Das kann ja heiter werden – Datenschutz à la Stadt Duisburg

Manche Dinge schaue ich mir bewusst erstmal ein paar Tage, Wochen oder Monate an. Man weiß ja nie ob nicht im Eifer des Gefechts Dinge unterblieben, manches nachgearbeitet oder umgearbeitet wurde. Nach einer gewissen Zeit erwarte ich jedoch, dass gute Arbeit fürs Steuergeld geliefert wird. Vor allem dann wenn grosse Sprüche geklopft wurden und werden, und wenn es sich, wie im nachfolgenden Beispiel, um sensible Dinge handelt.

Sie alle wissen, die Datenschutzgrundverordnung (DSGVO) ist nun schon ein paar Tage alt. Man darf also eigentlich davon ausgehen, dass auch die in Sachen SmartCity so über alle Maßen ambitionierte Stadt Duisburg und ihre MacherInnen haben es inzwischen drauf die Regeln der DSGVO einzuhalten. Zumal wenn man bedenkt was in Zukunft noch alles an digitalen Diensten im Rahmen des Onlinezugangsgesetzes (gültig ab 2022) auf uns zurollen wird bzw. muß.

Da wo die Stadt sensible Daten erfasst, müsste sie also auch penibel auf den Datenschutz achten. Deshalb habe ich mir mal ein nur ganz simples Beispiel erneut angeschaut. Die Online-Terminvergabe. Nachdem man sich online einen Termin ausgesucht hat muss man zum Abschluß  seine persönlichen Daten eingeben.

Das kann man in Duisburg hier online machen:

https://www.duisburg.de/allgemein/fachbereiche/90/terminvereinbarung-buergerservice.php

Man erkennt auf den ersten Blick, man ist auf den Seiten der Stadt Duisburg.

Man kann das aber auch hier machen – es ist exakt dasselbe Formular:

https://www.qtermin.de/stadt-duisburg

Nur, man befindet sich auf der Seite der QMATIC GmbH, einer Tochter der schwedischen QMATIC Group AB. Die wird einfach per iframe in die Duisburg-Seite eingebettet (s. Zeile 48 des Quellcode).

Die Schlaumis um Digidez Murrack haben die Online-Formulare nämlich nicht selbst entwickelt, nein sie binden lediglich einige Formulare eines technischen Dienstleisters ein. Das wird auf der Duisburg-Seite ganz oben einmal kurz allgemein erwähnt. Ganz so als wäre es nichts Besonderes, aber mindestens so, dass niemand sagen kann er hätte es nicht wissen können.

Wenn man dann auf den Link „Datenschutzerklärung“ klickt (direkt unter dem Formular) wird folgendes eingeblendet:

Ein recht halbgarer Versuch von QMATIC selbst nicht Datenschutz-verantwortlich zu sein. Keinerlei Adress- und Kontaktdaten.  Dafür ein Verweis auf das Impressum der Duisburg-Seite:

https://www.duisburg.de/service/impressum.php

Die Datenschutzverantwortlichkeit ist hier komplett überhaupt gar nimmer nicht geregelt.

Gesamtverantwortlich soll allerdings Frau Kopka sein, sozusagen für die Website in Gänze. Auf der gesonderten Datenschutzseite finde ich dann Hinweise – nur nicht auf QMATIC. https://www.duisburg.de/service/datenschutz_67613.php

Ich werde einfach mal Frau Kopka mit einer Anfrage dazu erfreuen. Vllt. ist sie fix und bessert nach.

Noch mehr wird sie sich freuen wenn jetzt alle die jemals einen Termin online vereinbart haben, ihr eine Mail schicken und sämtliche Auskünfte über gespeicherte Daten verlangen.

Die „eigene“ Datenschutzerklärung von QMATIC sieht übrigens so aus:

https://www.qmatic.com/de-de/datenschutz-rechtliches-und-cookies/

Die halte ich auch irgendwie nicht für besonders transparent.

Und ganz ehrlich, ich stelle mir die Fragen: Was macht dieses Unternehmen u.U. mit all den Daten, denn es werden ja durchaus interessante Datensätze erzeugt? Und wieso braucht man in Duisburg für eine simple Online-Terminvergabe einen auswärtigen Dienstleister?

Guckst Du hier z.B.:

https://code.tutsplus.com/de/articles/15-best-php-calendar-booking-events-scripts–cms-28635

Zumindest hat sich auch Schweden der DSGVO angeschlossen:

https://www.d-velop.de/blog/compliance/eu-datenschutz-wo-stehen-eigentlich-andere-laender-bei-der-eu-dsgvo/

Das läßt mich ECHT beruhigter schlafen.

Ach ja, die Duisburg-Website wird übrigens von DU-IT gehostet, einer Tochter der DVV, die wiederrum der Stadt gehört. Und DU-IT kooperiert angeblich mit HUAWEI. Und weiß man denn wo QMATIC seinen Server stehen hat, ev. in den USA oder bei US-Firmen und dann gilt der Cloud-Act.