Antrag nach dem IZG-SH/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

017-33/2020-1314/2020-20345/2021 Sehr geehrte Frau Maier, ich bestätige Ihnen hiermit den Eingang Ihrer Anfrage über Frag-den-Staat. Gemäß § 4 Abs. 2 IZG-SH bitte ich Sie allerdings um eine Konkretisierung Ihres Antrags. Aus Ihrer Anfrage geht nicht zweifelsfrei hervor, zu welchen Infrastrukturen Sie die entsprechenden Dokumentationen haben wollen. Schleswig-Holstein betreibt zusammen mit anderen Trägerländern gemeinsam eine technische Plattform (OSI) auf der neben einzelnen Onlinediensten bzw. Verwaltungsleistungen (siehe dazu Startseite - Schleswig-Holstein-Service<https://serviceportal.schleswig-holst...>) weitere Basisdienste wie das Servicekonto oder der Zuständigkeitsfinder zusammengefasst werden (siehe dazu auch § 8 EGovG-SH). Für das Land Schleswig-Holstein regeln die datenschutzrechtliche Verantwortlichkeit und die sich daraus ergebenen Pflichten neben der DSGVO und dem Landesdatenschutzgesetz insbesondere die Zentrale-Stelle-B<http://www.gesetze-rechtsprechung.sh....>a<http://www.gesetze-rechtsprechung.sh....>sisdiensteverordnung<http://www.gesetze-rechtsprechung.sh....>. Die Koordination der gemeinsamen Entwicklung und des Betriebs dieser Plattform gegenüber dem von mehreren Ländern getragenen öffentlichen Dienstleister Dataport AöR erfolgt in dafür entsprechend eingerichteten Gremien, die regelmäßig tagen und über die u.a. Maßnahmen des Datenschutzes und der Datensicherheit koordiniert werden. Die entsprechende operative technische Umsetzung auch der Maßnahmen des Datenschutzes und der Datensicherheit wie auch Großteile der entsprechenden Dokumentation werden durch den Dienstleister Dataport AöR im Auftrag des Landes umgesetzt. Sicherheitskonzepte und deren Umsetzung für die Rechenzentrums-Infrastruktur von Dataport AöR sowie dort betriebene Dienste werden regelmäßig nach aktuellen Standards des Bundesamtes für Sicherheit in der Informationstechnik zertifiziert – siehe beispielsweise https://www.bsi.bund.de/DE/Themen/Unt.... Aufgrund Ihrer sehr generischen Anfrage bitte ich Sie mitzuteilen, ob Sie eine Beschreibung der technischen und organisatorischen Maßnahmen sowie der dazu bestehenden Vertragslagen sämtlicher gemäß § 2 Abs. 2 OZG auf OSI zusammengefassten Dienste einsehen wollen? Die Bitte um Konkretisierung ergibt sich auch vor dem Hintergrund der zu erwartenden Kosten. Sie bitten zugleich um die Zusendung von Testberichten, Ergebnissen von Audits und Zertifizierungen. Allein für die Plattform werden in sehr hoher Frequenz Releases veröffentlicht, die jeweils mit einem entsprechenden Test- und Berichtswesen versehen werden. Daher ist bei einer umfänglichen Beantwortung ihrer Frage zu erwarten, dass gemäß Ziffer 1.3 Anlage zur IZG-SH-KostenVO zur Beantwortung Ihrer Frage Gebühren in Höhe von € 500 entstehen können. Zugleich weise ich gemäß § 5 Abs. 2 IZG-SH darauf hin, dass die Beantwortung aufgrund des oben geschilderten Sachverhaltes und der zu erwartenden Prüfung der Unterlagen insbesondere im Hinblick auf den Schutz entgegenstehender Interessen gemäß §§ 9 und 10 IZG-SH voraussichtlich nicht innerhalb der Regelfrist von einem Monat erfolgen kann. Ich bitte Sie daher gemäß § 9 Abs. 2 Nr. 5 IZG innerhalb von 2 Wochen Ihren Antrag zu konkretisieren und mir mitzuteilen, ob Sie die voraussichtlich entstehenden Gebühren tragen werden. Anderenfalls werde ich über Ihren Antrag nach Aktenlage entscheiden. Mit freundlichen Grüßen

017-33/2020-1314/2020-20345/2021 Sehr geehrte Frau Maier, ich bedanke mich für Ihren Hinweis, weise Sie allerdings erneut auf § 5 Abs. 2 IZG SH hin. Wie ich Ihnen bereits in meiner Antwort vom 31.08.2021 mitgeteilt hatte, handelt es sich bei Ihrem Antrag um eine umfangreichere Anfrage, bei der unsere IT-Dienstleister eingebunden werden musste und Schwärzungen aus Gründen der Informationssicherheit vorgenommen werden müssen. Daher kann in der gesetzlich vorgesehenen Frist die Antwort nicht erstellt werden, das hatte ich Ihnen bereits in meiner Mail vom 31.08. mitgeteilt. Ich bitte Sie daher weiterhin um etwas Geduld. Mit freundlichen Grüßen

Sehr geehrte Damen und Herren, hiermit bestätigen wir den Eingang Ihrer E-Mail. Über die Hausleitung wurde diese in das für Sie zuständige Referat weitergeleitet. Nach Prüfung des Sachverhalts werden Sie von dort weitere Nachricht erhalten. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, ich habe mit der Behörde soeben telefoniert und danach werden Sie zeitnah eine Rückmeldung bis zum voraussichtlich zum 1. November 2021 erhalten. Wenn man davon ausgeht, dass die Frist des § 5 Abs. 2 IZG-SH erst mit Ihrer Konkretisierung der Anfrage vom 01.09.2021 zu laufen begann und die Behörde mit E-Mail vom 22.09.2021 eine Verlängerung um einen weiteren Monat nach § 5 Abs. 2 S. 2 IZG-SH begründet hat, so würde die Rückmeldefrist noch bis zum 01.11. bzw. 02.11.2021 laufen. Sollten Sie in der Woche (KW 44) keine zufriedenstellende Antwort erhalten, so bitte ich Sie mich wieder zu kontaktieren und ich werde der Angelegenheit weiter nachgehen. Für Rückfragen stehe ich gerne zur Verfügung. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, anbei übersende ich Ihnen die von Ihnen erbetenen Informationen und Auskünfte. Mit freundlichen Grüßen

Vielen Dank für Ihre Nachricht. Bis zum [geschwärzt] kann ich auf Ihre Nachricht nicht reagieren. Ihre Nachricht wird nicht gelesen und nicht automatisch weitergeleitet. In zeitkritischen Angelegenheiten wenden Sie sich bitte an meine Vertreterin [geschwärzt] ([geschwärzt]) in allen anderen Angelegenheiten an das Funktionspostfach des Referats [geschwärzt] Vielen Dank für Ihr Verständnis und mit freundlichen Grüßen [geschwärzt]

Sehr geehrte Frau Maier, vielen Dank für die Rückmeldung. Verstehe ich Ihre E-Mail richtig, dass damit die IZG-SH-Anfrage grundsätzlich beendet ist und Sie damit Beschwerde bei uns einlegen? Dann bietet sich am besten an, wenn Sie dieses über https://www.datenschutzzentrum.de/formular/beschwerde.php tun. Dann wird sich eine andere Abteilung bei uns im Haus damit beschäftigen. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, bzgl. der Beschwerde nach DSGVO habe ich dieses an die entsprechende Abteilung weiter geleitet. Hinsichtlich der Anfrage nach IZG-SH bitte ich Sie um kurze Präzisierung, welche Informationen nach Ihrer Ansicht noch ausstehen. Ich verstehe das Schreiben der Behörde auch so, dass man einige Unterlagen zunächst aus Kostengründen noch nicht weiter geleitet habe, da Sie sich zur Übernahme der Kosten noch nicht geäußert hätten. Dazu der Hinweis, dass wir im Rahmen des § 14 IZG-SH insbesondere in einer Vermittlerrolle sind. Dies ersetzt nicht die rechtlichen Instrumente wie Widerspruch und Klage. Deren Fristen lauf losgelöst von unserem Peditionsverfahren. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, bzgl. Ihrer Beschwerde zu ggf. Verstößen zu datenschutzrechtlichen Fragestellungen hatte ich dieses wunschgemäß an die zuständige Abteilung weitergeleitet. Bzgl. einer Vermittlung im Rahmen Ihres IZG-SH Antrags hatten Sie nach meinem Verständnis einige grundsätzliche Fragen und "um die Zusendung der entsprechenden Auftragsverarbeitungsverträge sowie der Berichte von ggfs. durchgeführter Zertifizierungen oder Audits" gebeten (konkretisiert mit Ihrem Schreiben vom 01.09.2021, dass keine einzelnen Testergebnisse angefragt sind). Die grundsätzlichen Fragen hatte die Behörde mit Schreiben vom 28.10.2021 unter 1. beantwortet, die Zusendung der Unterlagen jedoch mit Verweis auf § 9 Abs. 1 Nr. 1 IZG-SH verweigert, da die Informationen danach sicherheitsrelevant sein und für Missbräuche genutzt werden könnten. Diese Argumentation der Behörde kann ich grundsätzlich nachvollziehen, wobei dieses ggf. nicht auf sämtliche angefragte Dokumente vollständig zutreffen muss. Dies scheint auch die Behörde so zu sehen und bietet eine entsprechende Schwärzung an, die jedoch kostenpflichtig sei. Nach der Kostenverordnung zum IZG-SH können je nach Aufwand Gebühren genommen werden. Hierzu haben wir einige Informationen veröffentlicht: https://www.datenschutzzentrum.de/art.... So sehen wir einen Aufwand von 30 bis 45 Minuten als kostenfrei an. Eine umfassende Auskunft, die bis zu 8 Stunden Aufwand bedeutet, kann bis zu 250 Euro kosten. Wenn der Aufwand darüber hinaus geht, kann die Gebühr bis zu 500 Euro betragen. Inwieweit hier nach dem Hamburger Transparenzgesetz Veröffentlichungen erfolgen müssten, kann ich nicht abschließend beurteilen und müsste von unseren Hamburger Kollegen beurteilt werden (https://datenschutz-hamburg.de/). Auch das IZG-SH hat zwar Regelungen zur Transparenz von Landesbehörden (§ 11 IZG-SH), die hier für die genannten Verträge m.E. jedoch nicht einschlägig sind. Zusammengefasst kann ich zwar die Argumentation der Behörde nachvollziehen, dass die angefragten Dokumente sicherheitsrelevante Informationen beinhalten, sehe aber ggf. einen Anspruch auf die übrigen in den Dokuemnten enthaltenen Informationen. Dass zusammen mit den schon erteilten Auskünften die Schwärzung der Unterlagen über 45 Minuten Aufwand bedeutet, erscheint mir möglich, jedoch würde ich mir eine Abschätzung der Höhe wünschen, die Ihnen auch ermöglicht, ggf. Ihre Anfrage entsprechend kostenreduzierend einzuschränken. Bzgl. des öffentlichen Interesses in § 2 KostenVO hat die Behörde ein Ermessensspielraum, den sie jedoch auch darstellen müsste. Ich habe daher die Behörde entsprechend angeschrieben (siehe Anhang). Sobald ich etwas dazu erfahre, melde ich mich wieder. Bedenken Sie bitte, dass dieses keinen Einfluss auf die laufende Widerspruchsfrist gegen den Bescheid der Behörde hat und Sie ggf. parallel innerhalb der Monatsfrist Widerspruch dort einlegen müssten. Mit freundlichen Grüßen

017-33/2020-1314/2020-20345/2021 Sehr geehrte Frau Maier, ich bedanke mich für Ihre Nachricht vom 03. November 2021, die ich nicht als Widerspruch i.S.d. § 7 Abs. 2 IZG SH werte. Denn Sie weisen in Ihrem letzten Satz der Nachricht darauf hin, die Landesbeauftragte für den Datenschutz gemäß § 14 IZG SH anzurufen und diesen Weg wählen zu wollen. Ihren weiteren Fragen bzw. Anmerkungen bewerte ich zugleich als neue Anfrage gemäß § 3 IZG SH, da sie inhaltlich mit der Anfrage vom 11.08.2021 zwar im Zusammenhang steht allerdings nunmehr auf die technisch-organisatorischen Maßnahmen Dataports abstellen, die auch über das Serviceportal des Landes Schleswig-Holstein hinausgehen. Im Kern erfragen Sie, wie der Zugriff auf personenbezogene Daten durch einen sog. "Innentäter" vermieden werden soll. Dazu teile ich Ihnen nach Rückfrage bei Dataport Folgendes mit: Die Maßnahmen der Informationssicherheit gegen Innentäter sind in einem grundschutzkonformen Sicherheitskonzept aufgeführt, das zuletzt in diesem Jahr aktualisiert wurde. Wesentliche Schlüsselmaßnahmen, die beim Betrieb im Twin Data Center, dem Rechenzentrum Dataports, generell umgesetzt werden sind: - Sicherheitsüberprüfung allen bei und für Dataport tätigen Personals; - revisionssichere Vollprotokollierung (Videolog) aller administrativen Tätigkeiten; - detaillierte Regelungen, wie administrative Tätigkeiten zu planen, durchzuführen und zu dokumentieren sind (IT-Betriebsprozesse nach ITIL) sowie - stichprobenartige manuelle und automatisierte Kontrollen auf Ordnungsmäßigkeit der Durchführung administrativer Tätigkeiten und Einhaltung der Regelungsvorgaben sowie Prozesse im Umgang mit erkannten Abweichungen (Prozess IT-Sicherheitsvorfallmanagement). Mit freundlichen Grüßen

Sehr geehrte Frau Maier, vielen Dank für Ihre E-Mail vom 3.11.2021. Aus der Korrespondenz, auf die Sie unter "https://fragdenstaat.de/anfrage/sicherheit-des-buergerportals-13" verweisen, schließen Sie auf einen Verstoß gegen Artikel 32 DSGVO. Sie beziehen sich dabei auf die Aussage, dass ein "grundschutzkonformer Betrieb der OSI-Plattform inklusive des Bürgerportals und Servicekontos beauftragt" wurde. Aufgrund von Wahlmöglichkeiten innerhalb des BSI-Grundschutzes schließen Sie darauf, dass "die Sicherheit der Verarbeitung nicht gewährleistet ist". Aus der Tatsache, dass in der Aufzählung der Sicherheitsmaßnahmen in dem zugrundeliegenden Vertrag der Begriff "Verschlüsselung" nicht erwähnt wird, schließen Sie auf eine Verletzung des Artikel 32 DGSVO. Zur Erläuterung kann ich Ihnen Folgendes mitteilen: Artikel 32 Absatz 1 2. Halbsatz DSGVO ist so zu verstehen, dass die in den Punkten (a) bis (d) genannten Maßnahmen beispielhaft genannt sind, nicht aber, dass die unter (a) - (d) genannten Maßnahmen ausnahmslos und in jedem Fall umzusetzen sind (siehe dazu auch Erwägungsgrund 83: "... die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen....". Der Begriff "wie etwa" bedeutet hier, dass eine Verschlüsselung eine sinnvolle Maßnahme sein kann, aber nicht sein muss). Aus einem etwaigen Fehlen einer Verschlüsselung kann daher nicht per se auf einen unsicheren Betrieb geschlossen werden. Es ist stets die _Summe_ aller getroffenen technische und organisatorischen Maßnahmen zu betrachten. Standardmäßig wird bei der Beauftragung eines "grundschutzkonformer Betriebs" eine Schutzbedarfsfeststellung erstellt. Sofern dabei ein Schutzbedarf "hoch" oder "sehr hoch" festgestellt wird, wird mit Hilfe einer Risikoanalyse untersucht, welche Gefährdungen es gibt, die den hohen Schutzbedarf auslösen, und es werden entsprechende zusätzliche Maßnahmen festgelegt, um den Gefährdungen entgegenwirken. Dazu _kann_, je nach Gefährdung und Risikoquelle, der Einsatz von Verschlüsselungsverfahren gehören (regelhaft beim Transport über unsichere Netze). Bei der Beauftragung eines grundschutzkonformen Betriebes wird typischerweise die Erstellung und Umsetzung eines Sicherheitskonzeptes beauftragt und dessen Umsetzung Vertragsgegenstand beim Betrieb. Im Schreiben des MELUND von 28.10.2021 werden spezifische Sicherheitsmaßnahmen (und auch die Verschlüsselung bei der Übermittlung von Daten) in der Anlage 8b beschrieben. Anhand Ihrer Ausführungen ist ein konkreter Verstoß gegen Artikel 32 DSGVO nicht ersichtlich. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, aufgrund der Arbeitsbelastung hatte die Behörde um Fristverlängerung gebeten, was ich akzeptiert habe. Auch wurde mir mitgeteilt, dass man mit Ihnen in Kontakt stehe. Spätestens Anfang Januar sollte ich die endgültige Stellungnahme erhalten. Mit freundlichen Grüßen

017-33/2020-1314/2020-20345/2021 Sehr geehrter Frau Maier, die Zusammenarbeit des Landes Schleswig-Holstein wird durch den Dataport-Staatsvertrag geregelt (Siehe Anlage). Gemäß § 15 Dataport-Staatsvertrag verarbeitet Dataport personenbezogene Daten für das Land Schleswig-Holstein in dessen Auftrag auf gesetzlicher Grundlage. Das Auftragsverarbeitungsverhältnis zwischen dem Land und Dataport ergibt sich in Übereinstimmung mit Art. 28 Abs. 3 DSGVO daher aus § 15 Staatsvertrag i.V.m. dem jeweiligen EVB-IT Vertrag. Darüber hinaus existieren keine weitergehenden eigenständige Auftragsverarbeitungsverträge. Dieses Vorgehen entspricht den Anforderungen der DSGVO. Alle weiteren direkt geäußerten oder in Ihren Fragen implizit enthaltenen Annahmen treffen nicht zu bzw. werden nicht bestätigt. Zu der Veröffentlichung weiterer Details zu Maßnahmen der Datensicherheit verweise ich auf die bereits getätigten Aussagen im Bescheid vom 28.10.2021. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, inzwischen habe ich von der Behörde eine Rückmeldung erhalten, die ich Ihnen in der Anlage mitschicke. Die Abwägung ist danach erfolgt bzw. m.E. spätestens mit diesem Schreiben nachgeholt worden. Auch wurde die Kostenaufstellung näher dargelegt. Ob die 16 Stunden dabei realistisch sind, kann ich nicht abschließend beurteilen. Allerdings dürfte die Maximalgrenze von 500 Euro dabei schon greifen und wenn ich Sie richtig verstanden habe, kommt eine Gebührenzahlung für Sie nicht in Betracht? Einige Informationen haben Sie laut Auskunft der Behörde am 22.12.2022 per Email erhalten. Zumindest kann ich nachvollziehen, dass weitergehende Informationen auch die Sicherheit des Systems betreffen können und daher Ausschlussgründe für diesen Teil greifen. Natürlich steht Ihnen der Rechtsweg gegen die Entscheidung der Behörde offen. Für Rückfragen stehe ich gerne zur Verfügung. Mit freundlichen Grüßen