ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte
Antrag nach dem IFG/UIG/VIG
Sehr geehrte Damen und Herren,
zur Wahl wurde die "ID Wallet" für die breite Öffentlichkeit publiziert, durch Regierungsvertreter beworben und rund 4000 digitale Identitäten erzeugt. Dies zeigt eine Massenverarbeitung personenbezogener Daten von potentiell allen Bundesbürgern an. ("unbeschränkte Anwendung")
Die "ID Wallet" setzt hierbei auf die i.Allg. "Blockchain" genannte distributed ledger Technologie (DLT). Die Publikation wurde gestoppt nachdem eine Reihe von Sicherheitsproblemen bekannt geworden sind.
Die BSI TR-03116-4 hätte definitiv Anwendung finden müssen, im Feld eingesetzte QR-Codes werden jedoch zu "http://"-URLs (ohne TLS) übersetzt. Häufig auch nur IP-Adressen und "wilde" Port-Adressen oder kryptische für den Nutzer unverständliche Hostnamen der Clouddienste. TLS ist in der Infrastruktur nicht vorgesehen.
Die Datenschutzerklärung des Herstellers der "ID Wallet" führt(e) u.a. eine Datenverarbeitung der Nutzer bei Amazon AWS, Google Cloud und Microsoft Azure auf.
Laut Bundesregierung betreut der BfDI das Projekt "sichere digitale Identitäten".
Daher bitte ich Sie mir Folgendes zu zu senden:
- Wie kommt der BfDI zum Schluß daß es sich hierbei um eine "private App" handelt und nicht geprüft werden müsse?
- Hat eine datenschutzrechtliche Konsultation, Beratung oder Begutachtung stattgefunden?
- Welche datenschutzrechtlichen Aspekte zu Wallets und "Blockchains" wurden mit dem Bundeskanzleramt und/oder den Auftragnehmern erörtert?
- Hat eine datenschutzrechtliche Abnahme der neuen Basistechnologie, des Konzepts und des Betriebsszenarios stattgefunden?
- Welche Vorgaben macht der BfDI für die Massenverarbeitung von Personendaten, welche Bit-genau aus hoheitlichen Ausweisen (eID) und Datenbanken (Führerschein) extrahiert, übernommen, gespeichert und als identische digitale Kopie wieder zum Einsatz gebracht werden?
- Sind "Wallets" und "Blockchains" grundsätzlich im Masseneinsatz im größten EU Mitgliedsstaat ohne weiteres mit der DSGVO vereinbar?
DLTs / Blockchains sind per Definition offene und verteilte Datenbanken, die wahlweise nicht nur Schlüssel, sondern auch Daten und Unmengen von Transaktionshistorien (z.Vgl. Crypto Währungen wie Bitcoin) enthalten.
- Bezugnehmend auf die Diskussionen beim Einsatz von Blockchains beim Impfpass: wenn Daten verschlüsselt in der "Blockchain" gespeichert werden, welche Vorgaben und Prüfungen werden unternommen, um Watermarking Attacken und somit eine Rekonstruktion von Informationen zu verhinden?
- Welche Anforderungen werden bei Wallets an die "Terminal Authentication" (z.Vgl. eID) bzw. "relying party authentication", d.h. die Überprüfung einer anfragenden Stelle, die klare und deutliche Visualisierung ggü. dem Nutzer und eine klare Einwilliung durch den Nutzer gestellt? Wie stellt man sicher, dass der Nutzer bewusst handelt und nicht etwa ausgetrickst wird und so seine Daten an Identitätsdiebe verschickt?
(Das verwendete Protokoll (W3C DID) der Technologie sieht keine Prüfung der relying party vor.)
- Wurde im Rahmen der bekanntgewordenen Sicherheitsprobleme und vor allem der gravierenden architektonischen Probleme ein möglicher DSGVO-Verstoß durch das Bundeskanzleramt (Verletzung der Aufsichts- und Kontrollpflicht als öffentlicher Auftraggeber) oder die beauftragten Dienstleister (Generalunternehmer, Subunternehmer, Partner) untersucht? Wenn nein, wann ist dies nach aktueller Kenntnis geplant?
- Ist sich der BfDI seiner Aufgabe im Sinne des Bürgerschutzes bewusst?
- Bitte übersenden Sie auch jedwede Kommunikation mit den betreffenden Instanzen zu den vorgenannten Punkten.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG).
Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren.
Ich verweise auf § 7 Abs. 5 IFG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.
Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!
Mit freundlichen Grüßen
Ergebnis der Anfrage
Stand: 2021-12-18 01:30
Wir werten die Unterlagen im Detail immer noch aus. Eine ganz wichtige Botschaft ist die in der Öffentlichkeit bisher verschwiegene "Zusammenlegung" der IDWallet und der Smart eID. Persönlich (CK) halte ich dies für brandgefährlich. Lesenswert ist auch das Sicherheitskonzept der "IBM Indy Blockchain" genannten Lösung (IBM Hyperledger Indy).
Inhalte ich möchte an dieser Stelle hier noch nicht bewerten. Weiterhin wird offenbar, dass sowohl der BfDI als auch das BSI bereits früh die richtigen Fragen gestellt haben und gemäß dem Dialog das BKAmt nur sehr schwer glaubhaft machen kann von den Kritikpunkten nicht unterrichtet worden zu sein. Aus meiner (CK) Perspektive ist das sehr wohl geschehen und wurde auch vom BKAmt beantwortet. Sehr vorbildlich und hilfreich bei der Einordnung der Geschehnisse ist auch die Antwort vom 22.11.2021 unter https://fragdenstaat.de/anfrage/id-wall…. Gerade aus der journalistischen Perspektive werden die Zusammenhänge der Dinge damit sicherlich klarer.
Insbesondere sehr erfreulich ist die Antwort auf Frage 10. Ich gebe zu, mir war klar dass ich die Fragen ketzerisch stelle und Danke für die Antwort. :-)
Stand: 2021-11-11 21:00
Der BfDI hat mit seiner Antwort zum IFG Antrag in sehr ausführlicher und vorbildlicher Art und Weise die Sachlage dokumentiert. An dieser Stelle stellvertretend für die Zivilgesellschaft mein verbindlichster Dank für die Mühen und vor allem sehr fristgerechten Zuarbeit.
Eine vollständige Sichtung durch Experten auf Antragsteller Seite steht durch den Umfang des Materials derzeit noch aus: es handelt sich um 31 Anlagen, die offenen Auges und mit Konzentration zu sichten, einzusortieren und zu bewerten sind.
Vorab sei darauf hingewiesen, dass der BfDI beide in Deutschland vertretenen Systeme "IDWallet" und "Smart eID" betreut und folglich dokumentiert hat. "Smart eID" darf hierbei jedoch NICHT mit der "IDWallet"/"Ökosystem digitale Identitäten" verwechselt werden, da es sich hierbei um eine Lösung ohne "Blockchain"/DLT, dafür aber mit sog. Secure Elements handelt. Ich finde dies dient einer sehr guten Gegenüberstellung, um zu verstehen dass wir bereits mehr als zwei Systeme (+Ausweis) allein in Deutschland haben und wie diese sich aus Datenschutzsicht zueinander und ggü. den Bürgern verhalten.
Ich werde die Zusammenfassung ergänzen/anpassen sobald aus der Sichtung Erkenntnisse hinzugekommen sind. Viel Spaß beim Lesen und Danke.
Anfrage erfolgreich
-
Datum12. Oktober 2021
-
16. November 2021
-
33 Follower:innen
- Von
- << Anfragesteller:in >>
- Betreff
- ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte [#231046]
- Datum
- 12. Oktober 2021 22:18
- An
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Status
- Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:33
- Status
- Anfrage abgeschlossen
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:35
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:37
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:40
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:41
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:43
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:47
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:50
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:53
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:55
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:58
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 17:59
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
- Datum
- 11. November 2021 18:00
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
- Von
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Betreff
- AW: ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte [#231046]
- Datum
- 22. November 2021 15:28
- Status
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!
- Von
- << Anfragesteller:in >>
- Betreff
- AW: ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte [#231046]
- Datum
- 18. Dezember 2021 01:09
- An
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Status
- E-Mail wurde erfolgreich versendet.
Melden Sie ein Problem
Bitte melden Sie sich an
Um ein Problem bei dieser Nachricht melden zu können, müssen Sie eingeloggt sein.