Sicherheit des Verwaltungsportals

Antrag nach dem IFG M-V / Beschwerde nach Artikel 77 DSGVO

Sehr geehrte Damen und Herren,

Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschl… und https://fragdenstaat.de/anfrage/verschl… und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein.

Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschl… aufgezählt habe. Im Fall Mecklenburg-Vorpommern sind das
* mögliche schlechte Passwörter,
* eine abweichende Domäne zwischen Portal und gesendeten Emails,
* die Verpflichtung zum Postfach.

Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder.

Da meines Wissens Auftragsverarbeiter beauftragt sind, bitte ich Sie auch zu prüfen ob entsprechend Artikel 28 DSGVO entsprechende Verträge geschlossen wurden. Die widerwilligen Antworten auf die Anfragen von Frau Maier - https://fragdenstaat.de/anfragen/?user=… - lassen mich vermuten, dass Verträge fehlen oder keine Artikel 32 DSGVO - Stand der Technik - erfüllenden TOMs enthalten.

Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 1 Landesinformationsfreiheitsgesetz (LIFG) bzw. nach Landesumweltinformationsgesetz (LUIG), soweit Umweltinformationen nach § 3 Abs. 3 UIG betroffen sind, bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind.

Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können.

Ich verweise auf § 11 Abs. 1 Satz 1 LIFG und bitte Sie, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 3 Abs. 3 Satz 1 UIG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen.

Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte.

Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe!

Mit freundlichen Grüßen

Ergebnis der Anfrage

Die Aufsichten bearbeiten diese Beschwerde(n) nur sehr schleppend. Mehr Informationen auf https://blog.lindenberg.one/PortalBesch….

Antwort verspätet

Warte auf Antwort
  • Datum
    20. November 2021
  • Frist
    24. Dezember 2021
  • Ein:e Follower:in
Christina Franke
Antrag nach dem IFG M-V / Beschwerde nach Artikel 77 DSGVO Sehr geehrte Damen und Herren, Ich muss anzweifeln, d…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Christina Franke
Betreff
Sicherheit des Verwaltungsportals [#233359]
Datum
20. November 2021 14:16
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG M-V / Beschwerde nach Artikel 77 DSGVO Sehr geehrte Damen und Herren, Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ und https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein. Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ aufgezählt habe. Im Fall Mecklenburg-Vorpommern sind das * mögliche schlechte Passwörter, * eine abweichende Domäne zwischen Portal und gesendeten Emails, * die Verpflichtung zum Postfach. Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder. Da meines Wissens Auftragsverarbeiter beauftragt sind, bitte ich Sie auch zu prüfen ob entsprechend Artikel 28 DSGVO entsprechende Verträge geschlossen wurden. Die widerwilligen Antworten auf die Anfragen von Frau [geschwärzt] - https://fragdenstaat.de/anfragen/?user=v.maier_3 - lassen mich vermuten, dass Verträge fehlen oder keine Artikel 32 DSGVO - Stand der Technik - erfüllenden TOMs enthalten. Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 1 Landesinformationsfreiheitsgesetz (LIFG) bzw. nach Landesumweltinformationsgesetz (LUIG), soweit Umweltinformationen nach § 3 Abs. 3 UIG betroffen sind, bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Ich verweise auf § 11 Abs. 1 Satz 1 LIFG und bitte Sie, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 3 Abs. 3 Satz 1 UIG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt] Postanschrift Christina Franke [geschwärzt] [geschwärzt]
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr geehrte Frau Franke, für Ihre o.g. Anfrage vom 20.11.2021 danke ich Ihnen. Durch das Informationsfreiheitsg…
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Sicherheit des Verwaltungsportals (#233359)
Datum
14. Dezember 2021 13:15
Status
Warte auf Antwort
Sehr geehrte Frau Franke, für Ihre o.g. Anfrage vom 20.11.2021 danke ich Ihnen. Durch das Informationsfreiheitsgesetz Mecklenburg-Vorpommern (IFG M-V) soll ein freier Informationszugang zu vorhandenen amtlichen Informationen gewährleistet werden. Hierfür ist es allerdings unabdingbar, dass seitens des/der Antragstellers/in deutlich gemacht wird, um welche Informationen es konkret geht. Eine Umschreibung der begehrten Informationen im Sinne des § 10 Abs. 2 Satz 1 IFG M-V kann ich Ihrem Antrag jedoch nicht entnehmen. Da diese jedoch für die Antragsbearbeitung unabdingbar ist,bitte ich Sie, diese Beschreibung vorzunehmen. Gern stehen wir Ihnen hier unterstützend bzw. beratend (gern auch telefonisch) gemäß § 10 Abs. 2 Satz 2 IFG M-V zur Verfügung. Bitte haben Sie Verständnis, dass ich bis zur ausstehenden Umschreibung Ihres Antrages keine weiteren Schritte initiieren werde. Hinweisen möchte ich schlussendlich auch noch darauf, dass sich diese Nachricht lediglich auf Ihren Antrag auf Informationszugang jedoch nicht auf die Beschwerde nach Art. 77 DS-GVO bezieht. Mit freundlichen Grüßen
Christina Franke
Sehr << Anrede >> Ich bitte diese Ungenauigkeit zu entschuldigen. Unabhängig von der Beschwerde bitte…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals (#233359) [#233359]
Datum
15. Dezember 2021 17:30
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> Ich bitte diese Ungenauigkeit zu entschuldigen. Unabhängig von der Beschwerde bitte ich um folgendes: insoweit das Verwaltungsportal bereits einer Prüfung unterzogen wurde, bitte ich darum entsprechende Untersuchungeserkenntnisse zu veröffentlichen, andernfalls möchte ich anregen, das Verwaltungsportal zu prüfen und die Ergebnisse dann zu veröffentlichen. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht. In Ergänzung zu unserer E-Mail vom 14.12.2021 sende ic…
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Sicherheit des Verwaltungsportals (#233359)
Datum
21. Januar 2022 12:06
Status
Anfrage abgeschlossen
Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht. In Ergänzung zu unserer E-Mail vom 14.12.2021 sende ich anliegend unser Antwortschreiben in Bezug auf Ihre Beschwerde. Mit freundlichen Grüßen
Christina Franke
Sehr << Anrede >> wie ich in der eingangs zitierten Anfrage https://fragdenstaat.de/anfrage/verschlus…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals (#233359) [#233359]
Datum
16. Februar 2022 09:21
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> wie ich in der eingangs zitierten Anfrage https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ dargestellt habe, habe ich in allen Verwaltungsportalen ein Nutzerkonto und damit ein Postfach, bin also überall Betroffener im Sinne von Artikel 77 DSGVO. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht vom 16. Februar 2022. In Bezug auf Ihre Nachricht sende…
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Re: Sicherheit des Verwaltungsportals (#233359) [#233359]
Datum
28. Februar 2022 11:33
Status
Warte auf Antwort
Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht vom 16. Februar 2022. In Bezug auf Ihre Nachricht sende ich anliegendes Schreiben. Mit freundlichen Grüßen
Christina Franke
Sehr << Anrede >> darf ich fragen, auf welches Urteil oder welche Urteile Sie da anspielen? Es ist na…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Christina Franke
Betreff
AW: Re: Sicherheit des Verwaltungsportals (#233359) [#233359]
Datum
9. März 2022 09:16
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> darf ich fragen, auf welches Urteil oder welche Urteile Sie da anspielen? Es ist naturgemäß von außen nicht möglich, alle Sicherheitsprobleme zu identifzieren. Mehr als einen Anfangsverdacht werden diese Urteile nicht erwarten. Und den habe ich Ihnen geliefert. Bereits am Anfang dieser Anfrage/Beschwerde habe ich konkret für Mecklenburg-Vorpommern die Verstöße * mögliche schlechte Passwörter, * eine abweichende Domäne zwischen Portal und gesendeten Emails, * die Verpflichtung zum Postfach. aufgezählt. Dank der Tests von Herrn Lindenberg - Ergebnisse auf https://blog.lindenberg.one/EmailSicherheitsTest - muss ich hinzufügen, dass Emails vom Verwaltungsportal unverschlüsselt geschickt werden - was der Orientierungshilfe Email der Datenschutzkonferenz widerspricht. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht vom 09. März 2022. In Bezug auf Ihre Nachricht sende ic…
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Sicherheit des Verwaltungsportals (#233359): Ihre Nachricht vom 09. März 2022
Datum
24. März 2022 10:32
Status
Warte auf Antwort
Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht vom 09. März 2022. In Bezug auf Ihre Nachricht sende ich das anliegend beigefügte Schreiben. Mit freundlichen Grüßen
Christina Franke
Sehr << Anrede >> 1.) Sie haben das richtige Portal mv-serviceportal.de identifziert. Wenn es weitere…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals (#233359): Ihre Nachricht vom 09. März 2022 [#233359]
Datum
24. März 2022 16:41
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> 1.) Sie haben das richtige Portal mv-serviceportal.de identifziert. Wenn es weitere gibt, die auch dem OZG oder anderen Bürgerverfahren dienen, dann bitte ich darum diese mitzuberücksichtigen. 2.) Sie dürfen meinen Namen und meine Namen und meine Benutzerid FrankeChristina offenlegen. 3.) Bei den möglichen schlechten Passwörtern hat MV anscheinend nachgebessert, da werden jetzt sinnvollere Vorschläge gemacht. Ob sie erzwungen werden habe ich nicht getestet. Auch fällt mir auf, dass jetzt die Datenschutzerklärung sehr nervig präsentiert zur Einwilligung vorgelegt wird und ein Ablehnen nur durch Schließen des Browsers möglich - das entspricht in meinen Augen nicht den Anforderungen von Artikel 7. 4.) Abweichende Domäne: registieren/anmelden erfolgt unter mv-serviceportal.de. Die Email kam aber von <<E-Mail-Adresse>> - das sind unterschiedliche Domänen und erschwert die Prüfung der Authentizität der Email. Aufgrund der unterschiedlichen Domänen kann man sie leicht für Phishing halten, die Mails sind auch nicht signiert. Desweiteren wird keine qualifizierte Transportverschlüsselung bzw. RFC 7672 oder BSI TR 03801 verwendet. 5.) Unerheblich ist in meinen Augen, wer Auftragsverareiter ist - wenn die wirklich tun was der Verantwortliche vorgibt, einschließlich sinnvoller TOMs - daran hab ich aber immer noch zweifel. 6.) Wirklich freiwillig und im Sine von Artikel 6/7 wäre in meinen Augen, bei der Registrierung kein Postfach anzulegen. Widerruf ist für mich nicht das gleiche und verhindert keinen Missbrauch - im realen Leben wäre es völlig weltfremd anzunehmen, im Briefkasten landet keine Werbung nur weil da ein Aufkleber drauf ist. Max Schrems hat in seinem Vortrag https://www.bfdi.bund.de/SharedDocs/Videos/DE/Veranstaltungen/20220322_Datenschutz-skalieren.html auch sinngemäßg gesagt, es gibt vieles was schon an anderer Stelle diskutiert wurde, was im Datenschutz sinngemäß gilt. Haben Sie bzw. die DSK Leitlinien wie die Grenze zwischen Einwilligung (a) und Widerruf (e) aussehen soll? 7.) Ich bitte zu entschuldigen dass bei "unverschlüsselt" stehen hätte sollen "potentiell unverschlüsselt". Ein Angreifer wäre mit einer Downgrade-Attacke erfolgreich, denn der Server verwendet eben keinen der Mechanismen oben. Auch stelle ich gerne klar, dass es dabei um die Emails geht, die das Portal an meine normale Emailadresse schickt, das Postfach des Nutzerkontos habe ich bisher nicht verwendet. Da würde ich vermuten dass analog zu anderen EIDAS-Postfächern die Kommunikation verschlüsselt ist, allerdings mit hinterlegten Schlüsseln, so dass die Sicherheit keinesfalls besser ist als die des Betreibers. 8.) Daher möchte ich in diesem Zusammenhang auch nachfragen, ob der Betreiber alle gespeicherten Daten konsequent verschlüsselt. Sehr gerne wüsste ich auch wie. Zwar sagt das von Ihnen zitierte Urteil "Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann.", aber ich glaube dass ich Ihnen genug Informationen geliefert habe anhand der Sie prüfen können. Vielleicht mit Ausnahme dieser letzten Frage nach Verschlüsselung - aber die kann ich beim besten Willen von außen nur durch unverhältnismäßiges Hacken testen. Als Anknüpfungspunkt kann aber https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf dienen - das BSI verweigert Veröffentlichungen weil damit die Sicherheit gefährdet wird. Natürlich Unsinn, Angreifer finden die Löcher auch so, aber die Ursache fehlender Sicherheit ist mit großer Wahrscheinlichkeit fehlende Verschlüsselung und Authentifizierung. Sollte ich eine Frage übersehen und unbeantwortet gelassen bitte ich um kurze Nachricht. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Diese Nachricht ist noch nicht öffentlich.

Diese Nachricht ist noch nicht öffentlich.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr geehrte Frau Franke, in Bezug auf Ihre Beschwerde i.S.d. Art. 77 Datenschutz-Grundverordnung sende ich Ihne…
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Sicherheit des Verwaltungsportals (#233359)
Datum
8. Juli 2022 14:49
Status
Warte auf Antwort
Sehr geehrte Frau Franke, in Bezug auf Ihre Beschwerde i.S.d. Art. 77 Datenschutz-Grundverordnung sende ich Ihnen das anliegende Schreiben. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Christina Franke
Ihre Nachricht von heute 7:28 Sehr << Anrede >> gerne kann ich Ihnen bestätigen, dass über beide Ema…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals (#233359) [#233359]
Datum
20. September 2022 10:46
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Ihre Nachricht von heute 7:28 Sehr << Anrede >> gerne kann ich Ihnen bestätigen, dass über beide Emailadressen die gleiche Christina Franke erreichbar ist. Mit freundlichen Grüßen Christina Franke Anfragenr: 233359 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233359/