Sehr geehrte Frau Hansen, sehr geehrte ************,

vielen Dank für Ihr Schreiben vom 10.03.2022.

Es befremdet mich sehr, dass Sie – soweit ich das nachprüfen konnte – in Ihrer Begründung ausschließlich Stimmen oder Urteile berücksichtigen, die Konkretisierungsforderungen oder Einschränkungen bei Artikel 15 zulassen. Ich möchte Sie an dieser Stelle auf Stefan Korch, Yannick Chatard, CR 2020, 438-447 hinweisen, der diesen Anforderungen überzeugend entgegentritt, insbesondere in Rn 18: „Besteht der Betroffene indes auf einer vollständigen Auskunft (und einer entsprechend umfassenden Kopieerteilung), muss der Verantwortliche dem nachkommen. Andernfalls entstünde gerade bei großen Datenmengen eine erhebliche Schutzlücke, wenn sich Betroffene keinen umfassenden Eindruck verschaffen können.“.

Auch zitieren Sie überwiegend Arbeitsgerichte. Die Arbeitsgerichte sind mir bereits dadurch aufgefallen, dass  sie den Auskunftsanspruch restriktiv sehen, ohne dass ich das nachvollziehen kann. Vielleicht muss ich klarstellen, dass ich nicht Arbeitnehmer von Dataport bin oder war, und daher einige der Überlegungen dort meiner Meinung nach nicht anwendbar sind. Darüberhinaus hat das BAG in 2 AZR 235/21 vom 16.12.2021 in Rn 33 ein gestuftes Verfahren skizziert, in dem der Verantwortliche zunächst darstellt, welche Daten er verarbeitet um dann eine Konkretisierung zu ermöglichen. Dem ist Dataport nicht nachgekommen, die Darstellung der verarbeiteten Daten war zu oberflächlich und ein Verfahrensverzeichnis existiert nicht, dementsprechend greift auch Ihr Zitat des LG Köln 26 O 25/18 ins Leere, denn Herr Schmid hat noch nicht einmal behauptet, die Auskunft sei vollständig.

Abgesehen von Ihrer in meinen Augen also äußerst dünnen Argumentation befremdet es mich sehr, dass ich mich an das ULD wendete, um sehr deutlich auf Verstöße nicht nur gegen Artikel 15 und 30, sondern auch gegen Artikel 28 und 32 DSGVO hinzuweisen – aber Sie bleiben untätig in dieser Richtung. Vielleicht sollte ich hinzufügen, dass inzwischen auch das BSI nicht bestreitet, dass der Grundschutz unsicher ist – https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ – und Ihnen teile ich bei dieser Gelegenheit mit, dass diese Anfrage aufgrund meiner Beratungstätigkeit bei Dataport entstanden ist, und sich Dataport leider beratungsresistent gezeigt hat. Auch wenn ich nicht verpflichtet bin, eine Begründung zu geben: meine Auskunftsanfrage dient nicht dem Ziel, Dataport zu ärgern, sondern wie so oft der Beweissicherung.

Nach Artikel 57 (1) a) ist es die Aufgabe der Aufsicht, den Datenschutz durchzusetzen. Eine Pflicht der Aufsicht, Betroffene oder Hinweisgeber abzuwimmeln, kenne ich nicht. Auch unabhängig von der fehlenden Überführung der Richtlinie (EU) 2019-1937 in nationales Recht, sehe ich das ULD in der Pflicht, derartigen Hinweisen beim vermutlich wichtigsten Auftragsverarbeiter des Landes Schleswig-Holsteins nachzugehen, nicht jedoch die Rechtsposition von Dataport gegen Betroffen oder Hinweisgeber einseitig zu verteidigen. Da frag ich mich schon, wofür das „unabhängig“ in „Unabhängiges Landeszentrum für Datenschutz“ stehen soll. Artikel 51 (1) DSGVO lässt mich jedenfalls etwas anderes von Ihnen erwarten als ich bisher wahrnehme.

Ich kann natürlich auch offiziell das Land Schleswig-Holstein fragen, welche Stelle Meldungen nach Artikel 11 (1) der genannten der Richtlinie (EU) 2019-1937 entgegennimmt. In Anbetracht des nicht verabschiedeten Entwurfs auf Bundesebene liegt das ULD für Schleswig-Holstein allerdings nahe. Bitte teilen Sie mir zeitnah mit, ob Sie sich weiterhin unzuständig sehen und warum, oder ob Sie tätig werden. Und auch wenn die DSGVO Mitteilungen zum Verfahrensstand nur bei Betroffenen vorsieht, Artikel 11 (2) Nr. 2 d und e geben mir nach meinen Verständnis entsprechende Rechte auch als Hinweisgeber im Sinne der genannten Richtlinie.

Auch meinem Hinweis darauf, dass das ULD keine qualifizierte Transportverschlüsselung oder auch nur die BSI TR-03108 unterstützt – nehmen Sie die DSGVO und die Empfehlungen der Datenschutzkonferenz eigentlich selbst ernst?

Mit freundlichen Grüßen

Joachim Lindenberg