Sehr geehrter Frau Feustel,

vielen Dank für Ihre Antwort. Die Formulierungen "abwimmeln" und "fast nie" waren zugegeben provokant und treffen natürlich unterschiedlich stark zu. Wie in unserer Tabelle und Text dargestellt wird, wurde (bisher) nur bei einer Beschwerde (Hessen) anscheinend etwas gefunden, aber auch bei der bleibt unklar, was gefunden wurde und was dagegen unternommen wird. Zwei wurden abgelehnt, ohne dass der Verantwortliche eine Stellungnahme abgeben musste. Die anderen muss man als offen betrachten, und auch bei denen ist selten zu erkennen, wie ernsthaft der Beschwerde nachgegangen wird.

Das geht nicht nur Christina so: von den 18 meiner eigenen Beschwerden, die älter als 6 Monate sind, sind 6 abgelehnt, bei 4 wurde eine Ablehnung angekündigt, seitdem passiert nichts und es ist unklar, ob da noch etwas passiert, 7 sind offen. Einer einzigen wurde stattgegeben. Und bei dieser letzten vermute ich dass ihr stattgegeben wurde, weil Gerichte bereits entsprechend entschieden haben und es daher peinlich für die Aufsicht gewesen wäre, anders zu entscheiden.

Diese beiden Blitzlichter sind selbstverständlich nicht unbedingt repräsentativ. Aber bei einer Anfrage einer Freundin letztes Jahr hat der BfDI angegeben, er habe keine Statistiken zur Dauer und dem Erfolg von Beschwerden. Sollte sich das geändert haben - oder auch eine andere Aufsicht dazu Zahlen habe - sehe ich mir die sehr gerne an.

Sie haben Recht, in der Liste unter der Tabelle war zum HmbBfDI eine falsche Information zur Vollständigkeit der Auskunft, und wir haben die korrigiert. Die Aussage „nur belangloses“ zur Kommunikation mit dem Verantwortlichen in unserer Tabelle halten wir aber für richtig. Die von Ihnen angesprochene Kommunikation mit der Senatskanzlei vom 11.02. enthält „Die Beschwerde betrifft weitestgehend Einzelheiten, die der HmbBfDI nicht als datenschutzrechtlich problematisch beurteilt. Einer der Beschwerdegegenstände bezieht sich auf die Nennung der Rechtsgrundlage in der zugehörigen Datenschutzerklärung“. Auf die Sicherheitsprobleme wird nicht eingegangen. An wen die Email vom 14.01. ging, ist in der Auskunft nicht erkennbar. Im Text „Bitte senden Sie mir diesen Vertrag inkl. der ggf. enthaltenden Anlagen zu. Sollte es mittlerweile einen neuen Stand der Beschreibung Verarbeitungstätigkeit geben, senden Sie mir diesen bitte ebenfalls zu.“ Allenfalls ein den Anlagen könnten TOMs enthalten sein, und wie wir wissen tun sie das nicht – spätestens nach meiner Veröffentlichung über Dataport.

Dass Christina Betroffene ist hat sie schon in der ersten Beschwerde - https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-636042 - mit "Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass tatsächlich personenbezogene Daten in - aller Wahrscheinlichkeit nach - nicht gesetzeskonformer Weise verarbeitet werden." ausgedrückt und bei Rückfragen mehrfach bestätigt.

Sehr gerne würde ich auch die Kommunikation und ggfs. auch  die Protokolle von Besprechungen der von Ihnen genannten Arbeitsgruppe Kontaktgruppe OZG (aka AK Verwaltung, aka UAK Portallösungen) einsehen. Können Sie das bitte in die Wege leiten oder mir verraten bei wem ich die bekomme? Hilfreich wäre natürlich, wenn man Schwärzungen aufgrund von Personenbezug bzw. Dritten von solchen, die - wie das BSI in https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf schreibt - die öffentliche Sicherheit gefährden, weil sie dem Angreifer Informationen geben, unterscheiden könnte. Vielleicht können Sie dafür eine andere Farbe nehmen?

Mit freundlichen Grüßen

Joachim Lindenberg

Sehr geehrter Herr Lindenberg,

vielen Dank für Ihre Mail und die Möglichkeit einer Stellungnahme, der wir hiermit gerne nachgehen.

Sie deuten in Ihrem Beitrag an, dass die Auskunft des HmbBfDI möglicherweise nicht vollständig sei (Zitat: „Ob die Auskünfte von Hamburg und Schleswig-Holstein vollständig sind ist auch nicht sicher, denn Kommunikation mit dem Verantwortlichen war in beiden Fällen nicht enthalten. Die kann aber auch gar nicht oder auf Papier stattgefunden haben – nur eine vollständige Akteneinsicht würde das offenbaren.). Dieser Aussage können wir so nicht zustimmen. Wie aus der Akte hervorgeht, hat der HmbBfDI im Zuge des Verfahrens sowohl Kontakt mit der Senatskanzlei Hamburg als verantwortliche Stelle am 11.02.2022, als auch mit Dataport als Auftragsverarbeiter nach Art. 28 DSGVO am 14.01.2022 aufgenommen. Wir bitten Sie daher, diese Aussage entsprechend zu korrigieren.

Im letzten Jahr haben den HmbBfDI über 4000 Eingaben erreicht und auch dieses Jahr ist die Verfahrenszahl weiterhin hoch. Unsere Mitarbeitenden bearbeiten die Beschwerden umgehend und setzen sich täglich für die Rechte der Petent:innen ein.  Eine individuelle Sachstandsmitteilung ist jedoch auf Grund der hohen Verfahrenszahl leider nicht immer zu gewährleisten. Damit die datenschutzrechtlichen Aufsichtsbehörden ein an sie herangetragenes Anliegen als Beschwerde gemäß Artikel 77 Datenschutzgrundverordnung (DSGVO) einstufen können, muss zudem feststehen, dass die Person, die das Anliegen vorbringt, "betroffen"  im Sinne des Artikels 77 DSGVO ist. Eine natürliche Person ist nach Artikel 77 DSGVO beschwerdebefugt und insofern "betroffene Person", wenn sie der Ansicht ist, dass eine Verarbeitung der sie selbst betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Den Aufsichtsbehörden müssen konkrete Angaben vorliegen, aus denen hervorgeht, dass Petent:innen eine solche betroffene Person im Sinne der DSGVO sind, bevor sie diese als Beschwerdeführende behandeln können. Erst nach der Feststellung ihrer Betroffenheit werden "Petent:innen" zu "Beschwerdeführenden" mit der Folge, dass die datenschutzrechtlichen Aufsichtsbehörden ihre Kommunikation mit denselben nach den Vorgaben der Artikel 77 und 78 DSGVO gestalten. Unabhängig von Ihrer Betroffenheit verwenden datenschutzrechtliche Aufsichtsbehörden Angaben von Petent:innen, die nicht Beschwerdeführer:innen sind, als Hinweise für ihre datenschutzrechtliche Aufsichtstätigkeit.

Datenschutzrechtliche Fragen hinsichtlich der Verwaltungsportale und des Nutzerkontos spielen in der Beratungspraxis eine wichtige Rolle in der Arbeit der einzelnen Datenschutzaufsichtsbehörden und auch in der Kontaktgruppe OZG der DSK (früher UAK Portallösungen). Die Kontaktgruppe tauscht sich dabei regelmäßig auch über die Erkenntnisse einzelner Behörden aus. Die Unterstellung, dass die Datenschutzaufsichtsbehörden sich in diesem Rahmen mit dem "Abwimmeln" von Beschwerden befassen würden, ist falsch und entbehrt jeder Grundlage.

Mit freundlichen Grüßen

Alina Feustel

Pressesprecherin | Referentin Medienbildung

Referat Zentrale Dienste und Information (Z)

Fachbereich Presse, Medienbildung und Information

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Abhängig vom Anlass Ihrer oder unserer Kontaktaufnahme werden Ihre personenbezogenen Daten von uns verarbeitet. Nähere Informationen dazu erhalten Sie hier oder auf Nachfrage bei unserer behördlichen Datenschutzbeauftragten.
Bitte beachten Sie auch, dass vertrauliche Informationen auf elektronischem Wege nur verschlüsselt an uns übermittelt werden sollten.

Informationen zum Thema Medienbildung des HmbBfDI finden Sie hier.

Sehr geehrte Beauftragte für den Datenschutz,

Christina Franke hat im August eine Auskunftsanfrage zusammen mit der Bitte um Standmitteilung und Akteneinsicht an Sie und weitere Aufsichten gerichtet, deren Reaktionen wir – Christina Franke und Joachim Lindenberg – gemeinsam ausgewertet haben. Die Reaktionen waren durchwachsen, einige haben überhaupt nicht reagiert. In Anbetracht der Fülle des Materials, das wir sichten durften, können wir nicht ausschließen, dass uns etwas durchgerutscht ist. Wir möchten Ihnen die Möglichkeit geben, vor unserer Veröffentlichung – geplant für den 20.09.2022 – Stellung zu nehmen, zu den von uns beobachteten Verstößen Ihrer Behörde gegen die DSGVO. Selbstverständlich dürfen Sie auch gerne fehlende Auskünfte und Unterlagen nachliefern.

Darüberhinaus hätten wir gerne konkrete Antworten auf die folgenden Fragen:

• Wieso erhalten wir (fast) nie ungefragt eine Standmitteilung nach Artikel 78 DSGVO?
• Wieso finden wir (fast) nie eine Kommunikation mit dem Verantwortlichen?
• Wieso wird Beschwerden nur nachgegangen, wenn der Betroffene erkennbar Druck macht?

o   Weil Sie lieber Betroffene abwimmeln als die DSGVO durchzusetzen?

o   Weil Sie Kollegen anderer Behörden nicht kritisieren wollen?

o   Weil Sie unterstellen, dass die DSGVO im öffentlichen Bereich wegen BDSG §43 III sowieso nicht eingehalten wird?

o   Weil Ihnen Artikel 32 (Sicherheit) nicht wichtig ist?

• Hat man sich tatsächlich im Arbeitskreis nur darüber ausgetauscht, wie man die Beschwerden am besten abwimmelt oder hat man sich dort auch über Erkenntnisse – vielleicht die von Hessen –  über die Sicherheit der Portale ausgetauscht?

Mit freundlichen Grüßen

Christina Franke und Joachim Lindenberg
(freier Journalist, Presseausweis beigefügt)