Auf Mastodon teilen

Antrag nach dem ThürTG/ThürUIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Sehr geehrte Frau Maier, zu Ihrer Anfrage 226638 über den Webservice fragdenstaat.de teile ich Ihnen Folgendes mit. Zum Entwurf der Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund) - PVV kann diesseits keine Information erfolgen, da die Verordnung noch einen Entwurfsstand hat (Federführung für das Dokument hat das Bundesministerium des Innern, für Bau und Heimat) und somit keine Verbindlichkeit entfaltet. Deshalb sind darauf bezogene Umsetzungsmaßnahmen derzeit nicht angezeigt. Unabhängig davon ist der Aspekt der IT-Sicherheit bei der Verwaltungsdigitalisierung nach dem Onlinezugangsgesetz zu beachten, so dass er sowohl beim Portalverbund als auch bei der Digitalisierung von Verwaltungsleistungen Berücksichtigung findet. Hier werden die erforderlichen Maßnahmen getroffen. Das Thüringer Bürgerportal wird vom Thüringer Finanzministerium im Thüringer Landesrechenzentrum betrieben. Die Sicherheitsanforderungen für das Bürgerportal richten sich nach geltenden technischen Standards, die öffentlich zugänglich sind: * der Leitlinie zur Informationssicherheit des Bundesamtes für Sicherheit in der Informationstechnik, * der Informationssicherheitsleitlinie der Thüringer Landesverwaltung und * dem Standard IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat das konvergente Sprach- und Datennetz des Freistaats Thüringen nach der internationalen Norm ISO/IEC 27001 auf Basis von IT-Grundschutz zertifiziert. Das Sicherheitskonzept der zertifizierten Infrastruktur des Landesdatennetzes und des Thüringer Landesrechenzentrums durchläuft einen regelmäßigen PDCA-Zyklus im Sinne des BSI-Standards 200-1; die Wirksamkeit wird durch jährliche Überwachungs- bzw. Rezertifizierungsaudits sichergestellt. Die damit verbundenen technischen und organisatorischen Maßnahmen werden im Sinne des BSI IT-Grundschutz-Kompendiums umgesetzt. Die (sicherheits-)technischen und funktionellen Neu-bzw. Weiterentwicklungen erfolgen in enger Zusammenarbeit mit den für Informationssicherheit und Datenschutz verantwortlichen Organisationseinheiten. Im Zusammenhang mit den Auftragsverarbeitungsverträgen sowie den Berichten zu Zertifizierungen oder Audits zur Informationssicherheit besteht ein Anspruch auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen nicht. Sowohl eine Auftragsverarbeitungsvereinbarung als auch die Berichte von durchgeführter Zertifizierungen oder Audits enthalten Informationen über die IT -Landschaft des Freistaats Thüringen, die nicht offengelegt werden können, ohne deren Sicherheit zu gefährden. Dem Auskunftsanspruch gem. § 9 Abs. 1, Abs. 4, § 10 Abs. 1, Abs.3, Abs 5 ThürTG stehen hier also § 12 Abs. 1 S. 1 Nr. a), Nr. b) und Nr. e) ThürTG entgegen. Ich gehe davon aus, Ihrem Auskunftsbedürfnis mit dieser Antwort ausreichend nachgekommen zu sein, sofern Sie sich innerhalb der nächsten 4 Wochen nicht noch einmal an uns wenden. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, gemeint war tatsächlich die Leitlinie zur Informationssicherheit des IT-Planungsrates, die im Rahmen der Bund-Länder-Zusammenarbeit erstellt wurde. Die aktuell geltende Informationssicherheitsleitlinie des Freistaates Thüringen finden Sie an folgender Stelle: Informationssicherheit | Thüringer Finanzministerium (thueringen.de)<https://finanzen.thueringen.de/themen/egovernment/informationssicherheit/>. Diese läuft zum 31.12.2021 aus und wird aktuell überarbeitet. Artikel 32 DSGVO verpflichtet den datenschutzrechtlich Verantwortlichen dazu, die Sicherheit der Datenverarbeitung zu gewährleisten. Insbesondere muss gemäß Art. 32 Abs. 1 lit. b) DSGVO die Vertraulichkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden. Jedes Sicherheitskonzept identifiziert und beschreibt Maßnahmen zum den Umgang mit Sicherheitsrisiken, wie bspw. zu ergreifende Maßnahmen zur Risikoreduktion. Allerdings werden die Risiken durch die Sicherheitskonzepte regelmäßig nicht gänzlich ausgeräumt. Die Kenntnis der in den Konzepten beschriebenen Details, Risiken und technischen u/o organisatorischen Maßnahmen zur Behandlung können potentiellen Angreifern einen nicht hinnehmbaren Wissensvorsprung verschaffen. Die Folge einer Veröffentlichung wäre also der Anstieg des Risikos einer Kompromittierung für die Infrastrukturen, Systeme und letztlich durch die Verwaltung betreuten Daten. Aus diesem Grund können Ihnen sicherheitsrelevante Daten, insbesondere Sicherheitskonzepte, nicht zur Verfügung gestellt werden. Ich gehe davon aus, Ihrem Auskunftsbedürfnis mit dieser Antwort ausreichend nachgekommen zu sein, sofern Sie sich innerhalb der nächsten 4 Wochen nicht noch einmal an uns wenden. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt]

Sehr geehrte Frau Maier, auf Grund Ihrer vorangegangenen Anfragen bin ich bisher davon ausgegangen, dass Sie Informationen zur Informationssicherheit begehren. Aus Ihrer Anfrage vom 11.10.2021 geht jedoch hervor, dass Sie auf datenschutzrechtliche Inhalte abzielen. Daher möchte ich im Folgenden klarstellend auf die Unterschiede zwischen Informationssicherheit und Datenschutz hinweisen. Ich bitte zu entschuldigen, dass Ihnen zum Datenschutz bisher keine näheren Informationen übermittelt wurden. Technische und organisatorische Maßnahmen werden ergriffen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten und werden im Rahmen der Datenschutz-Dokumentation entsprechend abgebildet. Nähere Informationen zum Datenschutz und zur Datensicherheit im Thüringer Finanzministerium finden Sie unter: https://finanzen.thueringen.de/datenschutz Nach Auslegung Ihrer bisherigen Anfragen gehe ich davon aus, dass sich Ihre Anfrage auf das "Bürgerportal" im Kontext des Portalverbundes bezieht. Dabei handelt es sich um den Thüringer Zuständigkeitsfinder, den Sie unter https://buerger.thueringen.de/ erreichen können. Nähere Informationen zum Datenschutz des Zuständigkeitsfinders finden Sie unter https://buerger.thueringen.de/static?t=datenschutz#index. Im Zuständigkeitsfinder werden jedoch keine personenbezogene Daten verarbeitet, da es sich um eine Suchmaschine zu Verwaltungsleistungen und Zuständigkeiten handelt. Lediglich in den über den Zuständigkeitsfinder erreichbaren Online-Verwaltungsleistungen werden naturgemäß, bspw. im Rahmen einer Antragstellung, personenbezogene Daten verarbeitet. Diese Online-Verwaltungsleistungen werden jedoch nicht zentral bereitgestellt, sondern werden regelmäßig durch die für die jeweilige Verwaltungsleistung zuständige Stelle angeboten. Davon zu trennen ist die Informationssicherheit. Unter diesem Begriff definiert man alle Maßnahmen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen sollen. Zur Umsetzung dieser Ziele werden u.a. Sicherheitskonzepte erstellt, deren Veröffentlichung dem Schutzzweck zuwiderlaufen würde. Ich gehe davon aus, Ihrem Auskunftsbedürfnis mit dieser Antwort ausreichend nachgekommen zu sein, sofern Sie sich innerhalb der nächsten 4 Wochen nicht noch einmal an uns wenden. Vorsorglich weise ich auf § 10 Abs. 6 Satz 5 ThürTG hin, wonach Sie die Möglichkeit haben, auf Wunsch einen schriftliche rechtsbehelfsfähige Entscheidung zu erhalten. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt] +[geschwärzt] [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt] [geschwärzt]

Sehr geehrte [geschwärzt], angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt] [geschwärzt]

Sehr geehrte Frau Maier, angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt] [geschwärzt]

Sehr geehrte Frau Maier, angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt] [geschwärzt]

Sehr geehrte Frau Maier, angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt] [geschwärzt]

Sehr geehrte Frau Maier, angefügtes Schreiben übersende ich Ihnen im Auftrag von [geschwärzt] Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] | [geschwärzt] [geschwärzt] +[geschwärzt] | [geschwärzt]<[geschwärzt]> | [geschwärzt]<[geschwärzt]> [geschwärzt] [geschwärzt] [geschwärzt]