Dataport – kann man nur verpfeifen!

Ich war vom 15.03.2021 bis 15.11.2021 externer Mitarbeiter bei Dataport AöR, OSI Plattform, offizielle Tätigkeit "Coach im Bereich Security Standards" und im Organigramm auch als "Security Champion" bezeichnet.

Zu meinen Aufgaben zählte ich

  • Schulung und Coaching der Softwareentwicklung, Code-Reviews, Prozessunterstützung bis hin zu https://blog.lindenberg.one/Bedrohungsmodellierung, Toolerstellung (in C#) wie z.B. basierend auf der Roslyn Analyzer Technologie.
  • Sicherheitsanforderungen zunächst bei Dataport intern veröffentlicht, inzwischen fast identisch auf https://blog.lindenberg.one/Sicherheitsanforderungen, aber natürlich ohne interne Informationen. Abgeleitet aus Datenschutzgesetzgebung, Grundschutz, und gesammelter Erfahrung.
  • Identifizierung von Verbesserungsmöglichkeiten und Erarbeitung von Handlungsempfehlungen für das Management der Abteilung.

Soweit was ich bisher in meinem Lebenslauf oder Projekt-CV schreibe.

Nur leider war Dataport völlig beratungsresistent. Ich durfte zwar jede Menge Missstände entdecken, aber beseitigen wollte man die nicht. Um es deutlich zu sagen: die OSI Plattform — die Kernkomponenten der Verwaltungsportale nach dem Online-Zugangsgesetz (OZG) — verstößt nicht gegen eine sondern gegen alle meine Sicherheitsanforderungen. Zugegeben, meine Anforderungen sind teilweise etwas schärfer als der Grundschutz auf Standard, aber mit Grundschutz ist man ja nicht sicher – das gibt inzwischen sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Stellungnahme zu meiner Anfrage zur Verschlüsselung im Grundschutz zu – mehr zum Grundschutz in Bundesamt für (Un)Sicherheit in der Informationstechnik? Und was taugt der Grundschutz? Diese und andere – nicht alle – Anfragen entstanden aufgrund meiner Tätigkeit bei Dataport. Die OSI Plattform will sogar hohen Schutzbedarf erreichen – hat oder hatte dafür aber nicht wirklich ein taugliches Sicherheitskonzept. Vielleicht ist OSI aufgrund der inzwischen vielleicht unterschriebenen Verträge weitergekommen, vielleicht auch nicht. Als ich das dann auch an das Management von Dataport meldete, wurde mein Vertrag erst fristlos, als ich nach Gründen fragte, dann fristgemäß gekündigt. Einen Grund wollte man nicht kommunizieren, bzw. der Mitarbeiter der mir dann Gründe kommunizieren musste hat mich – Pardon – angelogen. Auffällig ist natürlich, dass Herr Hammer die Unternehmenskultur lobt – "Ich lege Wert auf unsere Fehlerkultur, die solche Hinweise zulasst bzw. sogar fördert und niemanden unbeliebt macht." – während die Kündigung fast zeitgleich eintrifft. Ich will nicht mal behaupten, dass er log, da weiß oft links nicht was rechts tut.

Ich habe gleich Auskunft nach Artikel 15 eingefordert, auch in Hinblick auf Beweissicherung, und als die unvollständig blieb, Beschwerde beim Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein eingereicht. Beschwerde nicht nur wegen der unvollständigen Auskunft sondern auch wegen fehlendem Verfahrensverzeichnis (Artikel 30), fehlenden Auftragsverarbeitungsverträgen (Artikel 28) und mangelhaften technischen und organisatorischen Maßnahmen (Artikel 32). Was ich vom Unabhängiges Landeszentrum dann als Antworten bekomme, ist mindestens so katastrophal wie Dataport. Von Unabhängigkeit lese ich wenig, man verteidigt Dataport statt den Problemen nachzugehen.

Obwohl die Auskunft unvollständig ist, erlaubt sie Einblicke in die Abgründe bei Dataport gegeben. Dass ein Kunde Sicherheit nicht so ernst nimmt wie ich – das kommt vor. Dass er Sicherheitsbedenken gegen mich behauptet, wo er selbst unsicher ist, das ist ungewöhnlich – und üble Nachrede. Ich habe natürlich auch Beweise für meine Behauptungen, aber die stelle ich (noch) nicht auf meine Webseite, kann sie aber gerne der Aufsicht zur Verfügung stellen, wenn sie den Fall dann irgendwann doch untersucht. Und wenn ich jetzt noch an das Einer-Für-Alle-Prinzip bei der Umsetzung des Online-Zugangs-Gesetzes denke, dann sind irgendwann die Daten von uns 80 Millionen Deutschen unsicher. Da kann ich nicht nichts tun.

Eigentlich wollte ich bis zum 17.12.2021 warten, denn bis zu diesen Termin hätte die Bundesrepublik Deutschland die "Whistle-Blower"-Richtlinie (EU) 2019-1937 in nationales Recht umsetzen müssen. "Whistle-Blowing" – Verpfeifen. Nur hat sie das nicht. Natürlich hab ich Beschwerde bei der Europäischen Kommission eingereicht und die hat inzwischen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet – vielleicht nicht nur auf meine Beschwerde hin. Nur leider klärt das nicht welche Behörde für Beschwerden zuständig ist – ich versuche es erstmal weiter beim Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, denn die sind zumindest auch die Datenschutzaufsicht für Dataport. Und veröffentliche hier mal die Kommunikation zwischen Dataport, Allgeier, dem Unabhängiges Landeszentrum für Datenschutz, und mir. Dabei habe ich mich entschlossen die Namen des Dataport-Managements und der Landesbeauftragten für den Datenschutz nicht zu schwärzen sondern nur die Kontaktdaten von ihnen. Die Namen stehen sowieso im Internet und ich darf zumindest fordern, dass sie die Verantwortung übernehmen und geschlossen zurücktreten müssten.

Wer leistet hier (k)einen Beitrag?

  • das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Standards, mit denen man trotzdem unsicher sein kann und zertifiziert auf unsicherem Niveau – siehe Bundesamt für Unsicherheit,
  • Dataports Rechenzentrum wird auf niedrigem Niveau zertifiziert, Dataport ignoriert den Grundschutz aber – nicht nur – in der OSI-Platform-Softwareentwicklung,
  • die Bundesländer, die Kunden von Dataport, interessieren sich mehr für Funktionen als für Sicherheit und Datenschutz,
  • das Kraftfahrt-Bundesamt stellt eigene Anforderungen auf und lässt sie sogar überprüfen, reagiert aber nicht wenn die nicht umgesetzt werden – oder ignoriert das Informationsfreiheitsgesetz,
  • die Datenschutzaufsichten handeln nicht,
  • die Bundesreplublik Deutschland mit der Straffreiheit für Behörden und sonstige öffentliche Stellen in §43 (3) BDSG,
  • und die Bundesreplublik Deutschland hat die Whistle-Blower-Richtlinie noch nicht umgesetzt und wohl auch keine handlungsfähige Meldestelle.

Wer nimmt Meldungen entgegen? Im Zweifelsfall die Öffentlichkeit

Deutschland hat die Whistle-Blower-Richtlinie immer noch nicht umgesetzt. Es existiert nur ein Entwurf dazu, und wie das darin als externe Meldestelle benannte Bundesamt für Justiz schreibt, ein Aufbauteam, aber funktionsfähig ist man anscheinend noch nicht. Auch die Datenschutzaufsichten der beteiligten Bundesländer sind offensichtlich nicht in der Lage, Dataport zu überprüfen, obwohl die Datenschutzgrundverordnung ihnen in Artikel 57 den Auftrag und in Artikel 58 die Mittel in die Hand gibt. Die Whistle-Blower-Richtlinie sieht als letztes Mittel den Gang an die Öffentlichkeit vor, was ich mit dieser Veröffentlichung angehe.

Ich will nicht alle Dokumente veröffentlichen die mir vorliegen – vor allem weil das Schwärzen enorm viel Zeit kostet. Ich veröffentliche hier zunächst den Bericht zur IS-Kurzrevision und den Abschlussbericht Dataport iKfz Audit und Pentests, die dazu geeignet gewesen wären, das Verfahren stillzulegen. Und darin kommt Dataport sogar noch gut weg, denn die Zertifizierung des Rechenzentrums wurde gar nicht in Frage gestellt – obwohl das sinnvoll gewesen wäre. Die oben angeführte Anfrage in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Veröffentlichung der Zertifizierungsdokumente ablehnt – die entstand aufgrund von Mängeln bei Dataport. Sicherheit nach Stand der Technik (Artikel 32)? Fehlanzeige! Außerdem die Security-Service-Level-Agreements (SSLA) Teil A und Teil B, die im wesentlichen gar nichts aussagen und damit in meinen Augen nicht geeignet sind Artikel 28 und 32 zu erfüllen. Dass man einen Teil B hat bestätigt allerdings, dass Schutzbedarf hoch festgestellt wurde. Bremen hat den Vertrag veröffentlicht, Teil A (Anlage 8a, ab Seite 60) ist sichtbar, Teil B (Anlage 8b, ab Seite 74) hat man lieber geschwärzt – das scheint man selbst nicht für ausreichend zu halten. Vielleicht zur Erinnerung – Security by Obscurity hält Angreifer nicht ab, das wusste schon Alfred Charles Hobbs im Jahr 1851. Und bitte lesen Sie genau: es wird im SSLA nur der grundschutzkonforme Betrieb, nicht eine grundschutzkonforme Entwicklung versprochen.

Bei Dataport glaubt man, man sei besser als die anderen Verwaltungsportale. Wenn das stimmt, dann sind unsere Daten in allen Verwaltungsportalen in Gefahr. Wenn ich mir die Stellenangebote auf den Portalen für Freiberufler ansehe, dann befürchte ich, dass sie Recht haben könnten — und das muss sich ändern.

Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz

Hier meine Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein:
Datum/ZeitSenderEmpfängerThema
11.11.2021 18:04Joachim LindenbergDataport AöRZusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport
15.11.2021 13:40Dataport AöRJoachim LindenbergZusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport
15.11.2021 14:12Allgeier ExpertsJoachim LindenbergKündigung des Dataporteinsatzes
15.11.2021 18:08Joachim LindenbergDataport AöRAuskunft nach Artikel 15 DSGVO
16.11.2021 06:20Dataport AöRDataport AöRSperrung der Accounts von Joachim Lindenberg
18.11.2021 17:09Dataport AöRAllgeier ExpertsRücknahme Sofortige Kündigung Jaochim Lindenberg
14.12.2021Dataport AöRJoachim LindenbergAuskunftsschreiben
14.12.2021 15:13Dataport AöRJoachim LindenbergAuskunft nach Artikel 15 DSGVO
18.12.2021 09:37Joachim LindenbergDataport AöRAuskunft nach Artikel 15 DSGVO
22.12.2021 09:52Dataport AöRJoachim LindenbergAuskunft nach Artikel 15 DSGVO
22.12.2021 12:45Joachim LindenbergDataport AöRAuskunft nach Artikel 15 DSGVO
27.12.2021 15:49Dataport AöRJoachim LindenbergAuskunft nach Artikel 15 DSGVO
27.12.2021 17:08Joachim LindenbergUnabhängiges Landeszentrum für DatenschutzAuskunft nach Artikel 15 DSGVO – Beschwerde
18.01.2022Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergBeschwerde gegen Dataport
23.01.2022 08:32Joachim LindenbergUnabhängiges Landeszentrum für DatenschutzAuskunft nach Artikel 15 DSGVO – Aktenzeichen LD42.26.01722.00
17.02.2022European CommissionJoachim LindenbergPre-closure letter to CHAP(2022)00147 – Ares(2022)1192438
10.03.2022Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergBeschwerde gegen Dataport
18.03.2022 17:55Joachim LindenbergUnabhängiges Landeszentrum für DatenschutzAuskunft nach Artikel 15 DSGVO – Aktenzeichen LD42.26.01722.00
01.04.2022Landesbeauftragter für den Datenschutz Sachsen-AnhaltJoachim LindenbergAntrag auf Zugang zu Informationen nach dem IZG LSA
05.04.2022Landesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernJoachim LindenbergBeschwerde nach Art. 77 DSGVO
05.04.2022 13:00Joachim LindenbergAufsichtenKernaufgabe DSGVO Artikel 57
27.04.2022Landesbeauftragte für den Datenschutz NiedersachsenJoachim LindenbergLandesbeauftragte sieht sich nicht zuständig
07.05.2022 15:30Joachim LindenbergLandesbeauftragte für den Datenschutz NiedersachsenRückfrage zu Landesbeauftragte sieht sich nicht zuständig
10.05.2022Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergBeschwerde gegen Dataport
21.05.2022 14:16Joachim LindenbergDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitM1_1031_2022 – Dataport
15.06.2022 13:14Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitJoachim LindenbergM1_1031_2022 – Dataport
15.06.2022 14:59Joachim LindenbergDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitM1_1031_2022 – Dataport
14.07.2022 17:28Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitJoachim LindenbergM1_1031_2022 – Dataport
18.07.2022 09:17Joachim LindenbergDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitRe M1_1031_2022
20.09.2022 15:30Joachim LindenbergVerwaltungsportale – was macht die Aufsicht?
21.09.2022 09:06Joachim LindenbergLandesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernRe Ihr Antrag auf Auskunft_Akteneinsicht
22.09.2022 12:17Landesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernJoachim LindenbergIhre Nachricht vom 21. September 2022
22.09.2022 14:52Joachim LindenbergLandesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernRe Ihre Nachricht vom 21. September 2022

Kommunikation mit den Aufsichten der anderen beteiligten Ländern, dem Kraftfahrt-Bundesamt, dem Bundesministerium für Justiz und dem Bundesamt für Justiz

Manche reagieren gar nicht, andere ausweichend, und dass die Aufsichten sich an Ihre eigene Orientierungshilfe zur Emailverschlüsselung nicht halten – dazu mehr in Emailsicherheit bei öffentlichen Einrichtungen und Aufsicht – ohne Orientierung?

ErstelltGeändertStatusBehördeThema

Veröffentlicht am 02.05.2022

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.