Von: Christina Franke <frankechristina@*******.de>
Gesendet: 19.09.2022 18:08
An: referat11@bfdi.bund.de, justitiariat@bfdi.bund.de
Betreff: Fwd: WG: Auskunft zu Verwaltungsportalen?

 

Sehr geehrte  *************, Sehr geehrter *************,

ich nehme an, Herr Stein meint Sie und die Geschäftszeichen # JUS-854 II#0195 und # 11-103 II#7156.

Mit freundlichen Grüßen
Christina Franke


-------- Weitergeleitete Nachricht --------
Betreff: WG: Auskunft zu Verwaltungsportalen?
Datum: Mon, 19 Sep 2022 17:58:30 +0200
Von: Joachim Lindenberg ************@lindenberg.one"><************@lindenberg.one>
An: *******.de">frankechristina@*******.de




-----Ursprüngliche Nachricht-----
Von: christof.stein@bfdi.bund.de <christof.stein@bfdi.bund.de> Im Auftrag von PRESSESTELLE@bfdi.bund.de
Gesendet: Montag, 19. September 2022 16:11
An: 'Joachim Lindenberg' ************@lindenberg.one"><************@lindenberg.one>
Betreff: AW: Auskunft zu Verwaltungsportalen?

Sehr geehrter Herr Lindenberg,

vielen Dank für Ihre Mail. Ihre Rückfragen können wir auf dem Presseweg nicht beantworten. Für konkrete Auskünfte zum Fall kann sich Frau Franke weiterhin an unser zuständiges Fachreferat wenden.

Ihre Anfrage nach der Kommunikation und den Protokollen von Besprechungen der Kontaktgruppe OZG habe ich an unser Referat IFG als Anfrage nach dem Informationsfreiheitsgesetz weitergeleitet.

Mit freundlichen Grüßen
Christof Stein
********************************************************************************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Pressesprecher Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 9977995100
E-Mail: pressestelle@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/datenschutz

********************************************************************************
Hinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing its overall public responsibility: (the following link is directing to the web presence of the BfDI at www.bfdi.bund.de)
https://www.bfdi.bund.de/privacy-statement

********************************************************************************
Confidentiality notice:
This is a confidential message and it is intended only for the addressee. If you have received this message by mistake, please immediately inform the sender and destroy this email.




-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg ************@lindenberg.one"><************@lindenberg.one>
Gesendet: Montag, 19. September 2022 09:41
An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>
Betreff: AW: Auskunft zu Verwaltungsportalen?

Sehr geehrter Herr Stein,

vielen Dank für Ihre Antwort und auch dafür, dass Sie der Auskunft von Christina nochmal nachgegangen sind. Dass die Verzögerung durch die falschen Adressen verursacht wurde ist uns sehr wohl bewusst, und wir haben die Auskunft des BfDI aufgrund der Emailankündigung von vorneherein als fristgerecht eingestuft. Weniger überzeugend finden wir allerdings den Umgang mit falschen Adressen. Meiner Meinung nach wäre eine Negativauskunft die konsequenteste Reaktion - wir haben mit diesen Kontaktdaten keine Daten. Hier war aufgrund der Referenz zur Beschwerde über FragDenStaat die richtige Anschrift in den Akten vorhanden und hätte ggfs. per Email - auch über FragDenStaat - geklärt werden können.
Dass Christina Betroffene ist hat sie schon in der ersten Beschwerde - https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-636042 - mit "Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass tatsächlich personenbezogene Daten in - aller Wahrscheinlichkeit nach - nicht gesetzeskonformer Weise verarbeitet werden." ausgedrückt, und gegenüber dem BfDI in https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-703288 nochmal bestätigt. Seit dieser letzten Nachricht am 1.6.2022 liegt Christina keine Standmitteilung vor, die kann aber natürlich auch auf der CD sein.

Da - nicht nur - der BfDI regelmäßig danach fragt, ob er den Beschwerdeführer gegenüber dem Verantwortlichen nennen darf, unterstellen wir, dass der Name in der Kommunikation mit dem Verantwortlichen auftaucht und damit in dieser Kommunikation mit dem Verantwortlichen auch personenbezogene Daten der Beschwerdeführer zu sehen und damit zu beauskunften sind, jedenfalls dann wenn die Aktenführung oder Kommunikation elektronisch stattfindet und damit in den Anwendungsbereich der DSGVO fällt. Selbst wenn der Name nicht genannt wird aber auf die Beschwerde oder Inhalte Bezug genommen wird, ist der Personenbezug wieder herstellbar. Auch würden wir erwarten, dass im entsprechenden Verwaltungsverfahren der Beschwerdeführer als Beteiligter im Sinne von §13 VwVfG zu sehen ist und damit Anspruch auf Akteneinsicht nach ggfs. dem länderspezifischen §29 VwVfG hat, unabhängig davon, ob Sie für Beschwerde und Kommunikation das gleiche oder unterschiedliche Aktenzeichen verwenden. Sehen Sie das anders? Warum? Da ich selbst schon mehrfach im Rahmen meiner Auskünfte auch die Kommunikation mit dem Verantwortlichen gesehen habe, fände ich es überraschend, wenn das bei Christina anders gewesen sein sollte. Aus dem Fehlen der Kommunikation ohne Grund schließen wir daher, dass keine stattgefunden hat. Oder dass die Aufsicht Akteneinsicht nicht erst nimmt, und diese Alternative gilt auch im Folgenden.

Die Formulierungen "abwimmeln" und "fast nie" waren zugegeben provokant und treffen natürlich unterschiedlich stark zu. Wie in unserer Tabelle und Text dargestellt wird, wurde (bisher) nur bei einer Beschwerde (Hessen) anscheinend etwas gefunden, aber auch bei der bleibt unklar, was gefunden wurde und was dagegen unternommen wird. Zwei wurden abgelehnt, ohne dass der Verantwortliche eine Stellungnahme abgeben musste. Die anderen muss man als offen betrachten, und auch bei denen ist selten zu erkennen, wie ernsthaft der Beschwerde nachgegangen wird.

Das geht nicht nur Christina so: von den 18 meiner eigenen Beschwerden, die älter als 6 Monate sind, sind 6 abgelehnt, bei 4 wurde eine Ablehnung angekündigt der ich widersprochen habe, seitdem passiert nichts und es ist unklar, ob da noch etwas passiert, 7 sind offen. Einer einzigen wurde stattgegeben. Und bei dieser letzten vermute ich stark, dass ihr stattgegeben wurde, weil Gerichte bereits entsprechend entschieden haben und es daher peinlich für die Aufsicht gewesen wäre, anders zu entscheiden.

Diese beiden Blitzlichter sind selbstverständlich nicht unbedingt repräsentativ. Aber bei einer Anfrage einer Freundin letztes Jahr hat der BfDI angegeben, er habe keine Statistiken zur Dauer und dem Erfolg von Beschwerden. Sollte sich das geändert haben - oder auch eine andere Aufsicht dazu Zahlen habe - sehe ich mir die sehr gerne an.

Sehr gerne würde ich auch die Kommunikation und ggfs. auch die Protokolle von Besprechungen der von Ihnen genannten Arbeitsgruppe Kontaktgruppe OZG (aka AK Verwaltung, aka UAK Portallösungen) einsehen. Können Sie das bitte in die Wege leiten oder mir verraten bei wem ich die bekomme? Hilfreich wäre natürlich, wenn man Schwärzungen aufgrund von Personenbezug bzw. Dritten von solchen, die - wie das BSI in https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf schreibt - die öffentliche Sicherheit gefährden, weil sie dem Angreifer Informationen geben, unterscheiden könnte. Vielleicht können Sie dafür eine andere Farbe nehmen?

Mit freundlichen Grüßen
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: christof.stein@bfdi.bund.de <christof.stein@bfdi.bund.de> Im Auftrag von PRESSESTELLE@bfdi.bund.de
Gesendet: Freitag, 16. September 2022 10:36
An: 'Joachim Lindenberg' ************@lindenberg.one"><************@lindenberg.one>
Betreff: AW: Auskunft zu Verwaltungsportalen?

Sehr geehrte Frau Franke,
Sehr geehrter Herr Lindberg,

vielen Dank für Ihre Anfrage an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Gerne lasse ich Ihnen folgende Antworten zukommen:

Damit die datenschutzrechtlichen Aufsichtsbehörden ein an sie herangetragenes Anliegen als Beschwerde gemäß Artikel 77 Datenschutzgrundverordnung (DSGVO) einstufen können, muss feststehen, dass die Person, die das Anliegen vorbringt, "betroffen" im Sinne des Artikels 77 DSGVO ist. Eine natürliche Person ist nach Artikel 77 DSGVO beschwerdebefugt und insofern „betroffene Person“, wenn sie der Ansicht ist, dass eine Verarbeitung der sie selbst betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Den Aufsichtsbehörden müssen konkrete Angaben vorliegen, aus denen hervorgeht, dass Petent:innen eine solche betroffene Person im Sinne der DSGVO sind, bevor sie diese als Beschwerdeführende behandeln können. Erst nach der Feststellung ihrer Betroffenheit werden "Petent:innen" zu "Beschwerdeführenden" mit der Folge, dass die datenschutzrechtlichen Aufsichtsbehörden ihre Kommunikation mit denselben nach den Vorgaben der Artikel 77 und 78 DSGVO gestalten.
Unabhängig von Ihrer Betroffenheit verwenden datenschutzrechtliche Aufsichtsbehörden Angaben von Petent:innen, die nicht Beschwerdeführer:innen sind, als Hinweise für ihre datenschutzrechtliche Aufsichtstätigkeit.

Eine Standmitteilung ist einmal zwischen Dezember 2021 und Mai 2022 unterblieben. Im Übrigen waren Standmitteilungen nicht notwendig, da der BfDI im November 2021 und im Mai 2022 in der Sache geantwortet hat.

Nach Kommunikation mit den Verantwortlichen wurde in diesem Fall nicht gefragt. Die an den BfDI gestellten Fragen wurden beantwortet und der Antrag auf Auskunft/Informationszugang/Akteneinsicht (vom 3.8.2022) bezog sich lediglich auf den eigenen Vorgang. Daher ist keine Kommunikation mit dem Verantwortlichen (im Falle des Bundesportals ist das das Bundesministerium des Innern) enthalten.

Datenschutzrechtliche Fragen hinsichtlich der Verwaltungsportale und des Nutzerkontos spielen in der Beratungspraxis eine wichtige Rolle in der Arbeit der einzelnen Datenschutzaufsichtsbehörden und auch in der Kontaktgruppe OZG der DSK (früher UAK Portallösungen). Die Kontaktgruppe tauscht sich dabei regelmäßig auch über die Erkenntnisse einzelner Behörden aus. Die Unterstellung, dass die Datenschutzaufsichtsbehörden sich in diesem Rahmen mit dem "Abwimmeln" von Beschwerden befassen würden, ist falsch und entbehrt jeder Grundlage.

Die Sendung mit der CD (Akteneinsicht) ist bereits ein zweites Mal zurückgekommen, da eine falsche Hausnummer angegeben wurde. Beim ersten Zustellversuch war die Postleitzahl falsch. Der BfDI wird so bald wie möglich einen dritten Zustellversuch unternehmen.

Mit freundlichen Grüßen
Christof Stein
********************************************************************************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Pressesprecher Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 9977995100
E-Mail: pressestelle@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/datenschutz

********************************************************************************
Hinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing its overall public responsibility: (the following link is directing to the web presence of the BfDI at www.bfdi.bund.de)
https://www.bfdi.bund.de/privacy-statement

********************************************************************************
Confidentiality notice:
This is a confidential message and it is intended only for the addressee. If you have received this message by mistake, please immediately inform the sender and destroy this email.





-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg ************@lindenberg.one"><************@lindenberg.one>
Gesendet: Montag, 12. September 2022 09:56
An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>; pressestelle@lfdi.bwl.de; poststelle@datenschutz-bayern.de; presse@datenschutz-berlin.de; Poststelle@LDA.Brandenburg.de; office@datenschutz.bremen.de; presse@datenschutz.hamburg.de; pressestelle@datenschutz-hessen.de; info@datenschutz-mv.de; pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de; presse@datenschutz.rlp.de; saechsdsb@slt.sachsen.de; poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de; poststelle@datenschutz.thueringen.de
Cc: *******.de">frankechristina@*******.de
Betreff: Auskunft zu Verwaltungsportalen?

Sehr geehrte Beauftragte für den Datenschutz,

Christina Franke hat im August eine Auskunftsanfrage zusammen mit der Bitte um Standmitteilung und Akteneinsicht an Sie und weitere Aufsichten gerichtet, deren Reaktionen wir – Christina Franke und Joachim Lindenberg – gemeinsam ausgewertet haben. Die Reaktionen waren durchwachsen, einige haben überhaupt nicht reagiert. In Anbetracht der Fülle des Materials, das wir sichten durften, können wir nicht ausschließen, dass uns etwas durchgerutscht ist. Wir möchten Ihnen die Möglichkeit geben, vor unserer Veröffentlichung – geplant für den 20.09.2022 – Stellung zu nehmen, zu den von uns beobachteten Verstößen Ihrer Behörde gegen die DSGVO <https://blog.lindenberg.one/PortalBeschwerdenAuskunft#Auskunftsverfahren> . Selbstverständlich dürfen Sie auch gerne fehlende Auskünfte und Unterlagen nachliefern.

Darüberhinaus hätten wir gerne konkrete Antworten auf die folgenden Fragen:

* Wieso erhalten wir (fast) nie ungefragt eine Standmitteilung nach Artikel 78 DSGVO?
* Wieso finden wir (fast) nie eine Kommunikation mit dem Verantwortlichen?
* Wieso wird Beschwerden nur nachgegangen, wenn der Betroffene erkennbar Druck macht?

* Weil Sie lieber Betroffene abwimmeln als die DSGVO durchzusetzen?
* Weil Sie Kollegen anderer Behörden nicht kritisieren wollen?
* Weil Sie unterstellen, dass die DSGVO im öffentlichen Bereich wegen BDSG §43 III sowieso nicht eingehalten wird?
* Weil Ihnen Artikel 32 (Sicherheit) nicht wichtig ist?

* Hat man sich tatsächlich im Arbeitskreis nur darüber ausgetauscht, wie man die Beschwerden am besten abwimmelt oder hat man sich dort auch über Erkenntnisse – vielleicht die von Hessen – über die Sicherheit der Portale ausgetauscht?

Mit freundlichen Grüßen

Christina Franke und Joachim Lindenberg
(freier Journalist, Presseausweis beigefügt)