AW: Ihr Schreiben an den BfDI: "Auskunft nach Artikel 15 DSGVO"

Von: Joachim Lindenberg <****@lindenberg.one>
Gesendet: 27.04.2022 09:49
An: <********************@bfdi.bund.de>, <REFERAT25@bfdi.bund.de>
Betreff: AW: Ihr Schreiben an den BfDI: "Auskunft nach Artikel 15 DSGVO" - 25-170 II#1143

Sehr geehrter ***************,
selbstverständlich dürfen Sie meinen Namen und Kontaktdaten an das Bundesamt
für Sicherheit in der Informationstechnik weitergeben, zumal ich den ganzen
Vorgang sowieso auf https://blog.lindenberg.one/BundesamtUnsicherheit
öffentlich gemacht habe.
Zu (1): richtig. Ich habe gut zehn Anfragen an das BSI gestellt, alle zu
sehen auf der gleichen Webseite. Ich kann mir nicht vorstellen, dass es zu
diesen Vorgängen keine Aufzeichnungen beim BSI gibt, und habe beim BSI
zusammen mit der Auskunft auch zur Akteneinsicht angefordert - denn von mir
angestoßene Vorgänge sind m.E. auch personenbezogene Daten von mir, und auch
der BfDI verfährt selbst so oder schließt die Vorgangsakten inzwischen ein.
Zu (2): richtig. Insbesondere erspart es mir viel Zeit, nicht alles selbst
digitalisieren zu müssen, vom eingesparten Papier mal ganz abgesehen. Da
sowohl der Emailserver des BSIs als auch mein Emailserver RFC 7672 aka
qualifizierte Transportverschlüsselung kann, steht dem nichts im Wege.
Zu (3): Anfragen nach dem IFG sind m.W. Verwaltungsverfahren, und wie bei
allen anderen Verwaltungsverfahren besteht die Möglichkeit der gerichtlichen
Überprüfung. Ich weiß bei einigen Anfragen wirklich nicht, ob das BSI keine
Informationen hat oder sie nicht herausgeben will - mit Ausnahme vielleicht
der nach Verschlüsselung im Grundschutz. In der Datenschutzerklärung findet
sich dazu nichts, und eine Frist "sobald nicht mehr erforderlich" bzw. 6
Monate sind angesichts von möglichen Anfechtungs- oder Verpflichtungsklagen
zu unbestimmt und zu kurz. Der BfDI schreibt in seiner Auskunft "Die
Speicherung erfolgt im Einklang mit der Richtlinie für das Bearbeiten und
Verwalten von Schriftgut in Bundesministerien, die gemäß der IT-Richtlinie
des BfDI verbindlichen Regelungsgehalt hat. " und bewahrt m.W. alle
Dokumente drei Jahre auf. Natürlich kann es sein, dass das BSI vorher
löscht, aber dann darf es gerne zu jeder Anfrage eine Negativaussage
treffen. Da einige Anfragen noch nicht beantwortet sind, muss es zu diesen
Vorgängen Unterlagen geben, andernfalls darf ich unterstellen, dass das BSI
reichlich dilettantisch mit Anfragen umgeht.
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: ********************@bfdi.bund.de <> Im Auftrag von
REFERAT25@bfdi.bund.de
Gesendet: Wednesday, 27 April 2022 08:51
An: '***@lindenberg.one' <***@lindenberg.one>
Betreff: Ihr Schreiben an den BfDI: "Auskunft nach Artikel 15 DSGVO"

Der Bundesbeauftragte für den Datenschutz
und die Informationsfreiheit (BfDI)

Az.: 25-170 II#1143

Sehr geehrter Herr Lindenberg,

hiermit bestätige ich den Eingang Ihrer Beschwerde gegen das Bundesamt für
Sicherheit in der Informationstechnik (BSI) vom 26. April 2022.

Im Rahmen der Untersuchung kann es erforderlich sein, Ihren Name und Ihre
Kontaktdaten sowie ggf. bestimmte von Ihnen eingereichte Unterlagen an das
BSI weiterzugeben. Sofern Ihrerseits Bedenken gegen eine solche Weitergabe
bestehen, bitte ich Sie um einen kurzen Hinweis unter Angabe des Grundes.

So wie ich Ihre Beschwerde verstehe, monieren Sie folgende Punkte:

(1) Ein von Ihnen gestelltes Auskunftsersuchen nach Art. 15 DSGVO wurde aus
Ihrer Perspektive nicht fristgerecht und auch nicht vollumfänglich
beantwortet. So wurde Ihnen lediglich die folgenden Daten zu Ihrer Person
übermittelt: Vorname, Name, Postanschrift, E-Mail-Adresse. Sie sind jedoch
der Auffassung, dass beim BSI weitere Daten zu Ihrer Person verarbeitet
werden/vorliegen müssten.

(2) Sie sind der Auffassung, dass die Beantwortung des o.g.
Auskunftsersuchens in elektronischer Form hätte erfolgen müssen. Das BSI hat
das Auskunftsersuchen jedoch in Papierform beantwortet. Dies stellt in Ihren
Augen einen Verstoß gegen Art. 15 Abs. 3 DSGVO dar.

(3) "Angaben zu Löschfristen [sind] nicht plausibel".

Mit Blick auf (1) und (2) bitte ich um ein kurzes Feedback, ob die
Sachverhalte korrekt wiedergegeben sind. Bezüglich (3) möchte ich Sie
bitten, Ihre Beschwerde zu konkretisieren.

Ich bitte um Rückantwort bis 05.05.2022.

Mit freundlichen Grüßen
********************

********************************************************************************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Referat 25
Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 997799-****
Fax: (0228) 99107799-****
E-Mail: referat25@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die
Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt
auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/datenschutz

********************************************************************************
Hinweis: Dies ist eine vertrauliche Nachricht und nur für den Adressaten
bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren
Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing
its overall public responsibility: (the following link is directing to the
web presence of the BfDI at www.bfdi.bund.de)

https://www.bfdi.bund.de/EN/Service/PrivacyStatement/PrivacyStatement-node.html

********************************************************************************
Confidentiality notice: This is a confidential message and it is intended
only for the addressee. If you have received this message by mistake, please
immediately inform the sender and destroy this email.