Sicherheit des Bürgerportals

der im Juni 2021 veröffentlichte Entwurf zu einer Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund) – PVV ( https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/verordnung-gewahrleistung-it-sicherheit-im-portalverbund.pdf?__blob=publicationFile&v=2) ist für einen datenschutzinteressierten Bürger unbefriedigend, denn §2 (2) in Verbindung mit Anlage 1 der PVV adressiert nur kleine Ausschnitte statt ein ganzheitliches Konzept zum Schutz der personenbezogenen Daten darzustellen. Auch die in §2 (6) geforderten Penetrationstests oder die Eigenerklärung in §2 (8) sind meiner Meinung nach nicht geeignet, die Sicherheit insgesamt entsprechend dem Stand der Technik zu gewährleisten. Vermutungen statt Konzepte?

Daher möchte ich von Ihnen gerne wissen, welche technischen und organisatorischen Maßnahmen Sie mit Ihrem/n Auftragsverarbeiter(n) im Bereich des Bürgerportals/OZG vertraglich vereinbart haben oder welche technische und organisatorischen Maßnahmen Sie selbst vorsehen, sofern Sie das Portal selbst betreiben. Da sich die Portale laufend weiterentwickeln interessiert mich auch, wie sie bzw. der/die Auftragsverarbeiter(n) dieses Sicherheitsniveau trotz kontinuierlicher Änderungen sicherstellen. Ich bitte daher auch um die Zusendung der entsprechenden Auftragsverarbeitungsverträge sowie der Berichte von ggfs. durchgeführter Zertifizierungen oder Audits.

Diese Anfrage schicke ich gleichlautend an alle 16 Länderportale und das Bundesportal im Sinne des Online-Zugangsgesetzes (OZG).

Information nicht vorhanden

  • Datum
    11. August 2021
  • Frist
    14. September 2021
  • Ein:e Follower:in
Veronika Maier (Der Staat mauert, er ist intransparent)
Antrag nach dem LTranspG, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: der im Juni 20…
An Ministerium des Innern und für Sport des Landes Rheinland-Pfalz Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
Sicherheit des Bürgerportals [#226562]
Datum
11. August 2021 07:35
An
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem LTranspG, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
der im Juni 2021 veröffentlichte Entwurf zu einer Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund) – PVV ( https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/verordnung-gewahrleistung-it-sicherheit-im-portalverbund.pdf?__blob=publicationFile&v=2) ist für einen datenschutzinteressierten Bürger unbefriedigend, denn §2 (2) in Verbindung mit Anlage 1 der PVV adressiert nur kleine Ausschnitte statt ein ganzheitliches Konzept zum Schutz der personenbezogenen Daten darzustellen. Auch die in §2 (6) geforderten Penetrationstests oder die Eigenerklärung in §2 (8) sind meiner Meinung nach nicht geeignet, die Sicherheit insgesamt entsprechend dem Stand der Technik zu gewährleisten. Vermutungen statt Konzepte? Daher möchte ich von Ihnen gerne wissen, welche technischen und organisatorischen Maßnahmen Sie mit Ihrem/n Auftragsverarbeiter(n) im Bereich des Bürgerportals/OZG vertraglich vereinbart haben oder welche technische und organisatorischen Maßnahmen Sie selbst vorsehen, sofern Sie das Portal selbst betreiben. Da sich die Portale laufend weiterentwickeln interessiert mich auch, wie sie bzw. der/die Auftragsverarbeiter(n) dieses Sicherheitsniveau trotz kontinuierlicher Änderungen sicherstellen. Ich bitte daher auch um die Zusendung der entsprechenden Auftragsverarbeitungsverträge sowie der Berichte von ggfs. durchgeführter Zertifizierungen oder Audits. Diese Anfrage schicke ich gleichlautend an alle 16 Länderportale und das Bundesportal im Sinne des Online-Zugangsgesetzes (OZG).
Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 2 Abs. 2 Landestransparenzgesetz (LTranspG) bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Mit Verweis auf § 12 Abs. 3 Satz 1 LTranspG möchte ich Sie bitten, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 12 Abs. 3 Satz 2 Nr. 2 LTranspG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail) und möchte Sie um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Veronika Maier Anfragenr: 226562 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226562/ Postanschrift Veronika Maier << Adresse entfernt >>
Mit freundlichen Grüßen Veronika Maier (Der Staat mauert, er ist intransparent)
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Sehr geehrte Frau Maier, Ihre Anfrage zur Sicherheit des Bürgerportals (#226562) wurde zur Bearbeitung an das für…
Von
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Betreff
Sicherheit des Bürgerportals [#226562]
Datum
11. August 2021 11:59
Status
Warte auf Antwort
Sehr geehrte Frau Maier, Ihre Anfrage zur Sicherheit des Bürgerportals (#226562) wurde zur Bearbeitung an das für Digitalisierung zuständige Ministerium für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz weiter geleitet. Mit freundlichen Grüßen
Ministerium für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz
Sehr geehrte Frau Maier, haben Sie vielen Dank für Ihre unten stehende Anfrage, deren Eingang ich Ihnen hiermit g…
Von
Ministerium für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz
Betreff
AW: Sicherheit des Bürgerportals [#226562]
Datum
15. September 2021 12:00
Status
Warte auf Antwort
Sehr geehrte Frau Maier, haben Sie vielen Dank für Ihre unten stehende Anfrage, deren Eingang ich Ihnen hiermit gerne bestätigen möchte. Sie hatten sich nach den im Bereich des OZG/Bürgerportals ergriffenen technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten erkundigt und um die Zurverfügungstellung von entsprechenden Dokumenten (u.a. Berichte von durchgeführten Zertifizierungen oder Audits) gebeten. Ihre Anfrage wird hier als Antrag auf Informationszugang nach § 2 Abs. 2 Satz 1 i.V.m. §§ 11 ff. des Landestransparenzgesetzes behandelt. Ihre Anfrage beantworte ich wie folgt: Rheinland-Pfalz betreibt das Portal selbst und hat seinen IT-Dienstleister, den Landesbetrieb Daten und Information (LDI), damit beauftragt. Technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten entsprechend datenschutzrechtlicher Vorgaben sind vereinbart und werden ergriffen. Der LDI betreibt dazu auch ein vom Bundesamt für Informationssicherheit (BSI) zertifiziertes Informationssicherheitsmanagementsystem. Das bedeutet, dass nicht nur ein angemessenes Sicherheitsniveau erreicht wurde, sondern auch, dass die Informationssicherheit im LDI kontinuierlich überwacht und gesteuert wird. Der LDI muss sich dazu regelmäßig Audits durch das BSI unterziehen. Für die Bearbeitung Ihrer Anfrage im Übrigen ist von einem erhöhtem Verwaltungsaufwand auszugehen. Sie erfordert u.a. das Zusammenstellen der entsprechenden Unterlagen, welche auf das Vorliegen entgegenstehender Belange für die Veröffentlichung zu prüfen sind. Die in den jeweiligen Dokumenten enthaltenen personenbezogenen Daten wären gemäß § 16 Abs. 1 Satz 1 Nr. 2 und Satz 2 LTranspG unkenntlich zu machen. Die Prüfung der Belange der öffentlichen Sicherheit, insbesondere mit Blick auf das Bekanntwerden von Informationen der IT-Sicherheit nach § 14 Abs. 1 Nr. 7 LTranspG kann im Ergebnis auch dazu führen, dass Informationen nicht bereitgestellt werden können. Soweit der Informationszugang gewährt werden kann, würden für die entsprechenden Amtshandlungen aufgrund eines erhöhten Verwaltungsaufwandes gemäß § 24 LTranspG Kosten erhoben werden. Die Bemessung und Erhebung der erstattungsfähigen Kosten richtet sich gemäß § 26 Abs. 4 nach dem Allgemeinen Gebührenverzeichnis vom 8. November 2007 (GVBl. S. 277, BS 2013-1-1) in der jeweils geltenden Fassung. Bitte teilen Sie mir vor diesem Hintergrund mit, ob Sie dem Grunde nach bereit sind, anfallende Gebühren zu tragen und Sie Ihren Antrag aufrechterhalten möchten. Vor dem Hintergrund des oben geschilderten Aufwands weise ich zugleich darauf hin, dass die Beantwortung Ihrer Anfrage nicht innerhalb der nach § 12 Abs. 3 LTranspG vorgesehenen Monatsfrist erfolgen kann. Sofern diese Antwort veröffentlicht werden soll, bitte ich unter Hinweis auf die DSGVO darum, meine personenbezogenen Daten unkenntlich zu machen. Mit freundlichen Grüßen
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr geehrte Damen und Herren, wenn ich das richtig sehe, würden der oder die Auftragsverarbeitungsverträge unter…
An Ministerium für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
AW: Sicherheit des Bürgerportals [#226562]
Datum
16. September 2021 17:16
An
Ministerium für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, wenn ich das richtig sehe, würden der oder die Auftragsverarbeitungsverträge unter §7 (1) Nr. 4 Transparenzgesetz Rheinland-Pfalz fallen, wenn das LDI - wie in anderen Bundesländern - eine juristisch selbständige Einrichtung wäre. Ich beantrage daher die entsprechenden Absprachen analog eines Vertrages zu veröffentlichen. Auch teile ich Ihre Meinung nicht, dass ein BSI-zertifiziertes ISMS ein angemessenes Sicherheitsniveau garantiert und noch weniger dass das auch datenschutzkonform ist. Dazu eher geeignet erscheint mir ein Maßnahmenkatalog nach Standard-Datenschutz-Modell - wurde ein solches erstellt? Dass in diesen Unterlagen personenbezogene Daten in großem Umfang enthalten sind, kann ich mir nicht vorstellen. Bei Auftragsverarbeitern ist das normalerweise allenfalls die Unterzeichner am Ende. Die öffentliche Sicherheit gefährdet die Veröffentlichung in aller Regel auch nicht, oder allenfalls dann, wenn die Sicherheit nachlässig umgesetzt wurde. Insofern kann ich nicht nachvollziehen, dass da ein großer Aufwand entsteht, und leider haben Sie auch keine konkrete Gebühr genannt. Mit freundlichen Grüßen Veronika Maier Anfragenr: 226562 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226562/
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Landestransparenzgesetz Rheinl…
An Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
Vermittlung bei Anfrage „Sicherheit des Bürgerportals“ [#226562]
Datum
16. Oktober 2021 14:49
An
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Landestransparenzgesetz Rheinland-Pfalz (LTranspG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/226562/ Alle bisherigen Antworten sind ausweichend. Ich muss daraus schließen dass keine Sicherheitskonzepte oder Auftragsverarbeitungsverträge entsprechend dem Stand der Technik existieren, mithin ein Fall für die Datenschutzaufsicht. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Veronika Maier Anhänge: - 226562.pdf Anfragenr: 226562 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226562/
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Internet: www.…
Von
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Betreff
WG: Vermittlung bei Anfrage „Sicherheit des Bürgerportals“ [#226562]
Datum
18. Oktober 2021 13:50
Status
Warte auf Antwort
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Internet: www.datenschutz.rlp.de E-Mail: <<E-Mail-Adresse>> Telefon: (06131) 8920 141 Telefax: (06131) 8920 299 Datum: 18.10.2021 Gesch.Z.: 4.03.21.170 Sehr geehrte Frau Maier, Ihre Anfrage habe ich aus informationsfreiheitsrechtlicher Sicht geprüft. Ein Verstoß gegen die Vorgaben des Landestransparenzgesetzes Rheinland-Pfalz liegt aus meiner Sicht nicht vor. Wie seitens des Ministeriums für Arbeits, Soziales, Transformation und Digitalisierung dargestellt wurde, liegt der technische Betrieb des landesseitig genutzten Portals beim Landesbetrieb Daten und Information. Dieser betreibt als zentraler IT-Dienstleister des Landes eine Reihe von IT-Strukturen und Anwendungen für die Landesverwaltung. In diesem Zusammenhang wurden, u.a. in Abstimmung mit dem Landesbeauftragten, organisatorische, betriebliche und technische Datenschutz- und Sicherheitsmaßnahmen getroffen; beispielhaft darf ich auf die vorliegenden Zertifizierungen des Bundesamtes für Sicherheit in der Informationstechnik verweisen (https://ldi.rlp.de/de/kompetenzen/rechenzentrum/). Die Kenntnis über die dabei im Einzelnen getroffenen Maßnahmen würde Angriffsversuche erleichtern und das Risiko für die Gesamtstruktur unnnötigerweise erhöhen. Insoweit liegt ein entgegenstehender Belang nach § 14 Abs. 1 Nr. 7 LTranspG vor. Soweit Sie sich gegen die Erhebung von Gebühren wenden, erfolgte meiner Ansicht nach das Inaussichtstellen der Gebühren im Einklang mit § 24 LTranspG. Soweit Sie bemängeln, dass Ihnen keine konkrete Gebühr genannt wurde, möchte ich darauf aufmerksam machen, dass die konkrete Gebühr in aller Regel erst nach der Ausführung der gebührenpflichtigen Amtshandlung beziffert werden kann, da vorher unklar ist, welchen Zeitaufwand die Bearbeitung der jeweiligen Anfrage verursacht. Soweit Sie in Zweifel ziehen, dass die angefragten Unterlagen personenbezogene Daten in großem Umfang enthalten, habe ich keine Anhaltspunkte, an der inhaltlichen Richtigkeit der dahingehenden Ausführungen des Ministeriums für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz zu zweifeln. Die Konzepte zur Gewährleistung einer angemessenen IT-Sicherheit bzw. Sicherheit der Verarbeitung nach Art. 32 DSGVO enthalten z.B. personengebundene Zuständigkeiten, Verantwortlichkeiten, Verfahrensweisen, Meldewege oder (private) Kontaktdaten. Insoweit liegt ein Personenbezug vor, der gemäß § 16 Abs. 1 Nr. 2 LTranspG einer Herausgabe entgegenstehen kann. Eine Vermittlung ist mir daher nicht möglich. Hierfür bitte ich um Verständnis. Mit freundlichen Grüßen
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr << Anrede >> aber sie sind m.W. trotzdem in der Lage, das Verwaltungsportal einer Prüfung zu unte…
An Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
AW: WG: Vermittlung bei Anfrage „Sicherheit des Bürgerportals“ [#226562]
Datum
19. Oktober 2021 18:45
An
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> aber sie sind m.W. trotzdem in der Lage, das Verwaltungsportal einer Prüfung zu unterziehen, ob ein dem Stand der Technik angemesses Datenschutzniveau erreicht wird? Ich möchte anregen dass Sie das tun und die Ergebnisse veröffentlichen, oder falls Sie das bereits getan haben die Ergebnisse veröffentlichen. Mit freundlichen Grüßen Veronika Maier Anfragenr: 226562 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226562/

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Internet: www.…
Von
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Betreff
WG: AW: WG: Vermittlung bei Anfrage „Sicherheit des Bürgerportals“ [#226562]
Datum
25. Oktober 2021 08:25
Status
Anfrage abgeschlossen
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Internet: www.datenschutz.rlp.de E-Mail: <<E-Mail-Adresse>> Telefon: (06131) 8920 141 Telefax: (06131) 8920 299 Datum: 25.10.2021 Gesch.Z.: 4.03.21.170 Sehr geehrte Frau Maier, wie dargestellt betreibt der Landesbetrieb Daten und Information eine Reihe zentraler IT-Strukturen und Anwendungen für die Landesverwaltung. Beim Aufbau der zugehörigen Sicherheitsstrukturen war der Landebeauftragte eingebunden und hat dabei auch grundlegende Maßnahmen datenschutzrechtlich geprüft. Im Rahmen der Umsetzung des Online-Zugangsgesetzes bzw. des Aufbaus von eGovernment-Lösungen sind ebenfalls entsprechende Prüfungen vorgesehen. Dies wird im Tätigkeitsbericht nach Art. 59 DSGVO seinen Niederschlag finden. Mit freundlichen Grüßen