Re: Auskunft zu Verwaltungsportalen?

Von: Unabhängiges Landeszentrum für Datenschutz Schlesw ig-Holstein <mail@datenschutzzentrum.de>
Gesendet: 16.09.2022 17:10
An: Joachim Lindenberg <************@lindenberg.one>, frankechristina@*******.de
Betreff: Re: Auskunft zu Verwaltungsportalen?

Az. 50.01/22.005

Sehr geehrte Frau Franke, sehr geehrter Herr Lindenberg,

vielen Dank für Ihre E-Mail.

> Christina Franke hat im August eine Auskunftsanfrage zusammen mit der
> Bitte um Standmitteilung und Akteneinsicht an Sie und weitere
> Aufsichten gerichtet, deren Reaktionen wir – Christina Franke und
> Joachim Lindenberg – gemeinsam ausgewertet haben. Die Reaktionen waren
> durchwachsen, einige haben überhaupt nicht reagiert.

Ich nehme an, dass Ihnen unsere Antworten von Ende August vorliegen. Die
noch ausstehende Aktenkopie, die Ihnen bereits angekündigt war, sollte
Ihnen heute zugegangen sein.

> In Anbetracht der
> Fülle des Materials, das wir sichten durften, können wir nicht
> ausschließen, dass uns etwas durchgerutscht ist. Wir möchten Ihnen die
> Möglichkeit geben, vor unserer Veröffentlichung – geplant für den
> 20.09.2022 – Stellung zu nehmen, zu den von uns beobachteten Verstößen
> Ihrer Behörde gegen die DSGVO. Selbstverständlich dürfen Sie auch
> gerne fehlende Auskünfte und Unterlagen nachliefern.

Ich habe zur Beantwortung dieser Anfrage die Vorgangsbearbeitung in
Ihren Angelegenheiten ausgewertet und konnte auf dieser Basis Ihre
Kritik, die aus den an eine Vielzahl der Datenschutzaufsichtsbehörden
gesandten Fragen hervorgeht, für die Bearbeitung durch meine Behörde nur
in Teilen nachvollziehen (s.u.). Bei konkreten Nachfragen, die sich aus
der Bearbeitung durch meine Behörde ergeben, können Sie sich gerne melden.

> Darüberhinaus hätten wir gerne konkrete Antworten auf die folgenden
> Fragen:
>
> Wieso erhalten wir (fast) nie ungefragt eine Standmitteilung nach
> Artikel 78 DSGVO?

Handelt es sich lediglich um einen Prüfhinweis - und so war dies, wie
Ihnen bekannt ist, zunächst verstanden worden -, liegt keine Beschwerde
einer betroffenen Person (Art. 77 DSGVO) vor. In den Fällen ist auch
Art. 78 DSGVO nicht einschlägig. Auf eine Mitteilung des Stands wird
dann in der Regel verzichtet; dies wäre auch nicht rechtlich gefordert.

Auf Ihre Schreiben wurde zumeist innerhalb des gebotenen Zeitrahmens
reagiert. In der Tat habe ich aber festgestellt, dass eine Antwort bei
uns längere Zeit in Anspruch genommen hat als erwartet. Hintergrund
waren die Abstimmungsnotwendigkeiten zwischen mehreren Referaten; auch
aufseiten der Ansprechpersonen gab es Verzögerungen durch die
Ministeriumsneuorganisation nach der Landtagswahl. Dies ist sicherlich
einer der Faktoren für eine längere Bearbeitungsdauer.

Das generelle Problem ist aber nicht zu beschönigen: Aufgrund knapper
Ressourcen schaffen wir leider nicht immer eine zeitnahe Mitteilung des
Stands der Verfahren.

> Wieso finden wir (fast) nie eine Kommunikation mit dem
> Verantwortlichen?

Das trifft für die mir vorliegenden Vorgänge nicht zu: Sie finden
Kommunikation mit dem Verantwortlichen in den Vorgängen.

> Wieso wird Beschwerden nur nachgegangen, wenn der Betroffene
> erkennbar Druck macht?
> - Weil Sie lieber Betroffene abwimmeln als die DSGVO durchzusetzen?
> - Weil Sie Kollegen anderer Behörden nicht kritisieren wollen? Weil
> Sie unterstellen, dass die DSGVO im öffentlichen Bereich
> wegen BDSG §43 III sowieso nicht eingehalten wird?
> - Weil Ihnen Artikel 32 (Sicherheit) nicht wichtig ist?

Die Annahme, es würde Beschwerden nur nachgegangen, wenn der Betroffene
erkennbar Druck macht, trifft nicht zu: Es wird jeder Beschwerde einer
betroffenen Person nachgegangen. Es wird aber nicht jedem Prüfhinweis
nachgegangen.

> Hat man sich tatsächlich im Arbeitskreis nur darüber ausgetauscht, wie
> man die Beschwerden am besten abwimmelt oder hat man sich dort auch
> über Erkenntnisse – vielleicht die von Hessen – über die Sicherheit
> der Portale ausgetauscht?

Weil hier offensichtlich ein falscher Eindruck entstanden ist und mir
nicht ganz klar ist, ob Sie Kommunikation meiner Behörde meinen könnten
(zu einem "Abwimmeln" von Beschwerden wäre den von mir dazu befragten
Mitarbeitenden und mir selbst nichts bekannt), habe ich mich in dieser
Frage mit anderen von Ihnen angefragten Datenschutzaufsichtsbehörden
ausgetauscht. Auf dieser Basis kann ich Ihnen - wie es wohl auch andere
Datenschutzaufsichtsbehörden bereits formuliert haben - Folgendes mitteilen:

Datenschutzrechtliche Fragen hinsichtlich der Verwaltungsportale und des
Nutzerkontos spielen in der Beratungspraxis eine wichtige Rolle in der
Arbeit der einzelnen Datenschutzaufsichtsbehörden und auch in der
Kontaktgruppe OZG der DSK (früher UAK Portallösungen). Die Kontaktgruppe
tauscht sich dabei regelmäßig auch über die Erkenntnisse einzelner
Behörden aus. Die Unterstellung, dass die Datenschutzaufsichtsbehörden
sich in diesem Rahmen mit dem "Abwimmeln" von Beschwerden befassen
würden, ist falsch und entbehrt jeder Grundlage.

Für Nachfragen - bitte konkret bezüglich der Bearbeitung durch meine
Behörde - stehe ich zur Verfügung.

Mit freundlichen Grüßen

Marit Hansen

--
Landesbeauftragte für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel, Tel. +49 431 988-1200, Fax -1223
mail@datenschutzzentrum.de - https://www.datenschutzzentrum.de/

Informationen über die Verarbeitung der personenbezogenen Daten durch
die Landesbeauftragte für Datenschutz und zur verschlüsselten E-Mail-
Kommunikation: https://datenschutzzentrum.de/datenschutz/