Sehr geehrter ****************,

vielen Dank für Ihr Schreiben vom 19.05.2023. Das Schreiben vom 03.11.2022 und frühere liegen mir vor.

Im Rahmen der Anhörung möchte ich in der Reihenfolge und Gliederung unter II. Ihres Schreibens vom 10.05.2023 Stellung nehmen wie folgt:

1. Zur Einhaltung der  Formvorschrift von Artikel 15 Abs. 3 Satz 3 DSGVO

Zum Zeitpunkt meiner ersten Beschwerde am 31.08.2022 lag mir lediglich eine (unvollständige) Auskunft auf Papier vor. Eine Auskunft in elektronischer Form – Daten-CD – hat das Bundesministerium des Inneren und für Heimat (BMI) erst danach zugesandt. Dass eine Daten-CD die Formvorschrift erfüllt ist Konsens, aber ich halte es für falsch, wenn Sie Verantwortlichen zubilligen Datenschutzverstöße nachträglich zu heilen, wie Sie das mit „Das BMI hat die Formvorschrift zumindest durch Übersendung einer Daten-CD mit Schreiben vom 23. September 2022 eingehalten“ ausdrücken. Wenn Sie keinen Datenschutzverstoß zum Beschwerdezeitpunkt attestieren wollen, dann gibt es für Behörden, die wegen §43 Abs. 3 BDSG sowieso keine Strafte befürchten müssen, überhaupt keinen Anreiz datenschutzkonform zu agieren, denn man kann auch noch nach Beschwerde nachbessern, ohne dass der Verstoß als solcher bezeichnet und gerügt wird.

In meinen Augen lag am 31.08.2022 ein Verstoß gegen Artikel 15 Abs. 3 Satz 3 DSGVO klar vor.

2. Zur Einhaltung von §20 Personalausweisgesetz (PAuswG)

§20 Abs. 2 Personalausweisgesetz hat sich in der Tat geändert. Vor dem 15.07.2017 enthielt §20 Abs. 2 die Fassung "Außer zum elektronischen Identitätsnachweis darf der Ausweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden." Keine Aussage zu Kopien, und im Zusammenhang mit dem unveränderten Abs. 1 der sich nur auf den Personalausweis selbst – nicht auf Kopien – bezieht, ist der Schluss erlaubt, dass Kopien oder Scannen vorher nicht erlaubt war (so z.B. auch VG Hannover, Urteil vom 28.11.2013 - 10 A 5342/11 und auch die Gesetzesbegründung für die neue Version, Bundestagsdrucksache 18/11279, Seite 27). Dagegen enthält die aktuelle Fassung eine Zustimmungsregelung: „Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, ...“ Auch ist offensichtlich, dass die bayrischen Kollegen die aktuelle Fassung vom 15.07.2017 im Blick hatten, denn sie schreiben „Die Anforderung unterliegt jedenfalls den in § 20 Abs. 2 Personalausweisgesetz und § 18 Abs. 3 Paßgesetz genannten Grenzen. Danach muss insbesondere sichergestellt sein, dass eine Kopie dauerhaft als solche erkennbar ist.“, was dem Text nach nur auf die neue Fassung passt. Wenn Sie dennoch zu einer anderen Rechtsauffassung kommen wie die bayrischen Kollegen, dann sollten Sie vielleicht ein Verfahren einleiten, um Kohärenz im Sinne von Artikel 63ff DSGVO herbeizuführen.

Das BMI hat mich nicht um Zustimmung gebeten, sondern schreibt am 11.07.2022 „Um sicherzugehen, dass evtl. hier gespeicherte personenbezogene Daten zu einem Antragsteller auch auf die antragstellende Person zutreffen, ist neben Ihrem Namen, Vornamen, ggf. Geburtsnamen und Ihrer vollständigen Anschrift auch die Vorlage einer Kopie des Personalausweises, aus der zweifelsfrei Ihre Meldeanschrift ersichtlich ist, unabdingbar.“ Das erfüllt in meinen Augen nicht die Anforderungen an die Freiwilligkeit einer Einwilligung nach Art. 7 DSGVO, und auch wenn die oben genannte Bundestagsdrucksache 18/11279 schreibt, es sei keine Einwilligung im datenschutzrechtlichen Sinne gemeint, dann kann die eher nötigende Formulierung „unabdingbar“ nicht zum Wort „Zustimmung“ passen. Auch sind nach meinem Verständnis der DSGVO Betroffenenrechte nicht an Gegenleistungen des Betroffenen die über eine angemessene Identifizierung hinausgehen geknüpft. Dass eine Identifizierung nur mit Personalausweiskopie möglich ist hat das BMI nicht dargelegt. Damit verstößt das BMI sowohl gegen §20 Abs. 2 Personalausweisgesetz als auch gegen das Erfordernis einer Begründung in Artikel 12 Abs. 6 DSGVO, insbesondere auch weil auch Sie unter 8. nach meinem Verständnis zum Ergebnis kommen, dass es der Personalausweiskopie gar nicht bedurfte und damit keine Rechtsgrundlage für die Anforderung bestand.

Da ich bisher nicht ausdrücklich Beschwerde wegen Verstoß gegen Artikel 12 Abs. 6 DSGVO eingelegt habe, möchte ich das an dieser Stelle nachholen.

3. Zur Zulässigkeit einer „starken“ Identifizierung und Authentifizierung mit eID/Elster

Ich gebe Ihnen Recht, dass ich in diesem Fall nicht betroffen bin. Ich habe in meiner Email vom 01.10.2022 auch lediglich Kommentare zur fragwürdigen Rechtsposition des BMI abgegeben und damit Beschwerdeinhalte lediglich konkretisiert, keine neue Beschwerde eingereicht, und richtigerweise haben Sie diese Email auch nicht im ersten Abschnitt unter I. aufgezählt. Allerdings denke ich schon, dass der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hier klar Stellung beziehen könnte, im Hinblick auf §19 Abs. 2 TTDSG auch sollte, und in der Stellungnahme zum Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) auch schon getan hat.

Auch in die von Ihnen am Ende Ihres Schreibens vom 10.05.2023 angesprochene Überprüfung und Neuordnung gehört das meines Erachtens hinein, und auch in die „grundsätzliche Bewertung“ die Sie Christina Franke am 12.04.2023 in 16-206 II#1329 versprochen haben.

4. Zur gestuften Auskunftserteilung

Der Begriff „gestufte“ Auskunft – oder englisch „layered“ – taucht in der DSGVO nicht auf. Auch das Kurzpapier Nr. 6 Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO der Datenschutzkonferenz definiert ihn nicht wirklich – ich lese dort vor allem einen Prüfschritt heraus, ob überhaupt personenbezogene Daten verarbeitet werden vor der eigentlichen Auskunftserteilung. Damit will ich gar nicht ausdrücken, dass eine anders gestufte Auskunft nicht zulässig sein soll. Allerdings muss bei einer gestufte Auskunft nach der Verantwortliche klar kommunizieren, dass er eine gestufte Auskunft erteilen möchte und zunächst um Konkretisierung bitten, welche Informationen oder Kopien gewünscht wird, wobei die Antwort „Alles“ akzeptieren werden muss.

Genau das schreibt auch der Europäische Datenschutzausschuss (EDSA) in der von Ihnen genannten “Guidelines 01/2022 on data subject rights - Right of access (Version 2.0)” auf Seite 3 “It must also assess whether the request refers to all or only parts of the data processed about the data Subject”, auf Seite 4 “Unless explicitly stated otherwise, the request should be understood as referring to all personal data concerning the data subject and the controller may ask the data subject to specify the request if they process a large quantity of data.” und in der von Ihnen genannten Randnummer 147 “For the use of layered approach to be considered as an appropriate measure, it is necessary that the data subject is informed at the outset that the information under Art. 15 is structured into different layers and provided with a description of what personal data and information that will be contained in the different layers”.

Leider ist es der Regelfall in der Praxis, dass eine unvollständige Auskunft erteilt wird und erst danach, oft erst im Beschwerdeverfahren, eingewandt wird, es handle sich um eine gestufte Auskunft. Diesen Regelfall halte ich für nicht im Einklang mit der Guideline und einen eindeutigen Datenschutzverstoß, denn Betroffene können oft gar nicht erkennen, ob die Auskunft unvollständig war und sind durch dieses Vorgehen an einer Prüfung im Sinne von Erwägungsgrund 63 gehindert.

In meiner Email vom 08.07.2022 an das BMI schrieb ich „ich hätte gerne eine vollständige Auskunft nach Artikel 15 I und III DSGVO aller beim BMI über mich gespeicherten Daten.“ Es kann für einen der deutschen Sprache mächtigen Menschen damit eigentlich kein Zweifel daran bestehen, dass auch eine Datenkopie und alle Daten gemeint sind. Die Auskunft des BMI vom 17.08.2022 enthielt nur Angaben nach Art. 15 Abs. 1 sowie die Überschriften der Akten, jedoch keine Inhalte, die einer Kopie entsprechen würden. Weder der Begriff gestufte Auskunft noch sonst eine Bitte zur Konkretisierung ist in dieser Auskunft enthalten. Mein Nachfassen vom 23.08.2022 hat das BMI nicht beantwortet, so dass ich am 31.08.2022 Beschwerde beim BfDI eingereicht habe. Auch hier lag am 31.08.2022  klar ein Datenschutzverstoß wegen unvollständiger Auskunft und nicht nur wegen nicht fehlender Fristeinhaltung vor, dem noch nicht einmal durch Nachlieferung im Laufe des Beschwerdeverfahrens abgeholfen wurde. Ich verweise auf Nr. 1, 6, und 7 statt alle Argumente zu wiederholen.

5. Zur Sicherheit der Verarbeitung bei Übermittlung der Auskunft, Dateiformat

Ich hätte mich nicht beschwert, wenn das BMI die Dokumente unverschlüsselt und einzeln auf CD gebrannt und per Post geschickt hätte. Auch mein Vertrauen in das Briefgeheimnis – nicht in die Zuverlässigkeit der Postdienste – ist größer als in das Fernmeldegeheimnis bei der Telekommunikation. Allerdings sehe ich die Gefahr, dass sich nicht Best Practices sondern Chaos etabliert, wenn die zuständigen Aufsichten nicht klar Position beziehen und schlechte Praktiken auch klar als solche benennen. Wollte Professor Kelber nicht einen Beitrag leisten? Er schrieb im 31. Tätigkeitsbericht, Seite 84 „Wirksamer Datenschutz setzt damit auch entsprechende Digitalkompetenzen bei allen Akteuren sowie ein Bewusstsein für den Schutz der eigenen Daten voraus. Hier werde ich mich weiterhin sowohl für einfache und verständliche aber sichere Systeme als auch für ein breiteres Datenschutzbewusstsein einsetzen.“

Zur Digitalkompetenz gehört unbedingt das Wissen aller Akteure – Verantwortliche und Betroffene – darüber, dass

• Schlüssel und Information nie den gleichen Weg nehmen dürfen,
• einfach zu erratende Bestandteile nicht in Passwörter oder Schlüssel gehören,
• zumindest Vorsicht angesagt ist, wenn ich ein Programm öffnen oder installieren soll.

Wenn der BfDI hier keinen Datenschutzverstoß durch das BMI feststellt, dann wird das auf lange Sicht nichts mit „einfach, verständlich, sicher“.

Auch frage ich mich, wieso Sie mich erst als Betroffenen einstufen wollen, wenn das Risiko Schadcode eingetreten ist. Schon dass ich darüber nachdenken musste, wie ich mich vor dem potentiellen Angriff – das ist angesichts von Berichten und Diskussionen zum BKA- oder Bundestrojaner nicht abwegig – schützen kann macht mich in meinen Augen zum Betroffenen, und angesichts der Definition der betroffenen Person in Artikel 4 Abs 1 Nr. 1 DSGVO und den Verpflichtungen des Verantwortlichen aus Artikel 5 Abs. 1 lit. f wüsste ich nicht, warum ich nicht betroffen sein oder keine Beschwerde dazu einreichen können soll.

6. Zur Einhaltung der Auskunftsfrist

Auch hier darf ich einwenden, dass Sie mit nichts-tun dem Schlendrian in deutschen Amtsstuben Vorschub leisten. Mir fällt immer häufiger auf, dass Behörden oft erst nach Ablauf der gesetzlichen Frist reagieren, auch der BfDI selbst macht da leider keine Ausnahme, sonst hätte ich in diesem Verfahren nicht Untätigkeitsklage gegen den BfDI einreichen müssen. Dabei sieht die DSGVO sogar eine Möglichkeit der Fristverlängerung vor – aber dafür muss der Verantwortliche halt auch eine Begründung nach Artikel 12 Abs. 3 Satz 3 DSGVO liefern. Von einer auch nur näherungsweisen Einhaltung der Frist durch das BMI auszugehen, wenn die Auskunft nach fast einem Jahr immer noch nicht vollständig ist – das ist schon reichlich absurd.

7. Zur Vollständigkeit der Auskunft

Hier lese ich heraus, dass Sie mir sowohl hinsichtlich der Unvollständigkeit als auch der erforderlichen Begründung beim Schwärzen Recht geben. Vielen Dank dafür.

Allerdings darf ich anmerken, dass es auf die Namensnennung nicht ankommt, denn identifizierbar im Sinne von Art. 4 Nr .1 DSGVO war ich auch durch den Beschwerdeinhalt (s.a. Erwägungsgrund 26 Satz 2ff).

8. Zur Erforderlichkeit der Anforderung einer Ausweiskopie

Dem letzten Satz auf Seite 12 oben dieses doch sehr langen Abschnittes entnehme ich, dass auch Sie zum Ergebnis kommen, die Anforderung der Ausweiskopie war unnötig und damit liegt – siehe auch oben zu 2. – ein Datenschutzverstoß vor. Sollte ich das missverstanden haben bitte ich um Klarstellung. Allerdings darf ich dann auch gleich auf die beigefügte Stellungnahme Ihrer Kollegin aus Niedersachsen hinweisen, die mir Christina Franke überlassen und auch Ihnen zugesandt hat, und die nachvollziehbar darlegt, dass eine Ausweiskopie ungeeignet zur Identitätsfeststellung ist. Und wenn sie nicht geeignet ist, kann sie erst recht nicht erforderlich sein.

Vielen Dank und viele Grüße

Joachim Lindenberg