Ich habe eine Anfrage zu einer Datenschutzfolgenabschätzung für den Zensus 2022 gestellt:
Der Antrag wird abgelehnt, weil die Datenschutzfolgenabschätzung Hinweise auf Schwachstellen geben könnte, welche von Kriminellen ausgenutzt werden könnten. Also mal wieder Security by Obscurity. Mein erster Impuls ist Empörung. Mein zweiter: Ich werde Widerspruch einlegen und auf die Möglichkeit der geschwärzten Herausgabe hinweisen. Was meint ihr?
Edit: Ooops, die Anfrage war gar nicht von mir. Aber ich hatte mal vor, eine solche zu stellen.
Also danke fürs Erstellen des Forenbeitrags, ich schau mir die Antwort dann mal an und schreibe eventuell nen Widerspruch (natürlich könnt ihr dann mitschreiben).
Man beachte dass ich zum Thema Datenschutz (da gab es eine ganz ähnliche Situation) eine Klage laufend habe, zum Verzeichnis von Verarbeitungstätigkeiten. Hier geht es zwar um etwas anderes, nämlich die Datenschutzfolgeabschätzung, jede sehe ich da schon Parallelen.
Also gerne mal Argumentationen/Textschnipsel sammeln hier.
Edit: Hier mal meine Zusammenfassung des Ergebnisses:
Anfrage abgelehnt. Es existiert eine „Datenschutzfolgenabschätzung zum Gesamtkomplex Zensus 2022”, aber nach § 3 Nr. 2 IFG abgelehnt, da ein „Offenlegen der Risiken wie auch der technischen und organisatorischen Abhilfemaßnahmen […] bedeuten [würde], möglichen Missbrauchsszenarien einen Weg zu zeigen” und somit den Datenabfluss „personenbezogene Daten im Missbrauchsfall“ zu ermöglichen. Dies sei ein „Sicherheitsrisiko für die Durchführung des Zensus 2022”.
Meine Gegenargumentation:
Ich sehe dieses Verhalten als „Security through obscurity”, was nicht im Sinne einer transparenten rechtsstaatlichen Behörde ist. Eine Datenschutzfolgeabschätzung ist ein organisatorisches Dokument, welches kaum auf einzelne Sicherheitsmechanismen eingeht bzw. dass erst deren Kenntnis die öffentliche Prüfung ebendieser erlaubt, womit diese öffentlich sein sollte.
Sofern solche Sicherheitsmechanismen erwähnt werden, so entstehen daraus in keinem Fall Hinweise zur Ausnutzung ebensolcher.
Das IFG kennt keinen Ausschlussgrund, der bei behördlicher Kapazitätseinschränkung, wie von der Behörde angeführt, ein Ablehnung oder Nichtbeschäftigung mit der Schwärzungsmöglichkeit erlaubt.
Im Gegenteil ist es vielmehr so, dass es im Aufgabenbereich jeder Behörde liegt, Gesetze wie das IFG zu erfüllen und entsprechende Kapazitäten müssen vorhanden sein. Ist dies durch interne Gründe wie Aktenführung oder entsprechende Personalressourcen nicht möglich, so liegt dies in der Verantwortung der Behörde. (vgl. BVerfG, Beschluss der 2. Kammer des Zweiten Senats vom 09. Januar 2006 - 2 BvR 443/02, Rn. 54 a.E.)
Ferner wäre es der Behörde möglich im Rahmen der Gesetze eine Gebühr für die Bearbeitung zu verlangen.
Ich bleibe mal in diesem Thread weil ich natürlich auch die Auftragsverabeitungsverträge zum StBA sowie zu Cloudflare angefragt habe.
Dies hat der IT-Dienstleister des Bundes, das ITZBund ebenfalls sehr ähnlich argumentierend, abgelehnt:
Meine Zusammenfassung:
Abgelehnt wegen Gefährdung der öffentlichen Sicherheit (§ 3 Nr. 2 IFG) sowie Art. 30 Abs. 4 DSGVO, da mit Auskunft der Auftragsverabeitungsverträge (AVV) ja „eine Aggregation aller Verarbeitungstätigkeiten” und somit „die Möglichkeit geschaffen [würde], ein eigenes Verzeichnis [von Verarbeitungstätigkeiten]“ zu erstellen. Herauszugeben sei dies deswegen nicht, da ein „Anspruch der Allgemeinheit auf Einsicht des Verzeichnisses [nicht] besteh[e]”.
Meine Gegenargumentation/groben Argumente habe ich gleich mal in der Vermittlung vom BfDI erläutert (hier etwas umformatiert damit es richtig gerendered wird in Markdown, sonst inhaltlich das gleiche):
Ich bin der Meinung, die Anfrage wurde zu Unrecht auf diese Weise bearbeitet, weil…
der Anwendungsbereich des IFG nicht durch Art. 30 Abs. 4 DSGVO gesperrt ist. Wie allen Beteiligten bekannt, ist hierzu ein Verfahren zwischen mir und der beklagten Behörde beim VG Köln anhängig (Az.: 13 K 3392/21), vgl. [1] bzw. Gz. 25-780/010 II#0781 zur Vermittlungsanfrage bei Ihnen als BfDI. Ich verweise auf die Klagebegründung diesbezüglich bspw. [2]
der Verweis auf § 3 Nr. 2 IFG nicht hinreichend ist, da von keiner Gefährdung der öffentlichen Sicherheit auszugehen ist.
Ein Auftragsverarbeitungsvertrag (AVV) beinhaltet grundlegend hauptsächlich rechtliche Vertragsausführungen zum Thema der Verarbeitung personenbezogener Daten, wie auch die Beispielvorlage des BfDI [3] zeigt.
So können zwar technisch-organisatorische Maßnahmen (TOM) aufgelistet werden, aber auch diese Auflistung erstreckt sich üblicherweise nur auf eine grobe und stichpunktartige Aufzählung. Die von der Behörde selbst bereits genannte Verhinderung von „Lastspitzen” sollte beispielsweise dazu zählen und ist im geradezu offensichtlich, da ebendies eine Hauptaufgabe von CDNs darstellt.
Ferner muss beachtet werden, dass Informationen zum allgemeinen Angebot Cloudflare in deren allgemeinen und sehr ausführlichen Dokumentation[4] frei verfügbar sind und somit der von der Behörde angeführte „Leistungsumfang und damit dem Wirkungskreis des CDN” hierbei von bei einer „Analyse von Angriffsvektoren”, wie die Behörde schreibt, bereits plausibel erscheint.
Dies geht soweit, dass Cloudflare Standarddokumente rund um den Bereich der DSGVO bereitstellt[5], insbesondere einen „Cloudflare-Auftragsverarbeitungsvertrag” mit „Standardklauseln für Kunden“[6]. Es ist davon auszugehen, dass zumindest große Teile ebendiesen sich mit den Dokumenten die der Behörde vorliegen. ähneln. Das vorliegende Musterdokument zeigt rein vertragsrechtliche Aspekte und dessen Veröffentlichung lässt somit keinerlei Sicherheitsbezug im Sinne von § 3 Nr. 2 IFG erkennen. Selbst wenn darüber hinaus Regelungen getroffen wären, beispielsweise auch mit dem statistischen Bundesamt, so ist nicht davon auszugehen, dass sich ein solchen Dokument einen völlig anderen Charakter vorweist.
Bei der Geheimhaltung entsprechender Informationen bezieht sich die Behörde zu Unrecht darauf, dass die Informationen praktisch geheim haltbar seien. Wenn sich die Behörde bspw. auf den angeblich zu schützenden „Wirkungskreis des CDN“ oder darauf bezieht „welche Datenverarbeitungsprozess […] durch das ITZBund und damit auf dessen Servern ausgeführt werden”, so ist dies mittels technischer Mittel auch aktuell bereits auf triviale oder einfache Weise möglich. Dies zeigt im vorliegenden Fall ganz praktisch exemplarisch die technische Analyse von Mike Kuketz, in der eben die Fragestellung analysiert wurde, welche Datenverarbeitungsvorgänge beim ITZBund und bei Cloudflare stattfinden [7-8]. Die in Punkt 2.2. bereits erwähnten Dokumente, wie DNS-Einträge, Antwortheader oder Antwort-Cookies[9], sowie allgemein frei verfügbarer Informationen über einen derart standardisierten Dienst wie Cloudflare können dabei ebenso helfen.
Allgemein soll darauf verwiesen werden, dass das Konzept von „Security through Obscurity” veraltet ist und die Sicherheit entsprechender Datenverarbeitungsvorgänge eben nicht auf die Geheimhaltung der Verfahren bzw. technischen Vorkehrungen gestützt werden darf.
Eine rechtsstaatliche Kontrolle bzw. Öffentlichkeit entsprechender staatlicher Datenverarbeitungsprozesse lässt sich zudem aus Grundrechten wie dem vom BVerfG klargestellten Recht auf informationelle Selbstbestimmung, vgl. Art. 8 der EU-Grundrechtecharta.
Aus diesem Grund ist eben nicht die Geheimhaltung, sondern die Veröffentlichung eben solcher Maßnahmen erforderlich.
Sollte wider Erwarten dennoch Teile der herauszugebenden Informationen nach § 3 Nr. 2 IFG von der Behörde als nicht herauszugebend eingestuft werden, so hätte ebendiese auch eine Teilschwärzung vornehmen können. Dies scheint, auf Basis der vorliegenden Bescheids, jedoch nicht geprüft wurden zu sein.
DSFA: Verweigerung der Herausgabe
Verarbeitungsvereinbarung: Verweigerung der Herausgabe
Unterlagen zu Soundflare: Verweigerung der Herausgabe
sonstige Dokumente: Verweigerung der Herausgabe
Beim Zensus werden sensibelste Daten verarbeitet, ich finde die Geheimniskrämerei durch die Behörden unmöglich.
Durch doe Behörden sind nur schwammige Aussagen getätigt worden, wenn ich selbst zur Zensus-Stichprobe gehört hätte (was ich zum Glück nicht tat), hätte ich aufgrund der mir nicht garantierten Datensicherheit die Auskünfte verweigert und mich gegen Bußgelder vor Gericht gewehrt.
Das könnte für mich interessant werden. Wir haben bereits den ersten Brief mit den Zugangsdaten für Cloudflare bekommen und erst einmal beiseite gelegt. Es hieß, dass später ein Brief kommen wird, wo man die Daten offline abgeben kann. Damit wäre Cloudflare erst einmal kein Thema, aber immer noch die DSFA.
BfDI hat auch geantwortet (TLDR: solch eine technisch detaillierte Auswertung würde ein Vermittlungsverfahren sprengen) und auch die Widerspruchsfrist ist inzwischen abgelaufen. Habe da nicht so viele Erfolgsaussichten gesehen und es auch einfach zeitlich nicht geschafft.
Falls jemand das anders sieht, gerne den Antrag erneut stellen und einen Widerspruch mit den vorhandenen Informationen schreiben.
Schade. Eine kurze Widerspruchsbegründung wäre ja besser gewesen als gar kein Widerspruch.
Ich habe bei unserem Landesamt für Statistik ganz kurz Widerspruch eingelegt und darauf hingewiesen, dass das IFG schon ziemlich lange besteht und ich deshalb erwarten kann, dass die Dokumente gleich so organisiert werden, dass man sie leicht geschwärzt herausgeben kann. Parallel dazu habe ich den Datenschutzbeauftragten um Vermittlung gebeten.
Hoho, es gibt neueste News! Bei meiner Anfrage an unser Landesstatistikamt (Sachsen-Anhalt) kam nach Einschaltung des Datenschutzbeauftragten heraus, dass es mehrere DSFAs gibt: Eine vom Bund und eine ergänzende vom Land. Diejenige vom Land wäre das Statistikamt sogar bereit, mit Schwärzungen herauszugeben:
Da habe ich gleich zugesagt. Jetzt wird es interessant! Ich finde es bemerkenswert, dass das Landesamt eine Ergänzung zur Bundes-DSFA schreiben kann, wenn ihr die Bundes-DSFA gar nicht vorliegt. Na sei’s drum.
Die letzte Anfrage war von mir und ist jetzt freigeschaltet. Sorry, ich habe nicht die Zeit gefunden dazu bisher.
Inhaltlich wurde sie natürlich vollkommen, biel zu pauschalisierend abgelehnt. E-Mails seien alles Entwürfe (was Quatsch ist) und außerdem öffentliche Sicherheit… hach…
Damit das zumindest noch einen Sinn hat, habe ich mal die Vermittlung eingeschaltet, dass das bei einer zukünftigen Anfrage noch vlt. beachtet wird.
Das Landesstatistikamt hatte mir die DSFA in grausiger Qualität auf Papier übersandt: Gescannt, gefaxt, geschwärzt, mit JPEG-Artefakten gespeichert und dann wieder gedruckt. Ich habe es noch mal scannen müssen:
Ich hatte das Statistikamt gebeten, mir die das Dokument elektronisch zu übermitteln. In Sachsen-Anhalt hat man ein Recht auf die Wahl der Form. Aber das Amt stellt sich bislang noch quer.
Ich habe weiter gefragt beim BSI und zwar nach einem Untersuchungsbericht zum Fund von Webshells auf Zensus-Servern. Die gute Nachricht ist: Anscheinend gibt es einen Untersuchungsbericht. Die schlechte Nachricht ist: Ich darf ihn nicht sehen, denn dann würde ich wahrscheinlich sehen, wie schlecht die Zensus-Server abgesichert sind.