Sehr geehrte ***********, sehr geehrte Damen und Herren

vielen Dank für die Akteinsicht vom 12.08.2024. Die Verwendung des Geschäftszeichens als Passwort halte ich allerdings für keine gute Idee.

Zu Ihrer Anhörung vom 23.07.2024:

·       zu 1.: es freut mich, dass Sie in diesem Punkt meiner Argumentation folgen.

·       zu 2. Identitätsnachweis: wenn man das Risiko einer Auskunft an die falsche Person betrachtet, dann liefert der vom BFJ im Schreiben vom 02.11.2023 dargestellte Prozess mit Kopie des Personalausweises keinen besseren Schutz, als die (ggfs. mittels Datenträger) Auskunft per Post an die bekannte Meldeadresse zu schicken. Beim Vorgehen des BFJ kann ein Mitbewohner sowohl eine Kopie des Personalausweises anfertigen als auch die eingehende Post abfangen. Auch wäre eine Fälschung problemlos möglich, denn alle laut Angaben des BFJ erforderlichen Daten mit Ausnahme des Gültigkeitsdatums kann man auf meiner Webseite finden. Die einzige Angabe, die man also raten oder erfinden muss, ist das Gültigkeitsdatum, und das BFJ hat nicht dargelegt, ob oder wie es das überprüfen will. Ich füge Ihnen zur Veranschaulichung mein neuestes Auskunftsersuchen an das BFJ bei, das immerhin zur Negativauskunft hinsichtlich der Zentralen Staatsanwaltschaftlichen Verfahrensregister geführt hat.

Im Ergebnis liefert dieses Vorgehen mit Personalausweiskopie keine Risikominderung, oder zumindest haben Sie oder das BFJ keine Risikominderung dargestellt, die über die reine Abschreckung einer mit großer Wahrscheinlichkeit unentdeckten eventuellen Straftat hinausgeht, und das unabhängig davon, ob die Zustellung per Email oder Post erfolgt. Einen Mehrwert liefern würde allenfalls die eigenhändige Zustellung per Post, aber das wurde offensichtlich gar nicht in Erwägung gezogen. Anders sieht es tatsächlich bei einem Identitätsnachweis mit elektronischem Personalausweis oder Nutzerkonto nach OZG aus, aber beides dürfte beim aktuellen Stand der Verwaltungsdigitalisierung noch lange nicht relevant für die Praxis bleiben, und es finden sich auch keine Angaben dazu in der Datenschutzerklärung des BFJ. Beides wurde im Schreiben des BFJ vom 02.11.2023 auch nicht erwähnt, so dass zumindest die Informationen und das einzig erwähnte Verfahren als unzureichend und damit als Verstoß gegen die DSGVO anzusehen sind.

Sogar das Bundesministerium für Justiz bestätigt in seinem Schreiben vom 13.02.2024, dass keine Zweifel an der Identität vorlagen. Das VG Berlin hat mit Beschluss vom 24. April 2023 – VG 1 K 227/22 entschieden, dass eine Identitätsfeststellung nur bei im Einzelfall begründeten Zweifeln geboten ist. Eine solche Begründung hat das BFJ nicht geliefert sondern formularmäßig einen Ausweis angefordert. Im Ergebnis liegt damit in meinen Augen ein Verstoß gegen Artikel 12 Abs. 6 i.V.m. Artikel 5 Abs. 1 lit. c und gegen Artikel 32 DSGVO vor.

Mir ist auch ein Rätsel, warum die Datenschutzkonferenz hierzu immer noch keine gemeinsame Position hat. Meine IFG-Anfrage https://fragdenstaat.de/anfrage/auskunft-nach-artikel-15-dsgvo-nervige-dauerbrenner/ wurde nicht ernsthaft verfolgt. Muss ich erst eine Klage einreichen?

·       zu 3. Trennung der Auskünfte: auch hier muss ich Ihnen widersprechen, denn es hätte mehrere alternative Lösungen gegeben. Zum einen hätte die externe Meldestelle Ihre Teilauskunft mit dem sowieso vereinbarten Passwort verschlüsseln können und damit die Neugier des Datenschutzbeauftragten des BFJ ausbremsen können. Zum anderen stellt sich die grundsätzliche Frage, warum man die externe Meldestelle nach Hinweisgeberschutzgesetz überhaupt beim BFJ angesiedelt hat, wenn man eine so starke organisatorische Trennung für erforderlich hält. Privacy-by-Design nach Artikel 25 DSGVO geht anders.

Auch enthält die Datenschutzerklärung auf der Webseite des BFJ bis heute keinen Hinweis darauf, dass es sich um zwei unterschiedliche Verantwortliche handelt, für den Fall, dass Sie in getrennten Auskünften keinen Verstoß gegen die DSGVO sehen liegt zumindest ein Verstoß gegen Artikel 12 und 13 vor.

Es ist dies nicht das erste Mal, dass Bundesbehörden versuchen, Auskünfte aufzuspalten. Beispiele sind auch die Bundesagentur für Arbeit (15-302 II#2441), das Bundesamt für Sicherheit in der Informationstechnik (25-170 II#1143), und natürlich das BFJ. Das führt für den Betroffenen zu dem Ergebnis, dass er nicht wissen kann, ob und wann eine Auskunft überhaupt vollständig ist, und wann er gegen wen Beschwerde oder Rechtmittel einlegen soll, auch in Hinblick darauf, dass das BVerwG mit Urteil vom 30.11.2022 – 6 C 10.21, Rn. 14. für die Erteilung einer Auskunft einen eindeutigen Verwaltungsakt erwartet mit dem auch eine Rechtsmittelfrist beginnt. Einen entsprechenden Bescheid habe ich bisher allerdings erst einmal erlebt. Auch darf ich fragen, auf Basis welcher Rechtsgrundlage der BfDI meint, vom Wortlaut "eine Kopie" des Artikel 15 DSGVO und von der in dieser Hinsicht ebenfalls eindeutige Guidelines 01/2022 on data subject rights - Right of access des EDSA abweichen zu dürfen? Wenn Sie das anders beurteilen, müssten Sie dann nicht ein Kohärenzverfahren nach Artikel 63 DSGVO einleiten?

·       zu 4. Speicherdauer: Ihre Ausführungen kann ich lesen und lese auch, dass am Ende zufällig 10 Jahre steht, aber sie haben bei keinem der Zwischenschritte Zeiten angegeben, so dass mir die 10 Jahre willkürlich erscheinen. Ich kann außerdem anhand der Ausführungen des BFJ und BMJ nicht nachvollziehen, warum das BFJ diese Auskünfte sozusagen auf Vorrat aufbewahren müssen, denn in einem Amtshaftungsprozess wird nach meinem Verständnis ein Kläger seine Kopie der erteilten Auskunft vorlegen müssen. Es überrascht mich, dass Ihnen die bisherigen dünnen Ausführungen ausreichen und Sie gar nicht nach einer Rechtsgrundlage fragen. Ich darf Sie bzw. indirekt BFJ und BMJ auffordern, eine Rechtsgrundlage dafür zu liefern. §19 RegR liefert diese in meinen Augen nicht, allenfalls steht in Anlage 5 etwas von "Bearbeitungsrückgriff" und der wird regelmäßig nach Bestandskraft eines Verwaltungsakts, also nach einem Jahr, nicht mehr zu erwarten sein. Auch das Ablehnen von wiederholten Anfragen dürfte nach wenigen Jahren keinen Grund mehr liefern, denn der Bürger darf ja wohl auch vermuten, dass eine Behörde irgendwann neue Erkenntnisse hat.

Die Behauptung des BMJ vom 05.04.2024, das BFJ sei einer wachsenden Zahl von Amtshaftungsklagen ausgesetzt kann ich nicht nachvollziehen. Die Suche nach Urteilen zu §839 BGB in juris deutet in meinen Augen eher das Gegenteil an: 2000-2004 740, 2005-2009 822, 2010-2014 858, 2015-2019 618, 2020-2024 553. Muss ich eine IFG Anfrage stellen, damit BMJ/BMF ihre Zahlen offenlegen oder fordern Sie das BFJ im Rahmen seiner Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO dazu auf? Wieso reichen anderen Behörden - BfDI und Bundesnetzagentur nennen 5 Jahre - andere Zeiträume? Trifft die keine Amtshaftung?

Selbst wenn Sie, das BMJ oder BFJ Argumente oder eine Rechtsgrundlage nachliefern muss ich hinzufügen, dass entsprechende Ausführungen bereits in der Auskunft des BFJ vom 28.11.2023 hätten stehen müssen ("oder .. die Kriterien für die Festlegung dieser Dauer" - Artikel 15 Abs. 1 lit d. DGSVO) und nicht erst in der Anhörung zur Beschwerde auftauchen dürfen, und dass daher die Auskunft vom 28.11.2023 auch in diesem Punkt mangelhaft war. In der Auskunft stand lediglich §19 RegR, nicht jedoch etwas zur Verjährung von Amtshaftungsansprüchen. Artikel 15 Abs. 1 lit. a erfordert die Angabe der Verarbeitungszwecke, und §19 RegR ist meiner Auffassung nach weder Verarbeitungszweck noch eine Rechtsgrundlage im Sinne von Artikel 6 Abs. 1 DSGVO.

Ich darf ergänzend darauf hinweisen, dass ein eingetretener Datenschutzverstoß nicht dadurch geheilt wird, dass der Verantwortliche kooperativ ist oder Ausreden nachliefert. Kooperation ist allenfalls bei den zu ergreifenden Maßnahmen nach Art. 58 Abs. 2 oder - bei Behörden leider sowieso nicht relevanten - Strafen nach Art. 83 zu berücksichtigen.

Ich darf bei dieser Gelegenheit eine weitere Beschwerde gegen das BFJ einreichen. Mein neuestes Auskunftsersuchen wurde zwar form- und fristgerecht bearbeitet, war aber inhaltlich unvollständig: es fehlen Kopien und insoweit das Weglassen von Registerdaten rechtmäßig sein sollte eine mit Artikel 23 DSGVO vereinbare Begründung. Meine Rüge wurde nicht beantwortet. Die entsprechenden Dokumente füge ich bei. Auch beim BFJ ein Passwort das Sicherheitsstandards nicht erfüllt.

Ich bitte um eine Eingangsbestätigung für diese Mail.

Vielen Dank und viele Grüße

Joachim Lindenberg

> -----Ursprüngliche Nachricht-----

> Von: **************@bfdi.bund.de <**************@bfdi.bund.de> Im Auftrag

> von REFERAT12@bfdi.bund.de

> Gesendet: Montag, 12. August 2024 08:48

> An: ***@lindenberg.one

> Betreff: Unterlagen zur Akteneinsicht

>

> Sehr geehrter Herr Lindenberg,

>

> anbei übersende ich Ihnen die gewünschten Unterlagen und verlängere die Frist

> der Anhörung bis zum 06. September 2024.

>

> Passwort: letzte sieben Zeichen meines Geschäftszeichens.

>

> Mit freundlichen Grüßen

> Im Auftrag

>

>

> **************

> _______________________

>

> Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

> Referat 12 - Finanz-/ Steuerverwaltung, Rechtswesen, Parlamentarischer

> Bereich

>

> Graurheindorfer Straße 153, 53117 Bonn

> Fon:          0228-997799-****

> E-Mail:               referat12@bfdi.bund.de

> Internet: https://www.bfdi.bund.de

>

> ******************************************************************

> ********

> ******

> Datenschutzerklärung des BfDI:

> Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie

> unter https://www.bfdi.bund.de/datenschutz.

>

> Vertraulichkeitshinweis:

> Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.

> Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte

> sofort den Absender und löschen Sie diese E-Mail.

>

>

>