Verwaltungsportale – was macht die Aufsicht?

Aktualisierung 07.10.2022: Bei Akteneinsicht (Teil der Datenkopie) mussten wir die Jas zu teilweise abwerten. Es gab im Arbeitskreis Verwaltung Diskussionen über die Beschwerden die nicht beauskunftet wurden. Auch ohne Namensnennung sind das aber personenbezogene Daten. Richtig traurig ist, wie einige Aufsichten – Bayern, Brandenburg, Niedersachen – versuchen Transparenz zu verhindern. Außerdem jetzt mit einer Beschreibung und Tabelle über die Beschwerdeinhalte. Die Kommunikation deckt jetzt alle Aufsichten ab und wird kontinuierlich ergänzt.

Im Oktober und November 2021 hat Christina Franke Beschwerde über alle damals existierenden Verwaltungsportale eingereicht. Sie hat jetzt Auskunft, Akteneinsicht und Standmitteilung eingefordert, mit folgender Email:

Ausversehen hat Christina in der ersten Runde eine falsche Postleitzahl angegeben, 76228 statt 76137. Bei gleicher Straßenanschrift in der selben Stadt eine andere Postleitzahl – die Post findet den Briefkasten (außer vielleicht in Berlin). Auch die Emailadresse war eine andere, als die von FragDenStaat verwendete, denn FragDenStaat generiert für jede Anfrage eine andere Emailadresse um die Antworten zuordnen zu können. Damit war die Identifikation von Christina nicht ganz einfach, aber alle Aufsichten hatten aufgrund der Beschwerde die richtige Anschrift. Immerhin, nach einem Personalausweis wurde Christina nie gefragt.

Inhalt

• Ergebnisse im Überblick
  • Auskunftsverfahren
  • Beschwerde und Standmitteilung
  • Beschwerdeinhalt und Rückmeldungen
• Fragen an die Aufsichten
• Kommunikation in Auszügen
  • Presseanfragen ohne Antwort
  • Bund
  • Baden-Württemberg
  • Bayern
  • Berlin
  • Brandenburg
  • Bremen
  • Hamburg
  • Hessen
  • Mecklenburg-Vorpommern
  • Niedersachsen
  • Nordrhein-Westfalen
  • Rheinland-Pfalz
  • Sachsen
  • Sachsen-Anhalt
  • Schleswig-Holstein
  • Thüringen

Ergebnisse im Überblick

Die Ergebnisse haben wir gemeinsam auf dieser Seite zusammengetragen. Die folgende Tabelle fasst den Stand der ersten Auskunft zusammen, die mit einem Farbcode zusammenfasst, ob unsere Erwartung hinsichtlich der Anfrage eingehalten wurde. Erläuterungen direkt unter der Tabelle.

Mit zusammenfassenden Farben für die Standmitteilung haben wir uns sehr schwer getan. Grün oder gelb gab es, wenn vor Christinas Auskunftsanfrage etwas unternommen wurde.

Auskunftsverfahren

Ist in der Tabelle nicht schon genug rot, es gibt noch mehr zu beanstanden. Für eine Tabelle zu viele unterschiedliche Probleme:

• Niedersachsen denkt zuerst, Baden-Württemberg sei zuständig. Berlin denkt, Frag-Den-Staat bzw. die Open-Knowledge-Foundation müsse Auskunft erteilen. Solche Hinweise mögen in Ordnung sein, wenn man andernfalls eine reine Negativauskunft erteilen würde, aber man sollte doch erstmal prüfen ob man wirklich nichts selbst gespeichert hat.
• In Artikel 12 III steht ... unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Nach gut einem Monat (09.09.) fehlen die Auskünfte von Berlin, Bremen, Mecklenburg-Vorpommern, Rheinland-Pfalz, und Thüringen. Auch Hamburg hat das Ziel auch knapp verfehlt, aber den Geschwindigkeitsvorteil der Email genutzt. Fast die Hälfte der Aufsichten ignoriert die vorgegebene Frist.
• Wie oben angedeutet, die Identifikation war ein Problem. Erkennbar gestört hat sich erstmal gar keine Aufsicht. Die Auskunft des BfDI konnte wegen falschen Adressen zweimal nicht zugestellt werden, soll aber noch kommen. Wir können daher nichtmal ausschließen, dass auf der avisierten CD eine Negativauskunft ist – das wäre bei abweichenden Kontaktdaten eine valide Antwort. Bayern hat tatsächlich beide Anschriften und beide Emailadressen beauskunftet. Hamburg hat eine weitere Anschrift erfunden.
• Bis auf Bund, Baden-Württemberg, Hamburg, und Niedersachsen ignorierten alle Artikel 15 III S.3 Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. Die anderen Auskünfte kamen per Post auf Papier. Auf Nachfrage reagierten die meisten bisher nicht, Nordrhein-Westfalen hat eine abenteuerliche Begründung geliefert, Hessen hat die Auskunft dann ohne qualifizierte Transportverschlüsselung per Email geschickt. Auch Hamburg schickt die Auskunft ohne auf durchgehende Transportverschlüsselung zu achten. Würden wir die Auskunft als sensible Daten von Christina einstufen, dann würden wir das als Verstoß gegen Artikel 32 auffassen, so ist es nur peinlich für die Aufsicht. Da die Beschwerden öffentlich waren, werden in erster Linie die Rechte der beteiligten Mitarbeiter verletzt. Überraschend ist das nicht, auf Emailsicherheit bei öffentlichen Einrichtungen finden sich nur drei Aufsichten mit qualifizierter Transportverschlüsselung, und wie eine Emailwechsel von Joachim mit dem BfDI ergeben hat, die Mitarbeiter wissen das gar nicht. Und hier ist es noch etwas komplizierter, aus dem Email-Header – der wird bei der Übertragung um Informationen der beteiligten Emailserver angereichert – ergibt sich, dass einer der Dataport-Server nicht verschlüsselt. Dass Dataport Sicherheit nicht ernst nimmt – natürlich keine Überraschung.
• Niedersachsen fragt drei Tage vor Fristablauf per Email nach einem PGP-Schlüssel. Auch Bremen und Schleswig-Holstein würden einen PGP-Schlüssel per Email akzeptieren. Über eine Aufsicht kann man sich leider nirgends beschweren, ansonsten gilt aber die gleiche Argumentation wie in Bundesamt für Unsicherheit will oder akzeptiert Zertifikat per Email. Schlüssel und Inhalte sollen nie auf dem gleichen Weg übermittelt werden. Christina hat auf diese Bitten verschlüsselte Zips und Passwort per Post vorgeschlagen oder bei Schleswig-Holstein das Kontaktformular benutzt und damit ein Passwort vorgeschlagen.
• Erwägungsgrund 63 S.4 wird von allen Aufsichten ignoriert: Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
• Baden-Württemberg schickt keine Datenkopie, sondern verweist stattdessen auf die Anfrage auf FragDenStaat. Das ist weder korrekt noch vollständig, denn auch Baden-Württemberg hat bestimmt die Mails über den Arbeitskreis bekommen und hätte die beauskunften müssen. Oder es fehlen Angaben dazu, dass Mails des Arbeitskreises früher gelöscht werden. Im übrigen dokumentiert diese Auskunft dann Untätigkeit.
• Einige Aufsichten haben keine Akteneinsicht gewährt, obwohl in den Informationen nach Artikel 15 I oft unklar bleibt, ob die Akten auf Papier (Einsichtsrecht dann nur nach §29 VwVfG bei der Behörde, hilfsweise nach dem jeweiligen IFG, aber keine Pflicht, dass gescannt wird) oder elektronisch geführt werden (dann sind die Akten unserer Auffassung nach personenbezogene Daten die auch elektronisch zu beauskunften sind). Einige Aufsichten, z.B. Schleswig-Holstein, lassen erkennen, dass Akten auf Papier mit Kommunikation elektronisch gemischt wird – da wäre dann der elektronische Anteil vollständig zu beauskunften. Seltsamerweise bekam Christina dann auch Teile der Papierakten gescannt, aber sie bekam oft keine elektronische Kommunikation mit den Verantwortlichen zu sehen. Daher findet sich in der Tabelle oft die Kombination Akteneinsicht: Ja/Kommunikation mit dem Verantwortlichen: Nein – hat die Aufsicht mit dem Verantwortlichen kommuniziert ohne das "einsehbar" zu machen, dann müssten wir ggfs. die Farben umdrehen.
• Mit Ausnahme von Brandenburg, Niedersachsen, und Schleswig-Holstein hat keine der Aufsichten vollständige Angaben zu Artikel 15 I lit. g und teilweise lit. c gemacht. Wie sich aus den Auskünften von Hamburg, Niedersachsen, Sachsen (Vorgang 3-1468/13/4), und Schleswig-Holstein ergibt, haben die Aufsichten untereinander Informationen zu unseren Beschwerden ausgetauscht, in denen auch unsere Namen auftauchen. Mit Ausnahme von Hamburg, Sachsen und Schleswig-Holstein sind damit auch alle Datenkopien nach Artikel 15 III unvollständig, denn nicht nur die Kommunikation mit sondern auch über den Betroffen oder seine Beschwerden sind personenbezogene Daten.
• War Sachsen gerade gut, weil vollständig, dann müssen wir feststellen, dass Sachsen nichts von Anonymisierung zu verstehen scheint, wie Seite 11 von Vorgang 3-2003/15/62 andeutet. Brandenburg hat auch beauskunftet, dass man die anderen Aufsichten nach lit. c informiert habe, aber die Angaben zu lit. g fehlen.
• Bayern hat die Akteneinsicht mit Hinweis auf Artikel 20 II BayDSG abgelehnt. Dass Bayern das Grundgesetz nicht so ernst nimmt und dem auch nie zugestimmt hat – bekannt. Akteneinsicht ist in einem Rechtsstaat ein Grundrecht, um seine Rechte auch gegenüber dem Staat durchsetzen zu können, eine derart weitgehende Einschränkung der Akteneinsicht ist unserer Meinung nach auch nicht vereinbar mit Artikel 78 DSGVO. Hessen beruft sich dagegen auf §29 II HVwVfG – aber wenn das richtig ist, dann besteht unserer Meinung nach Handlungsbedarf nach Artikel 58 DSGVO.
• Eine Standmitteilung nach Artikel 77 II i.V. mit Artikel 78 II DSGVO haben nur Brandenburg, Niedersachsen, Sachsen-Anhalt und Schleswig-Holstein geliefert. Die Entscheidung von Brandenburg enthält weder eine Rechtsbehelfsbelehrung noch ernsthafte Gründe warum man der Beschwerde nicht nachgegangen ist. Sachsen-Anhalt hat das Beschwerdeverfahren eingestellt, ohne Christina das überhaupt mitzuteilen – ein Verstoß gegen Artikel 77 II DSGVO und §41 VwVfG, und in einem Rechtsstaat ist das nicht akzeptabel. Niedersachsen und Schleswig-Holstein haben anscheinend begonnen, der Beschwerde nachzugehen, aber Details bleiben unklar. Bayern und Hamburg wollen die Standmitteilung separat schicken, eingetroffen ist bisher keine. Nordrhein-Westfalen hat die Beschwerde ignoriert, dann muss man natürlich auch keine Standmitteilung schicken.
• Bei Akteneinsicht wurden die Namen von Mitarbeitern, die bisher nicht nach außen in Erscheinung getretenen sind, in aller Regel nicht geschwärzt und damit – soweit das nicht im Arbeitsvertrag der Mitarbeiter anders geregelt sein sollte – gegen Artikel 15 IV verstoßen. Auch bei Hamburg mussten wir nachschwärzen.
• Auch nur bei Akteneinsicht feststellbar: mit dem Verantwortlichen wurde in kaum einem Fall kommuniziert oder es hat rechtswidrig keinen Eingang in die Akten gefunden. Ausnahmen: Hamburg und Sachsen, dazu mehr unten.

Beschwerde und Standmitteilung

Da einige Aufsichten – in unseren Augen rechtswidrig – weder Akteneinsicht noch Standmitteilung geliefert haben, bezieht sich das folgende auf die Aufsichten bei denen das vorliegt. Bei den anderen ist leider zu erwarten, dass es genauso aussieht und man genau deswegen beides nicht geliefert hat. Ganz offensichtlich ist das bei Baden-Württemberg, der LfDI hat auch Joachims Beschwerde nicht bearbeitet (siehe Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – ein schwarzes Loch? und 0554.1-25/85).

Traurig aber wahr: fast alle Aufsichten haben die Beschwerde zumindest teilweise ignoriert, wegdiskutiert oder ausgesessen. In den Auskünften findet sich in erster Linie die Kommunikation mit Christina sowie im AK Verwaltung. Die von uns erwartete Reaktion auf eine Beschwerde wäre, eine Stellungnahme vom Verantwortlichen einzuholen – das hat in kaum einem dieser Beschwerdeverfahren stattgefunden. Besonders peinlich Nordrhein-Westfalen: man diskutiert intern, ob man die Beschwerde ignorieren kann. Sachsen fordert die Stellungnahme erst ein, nachdem Christina Auskunft, Akteneinsicht und Standmitteilung eingefordert hat, also 9 Monate nach Beschwerde. Hamburg diskutiert zwar die Datenschutzerklärung und gibt Christina da Recht, nicht aber die Sicherheitsprobleme wie fehlende Verschlüsselung bei Dataport – Die Beschwerde betrifft weitestgehend Einzelheiten, die derHmbBfDI nicht als datenschutzrechtlich problematisch beurteilt.

Nicht drücken sollten sich gerade die Dataportländer Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Sachsen-Anhalt, und Schleswig-Holstein. Denen liegen ja auch Beschwerden von Joachim vor, der die Sicherheitsmängel von innen kennengelernt hat – Dataport – kann man nur verpfeifen! Schleswig-Holstein scheint inzwischen eine Untersuchung eingeleitet zu haben, die aber vom Verantwortlichen verzögert wird.

Die einzige Aufsicht die offensichtlich aktiv geworden ist und dabei auch Sicherheitsmängel festgestellt haben muss ist Hessen. Was genau Hessen gefunden hat ist unklar, denn die Akteneinsicht wurde mit Hinweis auf §29 II HVwVfG abgelehnt, da die Akte IT-sicherheitsrelevante Informationen über das Verwaltungsportal enthält. Die Akteneinsicht könnte daher die ordnungsgemäße Erfüllung der Aufgaben der beteiligten Behörden beeinträchtigen. Beim Bekanntwerden des Inhalts der Akte sind zudem erhebliche Interessen des Landes betroffen und es bestehtdie Gefahr von Nachteilen für das Wohl des Landes. Das erinnert sehr stark an das Bundesamt für Unsicherheit, das auch zugeben musste, dass der Staat unsichere IT-Systeme betreibt. Gefährdet sind dabei aber nicht das Wohl des Landes sondern die Daten der Bürger. Wir können aber auch nicht ganz ausschließen, dass man dieses Ergebnis antizipiert hat und gar nicht mit dem Verantwortlichen kommuniziert wurde. Möglich ist auch, dass man nichts getan hat und missbräuchlich die Akteneinsicht verweigert.

Beschwerdeinhalt und Rückmeldungen

Die von Christina gemeldeten Probleme unterscheiden sich nach Portal. Bei allen hat sie unterstellt, dass im Rechenzentrum weder die Kommunikation noch die Speicherung von Daten verschlüsselt stattfindet – weil das im Grundschutz nur bei Schutzbedarf "hoch" als "SOLL", nicht aber als "MUSS" vorgesehen ist, und entsprechend selten umgesetzt wird – siehe Ist Verschlüsselung Pflicht – Grundschutz? Auch fordert §2 V S. 2 IT-Sicherheitsverordnung Portalverbund nur eine Absicherung auf Standard-Niveau, obwohl – soweit uns bekannt – Schutzbedarf "hoch" festgestellt wurde. Definitiv nicht konsequent umgesetzt wird Verschlüsselung von Dataport, da herrscht Klarheit (s. Dataport kann man nur verpfeifen!), und dass viele weitere Behörden auch VMware einsetzen und damit nicht konsequent authentifizieren und verschlüsseln kann man schon allein daran ablesen, dass viele Personaldienstleister auf Freelance inserieren Suche für meinen Kunden im öffentlichen Bereich einen VMware-Experten.

Zum Schutzbedarf lesen wir widersprüchliches: Das Vertrauensniveau bzgl. der Authentisierung stellt dabei nicht zwingend aufden jeweiligen Schutzbedarf bzgl. der Verwaltungsleistung ab (Brandenburg, 21.12.2021). Hamburg schreibt dazu: Im Auftragsverarbeitungsvertrag wurde ein grundschutzkonformer Betrieb auf der Basis der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegebenen BASIS- und STANDARD-Anforderungen festgeschrieben. ... Um einem erhöhten Schutzbedarf der verarbeiteten Daten Rechnung zu tragen, wurden zusätzliche Schutzmaßnahmen vereinbart. Dazu gehören u.a. Maßnahmen zur Verschlüsselung bei der Datenübertragung. (Hamburg, 06.07.2022). Allerdings sieht das damit angesprochene Security-Service-Level-Agreements (SSLA) Teil B, das in Hamburg wohl genauso aussieht wie in Schleswig-Holstein, nur Verschlüsselung bei der Übertragung über das Internet vor, und das ist eine Basis-Anforderung (NET.1.1 A7).

Während man über die Verschlüsselung im Rechenzentrum von außen nur spekulieren kann ist das bei den Sicherheitsfragen, schlechten Passwörtern, abweichender Domäne zwischen Portal und Email-Benachrichtigungen, dem Zwang zum Postfach und der Datenschutzerklärung anders. Das kann man bei der Registrierung beobachten. Sicherheitsfragen sind Unsinn (s. Sicherheit – Nein Unsinn!), auch wenn das BSI und die Aufsicht das anders beurteilen. Abweichende Domänen verwirren, Abweichungen auf dritter Ebene kann man aber tolerieren. Ob die Nutzung des Postfachs wirklich bei jedem Dienst freiwillig ist, und das auch wenn die Portale zusammengeschaltet werden – das wird man sehen müssen. In der Tabelle haben wir das nicht rot markiert, aber Rheinland-Pfalz zeigt, dass es auch anders geht.

Keines der Verwaltungsportale unterstützt RFC 7672 oder BSI TR 03108, keines der Verwaltungsportale erzwingt eine verschlüsselte Emailzustellung (siehe Emailsicherheit – der Test: Verwaltungsportale) und erfüllt damit die Anforderungen der Orientierungshilfe zur Emailverschlüsselung.

Dass die Portale in ihren Datenschutzerklärungen so unterschiedliche Angaben machen ergibt natürlich keinen Sinn. Das müsste eigentlich einheitlich Artikel 6 I lit. e DSGVO öffentliches Interesse mit Rechtsgrundlage Onlinezugangsgesetz (OZG) plus ggfs. weitere länderspezifische oder – nach Auswahl eines Dienstes – dienstspezifische Gesetze sein. Will man den Benutzer in irgendeiner Form tracken braucht man unserer Auffassung nach eine Einwilligung nach Artikel 6 I lit. a DSGVO, denn das in der Europäischen Richtlinie vorgesehene anonymisierte Tracking ist in der Praxis nicht realisierbar.

Die folgende Tabelle fasst die Probleme und Rückmeldungen zusammen. In der Kommentarspalte gab es rot, wenn die Beschwerde nicht als solche bearbeitet wurde, gelb wenn unklar blieb, was mit dem Verantwortlichen besprochen wurde. Danach müsste auch Hessen gelb gekennzeichnet werden, aber da scheint man ja wirklich etwas gefunden zu haben. Nur was man jetzt zu tun gedenkt – das bleibt im Dunkeln. Wirklich erfolgreich im Sinne von die Sicherheit ist gegeben oder wurde hergestellt war bisher keine der Beschwerden.

Fragen an die Aufsichten

Wir haben nachgefragt:

Zugegeben: die Formulierungen und insbesondere das abwimmeln und fast nie waren provokant und haben entsprechende Reaktionen ausgelöst. Sie treffen je nach Aufsicht natürlich auch unterschiedlich stark zu. Wie in unserer Tabelle und Text dargestellt wird, wurde (bisher) nur bei einer Beschwerde (Hessen) anscheinend etwas gefunden, aber auch bei der bleibt unklar, was gefundenwurde und was dagegen unternommen wird. Zwei Beschwerden wurden abgelehnt, eine ignoriert, eine irrte durchs Haus, im Ergebnis ohne dass der Verantwortliche eine Stellungnahme abgeben musste. Die anderen muss man als offen betrachten, und auch bei denen ist selten zu erkennen, wie ernsthaft der Beschwerde nachgegangen wird. Zumindest als Meinungsäußerung halten wir diese Formulierung daher für legitim. Bei einigen Reaktionen haben wir nach offiziellen Statistiken gefragt, denn dass Christina besonders Pech hatte lässt sich nicht ausschließen.

In vielen Reaktionen wurde wieder die Betroffeneneigenschaft von Christina in Frage gestellt, obwohl dazu schon in der allerersten Beschwerde stand Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass tatsächlich personenbezogene Daten in – aller Wahrscheinlichkeit nach – nicht gesetzeskonformer Weise verarbeitet werden." enthalten. Diese Beschwerde war in allen anderen zitiert und Christina hat das mehrfach, aber nicht in allen Fällen wiederholt.

Auch dass eine Kommunikation mit den Verantwortlichen stattgefunden hat wurde mehrfach eingewandt. Allerdings nach unserer Wahrnehmung oft sehr spät und nicht über alle Beschwerdepunkte. Insbesondere Fragen oder Diskussionen zu konsequenter Verschlüsselung waren selten sichtbar. Diese Kommunikation oder zumindest Hinweise darauf hätten wir schon durch eine vollständige Auskunft bzw. Akteneinsicht bekommen müssen, und dass wir mit der unzufrieden waren stand schon vor der Presseanfrage auf dieser Seite.

Unpräzise war auch, nur Artikel 78 und nicht auch Artikel 77 anzuführen. Artikel 77 II enthält das Recht auf Standmitteilung, Artikel 78 II die Frist von drei Monaten. Dass die Aufsichten entgegen Artikel 52 IV zu wenig Ressourcen haben wussten wir schon vorher, aber wurde von vielen bestätigt. Warum eigentlich?

Ein Ergebnis aus dieser Anfrage war, dass man sich in einer Arbeitsgruppe austauscht. Nach entsprechenden Protokollen und Kommunikation haben wir dann nachgehakt.

Nicht auf die Pressenanfrage geantwortet haben Baden-Württemberg, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt, und Thüringen. Alle anderen Reaktionen und auch Nachfragen sind im nächsten Abschnitt wiedergegeben.

Kommunikation in Auszügen

Aufgrund der Unmenge von Papier und Dokumenten und der Notwendigkeit diese zu schwärzen – wir nehmen das sehr ernst, scheitern aber manchmal daran, bei Handschrift zu erraten was diese bedeutet – ist es nicht praktikabel, alle Dokumente hier zu veröffentlichen. Die Namen der Datenschutzbeauftragten und der Pressesprecher haben wir nicht geschwärzt. Auskunft und Standmitteilung sind soweit vorhanden in der Tabelle oben verlinkt.