31.08.2017 Drucksache 6/4444Thüringer LandTag 6. Wahlperiode Druck: Thüringer Landtag, 11. September 2017 Datenschutz- und IT-Sicherheitsrisiken bei der Thüringer Landesanstalt für Umwelt und Geologie in der E-Mail-Kommunikation Die Kleine Anfrage 2397 vom 20. Juli 2017 hat folgenden Wortlaut: Zur Sicherstellung einer einheitlichen und stabilen Kommunikations- und Kollaborations-Plattform für die Thüringer Landesverwaltung administriert das Thüringer Landesrechenzentrum (TLRZ) einen Exchange Mailverbund einschließlich zentraler Postfächer. E-Mails aus dem Internet und in das Internet werden vor der Firewall des Corporate Network (CN) vom zentralen Mailgateway im Internet entgegengenommen und danach auf die Firewall des CN verteilt beziehungsweise auf den direkt im Internet stehenden Mailserver. Hinter der Landesfirewall werden die eingehenden und ausgehenden Mails über das zentrale Mailgateway im Intranet mit Virenschutzfunktionalität an die verschiedenen Mailserver übertragen. Die vom TLRZ administrierte Informationstechnik (IT)-Infrastruktur sichert in jeder Landesbehörde ein gleiches Niveau an IT-Sicherheit , das es beim Empfang von E-Mails zu berücksichtigen gilt. In der Antwort auf eine Kleine Anfrage 868 des Fragestellers in Drucksache 6/2099 führt die Landesregierung aus, dass der elektronische Zugang für die Übermittlung elektronischer Dokumente mit der Bereitstellung von E-Mail-Postfächern für die Landesbehörden praktisch bereits eröffnet sei. Gleichwohl wird in einer aktuellen Stellenausschreibung der Thüringer Landesanstalt für Umwelt und Geologie (TLUG, Kennziffer 12/2017-05/TLUG) darauf hingewiesen, dass Bewerbungen per E-Mail aus Datenschutz - und IT-Sicherheitsgründen nicht akzeptiert werden. Ich frage die Landesregierung: 1. Werden die E-Mail-Postfächer der Mitarbeiter der TLUG über den oben beschriebenen Exchange Mailverbund administriert und wenn nein, warum nicht? 2. Welche konkreten IT-Sicherheitsgründe stehen einer Kommunikation per E-Mail aus dem Internet mit der TLUG entgegen, wie es in der Stellenausschreibung dargestellt wurde? 3. Welche konkreten Datenschutzgründe führen dazu, dass eine E-Mail-Kommunikation mit der TLUG beispielsweise im Rahmen eines Bewerbungsverfahrens nicht akzeptiert wird? 4. Warum wird der Zugang zur elektronischen Kommunikation mit der Angabe der E-Mail-Adresse auf der Stellenbeschreibung eröffnet, wenn Datenschutzgründe und IT-Sicherheitsgründe dazu führen, dass eine E-Mail-Korrespondenz mit der TLUG nicht akzeptiert wird? K l e i n e A n f r a g e des Abgeordneten Krumpe (fraktionslos) und A n t w o r t des Thüringer Ministeriums für Umwelt, Energie und Naturschutz 2 Thüringer Landtag - 6. WahlperiodeDrucksache 6/4444 5. Wurde das TLRZ oder der Thüringer Landesbeauftragte für den Datenschutz und die Informationssicherheit über die der E-Mail-Kommunikation mit der TLUG entgegenstehenden Datenschutz- und IT-Sicherheitsproblematiken informiert? Wenn ja, in welchem Zeitraum nach Bekanntwerden der Datenschutzund IT-Sicherheitsproblematiken, wenn nein, warum nicht? 6. Wird der elektronische Zugang für die Übermittlung elektronischer Dokumente entsprechend der eingangs genannten Aussage der Landesregierung im Sinne des § 3 a VwVfG seitens der TLUG gewährleistet ? Falls nein, warum nicht? 7. Greift die TLUG auf Angebote wie INTERAMT.DE zurück, um potentiellen Arbeitnehmern zum einen eine elektronische Bewerbung zu ermöglichen und zum anderen eine effiziente Bewerberauswahl mit Hilfe des umfassenden elektronischen Bewerbermanagements einschließlich anonymisierter Bewerbungsverfahren vorzunehmen? Falls nein, warum nicht? 8. Gibt die Landesregierung verbindliche Mindestkriterien vor, wie Stellenausschreibungen zu publizieren sind, um das in Art. 33 Abs. 2 GG verankerte Prinzip der Bestenauslese bei Stellenneubesetzungen zu wahren und wenn ja, welche Kriterien sieht diese Vorgabe vor? 9. Wurden alle die in der Antwort zu Frage 8 aufgeführten Kriterien im Rahmen der eingangs erwähnten Stellenausschreibung (Kennziffer 12/2017-05/TLUG) eingehalten? 10. Bis zu welchem Zeitpunkt gedenkt die TLUG die benannten Daten- und IT-Sicherheitsproblematiken abzustellen ? 11. Teilt die Landesregierung die Auffassung, dass sich die Publikation von Datenschutz- und IT-Sicherheitsproblematiken innerhalb einer naturwissenschaftlich-technischen Einrichtung, wie der TLUG, im Zusammenhang mit der Rekrutierung von technischem Personal negativ auf die Quantität und Qualität der Bewerber auswirken kann und wenn nein, wie begründet sie ihre Auffassung? Das Thüringer Ministerium für Umwelt, Energie und Naturschutz hat die Kleine Anfrage namens der Lan desre gierung mit Schreiben vom 30. August 2017 wie folgt beantwortet: Zu 1.: Die E-Mail-Postfächer der Bediensteten in der TLUG werden über den Exchange Mailverbund administriert. Zu 2.: Einer Kommunikation per E-Mail aus dem Internet mit der TLUG steht grundsätzlich nichts entgegen. Besonderheiten bestehen bei der Kommunikation mit besonders schützenswerten Inhalten wie beispielsweise im Rahmen von Bewerbungsverfahren, bei denen personenbezogene Daten eine große Rolle spielen. Bei der E-Mail-Kommunikation in solchen Verfahren ist neben dem Datenschutz nach dem Thüringer Datenschutzgesetz (ThürDSG) auch die Sicherheit für das eigene IT-System zu gewährleisten. Darüber hinaus wurden in der letzten Zeit zunehmend und sehr gezielt Bewerbungsmails bei Personalstellen genutzt, um Schadcode bei Firmen oder anderen Stellen zu platzieren, was ein erhebliches Bedrohungspotenzial darstellt. In Fachmedien wurde in der Vergangenheit und wird auch aktuell immer wieder von entsprechenden Angriffen auf IT-Systeme öffentlicher Stellen berichtet. Zu 3.: Zusätzlich zur oben angesprochenen IT-Sicherheit ist in Bewerbungsverfahren der Datenschutz nach dem ThürDSG sicherzustellen. Der Thüringer Landesbeauftragte für den Datenschutz und Informationsfreiheit (TLfDI) hat alle obersten Landesbehörden in seinem Schreiben vom 2. September 2015 darauf hingewiesen, dass Bewerbungsunterlagen für Stellen im öffentlichen Dienst ein besonderer Schutzbedarf zukommt Stellenbewerber dürfen 3 Drucksache 6/4444Thüringer Landtag - 6. Wahlperiode nur dann zur Einreichung von Bewerbungsunterlagen per E-Mail aufgefordert werden, wenn die Vertraulichkeit durch die öffentliche Stelle durch entsprechende technische und organisatorische Maßnahmen gewährleistet werden kann. Entsprechende Ausführungen finden sich auch im 11. Tätigkeitsbericht des TLfDI vom 17. Mai 2016 (veröffentlicht auf der Internetseite *). Bewerbungen per E-Mail sind daher nur mit einer starken Verschlüsselung zulässig. Die Umsetzung für den einzelnen Bewerber, das heißt die Verschlüsselung der Bewerbungsdaten ist für diesen mit Hürden verbunden und daher nicht ohne weiteres für jeden potentiellen Bewerber realisierbar. Zu 4.: Die E-Mail-Adresse gehört neben der Rufnummer zu den üblicherweise angegebenen Kontaktdaten auf dem Formular einer Stellenausschreibung. Die Angabe der Daten soll es dem Bewerber bei Bedarf ermöglichen , mit der Behörde telefonisch oder per E-Mail Kontakt aufzunehmen. Die E-Mail-Adresse dient in diesem Zusammenhang nicht der elektronischen Übermittlung der Bewerbung, sondern ermöglicht auf kurzem Wege allgemeine, von personenbezogenen Daten losgelöste Anfragen zum Anforderungsprofil oder zur Eingruppierung etc. Zu 5.: Der besondere Schutzbedarf von Bewerbungsunterlagen für Stellen im öffentlichen Dienst ist dem TLfDI bekannt (siehe Ausführungen in der Antwort zu Frage 3). Die Verfahrensweise entspricht den Empfehlungen des TLfDI zu Bewerbungsverfahren. Zu 6.: Die eingangs genannte Aussage der Landesregierung im Rahmen der Beantwortung der Kleinen Anfrage 868 des Fragestellers erstreckt sich auch auf die TLUG. Im Übrigen wird auf die Beantwortung der Frage 3 verwiesen. Zu 7.: Die TLUG nimmt die Leistung von interamt.de insoweit in Anspruch, als es um die Veröffentlichung der Stellenausschreibungen geht. Dabei handelt es sich um einen kostenfreien Service. Die kostenpflichtige Funktion mit dem Bewerbermanagement wird nicht genutzt. Der Grund liegt zum einen darin, dass Stellenausschreibungen auch auf anderen Internetportalen veröffentlicht werden. Zum anderen erfolgt eine Vielzahl an Bewerbungen unverändert schriftlich auf dem Postweg. Ein einheitliches Bewerbermanagement über interamt.de ist folglich nicht realisierbar. Dies steht aber einer ordnungsgemäßen und effizienten Bewerberauswahl unter Beachtung der gesetzlichen Vorgaben und unter Einbeziehung aller eingehenden Bewerbungen bei der TLUG nicht entgegen. Zu 8.: Ausgangspunkt jeder Auswahlentscheidung in einem Stellenausschreibungsverfahren im öffentlichen Dienst ist Artikel 33 Abs. 2 GG. Danach hat jeder Deutsche nach Eignung, Befähigung und fachlicher Leistung Zugang zu jedem öffentlichen Amt. Öffentliche Ämter sind nach Maßgabe des Leistungsgrundsatzes zu besetzen (Grundsatz der Bestenauslese). Jedes Ressort trifft in seiner Zuständigkeit personalrechtliche Auswahlentscheidungen. In diese Zuständigkeit fällt auch die Entscheidung über die Publikation von Stellenausschreibungen. Verbindliche Mindestkriterien der Landesregierung gibt es nicht. Bei der Auswahl der Medien wird auf eine größtmögliche Verbreitung der Stellenausschreibung geachtet, um einen hinreichend großen Bewerberkreis zu erreichen. So werden parallel Veröffentlichungen in Printmedien (Tageszeitungen, Fachzeitschriften) und im Internet (beispielsweise interamt.de, greenjobs.de, backinjob .de) genutzt. Bei der Auswahl der Medien findet auch Berücksichtigung, welcher Bewerberkreis angesprochen werden soll. Zu 9.: Die Veröffentlichung erfolgte im Intranet der TLUG und des Freistaats Thüringen sowie im Stellenportal der Landesregierung (**). Weiterhin wurde auf interamt.de, in der Jobbörse der Bundesagentur für Arbeit (BfA) und auf dem Internetauftritt der Thüringer Agentur für Fachkräftegewinnung (ThaFF) veröffent- 4 Thüringer Landtag - 6. WahlperiodeDrucksache 6/4444 licht. Auf diese Weise konnte gewährleistet werden, dass die Stellenausschreibung einen möglichst großen Bewerberkreis erreicht. Zu 10.: Die Landesregierung sieht keine Daten- und IT-Sicherheitsproblematiken. Zu 11.: Die Landesregierung sieht im Ausschluss von Bewerbungen per E-Mail keine Publikation von Datenschutzund IT-Sicherheitsproblematiken. Siegesmund Ministerin Endnote: * www.tlfdi.de ** www.thueringen.de Datenschutz- und IT-Sicherheitsrisiken bei der Thüringer Landesanstalt für Umwelt und Geologie in der E-Mail-Kommunikation Ich frage die Landesregierung: Zu 1.: Zu 2.: Zu 3.: Zu 4.: Zu 5.: Zu 6.: Zu 7.: Zu 8.: Zu 9.: Zu 10.: Zu 11.: Endnote: