Sehr geehrter ***********,

vielen Dank für Ihre Anhörung vom 17.04.2025 in 15-302 II#2441.

Zu 1.) Zunächst kann ich immer noch nicht nachvollziehen, warum Sie meine Beschwerde in zwei unterschiedlichen Verfahren 12-231-10 II#0055 und 15-302 II#2441 behandeln, solange zumindest nach außen die Bundesagentur für Arbeit als nur ein Verantwortlicher darstellt. Ich darf an meine Email vom 13.11.2024 unten erinnern. Am Webauftritt hat sich bis zum 30.04.2025 jedenfalls nichts erkennbar geändert, es gibt immer noch nur einen Kanal und damit einen ggfs. halt gemeinsamen Verantwortlichen. Daher ist die getrennte Beauskunftung – bei Ihnen 1b – m.E. als unvollständige Auskunft zu bewerten. Dass Sie bei einem Verantwortlichen die Beschwerde in zwei getrennten Verfahren behandeln ist schon reichlich absurd. Ich darf anregen, dass Sie diesen Teil der Beschwerde aussetzen, bis Sie auch in 12-231-10 II#0055 entscheiden/entschieden haben (vgl. Mühlbauer, „Die Aussetzung von Verwaltungsverfahren“, Logos-Verlag Berlin 2003) oder die Bundesagentur entsprechend ihrer Datenschutzerklärung als einheitlichen Verantwortlichen auffassen.

Zu 3.) Dass Sie Informationen nach Art. 13 zur deaktivierten Fernwartbarkeit nicht für erforderlich halten kann ich nicht nachvollziehen, denn transparent im Sinne von Art. 5 Abs. 1 lit. a oder Art. 12 Abs. 1 DSGVO ist das nicht. Jeder der sich wie ich über den Stick informiert wird sich wundern, ob Daten gesammelt werden. Dass über eine Datensammlung nicht vollständig und transparent informiert wird ist ja leider Standard in Deutschland. Und warum man einen teuren Stick verwendet und dann eine wesentliche Eigenschaft wegmodifiziert statt einen preiswerten Stick ohne diese Eigenschaft zu verwenden – das ist dann halt ein Fall für den Bundesrechnungshof und nicht für die BfDI.

Was das Format im Sinne von Art. 15 Abs. 3 Satz 3 angeht: natürlich ist PDF ein gängiges Format. Dass man an das PDF nur herankommt, wenn man spezielle Software ausführen kann/darf/will halte ich aber für kontraproduktiv für die Sicherheit und auch nicht für gängig.

Zu 2. + 4.) Behörden sind meines Wissens aufgefordert, ihr Sicherheitskonzept am BSI Grundschutz Kompendium auszurichten.

Im Grundschutzkompendium Edition 2023 – und die BA will den doch vermutlich einhalten – findet sich dazu:

• „Die Bausteine des IT-Grundschutz-Kompendiums bilden den Stand der Technik ab“ (IT-Grundschutz: Ziel, Idee und Konzeption)
• „Eine angemessene Sicherheit nach dem Stand der Technik wird allerdings erst mit der Umsetzung der Standard-Anforderungen erreicht.“ (Anforderungen für jedes Sicherheitsbedürfnis)

Zu 2.) Es erschließt sich mir nicht, warum Sie 2. nicht auch aufteilen in a) der Mitarbeiter hat sich falsch verhalten und diesem Teil stattgeben (immerhin hat die BA Fehlverhalten eingeräumt), und b) Anwendung der Orientierungshilfe bzw. SMTP-DANE.

Ihre Ausführungen in II. 2 nun b) ergeben allerdings in meinen Augen überhaupt keinen Sinn. Die Orientierungshilfe verlangt bei normalem Risiko eine obligatorische Transportverschlüsselung, bei hohem Risiko qualifizierte Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung.  Der Grundschutz verlangt in

NET.1.1 A7 (B) „Schützenswerte Informationen MÜSSEN über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden“ – in meinen Augen ist das äquivalent zu einer obligatorischen Transportverschlüsselung – und seit 2021 umfasst die Standard-Anforderung APP.5.3.A9 konkret SPF, DKIM, DMARC, [SMTP-]DANE und MTA-STS.

Dass eine Behörde, die den Grundschutz umsetzen muss, diese Anforderungen ignoriert – so mein Testergebnis vom 14.07.2023 – erfüllt m.E. nicht den Stand der Technik und verstößt damit gegen Artikel 32 DSGVO. Das können Sie jetzt drehen oder wenden wie Sie wollen. „Einen Anspruch hieraus, dass die BA flankierend zur Transportverschlüsselung den Sicherheitsstandard DNSSEC/DANE einsetzen muss, leitet sich aus Art. 32 DSGVO jedoch nicht ab.“ Sie lassen da wahrscheinlich bewusst das Adjektiv „obligatorisch“ bzw. „qualifiziert“ vor „Transportverschlüsselung“ weg, denn bei opportunistischer Transportverschlüsselung ist halt nicht garantiert dass verschlüsselt übertragen wird, und SMTP-DANE ist halt der einzig sinnvolle Standard dafür und wird daher auch vom BSI gefordert. Gerne dürfen Sie Details in DuD 2024, 726 nachlesen.

Zu 4.) Sicherheitsstandards oder Kriterien „überwiegend“ einhalten? Und dabei die wesentlichsten Eigenschaft, dass ein Passwort eine möglichst hohe Entropie haben soll, vernachlässigen? Aber dass das BSI sinnvolle Kriterien definiert und an Endanwender – an die richtet sich die von Ihnen zitierte Seite – erwarte ich gar nicht. Anders im Grundschutzkompendium:

• „… aufgrund fehlender Regelungen verschlüsselte Informationen mit den dazugehörigen Schlüsseln auf demselben Datenträger befinden oder über denselben Kommunikationskanal unverschlüsselt übertragen werden.“ (CON.1 2.1. Unzureichendes Schlüsselmanagement bei Verschlüsselung)

• „Passwörter, die leicht zu erraten sind … DÜRFEN NICHT verwendet werden.“ (ORP.4.A8 Regelung des Passwortgebrauchs (B) [Benutzende, IT-Betrieb])
• „Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist.“  (ORP.4.A22 Regelung zur Passwortqualität (B) [IT-Betrieb])

Und ja, ich halte das Passwort für leicht erratbar, Sie nicht?  Und der Kommunikationskanal war auch der selbe. Wenn die BA noch nicht einmal Basis-Anforderungen des Grundschutzes umsetzt, dann ist die BA weit unter dem in Artikel 32 DSGVO geforderten Stand-der-Technik. Und wenn Sie jetzt mit dem Postgeheimnis argumentieren wollen, dann braucht es erst Recht keinen teuren USB-Stick.

Letztendlich kann ich aus Ihren Ausführungen und denen aus anderen Beschwerden nur schließen, dass der BfDI Artikel 32 und der darin geforderte Stand-der-Technik unbekannt oder völlig egal ist. Vertrauen in die Digitalisierung Deutschlands entsteht so nicht.

Ich darf Sie um eine Eingangsbestätigung bitten.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **********, sehr geehrter ***********,

Vielen Dank für Ihre Antwort vom 12.11.2024.

Ihren Satz " Bei der Bundesagentur für Arbeit und der Familienkasse Baden-Württemberg West handelt es sich um zwei verschiedene Verantwortliche." kann ich nicht nachvollziehen, weder im Gesetz (insbesondere §7 BKGG), dem Organigramm der Bundesagentur (https://www.arbeitsagentur.de/datei/dok_ba032125.pdf Nr. 5.3), noch auf der Webseite der Bundesagentur, auf der die Familienkassen korrekt als Einrichtung der Bundesagentur bezeichnet werden (https://www.arbeitsagentur.de/ueber-uns/familienkasse-der-ba) und der einzige Ansprechpartner in Datenschutzangelegenheiten von der Bundesagentur ist Herr Rompf (https://www.arbeitsagentur.de/datenschutz).

Zwei Screenshots von der Webseite:

Wie kommen Sie darauf, dass es sich um unterschiedliche Verantwortliche handeln soll? Für den Fall, dass Ihre Auffassung zutreffend sein sollte, beschwere ich mich über die Bundesagentur und die Familienkasse wegen falscher Informationen und damit Verstoß gegen Artikel 13 und 14 jeweils Abs. 1 lit. a und b DSGVO.

Da es sich erkennbar nur um einen Verantwortlichen handelt, der nach Artikel 15 DSGVO eine einheitliche Auskunft zu erteilen hat, liegt es meiner Meinung nach im gemeinsamen Interesse, das Beschwerdeverfahren auch als einen statt mehrere „Streitverfahrensgegenstände“ durchzuführen.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: ************@bfdi.bund.de <************@bfdi.bund.de> Im Auftrag von REFERAT12@bfdi.bund.de
Gesendet: Tuesday, 12 November 2024 21:21
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: Datenschutz bei der Familienkasse Baden-Württemberg West # 12-231-10 II#0055

Sehr geehrter Herr Lindenberg,

anliegendes Schreiben übersende ich Ihnen mit der Bitte um Kenntnisnahme.

Mit freundlichen Grüßen

Im Auftrag

************

********************************************************************************

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

- Referat 12 -

Graurheindorfer Straße 153, 53117 Bonn

Telefon:  (0228) 997799-0

E-Mail: referat12@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzerklärung der BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.