Von: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein <mail@datenschutzzentrum.de>
Gesendet: 18.10.2022 18:37
An: Joachim Lindenberg <************@lindenberg.one>
Betreff: Re: Auskunft zu Verwaltungsportalen?
Az. 50.01/22.005
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre E-Mail!
Meine Antworten und Kommentare habe ich eingefügt:
> Datum: Mon, 19 Sep 2022 12:25:19 +0200
> Von: Joachim Lindenberg <************@lindenberg.one>
> An: mail@datenschutzzentrum.de
>
> Sehr geehrte Frau Hansen,
>
> vielen Dank für Ihre Antwort und auch die Zusendung der ausstehenden
> Aktenkopie an Christina Franke, die mir inzwischen auch vorliegt.
>
> Die Formulierungen "abwimmeln" und "fast nie" waren zugegeben
> provokant und treffen natürlich unterschiedlich stark zu. Wie in
> unserer Tabelle und Text dargestellt wird, wurde (bisher) nur bei
> einer Beschwerde (Hessen) anscheinend etwas gefunden, aber auch bei
> der bleibt unklar, was gefunden wurde und was dagegen unternommen
> wird. Zwei wurden abgelehnt, ohne dass der Verantwortliche eine
> Stellungnahme abgeben musste. Die anderen muss man als offen
> betrachten, und auch bei denen ist selten zu erkennen, wie ernsthaft
> der Beschwerde nachgegangen wird. >
> Das geht nicht nur Christina so: von den 18 meiner eigenen
> Beschwerden, die älter als 6 Monate sind, sind 6 abgelehnt (eine
> davon beim ULD über Dataport - LD42-26.01722.00), bei 4 wurde eine
> Ablehnung angekündigt, der ich widersprochen habe, seitdem passiert
> nichts und es ist unklar, ob da noch etwas passiert, 7 sind offen.
> Einer einzigen wurde stattgegeben. Und bei dieser letzten vermute ich
> stark, dass ihr stattgegeben wurde, weil Gerichte bereits
> entsprechend entschieden haben und es daher peinlich für die Aufsicht
> gewesen wäre, anders zu entscheiden. >
> Diese beiden Blitzlichter sind selbstverständlich nicht unbedingt
> repräsentativ. Bei einer Anfrage einer Freundin letztes Jahr hat der
> BfDI angegeben, er habe keine Statistiken zur Dauer und dem Erfolg von
> Beschwerden. Sollten Sie für Ihr Haus dazu Zahlen haben, sehe ich mir
> die sehr gerne an.
Danke dafür, doch derartige Zahlen liegen auch hier nicht vor.
> Diese summarischen Feststellungen treffen in der Tat auf Ihr Haus nur
> teilweise zu. Allerdings sind Christina und ich mit der Bearbeitung
> der Beschwerde zumindest hinsichtlich der konsequenten
> Verschlüsselung nicht zufrieden. In LD3 50.02/22.004 Seite 20 finden
> wir "Dieser Beschwerdepunkt ist nicht hinreichend konkret
> vorgetragen. ... Dass weitergehende Verschlüsselungmaßnahmen ..
> gefordert sind, geht aus den Regelungen des Artikel 32 Abs. 1 DSGVO
> nicht hervor. ..." und "Vorgehen: Es ist gegenwärtig keine Beschwer
> der Petentin nachzuvollziehen." Das war am 25.03. und damit nach
> meiner Beschwerde/Mitteilung an Sie, dass Dataport Sicherheit nicht
> ernst nimmt. Noch am 29.06. schreiben Sie Christina, dass
> Verschlüsselung nicht geschuldet wird, obwohl spätestens dann aus
> meiner Veröffentlichung zu Dataport die Diskrepanz von fehlender
> Verschlüsselung und Schutzbedarf hoch bekannt war. Mir ist klar, dass
> Juristen sich da im Kreis drehen und in den Kommentaren zu
> Verschlüsselung im wesentlichen steht "man sollte vielleicht, aber
> man muss nicht" - eine ernsthafte Auseinandersetzung mit den
> Gefährdungen aka "Risiko für die Rechte der betroffenen Person" würde
> hingegen ein ziemlich klares Muss ergeben -
> https://blog.lindenberg.one/VerschlusselungPflicht. Da und auch was
> die Qualitätsprobleme der Softwareentwicklung - erkennbar
> insbesondere auch in den iKFZ-Revisionen und der Kommunikation mit
> dem Kraftfahrtbundesamt - alles zu finden unter
> https://blog.lindenberg.one/BeschwerdeDataport - würden wir uns schon
> mehr Durchsetzungskraft durch die Aufsicht wünschen, und m.W. ist
> Ihre Behörde federführend für Dataport.
Die Argumente sind vermutlich schon ausreichend ausgetauscht: Es ist
nach Art. 32 DSGVO stets das Set an technischen und organisatorischen
Maßnahmen entscheidend. Auch wenn der Wortlaut nicht so zu verstehen
ist, dass Verschlüsselung eine stets zu treffende Pflichtmaßnahme ist,
gehört sie doch zu der Menge an typischen Maßnahmen und verdient auch
besondere Aufmerksamkeit.
> Sehr gerne würde ich auch die Kommunikation und ggfs. auch die
> Protokolle von Besprechungen der von Ihnen genannten Arbeitsgruppe
> Kontaktgruppe OZG (aka AK Verwaltung, aka UAK Portallösungen)
> einsehen. Vielleicht gibt es auch eine entsprechende Arbeitsgruppe der
> Dataport-Länder. Können Sie das bitte in die Wege leiten oder mir
> verraten bei wem ich die bekomme?
Ich habe gesehen, dass Sie eine parallele Anfrage auch an andere
Behörden gestellt haben, darunter auch - so hätte ich es auch empfohlen;
Sie haben es dann selbst getan - an den Vorsitz des AK Verwaltung. Was
die Herausgabe von Protokollen des AK Verwaltung angeht, bitte ich
deswegen um Verständnis, dass ich lediglich auf den Vorsitz verweise.
Es gibt zudem eine Arbeitsgruppe der Dataport-Trägerländer, in der
etwaige Prüfplanungen in Bezug auf Dataport besprochen werden. Ich habe
die Möglichkeit der Herausgabe dieser Informationen an Sie geprüft: Der
Herausgabe dieser Information würde § 9 Abs. 1 Nr. 3 IZG-SH
("Vertraulichkeit der Beratungen von informationspflichtigen Stellen")
entgegenstehen. So kann ich Ihnen (oder anderen, einschließlich der oder
den zu prüfenden Stelle(n)) zurzeit nichts davon herausgeben. Aber:
Sobald keine Ausschlussgründe mehr bestehen, kann ich Ihnen Zugang zu
den Dokumenten gewähren. Eine Wiedervorlage habe ich für den Zeitpunkt
des Abschlusses der in dieser Arbeitsgruppe thematisierten Prüfungen
verfügt, um dann erneut über die Herausgabe entscheiden zu können. Es
tut mir leid, dass dies vermutlich für Sie unbefriedigend ist.
> Hilfreich wäre natürlich, wenn man Schwärzungen aufgrund von
> Personenbezug bzw. Dritten von solchen, die - wie das BSI in
>
https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf
> schreibt - die öffentliche Sicherheit gefährden, weil sie dem
> Angreifer Informationen geben, unterscheiden könnte. Vielleicht können
> Sie dafür eine andere Farbe nehmen?
Danke für den Hinweis; für viele Situationen ist dies eine gute Idee.
Bei künftigen Herausgaben werden wir dies im Blick haben.
Mit freundlichen Grüßen
Marit Hansen
--
Landesbeauftragte für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel, Tel. +49 431 988-1200, Fax -1223
mail@datenschutzzentrum.de - https://www.datenschutzzentrum.de/
Informationen über die Verarbeitung der personenbezogenen Daten durch
die Landesbeauftragte für Datenschutz und zur verschlüsselten E-Mail-
Kommunikation: https://datenschutzzentrum.de/datenschutz/