Sehr geehrter **********,

ja, die Briefe kamen beide gestern an.

Sehr geehrter ***********,

ich muss meine Beschwerde erweitern wegen Verstoß gegen Artikel 32 DSGVO:

a) Übermittlung von Daten und Schlüssel über den gleichen Kanal (Post - PIN). Das ist eine Bad-Practice im Bereich Sicherheit.

b) Das Passwort unter Verwendung des Datums hat keine wirklich hohe Entropie. Aber man muss ja schon dankbar sein, wenn nicht das Geburtsdatum verwendet wird. Ich lasse das auch ungeschwärzt, weil es ohne die DVD wertlos ist.

c) Verwendung eines unsignierten Executables, das mir die Prüfung auf Authentizität und Schadcode-Freiheit erschwert, bei einem unbedarften Bürger geeignet wäre ihm Schadcode unterzuschieben.

Ein Nutzer von Macintosh, Linux oder anderen Betriebssystemen als Windows hätte mit der Ausführung der Exe-Datei auch Probleme, insofern ist das in meinen Augen auch ein Verstoß gegen Artikel 15 III Satz 3 „gängiges elektronisches Format“. Zumal die Größe der unkomprimierten Daten lediglich 36MB beträgt und daher eine Komprimierung für das Speichern auf einer DVD (ca. 4,5GB) gar nicht erforderlich war.

In den Dokumenten finde ich reichlich schwarz, deutlich mehr und großflächiger als ich zum Schwärzen von Mitarbeiternamen zur Erfüllung von Artikel 15 IV erwartet hätte. Ich vermisse für diese Schwärzungen eine Begründung, die Artikel 23 DSGVO bzw. §34 II BDSG gerecht wird. Ich füge für den BfDI mal das Dokument zu Youtube bei. Und genau in diesem Dokument sowie in einigen anderen bei denen ich um Vermittlung durch den BfDI gebeten oder Datenschutzbeschwerde beim BfDI eingereicht habe, vermisse ich alle Kommunikation, die nicht mit mir sondern über mich bzw. meine Eingaben stattgefunden haben. Da es sich bei der Kommunikation über mich bzw. meine Eingaben auch um personenbezogene Daten von mir handelt, ist die Auskunft nach Artikel 15 III immer noch unvollständig.

Vielen Dank und viele Grüße

Joachim Lindenberg

P.S.: zumindest eingangsseitig unterstützt bund.de RFC 7672 aka BSI TR 03108. Ausgangsseitig ist das leider nicht klar.

Z II 4-20108/4#87

Sehr geehrter Herr Lindenberg,

mit Poststempel vom 26. September 2022 gingen eine Daten-CD-ROM und getrennt davon in separatem Schreiben ein Brief mit einem Passwort an Sie heraus an folgende Adresse: Joachim Lindenberg, Heubergstraße 1a, 76228 Karlsruhe. Ich hoffe, beides hat Sie inzwischen erreicht.

Mit freundlichen Grüßen

i.A. *************

_____________________________________________________
Bundesministerium des Innern und für Heimat
Referat Z II 4 Justiziariat – Zentralstelle Operativer Datenschutz

Alt-Moabit 140, 10557 Berlin  (Raum B.5.225)
Telefax:   030 / 18 681 – 55038
ZII4@bmi.bund.de 

Sehr geehrter **********,

Sie prüfen noch, ob das BMI die genannten Emailstandards unterstützt? Eingetroffen ist jedenfalls bisher nichts, auf keinem Kanal.

Sehr geehrter Herr ****, sehr geehrter ***********,

aufgrund meiner aktuellen Auskunft des BfDI liegt mir der Schriftverkehr zwischen dem BfDI und BMI bis um den 14.09. vor. Zum Schreiben vom 07.09.2022 möchte ich folgende Kommentare abgeben:

• Die Berufung auf EuGH-Urteil vom 17. Juli 2014 in den Rechtssachen C-141/12 und C-372/12 (https://curia.europa.eu/...) wird meines Erachtens dem völlig anderen Text von Artikel 15 DSGVO und der dort in Absatz 3 expliziten Erwähnung einer Kopie der Daten nicht gerecht. Leider wird auch vom BfDI immer noch in einigen Dokumenten „gestufte Auskunft“ verwendet, bei der in meinen Augen unklar ist, was damit gemeint ist und die Absatz 3 nicht berücksichtigt. Genau deswegen erwähne ich Absatz 3 inzwischen regelmäßig.
• Artikel 12 Absatz 3 sieht zwar eine Fristverlängerung vor, verlangt aber in Satz 3 eine Begründung und Mitteilung an den Betroffenen. Die hat erst stattgefunden als ich nachgefragt habe.
• Hinsichtlich der Unvollständigkeit der Informationen nach Artikel 15 Absatz 1 und insbesondere „Artikel 15 I lit. c und lit. g“. Im Auskunftsschreiben werden zwar Angaben zum Zweck (lit. a) und der Speicherdauer (lit. d), aber keine zur Weitergabe (lit. c) und Herkunft (lit. g) gemacht. Da ich weiß, dass eine Kommunikation zwischen BMI und BfDI zu IFG Anfragen und Beschwerden stattfand, darf ich diese Angaben als unvollständig ansehen.
• Da die Kommunikation zwischen dem BMI und mir vorher elektronisch und überwiegend über FragDenStaat stattfand, ist mir ein Rätsel was der Personalausweis oder auch eID/Elster an Mehrwert zur Identifizierung bringen soll. Eine Prüfung, ob die antragsstellende Person auch über die anderen bereits bekannten Emailadressen erreichbar ist, wäre meiner Meinung nach deutlich sinnvoller, denn der Fragesteller auf FragDenStaat hätte durchaus meine Identität aus dem Impressum oder Telefonbuch übernehmen können.
• Zur genannten Alternative Bundesportal: generell eine starke Identifizierung und Authentifizierung mit eID/Elster vorzusehen – wie in China – ist meiner Meinung nach nicht im Sinne der EU-Grundrechtecharta oder Datenschutzgrundverordnung.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **********,

wenn Sie sicherstellen können, dass vom BMI eine qualifizierte Transportverschlüsselung aka BSI TR 03108 aka RFC 7672 – alles nachzulesen auf BLOCKEDblog[.]lindenberg[.]one/EmailverschlusselungBLOCKED - verwendet wird, dann gerne direkt per Email. Andernfalls bitte als verschlüsseltes Zip per Email und das Passwort per Post.

Vielen Dank und viele Grüße

Joachim Lindenberg