Sehr geehrte Damen und Herren, leider begrenzt FragDenStaat Texte. Daher muss noch hinzufügen, dass ich mir auch die Datenschutzerklärungen angesehen habe. Eigentlich würde man erwarten, dass sich alle Portale auf das OZG und verwandte Gesetze berufen, ggfs. auch auf die EU-SDG-Verordnung (wegen Tracking und Feedback). Rechtsgrundlage ist damit meines Erachtens Art 6 (1) c DSGVO - Gesetz. Freiwilligkeit ist im OZG auch definiert, eine extra Einwilligung nach Art 6 (1) a braucht es m.E. nicht. Auch das Löschen ist in OZG § 8 (5) geregelt. Weit daneben. Jedes Portal nennt da so einen eigenen Mix. kleine Buchstaben in (x) stehen für Rechtsgrundlage nach Art 6 (1) (x): Baden-Württemberg: (a). Widerruf der Einwilligung = Löschen? Organisationskonten können anscheinend nie gelöscht werden, selbst wenn die Organisation erloschen ist? Bayern: (e) - öffentliches Interesse - wieso denn das? "Ihre Daten werden nach der Erhebung so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen für die jeweilige Aufgabenerfüllung erforderlich ist." - entgegen § 8 (5) OZG. Außerdem könnte man dann ja die Gesetze und Fristen gleich benennen. Berlin bennent gleich zwei Verantwortliche, schon allein das halte ich für rechtswidrig, insbesondere weil hier verschiedene Interessen und Rechtsgrundlagen vermischt werden. Brandenburg: (a) wegen Tracking, (e) sonst. Das OZG wird nicht erwähnt. Zum Nutzerkonto wird überhaupt nichts geschrieben. Bremen: (f) - berechtigtes Interesse - auch das m.E. unsinnig. Hamburg kann sich nicht entscheiden was die Rechtsgrundlage ist "...unter Beachtung der gesetzlichen Bestimmungen (Onlinezugangsgesetz (OZG), Hamburgisches Datenschutzgesetz, EU Datenschutzgrundverordnung (DSGVO), Telekommunikationsgesetz, Telemediengesetz sowie einschlägige Fachgesetze wie beispielsweise das Meldegesetz)." für jeden was dabei. Hessen (a) und (e) - sogar Kekse bekomme ich im öffentlichen Interesse. Mecklenburg-Vorpommern: §15 EGovG M-V, (a) und (e) - das OZG wird nicht erwähnt. Niedersachsen: (f) und für Servicekonten (a) - das OZG wird nicht erwähnt. Nordrhein-Westfalen: kann buchstabieren, von (a) bis (e) ist alles dabei. Aber das OZG nicht. Rheinland-Pfalz - (a) und (f) - kein OZG. Sachsen nennt § 8 OZG sowie § 11a SächsEGovG in Verbindung mit § 11 SächsEGovGDVO. Und dann trotzdem (a) statt (c). Sachsen-Anhalt - fast wie Hamburg, nur dass das OZG und (c) fehlt. Schleswig-Holstein - § 8 Onlinezugangsgesetz iVm § 1 Zentrale-Stelle-Basisdiensteverordnung und § 3 Abs. 1 Landesdatenschutzgesetz Schleswig-Holstein. Aber auch hier wieder (f). Thüringen - ThürEGovG und OZG werden genannt, aber auch (a). Ob eine IP-Adresse wirklich anonymisisert ist, wenn mann gleichzeitig noch Browserinformationen wegspeichert?? Bund - kennt nur (e), nennt aber auch das OZG. Da kann man eigentlich nur vermuten dass man die Datenschutzerklärung einer anderen Webseite kopiert und notdürftig angepasst hat. Oder man weiß, dass man das OZG nicht erfüllt und sucht deswegen nach einer Rechtsgrundlage? Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/

Sehr << Anrede >> Vielen Dank für Ihre Antwort. Leider stellt die mich nicht zufrieden. 1. Sicherheitsfragen: das NIST, OWASP, und Bruce Schneier raten eindeutig von Sicherheitsfragen ab: https://pages.nist.gov/800-63-FAQ/#q-b15 https://cheatsheetseries.owasp.org/cheatsheets/Choosing_and_Using_Security_Questions_Cheat_Sheet.html https://www.schneier.com/essays/archives/2005/02/the_curse_of_the_sec.html Und natürlich viele andere weniger prominente Experten auch. Nur das BSI könnte deutlicher sein, in CON.5.M2 will es zwar OWASP beachtet wissen, aber konkreter wird es nicht. Es ist meiner Meinung völlig unerheblich, dass das nur auf Vertrauensniveau niedrig relevant ist, Sicherheitsfragen sind unabhängig vom Vertrauensniveau überholt und sowohl das BSI als auch das BfDI sollten das entsprechend kommunizieren. Wenn Sicherheitsfragen verwendet werden, dann zeigt das nur, dass die Implementierer zu wenig Kenntnisse haben, um Sicherheit zu gewährleisten. Das alleine lässt bei mir schon alle Alarmglocken angehen... 2. Domainabweichung: beim Nutzerkonto Bund ist tatsächlich nur eine Abweichung der Subdomain, bei Portalen der Länder war das teilweise eine Abweichung der Domäne selbst bzw. es wurde die Domäne des Auftragsverarbeiters verwendet. 3. Postfach: Es erscheint mir weltfremd, zu unterstellen, dass ein Postfach angelegt aber dann nicht benutzt wird. Dazu müsste dann bei jeder Benutzung des Kontos oder eines Dienstes gefragt werden, ob das Postfach benutzt werden soll oder nicht. In den FAQ https://id.bund.de/de/eservice/konto/faq oder der Datenschutzerklärung https://id.bund.de/de/eservice/konto/datenschutz steht nichts zur Freiwilligkeit oder OZG § 2 (7) Satz 2. Die Analogie zu einem konventionellen Briefkasten sagt ganz klar, irgendetwas landet immer darin. Freiwilligkeit ist in meinen Augen nur dann gewährleistet, wenn erst gar kein Postfach angelegt wird oder sofort abgefragt wird ob es benutzt werden soll. Aber bitte fragen Sie doch das BMI oder auch BSI wie das umgesetzt wird und interoperabel werden soll. 4. Datenschutzerklärung mich überzeugt Ihre Argumentation nicht, aber letztendlich ist das (c) oder (e) nicht wesentlich, sondern es ist erschreckend, dass der Föderalismus zu unterschiedlichen Antworten führt und alle Buchstaben von (a) bis (f) dabei sind - das ist schon ein Armutszeugnis. Zur Frage nach Verschlüsselung der gespeicherten Daten haben Sie sich leider gar nicht geäußert. Da Sie nur das Nutzerkonto Bund angesehen haben, werde ich für die anderen Verwaltungsportale weitere Anfragen bzw. Beschwerden stellen. Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/

Sehr geehrte Damen und Herren, zu meine Beschwerde „Verschlüsselung un Sicherheit der Verwaltungsportale“ vom 10.10.2021 (#230874) habe ich seit mehr als drei Monaten keine Standmitteilung erhalten, wie das in der DSGVO Artikel 78 vorgesehen ist. Bitte informieren Sie mich umgehend über den Stand meiner Beschwerde. Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/

Sehr << Anrede >> entschuldigen Sie bitte, wenn ich etwas spitz oder leicht polemisch formuliere. Zum einen frage ich mich ob die Fähigkeit Deutsch zu lesen und zu verstehen überhaupt noch bei Behörden erwartet werden kann. In meiner ersten Nachricht vom 10.10.2021 habe ich geschrieben, ich habe in allen Portalen ein Nutzerkonto und bin damit Betroffene. Das zitierte Faq gehört zur NIST 800-63. Das NIST ist trotz des Namens eine US-Behörde, und im Kontext der Sicherheit vielleicht am ehesten vergleichbar mit dem BSI. Das repräsentiert nicht immer den Stand der Wissenschaft sondern hinkt dem Stand der Technik gerne auch mal hinterher, von Ausnahmen wie der AES-Initiative abgesehen (und auch da vergleichbar mit dem Ruf des BSI nach Quantenkryptographie). Auch die OWASP-Cheatsheets sind keine Wissenschaft sondern Stand der Technik (seit über 10 Jahren) oder zumindest Erwartungshorizont für aktuelle Software. Und der Artikel von Bruce Schneier ist aus dem Jahr 2005, also auch bald zwei Jahrzehnte alt. Lebt der BfDI hinterm Mond oder auf der Erde und damit in einer Welt in der Sicherheitsprobleme real sind und zeitnah ausgemerzt gehören? Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/