AW: WG: [EXTERN]-AW: [EXTERN]-AW: [EXTERN]-Auskunft nach Artikel 15 DSGVO

Von: Joachim Lindenberg <***@lindenberg.one>
Gesendet: 23.01.2022 08:32
An: 'Unabhängiges Landeszentrum für Datenschutz' <mail@datenschutzzentrum.de>
Betreff: AW: WG: [EXTERN]-AW: [EXTERN]-AW: [EXTERN]-Auskunft nach Artikel 15 DSGVO – Aktenzeichen LD42-26.01722.00

Sehr geehrte ************,
vielen Dank für Ihr Schreiben vom 18.01.2022. Allerdings kann ich Ihre
Argumentation nicht nachvollziehen. Das Konkretisierungsverlangen von Herrn
Dr. Schmid deutet darauf hin, dass er die Pflicht Verfahrensverzeichnis
vermeiden wollte indem ich ihm sage, von welchen Daten ich Kenntnis habe und
er sich genau auf diese Datenarten konzentrieren kann. Das ist genau das
Gegenteil dessen was der von Ihnen angeführte Erwägungsgrund 63 bewirken
will – dem Betroffenen eine Chance zu geben, sich von der Rechtmäßigkeit zu
überzeugen, indem der Verantwortliche darlegt was er tut. Wenn ich nur
bekomme, wovon ich schon Kenntnis habe, und das auch erst nach Nachhaken,
dann kann ich nie wissen, dass die Auskunft wirklich vollständig war.
Im Übrigen ist das zwar ein Erwägungsgrund, aber nicht Teil von Artikel 15
mit Gesetzeswirkung. Alle mir bekannten Kommentatoren – Franck in Gola (Rn
40, alle zu Artikel 15), Paal in Paal/Pauly (Rn 8), Specht in Sydow (Rn 6)
bejahen den Anspruch auf vollständige Auskunft als bzw. oder andere
Konkretisierung. Es überrascht mich, dass ausgerechnet das Unabhängige
Datenschutzzentrum das anders sieht. Dass ich das Konkretisierungsverlangen
ablehne bedeute konkludent, dass ich alle Daten will.
Bitte erläutern Sie mir, wie Sie zur Auffassung kommen, "ein
Datenschutzverstoß ist nicht ersichtlich". Für mich ist es offensichtlich,
dass Dataport gegen Artikel 15 und 30 und weitere verstößt.
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: Unabhängiges Landeszentrum für Datenschutz <mail@datenschutzzentrum.de>
Gesendet: Tuesday, 28 December 2021 10:51
An: Joachim Lindenberg <***@lindenberg.one>
Betreff: Re: WG: [EXTERN]-AW: [EXTERN]-AW: [EXTERN]-Auskunft nach Artikel 15
DSGVO

Sehr geehrte Damen und Herren,
hiermit bestätigen wir den Eingang Ihrer E-Mail. Über die Hausleitung wurde
diese in das für Sie zuständige Referat weitergeleitet. Nach Prüfung des
Sachverhalts werden Sie von dort weitere Nachricht erhalten.

Mit freundlichen Grüßen
Ihr ULD-Team

Landesbeauftragte für Datenschutz Schleswig-Holstein Holstenstraße 98, 24103
Kiel, Tel. +49 431 988-1200, Fax -1223 mail@datenschutzzentrum.de,
https://www.datenschutzzentrum.de/

Informationen über die Verarbeitung der personenbezogenen Daten durch die
Landesbeauftragte für Datenschutz und zur verschlüsselten E-Mail-
Kommunikation: https://datenschutzzentrum.de/datenschutzerklaerung/

Am 27.12.2021 um 17:08 schrieb Joachim Lindenberg:
> Sehr geehrte Damen und Herren,
>
> Ich möchte mich über die Dataport AöR, Altenholz und Hamburg, wegen
> diverse Verstöße gegen die DSGVO beschweren. Damit der Kontext klarer
> wird: ich war von März bis November 2021 als externer Berater bei
> Dataport beschäftigt, verfüge daher über Insider-Wissen über Dataport.
> Mein Vertrag wurde am 15.11.2021 zunächst fristlos beendet, die
> fristlose Beendigung wurde dann später in eine fristgemäße
> umgewandelt, sie finden das in den beigefügten Dokumenten, insbesondere
> "Beendigung".
>
> Zunächst bin ich selbst betroffen wegen unvollständiger Auskunft
> (Artikel 15), falschen Informationen/Betroffenenrechte nach Artikel
> 16ff, und fehlendes bzw. unvollständiges Verzeichnis von
> Verarbeitungstätigkeiten (Artikel 30).
>
> Ich habe am 15.11.2021 eine vollständige Auskunft angefragt (ganz
> unten in dieser Mail). Die mir zur Verfügung gestellte Auskunft ist
> sehr unvollständig (Anlage Auskunft.zip). Sie enthält nur einige
> wenige Stammdaten sowie Nachrichten zu meiner Beschäftigung über
> Allgeier, die Sicherheitsüberprüfung, Arbeitszeiterfassung und Angaben
> (nicht Kopien) zum Zutrittskontrollsystem.
>
> Da ich als Berater in die betrieblichen Abläufe integriert war, sind
> viele weitere Datenverarbeitungssysteme und Verarbeitungstätigkeiten
> relevant, die in der Auskunft nicht aufgeführt sind, weder in den
> Angaben nach Artikel 15 (1) noch als Kopie nach Artikel 15 (3). Ich
> vermisse u.a. alle Mittel der (nicht nur internen) Kommunikation (u.a.
> Email, Skype, Confluence, diverse Ticketsysteme) und der
> Entwicklungsinfrastruktur, mit denen ich gearbeitet habe und daher
> davon ausgehen muss, dass dort personenbezogene Daten von mir existieren.
>
> In einem Telefongespräch Ende Oktober/Anfang November (das genaue
> Datum kennt vermutlich der Exchange-Server, sofern nicht absichtlich
> gelöscht
> wurde) mit Herrn Dr. Schmid hat er selbst beklagt, er habe kein
> vollständiges Verarbeitungsverzeichnis – was mich nicht wirklich
> überrascht wenn man die Zusammenarbeitsprobleme bei Dataport wahrnimmt.
> Leider habe ich als Betroffener hier keine Handhabe, sondern nur Sie
> als zuständige Aufsicht das Recht dieses einzusehen. Ich möchte
> anregen, dass Sie ein Verarbeitungsverzeichnis einholen und wir
> dieses dann gerne mit meiner Erwartungshaltung abgleichen. Dass
> Verantwortliche gewissermaßen Salami-Taktik einsetzen und nur auf
> Nachhaken oder Beschwerde hin weitere Daten ans Tageslicht kommen muss
> ich leider immer wieder feststellen. Den bisher krassesten Fall habe
> ich zum Gegenstand einer Anfrage gemacht, Sie finden ihn unter
> https://fragdenstaat.de/anfrage/antrag-nach-dem-ltranspg-rlp-zu-40220365/
> <https://fragdenstaat.de/anfrage/antrag-nach-dem-ltranspg-rlp-zu-40220365/>.
>
>
> Wenn Sie die Dokumente "Mailwechsel" und "Beendigung" in der
> beigefügten Auskunft lesen, dann muss Ihnen auch die Behauptung
> "Sicherheitsbedenken" auffallen. Ich glaube nicht, dass
> Sicherheitsbedenken gegen mich gerechtfertigt sind. Eher umgekehrt:
> ich habe gegenüber Dataport im Rahmen meiner Beratung aufgezeigt, dass
> Sicherheit und Datenschutz missachtet werden, aber das rechtfertigt
> den Vorwurf es bestehen "Sicherheitsbedenken" gegen mich sicher nicht.
> Das ist m.E. üble Nachrede und ich werde weitere rechtliche Schritte
> prüfen, aber datenschutzrechtlich sind das falsche Informationen bei
> denen ich einen Berichtigungs-, Lösch- oder Sperranspruch habe. Es mir
> erschien aber zunächst unsinnig, diesen Anspruch gegenüber Dataport
> geltend zu machen. Unklar ist, ob diese Falschinformation auch noch
> weitergegeben wurde. Das Auskunftsschreiben nennt zwar die mitwirkende
> Behörde, aber enthält zu den "Sicherheitsbedenken" weder eine konkrete
> Übermittlung noch eine negativ-Auskunft dazu.
>
> Dem Mailwechsel können Sie auch entnehmen, dass ich weitere Missstände
> bei Dataport benennen kann, insbesondere fehlende
> Auftragsverarbeitungsverträge, fehlendes Verzeichnis der
> Subunternehmer (beides Artikel 28), unzureichende Sicherheit der
> Verarbeitung (Artikel 32). Hier möchte ich Sie zunächst fragen,
> inwiefern Sie auch Meldungen nach Richtlinie (EU) 2019-1937 bearbeiten
> oder dafür in Planung sind, oder welche Einrichtung das in
> Schleswig-Holstein übernehmen wird, oder ob Sie diesen Beschwerden als
> für Dataport zuständige Aufsicht auch unabhängig von der persönlichen
> Betroffenheit nachgehen wollen.
>
> Mein Emailserver unterstützt – im Gegensatz zu Ihrem – die
> qualifizierte Transportverschlüsselung wie in
> https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientier
> ungshilfe_e_mail_verschluesselung.pdf
> <https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientie
> rungshilfe_e_mail_verschluesselung.pdf>
> definiert. Da Ihrer zumindest inbound STARTTLS unterstützt wähle ich
> dennoch diesen Kanal in der Hoffnung dass Ihrer zumindest für
> Antworten eine obligatorische Transportverschlüsselung verwendet.
>
> Ich bitte darum, den Eingang dieser Mail formlos zu bestätigen.
>
> Mit freundlichen Grüßen
>
> Joachim Lindenberg
>
> *Von:*Schmid, Reinhard <***************@dataport.de>
> *Gesendet:* Monday, 27 December 2021 15:49
> *An:* Joachim Lindenberg <********@lindenberg.one>
> *Betreff:* AW: [EXTERN]-AW: [EXTERN]-AW: [EXTERN]-Auskunft nach
> Artikel
> 15 DSGVO
>
> Sehr geehrter Herr Lindenberg,
>
> da Sie offenbar der Auffassung sind, bezüglich Ihrer personenbezogenen
> Daten eine unvollständige Auskunft erhalten zu haben, stelle ich Ihnen
> erneut eine Konkretisierung bezüglich jener Ihrer personenbezogenen
> Daten anheim, welche nach Ihrer Auffassung fehlen.
>
> MitfreundlichenGrüßen
>
> Dr. Reinhard Schmid
>
> SV 3 – Leiter Datenschutz, IT-Sicherheit, Innenrevision
>
> Datenschutzbeauftragter
>
> _____________________________
>
> Dataport
>
> AltenholzerStraße10-14,24161Altenholz
> Internet: www.dataport.de <http://www.dataport.de>
>
> E-Mail:***************@dataport.de
> <mailto:***************@dataport.de>
> Telefon:+49 (0)4313295-****
> Mobil: +49 (0)176 4285 ****
>
> *Von:*Joachim Lindenberg [mailto:********@lindenberg.one
> <mailto:********@lindenberg.one>]
> *Gesendet:* Mittwoch, 22. Dezember 2021 12:46
> *An:* Schmid, Reinhard <***************@dataport.de
> <mailto:***************@dataport.de>>
> *Betreff:* [EXTERN]-AW: [EXTERN]-AW: [EXTERN]-Auskunft nach Artikel 15
> DSGVO
>
> Sehr geehrter Herr Dr. Schmid,
>
> Erwägungsgrund 63 letzter Satz endet mit „.. bevor er (der
> Verantwortliche) ihr Auskunft erteilt“. Also ist dieser Einwand zu
> diesem Zeitpunkt nicht statthaft. Wenn Sie etwas darüber nachdenken,
> dann ergibt dieser Wunsch nach Präzisierung nur Sinn zwischen der
> Auskunft nach Artikel 15 (1) und der Erstellung der Kopie nach Artikel
> 15 (3). Schon Ihre Auskunft nach Artikel 15 (1) ist unvollständig. Es
> ist m.E. nicht statthaft, den Betroffenen darüber im Unklaren zu
> lassen, welche Verarbeitungen oder Verarbeitungszwecke der
> Verantwortliche durchführt, andernfalls würde Artikel 15 ins Leere
> greifen.
>
> Im Übrigen ergibt sich aus diesem Erwägungsgrund kein Anspruch des
> Verantwortlichen darauf, auf „alle“ Daten bzw., wie ich geschrieben
> habe, auf eine vollständige Auskunft zu verzichten. So auch Franck in
> Gola Datenschutzgrundverordnung, 2. Auflage 2018, Art 15 Rn 40.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg
>
> *Von:*Schmid, Reinhard <***************@dataport.de
> <mailto:***************@dataport.de>>
> *Gesendet:* Wednesday, 22 December 2021 09:52
> *An:* Joachim Lindenberg <********@lindenberg.one
> <mailto:********@lindenberg.one>>
> *Betreff:* AW: [EXTERN]-AW: [EXTERN]-Auskunft nach Artikel 15 DSGVO
>
> Sehr geehrter Herr Lindenberg,
>
> mangels Konkretisierung Ihres Antrages ist erschließt sich nicht,
> worauf sich Ihre Aufforderung zur „Nachbesserung“ bezieht. Auftrag von
> Dataport bitte ich Sie daher um Konkretisierung (DSGVO, Erwägungsgrund
> 63, letzter Satz).
>
> MitfreundlichenGrüßen
>
> Dr. Reinhard Schmid
>
> SV 3 – Leiter Datenschutz, IT-Sicherheit, Innenrevision
>
> Datenschutzbeauftragter
>
> _____________________________
>
> Dataport
>
> AltenholzerStraße10-14,24161Altenholz
> Internet: www.dataport.de <http://www.dataport.de>
>
> E-Mail:***************@dataport.de
> <mailto:***************@dataport.de>
> Telefon:+49 (0)4313295-****
> Mobil: +49 (0)176 4285 ****
>
> *Von:*Joachim Lindenberg [mailto:********@lindenberg.one
> <mailto:********@lindenberg.one>]
> *Gesendet:* Samstag, 18. Dezember 2021 09:37
> *An:* Schmid, Reinhard <***************@dataport.de
> <mailto:***************@dataport.de>>
> *Betreff:* [EXTERN]-AW: [EXTERN]-Auskunft nach Artikel 15 DSGVO
>
> Sehr geehrter Herr Dr. Schmid,
>
> Ihnen ist vermutlich klar, dass das nur ein Bruchteil der
> personenbezogenen Daten enthält, die bei Dataport verarbeitet werden.
> Wollen Sie bis zum 31.12.2021 nachbessern? Andernfalls werde ich
> Beschwerde bei der Aufsicht einlegen.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg
>
> *Von:*Schmid, Reinhard <***************@dataport.de
> <mailto:***************@dataport.de>>
> *Gesendet:* Tuesday, 14 December 2021 15:13
> *An:* Joachim Lindenberg <********@lindenberg.one
> <mailto:********@lindenberg.one>>
> *Betreff:* AW: [EXTERN]-Auskunft nach Artikel 15 DSGVO
>
> Sehr geehrter Herr Lindenberg,
>
> auf Ihren Antrag nach Art. 15 DSGVO erhalten Sie in Kürze einen Link
> zum Download der Auskunft aus der dDataBox. Das Kennwort für den
> Download erhalten Sie gesondert per Post an die Anschrift
> Heubergstraße 1a,
> 76228 Karlsruhe
>
> MitfreundlichenGrüßen
>
> Dr. Reinhard Schmid
>
> SV 3 – Leiter Datenschutz, IT-Sicherheit, Innenrevision
>
> Datenschutzbeauftragter
>
> _____________________________
>
> Dataport
>
> AltenholzerStraße10-14,24161Altenholz
> Internet: www.dataport.de <http://www.dataport.de>
>
> E-Mail:***************@dataport.de
> <mailto:***************@dataport.de>
> Telefon:+49 (0)4313295-****
> Mobil: +49 (0)176 4285 ****
>
> *Von:*Joachim Lindenberg [mailto:********@lindenberg.one
> <mailto:********@lindenberg.one>]
> *Gesendet:* Montag, 15. November 2021 18:08
> *An:* Dataport Datenschutz <*******************@dataport.de
> <mailto:*******************@dataport.de>>
> *Betreff:* [EXTERN]-Auskunft nach Artikel 15 DSGVO
>
> Sehr geehrte Damen und Herren,
>
> ich hätte gerne eine vollständige Auskunft nach Artikel 15 DSGVO von
> Dataport. Meine Dataport-UserId ist LindenJo, in diversen Domänen,
> Email ******************@dataport.de
> <mailto:******************@dataport.de> .
>
> Vorsorglich möchte ich auf Artikel 15 (3) Satz 3 hinweisen.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg
>

--
Landesbeauftragte für Datenschutz Schleswig-Holstein Unabhängiges
Landeszentrum für Datenschutz Schleswig-Holstein Holstenstraße 98, 24103
Kiel, Tel. +49 431 988-1200, Fax -1223 mail@datenschutzzentrum.de –
https://www.datenschutzzentrum.de/

Informationen über die Verarbeitung der personenbezogenen Daten durch die
Landesbeauftragte für Datenschutz und zur verschlüsselten E-Mail-
Kommunikation: https://datenschutzzentrum.de/datenschutzerklaerung/