31. Sitzung der Arbeitsgruppe Recht und Sicherheit Ergebnisprotokoll Datum: 12. Dezember 2018, 9.30h Ort: BMDW, Vordere Zollamtsstraße 5, 1030 Wien, Zi. 307 Inhaltsübersicht Top 1: Tagesordnung 1 Top 2: Internetdomainverwaltung 1 Top 3: Datensicherheitsmaßnahmen für Webanwendungen 1 Top 4: Common Audit Trail 2 TOP 5: Allfälliges 2 Top 1: Tagesordnung Tagesordnung Top 2: Internetdomainverwaltung Das Dokument „Internetdomainverwaltung gv.at Naming- und Domainregistrierungs-Policy“ 1.4.0 soll finalisiert werden. Hr. Schwarz, BMDW, wird dazu an der Sitzung teilnehmen. Ergebnis: Das Dokument wurde intensiv besprochen. Herr Schwarz finalisiert das Dokument und wird danach an die AG-Leiter weiter gegeben. Beilage: Dokument domaingvat wird am Ref-Server nachgereicht Top 3: Datensicherheitsmaßnahmen für Webanwendungen Das Dokuments „Datensicherheitsmaßnahmen für Webanwendungen“ soll finalisiert werden. Ergebnis: Dokument wurde durch Herrn Wittmann fertiggestellt und soll noch in der AG per Mail für allfällige Anmerkungen mit Stellungnahmefrist 31.1.2019 ausgesendet werden. In der nächsten AG sollen die Anmerkungen noch eingearbeitet werden. Beilage: Entwurf pv-dasi 2.1.0 Top 4: Common Audit Trail Für die letzte Sitzung wurde zum Dokument „Common Audit Trail “ von Tirol ein neuer Entwurf erstellt. Die Bearbeitung des Dokuments soll fortgesetzt werden. Ergebnis: Es wird voraussichtlich in der nächsten AG ReSi eine upgedatete Version geben. TOP 5: Allfälliges Tirol ersucht um Status zur datenschutzfreundlichen ZMR-Abfrage (Behördenabfrage minus historische Wohnsitze) Ergebnis: BMI berichtet, dass die ZMR-Abfrage light existiert. BMI ersucht, dass „Portalbetreiber“ die Gov-Anwendungen für ihre „Zugriffsberechtigten Stellen“ einzuspielen haben, in der PAI (Portal Anwendungs Information) analog zu allen anderen Portalbertreibern, die gleichzeitig „Teilnehmer“ sind, zugriffsberechtigt werden KÖNNEN. Die Änderungsberechtigung ist Mandantenbasierend und bezieht sich jeweils auf das OKZ des Mandanten (ist also für Gemeindedienstleister wahrscheinlich nur bei „Magistraten“ relevant) Die Leseberechtigung erlaubt „von veröffentlichten Anwendungen“ alle relevanten Daten für die „Kundmachung“ abzufragen. Die Gewährung zumindest des Leserechtes würde die Kommunikation aller Portalbetreiber über Technische Informationen vereinheitlichen und somit um ein Vielfaches vereinfachen. Ergebnis: Informationen sollten grundsätzlich zur Verfügung stehen. Derzeit existiert keine Vereinbarung für solche Konstellationen. Bis auf weiteres werden Teilnehmer und Sub-Teilnehmer berechtigt. Auftragsverarbeiter können für diese Organisationen einschreiten. Bildungsdirektionen haben nun eigene VKZ bekommen: Unterzeichnung PVV erforderlich? Ergebnis: PVV soll im Zuge der Erstellung der Geschäftsordnung der Bildungsdirektionen unterzeichnet werden. Nächster Termin: 21.3.2019, 9.30 -12 Uhr, Vordere Zollamtsstr. 5, Zi. 300, 1030 Wien (der ursprünglich avisierte Termin musste wegen der gleichzeitig stattfindenden BLSG verschoben werden.)