Az. T5.1.1-6214/22 - Auskunft zu Verwaltungsportalen

Von: <Referat-T@ldi.nrw.de>
Gesendet: 03.11.2022 08:26
An: <frankechristina@*******.de>
Betreff: Az. T5.1.1-6214/22 - Auskunft zu Verwaltungsportalen

Aktenzeichen: T5.1.1-6214/22
Bearbeiter: *************

Sehr geehrte Frau Franke,

Sie haben am 20. November 2021 einen Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfahlen (IFG NRW) gestellt. Bei den von Ihnen angefragten Informationen handelte es sich nicht um „vorhandene“ Informationen i. S. d. § 4 Abs. 1 IFG NRW. Dies habe ich Ihnen per E-Mail vom 17. Dezember 2021 mitgeteilt.

Wie Ihnen bereits bekannt ist, wurde Ihre Anfrage vom 20. November 2021 nicht als Beschwerde nach Art. 77 DS-GVO aufgefasst. Ich habe Sie diesbezüglich in meiner E-Mail vom 17. Dezember 2021 um eine Konkretisierung Ihrer Beschwerde gebeten. Mit E-Mail vom 30. August 2022 haben Sie mir mitgeteilt, dass Sie Ihre Beschwerde bereits in Ihrer Anfrage vom 20. November 2021 hinreichend klar dargelegt hätten. Dass dies von uns anders beurteilt wird, haben wir bereits mitgeteilt (zuletzt in der Antwort auf die Presseanfrage).

Bereits mit der Prüfung Ihres Antrags vom 20. November 2021 erfolgte eine Beurteilung der von Ihnen vorgetragenen Punkte hinsichtlich der Erforderlichkeit eines Eingreifens der LDI im Rahmen Ihrer Aufgaben.

Dabei wurde festgestellt, dass die in den von Ihnen referenzierten IFG-Anträgen aufgeführten Punkte "Sicherheitsfragen" und "Passwortsicherheit" auf das Servicekonto.NRW augenscheinlich nicht zutreffen. Ihre Vermutung, dass keine angemessene Verschlüsselung der Daten beim Servicekonto.NRW erfolge, wurde von Ihnen nicht weitergehend begründet. Die von Ihnen referenzierten IFG-Anträge enthalten ebenfalls nur Vermutungen hinsichtlich etwaiger Sicherheitsmängel. Meine Prüfung der Webseite https://servicekonto.nrw/serviceaccount/, über die die Anmeldung und Registrierung zum Servicekonto.NRW erfolgt, hat ergeben, dass die Kommunikation über diese mittels einer Transportverschlüsselung nach dem Stand der Technik (TLS 1.3 mit 265-Bit Schlüssel) erfolgt. Diese Transportverschlüsselung gewährleistet einen angemessenen Schutz vor der Offenbarung personenbezogener Daten gegenüber unbefugten Dritten bei der Übermittlung über das Internet.

In Art. 32 Abs. 1 lit. a DS-GVO wird die Verschlüsselung personenbezogener Daten als Beispiel für eine Maßnahme zur Gewährleistung eines angemessenen Schutzniveaus benannt. Dies impliziert im Allgemeinen keine Verpflichtung zur Umsetzung einer durchgängigen Verschlüsselung personenbezogener Daten, sofern durch andere Maßnahmen ein angemessenes Schutzniveau erreicht wird (bspw. Maßnahmen zum Schutz vor unbefugtem Zutritt, Zugang und Zugriff). Im Rahmen eines Sicherheitskonzepts müssen Verantwortliche und Auftragsverarbeiter festlegen, auf welchen Ebenen und in welchen Verarbeitungsphasen (bspw. Datenträgerverschlüsselung, Anwendungsverschlüsselung oder Transportverschlüsselung) Verschlüsselungen eingesetzt werden und aufgrund welcher ergänzenden Maßnahmen ggf. auf bestimmte Verschlüsselungsmaßnahmen verzichtet werden kann. Dabei ist im Rahmen einer Risiko-Analyse zu beurteilen, ob ein angemessenes Schutzniveau erreicht wurde und damit die Rechte und Freiheiten der betroffenen Personen hinreichend geschützt werden.

Auch die inhaltlichen Kritikpunkte sind nicht zutreffend:
Es ist nicht verpflichtend, einen Postkorb einzurichten. Sowohl in den Ausführungen auf der entsprechenden Web-Seite als auch in der dazugehörigen Verordnung (Servicekonto.NRW-Verordnung, hier § 8) ist dargelegt, dass die Einrichtung eines Postkorbs freiwillig ist. Wie Sie zu der Annahme kommen, der Postkorb sei verpflichtend, haben Sie nicht vorgetragen, daher kann ich dazu keine weiteren Angaben machen.

Zudem sind die Rechtsgrundlagen in der Datenschutzerklärung nicht unzutreffend dargelegt worden. Dort heißt es: „Die Verarbeitung Ihrer personenbezogenen Daten innerhalb des Servicekonto.NRW erfolgt zur einheitlichen Identifizierung und Authentifizierung zur Inanspruchnahme elektronischer Verwaltungsleistungen von Bund und Ländern aufgrund von Art. 6 Abs. 1 S. 1 lit. e DS-GVO i.V.m. § 2 Abs. 5 S. 1 OZG, § 3 Abs. 2 OZG, § 8 OZG, § 3 Absatz 3 S. 1 und 2 E-GovG NRW, § 5 Servicekonto.NRW-Verordnung.“ Eine falsche Angabe vermag ich darin nicht zu erkennen. Möglicherweise ist nicht bekannt, dass das Servicekonto NRW anders ausgestaltet ist als die (meisten) Verwaltungsportale in den anderen Bundesländern. Der Zweck wird in § 5 Servicekonto.NRW-Verordnung eindeutig beschrieben:“ Der Zweck der Datenverarbeitung liegt in der gemeinsamen, behördenübergreifenden Bereitstellung eines elektronischen Identifizierungsdienstes und der möglichen anschließenden Authentifizierung nach § 3 Absatz 3 des E-Government-Gesetzes Nordrhein-Westfalen, einer Identifizierung gegenüber Dritten nach § 3 Absatz 4 des E-Government-Gesetzes Nordrhein-Westfalen sowie der medienbruchfreien Übernahme von Formulardaten aus einem elektronischen Ausweisdokument unter Anwesenden nach § 3 Absatz 5 des E-Government-Gesetzes Nordrhein-Westfalen. Außerdem dient Servicekonto.NRW in den Fällen, in denen die nutzende Person die Postkorbfunktion einrichtet, auch zur Übermittlung von Nachrichten und Dokumenten von den Behörden an die nutzende Person.“

Hinsichtlich der Auftragsverarbeitung führt die Datenschutzerklärung Folgendes aus: „Die Verarbeitung der Daten im Rahmen des Servicekonto.NRW erfolgt mit den entsprechend vereinbarten Sicherheitsanforderungen im Rahmen einer Auftragsverarbeitung durch den Dienstleister des KDN:
Zweckverband Kommunales Rechenzentrum Niederrhein (KRZN)
Friedrich-Heinrich-Allee 130
47475 Kamp-Lintfort
Verantwortlich für die Datenverarbeitung bleibt das MHKBD.�� Ich habe keine Anhaltspunkte, zu bezweifeln, dass entsprechende Verträge existieren oder anzunehmen, dass diese nicht den Anforderungen der DS-GVO entsprechen.

Demnach sehe ich ein aufsichtsbehördliches Einschreiten (bspw. in der Form einer eingehenden Prüfung des Sicherheitskonzepts des Servicekonto.NRW) nach pflichtgemäßem Ermessen – orientiert an dem Grundsatz der Verhältnismä��igkeit – derzeit nicht als erforderlich an.

Mit freundlichen Grüßen
Im Auftrag

gez. Dr. ****

--
Dr.-Ing. *********
Referat Technik

Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
Telefon: 0211 38424-253 (Montag bis Donnerstag)
Telefax: 0211 38424-999
E-Mail: referat-t@ldi.nrw.de
Internet: https://www.ldi.nrw.de

Allgemeiner Hinweis zur Erfüllung unserer Informationspflichten gemäß Art. 13, 14 Datenschutz-Grundverordnung: Informationen zur Verarbeitung personenbezogener Daten durch die LDI finden Sie unter
https://www.ldi.nrw.de/informationspflicht.

Allgemeine E-Mail-Adresse: poststelle@ldi.nrw.de
Öffentlicher Schlüssel für allgemeine E-Mail-Adresse:
https://www.ldi.nrw.de/pgp-schluessel