In meiner TOPFSekret Anfrage an den Oberbergischen Kreis wird sich hartnäckig geweigert, Auskunft über eMail zu erteilen.
Nachdem ich denen schrieb, dass sie die Personennamen ruhig schwärzen können, kam nun diese Ausflüchte:
da es sich hier um sensible Daten handelt (zumindest der Name des entsprechenden Betriebes muss bei der tatsächlichen Auskunftserteilung erkennbar sein sowie die festgestellten Abweichungen) und der Oberbergische Kreis nicht über entsprechende Verschlüsselungsmechanismen verfügt, die für eine sichere Übertragung erforderlich wären.
Ist der Name des Betriebes eine sensible Info? Eine Info, die unter den Datenschutz fällt?
Keine Verschlüsselungsmechanismen - unglaublich! Kann das stimmen? Wenn so etwas üblich ist bei deutschen Behörden, wäre das nicht einer FdS-Kampagne wert? Da fällt mir auch direkt ein Partner ein: CCC Chaos Computerclub
Unabhängig von der Fragestellung, ob es sensible Daten sind: FragDenStaat bietet auch eine Upload-Funktion für Behörden an. Die Übertragung ist dann in jedem Fall verschlüsselt. Der Link findet sich am Ende jeder Mail.
Und Betriebsnamen sind eventuell personenbezogene Namen falls der Name des Inhabers im Betriebsnamen steht. Aber selbst dann können die den ja schwärzen?
Im Sinne der DSGVO sind Betriebe sog. Verantwortliche. Dass Verantwortliche Betroffenen Informationen in einem Kundenportal oder Downloadlink zur Verfügung stellen, kann immer nur ein Angebot des Verantwortlichen sein, das Betroffene annehmen können, aber nicht müssen. Denn seit wann muss man sich seine Post abholen? Auch im 21. Jahrhundert sind und bleiben die Verantwortlichen in der Bringschuld.
Die eMail-Verweigerung ist nicht rechtmäßig, mehr dazu in meiner direkten Antwort an h.muller_59
Die eMail-Verweigerung ist nicht rechtmäßig. Gründe:
Faktisch zählt die eMail zum sichersten, einfachsten und nachweisbarsten schriftlichen Kommunikationsmittel; ein Kommunkationsweg, der dem informationellen Selbstbestimmungsrecht unterliegt und in Deutschland zudem besonders durch Art. 10 GG und veschiedenste Strafvorschriften aus dem StGB geschützt ist. Darin mag der Grund zu finden sein, warum eMail-Accounts tatsächlich nur selten gehackt werden, sowie darin, dass die Spur zu Hackern vergleichsweise einfach nachvollziehbar ist. Ganz anders als bei geklauter Post aus dem Briefkasten oder wenn ganze gelbe Postboxen geräubert werden, nicht nur zu Weihnachten. In der Realität gibt es die angebliche Hackerauswüchsigkeit nicht, es handelt sich in dem Ausmaß um einer erfundenes Klischee. Tatsächlich findet der unrechtmäßige Zugriff auf eMails überwiegend im Familienkreis statt, wie so häufig. Das betrifft aber alle Formen und natürlich auch Briefe. Wollen wir jetzt die Familie verbieten?
Ein online-Zugang/ein Account, wo man beim verantwortliche Informationen einsehen und abrufen kann (s. EWG 63 S. 4 DSGVO) , ist gut, aber kein Muss für die betroffene Person, das nutzen zu müssen! Zwang zur Kommunikation über die Verantwortlichenportale oder Abholung von Informationen über Downloadlinks ist nicht rechtmäßig. Niemand muss seine Post abholen, Verantwortliche sind auch im 21. jahrundert in der Bringschuld.
Ausserdem sind solche Zwänge zur Kommunikation über sog. Kundenportale und insbesondere deren Kontaktfelder meines Erachtens nach überhaupt nicht zu empfehlen, ich verweigere sie bewusst, denn: Ob nun Handyvertrag, Stromvertrag, Versicherungen oder was auch immer - angenommen ich wechsle den Anbieter udn erfahre später von einem Datenschutzrechtsverstoßt des ehemaligen Verantwortlichen und möchte Informationen zum Schriftverkehr haben, dann müsste ich den Veantwortlichen sinngemäß dazu auffordern: Ich habe Ihnen schon 2018 etwas dazu geschrieben, so in der Art. “…”, bitte übersenden Sie mir den Schriftverkehr über Ihre Kommentarboxen
Der Firmenname zählt in keinem Fall zu den sensiblen Daten. Die Behauptung ist absurd.
Auch sensible Daten sind über den von der betroffenen Person gewählten Versandweg per eMail zu versenden. Nach Art. 12 Abs. 1 S. 3 DSGVO haben Betroffene die Möglichkeit, Auskünfte telefonisch zu erhalten, wenn sie es wünschen. Ist einmal die Identität zur Telefon-Nummer, sichergestellt, kann man von dieser Tel.Nr. aus (wenn sie nicht unterdrückt ist) jederzeit entsprechende Informationen abrufen. Der unsicherste Kommunikationsweg ist aber per Telefon, denn wenn irgendetwas einfach ist, ist es Telfongespräche abzuhören. Ich glaube die Software gibt es heute schon mit wenig Geschick für ca. 150€. Und - wollen wir jetzt Telefongespräche verbieten?
Alle sensiblen Informationen, die ich telefonisch bekommen darf, darf ich natürlich auch per eMail bekommen. Welchen Versandweg ich frü den Auskunftstransfer wähle, unterliegt meinem Recht. Mein Recht ist die Pflicht der Behörde! Eine Verweigerung dieses Rechts wäre ein qualifizierter Verstoß gegen meine Rechte nach DSGVO und zudem darauf zu prüfen, ob die Verweigerung der Strafvorschrift nach § 42 Abs. 2 BDSG unterliegt - den die Person bei der Behörde, die mir die eMail verweigert hat, persönliche treffen würde.
Die Pflicht zur eMail ergibt sich unter anderem aus Art. 12 Abs. Abs. 1 u 2 DSGVO, Art. 15 Abs. 3 S. 3 DSGVO (gänginges Format ist z.B. ein pdf-Dokument, natürlich nicht extra passwortgeschützt - aus Gründen - es sein denn, die Betroffene wünscht das!) und weiteren. Wichtig bei der Identifikation der Betroffenen ist noch EWG 64. S. 2 DSGVO “Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.”
Hintergrund und Fazit:
Lt. DSGVO sollen Personen die Kontrolle über ihre Daten habe, denn wer die Kontrolle über Daten hat, hat die Kontrolle über die Person/en. Die eMail zählt zu den größten und besten Errungenschaften des 20. Jahrhunderts. Sie ist ein essentielles Werkzeug und vielleicht sogar eines der stärksten Werkzeuge für Betroffene, damit die Kontrolle bei den Betroffenen liegt. Die Verweigerung der eMail ist so auswüchsig und rechtswidrig wie die Behauptung, die Verweigerung der eMail-Kommunikation diene dem Datenschutz, scheinheilig ist. Tatsächlich gibt es eine unfassbare Anzahl Verantwortlicher (Behörden und Wirtschaftsunternehmen), die es gar nich tmögen, wenn die Kontrolle von Betroffenen bei den Betroffenen liegt.
Behörden unterliegen nach DSGVO verschärften Bedingungen, ihre Verstöße sind verschärft zu ahnden, denn Staatsgewalt mit Kontrollzwängen ist nicht mit rechtsstattlichen Prinzipien vereinbar und deshalb unzulässig.
Die eMail zählt zu den stärksten und sicherstens Identifikationskriterien einer Person und zu den sichersten und sinnvollsten Kommunikationsmitteln des 21. Jahrhunderts. Wahrscheinlich ist sie deshalb neben dem Passwort das gängistes Haupt-Login-Kriterium für Kundenaccounts, sogar für die Rücksetzung von Passwörter
Für den Versandweg per Post bedürfte es ihrer Einwilligung, die muss zwangslos sein, s. EWG 43 S. 1 DSGVO.
–
Wenn Sie mögen, dürfen Sie diesen Text gerne nutzen gegen die Behörde. Viel Erfolg auf jeden Fall bei der Durchsetzung Ihrer Rechte!!
K*, Grund- und Datenschutzrechtlerin aus Leidenschaft, für Betroffenenrechte only
PS:
Klassisches Verweigerungsargument ist häufig: Das muss schriftlich sein. eMail ist schriftlich.
Der Oberbergische Kreis stellt eine eMail zur Verfügung, diese muss er sodann auch nutzen.
Falls er erwägen sollte, die eMail nun nicht mehr zu veröffentlichen: Der Oberbergische Kreis ist nach einschlägiger Rechtsprechung dazu verpflichtet, eine eMail zur Verfügung zu stellen.
Last but not least: Noch alle Verantwortlichen, mit denen ich zu tun habe und die die eMail mit Betroffenen zu verweigern suchen, nutzen intern selbst sehr rege die eMail-Kommunikation, mit Weiterleitung von allen möglichen Unterlagen mit allen möglichen Informationen. Asu berechtigten Gründen. Was häufig aber soweit geht, dass viele Behördenmitarbeiter ihre Behördenmails sogar auf ihren privaten Handys abrufen, und das schon vor Corona. Und das geht gar nicht! Rechtlich ist es zumindest mehr als verwegen.
Ich führe diverse (immaterielle) Schadenersatzklagen nach Art. 82 DSGVO gegen solche Verantwortliche (Behörden und Wirtschaft), und gegen den ein oder anderen Hauptverantwortlichen (Geschäftsführer, Vorstand, Behördenleitung…) privatklageberechtigte Strafklage auf Geldstrafen nach § 42 Abs. 2 BDSG. Beim immateriellen Schadenersatz hat der Verantwortliche eine 0% Verschuldensquote nachzuweisen und ab 90 Tagessätzen Geldstrafe ist eine Person übrigens vorbestraft. Diese Reglungen gibt es aus gutem Grund.
Das eine E-Mail schriftlich ist, würde ich aufgrund von § 126 BGB anzweifeln. Das ist allenfalls eine Textform nach § 126b BGB (meine Meinung, ohne Gewähr).
Hier gehts zu § 126 BGB
Deine Meinung ist unzutreffend. eMail ist schriftlich. Die Frage ist nur, wann es einer Signatur bedarf und wenn es einer bedarf, welcher. Bedarf es einer Signatur, ist die persönliche Signatur auf einem pdf nicht weniger gültig als z.B. eine elektronische Signaur. Nur Sondersachen wie notarielle Beurkundung oder gerichtliche Zustellungen unterliegen besonderen Formerfordernissen; so kann man eine Klage z.B. nicht via eMail bei Gericht einreichen, weil sie dann nicht rechtswirksam wäre, sehr wohl aber qualifiziert versendet via De-Mail oder Behördenpostfach beA entweder elektronisch oder persönlich signiert. Bezeichnend: Das beA zählt zu den unsichersten elektronischen Kommunikationswegen überhaupt, aber laut AGH (Anwaltsgerichtshof) sicher genug; oder wie der AGH sagt: Es gibt keine absolute Sicherheit.
Ebenfalls bezeichnend: So manche Gerichte kommunizieren intern zu Rechtstreitigkeiten per einfacher eMail miteinander, wenn z.B. Beschwerden an die nächste Instanz weitergeleitet werden etc. - das weiß kaum jemand, ist aber wie gesagt nicht unüblich. Und warum? Weil die einfache eMail einfach gut ist.
@kartie: vielen Dank für die ausführlichen Erläuterungen. Ich denke, ich werde Deinen Text so nehmen, wie Du in geschrieben hast, ohne Umformulierungen. Ich werde vorneweg schreiben, dass ich mir den Sachverhalt habe erklären lassen und das auch so sehe … und dann Deine Ausführungen kopieren.
Nun noch zu meiner zweiten Frage: Ist es wirklich glaubhaft, dass einer Behörde keine Verschlüssellungsmechanismen zur Verfügung gestellt werden?
Ich habe zu dem Thema noch nie mit Behördenmitarbeitern gesprochen und kann deshalb nichts Qualifiziertes dazu sagen. Allerdings würde es mich eher wundern, wenn es überhaupt eine nennenswerte Anzahl an Behörden gibt, die aktiv verschlüsseln. Denn viele Behörden haben noch nicht einmal eine elektronische Aktenführung. Da läuft dann noch der Großteil über Papier. Hier hat mal jemand das LRA Reutlingen danach gefragt.
Außer bei Landesdatenschutzbeauftragten habe ich auch noch nie Public Keys wahrgenommen.
Glaubhaft ist es schon und insofern, als dass es verschiedene Verschlüsselungsmechanismen gibt, und ich glaub nicht alle eMail-Provider resp. Progamme sind Ende-zu-Ende verschlüsselt; weil es soweit ich weiß gar nicht notwendig ist. Das war jedenfalls mein letzter Stand der Dinge. Letztlich entscheidet das jede Behörde resp. jeder Landkreis selber, so wie Privatpersonen eben auch, zu welchem Provider man geht und ob man Clientprogramme nutzt oder aus dem Webmailer arbeitet, ob man gesondert verschlüsselt, was aber die wengisten machen, weil es kompliziert, aufwendig und - ich find - unnötig ist; sowas wie De-Mail oder gmx bietet zusätzlich an, dass man wenn man sich einen Schlüssel besorgt hat, an manche Empfänger gesondert verschlüsselt übermitteln kann.
Ist aber egal, weil die normalen eMails bereits einem Einwurfeinschreiben gleichkommen
halt mich gerne auf dem Laufenden, wie es gelaufen ist :)
Good luck und lass dich nicht unterkiegen fight for your rights
Das habe ich gemacht und auf mehrere Postzustellurkunden immer wieder nur per eMail über fragdenstaat.de geantwortet und argumentativ vorgeschobene Einwände gegen eMails entkräftet.
Resultat, letztendlich kam der Kontrollbericht hier über fragdenstaat.de … zwar mit Kennwort verschlüsselt, das wurde aber direkt mit der nächsten eMail nachgeliefert. Also alles da und bei den ganzen Bedenken, die beim Oberbergischen Kreis bestanden, ging es doch sehr zügig, finde ich. Siehe hier Kontrollbericht zu Hotel zur Post, Wiehl - FragDenStaat
Das wichtigste ist, dass du zufrieden bist. Auch wenn die Behörde erheblich gegen deine Rechte nach DSGVO verstößt, jetzt sogar noch mehr als vorher. Von mir würden die eine Unterlassungs- und Schadenersatzklage (Art. 82 DSGVO) bekommen und die Behördenleitung eine Klage auf 10 Tagesätze gelödstrafe nach § 42 Abs. 2 und 3 BDSG.
Unterlassung: Es zu unterlassen zu behaupten, eMails müssten Ende-zu-Ende-verschlüsselt sein, denn das ist eine billige Lüge.
Es zu unterlassen, dir ohne deine Zustimmung deine Dokumente irgendwo einzustellen, z.B. über Frag-den-Staat, oder in einem eigenen sog. Kundenaccounts. Post ist immer noch eine Bringschuld.
Es zu unterlassen, pdf-Dokumente mit einem Passtwort zu belegen. Stell dir mal vor, das machen ALLE - wie organisierst du die Ablage, also das Passworthandling? Mal schnell ein pdf-Dokument öffnen, ist dann nicht mehr. Der Zugriff auf die Dateien auf dem PC und über das Handy ist noch schwieriger. Die gleichen Schwierigkeiten, die du hättets, haben die Verantwortlichen im Übrigen auch:
Diese Dateien-Passwort-Diskussion hatte ich schonmal und zwar als mein Anwalt sich im März 2019 selbständig gemacht hat und sich bzgl. Räumlichkeiten und Personal an eine bestehende Kanzlei angeschlossen hat - da war dort grade das Prozedere implementiert worden, dass jede pdf-Datei mit einem extra Passwörtern geschützt wird. Ich war bereits Mandantin meines Anwaltes und ging also solche mit in die neue Kanzlei, hatte mich aber nach den ersten 4-5 passwortgeschützten Daten vehement dagegen verwehrt, was meinen Anwalt in eine unschöne Lage gebracht und mich nicht gleich zum Freund der Kanzlei gemacht hat. Dann aber doch, denn die Kanzlei kam selbst sehr schnell an ihre Grenzen. Die Mandantennachfragen häuften sich, was nicht nur Zeit kostete, sondern auch intern wurde das Handling zum Problem – wenn man nämlich plötzlich selbst nicht mehr auf eine Datei zugreifen kann, weil das Passwort falsch oder verlegt ist. Besonders ungünstig ist das, wenn in aller Kürze eine Frist abläuft und nachts kurz vor 24 Uhr grad kein Personal da ist – und man die Dateien an das Gericht dann eben passwortgeschützt übermittelt; oder wenn man erst kurz vor einer Gerichtsverhandlung Unterlagen zusammenstellen möchte, und dann halt ohne in die Verhandlung geht.
Ich hatte später nochmal in der Kanzlei angerufen und gefragt, ob sie das noch so machen, mit den extra pdf-Passwörtern. Mitarbeiterin: „Nein, das machen wir nicht mehr. Wir sollen das nur noch machen, wenn das jemand möchte.“
„Und? Möchte das jemand?“
„Nein, das möchte niemand.“
Die gute einfache eMail ist technisch und inhaltlich eines der sichersten und nachweistbarsten Kommunikationsmittel überhaupt. Und wenn die Behörde eMail so gefährlich findet, wäre ihr sofort die eigene jedwede eMail-Kommunikation zu untersagen (würde ich ebenfallsa gerichtlich einklagen). Und dann sähen die ganz schön alt aus.
Die Wahl des Kommunikationsmittels liegt bei dir; die eMail ist durch die DSGVO, Art. 10 GG und durch verschiedene Vorschriften aus dem StGB geschützt - mehr Schutz geht nicht.
Wenn Du magst, kannst Du dagegen vorgehen und ich unterstütze Dich dabei. Nur mir alleine wird es an dem Punkt zuviel. Ich unterstütze fragdenstaat.de schon mit einer ganzen Reihe an Anfragen und gebe mich auch nicht nach dem ersten Gegenwind geschlagen. Um mich aber richtig tief in die Juristerei einzuarbeiten oder gar einen Anwalt zu bemühen, fehlen mir Zeit und Geld.
Wenn Du magst exzerziere doch einmal eine eigene TopfSecret-Anfrage beim Oberbergschen Kreis durch, so wie Du Dir das vorstellst. Du bist ja durch meine Anfage vorgewarnt, wie die reagieren. Ich würde Dir gerne dabei über die Schultern schauen … was meinst Du?
Interessante Idee, das von jemandem anderen nochmal durchexerzieren zu lassen und dann on top mit datenschutzrechlicher Klage dagegen. Würde zu mir passen, weil ich genau das mache: Ich klage gegen Datenschtuztrechtsverstöße, insbesondere gegen meine eigenen. Das ist das - ich brauche gar nichts zu kreiieren - die Verstöße gegen Personen und Persönlichkeitsrechte haben ein Ausmaß angenommen, das so unzumutbar wie gefährlich ist. Ich versuche das zu ändern, weil diese Entwicklung noch eine jede und auch unsere Gesellschaft kaputt macht. Rechtsstaatlichkeit hat sich in Deutschland als Illusion entpuppt und ich kann es beweisen. Bin weit gekommen und denke, dass nächstes Jahr Entscheidungen auf EU Ebene getroffen werden. Ob so oder so - man weiß es nicht.
Du scheinst erfolgreich zu sein! Leider kann ich mir unter deiner Schilderung nichts vorstellen. Möchtest du die von dir erstrittenen Urteile mit uns teilen?
Du bietest Beweise ja selbst an
fight for your rights