Veröffentlichung BayMBl. 2024 Nr. 557 vom 20.11.2024

2003.4-J

Dienstvereinbarung über die Nutzung der Software Microsoft Sentinel
bei den Gerichten und Staatsanwaltschaften
im Geschäftsbereich des Bayerischen Staatsministeriums der Justiz

Bekanntmachung des Bayerischen Staatsministeriums der Justiz

vom 27. September 2024, Az. H4 - 1500E - VI - 9730/2022

Zur Gewährleistung der schutzwürdigen Interessen und Belange der Bediensteten schließen das Bayerische Staatsministerium der Justiz und der Hauptpersonalrat bei dem Bayerischen Staatsministerium der Justiz, der Hauptrichterrat der ordentlichen Gerichtsbarkeit sowie der Hauptstaatsanwaltsrat (im Folgenden: Hauptpersonalvertretungen) gemäß Art. 73 in Verbindung mit Art. 75a Abs. 1 des Bayerischen Personalvertretungsgesetzes (BayPVG) sowie Art. 27 Abs. 5, Art. 31 und Art. 37 Abs. 1 in Verbindung mit Art. 28 Abs. 1 Nr. 9 des Bayerischen Richter- und Staatsanwaltsgesetzes (BayRiStAG) folgende Dienstvereinbarung:

1.Gegenstand und Geltungsbereich

1.1

Gegenstand dieser Dienstvereinbarung ist die Einführung eines SIEM (Security Information and Event Management) Systems im Geschäftsbereich des Bayerischen Staatsministeriums der Justiz mit Ausnahme des Justizvollzugs. Um den Angriffsszenarien auf schutzbedürftige Komponenten im Justiznetz zu begegnen, wird als Ergänzung zu den gängigen Abwehrmechanismen zur Anomaliedetektion ein sog. SIEM System eingeführt. Hierzu wird die KI-gestützte Cloudsoftware Microsoft Sentinel verwendet, welche anfallende Logdateien untereinander abgleicht und so Angriffsmuster auch in komplexen und verteilten Szenarien erkennt.

1.2

Die datenschutzrechtlichen, dienstrechtlichen und tarifrechtlichen Bestimmungen bleiben unberührt.

2.Begriffsbestimmungen

2.1

Verhaltenskontrolle: Jede Maßnahme zur Überprüfung oder Auswertung des Verhaltens des einzelnen Beschäftigten durch Datenverarbeitungsprogramme.

2.2

Leistungskontrolle: Jede Maßnahme zur Überprüfung oder Auswertung der Qualität oder Quantität der Leistung des einzelnen Beschäftigten durch Datenverarbeitungsprogramme.

3.Zustimmung zur Einführung und Anwendung

3.1

Die Hauptpersonalvertretungen stimmen der Einführung und Anwendung des SIEM Systems Microsoft Sentinel gemäß Art. 70 Abs. 1 in Verbindung mit Art. 75a Abs. 1 Nr. 1 BayPVG sowie Art. 17 Abs. 4, Art. 28 Abs. 1 Nr. 9a und Art. 37 Abs. 1 BayRiStAG zu. Sie sind bei erheblichen Änderungen des Kollaborationswerkzeugs Microsoft Sentinel zu beteiligen.

3.2

Die genutzten Funktionen ergeben sich aus der Anlage. Eine Änderung der Anlage erfolgt nur mit Zustimmung der Hauptpersonalvertretungen. Eine Änderung der Dienstvereinbarung ist hierfür nicht erforderlich.

Die Hauptpersonalvertretungen sind vor der Freigabe neuer Funktionen von Microsoft Sentinel zu beteiligen.

4.Leistungs- und Verhaltenskontrolle durch die Auswertung der Logdateien

4.1

Das SIEM System ist ausschließlich für die Detektion von Sicherheitsvorfällen eingerichtet. Es erfolgt keine anderweitige Nutzung. Eine Leistungs- und Verhaltenskontrolle von Bediensteten durch die Erfassung und Verarbeitung der verschränkten Logdateien findet hierbei mit Ausnahme der in Nrn. 4.2 und 4.3 geregelten Fälle nicht statt.

4.2

Ausgenommen sind Fälle, in denen ein akuter Sicherheitsvorfall durch das System gemeldet wird. In diesem Fall wird zwar keine Leistungs-, aber falls für die Aufklärung und Behebung des Sicherheitsvorfalls notwendig, eine Verhaltenskontrolle durchgeführt. Diese wird in einem Rahmen durchgeführt, der zur Rekonstruierung des Hergangs und zur Feststellung des Schadensausmaßes notwendig ist. Die Verhaltenskontrolle wird nach dem Grundsatz der Datensparsamkeit durchgeführt und umfasst die im Zeitraum des Alarms der kontaktierten Systeme des Benutzerendgeräts sowie die genutzten technischen Dienste. Die Kontrolle wird durch ein eigenes, auf diesen Anwendungsfall spezialisiertes Team des Betriebsdienstleisters durchgeführt (Sog. SOC => Security Operation Center). Dieses befindet sich nicht in der Organisationsstruktur des bajTECH Projektes. Alle beteiligten Mitarbeiter sind im Rahmen des Gesetzes über die förmliche Verpflichtung nichtbeamteter Personen auf gewissenhafte Erfüllung seiner Obliegenheiten verpflichtet. Weiterhin werden die Mitarbeiter im Rahmen eines gesonderten NDA (Non Disclosure Agreement) zur Verschwiegenheit verpflichtet.

4.3

Ausgenommen sind ebenso Fälle, in denen eine individuelle Verhaltens- und Leistungskontrolle wegen eines durch konkrete Tatsachen begründeten Verdachts auf einen dienst-, arbeits-, datenschutz- oder strafrechtlichen Verstoß erforderlich ist.

In diesem Fall ist der oder die Bedienstete vor Beginn über den Umfang und den Zweck der Maßnahme zu unterrichten und gegebenenfalls zur Stellungnahme aufzufordern, soweit nicht Gründe der Unaufschiebbarkeit oder der Geheimhaltungsbedürftigkeit einer Maßnahme (z. B. strafrechtliche oder disziplinarrechtliche Ermittlungen) entgegenstehen. Die zuständige Personalvertretung ist unverzüglich zu unterrichten, soweit dies durch den Betroffenen beantragt wird. Der Betroffene ist hierüber zu belehren. Nach Beendigung der Maßnahmen sind der Betroffene sowie die von ihm eingeschaltete Personalvertretung über den Ausgang der Maßnahme zu unterrichten.

Zu diesem Zweck hergestellte Auswertungen sind nach Gebrauch unverzüglich zu vernichten, soweit Rechtsvorschriften nicht entgegenstehen.

5.Informationspflicht

Die Hauptpersonalvertretungen erhalten einen im Monatszyklus angefertigten Bericht, aus welchem die Anzahl der gemeldeten Alarme des Systems sowie die aus diesen Alarmen generierten Sicherheitsvorfälle hervorgehen. Die übermittelten Daten können auf Anfrage der Hauptpersonalvertretungen mit Zustimmung des StMJ erweitert werden.

6.Datenzugriff und Schweigepflicht

6.1

Der Zugriff auf Daten in Verfahren im Sinne der Nr. 4.2 darf nur durch Dienst- bzw. Fachvorgesetzte sowie von ihnen beauftragte Mitarbeiter erfolgen. Letztere sind der Personal-, Richter- oder Staatsanwaltsvertretung namentlich mitzuteilen. Die Zugriffe sind für die Kontrollzwecke zu dokumentieren. Hierbei ist mindestens festzuhalten, wer wann und mit welcher Eingabe welche Auswertung erzielt hat. Unberührt bleibt der Zugriff durch technische Mitarbeiter zur Wahrnehmung von deren Aufgaben.

6.2

Alle Personen, die Zugriff auf solche Daten haben, unterliegen einer besonderen Verschwiegenheitspflicht, diese ist Teil ihrer Dienstaufgaben. Sie gilt auch gegenüber Vorgesetzten aus anderen Bereichen. Sie sind hierüber gesondert zu belehren.

7.Inkrafttreten, Laufzeit

7.1

Die Dienstvereinbarung tritt mit der Unterzeichnung in Kraft. Sie kann von jeder Partei mit einer Frist von drei Monaten zum Ende eines Kalendermonats schriftlich gekündigt werden.

7.2

Nach Außerkrafttreten der Dienstvereinbarung wegen Kündigung gelten ihre Regelungen bis zum Abschluss einer neuen Dienstvereinbarung weiter.