Von: Joachim Lindenberg <****************@lindenberg.one>
Gesendet: 12.12.2023 18:38
An: <buergerkommunikation@bfj.bund.de>
Betreff: AW: weitere Rückmeldung
Anlagen: 21-506-1 II#2896.pdf
Sehr geehrter **************,
vielen Dank für Ihre weitere Rückmeldung vom 08.12.2023.
Nachdem ich über meine Auskunft nach Artikel 15 DSGVO Kenntnis Ihres
Vermerks vom 15.09.2023 habe, darf ich zunächst feststellen, dass ich Ihre
Begründung dafür, es sei keine qualifizierte Eingangsbestätigung
erforderlich, für abwegig halte. Vielmehr darf ich feststellen, dass ich den
internen Meldeweg bereits am 11.11.2021 mit meiner Email an den Vorstand der
Dataport vollständig ausgeschöpft habe, auch wenn damals das deutsche
Hinweisgeberschutzgesetz noch nicht existierte.
Ad 1) Sie dürfen gerne bei Dataport nachfragen und dabei auch meinen Namen
nennen. Dass Dataport bei einer Anfrage von Ihnen an mich denkt, halte ich
für wahrscheinlich, jedenfalls nicht ausgeschlossen. Ich gehe davon aus,
dass Dataport den Anwendungsbereich von Kritis verneinen wird, denn
Kritis-Auflagen wird Dataport nach meiner Wahrnehmung weder technisch noch
organisatorisch erfüllen, und was liegt dann näher, als den
Anwendungsbereich zu verneinen und sich damit auch der persönlichen Haftung
zu entziehen.
Es überrascht mich nicht, dass Sie im weiteren Verlauf den Konflikt mit
europäischem Recht negieren, das hat in der deutschen Verwaltung Tradition.
Europäisches Recht wird fast immer erst durch die Justiz beachtet, nicht
durch die Exekutive, und insbesondere dann, wenn der deutsche Gesetzgeber
das europäische Recht mangelhaft umgesetzt hat. Ich habe bereits Beschwerde
bei der Europäischen Kommission eingereicht und bin optimistisch, dass es
erneut zu einem Vertragsverletzungsverfahren kommen wird.
Ad 2) Dass Sie fast drei Monate brauchen um darauf hinzuweisen, dass ich
vergessen habe, Ihnen die Standmitteilung des BfDI beizufügen.. aber klar,
eine Frist wird von einer Behörde immer voll ausgeschöpft. Nur dass parallel
auch die Frist in §28 Abs. 4 und damit für §32 läuft. Ist das in Ihrem
Sinne? Und was hat Sie davon abgehalten, direkt beim BfDI anzufragen?
Ich füge Ihnen statt der Standmitteilung die letzte Teilauskunft des BfDI
dazu bei. Den Stand der Untersuchung können Sie gerne dort erfragen. Was den
Umfang der Verstöße angeht: auf
https://blog.lindenberg.one/BeschwerdeDataport können Sie nachlesen, dass
Dataport Artikel 28 (Auftragsverarbeitungsverträge), 30 (Verzeichnis der
Verarbeitungstätigkeiten) und 32 (Sicherheit der Verarbeitung) missachtet.
Aufgrund meiner letzten Auskunftsanfrage bei Dataport leite ich ab, dass
immer noch kein Verzeichnis der Verarbeitungstätigkeiten existiert. Einen
Auftragsverarbeitungsvertrag passend zu Artikel 28 finde ich nicht im
Hamburger Transparenzportal. Und dass Artikel 32 plötzlich erfüllt würde,
wenn sogar der Grundschutz abgeschwächt wird - siehe
https://blog.lindenberg.one/SchwachstellenManagement - halte ich für
ausgeschlossen. Im übrigen sehe ich es wirklich nicht als meine Aufgabe an,
den Verstoß gegen die DSGVO zu beweisen. Die Beweispflicht für die
Einhaltung der DSGVO liegt beim Verantwortlichen bzw. Auftragsverarbeiter.
Sie können aber gerne auch hier Dataport fragen, ob man alle Mängel
beseitigt hat und damit keine Einwände bestehen, dass ich das Ihnen bekannte
Passwort für das verschlüsselte Sicherheitskonzept nach dem 04.01.2024
veröffentliche.
Ad 3) Auch zu diesem Punkt habe ich bereits Beschwerde bei der Europäischen
Kommission eingereicht. Wenn Sie nicht anders können, als den Fall an die
Landesbeauftragte für Datenschutz Schleswig-Holstein abzugeben, dann bin ich
nach dem Urteil des EuGH vom 07.12.2023 Aktenzeichen C 26/22 und C 64/22
zumindest verhalten optimistisch, dass man ein neues Untersuchungsverfahren
etwas ernster nimmt als beim ersten Mal.
Zum Schluss: mich hat ein Leserbrief eines ebenfalls ehemaligen externen
Mitarbeiters bei Dataport erreicht und ich darf daraus zitieren: "Sehr guter
Blog über Dataport. Als ebenfalls ehemaliger externer Mitarbeiter als
DevSecOps und Platform Engineer kann ich das nur bestätigen. Die völlige
Unfähigkeit zu Lasten der Steuerzahler und eine Ignoranz und Arroganz die
nicht mehr übertroffen werden kann."
Und Sie wollen nichts unternehmen?
Mit freundlichen Grüßen
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: buergerkommunikation@bfj.bund.de <buergerkommunikation@bfj.bund.de>
Gesendet: Freitag, 8. Dezember 2023 12:07
An: ****************@lindenberg.one
Betreff: weitere Rückmeldung
Guten Tag,
bitte beachten Sie das anliegende Dokument. Sollten Sie eine Anleitung für
die Entschlüsselung der Datei benötigen, lesen Sie bitte die Informationen
auf unserer Internetseite oder sprechen Sie uns an. Das Passwort bzw. den
Schlüssel finden Sie im letzten Absatz der PDF-Zusammenfassung Ihrer
Zuschrift an uns.
Mit freundlichen Grüßen
Im Auftrag
DATENSCHUTZ
Informationen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung und §
55 des Bundesdatenschutzgesetzes sind in der Datenschutzerklärung auf der
Internetseite des Bundesamts für Justiz veröffentlicht.