Für den Fall einer vollständigen oder teilweisen Nichterteilung der Auskunft (zB Verweigerung) beantrage ich die Ausstellung eines Bescheides gem § 4 AuskunftspflichtG. Antragsteller/in Antragsteller/in <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>

-----Ursprüngliche Nachricht----- Von: Antragsteller/in Antragsteller/in <<E-Mail-Adresse>> Gesendet: Dienstag, 29. Mai 2018 11:07 An: *BMI I/5/a-Bürgerservice Betreff: Biometrische und strafrechtlich relevante Daten in der Cloud? (IBM/Microsoft) [#1575] Sehr geehrte Damen und Herren, hiermit beantrage ich gem §§ 2, 3 AuskunftspflichtG die Erteilung folgender Auskunft: Da die Datenschutzerklärungen des BMI meistens auch Microsoft und IBM als Auftragsverarbeiter anführen, ersuche ich um Klarstellung. Welche Daten werden genau bei Microsoft und IBM gespeichert? Bei fast jeder Datenschutzerklärung des BMI scheinen diese beiden Firmen als Auftragsverarbeiter gem. Art. 28 DSGVO auf, wenn man in die Google Suche folgende Abfrage eingibt: site:bmi.gv.at "Microsoft Österreich" "IBM Österreich" Beispielhaft: https://www.bmi.gv.at/402/files/Informa… https://www.bmi.gv.at/402/files/Informa… https://www.bmi.gv.at/402/files/Informa… Schließt die Verarbeitung die bei diesen Firmen stattfindet auch strafrechtlich relevante und/oder biometrische Daten von Bürgern ein? Beide Anwendungen verarbeiten üblicherweise solche Daten. Ich ersuche daher um Klarstellung, welche Daten genau bei diesen Firmen verarbeitet werden bzw. um Veröffentlichung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO für die o.g. Anwendungen. Sind die Datenbanken dauerhaft verschlüsselt gespeichert? Gemeint ist damit: In einer Form, dass die Ver-/Entschlüsselung nur auf BMI-Systemen bzw. Systemen über die der Bund physisch verfügt stattfindet und selbst bei hypothetischer voller Kooperation von Microsoft/IBM mit Nachrichtendiensten die Vertraulichkeit gewahrt würde (= keine Klartext-Daten zu keinem Zeitpunkt bei Microsoft/IBM). Ich ersuche daher weiters um Klarstellung, welche technisch-organisatorischen gem. Art. 32 DSGVO Maßnahmen bzw. welche Garantien gem. Art. 28 Abs. 1 DSGVO durch diese beiden Firmen bzw. das BMI ergriffen wurden bzw. um Veröffentlichung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO, dass diese Information gem. Art. 30 Abs. 1 lit g enthalten muss. Das Verarbeitungsverzeichnis sollte grundsätzlich nicht als geheim eingestuft sein, da dieses gem. Art. 15 Abs. 1 DSGVO ohnehin bei Anfragen (zumindest auszugsweise) zur Verfügung gestellt werden müsste. Weiters hat der HV der Sozialversicherer sein vollständiges Verarbeitungsverzeichnis sogar online gestellt: www.hauptverband.at/portal27/hvbportal/… Weshalb wird zur Verarbeitung dieser Daten nicht der IT-Dienstleister der Bundes, die BRZ GmbH herangezogen oder die Verarbeitung durch das BMI auf selbst erledigt? Ist den Verantwortlichen beim BMI der "CLOUD Act" (H.R. 4943) bekannt, der die Datenherausgabe von im Nicht-US-Ausland gespeicherten Cloud-Daten regelt? Wurde eine Risikoanalyse seitens des BMI zur Cloud-Nutzung gemacht? Falls ja, ersuche ich um Veröffentlichung/Zurverfügungstellung - statt einer Verweigerung können auch Teile geschwärzt werden, welche die nationale Sicherheit betreffen könnten bzw. diese Analyse auszugsweise veröfffentlicht werden. Seit wann findet die Verarbeitung bei Microsoft und IBM statt? In den DVR-Meldungen zu BMI-Anwendungen, die mir aus vergangenen Datenschutzanfragen bekannt sind, sind mir diese beiden Firmen nie aufgefallen. Für den Fall einer vollständigen oder teilweisen Nichterteilung der Auskunft (zB Verweigerung) beantrage ich die Ausstellung eines Bescheides gem § 4 AuskunftspflichtG. Antragsteller/in Antragsteller/in <<E-Mail-Adresse>> und E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >> -- Rechtshinweis: Diese E-Mail wurde über den Webservice https://fragdenstaat.at versendet. Antworten werden ggf. im Auftrag