Informationsfreiheitsanfragen nach Status Anfrage eingeschlafen an Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder auf FragDenStaathttps://fragdenstaat.de/anfragen/feed/2022-07-14T21:33:54.002786+00:00Dieser Feed enthält die neuesten Informationsfreiheitsanfragen nach Status Anfrage eingeschlafen an Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, die mit Hilfe von FragDenStaat gestellt wurden.'Auftragsverarbeitung bei Email?' an Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder2021-12-08T10:44:21.969617+00:00https://fragdenstaat.de/anfrage/auftragsverarbeitung-bei-email/Antrag nach dem IFG/UIG/VIG<br><br>Sehr geehrte Damen und Herren,<br><br>ich weiß, dass im föderalen System die Kollegen in Baden-Württemberg für die Beratung zuständig sind. Nur leider haben die es in gut drei Monaten weder geschafft, mehr als eine Eingangsbestätigung zu schicken noch meine Fragen zu beantworten. Und da das Thema garantiert bei der Datenschutzkonferenz vorbeikommt, kann ich auch gleich bei Ihnen anfragen.<br><br>Meinem Verständnis nach - https://blog.lindenberg.one/AuftragsverarbeitungEmail - und in Widerspruch zur zitierten aber auch historischen Meinung der Bayrischen Aufsicht - erfordert auch Email einen Auftragsverarbeitungsvertrag. Nur leider sagt die Aufsicht dazu nichts, oder ich finde es nicht. Warum? Entsprechende Dokumente oder Überlegungen bitte ich zu veröffentlichen.<br><br>Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.<br><br>Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren.<br><br>Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.<br><br>Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.<br><br>Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!<br><br>Mit freundlichen Grüßen'Auskunft nach Artikel 15 DSGVO - nervige Dauerbrenner??' an Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder2022-07-14T21:33:54.002786+00:00https://fragdenstaat.de/anfrage/auskunft-nach-artikel-15-dsgvo-nervige-dauerbrenner/Antrag nach dem IFG/UIG/VIG<br><br>Sehr geehrte Damen und Herren,<br><br>meine Erfahrungen mit Auskünften habe ich gerade auf https://blog.lindenberg.one/AuskunftInhalte veröffentlicht.<br>Da stellen sich m.E. mindestens drei Themenbereiche für die es meiner Meinung nach eine klare Empfehlung der Datenschutzkonferenz geben sollte:<br><br>* Identifizierung<br>Ich bin mehrfach nach einer Personalausweiskopie gefragt worden, u.a. vom Bundesministerium des Inneren und für Heimat und vom Landesamt für Verfassungsschutz Hamburg. Bayern hat eine Empfehlung https://www.datenschutz-bayern.de/datenschutzreform2018/aki22.html herausgegeben mit dem Tenor "Die Anforderung einer Ausweiskopie ist aus datenschutzrechtlicher Sicht regelmäßig nicht erforderlich", gilt die Empfehlung auch im Rest Deutschlands?<br>§20 Personalausweisgesetz spricht m.E. auch eine klare Sprache "nur mit Einwilligung" und die ist mit Sicherheit nicht freiwillig wenn man behauptet ich müsse das vorlegen, um ein Grundrecht wahrzunehmen (Artikel 8 EU-Grundrechte-Charta).<br><br>* PGP<br>Sorry, das ist unzumutbar - Sie wissen es, ich weiß es, die Infos sind auf https://blog.lindenberg.one/AufsichtOhneOrientierung und https://blog.lindenberg.one/VergleichRfc7672PgpSmime veröffentlicht. Warum ich immer noch Aufforderungen von Aufsichten erhalte, einen PGP Schlüssel zuzusenden - ich verstehe es nicht. Sowohl das Lfdi BW - https://webdav.lindenberg.one/WebSites/blog.lindenberg.one/documents/LfdiBwSpam/202205051748%20LfdiBw-Lindenberg%20Ihr%20Auskunftsersuchen%20gem.%20Art.%2015%20DS-GVO%20vom%207.%20April%202022.eml - als auch der Berliner Beauftrage für Datenschutz und Informationsfreiheit fragen danach <br>https://blog.lindenberg.one/documents/DavBerlin/20220623%20DsBerlin-Lindenberg%20Auskunft%20nach%20Art.%2015%20DSGVO.pdf<br><br>Peinlich finde ich auch, dass nur eine Minderheit der Aufsichten qualifizierte Transportverschlüsselung kann - https://blogtest.lindenberg.one/EmailsicherheitOffentlicheEinrichtungen.<br><br>* Form<br>Papier wenn ich den Antrag online stelle?<br>auch das bei Vodafone West, dem Bundesministerium des Inneren und für Heimat, der Berliner Beauftrage für Datenschutz und Informationsfreiheit, und Lfdi BW als Alternative zu PGP - das widerspricht in meinen Augen klar der DSGVO. Es ist Aufgabe des Verantwortlichen einen benutzerfreundlichen, sicheren Kanal anzubieten. Erwägungsgrund 63 Satz 4 und Artikel 15 III Satz 3 nimmt den Verantwortlichen in die Pflicht und - speziell für PGP - nicht den Betroffenen.<br><br>Gibt es zu diesen Themen Entschlüsse oder Orientierungshilfen der DSK oder sind solche in Arbeit? <br><br>Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.<br><br>Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren.<br><br>Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.<br><br>Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.<br><br>Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!<br><br>Mit freundlichen Grüßen'Verschlüsselung un Sicherheit der Verwaltungsportale' an Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder2021-10-10T06:43:57.101864+00:00https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/Sehr geehrte Damen und Herren,<br><br>Ich möchte analog Herrn Lindenberg in https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ anzweifeln, dass die Verantwortlichen ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass tatsächlich personenbezogene Daten in - aller Wahrscheinlichkeit nach - nicht gesetzteskonformer Weise verarbeitet werden.<br><br>Abgesehen davon, dass auch ich vermute dass Daten nicht konsequent verschlüsselt werden, sind mir folgende Sicherheitsprobleme aufgefallen:<br><br>Sicherheitsfragen entsprechen nicht dem Stand der Technik, denn die meisten richtigen Antworten sind über soziale Netzwerke bekannt oder über social-Engineering leicht zu ermitteln. Bayern, Brandenburg, Berlin, Hessen und der Bund verwenden vorformulierte Sicherheitsfragen, Berlin hindert mich sogar daran Quatsch - die einzig sinnvolle Antwort - einzugeben. Baden-Württemberg und Sachsen erlauben mir eine beliebige Frage und Antwort einzugeben, aber der Durchschnittsbürger wird mangels digitaler Grundausbildung in den Schulen dem falschen Muster von Sicherheitsfragen folgen.<br><br>Auch bei Passwörtern fragwürdiges. Mecklenburg-Vorpommern will nur mindestens 5 Zeichen, davon mindestens einen Groß- und einen Kleinbuchstagen. Thüringen will nur 6 Zeichen - da konnte ich nicht widerstehen und habe "aaaaaa" getestet und das ging tatsächlich. Selbstverständlich habe ich das anschließend geändert. Aber sichere Passwörter gewährleistet das nicht.<br><br>Baden-Württemberg, Bayern, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Sachsen-Anhalt, und der Bund verwenden für Mails andere Domänen als für das Portal selbst - das erweckt bei mir den Eindruck von Phishing. Einige Mails musste ich im Junk-Ordner suchen, ein Misch von Domänen im Text und fehlende DKIM-Signatur würde ich als Ursache vermuten. <br><br>Rheinland-Pfalz ist das einzige Benutzerkonto, das das Postfach erkennbar optional macht, und damit OZG § 2 (7) und möglicherweise § 8 (4) umsetzt. Bei allen anderen muss ich das bezweifeln, da ich gar nicht erst gefragt wurde.<br><br>Bei einigen Portalen ist mir auch aufgefallen, dass andere Domains in den Webseiten verwendet werden - da frag ich mich dann auch, ob das alles Dienstleister sind, mit denen Auftragsverarbeitungsverträge bestehen. Ich habe diverse Cookie-Banner gesehen, die meiner Meinung nach nicht der Rechtslage entsprechen.<br><br>Sachsen antwortet auf die rhetorische Frage "Wie sicher sind meine Daten? ...entsprechend dem verfügbaren Stand der Technik..." - wer´s glaubt. Die Anfrage https://fragdenstaat.de/anfrage/sicherheit-des-burgerportals-11/ von Frau Maier hat Sachsen jedenfalls nicht beantwortet.<br><br>Mit freundlichen Grüßen