Sicherheit des Verwaltungsportals

Antrag IZG-SH / Beschwerde nach Artikel 77 DSGVO

Sehr geehrte Damen und Herren,

Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschl… und https://fragdenstaat.de/anfrage/verschl… und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein.

Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschl… aufgezählt habe. Im Fall Schleswig-Holstein sind das

* eine abweichende Domäne zwischen Portal und gesendeten Emails,
* die Verpflichtung zum Postfach.

Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder.

Da meines Wissens Auftragsverarbeiter beauftragt sind, bitte ich Sie auch zu prüfen ob entsprechend Artikel 28 DSGVO entsprechende Verträge geschlossen wurden. Die widerwilligen Antworten auf die Anfragen von Frau Maier - https://fragdenstaat.de/anfragen/?user=… - lassen mich vermuten, dass Verträge fehlen oder keine Artikel 32 DSGVO - Stand der Technik - erfüllenden TOMs enthalten.

Ich bitte außerdem darum mir mitzuteilen, ob das Verwaltungsportal einer Datenschutzkontrolle unterzogen wurde und entsprechende Bericht nach dem Informationsfreiheits-/Transparenzgesetz zu veröffentlichen.

Dies ist ein Antrag gemäß § 4 Abs. 1 Informationszugangsgesetz Schleswig-Holstein (IZG-SH) auf Zugang nach Informationen nach § 3 IZG-SH sowie § 1 des Gesetz zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen im Sinne des § 2 Abs. 1 VIG betroffen sind.

Sollten aus Ihrer Sicht Kosten für die Gewährung des Zuganges zu den erbetenen Informationen anfallen, bitte ich Sie mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Bitte teilen Sie mir auch dann mit, auf welche Regelung Sie die Kostenerhebung stützen und warum diese anfallen.

Ich bitte Sie, mir die Informationen sobald wie möglich, spätestens jedoch mit Ablauf eines Monats zugänglich zu machen (vgl. § 5 Abs. 2 Satz 1 IZG-SH/§ 5 Abs. 2 VIG).

Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte.

Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

Ergebnis der Anfrage

Die Aufsichten bearbeiten diese Beschwerde(n) nur sehr schleppend. Mehr Informationen auf https://blog.lindenberg.one/PortalBesch….

Antwort verspätet

Warte auf Antwort
  • Datum
    21. November 2021
  • Frist
    24. Dezember 2021
  • Ein:e Follower:in
Christina Franke
Antrag IZG-SH / Beschwerde nach Artikel 77 DSGVO Sehr geehrte Damen und Herren, Ich muss anzweifeln, dass die Ve…
An Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Details
Von
Christina Franke
Betreff
Sicherheit des Verwaltungsportals [#233414]
Datum
21. November 2021 15:51
An
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag IZG-SH / Beschwerde nach Artikel 77 DSGVO Sehr geehrte Damen und Herren, Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ und https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein. Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ aufgezählt habe. Im Fall Schleswig-Holstein sind das * eine abweichende Domäne zwischen Portal und gesendeten Emails, * die Verpflichtung zum Postfach. Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder. Da meines Wissens Auftragsverarbeiter beauftragt sind, bitte ich Sie auch zu prüfen ob entsprechend Artikel 28 DSGVO entsprechende Verträge geschlossen wurden. Die widerwilligen Antworten auf die Anfragen von Frau Maier - https://fragdenstaat.de/anfragen/?user=v.maier_3 - lassen mich vermuten, dass Verträge fehlen oder keine Artikel 32 DSGVO - Stand der Technik - erfüllenden TOMs enthalten. Ich bitte außerdem darum mir mitzuteilen, ob das Verwaltungsportal einer Datenschutzkontrolle unterzogen wurde und entsprechende Bericht nach dem Informationsfreiheits-/Transparenzgesetz zu veröffentlichen. Dies ist ein Antrag gemäß § 4 Abs. 1 Informationszugangsgesetz Schleswig-Holstein (IZG-SH) auf Zugang nach Informationen nach § 3 IZG-SH sowie § 1 des Gesetz zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen im Sinne des § 2 Abs. 1 VIG betroffen sind. Sollten aus Ihrer Sicht Kosten für die Gewährung des Zuganges zu den erbetenen Informationen anfallen, bitte ich Sie mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Bitte teilen Sie mir auch dann mit, auf welche Regelung Sie die Kostenerhebung stützen und warum diese anfallen. Ich bitte Sie, mir die Informationen sobald wie möglich, spätestens jedoch mit Ablauf eines Monats zugänglich zu machen (vgl. § 5 Abs. 2 Satz 1 IZG-SH/§ 5 Abs. 2 VIG). Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen
Christina Franke Anfragenr: 233414 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233414/ Postanschrift Christina Franke << Adresse entfernt >> << Adresse entfernt >>
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Az. 18.01/21.029 Sehr geehrte Frau Franke, vielen Dank für 1. Ihren Antrag nach IZG-SH sowie 2. Ihre Beschwerde…
Von
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Betreff
Re: Sicherheit des Verwaltungsportals [#233414]
Datum
20. Dezember 2021 16:27
Status
Warte auf Antwort
Az. 18.01/21.029 Sehr geehrte Frau Franke, vielen Dank für 1. Ihren Antrag nach IZG-SH sowie 2. Ihre Beschwerde nach Art. 77 DSGVO. Zu 1. Antrag nach IZG-SH ------------------------ Sie bitten um Mitteilung, ob das Verwaltungsportal einer Datenschutzkontrolle unterzogen wurde. Hierzu kann ich Ihnen antworten: Meine Dienststelle hat das Verwaltungsportal bisher nicht einer Datenschutzkontrolle unterzogen. Demgemäß liegt uns auch kein Prüfbericht zu dem Verwaltungsportal vor, den wir auf Basis des IZG-SH zur Verfügung stellen könnten. Zu 2. Beschwerde nach Art. 77 DSGVO ----------------------------------- Sie meinen Hinweise auf mögliche Verletzungen des Art. 32 DSGVO erkannt zu haben und regen eine Prüfung durch meine Behörde an. In Ihrer Nachricht verweisen Sie auch auf Antworten an eine andere Anfragende - in diesem Zusammenhang teile ich mit, dass meine Behörde in diesem Fall einbezogen wurde und mit E-Mail vom 17.12.2021 letztmalig in der Sache geantwortet hat: https://fragdenstaat.de/anfrage/siche... Zusammenfassend bestehen aus unserer Sicht bislang keine eindeutigen Anzeichen für Verletzungen des Art. 32 DSGVO. Davon unabhängig werden wir aber in nächster Zeit das Thema der Verwaltungsportale näher in den Blick nehmen. Über unsere Ergebnisse werden wir dann in geeigneter Form (z.B. über eine Veröffentlichung im jährlichen Tätigkeitsbericht) informieren. Mit freundlichen Grüßen
Christina Franke
Sehr << Anrede >> als Betroffene habe ich m.W. einen Anspruch darauf, dass Sie meiner Beschwerde nach…
An Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Details
Von
Christina Franke
Betreff
AW: Re: Sicherheit des Verwaltungsportals [#233414]
Datum
21. Dezember 2021 09:08
An
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> als Betroffene habe ich m.W. einen Anspruch darauf, dass Sie meiner Beschwerde nachgehen und mich nach Artikel 78 DSGVO informieren. Mit freundlichen Grüßen Christina Franke Anfragenr: 233414 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233414/
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sehr geehrte Damen und Herren, hiermit bestätigen wir den Eingang Ihrer E-Mail. Über die Hausleitung wurde diese i…
Von
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Betreff
Re: Sicherheit des Verwaltungsportals [#233414]
Datum
22. Dezember 2021 09:34
Status
Warte auf Antwort
Sehr geehrte Damen und Herren, hiermit bestätigen wir den Eingang Ihrer E-Mail. Über die Hausleitung wurde diese in das für Sie zuständige Referat weitergeleitet. Nach Prüfung des Sachverhalts werden Sie von dort weitere Nachricht erhalten. Mit freundlichen Grüßen
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Ihre Beschwerde vom 21.12.2021
Von
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Via
Briefpost
Betreff
Ihre Beschwerde vom 21.12.2021
Datum
29. Juni 2022
Status
Warte auf Antwort
Christina Franke
AW: Ihre Beschwerde vom 21.12.2021 - LD3-50.01/22.004 [#233414]
Sehr << Anrede >> da ich die Öffentli…
An Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Details
Von
Christina Franke
Betreff
AW: Ihre Beschwerde vom 21.12.2021 - LD3-50.01/22.004 [#233414]
Datum
11. Juli 2022 18:17
An
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> da ich die Öffentlichkeit bei einem Problem das potentiell alle Bürger angeht nicht scheue, würde ich sehr gerne weiter mit Ihnen über Frag-Den-Staat kommunizieren. Natürlich können Sie auch weiter Zeit und Geld verschenken in dem Sie die Post zum Übermitteln benutzen, aber sinnvoll erscheint mir das nicht. Ad 1) Kennen Sie die Veröffentlichung https://blog.lindenberg.one/BeschwerdeDataport von Herrn Lindenberg? Inbesondere in der Mail an Ihre Kollegen in Hamburg - https://blog.lindenberg.one/documents/LD42-26.01722.00/202205211416%20Lindenberg-LfDHH%20M1_1031_2022%20-%20Dataport.eml - bemängelt er ein fehlendes Verschlüsselungskonzept. Insofern ist zwar unstrittig die Vordertür - Browser bis Rechenzentrum - verschlüsselt, aber nicht alle interne Kommunikation oder Speicherung von Daten. Auch die verlinkte Stellungnahme des BSIs - https://fragdenstaat.de/anfrage/versc... - spricht Bände. Grundschutzkonform bedeutet eben nicht sicher. Dass Juristen Verschlüsselung als nicht von der DSGVO gefordert sehen bedeutet eben nur, dass die meisten Juristen die Technik nicht verstehen. Auch das können Sie ausführlich unter https://blog.lindenberg.one/VerschlusselungPflicht nachlesen. Immerhin fordert auch der Grundschutz bei hohem Schutzbedarf eine verschlüsselte Ablage - aber wie Herr Lindenberg in der Email an Ihre Kollegen schreibt - ist das nicht konsequent umgesetzt worden. Ad 2) Also wollen Sie lieber ca. 3 Millionen Benutzer für Schleswig-Holstein, alle Dataport-Kunden zusammen nochmal mehr, mit einer bestimmt großen Fehlerquote über die abweichende Domäne informieren - vielleicht sogar barrierefrei - als dass Dataport die eigentlich zu erwartetende Domäne als Absender verwendet? Man kann so bestimmt Steuergelder verbrennen... Ad 3) Ich halte diese Position für weltfremd aber werde hier einfach mal abwarten wann ich die erste Spam erhalte. Ad 4) Da bin ich auch gespannt auf das Ergebnis. Hat das Ministerium einen Termin genannt, bis wann das umgesetzt sein soll? Ad 5) Herr Lindenberg hat auf der bereits genannten Seite auch die Verträge veröffentlicht, und in meinen Augen weichen die von der Substanz ganz erheblich von üblichen Auftragsverarbeitungsverträgen ab. Insbesondere wird zwar in SSLA Teil A grundschutzkonformer Betrieb versprochen, aber da der Grundschutz Wahlrechte erlaubt ist das sehr unspezifisch. Auch wird keine grundschutzkonformer Softwareentwicklung versprochen. In SSLA Teil B werden nur Gefährdungen, keine konrekten Maßnahmen aufgezählt. Es liegt also ein Vertrag vor, aber er ist weitgehend inhaltsleer, und erfüllt damit in meinen Augen nicht die Anforderungen von Artikel 28 DSGVO. Dass nicht nur der Vertrag sondern auch die Umsetzung mangelhaft ist ergibt sich auch aus den Revisionsberichten, insofern weitere Verstöße gegen Artikel 32 DSGVO, auch wenn vielleicht nicht jeder Fund bei iKfz auch auf das Verwaltungsportal übertragbar ist. Mit freundlichen Grüßen Christina Franke

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Re: Ihre Beschwerde vom 21.12.2021 - LD3-50.01/22.004 [#233414] Sehr geehrte Damen und Herren, hiermit bestätigen …
Von
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Betreff
Re: Ihre Beschwerde vom 21.12.2021 - LD3-50.01/22.004 [#233414]
Datum
12. Juli 2022 10:07
Status
Warte auf Antwort
Sehr geehrte Damen und Herren, hiermit bestätigen wir den Eingang Ihrer E-Mail. Über die Hausleitung wurde diese in das für Sie zuständige Referat weitergeleitet. Nach Prüfung des Sachverhalts werden Sie von dort weitere Nachricht erhalten. Mit freundlichen Grüßen