Auf Mastodon teilen

Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „Zensus 2022: Auftragsverabeitungsverträge (AVV)“ vom 19.05.2022 (#249571) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 1 Tag überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >>

Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz Bund (IFG, UIG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/249571/ Ich bin der Meinung, die Anfrage wurde zu Unrecht auf diese Weise bearbeitet, weil... 1. der Anwendungsbereich des IFG nicht durch Art. 30 Abs. 4 DSGVO gesperrt ist. Wie allen Beteiligten bekannt, ist hierzu ein Verfahren zwischen mir und der beklagten Behörde beim VG Köln anhängig (Az.: 13 K 3392/21), vgl. [1] bzw. Gz. 25-780/010 II#0781 zur Vermittlungsanfrage bei Ihnen als BfDI. Ich verweise auf die Klagebegründung diesbezüglich bspw. [2] 2. der Verweis auf § 3 Nr. 2 IFG nicht hinreichend ist, da von keiner Gefährdung der öffentlichen Sicherheit auszugehen ist. a) Ein Auftragsverarbeitungsvertrag (AVV) beinhaltet grundlegend hauptsächlich rechtliche Vertragsausführungen zum Thema der Verarbeitung personenbezogener Daten, wie auch die Beispielvorlage des BfDI [3] zeigt. So können zwar technisch-organisatorische Maßnahmen (TOM) aufgelistet werden, aber auch diese Auflistung erstreckt sich üblicherweise nur auf eine grobe und stichpunktartige Aufzählung. Die von der Behörde selbst bereits genannte Verhinderung von „Lastspitzen” sollte beispielsweise dazu zählen und ist im geradezu offensichtlich, da ebendies eine Hauptaufgabe von CDNs darstellt. b) Ferner muss beachtet werden, dass Informationen zum allgemeinen Angebot Cloudflare in deren allgemeinen und sehr ausführlichen Dokumentation[4] frei verfügbar sind und somit der von der Behörde angeführte „Leistungsumfang und damit dem Wirkungskreis des CDN” hierbei von bei einer „Analyse von Angriffsvektoren”, wie die Behörde schreibt, bereits plausibel erscheint. Dies geht soweit, dass Cloudflare Standarddokumente rund um den Bereich der DSGVO bereitstellt[5], insbesondere einen „Cloudflare-Auftragsverarbeitungsvertrag” mit „Standardklauseln für Kunden“[6]. Es ist davon auszugehen, dass zumindest große Teile ebendiesen sich mit den Dokumenten die der Behörde vorliegen. ähneln. Das vorliegende Musterdokument zeigt rein vertragsrechtliche Aspekte und dessen Veröffentlichung lässt somit keinerlei Sicherheitsbezug im Sinne von § 3 Nr. 2 IFG erkennen. Selbst wenn darüber hinaus Regelungen getroffen wären, beispielsweise auch mit dem statistischen Bundesamt, so ist nicht davon auszugehen, dass sich ein solchen Dokument einen völlig anderen Charakter vorweist. c) Bei der Geheimhaltung entsprechender Informationen bezieht sich die Behörde zu Unrecht darauf, dass die Informationen praktisch geheim haltbar seien. Wenn sich die Behörde bspw. auf den angeblich zu schützenden „Wirkungskreis des CDN“ oder darauf bezieht „welche Datenverarbeitungsprozess [...] durch das ITZBund und damit auf dessen Servern ausgeführt werden”, so ist dies mittels technischer Mittel auch aktuell bereits auf triviale oder einfache Weise möglich. Dies zeigt im vorliegenden Fall ganz praktisch exemplarisch die technische Analyse von Mike Kuketz, in der eben die Fragestellung analysiert wurde, welche Datenverarbeitungsvorgänge beim ITZBund und bei Cloudflare stattfinden [7-8]. Die in Punkt 2. b) bereits erwähnten Dokumente, wie DNS-Einträge, Antwortheader oder Antwort-Cookies[9], sowie allgemein frei verfügbarer Informationen über einen derart standardisierten Dienst wie Cloudflare können dabei ebenso helfen. d) Allgemein soll darauf verwiesen werden, dass das Konzept von „Security through Obscurity” veraltet ist und die Sicherheit entsprechender Datenverarbeitungsvorgänge eben nicht auf die Geheimhaltung der Verfahren bzw. technischen Vorkehrungen gestützt werden darf. Eine rechtsstaatliche Kontrolle bzw. Öffentlichkeit entsprechender staatlicher Datenverarbeitungsprozesse lässt sich zudem aus Grundrechten wie dem vom BVerfG klargestellten Recht auf informationelle Selbstbestimmung, vgl. Art. 8 der EU-Grundrechtecharta. Aus diesem Grund ist eben nicht die Geheimhaltung, sondern die Veröffentlichung eben solcher Maßnahmen erforderlich. d) Sollte wi­der Er­war­ten dennoch Teile der herauszugebenden Informationen nach § 3 Nr. 2 IFG von der Behörde als nicht herauszugebend eingestuft werden, so hätte ebendiese auch eine Teilschwärzung vornehmen können. Dies scheint, auf Basis der vorliegenden Bescheids, jedoch nicht geprüft wurden zu sein. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> [1] https://fragdenstaat.de/a/188927 [2] https://fragdenstaat.de/anfrage/verze... [3] https://www.bfdi.bund.de/DE/Fachtheme... [4] https://developers.cloudflare.com/docs [5] https://www.cloudflare.com/de-de/trus... [6] https://cf-assets.www.cloudflare.com/... [7] https://www.kuketz-blog.de/zensus-202... [8] https://www.kuketz-blog.de/zensus-202... [9] https://developers.cloudflare.com/fun... Anhänge: - 249571.pdf - 2022-06-23_1-249571.pdf Anfragenr: 249571 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/249571/