...
Ja. Eine vollständige Zurverfügungstellung des IT-Sicherheitskonzepts für die Kommunen ist im IT-Sicherheitsmanagement des ZIT-BB und auch der AKDB aber nicht vorgesehen. Der Grund dafür ist vor allem die Vertraulichkeit der im Informationssicherheitsmanagementsystem hinterlegten Informationen. Das gilt insbesondere vor dem – auch Praktikabilitäts- und Zweckmäßigkeitsfragen aufwerfenden – Hintergrund, dass an dem Online-Dienst zumindest mittelbar eine Reihe von IT-Systemen beteiligt sind.
Die vollständige Zurverfügungstellung eines IT-Sicherheitskonzepts ist datenschutzrechtlich zudem nicht erforderlich. Weder aus den Vorschriften zur Auftragsverarbeitung in Art. 28 DSGVO noch aus den Pflichten des Verantwortlichen geht die konkrete verpflichtende Form des Nachweises und der Kontrolle der technischen und organisatorischen Maßnahmen beim Verantwortlichen hervor. Nach hiesiger Auffassung genügt eine Zusammenfassung der für den Online-Dienst wesentlichen technischen und organisatorischen Maßnahmen, wie sie bereitgestellt wurde, in Verbindung mit der vertraglich bereits sichergestellten Möglichkeit weitergehender Kontrollen, etwa im Rahmen einer Einsichtnahme.
Gibt es einen Schutz vor dem Hochladen falscher Dateiformate und schadhaften Antragsanlagen bzw. Schadcode für den Online-Dienst?
...