Dataport – kann man nur verpfeifen!

Ich war vom 15.03.2021 bis 15.11.2021 externer Mitarbeiter bei Dataport AöR, OSI Plattform, offizielle Tätigkeit "Coach im Bereich Security Standards" und im Organigramm auch als "Security Champion" bezeichnet.

Zu meinen Aufgaben zählte ich

  • Schulung und Coaching der Softwareentwicklung, Code-Reviews, Prozessunterstützung bis hin zu https://blog.lindenberg.one/Bedrohungsmodellierung, Toolerstellung (in C#) wie z.B. basierend auf der Roslyn Analyzer Technologie.
  • Sicherheitsanforderungen zunächst bei Dataport intern veröffentlicht, inzwischen fast identisch auf https://blog.lindenberg.one/Sicherheitsanforderungen, aber natürlich ohne interne Informationen. Abgeleitet aus Datenschutzgesetzgebung, Grundschutz, und gesammelter Erfahrung.
  • Identifizierung von Verbesserungsmöglichkeiten und Erarbeitung von Handlungsempfehlungen für das Management der Abteilung.

Soweit was ich bisher in meinem Lebenslauf oder Projekt-CV schreibe.

Nur leider war Dataport völlig beratungsresistent. Ich durfte zwar jede Menge Missstände entdecken, aber beseitigen wollte man die nicht. Um es deutlich zu sagen: die OSI Plattform — die Kernkomponenten der Verwaltungsportale nach dem Online-Zugangsgesetz (OZG) — verstößt nicht gegen eine sondern gegen alle meine Sicherheitsanforderungen. Zugegeben, meine Anforderungen sind teilweise etwas schärfer als der Grundschutz auf Standard, aber mit Grundschutz ist man ja nicht sicher – das gibt inzwischen sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Stellungnahme zu meiner Anfrage zur Verschlüsselung im Grundschutz zu – mehr zum Grundschutz in Bundesamt für (Un)Sicherheit in der Informationstechnik? Und was taugt der Grundschutz? Diese und andere – nicht alle – Anfragen entstanden aufgrund meiner Tätigkeit bei Dataport. Die OSI Plattform will sogar hohen Schutzbedarf erreichen – hat oder hatte dafür aber nicht wirklich ein taugliches Sicherheitskonzept. Vielleicht ist OSI aufgrund der inzwischen vielleicht unterschriebenen Verträge weitergekommen, vielleicht auch nicht. Als ich das dann auch an das Management von Dataport meldete, wurde mein Vertrag erst fristlos, als ich nach Gründen fragte, dann fristgemäß gekündigt. Einen Grund wollte man nicht kommunizieren, bzw. der Mitarbeiter der mir dann Gründe kommunizieren musste hat mich – Pardon – angelogen. Auffällig ist natürlich, dass Herr Hammer die Unternehmenskultur lobt – "Ich lege Wert auf unsere Fehlerkultur, die solche Hinweise zulasst bzw. sogar fördert und niemanden unbeliebt macht." – während die Kündigung fast zeitgleich eintrifft. Ich will nicht mal behaupten, dass er log, da weiß oft links nicht was rechts tut.

Ich habe gleich Auskunft nach Artikel 15 eingefordert, auch in Hinblick auf Beweissicherung, und als die unvollständig blieb, Beschwerde beim Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein eingereicht. Beschwerde nicht nur wegen der unvollständigen Auskunft sondern auch wegen fehlendem Verfahrensverzeichnis (Artikel 30), fehlenden Auftragsverarbeitungsverträgen (Artikel 28) und mangelhaften technischen und organisatorischen Maßnahmen (Artikel 32). Was ich vom Unabhängiges Landeszentrum dann als Antworten bekomme, ist mindestens so katastrophal wie Dataport. Von Unabhängigkeit lese ich wenig, man verteidigt Dataport statt den Problemen nachzugehen.

Obwohl die Auskunft unvollständig ist, erlaubt sie Einblicke in die Abgründe bei Dataport gegeben. Dass ein Kunde Sicherheit nicht so ernst nimmt wie ich – das kommt vor. Dass er Sicherheitsbedenken gegen mich behauptet, wo er selbst unsicher ist, das ist ungewöhnlich – und üble Nachrede. Ich habe natürlich auch Beweise für meine Behauptungen, aber die stelle ich (noch) nicht auf meine Webseite, kann sie aber gerne der Aufsicht zur Verfügung stellen, wenn sie den Fall dann irgendwann doch untersucht. Und wenn ich jetzt noch an das Einer-Für-Alle-Prinzip bei der Umsetzung des Online-Zugangs-Gesetzes denke, dann sind irgendwann die Daten von uns 80 Millionen Deutschen unsicher. Da kann ich nicht nichts tun.

Eigentlich wollte ich bis zum 17.12.2021 warten, denn bis zu diesen Termin hätte die Bundesrepublik Deutschland die "Whistle-Blower"-Richtlinie (EU) 2019-1937 in nationales Recht umsetzen müssen. "Whistle-Blowing" – Verpfeifen. Nur hat sie das nicht. Natürlich hab ich Beschwerde bei der Europäischen Kommission eingereicht und die hat inzwischen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet – vielleicht nicht nur auf meine Beschwerde hin. Nur leider klärt das nicht welche Behörde für Beschwerden zuständig ist – ich versuche es erstmal weiter beim Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, denn die sind zumindest auch die Datenschutzaufsicht für Dataport. Und veröffentliche hier mal die Kommunikation zwischen Dataport, Allgeier, dem Unabhängiges Landeszentrum für Datenschutz, und mir. Dabei habe ich mich entschlossen die Namen des Dataport-Managements und der Landesbeauftragten für den Datenschutz nicht zu schwärzen sondern nur die Kontaktdaten von ihnen. Die Namen stehen sowieso im Internet und ich darf zumindest fordern, dass sie die Verantwortung übernehmen und geschlossen zurücktreten müssten.

Wer leistet hier (k)einen Beitrag?

  • das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Standards, mit denen man trotzdem unsicher sein kann und zertifiziert auf unsicherem Niveau – siehe Bundesamt für Unsicherheit,
  • Dataports Rechenzentrum wird auf niedrigem Niveau zertifiziert, Dataport ignoriert den Grundschutz aber – nicht nur – in der OSI-Platform-Softwareentwicklung,
  • die Bundesländer, die Kunden von Dataport, interessieren sich mehr für Funktionen als für Sicherheit und Datenschutz,
  • das Kraftfahrt-Bundesamt stellt eigene Anforderungen auf und lässt sie sogar überprüfen, reagiert aber nicht wenn die nicht umgesetzt werden – oder ignoriert das Informationsfreiheitsgesetz,
  • die Datenschutzaufsichten handeln nicht,
  • die Bundesrepublik Deutschland mit der Straffreiheit für Behörden und sonstige öffentliche Stellen in §43 (3) BDSG,
  • und die Bundesrepublik Deutschland hat die Whistle-Blower-Richtlinie noch nicht umgesetzt und wohl auch keine handlungsfähige Meldestelle.

Wer nimmt Meldungen entgegen? Im Zweifelsfall die Öffentlichkeit

Deutschland hat die Whistle-Blower-Richtlinie immer noch nicht umgesetzt. Es existiert nur ein Entwurf dazu, und wie das darin als externe Meldestelle benannte Bundesamt für Justiz schreibt, ein Aufbauteam, aber funktionsfähig ist man anscheinend noch nicht. Auch die Datenschutzaufsichten der beteiligten Bundesländer sind offensichtlich nicht in der Lage, Dataport zu überprüfen, obwohl die Datenschutzgrundverordnung ihnen in Artikel 57 den Auftrag und in Artikel 58 die Mittel in die Hand gibt. Die Whistle-Blower-Richtlinie sieht als letztes Mittel den Gang an die Öffentlichkeit vor, was ich mit dieser Veröffentlichung angehe.

Ich will nicht alle Dokumente veröffentlichen die mir vorliegen – vor allem weil das Schwärzen enorm viel Zeit kostet. Ich veröffentliche hier zunächst den Bericht zur IS-Kurzrevision und den Abschlussbericht Dataport iKfz Audit und Pentests, die dazu geeignet gewesen wären, das Verfahren stillzulegen. Und darin kommt Dataport sogar noch gut weg, denn die Zertifizierung des Rechenzentrums wurde gar nicht in Frage gestellt – obwohl das sinnvoll gewesen wäre. Die oben angeführte Anfrage in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Veröffentlichung der Zertifizierungsdokumente ablehnt – die entstand aufgrund von Mängeln bei Dataport. Sicherheit nach Stand der Technik (Artikel 32)? Fehlanzeige! Außerdem die Security-Service-Level-Agreements (SSLA) Teil A und Teil B, die im wesentlichen gar nichts aussagen und damit in meinen Augen nicht geeignet sind Artikel 28 und 32 zu erfüllen. Dass man einen Teil B hat bestätigt allerdings, dass Schutzbedarf hoch festgestellt wurde. Bremen hat den Vertrag veröffentlicht, Teil A (Anlage 8a, ab Seite 60) ist sichtbar, Teil B (Anlage 8b, ab Seite 74) hat man lieber geschwärzt – das scheint man selbst nicht für ausreichend zu halten. Vielleicht zur Erinnerung – Security by Obscurity hält Angreifer nicht ab, das wusste schon Alfred Charles Hobbs im Jahr 1851. Und bitte lesen Sie genau: es wird im SSLA nur der grundschutzkonforme Betrieb, nicht eine grundschutzkonforme Entwicklung versprochen.

Bei Dataport glaubt man, man sei besser als die anderen Verwaltungsportale. Wenn das stimmt, dann sind unsere Daten in allen Verwaltungsportalen in Gefahr. Wenn ich mir die Stellenangebote auf den Portalen für Freiberufler ansehe, dann befürchte ich, dass sie Recht haben könnten — und das muss sich ändern.

Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz

Hier meine Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein:
Datum/ZeitSenderEmpfängerThema
11.11.2021 18:04Joachim LindenbergDataport AöRZusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport
15.11.2021 13:40Dataport AöRJoachim LindenbergZusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport
15.11.2021 14:12Allgeier ExpertsJoachim LindenbergKündigung des Dataporteinsatzes
15.11.2021 18:08Joachim LindenbergDataport AöRAuskunft nach Artikel 15 DSGVO
16.11.2021 06:20Dataport AöRDataport AöRSperrung der Accounts von Joachim Lindenberg
18.11.2021 17:09Dataport AöRAllgeier ExpertsRücknahme Sofortige Kündigung Jaochim Lindenberg
14.12.2021Dataport AöRJoachim LindenbergAuskunftsschreiben
14.12.2021 15:13Dataport AöRJoachim LindenbergAuskunft nach Artikel 15 DSGVO
18.12.2021 09:37Joachim LindenbergDataport AöRAuskunft nach Artikel 15 DSGVO
22.12.2021 09:52Dataport AöRJoachim LindenbergAuskunft nach Artikel 15 DSGVO
22.12.2021 12:45Joachim LindenbergDataport AöRAuskunft nach Artikel 15 DSGVO
27.12.2021 15:49Dataport AöRJoachim LindenbergAuskunft nach Artikel 15 DSGVO
27.12.2021 17:08Joachim LindenbergUnabhängiges Landeszentrum für DatenschutzAuskunft nach Artikel 15 DSGVO – Beschwerde
18.01.2022Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergBeschwerde gegen Dataport
23.01.2022 08:32Joachim LindenbergUnabhängiges Landeszentrum für DatenschutzAuskunft nach Artikel 15 DSGVO – Aktenzeichen LD42.26.01722.00
17.02.2022European CommissionJoachim LindenbergPre-closure letter to CHAP(2022)00147 – Ares(2022)1192438
10.03.2022Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergBeschwerde gegen Dataport
18.03.2022 17:55Joachim LindenbergUnabhängiges Landeszentrum für DatenschutzAuskunft nach Artikel 15 DSGVO – Aktenzeichen LD42.26.01722.00
01.04.2022Landesbeauftragter für den Datenschutz Sachsen-AnhaltJoachim LindenbergAntrag auf Zugang zu Informationen nach dem IZG LSA
05.04.2022Landesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernJoachim LindenbergBeschwerde nach Art. 77 DSGVO
05.04.2022 13:00Joachim LindenbergAufsichtenKernaufgabe DSGVO Artikel 57
27.04.2022Landesbeauftragte für den Datenschutz NiedersachsenJoachim LindenbergLandesbeauftragte sieht sich nicht zuständig
07.05.2022 15:30Joachim LindenbergLandesbeauftragte für den Datenschutz NiedersachsenRückfrage zu Landesbeauftragte sieht sich nicht zuständig
10.05.2022Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergBeschwerde gegen Dataport
21.05.2022 14:16Joachim LindenbergDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitM1_1031_2022 – Dataport
15.06.2022 13:14Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitJoachim LindenbergM1_1031_2022 – Dataport
15.06.2022 14:59Joachim LindenbergDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitM1_1031_2022 – Dataport
14.07.2022 17:28Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitJoachim LindenbergM1_1031_2022 – Dataport
18.07.2022 09:17Joachim LindenbergDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitRe M1_1031_2022
20.09.2022 15:30Joachim LindenbergVerwaltungsportale – was macht die Aufsicht?
21.09.2022 09:06Joachim LindenbergLandesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernRe Ihr Antrag auf Auskunft_Akteneinsicht
22.09.2022 12:17Landesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernJoachim LindenbergIhre Nachricht vom 21. September 2022
22.09.2022 14:52Joachim LindenbergLandesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernRe Ihre Nachricht vom 21. September 2022
03.02.2023 09:19Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitBeschwerde Kraftfahrtbundesamt
03.02.2023 16:20Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutzaufsichtsbehördliches Verfahren # 21-506-1 II#2896
06.02.2023 17:36Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutzaufsichtsbehördliches Verfahren # 21-506-1 II#2896
02.06.2023 16:51Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz beim Kraftfahrt-Bundesamt (KBA) # 21-506-1 II#2896
05.06.2023 11:48Joachim LindenbergDataport AöRRe [EXTERN]-AW [EXTERN]-AW [EXTERN]-Auskunft nach Artikel 15 DSGVO
05.06.2023 13:50Dataport AöRJoachim LindenbergRe [EXTERN] AW [EXTERN]-AW [EXTERN]-AW [EXTERN]-Auskunft nach Artikel... DSGVO
05.06.2023 13:55Joachim LindenbergDataport AöRRe [EXTERN] AW [EXTERN]-AW [EXTERN]-AW [EXTERN]-Auskunft nach Artikel... DSGVO
05.06.2023 14:07Dataport AöRJoachim LindenbergRe [EXTERN] AW [EXTERN] AW [EXTERN]-AW [EXTERN]-AW [EXTERN]-Auskunft ... DSGVO
05.06.2023 14:35Joachim LindenbergDataport AöRRe [EXTERN] AW [EXTERN] AW [EXTERN]-AW [EXTERN]-AW [EXTERN]-Auskunft ... DSGVO

Kommunikation mit den Aufsichten der anderen beteiligten Ländern, dem Kraftfahrt-Bundesamt, dem Bundesministerium für Justiz und dem Bundesamt für Justiz

Manche reagieren gar nicht, andere ausweichend, und dass die Aufsichten sich an Ihre eigene Orientierungshilfe zur Emailverschlüsselung nicht halten – dazu mehr in Emailsicherheit bei öffentlichen Einrichtungen und Aufsicht – ohne Orientierung?

ErstelltGeändertStatusBehördeThema
27.03.202226.04.2022EingeschlafenBundesministerium der JustizStand des Regierungsvorhabens „Whistleblower-Gesetz“
Ich betrachte das zumindest vorläufig als "Information nicht vorhanden", denn das Bundesamt für Justiz hat meine Anfrage https://fragdenstaat.de/anfrage/externe-meldestelle/ noch nicht beantwortet, und in meiner Anfrage habe ich nach bereits aktiven Meldestellen gefragt.Die Zwischenfrage nach Bürgerfrage werde ich nochmal separat stellen.
28.03.202223.01.2023AbgelehntKraftfahrt-BundesamtBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202213.05.2022EingeschlafenDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202220.04.2022EingeschlafenLandesbeauftragter für den Datenschutz Sachsen-AnhaltBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202205.04.2022EingeschlafenDie Landesbeauftragte für Datenschutz und Informationsfreiheit BremenBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202207.05.2022EingeschlafenDer Landesbeauftragte für den Datenschutz NiedersachsenBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202207.04.2022EingeschlafenDer Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-VorpommernBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
21.04.202209.05.2022AbgelehntBundesamt für JustizExterne Meldestelle
14.01.202331.01.2023EingeschlafenLandesbetrieb VerkehrGenaue Gründe
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.

Leserbriefe, Reaktionen, Ergänzungen

Ihr Artikel zu Dataport ist bei mir auf großes Interesse gestoßen, denn ich betrachte mich und mein Unternehmen als Dataport-Geschädigte. ... Ihre Darstellung ist für mich ein weiteres Puzzleteil zum Verstehen dieser Anstalt und sie nährt meine Vermutung, dass dort ganz erhebliche Dinge zu Lasten des Steuerzahlers, des Bürgers und des freien Wettbewerbs schief laufen. Ich danke Ihnen für Ihren Mut!
Auch der ehemalige Dataport-Security-Champion Joachim Lindenberg erhebt auf seinem Blog Dataport – kann man nur verpfeifen schwere Vorwürfe gegen den immer weiter wachsenden Staatskonzern.

Auch ich habe mir von denen eine Auskunft nach Art. 15 DSGVO angefordert und es sich genauso abgelaufen, wie Sie es beschreiben. Bei mir wollten sie einst noch eine Unterschrift haben, für das Auskunftsersuchen, auch wenn es die hiesiegen Rechtsgrundlagen nicht vorsehen. Im Anschluss hatte ich dann eine zusammengeschriebene Auskunft in einem Text nach Art. 15 Abs. 1 DSGVO, ohne Datenkopien. Ich habe mich hier aber nicht weiter hintergeklemmt. Nach zwei Jahren jedoch forderte ich eine erneute (vollständige) Auskunft. Die Auskunft bestand darin, mich einfach auf die bereits erfolgte Auskunft von vor zwei Jahren zu verweisen und dass die meisten Daten bereits gelöscht sind. Konkreter werden wollte / konnte man natürlich nicht.

Erst nach Einschritt der Rechtsaufsicht war man in der Lage auch mal Datenkopien hervorzubringen. Das war dann auch alles. Ich fragte mich was ist mit den Gehaltsunterlagen, für diese gelte mindestens eine Speicherdauer von sechs bis zehn Jahren. Nö nö, sei alles gelöscht, mehr habe man nicht. Ausbildungszeugnis? Vernichtet! Leistungsbeurteilungen? Vernichtet! Am Ende wurden die abrechnungsrelevanten doch noch gefunden und einige Beurteilungen. Nur eine Zeugnisabschrift fand man dort nicht mehr. Wobei hierfür § 195 BGB nur eine Möglichkeit, keine Pflicht zur Aufbewahrung darstellt.

Na ja, wiederkehrend verspätete waren die Auskünfte vonseiten Dataport sowieso. Die (unabhängige) Rechtsaufsicht hat den Vorgang ohne Weiteres einfach geschlossen. Nur nach Beschwerde bei der Amtsleiung habe ich noch mal eine Warnung an die Verantwortliche und künftige weitere Überprüfungen erwirken können.


Veröffentlicht am 02.05.2022, Reaktionen 12.04.2024

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.