18.10.2017 Drucksache 6/4637Thüringer LandTag 6. Wahlperiode Druck: Thüringer Landtag, 26. Oktober 2017 Datenschutz und IT-Sicherheitsrisiken bei der Thüringer Landesanstalt für Umwelt und Geologie in der E-Mail-Kommunikation - nachgefragt Die Kleine Anfrage 2516 vom 5. September 2017 hat folgenden Wortlaut: In der Beantwortung der Kleinen Anfrage 2397 durch die Landesregierung in der Drucksache 6/4444 wurde dargelegt, dass die Annahme von Bewerbungsunterlagen per E-Mail nur dann gestattet ist, wenn die Vertraulichkeit durch die öffentliche Stelle durch entsprechende technische und organisatorische Maßnahmen gewährleistet werden kann. Die Festlegung dieser Vorgabe geht unter anderem auf den 11. Tätigkeitsbericht zum Datenschutz: öffentlicher Bereich des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom Mai 2016 zurück. Ferner wird in der Beantwortung der Kleinen Anfrage darauf hingewiesen , dass sehr gezielt Bewerbungsmails genutzt werden, um Schadcode in den Behörden zu platzieren . Die vom Thüringer Landesrechenzentrum administrierte Informationstechnik (IT)-Infrastruktur sichert in jeder Landesbehörde ein gleiches Niveau an IT-Sicherheit, das es beim Empfang von E-Mails zu berücksichtigen gilt. Insofern gilt zu hinterfragen, warum E-Mail-Bewerbungen vom Landesamt für Verbraucherschutz (Geschäftszeichen: Ing 32-01/2017), Thüringer Landesamt für Statistik (Geschäftszeichen: 13/2017) oder dem Thüringer Oberlandesgericht (Geschäftszeichen: 237 E - 4/17) akzeptiert werden. Ich frage die Landesregierung: 1. Welche zusätzlichen technischen und organisatorischen Maßnahmen wurden seitens des Thüringer Landesrechenzentrums beziehungsweise den oben genannten drei Behörden durchgeführt, um E-Mail-Bewerbungen zu berücksichtigen (Maßnahmen bitte je Behörden gesondert aufführen)? 2. Sind die oben aufgeführten technischen und organisatorischen Maßnahmen in Bezug auf ihre Wirksamkeit mit dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vorab besprochen worden? 3. Teilt die Landesregierung die Aussage, dass sofern keine gesonderten technischen und organisatorischen Maßnahmen seitens der oben genannte Behörden getroffen wurden, diese gegen geltende datenschutzrechtliche und sicherheitsrelevante Bestimmungen verstoßen haben und wenn nein, wie begründet sie ihre Auffassung? 4. Ist das zentrale Mailgateway im Intranet mit Virenschutzfunktionalität leistungsstark genug, um Schadcode in E-Mail-Anhängen zu identifizieren und wenn ja, welche Dateiformate werden grundsätzlich als risikoarm und welche als risikoreich klassifiziert? K l e i n e A n f r a g e des Abgeordneten Krumpe (fraktionslos) und A n t w o r t des Thüringer Finanzministeriums 2 Thüringer Landtag - 6. WahlperiodeDrucksache 6/4637 5. Plant die Landesregierung im Rahmen ihres Personalgewinnungskonzepts die Bewerbungsarten zu vereinheitlichen und wenn ja, welche technischen und organisatorischen Maßnahmen wird die Landesregierung ressortübergreifend durchführen, um E-Mail-Bewerbungen in allen Landesbehörden zu ermöglichen? Das Thüringer Finanzministerium hat die Kleine Anfrage namens der Lan desre gierung mit Schreiben vom 18. Oktober 2017 wie folgt beantwortet: Vorbemerkungen: Die Landesregierung hat nach ihrer Strategie für E-Government und IT des Freistaats Thüringen das erklärte Ziel, Daten und Informationen sicher auszutauschen. Hierzu werden auch die Hinweise und Maßgaben des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) herangezogen. Ebenso steht die Landesregierung zu Grundsatzfragen des Datenschutzes und der Informationsfreiheit mit dem TLfDI in regem Austausch. Dennoch sind die erforderlichen Maßnahmen zur Sicherstellung des Datenschutzes von der datenverarbeitenden Stelle festzulegen und umzusetzen. Dabei wird bisher nicht bei allen gleichgelagerten Anwendungsfällen ein einheitliches Schutzniveau erreicht. Die Landesregierung strebt jedoch eine weitgehend einheitliche Anwendung an. Auf die konkrete Fragestellung hin, erlaube ich mir daher vorab festzustellen, dass nach vorherrschender Ansicht eingehende Bewerbungsunterlagen noch keine Personalakten im Sinne des § 80 Abs. 1 Thüringer Beamtengesetz, tarifvertraglicher Regelungen oder des § 33 Abs. 1 Thüringer Datenschutzgesetz sind. Erst mit Einstellung werden diese personenbezogenen Daten Bestandteil einer Personalakte, denen nunmehr ein besonderer Schutzbedarf zukommt. Eine rechtliche Verpflichtung zum besonderen Schutz von elektronisch eingehenden Bewerbungsunterlagen durch besondere technische und organisatorische Maßnahmen besteht, ähnlich wie bei per Post eingehenden Unterlagen, nicht. Zu 1.: In allen Stellenausschreibungen des Landesamtes für Verbraucherschutz wird darauf hingewiesen, dass nur PDF-Dateien zulässig sind und diese Bewerbungen vorab an das Postfach Bewerbung@TLV.thueringen .de zu richten sind. Die im Thüringer Landesamt für Verbraucherschutz per E-Mail an das genannte Postfach eingehenden Bewerbungsunterlagen sind nur dem Zentralabteilungsleiter und seinem Stellvertreter zugänglich. Die Mitarbeiter wurden unterwiesen und sensibilisiert, Mails mit Dateianhängen nicht ungeprüft zu öffnen. Die technischen Maßnahmen für die Sicherheit des E-Mailverkehrs sind in einem IT-Sicherheits - und Betriebskonzept festgelegt. An das Thüringer Landesamt für Statistik gerichtete E-Mails mit Bewerbungsunterlagen sind nur einem ausgewählten Mitarbeiterkreis zugänglich. Die Daten werden auf einem speziellen, für diesen Zweck angelegten , IT-Verzeichnis abgelegt, auf das auch nur die Mitarbeiter Zugriff haben, die mit dem Bewerbungsverfahren betraut sind. Die Bewerber erhalten einen ausdrücklichen Hinweis darauf, dass ein speziell für die verschlüsselte Kommunikation eingerichteter Zugang zum Thüringer Landesamt für Statistik noch nicht eröffnet wurde und somit die Vertraulichkeit der Information für diesen Übertragungsweg nicht gewährleistet werden kann. Der Bewerber erteilt bei der elektronischen Übermittlung der Bewerbungsunterlagen die Zustimmung, dass die E-Mail auf Schadsoftware geprüft und die erforderlichen Daten vorübergehend zwischengespeichert werden sowie der weitere Schriftverkehr per E-Mail geführt wird. Das Thüringer Oberlandesgericht hat keine besonderen technischen oder organisatorischen Maßnahmen zum Umgang mit E-Mail-Bewerbungen getroffen. Zu 2.: Nein; die Inanspruchnahme einer Beratung durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit gemäß § 40 Abs. 7 ThürDSG ist nicht verpflichtend. Zu 3.: Datenschutzvorschriften sind hierdurch nicht verletzt. Nach Artikel 6 Abs. 2 Satz 1 der Verfassung des Freistaats Thüringen hat jeder Anspruch auf Schutz seiner personenbezogenen Daten. Er ist nach Artikel 6 Abs. 2 Satz 2 der Verfassung des Freistaats Thüringen berechtigt, über die Preisgabe und Verwendung solcher Daten selbst zu bestimmen. Wenn einem Bewerber die Möglichkeit eröffnet wird, seine Bewerbung an 3 Drucksache 6/4637Thüringer Landtag - 6. Wahlperiode eine E-Mail-Adresse zu richten, ohne dass ein öffentlicher Schlüssel für eine Verschlüsselung angegeben ist, ist ihm klar, dass er die E-Mail unverschlüsselt senden muss, damit sie vom Empfänger gelesen werden kann. Nutzt er diese Möglichkeit der unverschlüsselten Kommunikation, tut er dies aus freien Stücken und hat von seinem verfassungsrechtlich verbürgten Recht der Preisgabe der Daten Gebrauch gemacht. Zu 4.: Das Sicherheitskonzept für die Nutzung des E-Mail-Dienstes in der Landesverwaltung ist mehrstufig aufgebaut . Zwar ist das zentrale Mailgateway redundant aufgebaut und verfügt über ausreichend Leistungsreserven , um eingehende E-Mails in kurzer Zeit zu prüfen. Jedoch ist ein Schutz auf den Nutzerclients weiterhin unverzichtbar, um die Systemsicherheit zu gewährleisten. Derzeit werden E-Mails mit folgenden Dateitypen als unsicher eingestuft: *.exe, *.vbs, *.pif, *.scr. *.bat, *.cmd, *.com, *.cpl, *.dll, *.js und *.jse. Diese Klassifizierung wird auf die aktuelle Sicherheitslage angepasst. Zu 5.: Sofern im Rahmen eines Personalgewinnungskonzeptes E-Mail-Bewerbungen einheitlich ermöglicht werden sollen, wird dies in Einklang mit den geltenden Datenschutz- und Informationssicherheitsregelungen erfolgen. Taubert Ministerin Datenschutz und IT-Sicherheitsrisiken bei der Thüringer Landesanstalt für Umwelt und Geologie in der E-Mail-Kommunikation - nachgefragt Ich frage die Landesregierung: Vorbemerkungen: Zu 1.: Zu 2.: Zu 3.: Zu 4.: Zu 5.: