Beim Datenschutz gibt es gravierende Defizite in der Durchsetzung durch die Landesdatenschutzbeauftragten – jedenfalls, wenn es gegen die großen Firmen geht. O-Ton "Die Behörden knüppeln lieber den Hobby-Webseitenbetreiber nieder, als dass sie sich mit Wirtschaftsanwälten größerer Unternehmen anlegen." Das ist die aktuell bittere Erkenntnis, die die Organisation noyb aus Datenschutzbeschwerden in Deutschland gewonnen hat.
Anzeige
Auf dem Papier ist alles klar, es gibt ja schließlich die Datenschutzgrundverordnung (DSVO), seit Mai 2018 in Kraft getreten ist. Während die Landesdatenschutzbehörden im Zweifelsfall aber kleine Webseitenbetreiber drangsalieren, ist es bei großen Unternehmen merkwürdig still.
Wer schon mal eine Datenschutzbeschwerde an einen Datenschutzbeauftragten abgesetzt habe, weiß, was ich meine. Das verläuft im Sande oder es kommt die Antwort "kann man nichts machen".
- Mir ist der Fall eines Physiotherapeuten bekannt, dessen Patientenkarte im Rahmen eines Scheidungsverfahrens an die gegnerische Anwältin ging und dann in der Familie der Ex fröhlich weiter gereicht wurde. Eine Beschwerde des Therapeuten beim Landesdatenschützer wurde "passiert halt bei Scheidungen schon mal" abgetan.
- Gestern ist mir, kurz bevor ich den Text hier geschrieben habe, eine nicht zitierfähige Antwort zur Frage untergekommen, wie man binnen 72 Stunden eine Datenschutzmeldung wegen des im Beitrag Cyberangriff auf Südwestfalen IT trifft 72 Kommunen mehr als erwartet beschriebenen Vorfalls absetzen kann, und vor dem Problem steht, Auskünfte vom Datenschutzbeauftragten des Dienstleisters zu bekommen.
- Aktuell habe ich zwei Meldungen bei den Landesdatenschutzbehörden in Bayern und Baden-Württemberg laufen – gut, ist erst einige Tage her. Aber außer einer Autobestätigung des Mail-Eingangs von einer Stelle gibt es noch nichts.
Die Volten um den DSGVO-konformen Einsatz von Windows oder Microsoft Office 365, der von den Datenschützern ja bezweifelt wird, sind ein weiterer Beleg, dass Datenschutz und DSGVO im Zweifelsfall ein Papiertiger sind.
Anzeige
Die Welt hat sich des Themas angenommen und ein Gespräch mit Vertretern von noyb geführt. Die Aktivisten um Max Schrems, der einige Datenschutzurteile vor dem europäischen Gerichtshof gewonnen hat, liegen ja ständig im Clinch mit Firmen und Datenschutzbehörden – speziell der irischen Data Protection Commission (DPC). Auch in Deutschland wurden bei Landesdatenschutzbeauftragten Auskunftsersuchen und Beschwerden eingereicht.
Im Welt-Beitrag wird das Vorgehen von noyb gegen den Adresshändler Acxiom aufgegriffen (ein Blog-Leser hatte mich seinerzeit im Diskussionsbereich des Blogs auf den noyb-Artikel hingewiesen). Acxiom hatte Daten an die Scoringagentur CRIF verkauft, was laut noyb rechtwidrig war, weil diese ursprünglich nur zu Marketingzwecken erhoben wurden, der Anbieter CRIF sie aber zur Einschätzung der Kreditwürdigkeit verwendet. Die Beschwerden bei den Landesdatenschutzbehörden in Hessen und Bayern offenbarten die ganze Misere.
Die Behörden sind personell unterbesetzt und gegen Firmenanwälte hoffnungslos unterlegen. Noyb hatte im Oktober 2021 Beschwerde gegen Acxiom eingereicht. Wir sind nun zwei Jahre weiter, eine Entscheidung der Landesdatenschutzbehörden steht weiter aus. Die von noyb in Hessen beantragte Akteneinsicht wird durch Anwälte von Acxiom zu verhindern versucht, die haben laut Welt-Bericht beim Verwaltungsgericht in Wiesbaden eine einstweilige Anordnung gegen die Behörde beantragt.
Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, wird mit "Der Fall zeigt exemplarisch ein Riesenproblem bei der Durchsetzung geltenden Datenschutzrechts auf" zitiert. Laut Schrems sind in Hessen und Bayern zehn Beschwerdeverfahren seit zwei bis drei Jahren offen. Deutsche Landesdatenschützer hätten im EU-Vergleich ein "Effizienzproblem", denn die Behörden sind unterbesetzt und können kaum auf Datenschutzverstöße reagieren. Schrems sagt dazu: "Die [Landesdatenschützer] gehen meist erst freundlich auf ein Unternehmen zu und diskutieren das aus, statt harte Entscheidungen zu treffen. Meist gibt es keine Strafen. Die Unternehmen lernen daraus, dass die Einhaltung der Gesetze sich nicht auszahlt."
Rechtsanwalt Jonas Breyer, der noyb vor dem Verfahren um Akteneinsicht vertritt, sieht eine bewusste Strategie der Firmen: "Die Anwälte der Firmen nutzen die Langsamkeit von Datenschutzbehörden für sich aus, um Sachentscheidungen hinauszuzögern, damit die Unternehmen länger unbehelligt Geld verdienen können."
Im Welt-Artikel wird ein Anwalt und Datenschutzexperte einer internationalen Kanzlei mit einer brisanten Aussage zitiert: "Die Wirtschaft ist zu Recht im Glauben, im Grunde machen zu können, was sie will. Die Behörden knüppeln lieber den Hobby-Webseitenbetreiber nieder, als dass sie sich mit Wirtschaftsanwälten größerer Unternehmen anlegen." Es gibt wohl ein gravierendes Missverhältnis zwischen Datenschützern/Behörden und Firmen. Firmen bieten oft 10 hochspezialisierte Anwälte auf, die pro Woche 500 bis 600 Stunden Arbeit investieren, während bei den Datenschutzbehörden eine "wenig motivierte Behördenmitarbeiterin" dagegen gestellt wird.
Max Schrems kommentiert es in der Welt so: "Die Datenschutz-Grundverordnung ist ein relativ junges Gesetz, das viel Interpretationsspielraum lässt. Oft ziehen Richter in den Verfahren die Kommentare zum Gesetz zu Rate – und die werden von Fachanwälten geschrieben, die ihre hohen Gehälter damit verdienen, dass sie die Unternehmen vertreten."
Die Landesdatenschutzbehörden sind personell schlecht aufgestellt, heißt es – aber es ist auch politisches Versagen zu konstatieren. Einmal könnten die Landesdatenschutzbehörden sicherlich gebündelt und Aktivitäten koordiniert werden. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein sagte der Welt dazu: "Wir haben ein Problem damit, professionelle Rechtsanwälte für die höheren Instanzen zu finden". Grund sei, dass die Anwälte die Vertretung der Firmen lukrativer sehen. Hansen hofft auf eine Professionalisierung, und dass man eine gemeinsame Entscheidungsdatenbank einführen, sowie gemeinsam Teams für Gerichtsprozesse aufbauen könnte.
Schrems hat da noch eine netten Vorschlag zur Finanzierung: "Da die Bußgelder bei schwerwiegenden Verstößen oftmals die Millionengrenze übersteigen, wäre das Geld für ein Team hochbezahlter Juristen aus Sicht des Staates gut angelegt." Problem ist halt der Amtsschimmel, der zwar wiehert und Pferdeäpfel pullert, aber in dieser Angelegenheit nicht weiter kommt bzw. denkt. Schon recht frustrierende Aussichten. Aber da sind wir wieder beim politischen Versagen – und der Aussage einer Ex-Bundeskanzlerin "Daten sind das neue Öl".
PS: Im Ausland ist es auch nicht besser. Gerade lese ich bei heise, dass Grindr, Betreiber einer Dating-App, gegen einen Bußgeldbescheid auf Grund unzulässiger, gezielter Werbung, in Norwegen klagt. Argument: Der Fall stelle Geschäftsmodell und Betrugsbekämpfung infrage.
Ergänzung: Die Kollegen von heise haben das Thema an einem anderen Fall im Beitrag hier ebenfalls beleuchtet. Fazit: Unternehmen wägen Gesetzesverstöße klar ab, wenn Chancen höher als Risiken gesehen werden, wird halt ein DSGVO-Verstoß einkalkuliert.
Artikelreihe
DSGVO und die "Ohnmacht" der Datenschutzbehörden gegenüber Firmen – Teil I
DSGVO: Firmen wägen bei Datenschutz Chancen und Risiken ab und begehen Gesetzesverstöße – Teil II
Anzeige
Die DSGVO hat zwei Fehler, die ich nie verstanden habe.
1. Datenschutzbeauftragte
Warum gibt es die überhaupt? Wenn jemand gegen Gesetze verstößt, dann ist das ein Fall für die Justiz. Was soll so eine alberne Behörde überhaupt? Das ist entweder ein Fall für die Staatsanwaltschaft oder für eine Zivilklage.
2. Geld
Warum gibt es enorme Strafen an die Staatskasse statt Schadenersatz/Schmerzensgeld an die betroffenen? Es gibt zwar oft zusätzlich etwas Entschädigung bei der DSGVO, aber das sind Peanuts im Vergleich zu den Strafen.
Zu 1.: Irgendjemand neutrales muss den Verstoß ja erstmal entdecken. Klar, auch Betroffene können das, aber dort fehlt vielleicht die Erfahrung mit dem Umgang mit solchen Fällen. Daher sind Datenschutzbeauftragte, welche die jeweilige Situation bewerten können, und wie sie handeln müssen, unbedingt notwendig, und das nicht nur auf Bundes- und Landes-Ebene, sondern auch in den Unternehmen selbst.
Zu 2: Kommt halt immer drauf an, wer den Verstoß bemerkt und anzeigt. Wie soll ein öffentlicher DSB all die Betroffenen ermitteln, wenn von denen keine direkten validen Kontaktdaten (Adresse, Mailadresse, Tel-Nr.) vorliegt. und wie soll so ein Schadensersatz bei mal angenommen Millionen betroffenen Leuten ausbezahlt werden, wieviele Cent bekommen die, lohnt das in so einem Fall überhaupt?
Am schlimmsten ist vielmehr, dass die potentiellen Strafen und Konsquenzen für Behörden nicht existieren oder aufgeweicht sind im Vergleich zur Industrie. So kann Amtsleitern doch sehr wenig passieren, selbst wenn sie wirklich wirklich wirklich Mist bauen.
Zu 1. Der Datenschutzbeauftragte ist erstmal dazu da die Prozesse und Abläufe eines Unternehmen datenschutzkonform zu gestalten. Der hat nichts mit der Aufsichtsbehörde zu tun und ist entweder intern oder extern und hilft bei Fragen und Meldungen. Die Behörden prüfen gemeldete Ffälle. Nur weil es ein Verstoß war, bedeutet es ja nicht automatisch das ein Gericht bemüht werden muss.
Wir hatten hier Fälle das jemand höchst vertrauliche Unterlagen schlampig behandelt hat. Das ist schlimm, aber kein Fall für ein Gericht.
Naja was erwartet man den? Wenn sie mal ne Millionenschwere Strafe verhängen und die Firma dann klagt und auch vor Gericht noch recht kriegt(indem die Strafe zwar bestätigt wird, aber die Höhe als unangemessen angeshen wird und auf Peanuts zusammengestutzt wird (hier 1+1). Da lachen sich die Großen doch ins Fäustchen!
Ist sowieso total falsch aufgezogen. Da müsste jeder Geschädigte direkt klagen können und zwar auf dem kleinen Dienstweg, so das bei Verstößen die Firmen das gar nicht abwenden und verzögern können inkl. Schadensersatz an jeden Betroffenen plus Strafzahlung an die Behörde.
Dann würden die Firmen schnell begreifen das es günstiger ist das Gesetz einzuhalten, wenn auf einmal bei einem Vorfall Millionen von Klagen zu begleichen sind!
Warum auch sollten Behörden das Geld bekommen wo doch die Leute die Geschädigten sind?
In der jetztigen Form ist nen zahnloser Tiger noch gefährlicher als die DSGVO!
@Stephan
den Beauftragten braucht es schon, der muss ja bestätigen das nen Verstoß vorliegt etc. man siehst ja das der deutsche Michel das sonst gar nicht versteht!
Wenn man da als über die Missverständnisse der DSGVO liest, dann zweifelt man an der Intelligenz der Leute! (und das auch bei angeblich Studierten)
Die DSGVO ist richtig und wichtig, die Umsetzunge und Vollstreckung jedoch katastrophal!
"Da müsste jeder Geschädigte direkt klagen können und zwar auf dem kleinen Dienstweg" – kann er ja. Wenn du bemerkt, dass deine Daten irgendwo unberechtigt zugänglich sind, oder du bemerkst, dass damit was gemacht wird, was du nicht abgesegtnet hats, kannst du selbst Anzeige erstatten. Aber überlege mal, wenn jetzt auf einmal millionen Kundendaten von einer Firma öffentlich zugänglich wären, was wäre wenn nun alle millionen Kunden selbst eine Anzeige machen würden, wäre das noch handhabbar?
Es ist immer wieder das gleiche.
Politiker A
"Das Wahlvieh ist unruhig, wir müssen etwas machen
Machen wir ein Gesetz. Das kostet nicht viel.
Z.B. ein Gesetz gegen Schwarzarbeit, Schwarz Geld und Geldwäsche und Wohnraum-Spekulation.
oder eines gegen Telefon Abzocke
oder gegen Verbraucherbetrug
oder gegen Datenhandel
Politiker B
ja aber…dann sind unsere Spender sauer.
Ein Dilemma!
A:
also das mit dem schwarzgeld und so lagern wir zum Zoll aus.
Die tun ja eh kaum noch was. Wir geben denen keine Leute oder Computer. Die Vorfälle liegen dann da so lange bis sie verjährt sind ohne auch nur erfasst sind.
Außerdem reformieren wir die Alkoholsteuer.
Der Zoll muss künftig jedem Gerät mit mehr als 4l erfassen, mit dem man Alkohol brennen könnte, das Wort "Destillation" enthält.
B:
Und beim Telefonbetrug darf die Behörde BNetA zwar gucken und Wattebällchen werfen aber keine Strafe verhängen.
A: Und die Verbraucherschutzzentraken bezahlen wir aus einer Stiftung. Aber das Stiftungskapital geben wir nicht raus,statt dessen entscheiden wir jedes Jahr, wieviel Geld sie aus der "Stiftung" bekommen.
So können wir jederzeit Gegensteuern, wenn sie zu frech werden.
B:
Prima Idee. Das merkt das blöde Wahlvieh niiie
A:
Oh, das mit der BNetA klappt nicht. die müssen Strafen verhängen können. Das müssten wir ändern.
Oh, und da sind due ganzen ehemaligen Postbeamte gelandet.
Die haben Ahnung und sind viele…
B
Aber was machen wir beim Datenschutz? Da hängt ja auch noch die EU dran
A:
Das machen wir wie immer.
Mit vielen Vorschriften und viel zu wenig Leute.
Klappt ja beim Schwarzgeld ja auch ganz prima.
Sollen die sich selbst finanzieren.
B:
Wie das?
A:
Sie dürfen ihr Know-how Unternehmen in Form von kostenpflichtigen Audits verkaufen.
So sind sie mit Arbeit voll und kosten nix
B:
Ja, das ist Win win!
Unsere Stimmen sind uns sicher, wir haben 'was gemacht
Unsere Spenden sind uns sicher, wir haben nicht wirklich etwas gemacht.
Ich kann nur eins sagen:
1. Der LfDI in BaWü ist einer der fähigeren Behörden, der es aber an Ressourcen mangelt und gerade gegenüber den eigenen Landesbehörden bei Missständen immer Druck bekommt, da nicht zu sehr das Recht umzusetzen. Der Ministerpräsident hält das alles für Gedöhns und hat auch die Grundzüge des Datenschutzes und digitaler Selbstbestimmung nicht verstanden. Das wird auch der Grund sein, dass Herr Brink leider(!) nicht mehr weitermachen wollte. Dennoch hat man eher Glück, wenn Baden-Württemberg oder die Leute in Kiel zuständig sind, wenn man ein Problem meldet oder hat.
2. Der LfD in Bayern eher der verlängerte Arm des Unwillens, Datenschutzrecht umzusetzen, der wichtige Dinge liegen lässt und lieber aktiv wird, wenn jemand Nummernschilder an die Polizei per Foto meldet (was natürlich rechtens war, . Das ist für mich das Äquivalent der irischen Datenschutzbehörde auf EU-Ebene, etwas überspitzt ausgedrückt :-D
3. https://support.noyb.eu/join nimmt übrigens Spenden und Fördermitglieder an und ist gemeinnützig.
Also ich habe da aber eine andere Erfahrung von der bayerischen Aufsichtsbehörde. Die sind sich nicht zu fein ihren Fragen in Form von Busgeldbescheiden Nachdruck zu verleihen :)
Das freut mich zu hören. Ich habe natürlich nur statistisch insignifikante Einzelerfahrungen und Eindrücke Dritter. Schön, dass es wohl auch bessere Erfahrungen mit dem bayerischen LfD gibt.
Die DSGVO ist ein schräges Konstrukt, zum Scheitern verurteilt. Weder ist klar definiert was persönliche Daten sind, Gerichte definieren immer wieder Mal neue Datensätze als Personen bezogen. Das ganze mutiert zu einem unendlichen Verbots Konstrukt. Ohne einen Nutzen für Betroffene zu erreichen. Sind Daten einmal verloren kann man sie nicht wieder einfangen. Es gibt also auch keinen sinnvollen Lerneffekt für Firmen.
Die Organisationen schaffen es ja nicht Mal sich gegen Ransomeware zu schützen.
Die DSGV definiert eines Klipp und klar und explizit:
Behördenmitarbeiter haben keine Strafen zu befürchten.
Ich musste das dreimal lesen, aber die kognitive Dissonanz beruhigte sich nicht.
Es ist sogar sehr genau definiert was personenbezogene Daten sind. Nur der eine oder andere Anwalt versucht halt wieder ne Lücke zu finden. Ich finde gerade Anwälte sind oftmals schlechte Datenschützer.
> Weder ist klar definiert was persönliche Daten sind
Bitte? Art. 4 DSGVO ist doch klipp und klar. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.
Ich finde die allermeisten Gesetze sind leider nicht so klar verständlich, auch für den Laien, wie die DSGVO. Muss man halt nur mal lesen statt nur Texte, die DARÜBER reden.
Die Grundlagen sind SOWAS von einfach:
1. Du hast einen Prozess oder Vorgang. Ist klar was der tut?
2. Liegen personenbezogene Daten vor / Verarbeitung?
3. Ja? Dann: Was ist die Rechtsgrundlage? Braucht es eine Einwilligung als Notnagel? (Hint: Einwilligung ist im Grunde der Beleg, dass Du keine Grundlage hast und die kann auch noch jederzeit zurückgezogen werden)
4. Sind es besonders schutzwürdige Daten nach Artikel 9? Brauchen wir die WIRKLICH? Und eben höhere Schutzmaßnahmen.
Mit diesen vier Fragen und ner dummen Tabelle hast Du schon 90% der Probleme und Hausaufgaben auf dem Tisch. Knifflig ist im Grunde nur das recherchieren von ggf. vorhandenen Rechtsgrundlagen.
Beispiel: Videoaufnahmen Schule: Durchaus in engen Grenzen erlaubt, zumindest in BaWü: https://www.landesrecht-bw.de/jportal/?quelle=jlink&query=SchulG+BW+%C2%A7+115&psml=bsbawueprod.psml&max=true. Sowas weiß man halt nur nicht intuitiv.
Man findet es aber zumeist SEHR schnell heraus und wir haben nun ein paar Jahre DSGVO, da finden sich massiv Hilfestellungen. 90% der Fragestellungen sind deutlich einfacher und auch für jede normale Geschäftsführung schon mal gut einzufangen, wenn man sich einfach mal EIN BISSCHEN Mühe gibt.
Aus meiner Erfahrung heraus haben nur Projekte und Firmen ein Problem mit der DSGVO, die einfach unorganisiert sind oder deren Geschäftsmodell auch gezielt nicht existieren sollte. Ich habe noch kein Projekt erlebt, dass wegen des Datenschutzes gescheitert oder nicht möglich gewesen wäre, auch wenn er gerne von Stammtischen als Sündenbock herangezogen wird.
Also aus Industriesicht ist die DSGVO ganz bestimmt kein zahlloser Tiger. Dazu verursacht sie viel zu viel Aufwand.
Was wir an Arbeit investieren und Prozesse aufblasen müssen, steht in meinen Augen in keinem Verhältnis zum gewünschten Ergebnis der DSGVO.
In einer Zeit in der jeder im Internet massenhaft freiwillig Informationen streut und wissentlich oder unwissentlich persönliche Daten verkauft (ja, auch heute gibt es nichts geschenkt da draußen!), verstehe ich nicht, warum man auf der anderen Seite so ein Monster erschafft, dass jedes Produkt teurer macht.
> Was wir an Arbeit investieren und Prozesse aufblasen müssen, steht in meinen Augen in keinem Verhältnis zum gewünschten Ergebnis der DSGVO.
Eigentlich werden Prozesse durch DSGVO eher schlanker, wenn man mal schaut, ob man überhaupt alles braucht, was man gerade so sammelt. Wenn bei euch alles aufgeblasen wird, würde ich mal die rechtliche oder technische Beratung wechseln. Es bietet zwar viel Potential für Dampfplauderei, aber dafür kann die DSGVO ja nix.
Und: Wenn man eh schon dabei ist kann man seine Prozesse ja auch mal statt nur aus Datenschutzsicht auch aus BCM und aus Security-Sicht betrachten. Dann hat es sogar Synergien.
Hi…
Bin erst heute drüber gestolpert und was soll ich sagen…
Danke für den interessanten Artikel, allerdings… schön, dass alles gleich nur wieder auf den gewerblichen Unternehmensbereich projiziert wird – was ist denn mit dem in dieser Sachfrage nicht minder wichtigen Privatbereich?
Erleb' grad (adaptiv) Ähnliches mit der sog. "Selbstauskunft" zu Personenbezogenen Daten nach Art. 15 DSGVO.
Einige, und auch grad' die "Größeren" der Branche (bzw. auch hier im Artikel genannte Vertreter), reagieren zwar relativ umgehend auf ein Auskunftsersuchen, aber wenn sich dann offenbart welche Kreise eine Datenweitergabe – von der man nichts ahnte – nahm, mutiert das ganze Anliegen auch schnell zum unverhältnismäßig aufwändigen Drama für den einfachen Bürger.
Insbesondere, wenn dort Daten, die eigtl. aufgrund der gesetzl. Bestimmungen schon längst nicht mehr existent sein dürften, fleißig an anfragende Dritte weitertransportiert werden – natürlich alles immer im Rahmen eines angeblich glaubhaft "berechtigten Interesses". Da fragt sich doch, wer da in so einem sensiblen Bereich was wohl wie aufmerksam und gründlich prüft und warum solches nicht stringenter überwacht wird.
Auch sind oft die beauskunfteten Daten fehlerbehaftet und man darf dann zeitaufwändig schriftlich mit den jeweiligen Unternehmen über die gegebenen Gesetze sowie deren vorgegebene Einhaltung korrespondieren, was ausschließich immer in der Wahrnehmung des Rechtsweges mündet und mit Einhergehen weiteren Zeitverzugs ein juristisches Verfahren befördert, welches eigtl. nur die bereits vorhandene Gesetzgebung bestätigt, aber den Schutzinteressierten Bürger zu unnötiger Belastung von Institutionen und Behörden und dergl., bspw. der Gerichte mittels Stellung von Unterlassungklagen und Weiterem, zwingt.
Welcher Privatmensch, sofern nicht aus den "oberen Zehntausend" stammend mit reichlich Finanzmitteln und ebenfalls einem Heer an Rechtsvertretung ausgestattet, soll das in seinem Alltag leisten können?
Und hier entsteht das Dilemma, weil genau an diesem Punkt viele überfordert einfach aufgeben und so dem weiteren mißbräuchlichen Datenhandel Tür und Tor offen bleibt.
Der Handel mit Daten gehört rigoros und konsequent verboten und muß zwingend unabdingbar von der notwendigen Datenweitergabe zur Erfüllung von Geschäftsprozessen getrennt werden! 🤷♂️