Auf Mastodon teilen

Antrag nach dem Akteneinsichts- und Informationszugangsgesetz (AIG), BbgUIG, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Sehr geehrte Frau Maier, aus Ihrer Anfrage geht nicht eindeutig hervor, ob Sie sich nur auf das Landesserviceportal lt. OZG oder auch auf andere IT-(Basis-)Komponenten des Landes beziehen. Im Land Brandenburg werden nach § 2 OZG in Verbindung mit § 11 Absatz 1 des Brandenburgischen E-Government-Gesetzes (BbgEGovG) vom 23. November 2018 (GVBl.I/18, [Nr. 28]) mehrere IT-Basiskomponenten vom Land bereitgestellt. Für die Zusammenstellung der relevanten Informationen wird darum gebeten, Ihre Anfrage zu präzisieren und genau zu benennen, zu welchen IT-Basiskomponenten Sie Informationen benötigen. Erst mit der Präzisierung kann abschließend über die in Betracht kommenden Informationen befunden werden. Grundsätzlich ist festzustellen, dass gemäß § 11 Absatz 3 BbgEGovG der Brandenburgische IT-Dienstleister für die Bereitstellung der IT-Basiskomponenten verantwortlich ist. Für die Zusammenstellung der angeforderten Informationen sowie der notwendigen Aussonderung von Daten zum Schutz überwiegender öffentlicher oder privater Interessen (§§ 4 und 5 AIG) ist von einem außergewöhnlichen Verwaltungsaufwand auszugehen. Je nach Umfang Ihrer Anfrage ist daher mit Gebühren von 500 bis 1000 EUR laut AIGGebO zu rechnen. Es wird darauf hingewiesen, dass aus selbigem Grund eine Beantwortung nicht innerhalb der Frist von einem Monat möglich sein wird. Es wird darum gebeten, Ihre Anfrage bis zum 9. Oktober 2021 zu präzisieren. Des Weiteren wird um Mitteilung gebeten, ob Sie dem Grunde nach bereit sind, die ggf. anfallenden Gebühren zu tragen. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, Ihre zweite Anfrage vom 09.09.2021 ist in meinem Referat bedauerlicherweise nicht eingegangen. Wir prüfen den Sachverhalt derzeit nochmals auch inhaltlich und werden kurzfristig unaufgefordert auf die Angelegenheit zurückkommen. Dabei gehe ich davon aus, dass sich Ihre Anfrage nur auf das Landesserviceportal Brandenburg bezieht. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, unter Bezugnahme auf meine E-Mail vom 04.10.2021 leite ich Ihnen anliegend Unterlagen zur Sicherheit des Landesserviceportals Brandenburg zu. Gebühren werden hierzu nicht erhoben. Mit freundlichen Grüßen

Sehr geehrte Frau Meier, gerne lasse ich Ihnen weitere Informationen zukommen. Bisher haben Sie das Dokument zu den technischen und organisatorischen Maßnahmen für die Bereitstellung und den Betrieb des Nutzerkontos nach dem OZG (Onlinezugangsgesetz) sowie die Auftragsverarbeitungsvereinbarung mit unserem Auftragnehmer, der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), hierzu erhalten. Ihre ursprüngliche Anfrage vom 10.08.21 haben wir nunmehr konkretisiert auf Informationen zum Serviceportal verstanden. 1. Sie möchten gerne wissen, „[…] welche technischen und organisatorischen Maßnahmen [wir] mit [unserem] Auftragsverarbeiter(n) im Bereich des Bürgerportals/OZG vertraglich vereinbart haben oder welche technische und organisatorischen Maßnahmen [wir] selbst vorsehen, sofern [wir] das Portal selbst betreiben.“ Antwort: Das von Ihnen und im OZG als Bürgerportal bezeichnete elektronische Verwaltungsangebot, wird in Brandenburg als Serviceportal bezeichnet. Das Serviceportal (erreichbar unter: service.brandenburg.de) ist mit dem Schutzbedarf: „normal“ eingestuft. Die darin enthaltenen Daten stehen auch sonst der Öffentlichkeit zur Verfügung und werden im Serviceportal zentral aufgeführt. Entsprechend dem festgestellten Schutzbedarf werden im ZIT-BB eine Vielzahl von technischen und organisatorischen Maßnahmen vorgenommen, die auf behördenübergreifenden Richtlinien und hauseigenen Dienstanweisungen beruhen. Der Gegenstand der technischen und organisatorischen Maßnahmen ist standardisiert und beruht auf der Umsetzung des BSI-Grundschutz. Folgende, nicht abschließende Maßnahmen und Regelungen, werden hierzu angewandt: - die Verfahrensrichtlinie - die Dienstanweisung Datenschutz - die Dienstanweisung Datenlöschung - Maßnahmen der Gebäudesicherung - die IT-Sicherheitsleitlinie - die Passwortrichtlinie - die Definition der Schutzbedarfskategorien - die Richtlinie zur Verschlüsselung und Kryptokonzept - die Richtlinie Incident Management +DA Incident Management Prozess - Vorgaben zu Sicherheitsdomänen und Netzübergänge - Richtlinie zur Datentrennung und Virtualisierung - Richtlinie zur Risikoanalyse + Anlage zur Richtlinie Risikoanalyse - die IS Revision auf Basis von IT-Grundschutz - das Betriebshandbuch ISMS - die Richtlinie zur Fernwartung von Benutzerarbeitsplätzen - die Richtlinie zur Dokumentenlenkung - das Sicherheitskonzept Virenschutz - die Leitlinie Notfallmanagement - die Technische Richtlinie Virenschutz - die Definition der Schadenskategorien - die Protokollierungsrichtlinie - die Verantwortlichkeiten beim Sicherheitskonzept - die Richtlinie zur Behandlung von Sicherheitsvorfällen und Schwachstellen - die Richtlinie zur E-Mail Nutzung - die Richtlinie zur Verhinderung ungesicherter Netzzugänge - die Technische Richtlinie für Datenbanksicherheit 2. Ihre Frage: „[…] Da sich die Portale laufend weiterentwickeln interessiert mich auch, wie sie bzw. der/die Auftragsverarbeiter(n) dieses Sicherheitsniveau trotz kontinuierlicher Änderungen sicherstellen. Ich bitte daher auch um die Zusendung der entsprechenden Auftragsverarbeitungsverträge sowie der Berichte von ggfs. durchgeführter Zertifizierungen oder Audits. […]“ Auftragsverarbeitungsverträge i.S.d. Art. 28 DSGVO sind nicht vorhanden. Es werden keine personenbezogenen Daten durch externe Stellen im Auftrag verarbeitet. Als personenbezogenes Datum wird beim Aufruf der Internetseite des Serviceportals (https://service.brandenburg.de/servic...) die IP-Adresse des Besuchers beim ZIT-BB verarbeitet. Hierfür ist der ZIT-BB selbst gem. § 11 Abs. 1 Nr. 9 i.V.m Abs. 3 BbgEGovG (Brandenburgisches E-Governmentgesetz) i.V.m. § 2 Abs. 2 eIDITBV (eID- und IT-Basiskomponentenverordnung) datenschutzrechtlich verantwortliche Stelle. Über den Inhalt der Verarbeitung gibt die im Anhang beiliegende Datenschutzerklärung weiteren Aufschluss. Sie kann auch auf dem Serviceportal abgerufen werden. Zum Serviceportal wurden keine externen Audits durchgeführt. Zertifizierungen sind nicht vorhanden. 3. In Ihrer weitergehenden Anfrage vom 18.10.21 bitten Sie um Auskunft zur Verschlüsselung des Serviceportals. Beim Serviceportal erfolgt lediglich eine Transportverschlüsselung. Die Transportverschlüsselung erfolgt nach HTTPS, wie Sie auch dem Aufruf der Internetseite des Serviceportals (https://service.brandenburg.de/servic...) entnehmen können. Eine weitere Verschlüsselung wird nach dem Stand der Technik zur Erreichung des Zwecks nicht erforderlich gehalten. Der Zweck ist, anders als das Nutzerkonto, nicht auf eine Authentisierung des Bürgers nach einem bestimmten Vertrauensniveau gerichtet. Vielmehr werden im Serviceportal lediglich breitstehende Verwaltungsleistungen abrufbar aufgeführt. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, gemäß § 6 Abs. 1 Satz 6 AIG informiere ich Sie darüber, dass ich Ihre weitere vertiefende Anfrage an den Brandenburgischen IT-Dienstleister abgegeben habe, da dieser für die Bereitstellung der IT-Basiskomponenten des Landes Brandenburg zuständig ist (§ 11 Abs. 3 BbgEGovG). Sie erhalten von dort weitere Sachauskünfte. Mit freundlichen Grüßen

Sehr geehrter Herr Maier, in der Anlage erhalten Sie im Auftrag von [geschwärzt] beigefügtes Schreiben zum Az. [geschwärzt] zu Ihrer Kenntnis. Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt]

Sehr geehrte Frau Maier, in der Anlage erhalten Sie im Auftrag von Frau Merz beigefügtes Schreiben zum Aktenzeichen Me/002/21/1820 zu Ihrer Kenntnis. Mit freundlichen Grüßen