für die Regelung der Informationsbeschaffung und -ermittlung im WHG war, stehen auch die beispielhaft in den Nr. 1 bis 7 des § 88 Abs. 1 WHG genannten Aufgaben, bei denen eine Informationsbeschaffung und -übermittlung erforderlich sein kann, im Zusammenhang mit der nachhaltigen Entwicklung und vorsorgenden Sicherstellung der öffentlichen Wasserversorgung bzw. haben Einfluss auf diese. Daher sind alle in der Breite vorliegenden wasserwirtschaftlichen und Umweltinformationen umfänglich bei wasserwirtschaftlichen Maßnahmen (wasserrechtlichen Entscheidungen) einzubeziehen.
Während § 88 Abs. 2 WHG eine nach Anordnung verpflichtende Informationsübermittlung von Trägern wasserwirtschaftlicher Maßnahmen an die zuständige Behörde festlegt, regeln die Absätze 3 und 4 des § 88 WHG die Weitergabe der Informationen an Aufgabenträger, Länder, Bund und Europäische Union.
Zu § 88 Abs. 2 WHG konkretisiert § 90 SächsWG in Abs. 3 die Art und Weise der Informationsübermittlung als „in der von der Wasserbehörde vorgegebenen elektronischen Form“, um eine Beschleunigung und Vereinfachung der Verwaltungsverfahren zu erwirken und die Daten bereits in einer einheitlichen Form für die Verwendung in Datenbanken zu erhalten. Im Weiteren wird in § 90 Abs. 4 SächsWG der Datenumfang untersetzt, der von den Trägern der öffentlichen Wasserversorgung auf Verlangen zu übermitteln ist. Die dortigen sechs Aufzählungen besitzen beispielhaften Charakter, sodass zu den Auskunftsverpflichtungen weitere Informationen hinzugefügt werden können, u. a. vor dem Hintergrund einer qualifizierten Prüfung und Umsetzung der Wasserversorgungskonzepte (WVK).
Die auf Grundlage von § 88 WHG und § 90 SächsWG erhobenen Daten dürfen gemäß § 88 Abs. 1 WHG und § 90 Abs. 1 SächsWG weiterverarbeitet werden. Die Haltung und Verarbeitung der Daten in Informations- und Datenbanksystemen entsprechend des Schutzbedarfsniveaus der Daten ist damit eingeschlossen.
§ 90 Abs. 2 SächsWG ergänzt zu § 88 Abs. 2 WHG i. V. m. § 90 Abs. 3 SächsWG, dass eine Informationsübermittlung nicht nur vom Träger wasserwirtschaftlicher Maßnahmen zur zuständigen Behörde erfolgen kann, sondern auch Körperschaften des öffentlichen Rechts und andere Aufgabenträger als Behörden im materiellen Sinne, die Aufgaben nach dem Bundes- und sächsischen Landeswassergesetz oder aufgrund dieser Gesetze erlassenen Verordnungen wahrnehmen, vom Betroffenen die notwendigen personen- und betriebsbezogenen Daten erheben, verarbeiten und nutzen sowie Auskünfte und Aufzeichnungen verlangen dürfen. Explizit wird die Relevanz der Übermittlung von Informationen genannt, welche für die Erstellung von WVK benötigt werden (vgl. Kapitel 5.1).
Abgesehen von den durch Datenübermittlung bei den Behörden zusammengetragenen Informationen, steht den jeweils zuständigen Wasserbehörden auch die eigenbehördliche Ermittlung, Erfassung, Haltung und Bearbeitung von gewässerkundlichen und wasserwirtschaftlichen Daten zum Zwecke der nachhaltigen Gewässerbewirtschaftung nach § 88 Abs. 1 Nr. 2 i. V. m. § 91 WHG und § 89 SächsWG zu. Die Zuständigkeiten hierfür ergeben sich einerseits
aus § 110 Abs. 1 SächsWG bzw. §§ 1 und 2 SächsWasserZuVO sowie den Grundsätzen der Fachaufsicht. Das LfULG ist gemäß § 3 Nr. 13 SächsWasserZuVO für den Vollzug des § 89 SächsWG zuständig.
Die Datenerhebung, -haltung und -verarbeitung wasserwirtschaftlicher Daten in Datenbanken und FIS dient der fachlichen Ausübung unterschiedlichster wasserwirtschaftlicher Aufgaben bzw. dem Vollzug des Wasserrechts (WRRL, GrwV, OGewV, WHG, SächsWG). Gleichzeitig wird mit der elektronischen Datenhaltung den Forderungen der §§ 4, 11 und 12 SächsUIG Rechnung getragen und erreicht, dass diese Daten wie andere Umweltinformationen der Öffentlichkeit auf und ohne Antrag in angemessenem Umfang aktiv und systematisch bereitgestellt werden können.
Von Bedeutung für die Sicherstellung der Wasserversorgung im Freistaat Sachsen sind nicht nur die Daten der Wasserversorgungssysteme einzelner Aufgabenträger der öffentlichen Wasserversorgung. Auch ausgewählte Umweltdaten angrenzender Fachbereiche beinhalten relevante Informationen, die zur Bewertung der Wasserversorgungssituation und als Grundlage für wasserwirtschaftliche Entscheidungen herangezogen werden. Tabellarisch (digitale Anlage) werden daher überblicksweise die FIS (ohne Anspruch auf Vollständigkeit) mit Bezug zur Wasserwirtschaft aufgeführt. Zu jedem FIS sind Informationen zum Anwendungsbereich, Dateninhalt und -quelle, Erhebungsturnus, Rechtsgrundlage zur Datenerhebung, -haltung und -verarbeitung, technische Realisierung, Zuständigkeit und Zugriff zusammengefasst.
Handlungsbedarf – Ausführungshinweise
Die Umsetzung der genannten Ziele und deren Priorisierung sind in den jeweiligen Konzepten (u. a. Datenschutz-, Informationssicherheits-, Berechtigungs-, DV-, Fach- und Nutzungskonzept) der FIS und Datenbanken darzustellen und regelmäßig zu aktualisieren. Dabei sind insbesondere die jeweils aktuell geltenden (rechtlichen) Anforderungen an Informationssicherheit (betrieblicher Datenschutz und IT-Sicherheit), Barrierefreiheit198 und fachlichen Berichterstattungspflichten zu berücksichtigen und in einer wirtschaftlich vertretbaren Weise (in Abhängigkeit von Nutzeranzahl, Nutzungsdauer, Datenumfang, Berichterstattungspflichten etc.) umzusetzen.
198 BITV. (2011) Die Priorisierung des Handlungsbedarfs sollte bei den einzelnen Konzepten nach Nutzwert- und Abhängigkeitsanalysen und gemeinsamem Ermessen einer Arbeitsgemeinschaft für das jeweilige FIS entschieden werden.
Aufgrund der unmittelbaren Bedeutung für die erfolgreiche Umsetzung der GK 2030 sind insbesondere die Aufgaben für den Betrieb und die Weiterentwicklung der Datenbank WAVE und des FIS Wasserrechtlicher Vollzug sowie die Bereitstellung des digitalen Wasserbuchs für die Öffentlichkeit hervorzuheben.
Das vorhandene Datenbanksystem WAVE muss dem aktuellen Stand der Technik, den Vorgaben zur IT-Sicherheit und dem Datenschutz entsprechen. Dafür wird u. a. eine Schutzbedarfsfeststellung der in WAVE gehaltenen personen- und betriebsbezogenen Daten erarbeitet und mit dem Fachbeirat hinsichtlich Schutzniveau, Zugriffsrechte und notwendiger technischer und organisatorischer Maßnahmen abgestimmt. Die Schutzbedarfsfeststellung berücksichtigt die Datenhaltung kritischer Infrastrukturen. Bis zur Umsetzung der technischen Anpassung wird die Angabe der vom Versorger als nicht kritisch eingestuften Daten mit normalem Schutzbedarf gefordert werden. Zwischen SMEKUL und Fachbeirat wird ferner abgestimmt, wie die Daten zu Risiko- und Krisensituationen dem SMEKUL bzw. den verantwortlichen Behörden zur Einsichtnahme und Kontrolle verfügbar gemacht werden.
Für den gesamten Geschäftsbereich ist eine Übersicht über Existenz und Aktualisierungsbedarf der Informationssicherheits- und Fach- und Nutzungskonzepte zu erstellen. Um den Aufwand für die Erarbeitung von Datenschutzkonzepten inkl. Schutzbedarfsfeststellungen in den Fachabteilungen zu minimieren, sind einheitliche Arbeitshilfen, Vorlagen o. ä. zu erarbeiten, mit Datenschutz und Informationssicherheit abzustimmen und bereitzustellen. Werden Informationen, bei deren Veröffentlichung und Herausgabe der Schutz öffentlicher Belange zu besorgen ist, in mehreren FIS und Anwendungen gehalten, ist eine Abstimmung zur einheitlichen Vorgehensweise bei der Veröffentlichung und Herausgabe der Informationen nach SächsUIG zwischen den betroffenen Behörden/ Referaten zu führen.
Die Schaffung von Möglichkeiten zum Austausch von Informationen zwischen Statistikämtern und Umweltbehörden sind auf rechtlicher und fachlicher Ebene zu prüfen, um sowohl die berichtspflichtigen Aufgabenträger der öffentlichen Wasserversorgung als auch die öffentliche Verwaltung (Statistikämter, Umweltbehörden) zu entlasten.
