Az.: 5-0222/40
Sehr geehrter Herr Müller,
Ihren Antrag beantworten wir wie folgt:
Die IT-Standards der Landesverwaltung schreiben vor, dass der Einsatz von Cloud-Diensten die Zustimmung der für die IT-Landesarchitektur zuständigen Person unter etwaiger Einbeziehung des Informationssicherheitsbeauftragten erfordert (VwV IT-Standards vom 26.11.2018).
Grundsätzlich gilt insbesondere durch die Verpflichtung der Landesverwaltung zur Umsetzung des BSI IT-Grundschutzes (VwV Informationssicherheit), dass bei der Auswahl von Cloud-Anbietern solche zu wählen sind, für die ein IT-Grundschutz-Zertifikat des BSI vorliegt und bei denen die Speicherung der Daten in Deutschland in zertifiziertem Rechenzentrum erfolgt. Das BSI schreibt in seinen einschlägigen Bausteinen umfangreiche Maßnahmen vor, die Clouddienste-Anbieter erfüllen müssen. Ob darüber hinaus im Einzelfall Angebote mit weiteren Zertifikaten oder Gütesiegel wie z.B. SaaS von EuroCloud, CSA STAR, oder TÜV Trust IT zugelassen werden, muss jeweils im konkreten Fall auch in Abhängigkeit der zu speichernden Daten geprüft werden. Dazu wird ggf. die Beurteilung des BSI eingeholt.
Die genannten VwV finden Sie unter:
https://cio-bw.de/service
Auf die Auflistung verwaltungsinterner Cloud-Dienste, auch im förderalen Kontext, wurde verzichtet.
Ein Beispiel ist hier Kollaborationsplattform CENTEX, mit der die BITBW eine eigene webbasierte, zentrale Informations- und Kollaborationsplattform anbietet, die für interne Projekte sowie für Projekte mit externen Geschäftspartnern (außerhalb des Landesverwaltungsnetzes) eingesetzt werden kann. Die Plattform stellt für Projektmitglieder vielfältige Möglichkeiten und Funktionen – in Form von virtuellen Projekträumen – zur Verfügung. Dazu gehören beispielsweise Aufgabenlisten, Termine, Dokumente, Kontakte etc. Die Daten liegen im Rechenzentrum der BITBW.
Auch auf eine Auflistung von Clouddiensten wie den Suchmaschinendienst Startpage oder beispielsweise Onlineübersetzer wurde verzichtet.
Zu den Cloud-Diensten im Einzelnen:
Der Sonderinformationsdienst der Landesregierung,
http://www.infodienst-bw.de/Default.aspx, ein datenbankgestütztes Informationssystem, welches in Katastrophenfällen oder bei größeren Schadensereignissen in Baden-Württemberg Informationen für den Bürger bietet, wird durch den Betrieb der Microsoft AZURE-Plattform mit Datenhaltung in der EU betrieben.
Hierfür wird keine Dienstanweisung genutzt, die Anleitung steht nur den Redakteuren zur Verfügung.
Von der IT Baden-Württemberg (BITBW) wird der Cloud-Dienst „izmyshare“ den Landesbehörden zur dienstlichen Nutzung angeboten.
Izmyshare dient zum kurzzeitigen Speichern und Austauschen von Dateien über das Internet („Dropbox“-Ersatz“), insbesondere um die gemeinsame – auch ressortübergreifende – Zusammenarbeit zu erleichtern. Der Dienst wird von der Fa. CenterDevice GmbH aus Bonn bereitgestellt. Die Daten liegen in ausfallsicheren Rechenzentren in Deutschland.
Seitens der BITBW wurden Allgemeine Nutzungsbedingungen herausgegeben. Eine allgemeine Dienstbeschreibung liegt vor.
Für die Teilkomponenten „Office Connector“ und „Desktop Client“ stehen ebenfalls Anleitungen zur Verfügung.
Zu izmyshare wurde ein Datenschutz- und Sicherheitskonzept erstellt. Dokumente zur Erfüllung der DSGVO wurden erstellt.
In einigen Fachverfahren wird der Cloud-Dienst OpenStreetMap. Betreiber ist FOSSGIS e.V., der Ort der Datenhaltung ist nicht bekannt.
Anleitungen finden sich im Internet unter im Internet unter
https://www.openstreetmap.de/
Für eine Schulungsumgebung mit fiktiven Testdaten im Bereich des Kultusverwaltung wird der Cloud-Dienst Azure der Fa. Microsoft genutzt.
Die Daten werden derzeit auf einem Microsoft-Server in Amsterdam, ab 2020 auf Servern in Deutschland gehalten.
Es besteht eine Cloudlösung der ZfP-Gruppe (ZfP=Zentren für Psychiatrie), die von einzelnen für die ZfP zuständigen Mitarbeitern der Landesverwaltung in abgegrenztem Umfang zum Datenaustausch genutzt wird. Dabei werden vorbereitende Sitzungsunterlagen elektronisch ausgetauscht. Es werden keine personenbezogenen Daten oder datenschutzrelevanten Informationen eingestellt.
Die Datenhaltung erfolgt durch die Firma Bechtle Secure Cloudshare auf Servern in Friedrichshafen. Vom Betreiber der Cloudlösung wird ein umfangreiches Benutzerhandbuch zur Verfügung gestellt.
Für den dreimal im Jahr stattfindenden Landeskrankenhausausschuss den Mitgliedern werden die Unterlagen in der Online-Plattform HiDrive zur Verfügung gestellt. Anbieter ist die Strato AG mit Sitz in Berlin. Die Speicherung der Daten erfolgt in Deutschland.
Die Nutzung von HiDrive erfolgt ausschließlich für die Vorbereitung bzw. Zurverfügungstellung der Unterlagen für den o. g. Ausschuss (also dreimal jährlich für exakt jeweils 14 Wochentage). Die Vorhaltung dieser Daten erfolgt ansonsten ausschließlich auf den Servern bei der BITBW.
Beim Bereich Bürgerschaftliches Engagement wird mit OneDrive der Firma Microsoft gearbeitet, um größere Datenmengen den untenstehenden Personen/Einrichtungen zugänglich zu machen. Dabei geht es um Informationen wie Bewerbungen auf Förderprogramme, Antragsunterlagen von geförderten Projekten sowie ausgefüllte Evaluationsbögen von geförderten Projekten.
Diese werden bspw. folgenden Personen zur Verfügung gestellt:
Jury-Mitgliedern, die auswählen, welche Projekte in Förderprogrammen gefördert werden sollen, Fachberatungen und Projektbegleitungen sowie wissenschaftlichen Instituten, die die Evaluation von Förderprogrammen übernehmen.
Es werden keine personenbezogenen Daten oder datenschutzrelevanten Informationen eingestellt.
Im Rahmen der Kampagne „RadKULTUR“ mit ein Office 365 Sharepoint der Firma Microsoft genutzt.
Die Datenhaltung erfolgt in Deutschland, die Vertraulichkeit der Daten ist gering.
Im Rahmen der Kampagne „Neue Mobilität bewegt nachhaltig“ wird der Clouddienst Dropbox der Firma Dropbox genutzt.
Die Datenhaltung erfolgt weltweit, die Vertraulichkeit der Daten ist gering,
Der Nutzung des Dienstes ist temporär, da die angestrebte agentureigene Sharepointlösung technisch nicht umgesetzt werden konnte.
Im Bereich der Landesanstalt für Umwelt, Messungen und Naturschutz sind die wichtigsten Clouddienst für große Datenmengen:
Bei den Messnetzdaten die Google Cloud Plattform, SAAS Anbieter ist hier die Firma convotis,
bei den Kartendiensten Carto mit dem SAAS Anbieter Firma WABION, Google Maps mit dem SAAS Anbieter Firma WABION und OSM (Open Street Map) mit dem SAAS Anbieter Firma Omniscale
Bei den Suchdiensten Site Search Pro mit dem SAAS Firma intrafind,
und beim Datenaustausch neben izmyshare und Centex noch die Inovum-Plattform und Jira – Disy und IOSB
Für die Daten der Cloud-Dienste, die speziell von der LUBW genutzt werden, wurde festgelegt, dass nur Daten verwendet werden dürfen, auf die die Öffentlichkeit bereits Zugriff hat.
Die Landesregierung ist in den sozialen Medien im Rahmen der Öffentlichkeitsarbeit aktiv. Eine Übersicht findet sich auf:
https://www.baden-wuerttemberg.de/de/se…
Für die Nutzung der Cloud-Dienste Twitter und Facebook gilt z.B. beim Ministerium für Umwelt, Klima und Energiewirtschaft Folgendes:
Die Kommentarfunktionen der Facebook-Seite wurde eingeschränkt. Mit dem Personalrat wurde vereinbart, dass, sobald ein Post auf der UM-Seite sichtbar wird, der einen Mitarbeiter oder eine Mitarbeiterin persönlich (insbesondere negativ) betrifft, der Personalrat unverzüglich mit einbezogen wird.
Sicherheitskonzepte können wegen nachteiliger Auswirkungen auf die Belange der öffentlichen Sicherheit nicht zur Verfügung gestellt werden (§ 4 Abs.1 Nr.2 LIFG)
Mit freundlichen Grüßen
