Antrag nach dem IFG M-V / Beschwerde nach Artikel 77 DSGVO Sehr geehrte Damen und Herren, Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ und https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein. Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ aufgezählt habe. Im Fall Mecklenburg-Vorpommern sind das * mögliche schlechte Passwörter, * eine abweichende Domäne zwischen Portal und gesendeten Emails, * die Verpflichtung zum Postfach. Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder. Da meines Wissens Auftragsverarbeiter beauftragt sind, bitte ich Sie auch zu prüfen ob entsprechend Artikel 28 DSGVO entsprechende Verträge geschlossen wurden. Die widerwilligen Antworten auf die Anfragen von Frau [geschwärzt] - https://fragdenstaat.de/anfragen/?user=v.maier_3 - lassen mich vermuten, dass Verträge fehlen oder keine Artikel 32 DSGVO - Stand der Technik - erfüllenden TOMs enthalten. Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 1 Landesinformationsfreiheitsgesetz (LIFG) bzw. nach Landesumweltinformationsgesetz (LUIG), soweit Umweltinformationen nach § 3 Abs. 3 UIG betroffen sind, bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Ich verweise auf § 11 Abs. 1 Satz 1 LIFG und bitte Sie, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 3 Abs. 3 Satz 1 UIG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt] Postanschrift Christina Franke [geschwärzt] [geschwärzt]

Sehr << Anrede >> Ich bitte diese Ungenauigkeit zu entschuldigen. Unabhängig von der Beschwerde bitte ich um folgendes: insoweit das Verwaltungsportal bereits einer Prüfung unterzogen wurde, bitte ich darum entsprechende Untersuchungeserkenntnisse zu veröffentlichen, andernfalls möchte ich anregen, das Verwaltungsportal zu prüfen und die Ergebnisse dann zu veröffentlichen. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/

Sehr << Anrede >> wie ich in der eingangs zitierten Anfrage https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ dargestellt habe, habe ich in allen Verwaltungsportalen ein Nutzerkonto und damit ein Postfach, bin also überall Betroffener im Sinne von Artikel 77 DSGVO. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/

Sehr << Anrede >> darf ich fragen, auf welches Urteil oder welche Urteile Sie da anspielen? Es ist naturgemäß von außen nicht möglich, alle Sicherheitsprobleme zu identifzieren. Mehr als einen Anfangsverdacht werden diese Urteile nicht erwarten. Und den habe ich Ihnen geliefert. Bereits am Anfang dieser Anfrage/Beschwerde habe ich konkret für Mecklenburg-Vorpommern die Verstöße * mögliche schlechte Passwörter, * eine abweichende Domäne zwischen Portal und gesendeten Emails, * die Verpflichtung zum Postfach. aufgezählt. Dank der Tests von Herrn Lindenberg - Ergebnisse auf https://blog.lindenberg.one/EmailSicherheitsTest - muss ich hinzufügen, dass Emails vom Verwaltungsportal unverschlüsselt geschickt werden - was der Orientierungshilfe Email der Datenschutzkonferenz widerspricht. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/

Sehr << Anrede >> 1.) Sie haben das richtige Portal mv-serviceportal.de identifziert. Wenn es weitere gibt, die auch dem OZG oder anderen Bürgerverfahren dienen, dann bitte ich darum diese mitzuberücksichtigen. 2.) Sie dürfen meinen Namen und meine Namen und meine Benutzerid FrankeChristina offenlegen. 3.) Bei den möglichen schlechten Passwörtern hat MV anscheinend nachgebessert, da werden jetzt sinnvollere Vorschläge gemacht. Ob sie erzwungen werden habe ich nicht getestet. Auch fällt mir auf, dass jetzt die Datenschutzerklärung sehr nervig präsentiert zur Einwilligung vorgelegt wird und ein Ablehnen nur durch Schließen des Browsers möglich - das entspricht in meinen Augen nicht den Anforderungen von Artikel 7. 4.) Abweichende Domäne: registieren/anmelden erfolgt unter mv-serviceportal.de. Die Email kam aber von <<E-Mail-Adresse>> - das sind unterschiedliche Domänen und erschwert die Prüfung der Authentizität der Email. Aufgrund der unterschiedlichen Domänen kann man sie leicht für Phishing halten, die Mails sind auch nicht signiert. Desweiteren wird keine qualifizierte Transportverschlüsselung bzw. RFC 7672 oder BSI TR 03801 verwendet. 5.) Unerheblich ist in meinen Augen, wer Auftragsverareiter ist - wenn die wirklich tun was der Verantwortliche vorgibt, einschließlich sinnvoller TOMs - daran hab ich aber immer noch zweifel. 6.) Wirklich freiwillig und im Sine von Artikel 6/7 wäre in meinen Augen, bei der Registrierung kein Postfach anzulegen. Widerruf ist für mich nicht das gleiche und verhindert keinen Missbrauch - im realen Leben wäre es völlig weltfremd anzunehmen, im Briefkasten landet keine Werbung nur weil da ein Aufkleber drauf ist. Max Schrems hat in seinem Vortrag https://www.bfdi.bund.de/SharedDocs/Videos/DE/Veranstaltungen/20220322_Datenschutz-skalieren.html auch sinngemäßg gesagt, es gibt vieles was schon an anderer Stelle diskutiert wurde, was im Datenschutz sinngemäß gilt. Haben Sie bzw. die DSK Leitlinien wie die Grenze zwischen Einwilligung (a) und Widerruf (e) aussehen soll? 7.) Ich bitte zu entschuldigen dass bei "unverschlüsselt" stehen hätte sollen "potentiell unverschlüsselt". Ein Angreifer wäre mit einer Downgrade-Attacke erfolgreich, denn der Server verwendet eben keinen der Mechanismen oben. Auch stelle ich gerne klar, dass es dabei um die Emails geht, die das Portal an meine normale Emailadresse schickt, das Postfach des Nutzerkontos habe ich bisher nicht verwendet. Da würde ich vermuten dass analog zu anderen EIDAS-Postfächern die Kommunikation verschlüsselt ist, allerdings mit hinterlegten Schlüsseln, so dass die Sicherheit keinesfalls besser ist als die des Betreibers. 8.) Daher möchte ich in diesem Zusammenhang auch nachfragen, ob der Betreiber alle gespeicherten Daten konsequent verschlüsselt. Sehr gerne wüsste ich auch wie. Zwar sagt das von Ihnen zitierte Urteil "Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann.", aber ich glaube dass ich Ihnen genug Informationen geliefert habe anhand der Sie prüfen können. Vielleicht mit Ausnahme dieser letzten Frage nach Verschlüsselung - aber die kann ich beim besten Willen von außen nur durch unverhältnismäßiges Hacken testen. Als Anknüpfungspunkt kann aber https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf dienen - das BSI verweigert Veröffentlichungen weil damit die Sicherheit gefährdet wird. Natürlich Unsinn, Angreifer finden die Löcher auch so, aber die Ursache fehlender Sicherheit ist mit großer Wahrscheinlichkeit fehlende Verschlüsselung und Authentifizierung. Sollte ich eine Frage übersehen und unbeantwortet gelassen bitte ich um kurze Nachricht. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/

Ihre Nachricht von heute 7:28 Sehr << Anrede >> gerne kann ich Ihnen bestätigen, dass über beide Emailadressen die gleiche Christina Franke erreichbar ist. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/