IT-Sicherheit und Datenschutz in OpenSDG
Dieses Dokument fasst sicherheitsrelevante Aspekte der OpenSDG-Plattform zusammen – insbesondere im Kontext der Nutzung durch Kommunen in Deutschland. Es soll helfen, den Einsatz von OpenSDG im Einklang mit geltenden Datenschutzbestimmungen und Anforderungen der IT-Sicherheit zu bewerten und zu gestalten.
1. Allgemeiner Überblick
OpenSDG ist eine statische Website, die in der Regel über ein Git-Repository gepflegt und per GitHub Pages oder GitLab Pages veröffentlicht wird. Die Plattform verarbeitet selbst keine personenbezogenen Daten – sie dient ausschließlich der Veröffentlichung öffentlich zugänglicher Indikatorendaten.
2. Datenschutzrechtliche Bewertung
2.1 Keine personenbezogenen Daten
OpenSDG selbst erhebt oder speichert keine personenbezogenen Daten. Indikatorendaten werden ausschließlich in anonymisierter oder aggregierter Form veröffentlicht. Die Plattform ist somit grundsätzlich nicht als Verarbeitung personenbezogener Daten im Sinne der DSGVO zu bewerten.
2.2 Zugriffsdaten beim Hosting
Beim Hosting über GitHub Pages oder GitLab Pages können Zugriffsdaten wie IP-Adressen durch den Hosting-Anbieter geloggt werden. Diese müssen in der Datenschutzerklärung der Kommune benannt werden.
Empfehlung: Nutzung eines Hosting-Dienstleisters mit Standort in der EU und Datenschutzniveau gemäß DSGVO, z. B. OpenCoDE oder ein eigener Server.
3. IT-Sicherheitsanforderungen
3.1 Grundschutz-Check
OpenSDG erfüllt – bei ordnungsgemäßem Betrieb – wesentliche Anforderungen des BSI-Grundschutzes für Webanwendungen:
- Keine serverseitige Verarbeitung
- Keine Formularfelder oder interaktiven Funktionen
- Kein Tracking oder externe Analyse-Tools
3.2 Relevante Schutzmaßnahmen
| Maßnahme | Empfehlung |
|---|---|
| HTTPS erzwingen | SSL-Zertifikat aktivieren (z. B. Let’s Encrypt via Pages) |
| Repository-Zugriff absichern | Zwei-Faktor-Authentifizierung (2FA) für alle Bearbeiter:innen |
| Versionskontrolle nutzen | Git-basiertes Änderungsprotokoll für Nachvollziehbarkeit |
| Sicherheitsupdates einplanen | Regelmäßige Aktualisierung der OpenSDG-Version und Themes |
| Rollen klar definieren | Nur geschulte Redakteur:innen mit Schreibrechten |
4. Betriebsempfehlung
Für Kommunen, die keine eigene Hosting-Infrastruktur betreiben möchten, bietet sich der Betrieb über OpenCoDE oder einen erfahrenen Dienstleister an. Vorteile:
- DSGVO-konformes Hosting in Deutschland
- Community-basierte Weiterentwicklung
- Einfaches Handling über GitLab
- Einrichtung eines statischen Deployments ohne Serverbetrieb
5. Fazit
OpenSDG stellt aus Sicht der IT-Sicherheit und des Datenschutzes eine sehr risikoarme Plattform dar, sofern sie fachgerecht betrieben wird. Der Aufwand zur Sicherstellung der DSGVO-Konformität ist gering und überschaubar.
Bei Unsicherheiten sollte die Datenschutzbeauftragte bzw. der IT-Sicherheitsbeauftragte der Kommune in die Einführung eingebunden werden.
Stand: Mai 2025