- 13 - FM Dienststellenbezeichnung:   Ministerium für Finanzen Baden-Württemberg Organisatorische Maßnahmen: Regelungen zum Datenschutz in der Dienstvereinbarung zur Telearbeit: Verpflich- tung der Beschäftigten zu Maßnahmen zur Sicherstellung des Schutzes vor Einsicht und Zugriff durch unbefugte In 2014…2020 Dritte, Hinweise auf Datenschutzregelungen. Erklärung zum Datenschutz / Steuergeheimnis ist von den Beschäf- tigten zu unterschreiben. Dienststellenbezeichnung:   Oberfinanzdirektion Karlsruhe (inkl. Finanzämter) Organisatorische Maßnahmen: Regelungen zum Datenschutz in den Rahmenbedingungen zur Telearbeit: Ver- Landtag von Baden-Württemberg pflichtung der Beschäftigten zu Maßnahmen zur Sicherstellung des Schutzes vor Einsicht und Zugriff durch unbe- In 2014…2020 fugte Dritte, Hinweise auf Datenschutzregelungen, Erklärung zum Datenschutz / Steuergeheimnis ist von den Beschäftigten zu unterschreiben. Dienststellenbezeichnung:   Landesamt für Besoldung und Versorgung Baden-Württemberg Die bereits vor 2014 eingeführten technischen und organisatorischen Maßnahmen des LBV (TOM) gelten für alle Arbeitsplätze. Sie regeln u. a. die technischen und organisatorischen Maßnahmen zur Zugangs- und Zugriffskon- trolle und werden mit dem technischen Fortschritt beständig weiterentwickelt und fortgeschrieben. In 2014…                    Auf den eingesetzten Geräten der Telearbeiter werden keine Daten gespeichert, sie dienen lediglich als Zugriffs- medium auf die im LBV bzw. den Rechenzentren verwalteten Daten. Auf den eingesetzten Geräten zur mobilen Arbeit wird Festplattenverschlüsselung und eine USB-Port-Sperre ver- wendet. In 2015…                    - Veröffentlichung einer Dienstvereinbarung zur Telearbeit, die u. a. die allgemeinen TOM für die Telearbeit spezifi- In 2016… ziert. In 2017…2018                - Veröffentlichung überarbeiteter Neufassungen der TOM und der Dienstvereinbarung für Telearbeiter. Bekanntgabe der Sicherheitsrichtlinie zur Nutzung von Fremdnetzen mit mobilen Endgeräten mit spezifischen In 2019… technischen und organisatorischen Regelungen für die Nutzung mobiler Endgeräte und verschiedener Einwahlpunkte in das Landesverwaltungsnetz. In 2020…                    - 101 Drucksache 16 / 8148

- 14 - 102 FM (Fortsetzung) Dienststellenbezeichnung:   Statistisches Landesamt Remote-Zugriff vom Rechner am häuslichen Arbeitsplatz über eine sichere VPN-Verbindung (Transport und Da- tenverschlüsselung) der BITBW auf den jeweiligen userspezifischen Arbeitsplatz-PC im StaLa. Die Möglichkeit der mobilen Arbeit bzw. Telearbeit ist in einer Dienstvereinbarung geregelt. Hierin festgehalten sind Voraussetzungen des räumlichen Umfelds am häuslichen Arbeitsplatz. Mobile bzw. Telearbeit kann nur an Landtag von Baden-Württemberg einem vordefinierten Arbeitsplatz stattfinden. In 2014… 2020 Dieser muss vom Beschäftigten bei Antragstellung dargestellt werden. Auch die am häuslichen Arbeitsplatz zu verrichtenden Tätigkeiten werden im Vorfeld im Hinblick auf den Datenschutz und den Schutzbedarf überprüft. In Einzelfällen sind zusätzliche gesonderte Datenschutzerklärungen zu unterschreiben oder bestimmte Tätigkeiten werden für den häuslichen Arbeitsplatz ausgeschlossen. Eventuelle Mitbewohner werden auf den Datenschutz hingewiesen. Dienststellenbezeichnung:   Landesbetrieb Vermögen und Bau Baden-Württemberg, Bundesbau, SSG Der unberechtigte Zugriff durch Dritte wird mit folgenden Maßnahmen verhindert: • Passwortschutz bei der Windowsanmeldung In 2014…2020                • Automatische Bildschirmsperre nach 15 Minuten • Nutzung der VPN-Zugänge der BITBW mit Token • Tägliches Herunterfahren der Clients mit Hilfe der Software Auto Shutdown Manager Dienststellenbezeichnung:   Staatliche Münzen Baden-Württemberg In 2014…2019                - In 2020…                    Der Zugang zu den Daten der SMBW ist nur über VPN möglich. Drucksache 16 / 8148

- 15 - KM Dienststellenbezeichnung:   Ministerium für Kultus, Jugend und Sport Baden-Württemberg In einem gemeinsam mit dem behördlichen Datenschutzbeauftragten erstellten Katalog sind die im KM standard- mäßig für alle automatisierten Verfahren durchzuführenden Maßnahmen (Art. 32 DSGVO) beschrieben. Bis zum Übergang auf die BITBW erfolgte die Absicherung des VPN-Zugangs ins LVN technisch durch eine Zwei- Faktor-Authentisierung, bei der neben dem Benutzerkennwort („erster Faktor“) ein über eine Smartphone-App erzeugtes Einmalpasswort („zweiter Faktor“) genutzt wurde. Landtag von Baden-Württemberg Seit dem Übergang auf die BITBW werden für mobiles Arbeiten bzw. Telearbeit ausschließlich die von der BITBW angebotenen technischen Möglichkeiten genutzt (vgl. Frage 2). Der Zugang zum LVN über VPN ist durch die von der BITBW vorgegebene Zwei-Faktor-Authentisierung abgesichert. In 2014…2020 Für die zentralen Firewall- und Serversysteme der BITBW gelten die dortigen technisch-organisatorischen Maß- nahmen. Flankierend dazu wurden in einer Benutzerrichtlinie für den flexiblen Zugang zu zentralen Diensten in der Kultus- verwaltung sowie einer Benutzerrichtlinie zur Sicherung von Hardwarekomponenten organisatorische Maßnah- men festgelegt, die seitens der Beschäftigten der Kultusverwaltung zu beachten sind. Weitere Einzelheiten sind für das KM in einer Dienstvereinbarung geregelt, mit der im Februar 2016 die Rahmen- bedingungen für die Telearbeit festgelegt wurden. 103 Drucksache 16 / 8148

- 16 - 104 MWK Dienststellenbezeichnung:   Geschäftsbereich des Ministeriums für Wissenschaft, Forschung und Kunst Baden-Württemberg (i. S. d. Anfrage) Im Wissenschaftsministerium: Grundlage für die technischen und organisatorischen Maßnahmen bildete für die jeweiligen IT-Dienstleister der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik. Die VPN- Einwahl erfolgte über eine zertifikatsbasierte Authentifizierung. Zusätzlich werden die Notebooks verschlüsselt. Landtag von Baden-Württemberg In 2014…2020 Im Landesarchiv: Seit 2014 organisatorisch über Dienstvereinbarung Telearbeit (§ 10 Zutrittsrecht, § 11 Daten- schutz), technisch ausschließlich Einsatz vorkonfigurierter dienstlicher Geräte mit VPN-Zugang (temporäre Aus- nahme 2020: Corona-bedingte Adhoc-mobile Arbeitsplätze; hier Einsatz sicherer Remote-Zugänge via TeamVie- wer). Dienststellenbezeichnung:   Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg Die technischen und organisatorischen Maßnahmen orientierten sich am BSI IT-Grundschutz sowie an den Sicherheitsstandards der T-Systems. Der Zugriff über das dienstliche Notebook erfolgte über eine verschlüsselte In 2014… VPN-Verbindung mit zertifikatsbasierter Einwahl. Ebenso wurden die dienstlichen Notebooks verschlüsselt. Die Nutzung privater Endgeräte war nicht möglich. In 2015…2017                Es gab keine Veränderungen zu den technischen und organisatorischen Maßnahmen im Vergleich zu 2014. Im Rahmen der IT-Neuordnung und damit verbundenen Migration zur BITBW erfolgte die Umstellung der Note- books auf die gesicherte und gehärtete BK-Arbeitsplatzumgebung. Der Zugriff über das dienstliche Notebook er- In 2018… folgt über eine verschlüsselte VPN-Verbindung mit zertifikatsbasierter Einwahl. Ebenso wurden die dienstlichen Notebooks verschlüsselt. Die Nutzung privater Endgeräte war nicht möglich. In 2019…2020                Es gab keine Veränderungen zu den technischen und organisatorischen Maßnahmen im Vergleich zu 2018. Dienststellenbezeichnung:   Landesarchiv Baden-Württemberg organisatorisch: über Dienstvereinbarung Telearbeit (§ 10 Zutrittsrecht, § 11 Datenschutz); technisch: ausschließ- In 2014…2019 lich Einsatz vorkonfigurierter dienstlicher Geräte mit VPN-Zugang organisatorisch: über Dienstvereinbarung Telearbeit (§ 10 Zutrittsrecht, § 11 Datenschutz); technisch: ausschließ- In 2020…                    lich Einsatz vorkonfigurierter dienstlicher Geräte mit VPN-Zugang (temporäre Ausnahme: Corona-bedingte Adhoc- mobile Arbeitsplätze; hier Einsatz sicherer Remote-Zugänge via TeamViewer) Drucksache 16 / 8148

- 17 - UM Dienststellenbezeichnung:   Ministerium für Umwelt, Klima und Energiewirtschaft Baden-Württemberg Dienstvereinbarung über die Durchführung der alternierenden Telearbeit und alternierenden Heimarbeit (DV- Telearbeit) vom 12.12.2013 und die zugehörige Vereinbarung zur Ergänzung der Dienstvereinbarung über die In 2014…2020 Durchführung der alternierenden Telearbeit und alternierenden Heimarbeit (DV-Telearbeit) vom 01.04.2018 Leitlinie für Informationssicherheit im Geschäftsbereich des UM (Stand 05.08.2019) Dienststellenbezeichnung:   Nationalpark Schwarzwald Landtag von Baden-Württemberg Dienstvereinbarung über die Durchführung der alternierenden Telearbeit und alternierenden Heimarbeit (DV- Telearbeit) vom 12.12.2013 und die zugehörige Vereinbarung zur Ergänzung der Dienstvereinbarung über die In 2014…2020 Durchführung der alternierenden Telearbeit und alternierenden Heimarbeit (DV-Telearbeit) vom 01.04.2018 Leitlinie für Informationssicherheit im Geschäftsbereich des UM (Stand 05.08.2019) Dienststellenbezeichnung:   Landesanstalt für Umwelt Baden-Württemberg Dienstvereinbarung über die Durchführung der alternierenden Telearbeit und alternierenden Heimarbeit (DV- Telearbeit) vom 12.12.2013 In 2014…2020                Leitlinie für Informationssicherheit im Geschäftsbereich des UM (Stand 05.08.2019) Ergänzende Regelungen für die LUBW zur Leitlinie für Informationssicherheit des Umwelt-Ressorts vom 15.05.2019 105 Drucksache 16 / 8148

- 18 - 106 WM Dienststellenbezeichnung:   Ministerium für Wirtschaft, Arbeit und Wohnungsbau Baden-Württemberg Im WM existiert eine Dienstvereinbarung über die Einrichtung alternierender Telearbeitsplätze. Danach nach § 14 beispielsweise die Verarbeitung von Daten, die höher als „VS- Nur für den Dienstgebrauch“ eingestuft oder als besonders schutzwürdig gelten, grundsätzlich nicht erlaubt. Darüber hinaus sind die Telearbeitenden verpflichtet, die Datenschutzvorschriften zu beachten und vertrauliche Landtag von Baden-Württemberg In 2014…2020 Daten und Informationen so zu schützen, dass Dritte keine Einsicht bzw. Zugriff nehmen können. Das WM hat sich in dieser Dienstvereinbarung u. a. nach § 16 auch ein Zutrittsrecht zum Telearbeitsplatz am Wohnort vorbe- halten, um die Einhaltung o. g. Regelungen in Einzelfällen kontrollieren zu können. Ferner unterstützt das WM die BITBW, dass die BITBW insbesondere die Hard- und Software so einrichtet, dass die Telearbeitenden bei der Einhaltung der Datenschutzbestimmungen unterstützt werden. SM Dienststellenbezeichnung:   Ministerium für Soziales und Integration Baden-Württemberg Bereits im Jahr 2010 ist die Dienstvereinbarung „Alternierende Telearbeit im Sozialministerium“ (DV Telearbeit) in Kraft getreten. Diese enthält u. a. zum Schutz verwaltungsbezogener Daten eine Regelung, wonach die Nutzung eines privaten PC für dienstliche Zwecke nicht zulässig ist. Weiterhin sieht die Regelung des § 11 der DV Telear- beit vor, dass zur Gewährleistung des Datenschutzes und der Datensicherheit am Arbeitsplatz zu Hause keine Verarbeitung und Speicherung besonders schutzwürdiger personenbezogener Daten, Sozialdaten, Verschlusssa- chen und von Daten, die ihrer Natur nach vertraulich sind, erlaubt ist. Soweit im Rahmen der Telearbeit ein Zugriff In 2014…2020                auf derartige Daten grundsätzlich möglich wäre, ist zwischen dem Sozialministerium und Telearbeitenden zusätz- lich eine Einzelvereinbarung unter Beteiligung der behördlichen Datenschutzbeauftragten abzuschließen. Ferner ist sicherzustellen, dass in häuslicher Gemeinschaft lebende Personen oder Dritte weder Einsicht noch Zugriff auf dienstliche Daten oder Unterlagen erhalten. Darüber hinaus gilt seit November 2019 die „Leitlinie zur Informationssicherheit für das Ministerium für Soziales und Integration Baden-Württemberg“. Diese richtet sich an alle Beschäftigten des Hauses und somit auch an alle Telearbeitenden. Drucksache 16 / 8148

- 19 - MLR Geschäftsbereich des Ministeriums f. Ländlichen Raum u. Verbraucherschutz Baden-Württemberg (i. S. d. Anfra- Dienststellenbezeichnung: ge) Verabschiedung der Dienstvereinbarung Telearbeit im MLR. Verabschiedung Rahmendienstvereinbarung Telear- In 2014… beit im Ressortbereich MLR mit erweiterter Dienstvereinbarung im LGL für alle Beschäftigten. In 2015…                    - Verabschiedung diverser Richtlinien und Sicherheitsmaßnahmen zum Betrieb der technischen Infrastruktur, inkl. Handreichung an die beschäftigten Personen. Landtag von Baden-Württemberg In 2016… Verabschiedung IT-Handbuch des MLR mit Richtlinien zum mobilen Arbeiten. Das MLR ist bereits seit 2016 in Betreuung der BITBW. In 2017…                    Diverse Sensibilisierungsmaßnahmen im Umgang mit mobilem Arbeiten für die Anwender. In 2018…                    In 2018 wurde im MLR der landeseinheitliche Arbeitsplatz eingeführt (Standard Client der BITBW unter WIN10). Verlängerung der Dienstvereinbarung Telearbeit im LGL. In 2019…                    Ergänzende Hinweise zu Dienstvereinbarungen im Umgang mit mobilem Arbeiten, insbesondere der Pflichten der/des Beschäftigten zum Schutz personenbezogener Daten als auch interner, verwaltungsbezogener Daten. Dienstvereinbarung und Rahmendienstvereinbarung „Nutzung von softwarebasierten Kommunikationsdiensten im MLR / MLR-Ressort“. Zudem ist das Ressort MLR aufgrund seiner Aufgaben im Umfeld der EU-Fördermaßnahmen (EU-Zahlstelle) seit 2016 durch das BSI zertifiziert. In diesem Zusammenhang wurde ein ISMS etabliert. Mit Migration der Dienststellen in die Betriebsverantwortung der BITBW, übernimmt diese im Rahmen ihrer Aufga- ben nach BITBW-Gesetz §2 die Sicherstellung der Informationssicherheit in der Landesverwaltung. In 2020… Bis zur Migration werden technische Maßnahmen (je nach Erfordernis) eingeleitet, sobald Mängel erkannt wer- den. Dies ist ein kontinuierlicher Prozess, der sich schon allein aus der Zertifizierung ergibt. Zudem werden Netz- zugriffe über FIREWALLs abgesichert. Grundsätzlich ist kein externer Zugang auf Daten innerhalb des LVN möglich ohne sich mit einem TOKEN oder Zertifikat „auszuweisen“. Hinzu kommt das regelmäßige Einspielen von Sicherheits-Patches und Software- Updates. Da die Entwicklung der Cyber-Sicherheit mit der Entwicklung der IT an sich in engem Zusammenhang steht, ist Über alle Jahre…            auch bei den technischen Maßnahmen ein kontinuierlicher Entwicklungs- und Verbesserungsprozess erforderlich, eine konkrete Jahresangabe ist daher nicht umfassend möglich. 107 Drucksache 16 / 8148

- 20 - 108 MLR (Fortsetzung) Dienststellenbezeichnung:   Ministerium für Ländlichen Raum und Verbraucherschutz Baden-Württemberg In 2014…                    Verabschiedung der Dienstvereinbarung Telearbeit im MLR. In 2015…                    - In 2016…                    Verabschiedung IT-Handbuch des MLR mit Richtlinien zum mobilen Arbeiten Landtag von Baden-Württemberg In 2017…                    2017-2019: diverse Sensibilisierungsmaßnahmen im Umgang mit mobilem Arbeiten für die Anwender In 2018…                    Einführung landeseinheitlicher Arbeitsplatz In 2019…                    - In 2020…                    Dienstvereinbarung „Nutzung von softwarebasierten Kommunikationsdiensten im MLR / MLR-Ressort“ Dienststellenbezeichnung:   Landesamt für Geoinformation und Landentwicklung (LGL) Verabschiedung der Rahmendienstvereinbarung Telearbeit im Ressortbereich MLR mit erweiterter Dienstverein- In 2014… barung im LGL für alle Beschäftigten In 2015…                    - Verabschiedung diverser Richtlinien und Sicherheitsmaßnahmen zum Betrieb der technischen Infrastruktur im In 2016… LGL insgesamt, inkl. Handreichung an die beschäftigten Personen In 2017…                    - In 2018…                    - Verlängerung der Dienstvereinbarung Telearbeit im LGL. Ergänzende Hinweise im Umgang mit mobilem Arbeiten, In 2019…                    insbesondere der Pflichten der/des Beschäftigten zum Schutz personenbezogener Daten als auch interner, ver- waltungsbezogener Daten. In 2020…                    „Rahmendienstvereinbarung „Nutzung von softwarebasierten Kommunikationsdiensten im MLR / MLR-Ressort“ Drucksache 16 / 8148

- 21 - VM Dienststellenbezeichnung:   Ministerium für Verkehr Baden-Württemberg Von 2014 bis 2017 erfolgte die mobile Nutzung über Terminalserverbetrieb. Die Zugänge wurden zweistufig mit- In 2014…2017 tels an physische Verfügbarkeit erforderlicher Konfigurationsdateien und über Tokens abgesichert. Ab 2017 erfolgt die Anbindung über die von der BITBW auf dem BK-Standardarbeitsplatz bereitgestellten und betriebenen VPN-Zugängen, die ebenfalls auf einer 2-Faktor-Authentifizierung aufbauen. Zu den Rahmenbedin- Landtag von Baden-Württemberg gungen der Nutzung besteht eine Dienstvereinbarung. Um Ausdrucke sensibler Dokumente außerhalb des Dienstgebäudes zu vermeiden, besteht via VPN die Möglichkeit, Druckaufträge an Multifunktionsgeräte im Dienst- gebäude zu senden und dort innerhalb weniger Tage durch persönliche Authentifizierung zu drucken. Nicht abge- In 2017… rufene Aufträge werden nach wenigen Tagen automatisch gelöscht. Daneben besteht als Notfall-Option beim Ausfall von Endgeräten zur Absicherung der Verfügbarkeit ein browser- basierter Exchange-Zugang mit 2-Faktor-Authentifizierung. Es wurden ein technischer 24/7-Support und – für den Fall abhanden gekommener Endgeräte – ein Meldeweg eingerichtet, um u. a. den Zugriff solcher Endgeräte auf die Netzwerkstruktur zu unterbinden. Ab 2018 wurden im Bereich mobile Telekommunikation mit Einführung einer neuen iOS- und iPadOS-Endgeräte- In 2018…                    Generation hohe einheitliche Standards u. a. bei der Verschlüsselung der internen Speicher und Kommunikati- onswege etabliert. Zudem wurde der E-Mail-Abruf über MMP eingerichtet. In 2019…                    - Seit Mitte 2020 wird der „mobile Landesclient für iOS“ der BITBW eingeführt, hausspezifisch konfiguriert und mit flankierender Dienstvereinbarung pilotiert. Dabei kommt eine Kapselung von Speicherbereichen und Begrenzung von App-Zugriffen zum Einsatz. Der E-Mail-Abruf erfolgt über eine Kombination aus MMP und MMS. In 2020… Daneben wurden DSGVO- und DIN EN ISO IEC 27001/BSI-IT-Grundschutz-konforme Videokonferenzsysteme eingerichtet. Für die Teilnahme an externen Video-/Audio-Konferenzen wird aktuell ein Prüfverfahren für Sicher- heitsmindeststandards umgesetzt. 109 Drucksache 16 / 8148

- 22 - 110 LfDI Dienststellenbezeichnung:   Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) x   Internetverbindung soweit möglich physikalisch vom Hausanschluss getrennt x   Passwörter müssen bestimmte Qualitätsanforderungen erfüllen Vor 2014… x   Zugriffsbeschränkungen auf Grundlage von Benutzerrollen Landtag von Baden-Württemberg x   Ausstattung der Rechner mit Endpoint Security von Sophos In 2014…2015                - x   Identifizierung und Authentifizierung von Benutzern über Security-Token In 2016 x   Verbindung über Virtual Private Network (VPN) In 2017                     - In 2018…                    Einsatz von Blickschutzfiltern sowie Kameraabdeckungen für Notebooks. In 2019 wurde in der Behörde eine Dienstvereinbarung Telearbeit verabschiedet, die technische und organisatori- sche Maßnahmen einheitlich und verbindlich regelt, die den Schutz personenbezogener Daten als auch die Siche- In 2019… rung interner, verwaltungsbezogener Daten vor dem unberechtigten Zugriff Dritter gewährleisten. Bis dato wurden diese jeweils einzelfallbezogen festgelegt. In 2020…                    In 2020 zusätzlicher Schutz der Endgeräte durch Micro-Virtualisierung mit Bromium. Drucksache 16 / 8148