Sehr geehrte Damen und Herren,

Ich möchte mich über die Dataport AöR, Altenholz und Hamburg, wegen diverse Verstöße gegen die DSGVO beschweren. Damit der Kontext klarer wird: ich war von März bis November 2021 als externer Berater bei Dataport beschäftigt, verfüge daher über Insider-Wissen über Dataport. Mein Vertrag wurde am 15.11.2021 zunächst fristlos beendet, die fristlose Beendigung wurde dann später in eine fristgemäße umgewandelt, sie finden das in den beigefügten Dokumenten, insbesondere "Beendigung".

Zunächst bin ich selbst betroffen wegen unvollständiger Auskunft (Artikel 15), falschen Informationen/Betroffenenrechte nach Artikel 16ff, und fehlendes bzw. unvollständiges Verzeichnis von Verarbeitungstätigkeiten (Artikel 30).

Ich habe am 15.11.2021 eine vollständige Auskunft angefragt (ganz unten in dieser Mail). Die mir zur Verfügung gestellte Auskunft ist sehr unvollständig (Anlage Auskunft.zip). Sie enthält nur einige wenige Stammdaten sowie Nachrichten zu meiner Beschäftigung über Allgeier, die Sicherheitsüberprüfung, Arbeitszeiterfassung und Angaben (nicht Kopien) zum Zutrittskontrollsystem.

Da ich als Berater in die betrieblichen Abläufe integriert war, sind viele weitere Datenverarbeitungssysteme und Verarbeitungstätigkeiten relevant, die in der Auskunft nicht aufgeführt sind, weder in den Angaben nach Artikel 15 (1) noch als Kopie nach Artikel 15 (3). Ich vermisse u.a. alle Mittel der (nicht nur internen) Kommunikation (u.a. Email, Skype,  Confluence, diverse Ticketsysteme) und der Entwicklungsinfrastruktur, mit denen ich gearbeitet habe und daher davon ausgehen muss, dass dort personenbezogene Daten von mir existieren.

In einem Telefongespräch Ende Oktober/Anfang November (das genaue Datum kennt vermutlich der Exchange-Server, sofern nicht absichtlich gelöscht wurde) mit Herrn Dr. Schmid hat er selbst beklagt, er habe kein vollständiges Verarbeitungsverzeichnis - was mich nicht wirklich überrascht wenn man die Zusammenarbeitsprobleme bei Dataport wahrnimmt. Leider habe ich als Betroffener hier keine Handhabe, sondern nur Sie als zuständige Aufsicht das Recht dieses einzusehen. Ich möchte anregen, dass Sie ein Verarbeitungsverzeichnis  einholen und wir dieses dann gerne mit meiner Erwartungshaltung abgleichen. Dass Verantwortliche gewissermaßen Salami-Taktik einsetzen und nur auf Nachhaken oder Beschwerde hin weitere Daten ans Tageslicht kommen muss ich leider immer wieder feststellen. Den bisher krassesten Fall habe ich zum Gegenstand einer Anfrage gemacht, Sie finden ihn unter https://fragdenstaat.de/anfrage/antrag-nach-dem-ltranspg-rlp-zu-40220365/.  

Wenn Sie die Dokumente "Mailwechsel" und "Beendigung" in der beigefügten Auskunft lesen, dann muss Ihnen auch die Behauptung "Sicherheitsbedenken" auffallen. Ich glaube nicht, dass Sicherheitsbedenken gegen mich gerechtfertigt sind. Eher umgekehrt: ich habe gegenüber Dataport im Rahmen meiner Beratung aufgezeigt, dass Sicherheit und Datenschutz missachtet werden, aber das rechtfertigt den Vorwurf es bestehen "Sicherheitsbedenken" gegen mich sicher nicht. Das ist m.E. üble Nachrede und ich werde weitere rechtliche Schritte prüfen, aber datenschutzrechtlich sind das falsche Informationen bei denen ich einen Berichtigungs-, Lösch- oder Sperranspruch habe. Es mir erschien aber zunächst unsinnig, diesen Anspruch gegenüber Dataport geltend zu machen. Unklar ist, ob diese Falschinformation auch noch weitergegeben wurde. Das Auskunftsschreiben nennt zwar die mitwirkende Behörde, aber enthält zu den "Sicherheitsbedenken" weder eine konkrete Übermittlung noch eine negativ-Auskunft dazu.

Dem Mailwechsel können Sie auch entnehmen, dass ich weitere Missstände bei Dataport benennen kann, insbesondere fehlende Auftragsverarbeitungsverträge, fehlendes Verzeichnis der Subunternehmer (beides Artikel 28), unzureichende Sicherheit der Verarbeitung (Artikel 32). Hier möchte ich Sie zunächst fragen,  inwiefern Sie auch Meldungen nach Richtlinie (EU) 2019-1937 bearbeiten oder dafür in Planung sind, oder welche Einrichtung das in Schleswig-Holstein übernehmen wird, oder ob Sie diesen Beschwerden als für Dataport zuständige Aufsicht auch unabhängig von der persönlichen Betroffenheit nachgehen wollen.

Mein Emailserver unterstützt – im Gegensatz zu Ihrem – die qualifizierte Transportverschlüsselung wie in https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf definiert. Da Ihrer zumindest inbound STARTTLS unterstützt wähle ich dennoch diesen Kanal in der Hoffnung dass Ihrer zumindest für Antworten eine obligatorische Transportverschlüsselung verwendet.

Ich bitte darum, den Eingang dieser Mail formlos zu bestätigen.

Mit freundlichen Grüßen

Joachim Lindenberg

Sehr geehrter Herr Lindenberg,

da Sie offenbar der Auffassung sind, bezüglich Ihrer personenbezogenen Daten eine unvollständige Auskunft erhalten zu haben, stelle ich Ihnen erneut eine Konkretisierung bezüglich jener Ihrer personenbezogenen Daten anheim, welche nach Ihrer Auffassung fehlen.

Sehr geehrter Herr Dr. Schmid,

Erwägungsgrund 63 letzter Satz endet mit „.. bevor er (der Verantwortliche) ihr Auskunft erteilt“. Also ist dieser Einwand zu diesem Zeitpunkt nicht statthaft. Wenn Sie etwas darüber nachdenken, dann ergibt dieser Wunsch nach Präzisierung nur Sinn zwischen der Auskunft nach Artikel 15 (1) und der Erstellung der Kopie nach Artikel 15 (3). Schon Ihre Auskunft nach Artikel 15 (1) ist unvollständig. Es ist m.E. nicht statthaft, den Betroffenen darüber im Unklaren zu lassen, welche Verarbeitungen oder Verarbeitungszwecke der Verantwortliche durchführt, andernfalls würde Artikel 15 ins Leere greifen.

Im Übrigen ergibt sich aus diesem Erwägungsgrund kein Anspruch des Verantwortlichen darauf, auf „alle“ Daten bzw., wie ich geschrieben habe, auf eine vollständige Auskunft zu verzichten. So auch Franck in Gola Datenschutzgrundverordnung, 2. Auflage 2018, Art 15 Rn 40.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter Herr Lindenberg,

mangels Konkretisierung Ihres Antrages ist erschließt sich nicht, worauf sich Ihre Aufforderung zur „Nachbesserung“ bezieht. Auftrag von Dataport bitte ich Sie daher um Konkretisierung (DSGVO, Erwägungsgrund 63, letzter Satz).

Sehr geehrter Herr Dr. Schmid,

Ihnen ist vermutlich klar, dass das nur ein Bruchteil der personenbezogenen Daten enthält, die bei Dataport verarbeitet werden. Wollen Sie bis zum 31.12.2021 nachbessern? Andernfalls werde ich Beschwerde bei der Aufsicht einlegen.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter Herr Lindenberg,

auf Ihren Antrag nach Art. 15 DSGVO erhalten Sie in Kürze einen Link zum Download der Auskunft aus der dDataBox. Das Kennwort für den Download erhalten Sie gesondert per Post an die Anschrift Heubergstraße 1a, 76228  Karlsruhe

Sehr geehrte Damen und Herren,

ich hätte gerne eine vollständige Auskunft nach Artikel 15 DSGVO von Dataport. Meine Dataport-UserId ist LindenJo, in diversen Domänen, Email joachim.lindenberg@dataport.de .

Vorsorglich möchte ich auf Artikel 15 (3) Satz 3 hinweisen.

Vielen Dank und viele Grüße

Joachim Lindenberg