image
image
E-Government Gesetz
Sachsen
Dierk Schlosshan, eureos gmbh
10. März 2016

image
Seite 2
eureos gmbh
Dierk Schlosshan
10. März 2015
Gliederung
I.
E-Government-Gesetz Sachsen
Überblick
II.
Einzelpflichten und Optionen
1.
Elektronische Kommunikation und Verschlüsselung
- Pause -
2. Zugang für schriftformersetzende Dokumente
3. Datenschutz
4. Informationssicherheit
5. Basiskomponenten

image
image
Seite 3
eureos gmbh
Dierk Schlosshan
10. März 2015
I. SächsEGovG-Überblick

image
Seite 4
eureos gmbh
Dierk Schlosshan
10. März 2015
Rechtsgrundlagen E-Government
EGovernmentG
(in Kraft seit
1.8.2013)
SächsEGovG
(in Kraft seit
8.8.2014)
SignaturG 2001
(in Kraft seit
22.5.2001)
Personalaus-
weisG (mit nPA)
De-Mail-G
(in Kraft seit
3.5.2011)
SignaturRL
(1999/93/EG)
eIDAS-VO
(910/2014; ab 1.7.2016)
Dienstleistungs-RL
(2006/123/EG)
Einzel - §§
(z.B. § 3a VwVfG,
Schriftformersatz)
INSPIRE-RL
(2007/2/EG)
EU
Bund
Land
BayEGovG
(in Kraft ab
30.12.2015)
EGovG BW
(Entwurf vom
29.7.2015)
EGovG SH
(in Kraft seit
31.7.2009)

image
Seite 5
eureos gmbh
Dierk Schlosshan
10. März 2015
Anwendungsbereich
Landesbehörden (Art. 82 Abs. 1, Art. 83 SächsVerf, vgl. Sächsisches
Verwaltungsorganisationsgesetz)
Träger der Selbstverwaltung (TdS, Art. 82 Abs. 2 S. 1 SächsVerf)
kommunale TdS (Gemeinde, Landkreise, Gemeindeverbände inkl. Eigenbetriebe)
Nicht-kommunale TdS (öffentlich-rechtliche Körperschaften, Anstalten, Stiftungen)
p Nicht / eingeschränkt:
MDR (§ 1)
Beliehene:
Unabhängig von Beleihendem nur Regelungen für TdS anwendbar
abgeschwächt (z.B. elektr. Kommunikation nur, soweit „erforderlich“,
§ 2 Abs. 1 S 2)
Justiz: Nur Justizverwaltung (§ 1 Abs. 3)
Kommunale Gesellschaften? (-), wenn kein öffentlich-rechtliches Verwaltungshandeln
(insbesondere bei Handeln in Form des Verwaltungsprivatrechts)
2 Gruppen von Adressaten

image
Seite 6
eureos gmbh
Dierk Schlosshan
10. März 2015
Anwendungsbereich
§ 1 Abs. 1 SächsEGovG:
„Dieses Gesetz regelt die elektronisch unterstützte
öffentlich-rechtliche Verwaltungstätigkeit der
Behörden des Freistaates Sachsen sowie der
seiner
Aufsicht unterliegenden Körperschaften, Anstalten und
Stiftungen des öffentlichen Rechts
(Träger der
Selbstverwaltung).
Auf Beliehene finden die
Vorschriften dieses Gesetzes für die Träger der
Selbstverwaltung Anwendung..“
§ 1 Abs. 2 BEGovG:
„Dieses Gesetz gilt auch für die
öffentlich-rechtliche
Verwaltungstätigkeit der Behörden der Länder,
der Gemeinden und Gemeindeverbände
und der
sonstigen der Aufsicht des Landes unterstehenden
juristischen Personen des öffentlichen Rechts,
wenn
sie Bundesrecht ausführen.
Sächsisches EGovG oder Bundes EGovG?

image
Seite 7
eureos gmbh
Dierk Schlosshan
10. März 2015
Länder
Vollzug
Regel (Angelegenheiten der
örtlichen Gemeinschaft, Art.
28 Abs. 2 GG, Art. 82 Abs. 2
Satz 2 SächsVerf)
Unmittelbare
Landesverwaltung -
Landesbehörden
Mittelbare Landesverwaltung -
u.a.
Gemeinden
--
Bund
Mittelbare Landesverwaltung
- u.a.
Gemeinden
Im Auftrag des Bundes
„Bundesauftragsverwaltung“ (Art. 85 GG)
• Abschließende Aufzählung
• Rechts-
und Fachaufsicht des Bundes
Gesetze
Bundesrecht
Ausnahme (vgl. Art. 86ff
GG)
als eigene Angelegenheit
-
"Bundesaufsichtsverwaltung" (Art. 84 GG)
• Regel (Art. 30, 83 ff GG)
• (Nur) Rechtsaufsicht des Bundes
Landesrecht
--
Regel (grundsätzliche Zuständigkeit der
Länder, Art. 30, 83 ff GG)
Gemeinderecht
--
--
Unmittelbare
Landesverwaltung -
Landesbehörden
BEGovG
SächsEGovG
SächsEGovG

image
Seite 8
eureos gmbh
Dierk Schlosshan
10. März 2015
Gesetz-Aufbau und Struktur
4 Arten von Regelungen:
Pflichten
Optionen, Möglichkeiten
„Soweit“-Regelungen
Organisatorische Regelungen
Adressaten (Freistaat bzw. Träger der Selbstverwaltung) unterschiedlich verpflichtet
3 Umsetzungs-Fristen
z.T. Vorbehalte (Haushalt, wichtiger Grund)
VO-Ermächtigungen
§ 8 Abs. 3
Open Data
§ 10 Abs. 4 Satz 1, 2
Basiskomponenten-Liste und -nutzungsfristen (für den FS)
§ 10 Abs. 4 Satz 3, 4
Basiskomponenten Ausgestaltung
§ 15 Abs. 2 Satz 1
Schnittstelle zu SVN, Alternative zu KDN
§ 20 Abs. 1
Experimentierklausel, Ausnahmen von VwVf- und VwZ-Kosten

image
Seite 9
eureos gmbh
Dierk Schlosshan
10. März 2015
Organisatorische Regelungen IT
IT-Planungsrat
(Art 91c GG; Vertrag zur
Ausführung von Artikel 91c
GG vom 20.11.2009; IT-
NetzG)
p Beschlüsse
Bund
Land Sachsen
Kommunen
Sachsen
Sächsischer IT-
Kooperationsrat
(§ 18 SächsEGovG)
p Beschlüsse
IT-Koordinierungsgremium
(§ 17 Abs. 1, vgl. VwV ITEG)
Beauftragter für IT / CIO
(§ 17 Abs. 2)
Rat der IT-Beauftragten der
Bundesregierung (IT-Rat)
Beauftragter der BReg für IT
(BfIT)
SAKD
(SAKD-Gesetz 1994)
SID
(vgl. VwV SID vom
4.12.2015)

image
image
Seite 10
eureos gmbh
Dierk Schlosshan
10. März 2015

image
image
Seite 11
eureos gmbh
Dierk Schlosshan
10. März 2015

image
image
Seite 12
eureos gmbh
Dierk Schlosshan
10. März 2015
II. Einzelregelungen

image
image
Seite 13
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation
und Verschlüsselung

image
Seite 14
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
§ 2 Abs. 1 SächsEGovG:
„Die staatlichen Behörden und die Träger der Selbstverwaltung
müssen auch die
elektronische Kommunikation ermöglichen
.
Beliehene sind von dieser Verpflichtung ausgenommen, soweit
die elektronische Kommunikation für die ordnungsgemäße
Wahrnehmung ihrer Verwaltungsaufgaben nicht erforderlich ist.
Für die elektronische Kommunikation sind Verschlüsselungs-
verfahren anzubieten und grundsätzlich anzuwenden
.“
§ 2 Abs. 1 BEGovG:
„Jede Behörde ist verpflichtet, auch einen Zugang für die
Übermittlung elektronischer Dokumente, auch soweit sie mit
einer qualifizierten elektronischen Signatur versehen sind, zu
eröffnen.“
Minikommentar zum BEGovG, S. 12
Absatz 1 verpflichtet alle Behörden, neben den allgemein
üblichen Zugängen zur Verwaltung … auch einen Zugang für die
elektronische Kommunikation zu eröffnen.
Rechtsgrundlage
§ 7 SächsEGovG
„Die staatlichen Behörden und die Träger der
Selbst-verwaltung
gestalten die elektronische Kommunikation …
schrittweise
so,
dass sie auch von Menschen mit Behin-derungen grundsätzlich
uneingeschränkt und barrierefrei nach §
3
…SächsIntegrG…
genutzt werden können.“

image
Seite 15
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Rechtsgrundlage (Forts.)
§ 7 SächsEGovG
„Die staatlichen Behörden und die Träger der Selbstverwaltung gestalten die elektronische Kommunikation
schrittweise
so, dass sie auch von Menschen mit Behinderungen grundsätzlich uneingeschränkt und
barrierefrei nach §
3
…SächsIntegrG…
genutzt werden können.“

image
Seite 16
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Hintergrund
Seit 1.7.2014 Pflicht zur elektronischen Kommunikation (wird in § 2 Abs. 1 BEGovG impliziert) bei
Ausführung von Bundesrecht
Adressat auch „…Gemeinden und Gemeindeverbände und … sonstige … der Aufsicht des Landes
unterstehende juristische Personen des öffentlichen Rechts, wenn sie Bundesrecht ausführen…“
(§ 1 Abs. 2 BEGovG)
Angleichung an BEGovG zur Verhinderung unterschiedlicher Anforderungen an Kommunen

image
image
Seite 17
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Mail versenden ist UNSICHER
E-Kommunikation u. Verschlüsselung
Hintergrund (Forts.)

image
Seite 18
eureos gmbh
Dierk Schlosshan
10. März 2015
Die
Infrastruktur
des Internet ist komplex und in weiten Teilen ungeschützt, so
dass sich viele Möglichkeiten des „Anzapfens“ des Datenstroms bieten
E-Kommunikation u. Verschlüsselung
Backbone
Internet-Knoten
Großer ISP
Regionaler ISP
Kunden
Hintergrund (Forts.)

image
Seite 19
eureos gmbh
Dierk Schlosshan
10. März 2015
Die Sprache des Internet, die sog.
Protokolle
, bedingt, dass auf den
Datenpaketen die Verbindungsdaten im Klartext stehen. Dies kann zum gezielten
Herausfiltern von E-Mail-Daten verwendet werden.
Von 00:1C:C4:66:B8:0C an 00:1C:4A:8F:FC:02
Von 192.168.1.23 an 192.168.1.1
Von Port 47223 an Port 80
GET /index.html
Ethernet
Internet Protocol
Transmission Control Protocol
Hypertext Transfer Protocol

image
image
image
image
Seite 20
eureos gmbh
Dierk Schlosshan
10. März 2015
ISP
ISP
Die für den Versand einer E-Mail verwendete
Übertragungskette
besteht aus
vielen Elementen / Rechnern und lässt sich schwer kontrollieren
Absender
Mail-Server
Mail-Server
Mail-Server
Empfänger
SMTP, IMAP, HTTP
SMTP
POP, IMAP, HTTP

image
Seite 21
eureos gmbh
Dierk Schlosshan
10. März 2015
1
vgl. § 9 Abs. 2 SächsDSG, § 8a Abs. 1 BSIG
Quelle: Verschlüsselung von E-Mails - Leitfaden, Datev/DsiN, 2013; BSI
Vertraulichkeit
- der Verbindungsdaten
Wer hat wann mit wem wie lange wo
kommuniziert
Anonymisierungsdienste
(VPN, TOR)
Vertraulichkeit
- der Inhaltsdaten
Schutz vor Lesen von geheimen
Informationen / pbD durch Dritte
Verschlüsselung
Schutzziel
1
Erläuterung
Lösung
Authentizität
Gewissheit, dass Nachricht vom
angegebenen Absender stammt
Elektronische Signatur
Integrität
Gewissheit, dass Inhalt der Nachricht
vollständig und unverändert ist
E-Kommunikation u. Verschlüsselung
Hintergrund (Forts.)
Verschlüsselung schützt (zum Teil)
Verfügbarkeit
autorisierte Benutzer haben Zugriff auf
Informationen und Systeme
ISMS (z.B. BSI IT-GS)

image
Seite 22
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Sachlicher Anwendungsbereich
Quelle: SMI, SächsEGovG, Handlungsleitfaden zur Umsetzung in kommunalen Behörden, Version 1.0, 6.2.2015, S. 13 ff.
Aussenkommunikation + Innenkommunikation
TdS oder Staatliche Behörde
TdS oder Staatliche Behörde
Bürger
Stellen innerhalb TdS
/Staatliche Behörde

image
Seite 23
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Inhalt
Elektronische Kommunikation
„Unter der elektronischen Kommunikation versteht man das Senden und Empfangen von
Nachrichten mittels elektronischer Medien.“
1
p E-Mail-Postfach
Ermöglichen
Schaffung der erforderlichen technischen und organisatorischen Voraussetzungen, um
elektronische Kommunikationsvorgänge durchzuführen p Stand der Technik (empfohlen)
1
1. Elektronische Kommunikation ermöglichen
1
SMI, SächsEGovG, Handlungsleitfaden zur Umsetzung in kommunalen Behörden, Version 1.0, 6.2.2015, S. 14

image
Seite 24
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Inhalt (Forts.)
Verschlüsselung:
„…das Einsetzen eines Verfahrens zum Schutz der Daten vor unbefugter Einsichtnahme oder
Veränderung, in dem diese mittels eines entsprechenden Algorithmus in eine nur für den
Berechtigten erschließbare Form gebracht werden…“
1
2. Verschlüsselung anbieten und
grundsätzlich
auch anwenden
1
SMI,
SächsEGovG
, Handlungsleitfaden zur Umsetzung in kommunalen Behörden, Version 1.0, 6.2.2015, S. 14
Verschlüsselungs
-algorithmus
Entschlüsselungs
-algorithmus
A
Ausgangstext
chiffrierter Text
Ausgangstext
B

image
Seite 25
eureos gmbh
Dierk Schlosshan
10. März 2015
Quelle: Institut für Informatik der Universität Potsdam
E-Kommunikation u. Verschlüsselung
Exkurs: Verschlüsselung 1/5
Überblick
1. Verfahren
(Wie?)
a) Symetrisch
ein
Schlüssel (zum Ver- und
Ent-schlüsseln)
oder / und
1
b) Asymetrisch
zwei
Schlüssel (je 1 zum Ver- und
Entschlüsseln)
2. Gegenstand
(Was?)
a) Transport
oder / und
b) Inhalte
1
Hybride Verschlüsselung der Session mit symetrischem Schlüssel; nur dieser wird asymetrisch verschlüsselt

image
Seite 26
eureos gmbh
Dierk Schlosshan
10. März 2015
Erläuterung
Vor- und Nachteile
Beide K- Partner besitzen denselben Schlüssel (zum Ver-
und Entschlüsseln)
Beispiel: MS-Office, Zip
(-) Schlüssel muss sicher ausgetauscht werden
(z.B. Kurier,
Post)
(+) Schnell
Quelle: Institut für Informatik der Universität Potsdam
E-Kommunikation u. Verschlüsselung
Exkurs: Verschlüsselung 2/5
1. Verschlüsselungsverfahren: a) Symmetrisch
Verschlüsselungs
-algorithmus
Entschlüsselungs
-algorithmus
A
Ausgangstext
chiffrierter Text
Ausgangstext
B
Gemeinsamer
Schlüssel

image
Seite 27
eureos gmbh
Dierk Schlosshan
10. März 2015
Quelle: Institut für Informatik der Universität Potsdam
Empfänger B
generiert Schlüsselpaar: Öffentlicher
Schlüssel
von B
dient zum Verschlüsseln von Nachrichten
an B, privater zum Entschlüsseln. Beispiel: RSA
(+) Öffentlicher Schlüssel offen verteilbar
(-) Risiko Fälschung öffentlicher Schlüssel p
Authentifizierung des Schlüssels
notwendig
(-) Langsam
Erläuterung
Vor- und Nachteile
?
Exkurs: Verschlüsselung 3/5
1. Verschlüsselungsverfahren: b) Asymetrisch
Verschlüsselungs
-algorithmus
Entschlüsselungs
-algorithmus
A
Ausgangstext
chiffrierter Text
Ausgangstext
B
Öffentlicher Schlüssel
von B
Privater Schlüssel
von B
E-Kommunikation u. Verschlüsselung

image
image
image
image
image
image
image
image
Seite 28
eureos gmbh
Dierk Schlosshan
10. März 2015
Quelle:
http://answers.oreilly.com
Aus einer offenen Rinne wird ein nicht
einsehbares Rohr (z.B. https, SMTPS via
SSL/TSL)
(+) Anwenderfreundlich
(-) Gesamte Kette muß abgeschirmt sein
(-) gehackt (Heartbleed)
Beispiele: Online-Banking (https)
Erläuterung
Vor- und Nachteile
Klartext
Absender
Empfänger
E-Kommunikation u. Verschlüsselung
Exkurs: Verschlüsselung 4/5
2. Gegenstand der Verschlüsselung: a) Transportverschlüsselung
HTTPS

image
image
Seite 29
eureos gmbh
Dierk Schlosshan
10. März 2015
Unabhängig vom Transportweg wird der
Inhalt der Mail verschlüsselt.
(+) Unabhängig von Sicherheit Transportweg
(-) Nicht Anwenderfreundlich (Schlüsselgenerierung, -verwaltung
etc.)
Erläuterung
Vor- und Nachteile
E-Kommunikation u. Verschlüsselung
Exkurs: Verschlüsselung 5/5
2. Gegenstand der Verschlüsselung: b) Inhalteverschlüsselung
(„end
to
end“)
Quelle:
https://www.datenschutzzentrum.de/selbstdatenschutz/internet/pgp/anleit2g.htm

image
image
Seite 30
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Inhalt (Forts.)
Verschlüsselung:
„…das Einsetzen eines Verfahrens zum Schutz der Daten vor unbefugter Einsichtnahme oder
Veränderung, in dem diese mittels eines entsprechenden Algorithmus in eine nur für den
Berechtigten erschließbare Form gebracht werden…“
1
„grundsätzlich anzuwenden“
d.h. in der Regel. „…es sei denn, die jeweilige Verwaltungstätigkeit rechtfertigt davon
Ausnahmen (z.B. das Versenden einer Presseinformation….“)
1
.
Einwilligung des Betroffenen
Art und Grad der Verschlüsselung
Je höher, desto höher der Grad der Vertraulichkeit der Daten
1
2. Verschlüsselung anbieten und
grundsätzlich
auch anwenden
1
SMI, SächsEGovG, Handlungsleitfaden zur Umsetzung in kommunalen Behörden, Version 1.0, 6.2.2015, S. 14

image
Seite 31
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Inhalt (Forts.)
§ 7 SächsEGovG umfasst jede Form der elektronischen Kommunikation (via Internet bereits nach §
7 SächsIntegrG verpflichtend)
Barrierefrei:
„ für Menschen mit Behinderungen in der allgemein üblichen Weise ohne besondere
Erschwernis und grundsätzlich ohne fremde Hilfe zugänglich und nutzbar …“
(§ 3 SächsIntegrG)
„Schrittweise“
Beginn der Umsetzung mit In-Kraft-Treten des SächsEGovG erforderlich.
Schrittweise: aufeinander folgend
Konzept erforderlich, in dem terminlich untersetzt ist, welche Maßnahmen wann
angegangen werden
3. Barrierefrei

image
Seite 32
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Empfehlungen zur Umsetzung
Elektronische Kommunikation
„…bereits dann Rechnung getragen, wenn die elektronische Kommunikation über eine
E-
Mail-Adresse
sichergestellt werden kann.…“
1
Verschlüsselung
Schutzbedarfsanalyse
End-to-End-Verschlüsselung
Basiskomponente „Elektronische Signatur und Verschlüsselung“ (ESV)/ Secure Mail
Gateway (SMGW) Z1 (Zertificon)
Zertifikate
OSCI-Protokoll / Elektronisches Gerichts- und Verwaltungspostfach (EGVP)
1
SMI, SächsEGovG, Handlungsleitfaden zur Umsetzung in kommunalen Behörden, Version 1.0, 6.2.2015, S. 15

image
image
Seite 33
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Empfehlungen zur Umsetzung
Quelle: https://
www.zertificon.com/loesungen/email-verschluesselung-gateway

image
Seite 34
eureos gmbh
Dierk Schlosshan
10. März 2015
E-Kommunikation u. Verschlüsselung
Empfehlungen zur Umsetzung (Forts.)
Barrierefreiheit
Orientierung an Standards für Barrierefreiheit
Web Content Accessibility Guidelines
PDF/Universal Accessibility
Barrierefreie-Informations-Technik Verordnung des Bundes
Überprüfung Ausschreibungstexte durch Träger öffentlicher Belange für Behinderte, u.a.
Deutsche Zentralbücherei für Blinde
Überprüfung Barrierefreiheit nach Kriterien der Verordnung zur Schaffung barrierefreier
Informationstechnik nach dem Behindertengleichstellungsgesetz (BITV 2.0).
Matterhorn-Protokoll 1.0 als Prüfkatalog für elektronische Dokumente
Vgl. Handlungsleitfaden, S. 51ff.

image
image
Seite 35
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung
elektronischer
Dokumente

image
Seite 36
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
§ 2 Abs. 2 SächsEGovG:
„(2) Die Übermittlung elektronischer Dokumente unter Wahrung der für den
Freistaat Sachsen verbindlichen bundesrechtlichen Voraussetzungen in
1. §
3a Abs. 2 …(VwVfG),
2. §
36a Abs. 2 …(SGB I –
AT)
3. §
87a Abs. 3, 4 und 6 der Abgabenordnung (AO) …,
für die
Ersetzung der Schriftform
ist durch die staatlichen Behörden und die
Träger der Selbstverwaltung im Rahmen der Kommunikation nach Absatz 1
unter dem Vorbehalt der Bereitstellung von Haushaltsmitteln für die
Umsetzung zu ermöglichen, soweit nicht wichtige Gründe entgegenstehen
…Die …
erforderlichen Informationen
sind über die von den Behörden und
Verwaltungseinrich-tungen im Freistaat Sachsen jeweils genutzten öffentlich
zugänglichen Netze
zur Verfügung zu stellen
.
§ 2 Abs. 1 BEGovG:
„Jede Behörde ist verpflichtet, auch einen
Zugang für die Übermittlung elektronischer
Dokumente, auch soweit sie mit einer
qualifizierten elektronischen Signatur
versehen sind, zu eröffnen.“
Rechtsgrundlage

image
Seite 37
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
§ 3a VwVfG - Elektronische Kommunikation
(1) Die Übermittlung elektronischer Dokumente ist zulässig,
soweit der Empfänger hierfür einen Zugang eröffnet
.
(2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch
die elektronische Form ersetzt werden.
Der elektronischen Form genügt ein elektronisches Dokument, das mit einer qualifizierten
elektronischen Signatur nach dem Signaturgesetz versehen ist.
…. Die Schriftform kann auch ersetzt werden
1. durch unmittelbare Abgabe der Erklärung in einem
elektronischen Formular
, das von der Behörde in einem Eingabegerät oder
über öffentlich zugängliche Netze zur Verfügung gestellt wird;
2. bei
Anträgen und Anzeigen
durch Versendung eines elektronischen Dokuments an die Behörde mit der Versandart nach § 5
Absatz 5 des
De-Mail-Gesetzes
;
3. bei
elektronischen Verwaltungsakten oder sonstigen elektronischen Dokumenten der Behörden
durch Versendung einer De-
Mail-Nachricht nach § 5 Absatz 5 des
De-Mail-Gesetzes
, bei der die Bestätigung des akkreditierten Diensteanbieters die erlassende
Behörde als Nutzer des De-Mail-Kontos erkennen lässt;
4. durch
sonstige sichere Verfahren
, die durch
Rechtsverordnung der Bundesregierung
mit Zustimmung des Bundesrates festgelegt
werden, welche den Datenübermittler (Absender der Daten) authentifizieren und die Integrität des elektronisch übermittelten
Datensatzes sowie die Barrierefreiheit gewährleisten; der IT-Planungsrat
gibt Empfehlungen zu geeigneten Verfahren ab….
In den Fällen des Satzes 4 Nummer 1 muss bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach
§ 18 des Personalausweisgesetzes
oder nach
§ 78 Absatz 5 des Aufenthaltsgesetzes erfolgen.
Rechtsgrundlage (Forts.)

image
Seite 38
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
§ 7 SächsEGovG
„Die staatlichen Behörden und die Träger der Selbstverwaltung gestalten die elektronische Kommunikation
und
elektronische Dokumente schrittweise
so, dass sie auch von Menschen mit Behinderungen grundsätzlich
uneingeschränkt und
barrierefrei
nach §
3
…SächsIntegrG…
genutzt werden können.“
Rechtsgrundlage (Forts.)

image
Seite 39
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
Hintergrund
Ca. 3.500 Schriftformerfordernisse allein im Verwaltungsrecht des Bundes (dienen u.a.
Authentizität
und
Integrität
) => Hohe Folgekosten.
§ 3a VwVfG a.F. (seit 21.8.2012)
1
nicht ausreichend: Möglichkeit des elektronischen Schriftformersatzes
durch qualifizierte elektronische Signatur (qeS), aber
geringe Verbreitung qeS und
geringe (freiwillige) „Zugangseröffnung“ durch Verwaltung.
§ 3a VwVfG n.F. (Gesetz vom 25.7.2013): Erweiterung der technischen Möglichkeiten des
Schriftformersatzes auf
elektronische Web-Formulare i.V.m. sicherer elektronischer Identifizierung (nPA oder eAT)
De-Mail
mit Versandoption
„absendebestätigt“
Pflicht zur „Zugangseröffnung“ seit 1.7.2014, jedenfalls für Dokumente mit
qeS, auch für TdS in Sachsen
bei Ausführung von Bundesrecht (§ 2 Abs. 1 BEGovG)
Angleichung an BEGovG, Ergänzung bundesrechtlicher Möglichkeiten
1
daneben in AO und SGB I und § 126a BGB

image
Seite 40
eureos gmbh
Dierk Schlosshan
10. März 2015
Anwendungsbereich
Übermittlung elektronischer Dokumente
Aussenkommunikation + Innenkommunikation
TdS oder Staatliche Behörde
TdS oder Staatliche Behörde
Bürger
Stellen innerhalb TdS
/Staatliche Behörde

image
Seite 41
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
Inhalt
1) Die Übermittlung elektronischer Dokumente unter Wahrung der ... Voraussetzungen …
für die Ersetzung der Schriftform ist ... zu
ermöglichen
Passiv
(Empfangen)
Zugangseröffnung
Signaturprüfung und -erhaltung (bei qeS)
Aktiv
(Senden)
Authentifizierung ermöglichen (Signaturerstellung bei qeS). Nicht bei nPA.
Schriftformersetzende Verfahren
Dokumente mit
qualifizierter elektronische Signatur (qeS)
nach Signaturgesetz
elektronische Web-Formulare
i.V.m. sicherer elektronischer Identifizierung
(nPA oder eAT mit eID-Funktion)
Anträge und Anzeigen an die Behörde bzw. elektronische Verwaltungsakte oder sonstige Dokumente von der
Behörde via
De-Mail
mit Versandoption
„absendebestätigt“
Alle 3 Verfahren
- kein Wahlrecht (praktisch aber abgemildert, s.u. Umsetzung)
sonstige sichere Verfahren
, die durch Rechtsverordnung der Bundesregierung festgelegt werden - zukunftsoffen
Veröffentlichungspflichten Behörde (§ 2 Abs. 2 S. 3 SächsEGovG)
Frist 1.8.2016

image
Seite 42
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Sichere Signaturerstellungseinheit (SSEE)
= Software- oder
Hardwareeinheiten zur Speicherung und Anwendung des jeweiligen
Signaturschlüssels gem. § 17 bzw. § 23 SigG / SigVO
Qualifiziertes Zertifikat
= elektronische Bescheinigung, mit der
Signaturprüfschlüssel einer Person zugeordnet wird und deren Identität
bestätigt wird, für natürliche Personen , gültig bei Erzeugung
ZDA gem. §§ 4-14 SigG + Betriebsanzeige BNetzA
Inhalt Zertifikat gem. § 7 SigG (9 Punkte)
Beispiel:
EGVP
beA
E-Mail
Jeweils mit SSEE +
qualifiziertem PKI-
Zertifikat
die ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind,
die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,
mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen
Kontrolle halten kann,
mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche
Veränderung der Daten erkannt werden kann [
Integrität
]
Beispiel:
PGP-signierte E-Mail
(Prüfung Authentizität
und Integrität mit
Hashwert und private
/ public key)
Daten in elektronischer Form,
die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und
die zur
Authentifizierung
dienen
Beispiel:
Normale E-Mail
(„mit
freundlichen Grüßen
gez. Meier“)
Elektronische Signatur
Fortgeschrittene
elektronische Signatur
Qualifizierte
elektronische Signatur

image
image
Seite 43
eureos gmbh
Dierk Schlosshan
10. März 2015
Quelle:
https://www.chipkartenleser-shop.de/shop/rsct/article/4544
Übermittlung elektronischer Dokumente
Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Forts.
Sichere Signaturerstellungseinheit

image
image
Seite 44
eureos gmbh
Dierk Schlosshan
10. März 2015
Beispiel (Textdarstellung nach Lesbarmachung mit Interpreter)
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=AT, ST=Steiermark, L=Graz, O=TrustMe Ltd, OU=Certificate Authority, CN=CA/Email=ca@trustme.dom
Validity
Not Before: Oct 29 17:39:10 2000 GMT
Not After : Oct 29 17:39:10 2001 GMT
Subject: C=AT, ST=Vienna, L=Vienna, O=Home, OU=Web Lab, CN=anywhere.com/Email=xyz@anywhere.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:c4:40:4c:6e:14:1b:61:36:84:24:b2:61:c0:b5:
d7:e4:7a:a5:4b:94:ef:d9:5e:43:7f:c1:64:80:fd:
9f:50:41:6b:70:73:80:48:90:f3:58:bf:f0:4c:b9:
90:32:81:59:18:16:3f:19:f4:5f:11:68:36:85:f6:
1c:a9:af:fa:a9:a8:7b:44:85:79:b5:f1:20:d3:25:
7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07:
50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62:
8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9:
f0:b4:95:f5:f9:34:9f:f8:43
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
email:xyz@anywhere.com
Netscape Comment:
mod_ssl generated test server certificate
Netscape Cert Type:
SSL Server
Signature Algorithm: md5WithRSAEncryption
12:ed:f7:b3:5e:a0:93:3f:a0:1d:60:cb:47:19:7d:15:59:9b:
3b:2c:a8:a3:6a:03:43:d0:85:d3:86:86:2f:e3:aa:79:39:e7:
82:20:ed:f4:11:85:a3:41:5e:5c:8d:36:a2:71:b6:6a:08:f9:
cc:1e:da:c4:78:05:75:8f:9b:10:f0:15:f0:9e:67:a0:4e:a1:
4d:3f:16:4c:9b:19:56:6a:f2:af:89:54:52:4a:06:34:42:0d:
d5:40:25:6b:b0:c0:a2:03:18:cd:d1:07:20:b6:e5:c5:1e:21:
44:e7:c5:09:d2:d5:94:9d:6c:13:07:2f:3b:7c:4c:64:90:bf:
ff:8e:
Quelle: Wikipedia;
http://publib.boulder.ibm.com/tividd/td/TRM/SC23-
4822-00/de_DE/HTML/user276.htm
Übermittlung elektronischer Dokumente
Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Forts.
X-509-v3-Zertifikat

image
image
image
image
image
image
image
Seite 45
eureos gmbh
Dierk Schlosshan
10. März 2015
Problem Zuordnung Public Key
Lösung: Bestätigung eines (vertrauenswürdigen) Dritten
Zertifikat = Signatur des öffentlichen Schlüssels = Hashwert des öffentlichen Schlüssels
wird mit privatem Schlüssel des Ausstellers verschlüsselt
Quelle:
http://billatnapier.wordpress.com/2013/05/04/the-nightmare-that-is-pki-and-digital-certificates/
http://www.grafiker.de/kreativ-news/02092009/people-icon-set-klappe-die-dritte
?
Public key
Übermittlung elektronischer Dokumente
Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Forts.
= ?
Funktion Zertifikat

image
Seite 46
eureos gmbh
Dierk Schlosshan
10. März 2015
2 Lösungsansätze:
Public key infrastructure (PKI)
Vertrauen basiert auf Kette zu hierarchisch höherem Z.
Beispiel : S/Mime
Web of Trust
Vertrauen basiert auf Zahl der P2P Zertifikate
Beispiel: OpenPGP
Übermittlung elektronischer Dokumente
Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Forts.
Problem Vertrauen in Aussteller Zertifikat und Zuordnung Zertifikat / Aussteller
Quelle:
https://de.wikipedia.org/wiki/Web_of_Trust
;
http://www.cio.bund.de/Web/DE/IT-Angebot/IT-Beratungsdienstleistungen/Public-Key-
Infrastruktur-der-Verwaltung/public_key_node.html

image
Seite 47
eureos gmbh
Dierk Schlosshan
10. März 2015
1
auch lediglich fortgeschrittene Signatur möglich
2
ab 2018 bei Versand durch Rechtsanwälte nicht mehr erforderlich; beA gilt dann als sicherer Übertragungsweg, wie De-Mail
Übermittlung elektronischer Dokumente
Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Forts.
Anwendungen mit qualifizierter elektronischer Signatur
E-Mail / SMTP-Protokoll
EGVP / OSCI-Protokoll
1
besonderes elektronisches Anwalts (Notar) -Postfach (beA/beN) / OSCI-Protokoll
2
nPA mit Unterschriftsfunktion (≠ eID-Funktion)
Signaturdatei (z.B. *.pkcs7) und Nutzdatei
in getrennten Dateien (von Gerichten gewünscht)
in Containerdatei, die Nutzdatei und Signatur enthält
Signatur in Nutzdatei enthalten („inline“), so z. B. bei PDF oder XML

image
image
Seite 48
eureos gmbh
Dierk Schlosshan
10. März 2015
Erläuterung
Vor- und Nachteile
Beispiele
Proprietäres System (von De-Mail zu De-Mail).
Zusätzlicher Kanal zu Brief und E-Mail.
Schwerpunkt Authentifizierung (ersetzt nicht
Briefumschlag, sondern Einschreiben).
Standardmäßig nur Transportverschlüsselung
(-) Kein offenes System
(- ) End-to-End-Verschlüsselung nur als Option
möglich, umständlich, fraglich (CCC 2011)
Verschiedene akkreditierte
Anbieter (u.a. DeTAG, 1&1
mit GMX, Web.de)
Übermittlung elektronischer Dokumente
De-Mail

image
image
Seite 49
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
Neuer Personalausweis (nPA)
Quelle:
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeAusweise/Personalausweis/personalausweis_node.html
3 Funktionen
eID-Funktion (sicherer Internet-Ausweis)
– schriftformersetzend bei „unmittelbarer Abgabe der Erklärung
in einem elektronischen Formular, das von der Behörde ... über öffentlich zugängliche Netze zur
Verfügung gestellt wird“
(§ 3a Abs. 2 Satz 4 Nr. 1, Satz 5 VwVfG)
Unterschriftsfunktion (nPA als Signaturkarte)
schriftformersetzend in Verbindung mit qeS (nach § 3a
Abs. 2 Satz 4 Nr. 3 VwVfG)
Reisedokument - Ausweisfunktion

image
Seite 50
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
Inhalt (Forts.)
2) Vorbehalte
Vorbehalt der Bereitstellung von Haushaltsmitteln
Umsetzung erfordert erhebliche finanzielle und organisatorische Aufwendungen
Wichtige Gründe:
FS plant zentrale Unterstützung über Basiskomponenten und gemeinsame
Berechtigungszertifikate auch für TdS. Solange und soweit dies noch der Fall ist, liegt ein
wichtiger Grund vor, ggf. auch für Zugang für Dokumente mit qeS (
Gesetzesbegründung
zu § 2 Abs. 2)
vgl. aktuellen Stand
Trotz Vorbehalte:
Ein
Zugangsweg (z.B. qeS, weil nach BEGovG ohnehin Pflicht) wird jedenfalls
eröffnet werden müssen
vgl. Handlungsleitfaden, S. 29; Gesetzesbegründung, S. 38

image
Seite 51
eureos gmbh
Dierk Schlosshan
10. März 2015
Übermittlung elektronischer Dokumente
Empfehlungen zur Umsetzung
Empfehlung: Mitnutzung gemeinsamer Basiskomponenten des FS (BaK
„ESV“)
Generelle Anforderung: Signatur-Workflow sicherstellen:
Signaturerstellung (Unterschreiben), -prüfung (Kontrolle / Akzeptanz), -erhaltung
(beweiswerthaltige Speicherung)
Erweiterung BaK ESV zur Zeit in Testphase mit verschiedenen Varianten.
Wird zum 1.8.2016 verfügbar sein (VO auf Basis von § 10 Abs. 4 SächsEGovG,
verpflichtende Nutzung durch staatliche Behörden).
Nutzung durch TdS im Rahmen der Nutzungsvereinbarung vom 20.8.2014; Mitfinanzierung
im Rahmen von § 29a Abs. 2 Sächsisches FAG (s.u. Abschnitt Basiskomponenten)

image
image
Seite 52
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz

image
image
image
image
image
image
image
image
image
image
Seite 53
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Personenbezogene Daten
Behörde
IT-Sicherheit
Bürger
IT-Systeme,
Daten aller Art
Datensicherheit
Informations-Sicherheitskonzept
§ 5 Abs. 1 SächsEGovG
DS-Konzept
§ 5 Abs. 1 SächsEGovG
TOM / ISMS
§ 9 Abs. 2 SächsEGovG
Verfahrensverzeichnis
§ 10 Abs. 1 SächsDSG
TOM
§ 9 Abs. 1, Abs. 2 SächsDSG
Quelle:
http://www.grafiker.de/kreativ-news/02092009/people-icon-set-klappe-die-dritte
; https://www3.sachsen.schule/thema-datenschutz/start/
Vorbemerkung Datenschutz und IT-Sicherheit
Datenschutz

image
Seite 54
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Datenschutz
IT-Sicherheit
Sicherheit
von PBD des
Bürgers
Sicherheit
von Daten und
IT der Behörde
vor Zugriff
Unbefugter
Rechtmäßiger
Umgang mit
den PBD des
Bürgers
Vorbemerkung Datenschutz und IT-Sicherheit (Forts.)

image
Seite 55
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Vorbemerkung Datenschutz und IT-Sicherheit (Forts.)
Datenschutz
IT-Sicherheit
Schutzobjekt
Person
Organisation
Angreifer
Organisation
Person, Technik, Natur
„Gewährleistungs“
5
-/
Schutzziele
Verfügbarkeit
1, 5
Vertraulichkeit
1, 4, 5
Integrität
1, 4, 5
Authentizität
1
Revisionsfähigkeit
1
Transparenz
1, 4
Intervenierbarkeit
2, 5
Nicht-Verkettbarkeit
3, 5
Datensparsamkeit
5, 6
Verfügbarkeit
1
Vertraulichkeit
1, 4
Integrität
1, 4
Authentizität
1
Revisionsfähigkeit
1
Transparenz
1, 4
Anwendungsbereich
Personenbezogene Daten
Daten aller Art
1
vgl. § 9 Abs. 2 SächsDSG bzw. § 9 Abs. 2 SächsEGovG
2
vgl. § 5 Abs. 1 Nr. 6 LDSG SH, §§ 18-23 SächsDSG
3
vgl. § 5 Abs. 1 Nr. 5 LDSG SH, § 13 SächsDSG
4
vgl. Art. 5 DSGVO
5
vgl. DSBK 2015: SDM-Handbuch, V0.9a
6
vgl. § 9 Abs. 1 Satz 2 SächsDSG

image
Seite 56
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Vorbemerkung Datenschutz und IT-Sicherheit (Forts.)
Schutzziele nach § 9 Abs. 2 SächsDSG und § 9 Abs. 2 SächsEGovG
Vertraulichkeit
nur Befugte können pbD / D zur Kenntnis nehmen
Integrität
pbD / D bleiben während der Verarbeitung unversehrt, vollständig und aktuell
Verfügbarkeit
pbD / D stehen zeitgerecht zur Verfügung und können ordnungsgemäß verarbeitet
werden
Authentizität
pbD / D können jederzeit ihrem Ursprung zugeordnet werden
Revisionsfähigkeit
Es kann festgestellt werden, wer wann welche pbD / D in welcher Weise verarbeitet
hat
Transparenz
die Verfahrensweisen bei der Verarbeitung pbD / D sind vollständig, aktuell und in
einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden können

image
Seite 57
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
§ 5 Abs. 1 SächsEGovG:
Zur Gewährleistung des Datenschutzes erstellen und pflegen die staatlichen Behörden und die Träger der
Selbstverwaltung, die
personenbezogene Daten automatisiert verarbeiten, Datenschutz-
und
Informationssicherheits
konzepte
.
Rechtsgrundlage

image
Seite 58
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Rechtsgrundlage (Forts.)
§ 9 SächsDSG Abs. 1 und 2
(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben
alle angemessenen personellen, technischen
und organisatorischen Maßnahmen
zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes
entsprechende Datenverarbeitung zu gewährleisten. Die Grundsätze der
Datenvermeidung und Datensparsamkeit
sind
zu beachten.
(2) Werden personenbezogene Daten verarbeitet, sind nach dem jeweiligen Stand der Technik Maßnahmen zu treffen,
die geeignet sind zu gewährleisten, dass
1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können
(Vertraulichkeit),
2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben
(Integrität),
3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können
(Verfügbarkeit),
4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können
(Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat
(Revisionsfähigkeit),
6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise
dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können
(Transparenz).

image
Seite 59
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Rechtsgrundlage (Forts.)
§ 10 SächsDSG
(1) Jede datenverarbeitende Stelle führt
ein Verzeichnis der bei ihr eingesetzten automatisierten
Verarbeitungsverfahren.
In dem Verzeichnis sind schriftlich festzulegen: …8.
die personellen, technischen und
organisatorischen Maßnahmen gemäß § 9,
(3) Die datenverarbeitenden Stellen sind verpflichtet,
dem Sächsischen Datenschutzbeauftragten
vor dem erstmaligen
Einsatz eines automatisierten Verarbeitungsverfahrens das Verzeichnis im Sinne des Absatzes 1
zuzuleiten
. Die
datenverarbeitende Stelle bringt das von ihr geführte Verzeichnis
regelmäßig auf den neuesten Stand
(4) Vor dem erstmaligen Einsatz oder der wesentlichen Änderung
1. eines Verfahrens nach § 8,
2. eines automatisierten Verfahrens, in dem Daten im Sinne des § 4 Abs. 2 verarbeitet werden oder
3. eines automatisierten Verfahrens, in dem Daten von Beschäftigten im Sinne des § 37 verarbeitet werden,
ist durch den Sächsischen Datenschutzbeauftragten …zu prüfen, ob die Datenverarbeitung zulässig ist und die
vorgesehenen Maßnahmen nach § 9 ausreichend sind
(Vorabkontrolle)
. Die datenverarbeitende Stelle hat ihm dazu die
erforderlichen Unterlagen zur Verfügung zu stellen….

image
Seite 60
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Hintergrund
Schutzziel: Schutz der Bürger / Mitarbeiter und ihrer personenbezogenen Daten
Konkretisierung von § 9 SächsDSG (Pflicht zur Erstellung von Datenschutz- und
Informationssicherheitskonzepten) und von § 10 Abs. 1 Satz 2 Nr. 8 SächsDSG (Aufnahme in die
schriftlichen Verzeichnisse)
Voraussetzung: Automatisierte Verarbeitung (vgl. Definition in § 3 Abs. 5 SächsDSG) von
Personenbezogenen Daten p
Fokus auf Schutz der Personenbezogenen Daten
Personenbezogenen Daten im E-Government
von Bürgern
von Mitarbeitern der Behörden
Konkretisierung von Pflichten nach SächsDSG für E-Government

image
Seite 61
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Inhalt
Datenschutzkonzept:
Dokument, das Auskunft über die Rechtmäßigkeit der Datenverarbeitung bei der Erhebung,
Verarbeitung und Nutzung personenbezogener Daten gibt.
„Das Datenschutzkonzept dokumentiert für die datenschutzrechtliche Beurteilung notwendige
Informationen zur Verarbeitung personenbezogener Daten, auch im Hinblick auf Art, Umfang,
Tiefe und Ausmaß der Verarbeitung personenbezogener Daten.“
1
Funktion: Eigenkontrolle (Datenschutz = Daueraufgabe) und Revisionsunterlage
Ziele: Datenschutz
Schutzobjekt / Angreifer: Person p Behörde
1. Datenschutzkonzept erstellen und pflegen
1
SMI, SächsEGovG, Handlungsleitfaden zur Umsetzung in kommunalen Behörden, Version 1.0, 6.2.2015, S. 38

image
Seite 62
eureos gmbh
Dierk Schlosshan
10. März 2015
Verfahrensverzeichnis gemäß § 10 SächsDSG
Verfahren (Bezeichnung):
Aktenzeichen:
neues Verfahren / Änderung
Das Verfahren ist zur Einsichtnahme bestimmt ja/nein
1.
Name und Anschrift der Daten verarbeitenden Stelle
1.1 Name und Anschrift
1.2 Organisationskennziffer, Amt, Abteilung, ggf. Sachgebiet
1.3 Kontaktdaten für Betroffene
2.
Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung
2.1 Zweckbestimmung
2.2 Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterscheiden)
3.
Kreis der Betroffenen (lfd. Nr.)
4.
Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen
4.1 Kategorien der verarbeiteten Daten (lfd. Nr. / Datum nach § 4 Abs. 2 SächsDSG (ja/nein))
4.2 Löschungs- und Aufbewahrungsfristen
(Daten aus Nr. 4.1 / Datum)
4.3. Zugriffsberechtigte Personen oder Personengruppen (Daten aus Nr. 4.1 / Person)
5.
Art und Empfänger zu übermittelnder Daten sowie Art und Herkunft empfangener Daten (inkl. Auftragsdatenverarbeitung)
5.1
Empfänger von zu übermittelnden Daten
(Daten aus Nr. 4.1 / Empfänger)
5.2
Herkunft empfangener Daten (Daten aus Nr. 4.1 / Sender )
6
Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union nein / ja (aufgeführt in Punkt 5.2)
7.
Allgemeine Beschreibung der nach § 9 SächsDSG zur Einhaltung der Datensicherheit getroffenen Maßnahmen
8.
Datenschutzrechtliche Beurteilung
8.1 Rechtsgrundlagen und Zweckbestimmung
8.2 Technisch-organisatorische Maßnahmen
Verfügbarkeit (personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß verarbeitet werden):
Vertraulichkeit (es können nur Befugte personenbezogene Daten zur Kenntnis nehmen):
Integrität (es wird gewährleistet, dass personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben):
Authentizität (personenbezogene Daten können jederzeit ihrem Ursprung zugeordnet werden):
Transparenz (die Verfahrensweisen bei der Verarbeitung personenbezogener Daten sind vollständig, aktuell und in einer Weise dokumentiert,
dass sie in zumutbarer Zeit nachvollzogen werden können):
Intervenierbarkeit (die Daten verarbeitende Stelle kann nachweisen, dass sie den Betrieb ihrer informationstechnischen Systeme steuernd
beherrscht und dass Betroffene die ihnen zustehen Rechte ausüben können):
Revisionsfähigkeit (es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat
Nicht-Verkettbarkeit (es kann sichergestellt werden, dass Daten nur zu dem ausgewiesenen Zweck automatisiert erhoben, verarbeitet und genutzt
werden):
Datensparsamkeit und –vermeidung (es werden so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt):
9.
Freigabe des Verfahrensverzeichnisses

image
Seite 63
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Inhalt
Informationssicherheitskonzept Datenschutz
Beschreibung technischer, personeller und organisatorischer Maßnahmen, mit denen
Personenbezogene Daten gegen verschiedenen Risiken geschützt werden können
Sinnvoll: Einbeziehung des Schutzes von Nicht Personenbezogenen Daten und IT
1
.
Funktion: Eigenkontrolle (Datenschutz = Daueraufgabe) und Revisionsunterlage
Ziele: Schutzziele gem. § 9 Abs. 2 SächsDSG (vor allem IT-Sicherheit)
Schutzobjekt / Angreifer: vor allem Behörde -> Dritte
Maß für Angemessenheit Vorkehrung: Verhältnis Aufwand und Folge Schutzzielverletzung (vgl.
auch § 9 Satz 2 BDSG)
2. Informationssicherheitskonzept erstellen und pflegen
1
vgl. Punkt „Informationssicherheit“ und „Musterleitlinie Informationssicherheit für die Träger der kommunalen Selbstverwaltung“
der SAKD

image
Seite 64
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Empfehlungen zur Umsetzung
Vorbereitung
Verantwortlichkeiten im Datenschutz festlegen (Führungskräfte und DSB, § 11 SächsDSG)
Verpflichtung der Mitarbeiter auf das Datengeheimnis (§ 6 Abs. 2 SächsDSG)
Verfahrensverzeichnis führen (§ 10 Abs. 1 S. 1 SächsDSG)
Ggf. Vorabkontrolle (§ 10 Abs. 4 SächsDSG) durch DSB
Anzeigepflicht
Konzepte erstellen
Festlegung Daten und Zweck der Datenverarbeitung und des rechtlichen Rahmens
Prüfung der Grundsätze der Geeignetheit, Erforderlichkeit, Zweckbindung der Datenverwendung,
Datenvermeidung, Datensparsamkeit
Ermittlung Schutzbedarf der Daten (z.B. Normal, Hoch, Sehr hoch nach BSI)
Aufzählung und Beschreibung der eingesetzten IT-Komponenten
Prozessbezogene Verfahrensbeschreibung
Dokumentation der techn. / organ. Maßnahmen (z.B. BSI-GS) je Schutzziel
Weitere Festlegungen (Rollen und Zugriffsrechte, Löschung von Daten, Protokollierung,
Auftragsdatenverarbeitung nach § 7 SächsDSG)

image
Seite 65
eureos gmbh
Dierk Schlosshan
10. März 2015
Datenschutz
Leitfäden und Empfehlungen
Handlungsleitfaden, S. 39-49, Checkliste zur Erstellung von Datenschutz- und Informationssicherheitskonzepten, Stand
Dezember 2014, in: Anlage zum Handlungsleitfaden (6 Seiten)
Standard-Datenschutzmodell v 0.9, Stand 1.10.2015 (Konferenz der Datenschutzbeauftragten des Bundes und der Länder)
Bekanntmachung des SächsDSB zur Bestellung von DSB öffentlicher Stellen vom 11.3.2004
Musterdienstanweisung über die Organisation des Informations- und Datenschutzes
BSI-Maßnahmenkataloge M 2.502 , M 2.503 Datenschutz
Merkblatt des SächsDSB zur Verpflichtung auf das Datengeheimnis
Formblätter für die Verpflichtung
Bekanntmachung des SächsDSB zur Vorabkontrolle
Hinweise zur Schutzbedarfsfeststellung im BSI-Standard 100-2
Baustein B 1.5 Datenschutz
BSI
Rollenkonzept zur E-Government Plattform des FS Sachsen
Orientierungshilfe „Sicheres Löschen magnetischer Datenträger“
Orientierungshilfe „Protokollierung“, AK „Technische und organisatorische
DS-Fragen
Mustervertrag Auftragsdatenverarbeitung gem. § 7 SächsDSG

image
image
Seite 66
eureos gmbh
Dierk Schlosshan
10. März 2015
IT-Sicherheit

image
Seite 67
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Rechtsgrundlage
„Die staatlichen Behörden treffen
angemessene organisatorische und technische Vorkehrungen und sonstige
Maßnahmen
zur Einhaltung der in § 9 Abs. 2 SächsDSG definierten Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit,
Authentizität, Revisionsfähigkeit und Transparenz
für die in ihren informationstechnischen Systemen verarbeiteten
Daten
. Solche Maßnahmen sind
angemessen
, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den
Folgen einer Verletzung der Schutzziele steht.“
(§ 9 Abs. 2 S. 1, 2 SächsEGovG)
„Für die an
E-Government beteiligten Träger der Selbstverwaltung gilt §
9 Abs. 2 Satz 1 und 2 entsprechend.“
(§ 13 Abs 1 SächsEGovG)
„Der
IT-Kooperationsrat beschließt, soweit kommunale Belange berührt werden, Empfehlungen für die Kommunen und
die staatlichen Behörden insbesondere zu … 5. landesspezifischen
Interoperabilitäts-und
Informationssicherheitsstandards für verwaltungsebenenübergreifende elektronische Verwaltungsprozesse
der im
Freistaat Sachsen eingesetzten informationstechnischen Systeme…“
(§ 18 Abs. 3)

image
Seite 68
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
„Die
verwaltungsebenenübergreifende
elektronische Datenübermittlung im Sinne von § 11 zwischen den
staatlichen Behörden und den Trägern der Selbstverwaltung wird über das
Sächsische Verwaltungsnetz
geführt. Die
kommunalen Träger der Selbstverwaltung können dabei den Zugang zu dem Sächsischen Verwaltungsnetz über das
Kommunale Datennetz und die nichtkommunalen Träger der Selbstverwaltung über einen unmittelbaren Anschluss
herstellen. Alternativ können die Träger der Selbstverwaltung den Zugang zu dem Sächsischen Verwaltungsnetz über
eine Schnittstelle herstellen, die eine vergleichbare Funktionalität und eine gleichwertige Informationssicherheit
gewährleistet. Satz 1 gilt nicht, soweit für einzelne Fachverfahren spezielle Rechtsvorschriften eine zuverlässige und
sichere Datenübermittlung gewährleisten.
(§ 15 Abs. 1 SächsEGovG)
Rechtsgrundlage SVN-Anbindung
„Die Staatsregierung wird ermächtigt, die Eigenschaften der Schnittstelle gemäß Absatz 1 Satz 3 durch
Rechtsverordnung
näher zu bestimmen, soweit dies zur Wahrung der Voraussetzungen des Absatzes 1 Satz 3
erforderlich ist.“
(§ 15 Abs. 2 S. 1 SächsEGovG)
„Der
IT-Kooperationsrat beschließt, soweit kommunale Belange berührt werden,
Empfehlungen
für die Kommunen
und die staatlichen Behörden insbesondere zu … 6. …den Anforderungen an die alternative Schnittstelle für den
Netzzugang gemäß §
15 Abs. 1 Satz 3 und Abs. 2 …
(§ 18 Abs. 3 SächsEGovG)

image
Seite 69
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Hintergrund
Adaption der Schutzziele nach § 9 SächsDSG auf die IT-Sicherheit
Schutzziel: IT-Sicherheit, nicht Datenschutz, d.h.
Schutz der Behörde
alle Daten und Systeme.
Ergänzung des IT-Sicherheitsgesetzes (staatliche Behörden sind nicht vom ITSG erfasst !).

image
Seite 70
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Hintergrund (Forts.)
* Quelle:
http://www.bain.com/publications/articles/leading-a-digical-transformation.aspx
;
www.pwc.ch/digital
2020
2010
Grad der Digitalisierung →
Anzahl Branchen →
Zunehmende digitale Transformation aller gesellschaftlichen Bereiche

image
image
image
image
image
image
image
image
image
Seite 71
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
IT-Sicherheitslage angespannt, zunehmend Angriffe auf KRITIS inkl. Staat
Quelle: BSI: Die Lage der IT-Sicherheit in Deutschland 2014;
http://www.secupedia.info/wiki/Advanced_Persistent_Threat
;
http://www.secureworks.com/cyber-threat-
intelligence/advanced-persistent-threats/understand-threat/ which must be credited when shared based on creative commons terms of use defined here
http://www.secureworks.com/contact/terms_of_use/
;
Wikipedia, SW
“Phishing”;
http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-
Ueber-5000-Infektionen-pro-Stunde-3111774.html
Stuxxnet 2010; Duqu 2011; Flame 2012; Gauss 2012; Roter
Oktober 2013; NetTraveler 2013; Icefog 2013; Regin 2014; Angriff
auf D. Bundestag 2015
Hintergrund (Forts.)

image
Seite 72
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Inhalt
Schutzziele: § 9 Abs. 2 SächsEGovG i.V.m. § 9 Abs. 2 SächsDSG, vor allem
Verfügbarkeit
Integrität
Vertraulichkeit
Authentizität
Schutzgegenstand: IT, Daten aller Art
Schutzobjekt / Angreifer: Behörde -> Dritte
Maß für Angemessenheit Vorkehrung: Verhältnis Aufwand und Folge Schutzzielverletzung (§ 9 Abs. 2
Satz 2 SächsEGovG)
Technische-Organisatorische Maßnahmen zur Gewährleistung der Info.-Sicherheit

image
Seite 73
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Inhalt (Forts.)
Quelle: Weichert, Big Data und Datenschutz, 2013
Schutzbedarf
normal
z.B. BSI-GS-
Katalog
Schutzbedarf >
normal
Risikoanalyse
Maßnahmen
Technische-Organisatorische Maßnahmen zur Gewährleistung der Info.-Sicherheit
Verfügbarkeit
Integrität
Vertraulichkeit
normal
Daten
Transparenz
hoch
IT-Systeme
Authentizität
sehr hoch
Prozesse
Revisionsfähigkeit
p Information Security Management
System (ISMS)
Schutzziele
Schutzbedarf
aus Perspektive
des Betroffenen
Verfahrens-
komponenten

image
Seite 74
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Empfehlungen zur Umsetzung
Orientierung an BSI-GS, auch wenn, anders als für staatliche Behörden (§ 9 Abs. 2 S. 3
SächsEGovG), für TdS nicht vorgeschrieben
Schaffung organisatorischer Grundlagen (Leitlinie, Beauftragter für IS etc.)
Entwicklung Sicherheitskonzept gem. IT-GS Vorgehensweise
Umsetzung durch Beseitigung vorhandener Schwachstellen und Einführung der im Konzept
vorgesehenen Maßnahmen
Aufrechterhaltung und Verbesserung durch Prüfung Konzepte und Maßnahmen
Parallel Durchsetzung von Sofortmaßnahmen
Anschluss an das KDN
Umstellung auf Zertifikate der Sachsen Global CA
E-Mail-Verschlüsselung einsetzen

image
image
Seite 75
eureos gmbh
Dierk Schlosshan
10. März 2015
Quelle:
http://www.kdn-sachsen.de/kdn/idx.asp

image
Seite 76
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Empfehlungen zur Umsetzung
Quelle:
http://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.html
BSI IT-Grundschutz
ISO / IEC 27001
ISIS 12
VdS 3473
ISA
+
Zeitaufwand
Komplexität
ISMS
Einstieg in die
Informationssicherheit

image
Seite 77
eureos gmbh
Dierk Schlosshan
10. März 2015
Informationssicherheit
Leitfäden und Empfehlungen
SAKD: Musterleitlinie zur Herstellung und Gewährleistung der Informationssicherheit in sächsischen
Kommunalverwaltungen (analog VwV Informationssicherheit des FS)
Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung
Leitfaden Informationssicherheit des BSI

image
image
Seite 78
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten

image
Seite 79
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten
§ 14 Abs. 2 SächsEGovG:
„§ 10 Abs. 3 gilt für die Träger der Selbstverwaltung entsprechend. Die Vorgaben der Rechtsverordnungen gemäß § 10
Abs. 4 Satz 3 und 4 gelten auch für die Träger der Selbstverwaltung,
soweit
sie Basiskomponenten nutzen oder gemäß
Satz 1 in Verbindung mit §
10 Abs. 3 zur Bereitstellung elektronischer Daten verpflichtet sind.“
Rechtsgrundlage
§ 10 Abs. 3 SächsEGovG:
„Die staatlichen Behörden sind verpflichtet, diejenigen Daten elektronisch zur Verfügung zu stellen und mindestens
einmal jährlich zu aktualisieren, die für den Betrieb der im Freistaat Sachsen als
Zuständigkeitsfinder eingesetzten
Basiskomponente
notwendig sind. Zu diesen Daten zählen insbesondere die Stammdaten der jeweiligen Behörde und
elektronische Verweisungen auf die von der jeweiligen Behörde über öffentlich zugängliche Netze schon bereitgestellten
elektronischen Formulare.“
Der IT-Kooperationsrat beschließt, soweit kommunale Belange berührt werden, Empfehlungen für die Kommunen und
die staatlichen Behörden insbesondere zu… 6. der Festlegung der … elektronisch zu liefernden Daten für die im Freistaat
Sachsen als Zuständigkeitsfinder eingesetzte Basiskomponente …“
(§ 18 Abs. 3)

image
Seite 80
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten
§ 14 Abs. 1 Satz 1,2 SächsEGovG:
Die in § 10 Abs. 1 Satz 4 und 5 benannten Behörden
können Basiskomponenten auch den Trägern der
Selbstverwaltung zur Verfügung stellen
. Die im Freistaat Sachsen als Zuständigkeitsfinder eingesetzte
Basiskomponente gemäß §
10 Abs. 3 wird den Trägern der Selbstverwaltung zur Verfügung gestellt..“
Rechtsgrundlage (Forts.)
§ 10 Abs. 4 S.3 , 4 SächsEGovG:
„Die Staatsregierung wird ferner ermächtigt, die Ausgestaltung einzelner Basiskomponenten unter dem Vorbehalt der
Bereitstellung von Haushaltsmitteln für die Umsetzung durch den Landtag jeweils durch
Rechtsverordnung
zu regeln.
Die Rechtsverordnungen nach Satz 3 können insbesondere Regelungen ent-halten
über… (Zuständigkeitsfinder,
Interoperabilitäts- und Informationssicherheitsstandards, sorbische Sprache, die von der konkreten Basiskomponente zu
verarbeitenden personenbezogenen Daten)…“
Nutzungsvereinbarung vom 20.8.2014 i.V.m. § 29a Sächs FAG, Laufzeit bis Ende 2018
„„Für die Nutzung der
e-Government-Basiskomponenten des Freistaates Sachsen beteiligen sich die Kommunen an den
Betriebs- und Personalkosten. Der Finanzierungsbeitrag an den Betriebs- und Personalkosten beträgt in den Jahren 2015
bis 2018 jeweils 404 000 Euro. Im Jahr 2016 wird überprüft, ob eine Anpassung des Finanzierungsbeitrages für die Jahre
2017 und 2018 notwendig ist.“

image
Seite 81
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten
Hintergrund
Basiskomponenten - Gegenstand der Nutzungsvereinbarung
Amt24 (Service-Portal der sächsischen Verwaltungen mit Informationen zu Verwal-
tungsverfahren, Online-Diensten und zuständigen Behörden)
Formularservice (verwaltungsübergreifende Entw. und Verwendung elektr. Formulare)
Zentrales Content Management System (Erfassen, Verw. und Publ. von Behördeninfo.)
Geodaten
Zahlungsverkehr
Elektronische Signatur und Verschlüsselung
Prozessplattform
Beteiligungsportal
Weitere BaK möglich
Schaffung von zentralen E-Government-Komponenten zur Nutzung von staatlichen Behörden und
Trägern der Selbstverwaltung in Sachsen

image
image
Seite 82
eureos gmbh
Dierk Schlosshan
10. März 2015
Quelle:
http://www.egovernment.sachsen.de/993.html

image
image
Seite 83
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten
Inhalt
Pflicht zur Bereitstellung von Daten für BaK
„Zuständigkeitsfinder“
(§ 14 Abs.2 S.1 i.V.m. § 10 Abs. 3)
Soweit
-Pflicht: TdS müssen sich an die Vorgaben halten, die durch VO vorgegeben werden können,
soweit sie BaK nutzen (§ 14 Abs.2 S.2 i.V.m. § 10 Abs. 4 S.3, 4).
„Die Vorgaben der Rechtsverordnungen gemäß
§ 10 Abs. 4 Satz 3 und 4 gelten auch für die
Träger der Selbstverwaltung, soweit sie Basiskomponenten nutzen oder gemäß Satz 1 in
Verbindung mit §
10 Abs. 3 zur Bereitstellung elektronischer Daten verpflichtet sind.“
Rechtsverordnungen zu BaK sind in Planung.
Pflichten der TdS betreffend Basiskomponenten

image
Seite 84
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten
Inhalt (Forts.)
BaK Zuständigkeitsfinder wird den TdS zur Verfügung gestellt (§ 14 Abs. 1 S. 2).
Nutzungsberechtigung der TdS betr. BaK gemäß Nutzungsvereinbarung vom 20.8.2014
Im übrigen
„können“ BaK den TdS zur Verfügung gestellt werden (§ 14 Abs. 1 S. 1)
Rechte, Optionen und Möglichkeiten der TdS betreffend Basiskomponenten

image
Seite 85
eureos gmbh
Dierk Schlosshan
10. März 2015
Basiskomponenten
Empfehlungen zur Umsetzung
Kontaktstelle BaK (u.a. SID, SAKD)
vgl. auch Dokument „Handreichung für zuständige Stellen zum Einsatz der
E-Government-
Basiskomponenten, Version 1.2 vom 08.10.2009“
Nutzung im Rahmen der Nutzungsvereinbarung zur Verfügung gestellter BaK bei Identifizierung von
Lösungen für SächsEGovG
Anforderungen

image
image
image
Vielen Dank
Dierk Schlosshan
Rechtsanwalt
eureos gmbh steuerberatungsgesellschaft
rechtsanwaltsgesellschaft
Telefon: + 49 / 351 / 4976 1519
d.schlosshan@eureos.de
p
www.eureos.de