Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 19.09.2022 12:25
An: <mail@datenschutzzentrum.de>
Betreff: AW: Auskunft zu Verwaltungsportalen?
Sehr geehrte Frau Hansen,
vielen Dank für Ihre Antwort und auch die Zusendung der ausstehenden
Aktenkopie an Christina Franke, die mir inzwischen auch vorliegt.
Die Formulierungen "abwimmeln" und "fast nie" waren zugegeben provokant und
treffen natürlich unterschiedlich stark zu. Wie in unserer Tabelle und Text
dargestellt wird, wurde (bisher) nur bei einer Beschwerde (Hessen)
anscheinend etwas gefunden, aber auch bei der bleibt unklar, was gefunden
wurde und was dagegen unternommen wird. Zwei wurden abgelehnt, ohne dass der
Verantwortliche eine Stellungnahme abgeben musste. Die anderen muss man als
offen betrachten, und auch bei denen ist selten zu erkennen, wie ernsthaft
der Beschwerde nachgegangen wird.
Das geht nicht nur Christina so: von den 18 meiner eigenen Beschwerden, die
älter als 6 Monate sind, sind 6 abgelehnt (eine davon beim ULD über
Dataport - LD42-26.01722.00), bei 4 wurde eine Ablehnung angekündigt, der
ich widersprochen habe, seitdem passiert nichts und es ist unklar, ob da
noch etwas passiert, 7 sind offen. Einer einzigen wurde stattgegeben. Und
bei dieser letzten vermute ich stark, dass ihr stattgegeben wurde, weil
Gerichte bereits entsprechend entschieden haben und es daher peinlich für
die Aufsicht gewesen wäre, anders zu entscheiden.
Diese beiden Blitzlichter sind selbstverständlich nicht unbedingt
repräsentativ. Bei einer Anfrage einer Freundin letztes Jahr hat der BfDI
angegeben, er habe keine Statistiken zur Dauer und dem Erfolg von
Beschwerden. Sollten Sie für Ihr Haus dazu Zahlen haben, sehe ich mir die
sehr gerne an.
Diese summarischen Feststellungen treffen in der Tat auf Ihr Haus nur
teilweise zu. Allerdings sind Christina und ich mit der Bearbeitung der
Beschwerde zumindest hinsichtlich der konsequenten Verschlüsselung nicht
zufrieden. In LD3 50.02/22.004 Seite 20 finden wir "Dieser Beschwerdepunkt
ist nicht hinreichend konkret vorgetragen. ... Dass weitergehende
Verschlüsselungmaßnahmen .. gefordert sind, geht aus den Regelungen des
Artikel 32 Abs. 1 DSGVO nicht hervor. ..." und "Vorgehen: Es ist gegenwärtig
keine Beschwer der Petentin nachzuvollziehen." Das war am 25.03. und damit
nach meiner Beschwerde/Mitteilung an Sie, dass Dataport Sicherheit nicht
ernst nimmt. Noch am 29.06. schreiben Sie Christina, dass Verschlüsselung
nicht geschuldet wird, obwohl spätestens dann aus meiner Veröffentlichung zu
Dataport die Diskrepanz von fehlender Verschlüsselung und Schutzbedarf hoch
bekannt war. Mir ist klar, dass Juristen sich da im Kreis drehen und in den
Kommentaren zu Verschlüsselung im wesentlichen steht "man sollte vielleicht,
aber man muss nicht" - eine ernsthafte Auseinandersetzung mit den
Gefährdungen aka "Risiko für die Rechte der betroffenen Person" würde
hingegen ein ziemlich klares Muss ergeben -
https://blog.lindenberg.one/VerschlusselungPflicht. Da und auch was die
Qualitätsprobleme der Softwareentwicklung - erkennbar insbesondere auch in
den iKFZ-Revisionen und der Kommunikation mit dem Kraftfahrtbundesamt -
alles zu finden unter https://blog.lindenberg.one/BeschwerdeDataport -
würden wir uns schon mehr Durchsetzungskraft durch die Aufsicht wünschen,
und m.W. ist Ihre Behörde federführend für Dataport.
Sehr gerne würde ich auch die Kommunikation und ggfs. auch die Protokolle
von Besprechungen der von Ihnen genannten Arbeitsgruppe Kontaktgruppe OZG
(aka AK Verwaltung, aka UAK Portallösungen) einsehen. Vielleicht gibt es
auch eine entsprechende Arbeitsgruppe der Dataport-Länder. Können Sie das
bitte in die Wege leiten oder mir verraten bei wem ich die bekomme?
Hilfreich wäre natürlich, wenn man Schwärzungen aufgrund von Personenbezug
bzw. Dritten von solchen, die - wie das BSI in
https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf
schreibt - die öffentliche Sicherheit gefährden, weil sie dem Angreifer
Informationen geben, unterscheiden könnte. Vielleicht können Sie dafür eine
andere Farbe nehmen?
Mit freundlichen Grüßen
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
<mail@datenschutzzentrum.de>
Gesendet: Freitag, 16. September 2022 17:11
An: Joachim Lindenberg <************@lindenberg.one>;
frankechristina@outlook.de
Betreff: Re: Auskunft zu Verwaltungsportalen?
Az. 50.01/22.005
Sehr geehrte Frau Franke, sehr geehrter Herr Lindenberg,
vielen Dank für Ihre E-Mail.
> Christina Franke hat im August eine Auskunftsanfrage zusammen mit der >
Bitte um Standmitteilung und Akteneinsicht an Sie und weitere > Aufsichten
gerichtet, deren Reaktionen wir – Christina Franke und > Joachim
Lindenberg – gemeinsam ausgewertet haben. Die Reaktionen waren >
durchwachsen, einige haben überhaupt nicht reagiert.
Ich nehme an, dass Ihnen unsere Antworten von Ende August vorliegen. Die
noch ausstehende Aktenkopie, die Ihnen bereits angekündigt war, sollte Ihnen
heute zugegangen sein.
> In Anbetracht der
> Fülle des Materials, das wir sichten durften, können wir nicht >
ausschließen, dass uns etwas durchgerutscht ist. Wir möchten Ihnen die >
Möglichkeit geben, vor unserer Veröffentlichung – geplant für den >
20.09.2022 – Stellung zu nehmen, zu den von uns beobachteten Verstößen >
Ihrer Behörde gegen die DSGVO. Selbstverständlich dürfen Sie auch > gerne
fehlende Auskünfte und Unterlagen nachliefern.
Ich habe zur Beantwortung dieser Anfrage die Vorgangsbearbeitung in Ihren
Angelegenheiten ausgewertet und konnte auf dieser Basis Ihre Kritik, die aus
den an eine Vielzahl der Datenschutzaufsichtsbehörden gesandten Fragen
hervorgeht, für die Bearbeitung durch meine Behörde nur in Teilen
nachvollziehen (s.u.). Bei konkreten Nachfragen, die sich aus der
Bearbeitung durch meine Behörde ergeben, können Sie sich gerne melden.
> Darüberhinaus hätten wir gerne konkrete Antworten auf die folgenden >
Fragen:
>
> Wieso erhalten wir (fast) nie ungefragt eine Standmitteilung nach >
Artikel 78 DSGVO?
Handelt es sich lediglich um einen Prüfhinweis - und so war dies, wie Ihnen
bekannt ist, zunächst verstanden worden -, liegt keine Beschwerde einer
betroffenen Person (Art. 77 DSGVO) vor. In den Fällen ist auch Art. 78 DSGVO
nicht einschlägig. Auf eine Mitteilung des Stands wird dann in der Regel
verzichtet; dies wäre auch nicht rechtlich gefordert.
Auf Ihre Schreiben wurde zumeist innerhalb des gebotenen Zeitrahmens
reagiert. In der Tat habe ich aber festgestellt, dass eine Antwort bei uns
längere Zeit in Anspruch genommen hat als erwartet. Hintergrund waren die
Abstimmungsnotwendigkeiten zwischen mehreren Referaten; auch aufseiten der
Ansprechpersonen gab es Verzögerungen durch die Ministeriumsneuorganisation
nach der Landtagswahl. Dies ist sicherlich einer der Faktoren für eine
längere Bearbeitungsdauer.
Das generelle Problem ist aber nicht zu beschönigen: Aufgrund knapper
Ressourcen schaffen wir leider nicht immer eine zeitnahe Mitteilung des
Stands der Verfahren.
> Wieso finden wir (fast) nie eine Kommunikation mit dem >
Verantwortlichen?
Das trifft für die mir vorliegenden Vorgänge nicht zu: Sie finden
Kommunikation mit dem Verantwortlichen in den Vorgängen.
> Wieso wird Beschwerden nur nachgegangen, wenn der Betroffene
> erkennbar Druck macht?
> - Weil Sie lieber Betroffene abwimmeln als die DSGVO durchzusetzen?
> - Weil Sie Kollegen anderer Behörden nicht kritisieren wollen? Weil
> Sie unterstellen, dass die DSGVO im öffentlichen Bereich
> wegen BDSG §43 III sowieso nicht eingehalten wird?
> - Weil Ihnen Artikel 32 (Sicherheit) nicht wichtig ist?
Die Annahme, es würde Beschwerden nur nachgegangen, wenn der Betroffene
erkennbar Druck macht, trifft nicht zu: Es wird jeder Beschwerde einer
betroffenen Person nachgegangen. Es wird aber nicht jedem Prüfhinweis
nachgegangen.
> Hat man sich tatsächlich im Arbeitskreis nur darüber ausgetauscht, wie
> man die Beschwerden am besten abwimmelt oder hat man sich dort auch
> über Erkenntnisse – vielleicht die von Hessen – über die Sicherheit
> der Portale ausgetauscht?
Weil hier offensichtlich ein falscher Eindruck entstanden ist und mir
nicht ganz klar ist, ob Sie Kommunikation meiner Behörde meinen könnten
(zu einem "Abwimmeln" von Beschwerden wäre den von mir dazu befragten
Mitarbeitenden und mir selbst nichts bekannt), habe ich mich in dieser
Frage mit anderen von Ihnen angefragten Datenschutzaufsichtsbehörden
ausgetauscht. Auf dieser Basis kann ich Ihnen - wie es wohl auch andere
Datenschutzaufsichtsbehörden bereits formuliert haben - Folgendes mitteilen:
Datenschutzrechtliche Fragen hinsichtlich der Verwaltungsportale und des
Nutzerkontos spielen in der Beratungspraxis eine wichtige Rolle in der
Arbeit der einzelnen Datenschutzaufsichtsbehörden und auch in der
Kontaktgruppe OZG der DSK (früher UAK Portallösungen). Die Kontaktgruppe
tauscht sich dabei regelmäßig auch über die Erkenntnisse einzelner
Behörden aus. Die Unterstellung, dass die Datenschutzaufsichtsbehörden
sich in diesem Rahmen mit dem "Abwimmeln" von Beschwerden befassen
würden, ist falsch und entbehrt jeder Grundlage.
Für Nachfragen - bitte konkret bezüglich der Bearbeitung durch meine
Behörde - stehe ich zur Verfügung.
Mit freundlichen Grüßen
Marit Hansen
--
Landesbeauftragte für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel, Tel. +49 431 988-1200, Fax -1223
mail@datenschutzzentrum.de - https://www.datenschutzzentrum.de/
Informationen über die Verarbeitung der personenbezogenen Daten durch
die Landesbeauftragte für Datenschutz und zur verschlüsselten E-Mail-
Kommunikation: https://datenschutzzentrum.de/datenschutz/