ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte

Antrag nach dem IFG/UIG/VIG

Sehr geehrte Damen und Herren,

zur Wahl wurde die "ID Wallet" für die breite Öffentlichkeit publiziert, durch Regierungsvertreter beworben und rund 4000 digitale Identitäten erzeugt. Dies zeigt eine Massenverarbeitung personenbezogener Daten von potentiell allen Bundesbürgern an. ("unbeschränkte Anwendung")

Die "ID Wallet" setzt hierbei auf die i.Allg. "Blockchain" genannte distributed ledger Technologie (DLT). Die Publikation wurde gestoppt nachdem eine Reihe von Sicherheitsproblemen bekannt geworden sind.
Die BSI TR-03116-4 hätte definitiv Anwendung finden müssen, im Feld eingesetzte QR-Codes werden jedoch zu "http://"-URLs (ohne TLS) übersetzt. Häufig auch nur IP-Adressen und "wilde" Port-Adressen oder kryptische für den Nutzer unverständliche Hostnamen der Clouddienste. TLS ist in der Infrastruktur nicht vorgesehen.
Die Datenschutzerklärung des Herstellers der "ID Wallet" führt(e) u.a. eine Datenverarbeitung der Nutzer bei Amazon AWS, Google Cloud und Microsoft Azure auf.

Laut Bundesregierung betreut der BfDI das Projekt "sichere digitale Identitäten".
Daher bitte ich Sie mir Folgendes zu zu senden:

- Wie kommt der BfDI zum Schluß daß es sich hierbei um eine "private App" handelt und nicht geprüft werden müsse?
- Hat eine datenschutzrechtliche Konsultation, Beratung oder Begutachtung stattgefunden?
- Welche datenschutzrechtlichen Aspekte zu Wallets und "Blockchains" wurden mit dem Bundeskanzleramt und/oder den Auftragnehmern erörtert?
- Hat eine datenschutzrechtliche Abnahme der neuen Basistechnologie, des Konzepts und des Betriebsszenarios stattgefunden?
- Welche Vorgaben macht der BfDI für die Massenverarbeitung von Personendaten, welche Bit-genau aus hoheitlichen Ausweisen (eID) und Datenbanken (Führerschein) extrahiert, übernommen, gespeichert und als identische digitale Kopie wieder zum Einsatz gebracht werden?
- Sind "Wallets" und "Blockchains" grundsätzlich im Masseneinsatz im größten EU Mitgliedsstaat ohne weiteres mit der DSGVO vereinbar?
DLTs / Blockchains sind per Definition offene und verteilte Datenbanken, die wahlweise nicht nur Schlüssel, sondern auch Daten und Unmengen von Transaktionshistorien (z.Vgl. Crypto Währungen wie Bitcoin) enthalten.
- Bezugnehmend auf die Diskussionen beim Einsatz von Blockchains beim Impfpass: wenn Daten verschlüsselt in der "Blockchain" gespeichert werden, welche Vorgaben und Prüfungen werden unternommen, um Watermarking Attacken und somit eine Rekonstruktion von Informationen zu verhinden?
- Welche Anforderungen werden bei Wallets an die "Terminal Authentication" (z.Vgl. eID) bzw. "relying party authentication", d.h. die Überprüfung einer anfragenden Stelle, die klare und deutliche Visualisierung ggü. dem Nutzer und eine klare Einwilliung durch den Nutzer gestellt? Wie stellt man sicher, dass der Nutzer bewusst handelt und nicht etwa ausgetrickst wird und so seine Daten an Identitätsdiebe verschickt?
(Das verwendete Protokoll (W3C DID) der Technologie sieht keine Prüfung der relying party vor.)
- Wurde im Rahmen der bekanntgewordenen Sicherheitsprobleme und vor allem der gravierenden architektonischen Probleme ein möglicher DSGVO-Verstoß durch das Bundeskanzleramt (Verletzung der Aufsichts- und Kontrollpflicht als öffentlicher Auftraggeber) oder die beauftragten Dienstleister (Generalunternehmer, Subunternehmer, Partner) untersucht? Wenn nein, wann ist dies nach aktueller Kenntnis geplant?
- Ist sich der BfDI seiner Aufgabe im Sinne des Bürgerschutzes bewusst?
- Bitte übersenden Sie auch jedwede Kommunikation mit den betreffenden Instanzen zu den vorgenannten Punkten.

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG).
Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren.
Ich verweise auf § 7 Abs. 5 IFG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.

Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

Ergebnis der Anfrage

Stand: 2021-12-18 01:30
Wir werten die Unterlagen im Detail immer noch aus. Eine ganz wichtige Botschaft ist die in der Öffentlichkeit bisher verschwiegene "Zusammenlegung" der IDWallet und der Smart eID. Persönlich (CK) halte ich dies für brandgefährlich. Lesenswert ist auch das Sicherheitskonzept der "IBM Indy Blockchain" genannten Lösung (IBM Hyperledger Indy).
Inhalte ich möchte an dieser Stelle hier noch nicht bewerten. Weiterhin wird offenbar, dass sowohl der BfDI als auch das BSI bereits früh die richtigen Fragen gestellt haben und gemäß dem Dialog das BKAmt nur sehr schwer glaubhaft machen kann von den Kritikpunkten nicht unterrichtet worden zu sein. Aus meiner (CK) Perspektive ist das sehr wohl geschehen und wurde auch vom BKAmt beantwortet. Sehr vorbildlich und hilfreich bei der Einordnung der Geschehnisse ist auch die Antwort vom 22.11.2021 unter https://fragdenstaat.de/anfrage/id-wall…. Gerade aus der journalistischen Perspektive werden die Zusammenhänge der Dinge damit sicherlich klarer.
Insbesondere sehr erfreulich ist die Antwort auf Frage 10. Ich gebe zu, mir war klar dass ich die Fragen ketzerisch stelle und Danke für die Antwort. :-)

Stand: 2021-11-11 21:00
Der BfDI hat mit seiner Antwort zum IFG Antrag in sehr ausführlicher und vorbildlicher Art und Weise die Sachlage dokumentiert. An dieser Stelle stellvertretend für die Zivilgesellschaft mein verbindlichster Dank für die Mühen und vor allem sehr fristgerechten Zuarbeit.
Eine vollständige Sichtung durch Experten auf Antragsteller Seite steht durch den Umfang des Materials derzeit noch aus: es handelt sich um 31 Anlagen, die offenen Auges und mit Konzentration zu sichten, einzusortieren und zu bewerten sind.
Vorab sei darauf hingewiesen, dass der BfDI beide in Deutschland vertretenen Systeme "IDWallet" und "Smart eID" betreut und folglich dokumentiert hat. "Smart eID" darf hierbei jedoch NICHT mit der "IDWallet"/"Ökosystem digitale Identitäten" verwechselt werden, da es sich hierbei um eine Lösung ohne "Blockchain"/DLT, dafür aber mit sog. Secure Elements handelt. Ich finde dies dient einer sehr guten Gegenüberstellung, um zu verstehen dass wir bereits mehr als zwei Systeme (+Ausweis) allein in Deutschland haben und wie diese sich aus Datenschutzsicht zueinander und ggü. den Bürgern verhalten.
Ich werde die Zusammenfassung ergänzen/anpassen sobald aus der Sichtung Erkenntnisse hinzugekommen sind. Viel Spaß beim Lesen und Danke.

Anfrage erfolgreich

  • Datum
    12. Oktober 2021
  • Frist
    16. November 2021
  • 33 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, zur Wahl wurde die "ID Wallet" für die breite Öffentl…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
<< Anfragesteller:in >>
Betreff
ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte [#231046]
Datum
12. Oktober 2021 22:18
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, zur Wahl wurde die "ID Wallet" für die breite Öffentlichkeit publiziert, durch Regierungsvertreter beworben und rund 4000 digitale Identitäten erzeugt. Dies zeigt eine Massenverarbeitung personenbezogener Daten von potentiell allen Bundesbürgern an. ("unbeschränkte Anwendung") Die "ID Wallet" setzt hierbei auf die i.Allg. "Blockchain" genannte distributed ledger Technologie (DLT). Die Publikation wurde gestoppt nachdem eine Reihe von Sicherheitsproblemen bekannt geworden sind. Die BSI TR-03116-4 hätte definitiv Anwendung finden müssen, im Feld eingesetzte QR-Codes werden jedoch zu "http://"-URLs (ohne TLS) übersetzt. Häufig auch nur IP-Adressen und "wilde" Port-Adressen oder kryptische für den Nutzer unverständliche Hostnamen der Clouddienste. TLS ist in der Infrastruktur nicht vorgesehen. Die Datenschutzerklärung des Herstellers der "ID Wallet" führt(e) u.a. eine Datenverarbeitung der Nutzer bei Amazon AWS, Google Cloud und Microsoft Azure auf. Laut Bundesregierung betreut der BfDI das Projekt "sichere digitale Identitäten". Daher bitte ich Sie mir Folgendes zu zu senden: - Wie kommt der BfDI zum Schluß daß es sich hierbei um eine "private App" handelt und nicht geprüft werden müsse? - Hat eine datenschutzrechtliche Konsultation, Beratung oder Begutachtung stattgefunden? - Welche datenschutzrechtlichen Aspekte zu Wallets und "Blockchains" wurden mit dem Bundeskanzleramt und/oder den Auftragnehmern erörtert? - Hat eine datenschutzrechtliche Abnahme der neuen Basistechnologie, des Konzepts und des Betriebsszenarios stattgefunden? - Welche Vorgaben macht der BfDI für die Massenverarbeitung von Personendaten, welche Bit-genau aus hoheitlichen Ausweisen (eID) und Datenbanken (Führerschein) extrahiert, übernommen, gespeichert und als identische digitale Kopie wieder zum Einsatz gebracht werden? - Sind "Wallets" und "Blockchains" grundsätzlich im Masseneinsatz im größten EU Mitgliedsstaat ohne weiteres mit der DSGVO vereinbar? DLTs / Blockchains sind per Definition offene und verteilte Datenbanken, die wahlweise nicht nur Schlüssel, sondern auch Daten und Unmengen von Transaktionshistorien (z.Vgl. Crypto Währungen wie Bitcoin) enthalten. - Bezugnehmend auf die Diskussionen beim Einsatz von Blockchains beim Impfpass: wenn Daten verschlüsselt in der "Blockchain" gespeichert werden, welche Vorgaben und Prüfungen werden unternommen, um Watermarking Attacken und somit eine Rekonstruktion von Informationen zu verhinden? - Welche Anforderungen werden bei Wallets an die "Terminal Authentication" (z.Vgl. eID) bzw. "relying party authentication", d.h. die Überprüfung einer anfragenden Stelle, die klare und deutliche Visualisierung ggü. dem Nutzer und eine klare Einwilliung durch den Nutzer gestellt? Wie stellt man sicher, dass der Nutzer bewusst handelt und nicht etwa ausgetrickst wird und so seine Daten an Identitätsdiebe verschickt? (Das verwendete Protokoll (W3C DID) der Technologie sieht keine Prüfung der relying party vor.) - Wurde im Rahmen der bekanntgewordenen Sicherheitsprobleme und vor allem der gravierenden architektonischen Probleme ein möglicher DSGVO-Verstoß durch das Bundeskanzleramt (Verletzung der Aufsichts- und Kontrollpflicht als öffentlicher Auftraggeber) oder die beauftragten Dienstleister (Generalunternehmer, Subunternehmer, Partner) untersucht? Wenn nein, wann ist dies nach aktueller Kenntnis geplant? - Ist sich der BfDI seiner Aufgabe im Sinne des Bürgerschutzes bewusst? - Bitte übersenden Sie auch jedwede Kommunikation mit den betreffenden Instanzen zu den vorgenannten Punkten. Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG). Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen
Antragsteller/in Antragsteller/in Anfragenr: 231046 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/231046/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 Der Bundesbeauftragte für den Datenschutz und die Informati…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:33
Status
Anfrage abgeschlossen
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Az.: 25-780/004 II#0826 Sehr [geschwärzt], in der Anlage übersende ich Ihnen ein Schreiben in der oben genannten Angelegenheit. Aufgrund der Größe der Anlagen erfolgt eine Übersendung in mehreren Teilen. Mit freundlichen Grüßen [geschwärzt] [geschwärzt] ******************************************************************************** [geschwärzt] [geschwärzt], [geschwärzt], [geschwärzt], [geschwärzt] [geschwärzt], [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] [geschwärzt] [geschwärzt] ******************************************************************************** [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt], [geschwärzt]
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 2. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:35
Status
2. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 3. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:37
Status
3. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 4. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:40
Status
4. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 5. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:41
Status
5. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 6. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:43
Status
6. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 7. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:47
Status
7. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 8. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:50
Status
8. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 9. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:53
Status
9. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 10. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:55
Status
10. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 11. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:58
Status
11. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 12. Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 17:59
Status
12. Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826 13. und letzter Teil
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Informationsfreiheitsgesetz (IFG) # 25-780/004 II#0826
Datum
11. November 2021 18:00
Status
13. und letzter Teil
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 21-206-6/015#0095 Sehr Antragsteller/in m…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
AW: ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte [#231046]
Datum
22. November 2021 15:28
Status
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 21-206-6/015#0095 Sehr Antragsteller/in mit E-Mail vom 12.10.2021 haben Sie einen IFG-Antrag gestellt, der gesondert bearbeitet wird. Ihre E-Mail enthielt jenseits dessen weitere, unten aufgeführte Fragen (Nummerierung durch mich), die ich als Bürgeranfrage hiermit gerne beantworte. 1. Wie kommt der BfDI zum Schluss dass es sich hierbei um eine "private App" handelt und nicht geprüft werden müsse? 2. Hat eine datenschutzrechtliche Konsultation, Beratung oder Begutachtung stattgefunden? 3. Welche datenschutzrechtlichen Aspekte zu Wallets und "Blockchains" wurden mit dem Bundeskanzleramt und/oder den Auftragnehmern erörtert? 4. Hat eine datenschutzrechtliche Abnahme der neuen Basistechnologie, des Konzepts und des Betriebsszenarios stattgefunden? Aufgrund des Sachzusammenhangs der obigen Fragen erfolgt hierzu die nachstehendende Gesamtantwort: Der BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes und berät die Bundesregierung bei deren Projekten, die den Datenschutz berühren. Für das ID-Wallet-Ökosystem entwickelt die Bundesregierung technische Vorgaben. Die zugehörige ID-Wallet-App wird von der Digital Enabling GmbH, Langen (Hessen), herausgegeben, für die der hessische Beauftragte für den Datenschutz und die Informationsfreiheit zuständig ist. Ich habe die Bundesregierung seit Februar 2021 zunächst aus Anlass der Vorbereitung der Pilotumsetzung „Hotel-Check-In“ beraten. Aufgrund der aufsichtsbehördlichen Zuständigkeit der Landesdatenschutzbehörden für Hotel-Betreiber, erfolgte meine Beratung mit Blick auf diese geplante spätere allgemeine Verwendung bezüglich des Konzepts als „Ökosystem“. Allerdings konnte ich bereits zu diesem Zeitpunkt Fragen und Hinweise adressieren, die sowohl das Pilotprojekt, als auch die spätere breitere Verwendung betreffen. Diese betrafen unter anderem die Zweckmäßigkeit der Blockchain-Technologie, die Sicherheit der ID-Wallet-App und die Möglichkeit den Anschein offizieller Dokumente im System zu erwecken. Ich habe auch komplexe datenschutzrechtliche Fragen, die sich beim Einsatz der Blockchain-Technologie ergeben, adressiert. Inhaltlich fokussierte sich die Beratung immer auf das Teilprojekt der Bundesregierung mit dem Ziel mit der sogenannten Basis-ID aus dem elektronischen Personalausweis abgeleitete Identifikationsdaten in der ID-Wallet bereitzustellen. Diese Beratung ist aber noch nicht abgeschlossen.. Die von Ihnen als Anlass Ihrer Anfrage angegebene Veröffentlichung der die ID-Wallet-App am 23.09.2021 erfolgte nicht mit der Basis-ID, sondern mit dem Führerschein-Nachweis als erstem Anwendungsfall. Weder über diesen Veröffentlichungszeitpunkt noch über die Planungen zur Einbindung des Führerschein-Nachweises war ich informiert. In allen Beratungen vertrete ich eine durchgängige Position: Ein System, das Bürgerinnen und Bürgern ihre Identifikationsdaten und weitere Attribute wie Zeugnisse in eigene Hoheit gibt, begrüße ich prinzipiell. Allerdings führt der Ansatz, dass Betroffene selber die Daten verwalten, alleine nicht zur Datensouveränität. Es muss auch sichergestellt sein, dass sie informiert und ohne Nachteile entscheiden können, wem sie welche Daten offenbaren. Deshalb muss es ein Regelwerk geben, das Verantwortliche benennt und Bürgerinnen und Bürger systematisch vor mächtigeren Handelnden schützt. Technisch muss die Lösung so ausgereift sein, dass sie in der Lage ist Betrug und Datenabfluss zu verhindern. Wenn personenbezogene Daten auf der Blockchain verarbeitet werden, muss es dazu einen Verantwortlichen geben, an den sich Betroffene wenden können. Dieser müsste dann in der Lage sein insbesondere auch das Recht auf Löschung oder Korrektur wahrzunehmen, was in einer auf Unveränderlichkeit ausgelegten Struktur wie der Blockchain eine Herausforderung ist. In allen geplanten Anwendungen des ID-Wallet-Ökosystems ist die Bundesregierung nicht datenschutzrechtlich Verantwortliche der App. Für die Übertragung von Daten in die App ist jeweils die diese Daten in die App einspeisenden Stelle und für den Vorgang des „Ausweisens“ mit Hilfe der App jeweils die ausweisprüfende Stelle verantwortlich. Die Verantwortlichkeit im datenschutzrechtlichen Sinne hat derjenige, der personenbezogene Daten mithilfe der App verarbeitet, nicht der Herausgeber der App. 5. Welche Vorgaben macht der BfDI für die Massenverarbeitung von Personendaten, welche Bit-genau aus hoheitlichen Ausweisen (eID) und Datenbanken (Führerschein) extrahiert, übernommen, gespeichert und als identische digitale Kopie wieder zum Einsatz gebracht werden? Antwort: Hier gilt, dass bei der Verarbeitung personenbezogener Daten alle einschlägigen datenschutzrechtlichen Vorgaben einzuhalten sind. Bei der Bewertung eines Datenverarbeitungsverfahrens werden auch die Aspekte die Aspekte der Herkunft von Daten und ggf. deren Bestätigung durch Dritte berücksichtigt. Im hier betrachteten Fall werden die Daten unmittelbar aus den genannten Quellen übernommen, wodurch diese eine hohe Wertigkeit erhalten. Die Echtheitsbestätigung im ersten Fall erfolgt jedoch durch den Aussteller der Basis-ID, d.h. die Echtheitsbestätigung durch den hoheitlichen Ausweis wird nur (technisch) übernommen. Ein besonderes Augenmerk habe ich hierbei in meinen Beratungen auf die Aspekte der Integritätserhaltung nach der Übertragung der Identitätsdaten auf die Basis-ID sowie der Sicherstellung der Personenbindung der Wallet-App gelegt. Dabei habe ich auch dargelegt, dass zur Identifikation und Persistierung von Identifikationsdaten das eID-System zu bevorzugen sei, bei dem Verantwortlichkeiten bereits etabliert sind, das Sicherheitsniveau bekannt und eine klare Rechtsgrundlage vorhanden ist. 6. Sind "Wallets" und "Blockchains" grundsätzlich im Masseneinsatz im größten EU Mitgliedsstaat ohne weiteres mit der DSGVO vereinbar? DLTs / Blockchains sind per Definition offene und verteilte Datenbanken, die wahlweise nicht nur Schlüssel, sondern auch Daten und Unmengen von Transaktionshistorien (z.Vgl. Crypto Währungen wie Bitcoin) enthalten. Antwort: Die DSGVO gilt auch für die von Ihnen skizzierten Technologien technikneutral für alle Anwendungsbereiche, in denen personenbezogene Daten verarbeitet werden, mit Ausnahme der Bereiche, die in den Anwendungsbereich der RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, fallen. Konkret hängt die Datenschutzkonformität insbesondere davon, ob, und wenn ja welche, personenbezogenen Daten auf der Blockchain gespeichert werden, wer diese dort speichert, und wer wiederum Zugriff auf die Blockchain hat. Sofern personenbezogene Daten auf der Blockchain gespeichert werden, so sind neben der Vertraulichkeit dieser Daten auch die Intervenierbarkeit (u.a. Recht auf Löschung und Korrektur) und Nicht-Verkettbarkeit (insbesondere im Zusammenhang mit einer vollständigen Transaktionshistorie) zu betrachten. Die europäischen Datenschutz-Aufsichtsbehörden sind derzeit dabei, ein Leitliniendokument zum Thema Blockchain zu erarbeiten, in dem auch auf diese Aspekte näher eingegangen wird. Ich erlaube mir, hier auch auf Kapitel 9 des Dokumentes „Blockchain sicher gestalten“ (https://www.bsi.bund.de/SharedDocs/Do...) zu verweisen, welches das BSI in Zusammenarbeit mit dem BfDI erarbeitet hat. 7. Bezugnehmend auf die Diskussionen beim Einsatz von Blockchains beim Impfpass: wenn Daten verschlüsselt in der "Blockchain" gespeichert werden, welche Vorgaben und Prüfungen werden unternommen, um Watermarking Attacken und somit eine Rekonstruktion von Informationen zu verhinden? Antwort: Wie bereits in der Antwort zu Frage 6 ausgeführt, ist die Nicht-Verkettbarkeit zu beachten. Eine Verkettung von Einträgen auf der Blockchain, d.h. eine Zuordnung verschiedener zu einer (a priori nicht notwendigerweise identifizierten) Person ist zu vermeiden, da über diese Verkettung in vielen Fällen dennoch ein Personenbezug hergestellt werden könnte. Dieses Risiko steigt, je mehr Daten für die Analyse zur Verfügung stehen. Insofern ist dieses Ziel von Anfang an (privacy by design) zu berücksichtigen. In diesem Zusammenhang weise ich darauf hin, dass auch verschlüsselte personenbezogene Daten weiterhin personenbezogene Daten sind und dass es zum „datenschutzrechtlich wirksamen“ Löschen in vielen Fällen nicht ausreichend sein wird, den zur Verschlüsselung verwendeten kryptographischen Schlüssel zu löschen. Dies ist insbesondere im Zusammenhang mit Nutzungsszenarien zu beachten, in denen verschlüsselte personenbezogene Daten in öffentlichen Blockchains gespeichert werden sollen. Konkrete Maßnahmen sind in diesem Zusammenhang – wie oben bereits dargestellt – abhängig vom konkreten Anwendungsfall. 8. Welche Anforderungen werden bei Wallets an die "Terminal Authentication" (z.Vgl. eID) bzw. "relying party authentication", d.h. die Überprüfung einer anfragenden Stelle, die klare und deutliche Visualisierung ggü. dem Nutzer und eine klare Einwilliung durch den Nutzer gestellt? Wie stellt man sicher, dass der Nutzer bewusst handelt und nicht etwa ausgetrickst wird und so seine Daten an Identitätsdiebe verschickt? (Das verwendete Protokoll (W3C DID) der Technologie sieht keine Prüfung der relying party vor.) Antwort: Die Souveränität des Nutzers über seine personenbezogenen Daten setzt nicht nur voraus, dass er kontrollieren kann, wann er diese Daten übermittelt, sondern dass er auch verlässliche Kontrolle darüber hat, an wen er sie übermittelt bzw. wem sie offenbart werden. Insbesondere bei einer Einwilligung als rechtlicher Grundlage für eine Datenverarbeitung ist das Vorliegen einer informierten Einwilligung essentiell, d.h. die Einwilligung muss für den konkreten Fall und in Kenntnis der Sachlage abgegeben werden. Hierfür muss natürlich auch klar sein, was mit den personenbezogenen Daten geschehen soll, insbesondere an wen und zu welchem Zweck sie übermittelt werden. Dabei muss die Einwilligung freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet werden, vgl. Art. 4 Nr. 11 DSGVO. Ein deutlicher Fingerzeig darauf, was unter „unmissverständlich“ zu verstehen ist, ergibt sich aus Erwägungsgrund 32 DSGVO: Möglich wäre etwa das „Anklicken eines Kästchens beim Besuch einer Internetseite, […] die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder […] eine andere Erklärung oder Verhaltensweise […], mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Auch hier gilt wieder, dass eine konkrete Bewertung vom Anwendungsfall abhängt. Es ist aber unzweifelhaft, dass bei einer Wallet-Anwendung durch die inhärente Verknüpfung von Daten aus verschiedenen Quellen in der Wallet und damit ggf. auch bei einer Übermittlung an Dritte der Informiertheit des Nutzers eine besondere Rolle zukommt. Im Sinne von security and privacy by design sind im Allgemeinen sichere technische Lösungen – unter Beachtung der weiteren Kriterien des Artikel 25 (1) DSGVO -- anderen Maßnahmen vorzuziehen, die das Risiko für den Nutzer einseitig auf diesen abwälzen. 9. Wurde im Rahmen der bekanntgewordenen Sicherheitsprobleme und vor allem der gravierenden architektonischen Probleme ein möglicher DSGVO-Verstoß durch das Bundeskanzleramt (Verletzung der Aufsichts- und Kontrollpflicht als öffentlicher Auftraggeber) oder die beauftragten Dienstleister (Generalunternehmer, Subunternehmer, Partner) untersucht? Wenn nein, wann ist dies nach aktueller Kenntnis geplant? Antwort: Ich gehe davon aus, dass Sie sich mit dieser Frage auf die Meldungen mit Bezug auf die Veröffentlichungen der ID-Wallet als digitaler Führerscheinnachweis vom 23.09.2021 und den darauffolgenden Pressemeldungen beziehen. Hierzu habe ich das Bundeskanzleramt zur Stellungnahme aufgefordert, welcher Art die Sicherheitsverletzung war und ob insbesondere die Vertraulichkeit von personenbezogenen Daten gefährdet war (Identitätsdiebstahl). Anhand der mir vorliegenden Unterlagen, konnte ich in der stattgefundenen Datenverarbeitung während der kurzen Veröffentlichung des digitalen Führerscheinnachweises keine Verletzung des Schutzes personenbezogener Daten erkennen und damit kein Risiko für die Rechte und Freiheiten natürlicher Personen. Es bleibt Ihnen natürlich unbenommen, diesbezüglich an das Bundeskanzleramt und dessen Dienstleister unmittelbar heranzutreten. 10. Ist sich der BfDI seiner Aufgabe im Sinne des Bürgerschutzes bewusst? Antwort: Da dies im Rahmen seiner Zuständigkeit zu seinen gesetzlichen Aufgaben zählt, dürfen Sie beim BfDI vom Vorhandensein eines entsprechenden Bewusstseins ausgehen. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
Sehr << Anrede >> Sehr Antragsteller/in Sehr geehrte Damen und Herren, Sehr geehrter Herr Kelber, ver…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
<< Anfragesteller:in >>
Betreff
AW: ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte [#231046]
Datum
18. Dezember 2021 01:09
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> Sehr Antragsteller/in Sehr geehrte Damen und Herren, Sehr geehrter Herr Kelber, verzeihen Sie mir bitte meine späte Antwort. Die letzten Wochen waren sehr turbulent. Ich möchte Ihnen an dieser Stelle ganz ausdrücklich und von Herzen danken, dass Sie sich die Mühe gemacht haben in diesem Umfang und Ausführlichkeit zu antworten. Wir wissen dies alles sehr zu schätzen und sind auch dankbar, dass für die entstandenen Aufwände keine extra Gebühren eingefordert worden sind. Und ich freue mich sehr, dass wir uns bei Frage 10 auf Sie verlassen können. Und ein dickes Danke aus Richtung der Zivilgesellschaft, dass Sie solch ein positives Vorbild sind an dem sich bestimmte Behörden gewiss gern auch ein Beispiel nehmen könnten, um den Dialog zwischen Staat, Verwaltung und Bürgern zu verbessern. Es ist heute beruhigend zu wissen, dass es auch "die gute Seite" noch gibt. Wir sind nach wie vor mit der Auswertung beschäftigt. Insbesondere die Verquickung zwischen ID-Wallet und Smart eID wirft sorgenerfüllte Fragen auf. Als langjähriger Treiber hinter der Idee der Smart-eID kann ich daran nicht viel Sinnstiftendes und Gutes finden. Danke für die Information auf alle Fälle. Zeit in Anspruch nehmen wird auch noch die genaue Bewertung des eMail Dialogs, da sich hierbei abzeichnet, dass durch BfDI und BSI durchaus bereits sehr früh die absolut richtigen Fragen gestellt worden sind und das BKAmt nur sehr schwer glaubhaft machen kann "von nichts gewusst" zu haben. In jedem Fall wünsche ich Ihnen persönlich eine frohe Weihnachtszeit, einen guten Rutsch in das neue Jahr, bleiben Sie und Ihre Lieben gesund und munter und haben Sie trotz aller Widrigkeiten eine gute und erholsame Zeit. Vielen Dank und mit den besten Grüßen, Antragsteller/in Antragsteller/in Anfragenr: 231046 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/231046/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>

Dokumente