Auf Mastodon teilen

Sehr geehrte Damen und Herren, mit meiner Beschwerde vom 23.03.2022 bzgl. der Abforderung sensibler personenbezogener Daten per Mail seitens der Stadt Magdeburg (https://fragdenstaat.de/anfrage/datenschutzbeschwerde-gegen-die-stadt-magdeburg-abforderung-sensibler-personenbezogener-daten-per-mail/) teilten Sie mir am 30.03.2022 bezugnehmend auf meine Aussage über Falschparkeranzeigen mit, dass für diese Versendung „..Transportverschlüsselung wird [...] im Regelfall nicht ausreichen können.“ Außerdem verwiesen Sie auf die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. Mai 2021 Dadurch bestätigen Sie in meinen Augen das, was ich schon lange annahm, wozu ich aber schwieg, um nicht die Impfmaßnahmen der Stadt und des Landes zu unterminieren. Nun möchte ich aber, da die Tätigkeit eingestellt wurde, Datenschutzbeschwerde in tausenden Fällen einreichen. Derzeit warte ich noch auf die Datenschutzfolgenabschätzung, die ich bereits beim Gesundheitsamt abgefordert habe (https://fragdenstaat.de/anfrage/datenschutzfolgenabschatzung-terminbuchungssystem-coronaschutzimpfung/), aber möchte nun auf Grund Ihrer Mailaussage bereits jetzt Beschwerde einreichen. Die Stadt als verantwortliche Stelle etablierte Impfzentren und ein digitales Anmeldesystem in Form des Terminbuchungskalenders unter https://impfzentrum.termin-direkt.de/ in Zusammenarbeit mit einem Unternehmen in Ungarn. Mir fiel allerdings schon vor Monaten auf, dass die Terminbuchungsbestätigungen, welche per Mail versandt wurden, nicht verschlüsselt waren. Ihren Ausführungen ist zu entnehmen, dass die KFZ-Kennzeichen als pseudonyme Daten bereits ein so hohes schutzwürdiges Gut sind, dass wohl die Ende-zu-Ende-Verschlüsselung anzusetzen wäre. Wie kann es also sein, dass alle Terminbuchenden eine unverschlüsselte Mail mit ihrem Termin erhalten? Schlimmer noch, in dieser Rückmail sind Name, Anschrift, Geburtsdatum und Art der Impfung enthalten. Es handelt sich dabei somit um besonders sensible Gesundheitsdaten, die wohl nur mittels Ende-zu-Ende-Verschlüsselung hätten versendet werden dürfen. Der Anbieter und somit auch die Stadt als Verantwortliche Stelle ist somit Ihrer Pflicht der Prüfung ihres Datenverarbeiters nicht nachgekommen und hat somit Datenschutzverstöße in tausenden Fällen begangen. Gern zitiere ich auch noch einmal aus dem von Ihnen erwähnten Dokument: „4.2.2. Versand von E-Mail-Nachrichten bei hohem Risiko: Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.“ Des Weiteren ist es sehr eigenartig, dass eine Seite, die für solch sensible Datenerfassungen verantwortlich ist, in ihrer Datenschutzerklärung auf die Nutzung von Google Analytics hinweist, ohne dass man die Möglichkeit hätte, dieses Tracking zu deaktivieren. Somit gelangte Google indirekt zu Daten, wer sich gern impfen lassen wollte oder eine entsprechende Buchung durchführte. Zur Datenspeicherung seitens des Anbieters ist zu lesen „Zeitraum der Datenspeicherung: Die Daten werden in der Datenbasis des Terminbuchungssystems höchstens 3 Jahre lang ab dem letzten gebuchten Termin des Kunden des Benutzers aufbewahrt.“ In Art. 25 Abs. 2 DSGVO heißt es „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.[..]“ Eine Speicherdauer von bis zu 3 Jahren erschließt sich mir nicht. Insgesamt bekommt man das Gefühl, dass die gesamte Datenschutzerklärung nicht dem Zweck eines Impfsystem mit Gesundheitsdaten entspricht und hier einfach eine möglichst billige Lösung seitens der Stadt eingekauft wurde, die nicht auf ihre Datenschutzkonformität geprüft wurde. Ich gehe davon aus, dass resultierend aus Ihrer weiteren Analyse und des Vorliegens einer Datenschutzverletzung, sämtliche Betroffenen somit einen immateriellen Schaden gegen das Gesundheitsamt bzw. die Stadt Magdeburg geltend machen können. Wenn die Stadt von ihren Bürgern datenschutzkonformes Verhalten fordert, möge sie sich doch bitte zuerst einmal an die eigene Nase fassen. MfG [geschwärzt] [geschwärzt] Anfragenr: 245850 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt] Postanschrift [geschwärzt] [geschwärzt], [geschwärzt] Adresse [geschwärzt]

Az.: 2.2 4311/31-5.79 Sehr << Anrede >> ehrlich gesagt fehlt mir ein wenig die Muße und Energie. Menschen die Falschparker per Mail anzeigen, wird Datenschutzverletzung unterstellt und mit Bußgeld belegt. Wenn die Stadt aber Gesundheitsdaten unverschlüsselt versendet, dann ist das okay. Wenn Sie als Datenschutzbeauftragter keine Lust haben, sich in die Sache reinzudenken, is das okay. Diese Kommunikation ist bereits an die Presse gegangen. (MDR, Volksstimme, diverse Datenschutzportale..) Übrigens hat mir die Stadt die Datenschutzfolgenabschätzung des Buchungskalenders für die Impfungen geschickt. Gibt es hier zu lesen. https://fragdenstaat.de/anfrage/datenschutzfolgenabschatzung-terminbuchungssystem-coronaschutzimpfung/691131/anhang/Risiko-undDatenschutzfolgeabschtzung_geschwaerzt.pdf Ich habe mir erlaubt die Mitarbeiterdaten zu schwärzen, die ich da bekam. Wir wollen ja keine weitere Datenschutzverletzung der Stadt öffentlich machen, oder? Interessant ist aber, dass man keine besonderen Kategorien personenbezogener Daten in der Abschätzung sieht. Schon komisch, wenn man doch angibt (angab), ob Zweitimpfung, Boosterung etc. Indirekt weiß man so, die Person hat Impfung 1-2 oder 3. Meiner Ansicht nach Gesundheitsdaten... Es ist schon traurig, dass sie nur handeln wollen, wenn jemand persönlich betroffen ist. Ihnen also die tausende anderen Leute egal sind. Aber is okay. Wird so weiterkommuniziert. Einer zeigt Falschparker an: Bußgeld. Jemand weist auf Verstöße der Stadt in tausenden Fällen hin... ne...da können wir nix machen. Aber Moment, wie konnten Sie ein Bußgeld verhängen, wenn sich niemand als persönlich betroffener Falschparker beschwert hat, sondern das ganze vom Ordnungsamt ausging? Können Sie vielleicht doch ohne persönliche Betroffenheit handeln? Es sollte doch woh klar sein, welche Verarbeitungsvorgänge gemeint sind. Gesundheitsdaten die per Mail versandt wurden. UNVERSCHLÜSSELT and die Leute, die Termin gebucht haben! Sie bekamen sämtliche Daten , die sie auf der Webseite eingaben, wie Art der Impfung, ihre Anschrift, name etc. per Mail nochmal zugesandt. UNVERSCHLÜSSELT! Hab ich aber glaube in der ersten Mail schon geschrieben. ich hab aber keien lust nochmal zu lesen. Und ja ich nutze Frag den Staat. damit es öffentlich ist! Schönen Tag noch! Anfragenr: 245850 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/245850/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >>