Von: DSB <DSB@sicher-im-netz.de>
Gesendet: 06.06.2024 10:31
An: Joachim Lindenberg <*****@lindenberg.one>, "DSB" <DSB@sicher-im-netz.de>
Cc: 'Datenschutz Berlin' <mailbox@datenschutz-berlin.de>
Betreff: AW: Auskunft nach Artikel 15 DSGVO - Geschäftszeichen: BlnBDI-222-26-7/2024-5
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre Nachricht. Wir sind der Auffassung, Art. 15 DSGVO erfüllt zu haben und stehen – wie Sie wissen – dazu auch im Austausch mit der Datenschutzbehörde. Sie haben über Art. 15 DSGVO hinaus kein Auditrecht oder Erklärrecht gegen uns.
Wir sehen allerdings, dass Sie interessiert sind. Wir werden uns Ihre Fragen ansehen und beantworten, soweit sie bei wohlwollender Auslegung noch unter Art. 15 DSGVO fallen.
Mit freundlichen Grüßen
*********
Von: Joachim Lindenberg <*****@lindenberg.one>
Gesendet: Freitag, 10. Mai 2024 17:17
An: DSB <DSB@sicher-im-netz.de>
Cc: 'Datenschutz Berlin' <mailbox@datenschutz-berlin.de>
Betreff: AW: Auskunft nach Artikel 15 DSGVO - Geschäftszeichen: BlnBDI-222-26-7/2024-5
Sehr geehrter **********,
vielen Dank für diesen zweiten Anlauf. Allerdings halte ich auch diese Auskunft für unvollständig:
- Die Unterscheidung zwischen Stammdaten, Registrierungsdaten 1. Und 2. Stufe erschließt sich mir nicht, und Sie beauskunften auch nur gemeinsam (Anlage 1). Haben Sie da verschiedene Kopien in der Datenbank oder was soll das?
- Nr. 5 – ich sehe keine Rechtsgrundlage dafür, dass Sie eine bereits erteilte aber noch gespeicherte Auskunft nicht in Kopie beifügen.
- Nr. 6 – es ist m.W. umstritten ob §34 Abs. 1 BDSG mit dem Unionsrecht vereinbar ist. Aber selbst wenn, auf welche gesetzliche Grundlage oder welche Satzung wollen Sie das stützen? Und mit der Unterlassung diese Frage zu beantworten haben Sie gegen §34 Abs. 2 Satz 2 verstoßen.
- Ich vermisse die Kommunikation mit der Aufsicht, denn auch dabei handelt es sich um personenbezogene Daten.
- B – Ihre Angaben zu den Empfängern sind zu unbestimmt. Ich vermute, dass Sie die Webseite bei Azure aka Microsoft betreiben, aber bei den anderen Empfängern möchte ich genauer wissen wer welche Daten warum erhalten haben soll.
- C – Ihre Angaben zur Speicherdauer sind zu unbestimmt.
- G – auch das halte ich für zu unbestimmt. „Dies schließt Daten ein, die DsiN in diesem Zusammenhang von Dritten erhalten hat, z.B. von Geschäftspartnern oder Mitarbeitenden.“ ersetzt auch nicht Ihre Informationspflichten nach Artikel 14 DSGVO.
- Anlage 1 enthält user_pass. Das ist vermutlich entgegen Ihrer Beschreibung ein Hash, aber ein Salt und eine Angabe eines Verfahrens kann ich nicht erkennen. Daher ist entweder die Auskunft unvollständig, oder Sie verstoßen gegen Artikel 32 DSGVO, denn bei der Speicherung von Passwörtern ist Salted-Hash das Minimum nach dem Stand der Technik.
- Anlage 2 ist mangels Stammdaten unverständlich, intransparent, und ich kann damit die Rechtmäßigkeit der Verarbeitung nicht beurteilen (Erwägungsgrund 63 DSGVO, Artikel 5 Abs. 1 lit a DSGVO)
- Sie Schreiben in der Einleitung unter 4. von Zertifikatsdaten. Ich kann diese aber in Anlage 2 beim besten Willen nicht erkennen.
Da Sie Rechenschaftspflichtig nach Artikel 5 Abs. 2 DSGVO sind darf ich anregen, dass sie ein Datenmodell vorlegen, idealerweise als UML-Klassendiagramm.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: DSB <DSB@sicher-im-netz.de>
Gesendet: Dienstag, 7. Mai 2024 13:10
An: Joachim Lindenberg <*****@lindenberg.one>
Betreff: AW: Auskunft nach Artikel 15 DSGVO
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre E-Mail vom 17.09.2023. Bitte finden Sie das diesbezügliche Antwortschreiben im Anhang.
Für weitere Fragen stehe ich Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
*********
|
*********
Deutschland sicher im Netz e.V.
|
Von: Joachim Lindenberg <*****@lindenberg.one>
Gesendet: Sonntag, 17. September 2023 11:50
An: poststelle@datenschutz-berlin.de
Cc: DSB <DSB@sicher-im-netz.de>
Betreff: AW: Auskunft nach Artikel 15 DSGVO
Sehr geehrte Damen und Herren,
hiermit beschwere ich mich über Deutschland sicher im Netz e.V. wegen unvollständiger Auskunft nach Artikel 15 DSGVO.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Joachim Lindenberg <*****@lindenberg.one>
Gesendet: Donnerstag, 20. Juli 2023 14:06
An: 'DSB' <DSB@sicher-im-netz.de>
Betreff: AW: Auskunft nach Artikel 15 DSGVO
Sehr geehrter ********************,
ich vermisse die Antworten bei meinen abgeschlossenen Tests, denn üblicherweise werden „Prüfungsunterlagen“ – und Sie stellen ja ein Zertifikat aus – doch aufbewahrt.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: DSB <DSB@sicher-im-netz.de>
Gesendet: Donnerstag, 20. Juli 2023 13:47
An: Joachim Lindenberg <*****@lindenberg.one>
Betreff: AW: Auskunft nach Artikel 15 DSGVO
Sehr geehrter Herr Lindenberg,
als Antwort auf Ihr Auskunftsgehren vom 06.07.2023 bestätige ich Ihnen, dass folgende personenbezogenen Daten von Ihnen verarbeitet werden:
Vorname: Joachim
Nachname: Lindenberg
E-Mail-Adresse: *****@lindenberg.one
Weitere Informationen zur Verarbeitung personenbezogener Daten und ihre persönlichen Rechte finden sie hier:
(1) Beschreibung und Umfang der Verarbeitung
Sie müssen sich auf der Website registrieren und ein Nutzerkonto anlegen, um die Services im Zusammenhang mit dem Digitalführerschein vollständig nutzen zu können. Die Registrierung erfolgt auf zwei Stufen.
Auf erster Registrierungsstufe erstellen Sie einen Account, um an den angebotenen Kursen teilnehmen und die Lesezeichen- und Kommentarfunktionen auf der Website nutzen zu können. Bei der Registrierung auf der ersten Registrierungsstufe verarbeiten wir die folgenden personenbezogenen Daten: E-Mail-Adresse, Benutzername, Passwort, Datum der Registrierung, Nutzungsdaten („Registrierungsdaten“) und – optional – Vorname, Nachname und Geburtsdatum.
Auf der zweiten Registrierungsstufe können Sie für die Abschlussprüfung im Rahmen des Digitalführerscheins anmelden. Hierzu verarbeiten wir folgende personenbezogene Daten: Registrierungsdaten, Vorname, Nachname, Geburtsdatum, Datum der Registrierung, Nutzungsdaten („Nutzerkontodaten“).
(2) Rechtsgrundlage der Verarbeitung
Rechtsgrundlage für die Verarbeitung der Registrierungsdaten bzw. Nutzerkontodaten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
(3) Zweck der Verarbeitung
Wir verarbeiten die Registrierungsdaten bzw. Nutzerkontodaten zur Bereitstellung des Nutzerkontos und der Services auf der Website. Ohne die Verarbeitung der Registrierungsdaten bzw. Nutzerkontodaten können Sie die Website nutzen, aber nicht an den Kursen teilnehmen oder die Prüfung ablegen.
(4) Speicherdauer
Wir löschen Ihre personenbezogenen Daten, wenn sie für die Erreichung des Zweckes nicht mehr erforderlich sind. Wir verarbeiten Ihre Registrierungsdaten bzw. Nutzerkontodaten nur solange, wie der Nutzungsvertrag besteht. Darüber hinaus speichern wir Ihre Registrierungsdaten bzw. Nutzerkontodaten nur noch zur Geltendmachung von oder zur Verteidigung gegen rechtliche Ansprüche oder zur Erfüllung etwaiger gesetzlicher Aufbewahrungsfristen.
Ihre Rechte
Sofern die jeweiligen Voraussetzungen vorliegen, haben Sie bezüglich der Sie betreffenden personenbezogenen Daten folgende gesetzliche Rechte gegenüber dem DsiN. Sie können weitere Informationen zu Ihren Rechten und den entsprechenden Voraussetzungen auf der Webseite der EU-Kommission finden, unter https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights_de:
AUSKUNFTSRECHT: Sie haben als betroffene Person das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen, z.B. die Verarbeitungszwecke, die Empfänger und die geplante Dauer der Speicherung bzw. die Kriterien für die Festlegung der Dauer.
RECHT AUF BERICHTIGUNG UND VERVOLLSTÄNDIGUNG: Sie haben als betroffene Person das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
RECHT AUF LÖSCHUNG („RECHT AUF VERGESSENWERDEN“): Sie haben als betroffene Person ggf. ein Recht zur Löschung Ihrer personenbezogenen Daten. Dies ist z.B. der Fall, wenn Ihre personenbezogenen Daten für die ursprünglichen Zwecke nicht mehr notwendig sind, Sie Ihre datenschutzrechtliche Einwilligungserklärung widerrufen haben oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
RECHT AUF EINSCHRÄNKUNG DER VERARBEITUNG: Sie haben als betroffene Person ein Recht auf Einschränkung der Verarbeitung in den gesetzlich vorgeschriebenen Fällen.
RECHT AUF DATENÜBERTRAGBARKEIT: Sie haben als betroffene Person das Recht, in den gesetzlich vorgeschriebenen Fällen, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
WIDERSPRUCHSRECHT: Sie haben als betroffene Person das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung bestimmter Sie betreffender personenbezogener Daten Widerspruch einzulegen. Im Falle von Direktwerbung haben Sie als betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen.
RECHT AUF WIDERRUF IHRER DATENSCHUTZRECHTLICHEN EINWILLIGUNG: Sie können eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit, der bis zum Widerruf erfolgten Verarbeitung wird davon jedoch nicht berührt.
Sie können sich zudem jederzeit mit einer Beschwerde an die für Sie zuständige Aufsichtsbehörde wenden. Die für Sie zuständige Aufsichtsbehörde richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihrer Arbeit oder der mutmaßlichen Verletzung. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschriften finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
Zuständige Aufsichtsbehörde für den DsiN ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (https://www.datenschutz-berlin.de/ueber-uns/kontakt).
VII. Automatisierte Entscheidungsfindung
Zur Erbringung unserer jeweiligen Leistungen nutzen wir keine automatisierte Entscheidungsfindung, einschließlich Profiling, gemäß Art. 22 DSGVO.
Mit freundlichen Grüßen
|
********************* Deutschland sicher im Netz e.V.
|
Von: Joachim Lindenberg <*****@lindenberg.one>
Gesendet: Donnerstag, 6. Juli 2023 16:04
An: DSB <DSB@sicher-im-netz.de>
Betreff: Auskunft nach Artikel 15 DSGVO
Sehr geehrte Damen und Herren,
ich hätte gerne eine vollständige Auskunft nach Artikel 15 DSGVO von Ihnen.
Vielen Dank und viele Grüße
Joachim Lindenberg