Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 19.09.2022 09:40
An: <PRESSESTELLE@bfdi.bund.de>
Betreff: AW: Auskunft zu Verwaltungsportalen?
Sehr geehrter Herr Stein,
vielen Dank für Ihre Antwort und auch dafür, dass Sie der Auskunft von
Christina nochmal nachgegangen sind. Dass die Verzögerung durch die falschen
Adressen verursacht wurde ist uns sehr wohl bewusst, und wir haben die
Auskunft des BfDI aufgrund der Emailankündigung von vorneherein als
fristgerecht eingestuft. Weniger überzeugend finden wir allerdings den
Umgang mit falschen Adressen. Meiner Meinung nach wäre eine Negativauskunft
die konsequenteste Reaktion - wir haben mit diesen Kontaktdaten keine Daten.
Hier war aufgrund der Referenz zur Beschwerde über FragDenStaat die richtige
Anschrift in den Akten vorhanden und hätte ggfs. per Email - auch über
FragDenStaat - geklärt werden können.
Dass Christina Betroffene ist hat sie schon in der ersten Beschwerde -
https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-636042 -
mit "Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu
haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto
angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass
tatsächlich personenbezogene Daten in - aller Wahrscheinlichkeit nach -
nicht gesetzeskonformer Weise verarbeitet werden." ausgedrückt, und
gegenüber dem BfDI in
https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-703288
nochmal bestätigt. Seit dieser letzten Nachricht am 1.6.2022 liegt Christina
keine Standmitteilung vor, die kann aber natürlich auch auf der CD sein.
Da - nicht nur - der BfDI regelmäßig danach fragt, ob er den
Beschwerdeführer gegenüber dem Verantwortlichen nennen darf, unterstellen
wir, dass der Name in der Kommunikation mit dem Verantwortlichen auftaucht
und damit in dieser Kommunikation mit dem Verantwortlichen auch
personenbezogene Daten der Beschwerdeführer zu sehen und damit zu
beauskunften sind, jedenfalls dann wenn die Aktenführung oder Kommunikation
elektronisch stattfindet und damit in den Anwendungsbereich der DSGVO fällt.
Selbst wenn der Name nicht genannt wird aber auf die Beschwerde oder Inhalte
Bezug genommen wird, ist der Personenbezug wieder herstellbar. Auch würden
wir erwarten, dass im entsprechenden Verwaltungsverfahren der
Beschwerdeführer als Beteiligter im Sinne von §13 VwVfG zu sehen ist und
damit Anspruch auf Akteneinsicht nach ggfs. dem länderspezifischen §29 VwVfG
hat, unabhängig davon, ob Sie für Beschwerde und Kommunikation das gleiche
oder unterschiedliche Aktenzeichen verwenden. Sehen Sie das anders? Warum?
Da ich selbst schon mehrfach im Rahmen meiner Auskünfte auch die
Kommunikation mit dem Verantwortlichen gesehen habe, fände ich es
überraschend, wenn das bei Christina anders gewesen sein sollte. Aus dem
Fehlen der Kommunikation ohne Grund schließen wir daher, dass keine
stattgefunden hat. Oder dass die Aufsicht Akteneinsicht nicht erst nimmt,
und diese Alternative gilt auch im Folgenden.
Die Formulierungen "abwimmeln" und "fast nie" waren zugegeben provokant und
treffen natürlich unterschiedlich stark zu. Wie in unserer Tabelle und Text
dargestellt wird, wurde (bisher) nur bei einer Beschwerde (Hessen)
anscheinend etwas gefunden, aber auch bei der bleibt unklar, was gefunden
wurde und was dagegen unternommen wird. Zwei wurden abgelehnt, ohne dass der
Verantwortliche eine Stellungnahme abgeben musste. Die anderen muss man als
offen betrachten, und auch bei denen ist selten zu erkennen, wie ernsthaft
der Beschwerde nachgegangen wird.
Das geht nicht nur Christina so: von den 18 meiner eigenen Beschwerden, die
älter als 6 Monate sind, sind 6 abgelehnt, bei 4 wurde eine Ablehnung
angekündigt der ich widersprochen habe, seitdem passiert nichts und es ist
unklar, ob da noch etwas passiert, 7 sind offen. Einer einzigen wurde
stattgegeben. Und bei dieser letzten vermute ich stark, dass ihr
stattgegeben wurde, weil Gerichte bereits entsprechend entschieden haben und
es daher peinlich für die Aufsicht gewesen wäre, anders zu entscheiden.
Diese beiden Blitzlichter sind selbstverständlich nicht unbedingt
repräsentativ. Aber bei einer Anfrage einer Freundin letztes Jahr hat der
BfDI angegeben, er habe keine Statistiken zur Dauer und dem Erfolg von
Beschwerden. Sollte sich das geändert haben - oder auch eine andere Aufsicht
dazu Zahlen habe - sehe ich mir die sehr gerne an.
Sehr gerne würde ich auch die Kommunikation und ggfs. auch die Protokolle
von Besprechungen der von Ihnen genannten Arbeitsgruppe Kontaktgruppe OZG
(aka AK Verwaltung, aka UAK Portallösungen) einsehen. Können Sie das bitte
in die Wege leiten oder mir verraten bei wem ich die bekomme? Hilfreich wäre
natürlich, wenn man Schwärzungen aufgrund von Personenbezug bzw. Dritten von
solchen, die - wie das BSI in
https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf
schreibt - die öffentliche Sicherheit gefährden, weil sie dem Angreifer
Informationen geben, unterscheiden könnte. Vielleicht können Sie dafür eine
andere Farbe nehmen?
Mit freundlichen Grüßen
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: christof.stein@bfdi.bund.de <christof.stein@bfdi.bund.de> Im Auftrag
von PRESSESTELLE@bfdi.bund.de
Gesendet: Freitag, 16. September 2022 10:36
An: 'Joachim Lindenberg' <************@lindenberg.one>
Betreff: AW: Auskunft zu Verwaltungsportalen?
Sehr geehrte Frau Franke,
Sehr geehrter Herr Lindberg,
vielen Dank für Ihre Anfrage an den Bundesbeauftragten für den Datenschutz
und die Informationsfreiheit (BfDI). Gerne lasse ich Ihnen folgende
Antworten zukommen:
Damit die datenschutzrechtlichen Aufsichtsbehörden ein an sie
herangetragenes Anliegen als Beschwerde gemäß Artikel 77
Datenschutzgrundverordnung (DSGVO) einstufen können, muss feststehen, dass
die Person, die das Anliegen vorbringt, "betroffen" im Sinne des Artikels
77 DSGVO ist. Eine natürliche Person ist nach Artikel 77 DSGVO
beschwerdebefugt und insofern „betroffene Person“, wenn sie der Ansicht ist,
dass eine Verarbeitung der sie selbst betreffenden personenbezogenen Daten
gegen die DSGVO verstößt. Den Aufsichtsbehörden müssen konkrete Angaben
vorliegen, aus denen hervorgeht, dass Petent:innen eine solche betroffene
Person im Sinne der DSGVO sind, bevor sie diese als Beschwerdeführende
behandeln können. Erst nach der Feststellung ihrer Betroffenheit werden
"Petent:innen" zu "Beschwerdeführenden" mit der Folge, dass die
datenschutzrechtlichen Aufsichtsbehörden ihre Kommunikation mit denselben
nach den Vorgaben der Artikel 77 und 78 DSGVO gestalten.
Unabhängig von Ihrer Betroffenheit verwenden datenschutzrechtliche
Aufsichtsbehörden Angaben von Petent:innen, die nicht Beschwerdeführer:innen
sind, als Hinweise für ihre datenschutzrechtliche Aufsichtstätigkeit.
Eine Standmitteilung ist einmal zwischen Dezember 2021 und Mai 2022
unterblieben. Im Übrigen waren Standmitteilungen nicht notwendig, da der
BfDI im November 2021 und im Mai 2022 in der Sache geantwortet hat.
Nach Kommunikation mit den Verantwortlichen wurde in diesem Fall nicht
gefragt. Die an den BfDI gestellten Fragen wurden beantwortet und der Antrag
auf Auskunft/Informationszugang/Akteneinsicht (vom 3.8.2022) bezog sich
lediglich auf den eigenen Vorgang. Daher ist keine Kommunikation mit dem
Verantwortlichen (im Falle des Bundesportals ist das das Bundesministerium
des Innern) enthalten.
Datenschutzrechtliche Fragen hinsichtlich der Verwaltungsportale und des
Nutzerkontos spielen in der Beratungspraxis eine wichtige Rolle in der
Arbeit der einzelnen Datenschutzaufsichtsbehörden und auch in der
Kontaktgruppe OZG der DSK (früher UAK Portallösungen). Die Kontaktgruppe
tauscht sich dabei regelmäßig auch über die Erkenntnisse einzelner Behörden
aus. Die Unterstellung, dass die Datenschutzaufsichtsbehörden sich in diesem
Rahmen mit dem "Abwimmeln" von Beschwerden befassen würden, ist falsch und
entbehrt jeder Grundlage.
Die Sendung mit der CD (Akteneinsicht) ist bereits ein zweites Mal
zurückgekommen, da eine falsche Hausnummer angegeben wurde. Beim ersten
Zustellversuch war die Postleitzahl falsch. Der BfDI wird so bald wie
möglich einen dritten Zustellversuch unternehmen.
Mit freundlichen Grüßen
Christof Stein
********************************************************************************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Pressesprecher Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 9977995100
E-Mail: pressestelle@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die
Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt
auf den Internetauftritt des BfDI unter www.bfdi.bund.de)
https://www.bfdi.bund.de/datenschutz
********************************************************************************
Hinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte
sofort den Absender und vernichten Sie diese E-Mail.
********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing
its overall public responsibility: (the following link is directing to the
web presence of the BfDI at www.bfdi.bund.de)
https://www.bfdi.bund.de/privacy-statement
********************************************************************************
Confidentiality notice:
This is a confidential message and it is intended only for the addressee. If
you have received this message by mistake, please immediately inform the
sender and destroy this email.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Montag, 12. September 2022 09:56
An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>;
pressestelle@lfdi.bwl.de; poststelle@datenschutz-bayern.de;
presse@datenschutz-berlin.de; Poststelle@LDA.Brandenburg.de;
office@datenschutz.bremen.de; presse@datenschutz.hamburg.de;
pressestelle@datenschutz-hessen.de; info@datenschutz-mv.de;
pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de;
presse@datenschutz.rlp.de; saechsdsb@slt.sachsen.de;
poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de;
poststelle@datenschutz.thueringen.de
Cc: frankechristina@outlook.de
Betreff: Auskunft zu Verwaltungsportalen?
Sehr geehrte Beauftragte für den Datenschutz,
Christina Franke hat im August eine Auskunftsanfrage zusammen mit der Bitte
um Standmitteilung und Akteneinsicht an Sie und weitere Aufsichten
gerichtet, deren Reaktionen wir – Christina Franke und Joachim Lindenberg –
gemeinsam ausgewertet haben. Die Reaktionen waren durchwachsen, einige haben
überhaupt nicht reagiert. In Anbetracht der Fülle des Materials, das wir
sichten durften, können wir nicht ausschließen, dass uns etwas
durchgerutscht ist. Wir möchten Ihnen die Möglichkeit geben, vor unserer
Veröffentlichung – geplant für den 20.09.2022 – Stellung zu nehmen, zu den
von uns beobachteten Verstößen Ihrer Behörde gegen die DSGVO
<https://blog.lindenberg.one/PortalBeschwerdenAuskunft#Auskunftsverfahren> .
Selbstverständlich dürfen Sie auch gerne fehlende Auskünfte und Unterlagen
nachliefern.
Darüberhinaus hätten wir gerne konkrete Antworten auf die folgenden Fragen:
* Wieso erhalten wir (fast) nie ungefragt eine Standmitteilung nach Artikel
78 DSGVO?
* Wieso finden wir (fast) nie eine Kommunikation mit dem Verantwortlichen?
* Wieso wird Beschwerden nur nachgegangen, wenn der Betroffene erkennbar
Druck macht?
* Weil Sie lieber Betroffene abwimmeln als die DSGVO durchzusetzen?
* Weil Sie Kollegen anderer Behörden nicht kritisieren wollen?
* Weil Sie unterstellen, dass die DSGVO im öffentlichen Bereich wegen BDSG
§43 III sowieso nicht eingehalten wird?
* Weil Ihnen Artikel 32 (Sicherheit) nicht wichtig ist?
* Hat man sich tatsächlich im Arbeitskreis nur darüber ausgetauscht, wie man
die Beschwerden am besten abwimmelt oder hat man sich dort auch über
Erkenntnisse – vielleicht die von Hessen – über die Sicherheit der Portale
ausgetauscht?
Mit freundlichen Grüßen
Christina Franke und Joachim Lindenberg
(freier Journalist, Presseausweis beigefügt)