Open Antrag/Antragsarbeit
Dieser Artikel dürfte die meisten Piraten im Moment brennend interessieren. Wenn du anderer Meinung bist, so diskutiere dies bitte auf der Diskussionsseite, bevor du diesen Baustein entfernst. |
Hier ist Mitarbeit ausdrücklich Erwünscht! - Zur Einhaltung der Seitenstruktur, bitte die umfangreicheren Beiträge zuerst auf der Diskussionsseite posten!
Für Piraten ist Bürgerbeteiligung nicht nur ein Wort.
Wir sind schon in vielen Parlamenten vertreten und geben Dir auf diesem Portal die Möglichkeit, Dein Anliegen dort einzubringen.
Wir können bzw. Du kannst in folgenden 50 Parlamenten Anträge einbringen, weil wir dort Einzelabgeordnete oder eine Fraktion haben
Stellungsnahme zum Antrag in Erlangen
- Quelle: http://ratsinfo.erlangen.de
- Bearbeitung: Stellungsnahme des IT-Dienstleisters KommunalBIT zum Fraktionsantrag „Verschlüsselung“ in Erlangen (Doc - 168/2013 vom 21.10.2013)
Die Stellungnahme des IT-Dienstleisters KommunalBIT - mit Kommentaren
Die E-Government- und Formular-Anwendungen der Stadt Erlangen bieten bereits überwiegend fundierte Verschlüsselungstechnologien zur sicheren Datenübermittlung. Die Nutzung dieser Technologien entspricht weiterhin dem Stand der Technik und bringt für weniger technikaffine Nutzer keinerlei Hemmschwellen mit sich. Derartige (sichere) Dienstleistungsangebote müssen auch weiterhin im Kernfokus jeglicher e-Government-Aktivitäten stehen. aus 168/2013 vom 21.10.2013
- Damit werden die Lage unklar, aber die Absichten klar definiert.
- Hier wird nicht klar zwischen E-Government, Verbindungsverschlüsselung (https), Behördeninterner/externer Kommunikation oder um öffentlicher Kommunikation und Datenübermittlung per Mail unterschieden.
- Obendrein ist nicht genauer zu entnehmen welche Zugangsbedingungen und Handhabungen zudem von vorgebildeten (technikaffine) Nutzer vorausgesetzt werden.
- Auf eine direkte Übermittlung von verschlüsselter Kommunikation wird nicht eindeutig und direkt eingegangen.
Mit der Nutzung der Bayerischen Verwaltungs-PKI stellt der Freistaat Bayern Mitarbeitern der staatlichen und kommunalen Verwaltungen in Bayern eine Technologie zur Verfügung, mit deren Hilfe die Vertraulichkeit, Integrität und Verbindlichkeit von Daten bzw. Nachrichten gewährleistet werden kann, allerdings mit der Einschränkung, dass die Kommunikationspartner Zugriff auf das BayBN benötigen. Für die Mail-Kommunikation unter öffentlichen Einrichtungen ist diese Voraussetzung erfüllt, und eine entsprechende Anwendungsmöglichkeit wurde von KommunalBIT den Städten zur Verfügung gestellt. aus 168/2013 vom 21.10.2013
- Das ist völlig richtig. Das ist aber nur für die Behördenkommunikation, mittels Verschlüsselung durch Zertifikate, bei Verbindungen unter einander zutreffend.
- Hier fehlt bzw. wird nicht angegeben, dass der Bayerischen Verwaltungs-PKI auch PGP-Schlüssel für die Mitarbeiter der Behörden zur Verfügung stellt. Damit wäre eine beantragte verschlüsselte Kommunikation mit jederman und jederfrau problemlos möglich.
- Beleg: Link zum Bayerischen Landesamt für Statistik und Datenverarbeitung - Bay. Verwaltungs-PKI Pretty Good Privacy - PGP
Für die Mail-Kommunikation zwischen Bürger und Stadt stellt dies allerdings keine geeignete Option dar. aus 168/2013 vom 21.10.2013
- Diese Aussage ist sachlich nicht richtig! - vergl. Bay. Verwaltungs-PKI
Für die Verschlüsselung einzelner Dateien auf Datenträgern oder als Mail-Anhänge können die städtischen Benutzer grundsätzlich bereits jetzt die Möglichkeiten nutzen, die mit den Standard-Werkzeugen zum Komprimieren von Dateien zur Verfügung stehen. Ein sicherer Datenaustausch nach außerhalb des Netzes (ggf. in Kombination mit der Verschlüsselungsmöglichkeit) wird auch durch die Nutzung des von KommunalBIT betriebenen Ajax-Downloadservers gewährleistet. aus 168/2013 vom 21.10.2013
- Auch hier geht es vermeintlich um Verschlüsselung.
- Konkret wird wohl eher Komprimierung von Daten mit Zugangsschlüssel gemeint. Auch könnte es sich um das Verschlüsseln von Daten auf Datenträgern usw. handeln.
- Das hat aber in diesem Fall wenig bis nichts mir Verschlüsselung von Kommunikationsdaten zu tun.
Entsprechend können auch die Kommunikationspartner der Städte grundsätzlich wahlfrei verschiedenste Verschlüsselungsmethoden bei der Übersendung von Daten benutzen, soweit der städtische Empfänger dann die Daten ohne zusätzliche Komponenten im Netz entschlüsseln kann. aus 168/2013 vom 21.10.2013
- Das ist in der Sache rein logisch nicht richtig. Wenn es so wäre, würde die Problematik des Antrags nicht bestehen. Eine "Wahlfreiheit" gibt es für diesen Fall vom Grundsatz nicht, weil eine Verschlüsselung die "ohne zusätzliche Komponenten im Netz entschlüsseln kann" ist sinnfrei. Kann dann jeder entschlüsseln.
Vor Einführung einer weiteren Verschlüsselungsmöglichkeit ist zu beachten, dass diese mit vernünftigem Aufwand zentral administrierbar und in die von KommunalBIT bereitgestellten Lösungen integrierbar sein muss. Wesentlicher Faktor hier ist die Komplexität der Schlüsselverwaltung. Wenn keine zentrale Schlüsselverwaltung implementiert werden kann, droht im schlimmsten Fall bei Schlüsselverlust auch Datenverlust, weil dann nicht einmal der IT-Dienstleister die Verschlüsselung aufheben kann. Weiterhin müssen geeignete Stellvertreterregelungen und organisatorische Festlegungen auf der (städtischen) Absender- und Empfängerseite auch technisch umgesetzt werden können. Grundsätzlich lässt sich dabei der Umgang mit verschlüsselten Daten (z.B. bei E-Mails) innerhalb der Stadt weit effizienter gestalten, wenn eine Verschlüsselung bis zum E-Mail-Gateway – und somit bis zum IT-Dienstleister – stattfindet, als bei einer Entschlüsselung der Daten erst am Client und damit durch den User. aus 168/2013 vom 21.10.2013
- Hier geht es um Kontrollverluste, internen Datenschutz und das DE-Mail-Problem der Ende-zu-Ende Verschlüsselung.
- Wie die Handhabe der Schlüssel Behördenintern durchgeführt werden könnte, kann ich hier nicht sagen. Es sollte aber lösbar sein, die Schlüssel auf einen Server zu packen und bei Bedarf abzurufen. Das hört sich jetzt etwas geringschätzig an, ist sicher im Detail nicht so einfach, aber mit PGP-Schlüsseln möglich.
- Diese Schlüssel bedürfen keiner großartigen Verwaltung. Ein Key-Server reicht. Der sollte sogar öffentlich zugänglich sein. Eine Verwaltung vergleichbar der Zertifikats-Verwaltung ist nicht erforderlich.
- Der weitere Punkt ist "Den Dienstleister gehen die Daten nichts an." Damit wird im zweiten Teil des Zitates ganz bewusst eine wichtige Regel für Vertrauen gebrochen. Wer mochte schon eine Mail versenden, wenn sichergestellt ist, dass unterwegs nicht nur die NSA, sondern auch noch der IT-Dienstleister rein schaut. Das ist nicht im Sinne des Versenders.
Ob dies für die vorgeschlagene freie Software Gpg4win gewährleistet werden kann, wissen wir nicht, dass lässt sich auch nicht kurzfristig feststellen, sondern bedarf einer genauen Analyse. Dabei wäre dann auch die Kostenseite zu betrachten, auch „freie Software“ ist nicht kostenlos zu betreiben. aus 168/2013 vom 21.10.2013
- Stimmt grundsätzlich: „freie Software“ ist nicht kostenlos! Die Entwicklung diese freie Software wurde durch Fördergeldern des Innenministers, also vom Bundesbürger, mit Steuergeldern bezahlt. Warum sollte der Bürger sie dann nicht nutzen.
- Im weiteren ist dieser Grund vorgeschoben. Es hätte nur eines Anrufes beim BSI bedurft. Hier wird es empfohlen und im Paket angebotet.
Sowohl die Zugangseröffnung der Stadt Erlangen nach Art. 3a des BayVwVfG als auch interne Regelungen des Dienstverkehrs sind derzeit nach unserem Wissen weder für formgebundene noch für einfache formlose Schreiben auf eine verschlüsselte Kommunikation ausgelegt. aus 168/2013 vom 21.10.2013
- Achtung falsche Baustelle! Es geht hier nicht um den rechtskonformen Zugang nach Art. 3a des BayVwVfG, sondern um einfache Kommunikation per Mail. Nach meiner Kenntnis, ist der rechtskonforme Zugang grundsätzlich verschlüsselt. Das gehört hier einfach nicht hin, sondern vernebelt nur die Problemstellung zum normalen Mailverkehr.
Damit muss man sich unter Akzeptanzgesichtspunkten fragen, ob dem Bürger eine derartige Verschlüsselungslösung nur empfohlen oder vorgeschrieben werden soll. Es existiert weiterhin eine große Vielzahl anderweitiger erschlüsselungstechnologien im Markt. aus 168/2013 vom 21.10.2013
- Was soll das? Der Bürger hat es beantragt. Daraus muss man jetzt keine Vorschrift klöppeln oder konstruieren. Zahnpasta gibt es auch jede Menge Sorten und in allen Farbschattierungen ohne Vorschrift. - Es braucht eine einfache, leicht für jeden Benutzer zu handhabende Verschlüsselung, um wenigstens die Inhalte der Mails ohne Einblicke zu übertragen. Wie das Teil heißt, was diese Voraussetzungen erfüllt ist völlig schnuppe. Unsere Wahl ist auf Gpg4win gefallen, weil es vom Bürger bezahlt wurde und die Entwicklung vom Bundesamt für Sicherheit in de Informationstechnik beaufsichtigt und das Programm entsprechend empfohlen wird.
Besonders erwähnt werden soll hier das Produkt DE-Mail. Hierfür machen sich aktuell gleich drei große kommerzielle Konzerne stark. aus 168/2013 vom 21.10.2013
- Das ist nichtssagende "Schleichwerbung" für kommerzielle Konzerne, zu Ungunsten des Bürgers. Diese kommerzielle Konzerne haben auch kommerzielle Interesse an der Brieftasche der Bürger.
Die Lösung befindet sich auch aktuell im Betrachtungsfokus der drei Städte –insbes. auch der Stadt Schwabach. Unter Synergie- und damit auch Kostengesichtspunkten müssen sich die Städte überlegen, ob hier ein gemeinsamer Weg beschritten werden soll, auch in Richtung Nutzung der eID beim neuen Personalausweis. aus 168/2013 vom 21.10.2013
- Unter den bereits oben kommentierten Nebenschauplätzen ist dies ein weiterer, der die kommerzielle Interessen des Stellung nehmenden verdeutlicht und gleichzeitig mit der Nutzung der eID eine weitere, nicht zum Thema gehörende Nebelkerze wirft.
Aus Sicht des IT-Dienstleisters muss vor weiteren konkreten Aktivitäten in der Richtung zunächst eine klare Strategievorgabe zum gewünschten Dienstleistungsportfolio der elektronischen Kommunikation in der Zukunft erfolgen, die entsprechend mit den anderen KommunalBIT-Städten abgestimmt ist, damit Synergie- und Skaleneffekte angemessen berücksichtigt werden können. aus 168/2013 vom 21.10.2013
- Was sind KommunalBIT-Städte? Bitte eine Definition: ....? Etwa ein IT-Dienstleister der ganze Städte wirtschaftlich unter Druck setzen kann?
- Sorry, für diese scharfe Zuspitzung, nur bietet es sich hier abschließend förmlich an.
- Mit dieser Art, Teufel unscharf an die Wand zu malen, kann man gut undefinierte Ängste schüren, legt sich nicht Konkret fest und kann so ohne Roß und Reiter zu benennen, die gestellte Aufgabe zu beurteilen, vermeintlich souverän lösen.
- Kommentare zum Schreiben von KommunalBIT am 05.11.2013
Stellungsnahme zum Antrag im Stadtrat Laatzen
Es gab folgende Info von der Stadt: "Gemäß der Europäischen Dienstleistungsrichtlinie müssen die Kommunen über einen verschlüsselten Kommunikationskanal erreichbar sein. Dieser beinhaltet auch eine Ende-zu-Ende-Verschlüsselung zwischen den Kommunikationspartnern. Seit Januar 2010 besteht daher die Möglichkeit für Behörden, Firmen, Bürgerinnen und Bürger etc. mit der Stadt Laatzen über das elektronische Gerichts- und Verwaltungspostfach (kurz: EGVP) verschlüsselt zu kommunizieren. Die in Deutschland beteiligten Behörden sind unter www.egvp.de veröffentlicht und in dem nationalen EGVP-Adressbuch verzeichnet. Das EGVP wurde u. a. ausdrücklich in enger Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der E-Government-Initiative „BundOnline2005“ entwickelt. Selbstverständlich können auch Bürger und Bürgerinnen ein EGVP beantragen und sich registrieren lassen, wenn sie dieses nutzen möchten. Die Stadt Laatzen ist seit Ende Juni 2013 per De-Mail erreichbar; derzeit verläuft dieser verschlüsselte Kanal nur einseitig." Ich muss jetzt überlegen, ob ich entsprechend Geld etc. beantrage um andere Lösungen zu schaffen 19. Dezember 2013 09:49 Antrag erledigt
Material
Artikel 7 Recht auf Information
(1) Die Mitgliedstaaten stellen sicher, dass Dienstleistungserbringern und -empfängern über die einheitlichen Ansprechpartner folgende Informationen leicht zugänglich sind: a) die Anforderungen, die für in ihrem Hoheitsgebiet niedergelassene Dienstleistungserbringer gelten, insbesondere bezüglich der Verfahren und Formalitäten für die Aufnahme und Ausübung von Dienstleistungstätigkeiten; b) die Angaben über die zuständigen Behörden, einschließlich der für die Ausübung von Dienstleistungstätigkeiten zuständigen Behörden, um eine direkte Kontaktaufnahme mit diesen zu ermöglichen; c) die Mittel und Bedingungen für den Zugang zu öffentlichen Registern und Datenbanken über Dienstleistungserbringer und Dienstleistungen; d) die allgemein verfügbaren Rechtsbehelfe im Falle von Streitigkeiten zwischen den zuständigen Behörden und den Dienstleistungserbringern oder -empfängern oder zwischen Dienstleistungserbringern und -empfängern oder zwischen Dienstleistungserbringern; e) die Angaben zu Verbänden oder Organisationen, die, ohne eine zuständige Behörde zu sein, Dienstleistungserbringer oder -empfänger praktisch unterstützen.
(2) Die Mitgliedstaaten stellen sicher, dass die Dienstleistungserbringer und -empfänger von den zuständigen Behörden auf Anfrage Unterstützung in Form von Informationen über die gewöhnliche Auslegung und Anwendung der maßgeblichen Anforderungen gemäß Absatz 1 Buchstabe a erhalten können. Sofern angebracht, schließt diese Beratung einen einfachen Schritt-für-Schritt-Leitfaden ein. Die Informationen sind in einfacher und verständlicher Sprache zu erteilen.
(3) Die Mitgliedstaaten stellen sicher, dass die in den Absätzen 1 und 2 genannten Informationen und Unterstützung in einer klaren und unzweideutigen Weise erteilt werden, aus der Ferne und elektronisch leicht zugänglich sind sowie dem neuesten Stand entsprechen.
(4) Die Mitgliedstaaten stellen sicher, dass die einheitlichen Ansprechpartner und die zuständigen Behörden alle Auskunftsoder Unterstützungsersuchen gemäß den Absätzen 1 und 2 so schnell wie möglich beantworten und den Antragsteller unverzüglich davon in Kenntnis setzen, wenn sein Ersuchen fehlerhaft oder unbegründet ist.
(5) Die Mitgliedstaaten und die Kommission ergreifen begleitende Maßnahmen, um die Bereitschaft der einheitlichen Ansprechpartner zu fördern, die in diesem Artikel genannten Informationen auch in anderen Gemeinschaftssprachen bereitzustellen. Dies berührt nicht die Rechtsvorschriften der Mitgliedstaaten über die Verwendung von Sprachen.
(6) Die Verpflichtung der zuständigen Behörden zur Unterstützung der Dienstleistungserbringer und -empfänger umfasst keine Rechtsberatung in Einzelfällen, sondern betrifft lediglich allgemeine Informationen darüber, wie Anforderungen gewöhnlich ausgelegt oder angewandt werden.
Artikel 8 Elektronische Verfahrensabwicklung
(1) Die Mitgliedstaaten stellen sicher, dass alle Verfahren und Formalitäten, die die Aufnahme oder die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können.
(2) Absatz 1 betrifft nicht die Kontrolle des Ortes der Dienstleistungserbringung oder die Überprüfung der vom Dienstleistungserbringer verwendeten Ausrüstungsgegenstände oder die physische Untersuchung der Eignung oder persönlichen Zuverlässigkeit des Dienstleistungserbringers oder seiner zuständigen Mitarbeiter.
(3) Die Kommission erlässt nach dem in Artikel 40 Absatz 2 genannten Verfahren Durchführungsbestimmungen zu Absatz 1 des vorliegenden Artikels, um die Interoperabilität der Informationssysteme und die Nutzung der elektronischen Verfahren zwischen den Mitgliedstaaten zu erleichtern, wobei auf Gemeinschaftsebene entwickelte gemeinsame Standards berücksichtigt werden.
Handreichung „Datenschutzgerechtes eGovernment“ Erscheinungsdatum: 30.06.2005 Download
Die europäische Dienstleistungsrichtlinie: Bedeutung für Kommunen
Vgl BDSG 1990 Anlage (zu § 9 Satz 1); besonders Sätze (4) und Nachsatz. [2]
Bundesdatenschutzgesetz (BDSG)
Anlage (zu § 9 Satz 1) (Fundstelle des Originaltextes: BGBl. I 2003, 88; bzgl. der einzelnen Änderungen vgl. Fußnote) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
.