Datenschutz ist ein Stiefkind – und oft gibt es gravierende Defizite in der Durchsetzung beim Datenschutz durch die Landesdatenschutzbeauftragten gegenüber großen Firmen. In einer Folge aus zwei Teilen ergänze ich meinen ersten Artikel von vor einigen Tagen durch einen Beitrag, der mir bei heise untergekommen ist. Zudem gibt es ein Urteil eines Verwaltungsgerichts, dass die Datenschutzbehörden binnen einer Frist antworten müssen. Eine gewisse Hoffnung setze ich auch auf die EU, deren Digital Markets Act (DMA) und Digital Service Act (DSA) zumindest gegenüber Big-Tech zu greifen scheinen.
Anzeige
Eine Frage, was ein Verstoß kostet
Die Tage hatte ich das Thema bereits im Blog-Beitrag DSGVO und die "Ohnmacht" der Datenschutzbehörden gegenüber Firmen – Teil I auf Basis der Erkenntnisse der Datenaktivisten von noyb aufbereitet. Die Aussage dort war, dass sich die Datenschutzbehörden schwer tun, bei DSGVO-Verstößen gegen große Firmen vorzugehen. Die Firmen haben zig Anwälte, die Behörden angeblich unmotivierte und schlecht bezahlte Mitarbeiter sowie Personalmangel schrieb ist im Beitrag. Hab da auf Mastodon "Contra von einem Leser" bekommen, der das nicht mehr hören kann. Laut dessen Aussage wären genügend Ressourcen vorhanden, wenn diese effizient eingesetzt würden.
Die Kollegen von heise haben das Thema, wo was schief läuft, nun durch Rechtsanwalt Alexander von Chrzanowski an weiteren Fallbeispielen, die auch International greifen, in diesem Beitrag aufbereiten lassen.
So wird der Fall von Google beleuchtet, die eine Standortverfolgung der Nutzer sogar abschaltbar machten. In der Klage in den USA (Kalifornien) gegen Google kommt nun heraus, dass Google im Hintergrund den Standort doch erfasst habe. Die haben einfach Chancen und Risiken abgewogen und rechtlich fragwürdig gehandelt. Am Ende des Tages wurde dann ein Vergleich geschlossen und es geht weiter mit "Business as usual".
Die Kernaussagen des Rechtsanwalts im Artikel lauten: Die Unternehmen wägen Chancen und Risiken eines Gesetzesverstoßes ab – und handeln rechtlich halt fragwürdig, wenn es sich lohnt – die Datenschutzbehörden machen ja sowieso nichts – und wenn doch, kostet nur ein bisschen Geld aus der Portokasse. Notfalls kauft man sich mit einigen Millionen frei und handelt weiter, wie beliebt. Im Kommentar von heise heißt es: "Danke für ihre Geduld beim Datenschutz".
Datenschutzbehörden müssen in gewisser Zeit handeln
Datenschutz ist mühsam, ist das Fazit des Rechtsanwalts, den dieser im obigen heise-Beitrag zieht. Ich habe hier auch einige Meldungen (an die Landesdatenschutzbehörden in Bayern und Baden-Württemberg) liegen, wo ich auf Antwort warte. Gut, die sind noch frisch: Zwei und eine Woche alt – der letzte Fall wird vom Unternehmen tot geschwiegen – aber ich werde den irgendwann im Blog aufbereiten, da gut dokumentiert.
Anzeige
Die Nacht ist mit da ein Gerichtsurteil, welches im Rahmen einer Untätigkeitsklage ergangen ist, unter die Augen gekommen. LHR Rechtsanwälte haben das Urteil im Artikel Datenschutzbehörden haben sich an Fristen zu halten – sagt das VG Ansbach aufbereitet. Kurzfassung: Das Verwaltungsgericht Ansbach hat entschieden, dass Untätigkeitsklage erhoben werden kann, wenn die Bearbeitung einer Beschwerde zu lange dauert (VG Ansbach, Beschluss vom 03.08.2023, Az. AN 14 K).
Im Artikel werden drei Monate genannt – die Klagen der Datenschutzbehörden, an der Belastungsgrenze zu sein, ziehen nicht mehr. Die müssen sich endlich effizient organisieren und auch in einigen Fällen mal Zähne zeigen, so dass es den Firmen weh tut. Das war aber auch Gegenstand bzw. Tenor von Teil 1 der Artikelreihe.
Hoffen auf die EU (DSA, DMA)
Ich setze inzwischen eine gewisse Hoffnung auf die EU, deren Digital Markets Act (DMA) und Digital Service Act (DSA) zumindest gegenüber Big-Tech zu greifen scheinen.
Microsoft hat beispielsweise den Copilot in Windows 11 nicht einfach eingeführt, sondern prüft aktuell die Auswirkungen auf den Digital Service Act (DSA) – siehe Windows 11 23H2: Chaos beim Rollout; kein Copilot in Europa dank DMA.
Auch die EU-Datenschutzauflagen wirken. So hat Facebooks Mutter Meta davon abgesehen, vorerst seinen "Twitter-Konkurrenten" Threads in der EU einzuführen (siehe Instagrams Threads-App wird in der EU nicht kommen). Weiterhin hat die irische Datenschutzbehörde Meta verboten, persönliche Werbung auf Plattformen wie Facebook in der EU auszuspielen (siehe EDSA untersagt Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung und diesen heise-Beitrag).
Persönliche Gedanken
Nachfolgend finden sich Kommentare der Art "die DSGVO ist aufwändig, hat keinen Nutzen und verbessert nicht die Sicherheit". Kann ich nicht mitgehen. Ich denke, man muss und sollte da differenzieren.
Die DSGVO setzt einen wichtigen Rechtsrahmen, an denen sich Firmen orientieren müssen. Aus Sicht des Betroffenen ist es wichtig, dass er einen Hebel hat, dass seine persönlichen Daten nicht zur Freibeute von Unternehmen wird, oder Firmen unbekümmert irgend etwas mit persönlichen Daten machen, ohne sich einen Pfifferling um deren Sicherheit zu kümmern. Und wenn etwas passiert mit "was interessiert es denn" davon zu kommen.
Die täglichen Datenschutzvorfälle weltweit zeigen doch, wie wichtig die DSGVO als Regularium diesbezüglich ist, um Auswüchse zu verhindern. Aktuell ist Datenschutz und vor allem dessen Durchsetzung mühsam. Ich erinnere an das Thema DSGVO-konformer Einsatz von Microsoft 365 oder ähnlichen Produkten (von der deutschen Datenschutzkonferenz negiert, siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform).
Aber es wird. Wir haben zwar den Spagat, dass die DSGVO seit Mai 2018 gilt, in der IT-Welt sind die fünf Jahre eine irre lange Zeit, in der sich gefühlt nichts getan hat. Andererseits denken Juristen bei Verfahren in Jahren und Jahrzehnten. Unter diesem Blickwinkel wurde bereits jetzt Rechtsgeschichte mit den Schrems-Urteilen beim EuGH geschrieben. Und auch in Deutschland fallen nun Urteile in Bezug auf Schadensersatz bei DSGVO-Verstößen oder -Vorfällen. Als Optimist gehe ich davon aus, dass auch die Landesdatenschutzbehörden irgendwann heftigere Strafen bei offensichtlichen DSGVO-Verstößen verhängen – andernfalls wird es bei größeren Firmen die EDSA tun.
Artikelreihe
DSGVO und die "Ohnmacht" der Datenschutzbehörden gegenüber Firmen – Teil I
DSGVO: Firmen wägen bei Datenschutz Chancen und Risiken ab und begehen Gesetzesverstöße – Teil II
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Vier Jahre DSGVO: Baustelle statt großer Wurf
DSGVO, Microsoft Office und die Datenschutzprobleme
EuGH erklärt Facebooks/Metas DSGVO-Regeln für illegal
Anzeige
Amistyle halt:
Was kostet Qualität und was kostet der Ärger wenn ich später nacharbeiten muss.
Da werden selbst Tote mit einkalkuliert.
Das ist ein Mindset das die Menschheit noch richtig in Schwierigkeiten bringen wird.
Leider greift diese Mentalität auch immer mehr in Deutschland um sich und wieder mal sind die die sauber arbeiten wollen die gearsch*******
rpr sagt: "Das ist ein Mindset das die Menschheit noch richtig in Schwierigkeiten bringen wird."
Tut es doch schon längst, aber die Spezies Homo Sapiens ist tatsächlich so dumm – das sollte endlich akzeptiert werden.
Datenschutz bleibt so lange obsolet, so lang' Handel mit Daten erlaubt/ermöglicht bleibt! 🤷♂️
Gerade gestern mal wieder den Film "Fight Club" angeschaut: Die Stelle mit dem Berechnen der Risikoschadenskalkulierung bringt es ganz gut auf den Punkt – ziehe ich ein Produkt nach Mängeln zurück oder ist der Schadensaufwand nach Auftreten des Schadens höher als der Aufwand des "Zurückziehens des Produktes"!
[ZITAT Erzähler]
Ein von uns gebauter Neuwagen ist mit Tempo 100 unterwegs. Das Hinterachsdifferential blockiert. Das Auto überschlägt sich und fängt Feuer – niemand kommt 'raus! Frage: Sollen wir eine Rückrufaktion einleiten?
Man nehme die Anzahl der zugelassenen Fahrzeuge "A", die voraussichtliche Defektrate "B" und den Betrag der durchschnittlichen außergerichtlichen Einigung "C".
A*B*C ergibt "X".
Wenn "X" kleiner ist als die Kosten einer Rückrufaktion, wird keine durchgeführt!
Ereignen sich viele von diesen Unfällen?
Sie würden es nicht glauben!
Bei welcher Autofirma sind Sie beschäftigt?
Bei einer großen
[/ZITAT Erzähler]
Japp! Ich könnte da Geschichten von meinem damaligen Arbeitgeber erzählen, da würden euch die Haare zu Berge stehen. Ich war seinerzeit Datenschutzkoordinator, unser Datenschützer war extern. Da wurde bewusst die Löschpflicht erhobener Daten ignoriert. Und viele andere Storys …
Moi sagt: "[…] meinem damaligen Arbeitgeber erzählen, […]"
Ich vermute mal ein Unternehmen aus der Inkasso-/Auskunftei-Branche. 😉
Tja das kommt dabei raus wenn die DSGVO Verstöße keine harten Strafen nach sich ziehen…
Wer hat anderes erwartet?
Wir haben auch ne StVO und im Gegensatz zur IT sogar ne Führerscheinpflicht und trotzdem ne Menge Arschlöcher auf der Straße!
Wo die zuständigen Beamten hoffnungslos unterbesetzt sind.
DSGVO hoffnungslos unterbesetzt und nicht immer qualifiziertes Personal; Strafen sehr begrenzt möglich und Richter die diese dann wieder runterregulieren… da ist doch klar was dabei rauskommt.
Und was ist der Nutzen?
Die DSGVO schafft sinnlosen Aufwand für Firmen welche sich mit Kunden welche sich als Hobby Juristen aufschwiegen..
Nur wozu? Was wird denn erreicht? Wird dadurch irgendwas besser? Sicherer?
Behörden dürfen alles und verlieren genauso regelmäßig Daten … aktuell in Wochentakt.
Und Strafen fordern.. Strafen die nix bringen. Und immer unterstellen die Firmen machen das alles mit Absicht.
Wie extrem sinnlos das ganze Thema (außer für Juristen) ist.. sieht man wenn man sich ansieht welche Daten sind denn nicht Personen bezogen, direkt/indirekt. Mit welche Daten ist es unmöglich ein Personen Profil zu bilden.
Das ist wie im Informatik Unterricht, "Gib ein Beispiel für etwas das keine Entität ist"
Das tolle ist also.. irgend jemand findet einen Weg dass die Daten doch.. einer Person zugeordnet werden können,.. und die Firma darf dann dafür Strafe zahlen. Super sinnloses Gesetz, vorallem nützt es niemanden, die Strafen werden ja auch nicht für nützliches verwendet.
Amen, so sieht's aus!
Es gibt durchaus Firmen, die sich an die DSGVO halten. Es mag sein, dass die Beschwerden von den staatlichen Datenschutzbehörden nicht zügig bearbeitet werden, aber wenn es doch mal passiert, kann das schnell richtig weh tun, je größer die Firma, um so mehr, weil die Strafe prozentual am Jahresumsatz hängt. Meine Firma musste auch schonmal… von dem Geld hätte ich mich ganz nett zur Ruhe setzen können, meine Kids und noch nicht existenten Enkel hätten auch nie arbeiten müssen…
so wie bei 1+1? Sorry aber da klagt die Firma und aus der "Strafe die richtig weh tut" werden Peanuts! Außer du gehörst zu den Evil 5 aus Amerika.
Gibt da mehr als das 1+1 Beispiel wo Richter die Strafen dann zusammenschrumpften das das nicht mal die Portokasse übermäßig belastete.
@Squatooo1
DSGVO einfach nicht begriffen! Hört man aber immer wieder von den Firmen die Datenschutz nicht ernst nehmen oder sogar absichtlich beugen um Profit daraus zu ziehen.
Daten sind das Öl des 21. Jahrhunderts…
tja nur das dieser Rohstoff eben nicht mehr den Reichen und Mächtigen gehört, sondern dir und mir und eben nicht mehr einfach so geplündert werden kann!
Ihr wollt meine Daten? Könnt ihr haben nur kosten die entsprechend, je nach Art (also rein Name Anschrift oder auch Religion / Sexuelle Vorliebe usw.) mal mehr , mal weniger. Billig sind sie aber nie! Gibt es auch im Abo, aber nicht zur freien Verfügung, kein Weitergabe an Dritte und einzig und alleine für den einen bezahlten Zweck! Sollten der WerbeMAFIA mit Ihrn AGB ja hinreichend bekannt sein.
So groß war die Nummer auch wieder nicht.
@squat0001 – 100% Zustimmung von mir. Das Gesetzt bring 0% mehr Sicherheit und Nutzen. Durch all diese Hacks sind sowieso schon extrem viele persönliche Daten im Umlauf. TikTok und anderen Mist lassen die Behörden gewähren, warum auch immer. Im Grund ist Datenschutz sicher sehr wichtig aber so wie es in D geregelt ist – für die Tonne.
Was die Leute bei Toktik, FB, Insta und Co selbst rein stellen, ist deren eigenes Problem, hat nix mit DSGVO zu tun.
Telegramm, von denen ist ja nicht Mal eine Anschrift bekannt.
+1 auch von mir!
Hi…
Na ja, wer hat wirklich was anderes erwartet als vorsätzlich betriebswirtschaftliches Kalkül, nötigenfalls eben auch mit "Collateral Damage" – wer glaubt denn allen Ernstes in heutigen Zeiten im Zuge von allgegenwärtigem Wettbewerb noch an i-eine Freiwilligkeit?
Ist, als würde man die Schulpflicht abschaffen und mit diesem liberalen Gedanken darauf hoffen, dass dann schon alle Kinder trotzdem ein gleiches Niveau der Grundbildung erhalten würden.
Blinde Ignoranz und naives Vertrauen in menschliche Tugenden öffnen dem Mißbrauch hier immer entweder in der Gesetzgebung oder -umsetzung Tür und Tor! 🤷♂️
Solange den meisten Leuten der Datenschutz egal ist, wird sich auch nichts ändern.
Die Medien und die Politik messen und belehren uns auch mit zweierlei Maß: Bei den Deutschen ist Bargeld voll doof und umständlich und Kartenzahlung ist doch viel einfacher, besser und schneller. Bei anderen Personen die ins Land kommen und Sozialleistungen beziehen, geht eine Aufladekarte auf keinen Fall, wegen Datenschutz, Überwachung und Menschenwürde.
Stelle mir hierzu keine weiteren Fragen.
So ist das, und viele merken es nichtmal…
Ich kann aus eigener Erfahrung berichten, insbesondere zu Auskunftsersuchen bei Versicherungen (die Beschwerden befinden sich seit ca. 1 Jahr bei den Landesdatenschutzbeauftragten verschiedener Bundesländer in Prüfung, noch keine Antworten erhalten), zusammenfassend:
– Verspätete "vollständige" Auskünfte von bis zu 6 Monaten (bei Einschaltung eines Anwalts – die Kosten wurden jeweils anstandslos je Fall 500 Euro übernommen).
– Verweigerung von Löschauskünfte (bei Nachfragen werden unterschiedlichste Rechtsgrundlagen genannt, warum man nicht löscht, kein Löschkonzept vorhanden bzw. absolut unzureichend)
– Keine Detailsauskünfte bzgl. Dienstleister (nur Nennung von Kategorien von Dienstleistern – es gibt hierzu bereits ein EUGH-Urteil)
– Fehlende Auftragsdatenverarbeitungsvereinbarungen mit Dienstleistern und Überwachung derselben (Makler, etc.)
– Fehlende Kopien trotz expliziter Anforderung (es liegt noch kein EUGH-Urteil vor?)
– Meine persönliche Erfahrung: Absolutes Chaos bzgl. Datenschutzhinweise, Datenschutzerklärungen, Konzernregelungen – Was gilt wann für wen …
Ich empfehle zu lesen:
DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) #018
http://www.dsgvo-portal.de
Danke für den Hinweis auf das VG-Urteil. Ich habe damit jetzt bei den Landesdatenschutzbeauftragten mal nachgefühlt. Mal sehen, ob und wann was kommt. Die Az. der Beschwerden liegen noch vor. – Sonst: Mein Datenschutz-Anwalt freut sich, ich leider nicht. (NRW und Bayern)
Der Landesdatenschutzbeauftragte NDS hat gleich meine Beschwerde abgelehnt wegen zu großer Arbeitsbelastung. Ich werde hier auch nochmals tätig werden.
Ich bin selbst bestellter betrieblicher Datenschutzbeauftragter und kann das Vorgehen der Kollegen und Behörden absolut nicht verstehen. Da geht das Vertrauen in den Rechtsstaat verloren! Und ich frage mich: Arbeite ich für die Katz?
@Erwecker – korrekt – Sie arbeiten für die Katz bzw. für rechtliche Regelungen die keinen tatsächlichen Nutzen haben (siehe Hacks). Tut mir leid das so formulieren zu müssen.
Wir reden bei dem Bürokratiemonster DSGVO ja nicht nur über die Sicherheit der Personenbezogenen Daten von Kunden, Mitarbeiter ect. Leider wurde und wird die Umsetzung der DSGVO der IT Abteilung aufgehalst die in der Regel unterbesetzt ist und eh schon nur das wichtigste abarbeitet.
Die Grundidee der DSGVO ist an sich gut aber die Umsetzung und Vorgaben kann sich nur ein Sadist oder realitätsferner Mensch ausgedacht haben.
Die Rechnungsvorlagen und div. anderer Schriftverkehr müssen um die DSGVO Texte erweitert werden, sämtliche Lieferanten müssen angeschrieben und das DSGVO Schreiben unterzeichnet retournieren, die Warenwirtschaft- und Backup Software muss angepasst werden für die dauerhafte Löschung von Kundendaten, bei der Post müssen einzelne Kundenadressen für Werbeunterlagen gesperrt werden und der Rattenschwanz geht noch endlos weiter…
Gerade der Punkt Werbeunterlagen per Post sperren ist lustig, weil die Post die Adressen nicht Kundenbezogen sondern Hausbezogen verteilt und ein paar Steithansln sofort mit Anwalt und Anzeige drohen aber auf ihren Briefkasten keinen entsprechenden Aufkleber anbringen wollen.
"Die DSGVO schafft sinnlosen Aufwand für Firmen welche sich mit Kunden welche sich als Hobby Juristen aufschwiegen.." <- Amen!
Das Problem ist auch der enorme Aufwand für Klein- und mittelständische Betriebe während sich die Big Player darüber einfach hinwegsetzen können. Entweder es betrifft alle oder gar keinen, den ansonsten ist es völlig Nutzlos.
Das ganze Thema ist auch deshalb verloren, weil eben für Firmen die verpflichtet sind.. aber alle Hilfsmittel fehlen Personen überhaupt zu identifizieren.
Personen welche alle x Tage eine neue Mail Adresse verwenden, übersiedeln, Namen ändern mit und ohne Heirat, neue Telefonnummern usw.
In keiner mit bekannten Software z.b. für E-Mail kann man bei solchen "Personen" herausfiltern was alles von einer Person kam. Wie auch. Der Name wie auch die Adresse eine Mail Adresse kann gefälscht sein. Sogar die Mail Adresse kann im laufe der Jahre den Besitzer gewechselt haben.
Es ist ja toll dass "Personen bezogene" Daten geschützt sind. Nur leider steht nirgends wie man diese "Person" digital überhaupt definiert.
Das läuft dann regelmässig in irre Gerichtsverfahren.. wie IP Adressen sind immer personen bezogen.. sind sie sicher nicht.
Das sinnlosteste an Allem ist aber, dass nicht mal die richtigen zum Handkuss kommen. Die Leute plagen mit ihren Rechtsschutz Versicherungen und befreundeten Anwälten, Firmen bei denen Sie Kunde sind. Also Firmen wie meist auch eine Rechtsgrundlage haben.
Die Firmen die aber ja die "bösen" sind.. also die, die z.b. Tracking Software in Android Apps integrieren, die gar keinen Sitz in der EU haben.
Denen passiert nix. Denn wie bei den kleinen Kindern.. aus den Augen, aus dem Sinn.
Und technisch.. ich würde gerne mal einen Juristen dazu verdonnern die Backups von Kunden nach Personen bezogenen Daten zu durchsuchen und ihn für jeden Fehler eine Strafe aufrechnen.