Zensus 2022: Auftragsverabeitungsverträge (AVV)

- den Auftragsverarbeitungsvertrag mit dem Statistischen Bundesamt
- den Auftragsverarbeitungsvertrag mit Cloudflare, Inc.

Hintergrund ist, dass zensus2022.de von Ihnen betrieben wird.

Ergebnis der Anfrage

Abgelehnt wegen Gefährdung der öffentlichen Sicherheit (§ 3 Nr. 2 IFG) sowie Art. 30 Abs. 4 DSGVO, da mit Auskunft der Auftragsverabeitungsverträge (AVV) ja „eine Aggregation aller Verarbeitungstätigkeiten” und somit „die Möglichkeit geschaffen [würde], ein eigenes Verzeichnis [von Verarbeitungstätigkeiten]“ zu erstellen. Herauszugeben sei dies deswegen nicht, da ein „Anspruch der Allgemeinheit auf Einsicht des Verzeichnisses [nicht] besteh[e]”.

Anfrage muss klassifiziert werden

  • Datum
    19. Mai 2022
  • Frist
    22. Juni 2022
  • 12 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: - den Auftragsver…
An Informationstechnikzentrum Bund Details
Von
<< Anfragesteller:in >>
Betreff
Zensus 2022: Auftragsverabeitungsverträge (AVV) [#249571]
Datum
19. Mai 2022 23:20
An
Informationstechnikzentrum Bund
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
- den Auftragsverarbeitungsvertrag mit dem Statistischen Bundesamt - den Auftragsverarbeitungsvertrag mit Cloudflare, Inc. Hintergrund ist, dass zensus2022.de von Ihnen betrieben wird.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 249571 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/249571/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
<< Anfragesteller:in >>
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „Zensus 2022: Auftragsverabeitungsverträge (AVV…
An Informationstechnikzentrum Bund Details
Von
<< Anfragesteller:in >>
Betreff
AW: Zensus 2022: Auftragsverabeitungsverträge (AVV) [#249571]
Datum
22. Juni 2022 12:38
An
Informationstechnikzentrum Bund
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „Zensus 2022: Auftragsverabeitungsverträge (AVV)“ vom 19.05.2022 (#249571) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 1 Tag überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >>
Informationstechnikzentrum Bund
Sehr << Antragsteller:in >> vielen Dank für Ihre Mail. Ich bedauere, dass sich der Vorgang verzögert …
Von
Informationstechnikzentrum Bund
Betreff
AW: [EXTERN]AW: Zensus 2022: Auftragsverabeitungsverträge (AVV) [#249571]
Datum
22. Juni 2022 15:11
Status
Anfrage abgeschlossen
Sehr << Antragsteller:in >> vielen Dank für Ihre Mail. Ich bedauere, dass sich der Vorgang verzögert und bitte Sie noch um wenige Tage Geduld. Vielen Dank für Ihr Verständnis. Mit freundlichen Grüßen
Informationstechnikzentrum Bund
Sehr << Antragsteller:in >> bitte beachten Sie mein Schreiben anbei. Mit freundlichen Grüßen
Von
Informationstechnikzentrum Bund
Betreff
AW: [EXTERN]Zensus 2022: Auftragsverabeitungsverträge (AVV) [#249571]
Datum
23. Juni 2022 16:27
Status
geschwärzt
713,2 KB
Sehr << Antragsteller:in >> bitte beachten Sie mein Schreiben anbei. Mit freundlichen Grüßen
<< Anfragesteller:in >>
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz Bu…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
<< Anfragesteller:in >>
Betreff
Vermittlung bei Anfrage „Zensus 2022: Auftragsverabeitungsverträge (AVV)“ [#249571]
Datum
27. Juni 2022 21:47
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz Bund (IFG, UIG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/249571/ Ich bin der Meinung, die Anfrage wurde zu Unrecht auf diese Weise bearbeitet, weil... 1. der Anwendungsbereich des IFG nicht durch Art. 30 Abs. 4 DSGVO gesperrt ist. Wie allen Beteiligten bekannt, ist hierzu ein Verfahren zwischen mir und der beklagten Behörde beim VG Köln anhängig (Az.: 13 K 3392/21), vgl. [1] bzw. Gz. 25-780/010 II#0781 zur Vermittlungsanfrage bei Ihnen als BfDI. Ich verweise auf die Klagebegründung diesbezüglich bspw. [2] 2. der Verweis auf § 3 Nr. 2 IFG nicht hinreichend ist, da von keiner Gefährdung der öffentlichen Sicherheit auszugehen ist. a) Ein Auftragsverarbeitungsvertrag (AVV) beinhaltet grundlegend hauptsächlich rechtliche Vertragsausführungen zum Thema der Verarbeitung personenbezogener Daten, wie auch die Beispielvorlage des BfDI [3] zeigt. So können zwar technisch-organisatorische Maßnahmen (TOM) aufgelistet werden, aber auch diese Auflistung erstreckt sich üblicherweise nur auf eine grobe und stichpunktartige Aufzählung. Die von der Behörde selbst bereits genannte Verhinderung von „Lastspitzen” sollte beispielsweise dazu zählen und ist im geradezu offensichtlich, da ebendies eine Hauptaufgabe von CDNs darstellt. b) Ferner muss beachtet werden, dass Informationen zum allgemeinen Angebot Cloudflare in deren allgemeinen und sehr ausführlichen Dokumentation[4] frei verfügbar sind und somit der von der Behörde angeführte „Leistungsumfang und damit dem Wirkungskreis des CDN” hierbei von bei einer „Analyse von Angriffsvektoren”, wie die Behörde schreibt, bereits plausibel erscheint. Dies geht soweit, dass Cloudflare Standarddokumente rund um den Bereich der DSGVO bereitstellt[5], insbesondere einen „Cloudflare-Auftragsverarbeitungsvertrag” mit „Standardklauseln für Kunden“[6]. Es ist davon auszugehen, dass zumindest große Teile ebendiesen sich mit den Dokumenten die der Behörde vorliegen. ähneln. Das vorliegende Musterdokument zeigt rein vertragsrechtliche Aspekte und dessen Veröffentlichung lässt somit keinerlei Sicherheitsbezug im Sinne von § 3 Nr. 2 IFG erkennen. Selbst wenn darüber hinaus Regelungen getroffen wären, beispielsweise auch mit dem statistischen Bundesamt, so ist nicht davon auszugehen, dass sich ein solchen Dokument einen völlig anderen Charakter vorweist. c) Bei der Geheimhaltung entsprechender Informationen bezieht sich die Behörde zu Unrecht darauf, dass die Informationen praktisch geheim haltbar seien. Wenn sich die Behörde bspw. auf den angeblich zu schützenden „Wirkungskreis des CDN“ oder darauf bezieht „welche Datenverarbeitungsprozess [...] durch das ITZBund und damit auf dessen Servern ausgeführt werden”, so ist dies mittels technischer Mittel auch aktuell bereits auf triviale oder einfache Weise möglich. Dies zeigt im vorliegenden Fall ganz praktisch exemplarisch die technische Analyse von Mike Kuketz, in der eben die Fragestellung analysiert wurde, welche Datenverarbeitungsvorgänge beim ITZBund und bei Cloudflare stattfinden [7-8]. Die in Punkt 2. b) bereits erwähnten Dokumente, wie DNS-Einträge, Antwortheader oder Antwort-Cookies[9], sowie allgemein frei verfügbarer Informationen über einen derart standardisierten Dienst wie Cloudflare können dabei ebenso helfen. d) Allgemein soll darauf verwiesen werden, dass das Konzept von „Security through Obscurity” veraltet ist und die Sicherheit entsprechender Datenverarbeitungsvorgänge eben nicht auf die Geheimhaltung der Verfahren bzw. technischen Vorkehrungen gestützt werden darf. Eine rechtsstaatliche Kontrolle bzw. Öffentlichkeit entsprechender staatlicher Datenverarbeitungsprozesse lässt sich zudem aus Grundrechten wie dem vom BVerfG klargestellten Recht auf informationelle Selbstbestimmung, vgl. Art. 8 der EU-Grundrechtecharta. Aus diesem Grund ist eben nicht die Geheimhaltung, sondern die Veröffentlichung eben solcher Maßnahmen erforderlich. d) Sollte wi­der Er­war­ten dennoch Teile der herauszugebenden Informationen nach § 3 Nr. 2 IFG von der Behörde als nicht herauszugebend eingestuft werden, so hätte ebendiese auch eine Teilschwärzung vornehmen können. Dies scheint, auf Basis der vorliegenden Bescheids, jedoch nicht geprüft wurden zu sein. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> [1] https://fragdenstaat.de/a/188927 [2] https://fragdenstaat.de/anfrage/verze... [3] https://www.bfdi.bund.de/DE/Fachtheme... [4] https://developers.cloudflare.com/docs [5] https://www.cloudflare.com/de-de/trus... [6] https://cf-assets.www.cloudflare.com/... [7] https://www.kuketz-blog.de/zensus-202... [8] https://www.kuketz-blog.de/zensus-202... [9] https://developers.cloudflare.com/fun... Anhänge: - 249571.pdf - 2022-06-23_1-249571.pdf Anfragenr: 249571 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/249571/

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Az.: IFG-725/008 II#0655 Sehr << An…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Vermittlung bei Anfrage „Zensus 2022: Auftragsverabeitungsverträge (AVV)“ [#249571] # IFG-725/008 II#0655
Datum
30. Juni 2022 12:57
Status
Nicht-öffentliche Anhänge:
57335-2022eingangsbesttigung.pdf
170,9 KB
datenschutzerklrung-stand-juni-2022.pdf
228,5 KB
signature.asc
1,5 KB


Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Az.: IFG-725/008 II#0655 Sehr << Antragsteller:in >> angefügtes Schreiben übersende ich zu Ihrer Information. Die Übermittlung erfolgt ausschließlich elektronisch. Mit freundlichen Grüßen