Rz. 5
Zur Erhöhung der Datensicherheit hat die Deutsche Rentenversicherung Bund für ihren Zuständigkeitsbereich in eigener Verantwortung und unter verbindlicher Beteiligung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein Sicherheitskonzept zu erstellen. Dabei handelt es sich um eine in die Zuständigkeit der Deutschen Rentenversicherung Bund fallende Querschnittsaufgabe (BR-Drs. 430/04 S. 169). Dieses Sicherheitskonzept behandelt die Sicherheit in den Bereichen der Gemeinden, der Versicherungsämter und den Zugriff auf das automatisierte Verfahren der Datenstelle der Deutschen Rentenversicherung Bund. Das BSI soll beratend und unterstützend schwerpunktmäßig dort mitwirken, wo Sicherheitskonzeptionen entwickelt bzw. der technischen Veränderung angepasst werden. Die Erkenntnisse des BSI sollten vor allem dort fruchtbar gemacht werden, wo es darum geht, Angriffe von Hackern auf die besonders sensiblen Datenbestände der Rentenversicherung abzuwehren, insbesondere die Einschleusung von Viren zu verhindern. Mit der Beteiligung des BSI wird zudem sichergestellt, dass die IT-Sicherheit bei der bildschirmunterstützten Antragsaufnahme durch die Versicherungsämter und Gemeindebehörden im gesamten Bundesgebiet einheitlich und angemessen gewährleistet wird (BR-Drs. 214/02 S. 82).
Rz. 5a
Im Juni 2005 hat das BSI sein Einverständnis zum Sicherungskonzept für die Online-Anwendung im Verfahren Antrag-Online erklärt. Die Zustimmung für den Online-Zugang hat Rheinland-Pfalz im November 2005 erteilt; seit Dezember 2005 findet der elektronische Datenaustausch statt. Auf Bundesebene hat das (damalige) Bundesversicherungsamt (jetzt Bundesamt für Soziale Sicherung) ebenfalls im November 2005 den Zustimmungsbescheid zur Errichtung des Verfahrens erteilt. Wegen weiterer Einzelheiten dazu wird auf Brück, Info DRV in Bayern 2006 S. 426, und Sauer, NachrDRV HE 2006 S. 977, verwiesen.
Rz. 6
Eine weitere Kontrolle des Sicherheitskonzeptes wird dadurch erreicht, dass die Einrichtung des automatisierten Verfahrens und damit auch das erarbeitete Sicherheitskonzept der vorherigen Zustimmung der jeweiligen Aufsichtsbehörde bedürfen (Abs. 3 Satz 4). Die Zustimmung gilt als erteilt, wenn die Aufsichtsbehörde nicht innerhalb von 3 Monaten eine andere Entscheidung trifft (sog. Zustimmungsfiktion). Die Aufsichtsbehörde kann den Betrieb des Verfahrens untersagen, wenn eine Aktualisierung des Sicherheitskonzeptes nicht erfolgt.
Rz. 7
Das Zustimmungserfordernis greift ebenfalls bei Änderungen des Verfahrens. Ferner ist eine turnusmäßige Aktualisierung und Vorlage bei der Aufsichtsbehörde vorgeschrieben (alle 4 Jahre). Die Anpassungen des Sicherheitskonzeptes, insbesondere aufgrund von Veränderungen der technischen Rahmenbedingungen, tragen mit dazu bei, die IT-Sicherheit nach dem jeweiligen neuesten Stand der Technik zu gewährleisten. Darüber hinaus wird durch die Verpflichtung zur Vorlage der aktualisierten Fassungen des Sicherheitskonzeptes bei den Aufsichtsbehörden sichergestellt, dass diese über den Verlauf der sicherheitstechnischen Entwicklung stets informiert sind, um so ggf. regulierend eingreifen zu können (BR-Drs. 214/02 S. 83). Bei relevanten Sicherheitsmängeln wird die Aufsichtsbehörde die Fortführung des Verfahrens untersagen müssen, da sich dann ihr Ermessen gemäß Abs. 3 Satz 4 auf null reduziert haben dürfte.