Ansichten eines Informatikers

Vom entsetzlich undigitalen „Ministerium für Digitales und Verkehr“

Hadmut
13.10.2024 18:42

Manchmal – immer öfter – will man aus Deutschland nur noch schreiend davonlaufen.

Oder: Der verantwortliche Minister ist Volker Wissing (Jurist, FDP).

Die Sache ist die: Ich forsche ja in Sachen Meldestelle REspect!/Kontolöschung/Bundestag/Bundesnetzagentur/Wahl und so weiter gerade verstärkt nach.

Dazu gehört unter anderem, dass ich in den letzten Tage eine Reihe von Anträgen auf Auskunft und Akteneinsicht gestellt habe, manche nach Art. 15 DSGVO (Datenschutzauskunft), manche nach Informationsfreiheitsgesetz. Eigentlich hätte ich auch presserechtlichen Auskunftsanspruch, aber da muss man jahrelang klagen.

Ich habe das per E-Mail gestellt.

Manche nehmen das so hin.

Manche aber nehmen das nicht so hin. So antwortete mir Faesers Bundesinnenministerium:

Sehr geehrter Herr Danisch,

mit E-Mail vom heutigen Tage erbitten Sie Auskunft über im Bundesministerium des Innern und für Heimat (BMI) zu Ihrer Person gespeicherte personenbezogene Daten.

Grundsätzlich ist eine Antragstellung auf Gewährung von Betroffenenrechten nach der Datenschutz-Grundverordnung (DSGVO) formlos. Sie ist jedoch an gewisse Verfahrensvorschriften gebunden.

Um sicherzugehen, dass evtl. hier gespeicherte personenbezogene Daten zu einem Antragsteller auch auf die antragstellende Person zutreffen, ist neben Ihrem Namen, Vornamen, ggf. Geburtsnamen und Ihrer vollständigen Anschrift auch ein Nachweis Ihrer Berechtigung auf die Gewährung von Betroffenenrechten unabdingbar. Nur so ist mir eine namentlich korrekte Zuordnung und Datensuche möglich. Gleichzeitig müssen wir personenbezogene Daten vor unberechtigtem Zugriff schützen.

Der Nachweis Ihrer Berechtigung auf die Gewährung von Betroffenenrechten kann wie folgt erfolgen:
• durch mindestens drei eindeutige sachverhaltsbezogene Angaben zu einem Sie betreffenden Vorgang bzw. dem Bezugsvorgang zu Ihrem Antrag (bspw. Aktenzeichen, Vorgangsnummer oder Vorgangsbezeichnung, Bescheidnummer oder Bescheiddatum, Personalnummer, Dienstgrad, Datum des letzten Kontakts, Nennung der Kontaktperson in der Behörde bzw. des Bearbeitenden oder sonstige Angaben zu Ihren personen-bezogenen Daten),
• durch die Übersendung einer Kopie Ihres Personalausweises / Ihres Reisepasses mit Meldebescheinigung, auf der zweifelsfrei ihre Meldeanschrift ersichtlich ist. Dies kann mittels Post erfolgen oder durch das Hochladen einer Kopie Ihres Ausweisdokumentes im Bundesportal unter folgendem Link: https://verwaltung.bund.de/leistungsbeantragung/bmibetroffenenrecht#0
oder
• durch die Antragstellung unter Anmeldung mit Ihrem BundID-Nutzerkonto unter folgendem Link: https://verwaltung.bund.de/leistungsbeantragung/bmibetroffenenrecht#0.

Ich darf Sie daher bitten, diese Daten zu ergänzen. Hinsichtlich Ihrer aktuellen Meldeanschrift verweise ich ergänzend auf die Ausführungen in § 41 Verwaltungsverfahrensgesetz zur Bekanntgabe eines Verwaltungsaktes, die für mich bei der Bearbeitung Ihres Antrags bindend sind.

Die Antwort auf Ihre Anfrage erfolgt schriftlich auf dem Postweg an Ihre Meldeadresse oder in Ihr BundID-Nutzerkonto-Postfach, um sicherzustellen, dass die Auskunft über eventuell zu Ihrer Person gespeicherte personenbezogene Daten nur an den bzw. die Berechtigte/n gelangt.

Ich weise vorsorglich darauf hin, dass das BMI keinerlei Auskunft über etwaige Speicherung personenbezogener Daten in den Geschäftsbereichsbehörden und Bundesländern erteilt, da hierzu die Zuständigkeit bei den Geschäftsbereichsbehörden bzw. bei den jeweiligen Bundesländern liegt.

Mit freundlichen Grüßen

Im Auftrag

Das ist … zumindest hinreichend in Ordnung. Das mit dem Übersenden der Ausweiskopie halte ich für kritisch, aber dass sie die Antragstellung mit BundID und ePerso ermöglichen (obwohl ich auch da noch eine Reihe von Sicherheits- und Datenschutzbedenken habe), ist zwar von der Implementierung noch nicht toll, aber zumindest systematisch mal der richtige Weg.

Unter Anwendung einer gewissen pragmatischen Toleranz und der Konzentration auf Wichtigeres habe ich daran erst einmal nichts Schlimmes auszusetzen, sondern finde das im Gegenteil richtig, dass die sich Gedanken machen, ob denn die Anfrage auch echt ist, und darüber nachdenken, ob die E-Mail echt ist, denn E-Mail-Adressen kann man sich mehr oder weniger willkürlich aussuchen.

Das Bundesministerium für Digitales und Verkehr (Achtung, Aufpassen: „für Digitales“) dagegen antwortet mir:

Sehr geehrter Herr Danisch,

um Ihren Antrag vom 04.10.2024 auf Auskunft nach der DSGVO bearbeiten zu können, bitte ich Sie hiermit, uns einen Identitätsnachweis zu erbringen. Wir können Ihrem Begehren nur dann nachkommen, wenn wir Sie zweifelsfrei identifizieren konnten.

Um missbräuchliche Auskunftsbegehren zu verhindern, sieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Vorlage eines Personaldokuments zur Legitimation als zulässig an. Von der Ausweiskopie werden regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt. Alle anderen Daten können auf der Kopie grundsätzlich geschwärzt werden. Selbstverständlich unterliegen die Daten auf der Ausweiskopie einer strengen Zweckbindung und werden ausschließlich zur Identitätsprüfung verwendet und fließen nicht in den Datenbestand des BMDV ein. Am besten übermitteln Sie zeitnah die geschwärzte Ausweiskopie – aus datenschutzrechtlichen Gründen – postalisch an das:

Bundesministerium für Digitales und Verkehr – BMDV

Administrativer Datenschutz – Ref. Z34

Robert-Schuman-Platz 1

53175 Bonn

Sollten Sie sich für eine elektronische Übersendung entscheiden, weise ich Sie vorsorglich darauf hin, dass die Kommunikation per E-Mail dem Grunde nach der Kommunikation per Postkarte gleich kommt und dementsprechend datenschutzrechtlich von dieser abzuraten ist.

Mit freundlichen Grüßen

Im Auftrag

Ihr adminDS-Team

Ausgerechnet das „Bundesministerium für Digitales“ rät von E-Mail ab und will lieber Briefpost, umgangssprachlich „snail mail“.

Das mit der E-Mail und der Postkarte stimmt so nicht mehr, denn erstens gibt es TLS-Verschlüsselung, und zweitens könnte man PGP-Schlüssel angeben. Da sind die irgendwie auf einem sehr alten Standpunkt.

Das mit der Übersendung einer Personalausweiskopie ist ein ziemlicher Schwachsinn, denn selbst wenn die Kopie unverfälscht wäre (was aber recht einfach zu fälschen wäre), bewiese diese sicherheitstechnisch nur, dass es einen Hadmut Danisch mit dieser Anschrift in Berlin gibt, aber nicht, dass der Antrag von diesem kommt und die E-Mail-Adresse zu diesem gehört. Es ist erstaunlich, wieviele Behörden und öffentliche Stellen von mir eine Kopie des Ausweises verlangen und dann immer noch glauben, dass man sich damit eindeutig identifizieren und ausweisen könne, obwohl das dann auch jeder könnte, der in den Besitz einer solchen Kopie kommt. Da reicht ein Polit-Honk, der das einscannt und in die Steckbriefdatenbank einer gewissen Partei hochlädt, schon kann sich jeder als „Hadmut Danisch“ ausgeben.

Die eigentlich anzuratende und richtige (wenn auch derzeit noch lausig implementierte und fehlerhafte, aber im Prinzip eben richtige) Lösung wäre, den Antrag per ePerso zu stellen und das Justizpostfach zu verwenden. Digital eben.

Aber ausgerechnet damit scheint sich das „Bundesministerium für Digitales und Verkehr“ sehr schwer zu tun.

Anscheinend haben sie es nicht so mit dem Digitalen …