{"id":287800,"date":"2023-11-05T01:35:54","date_gmt":"2023-11-05T00:35:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287800"},"modified":"2023-11-06T17:55:22","modified_gmt":"2023-11-06T16:55:22","slug":"dsgvo-firmen-wgen-bei-datenschutz-chancen-und-risiken-ab-und-begehen-gesetzesverste","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/05\/dsgvo-firmen-wgen-bei-datenschutz-chancen-und-risiken-ab-und-begehen-gesetzesverste\/","title":{"rendered":"DSGVO: Firmen wägen bei Datenschutz Chancen und Risiken ab und begehen Gesetzesverstöße – Teil II"},"content":{"rendered":"

\"StopDatenschutz ist ein Stiefkind – und oft gibt es gravierende Defizite in der Durchsetzung beim Datenschutz durch die Landesdatenschutzbeauftragten gegen\u00fcber gro\u00dfen Firmen. In einer Folge aus zwei Teilen erg\u00e4nze ich meinen ersten Artikel von vor einigen Tagen durch einen Beitrag, der mir bei heise untergekommen ist. Zudem gibt es ein Urteil eines Verwaltungsgerichts, dass die Datenschutzbeh\u00f6rden binnen einer Frist antworten m\u00fcssen. Eine gewisse Hoffnung setze ich auch auf die EU, deren Digital Markets Act (DMA) und Digital Service Act (DSA) zumindest gegen\u00fcber Big-Tech zu greifen scheinen. <\/p>\n

Eine Frage, was ein Versto\u00df kostet<\/h2>\n

\"\"Die Tage hatte ich das Thema bereits im Blog-Beitrag DSGVO und die \"Ohnmacht\" der Datenschutzbeh\u00f6rden gegen\u00fcber Firmen<\/a> – Teil I auf Basis der Erkenntnisse der Datenaktivisten von noyb aufbereitet. Die Aussage dort war, dass sich die Datenschutzbeh\u00f6rden schwer tun, bei DSGVO-Verst\u00f6\u00dfen gegen gro\u00dfe Firmen vorzugehen. Die Firmen haben zig Anw\u00e4lte, die Beh\u00f6rden angeblich unmotivierte und schlecht bezahlte Mitarbeiter sowie Personalmangel schrieb ist im Beitrag. Hab da auf Mastodon \"Contra von einem Leser\" bekommen, der das nicht mehr h\u00f6ren kann. Laut dessen Aussage w\u00e4ren gen\u00fcgend Ressourcen vorhanden, wenn diese effizient eingesetzt w\u00fcrden.<\/p>\n

Die Kollegen von heise haben das Thema, wo was schief l\u00e4uft, nun durch Rechtsanwalt Alexander von Chrzanowski an weiteren Fallbeispielen, die auch International greifen, in diesem Beitrag<\/a> aufbereiten lassen.<\/p>\n

So wird der Fall von Google beleuchtet, die eine Standortverfolgung der Nutzer sogar abschaltbar machten. In der Klage in den USA (Kalifornien) gegen Google kommt nun heraus, dass Google im Hintergrund den Standort doch erfasst habe. Die haben einfach Chancen und Risiken abgewogen und rechtlich fragw\u00fcrdig gehandelt. Am Ende des Tages wurde dann ein Vergleich geschlossen und es geht weiter mit \"Business as usual\".<\/p>\n

Die Kernaussagen des Rechtsanwalts im Artikel lauten: Die Unternehmen w\u00e4gen Chancen und Risiken eines Gesetzesversto\u00dfes ab – und handeln rechtlich halt fragw\u00fcrdig, wenn es sich lohnt – die Datenschutzbeh\u00f6rden machen ja sowieso nichts – und wenn doch, kostet nur ein bisschen Geld aus der Portokasse. Notfalls kauft man sich mit einigen Millionen frei und handelt weiter, wie beliebt.\u00a0Im Kommentar von heise hei\u00dft es: \"Danke f\u00fcr ihre Geduld beim Datenschutz\".<\/p>\n

Datenschutzbeh\u00f6rden m\u00fcssen in gewisser Zeit handeln<\/h2>\n

Datenschutz ist m\u00fchsam, ist das Fazit des Rechtsanwalts, den dieser im obigen heise-Beitrag zieht. Ich habe hier auch einige Meldungen (an die Landesdatenschutzbeh\u00f6rden in Bayern und\u00a0 Baden-W\u00fcrttemberg) liegen, wo ich auf Antwort warte. Gut, die sind noch frisch: Zwei und eine Woche alt – der letzte Fall wird vom Unternehmen tot geschwiegen – aber ich werde den irgendwann im Blog aufbereiten, da gut dokumentiert.<\/p>\n

Die Nacht ist mit da ein\u00a0Gerichtsurteil, welches im Rahmen einer Unt\u00e4tigkeitsklage ergangen ist, unter die Augen gekommen. LHR Rechtsanw\u00e4lte haben das Urteil im Artikel\u00a0Datenschutzbeh\u00f6rden haben sich an Fristen zu halten \u2013 sagt das VG Ansbach<\/a> aufbereitet. Kurzfassung: Das Verwaltungsgericht Ansbach hat entschieden, dass Unt\u00e4tigkeitsklage erhoben werden kann, wenn die Bearbeitung\u00a0einer\u00a0Beschwerde\u00a0zu lange dauert (VG Ansbach,\u00a0Beschluss vom 03.08.2023, Az. AN 14 K).<\/p>\n

Im Artikel werden drei Monate genannt – die Klagen der Datenschutzbeh\u00f6rden, an der Belastungsgrenze zu sein, ziehen nicht mehr. Die m\u00fcssen sich endlich effizient organisieren und auch in einigen F\u00e4llen mal Z\u00e4hne zeigen, so dass es den Firmen weh tut. Das war aber auch Gegenstand bzw. Tenor von Teil 1 der Artikelreihe.<\/p>\n

Hoffen auf die EU (DSA, DMA)<\/h2>\n

Ich setze inzwischen eine gewisse Hoffnung auf die EU, deren Digital Markets Act (DMA) und Digital Service Act (DSA) zumindest gegen\u00fcber Big-Tech zu greifen scheinen.<\/p>\n

Microsoft hat beispielsweise den Copilot in Windows 11 nicht einfach eingef\u00fchrt, sondern pr\u00fcft aktuell die Auswirkungen auf den Digital Service Act (DSA) – siehe\u00a0Windows 11 23H2: Chaos beim Rollout; kein Copilot in Europa dank DMA<\/a>.<\/p>\n

Auch die EU-Datenschutzauflagen wirken. So hat Facebooks Mutter Meta davon abgesehen, vorerst seinen \"Twitter-Konkurrenten\" Threads in der EU einzuf\u00fchren (siehe\u00a0Instagrams Threads-App wird in der EU nicht kommen<\/a>). Weiterhin hat die irische Datenschutzbeh\u00f6rde Meta verboten, pers\u00f6nliche Werbung auf Plattformen wie Facebook in der EU auszuspielen (siehe\u00a0EDSA untersagt Meta \/ Facebook \/ Instagram die Nutzung personenbezogener Daten f\u00fcr personalisierte Werbung<\/a> und diesen heise-Beitrag<\/a>).<\/p>\n

Pers\u00f6nliche Gedanken<\/h2>\n

Nachfolgend finden sich Kommentare der Art \"die DSGVO ist aufw\u00e4ndig, hat keinen Nutzen und verbessert nicht die Sicherheit\". Kann ich nicht mitgehen. Ich denke, man muss und sollte da differenzieren.<\/p>\n

Die DSGVO setzt einen wichtigen Rechtsrahmen, an denen sich Firmen orientieren m\u00fcssen. Aus Sicht des Betroffenen ist es wichtig, dass er einen Hebel hat, dass seine pers\u00f6nlichen Daten nicht zur Freibeute von Unternehmen wird, oder Firmen unbek\u00fcmmert irgend etwas mit pers\u00f6nlichen Daten machen, ohne sich einen Pfifferling um deren Sicherheit zu k\u00fcmmern. Und wenn etwas passiert mit \"was interessiert es denn\" davon zu kommen.<\/p>\n

Die t\u00e4glichen Datenschutzvorf\u00e4lle weltweit zeigen doch, wie wichtig die DSGVO als Regularium diesbez\u00fcglich ist, um Ausw\u00fcchse zu verhindern. Aktuell ist Datenschutz und vor allem dessen Durchsetzung m\u00fchsam. Ich erinnere an das Thema DSGVO-konformer Einsatz von Microsoft 365 oder \u00e4hnlichen Produkten (von der deutschen Datenschutzkonferenz negiert, siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>).<\/p>\n

Aber es wird. Wir haben zwar den Spagat, dass die DSGVO seit Mai 2018 gilt, in der IT-Welt sind die f\u00fcnf Jahre eine irre lange Zeit, in der sich gef\u00fchlt nichts getan hat. Andererseits denken Juristen bei Verfahren in Jahren und Jahrzehnten. Unter diesem Blickwinkel wurde bereits jetzt Rechtsgeschichte mit den Schrems-Urteilen beim EuGH geschrieben. Und auch in Deutschland fallen nun Urteile in Bezug auf Schadensersatz bei DSGVO-Verst\u00f6\u00dfen oder -Vorf\u00e4llen. Als Optimist gehe ich davon aus, dass auch die Landesdatenschutzbeh\u00f6rden irgendwann heftigere Strafen bei offensichtlichen DSGVO-Verst\u00f6\u00dfen verh\u00e4ngen – andernfalls wird es bei gr\u00f6\u00dferen Firmen die EDSA tun.<\/p>\n

Artikelreihe<\/strong>
\nDSGVO und die \"Ohnmacht\" der Datenschutzbeh\u00f6rden gegen\u00fcber Firmen<\/a> – Teil I
\nDSGVO: Firmen w\u00e4gen bei Datenschutz Chancen und Risiken ab und begehen Gesetzesverst\u00f6\u00dfe \u2013 Teil II<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSafe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nDatensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nDatenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a>
\nMicrosoft 365 an Schulen, Baden-W\u00fcrttembergs Datensch\u00fctzer sagt Nein<\/a>
\nVier Jahre DSGVO: Baustelle statt gro\u00dfer Wurf<\/a>
\nDSGVO, Microsoft Office und die Datenschutzprobleme<\/a>
\nEuGH erkl\u00e4rt Facebooks\/Metas DSGVO-Regeln f\u00fcr illegal<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Datenschutz ist ein Stiefkind – und oft gibt es gravierende Defizite in der Durchsetzung beim Datenschutz durch die Landesdatenschutzbeauftragten gegen\u00fcber gro\u00dfen Firmen. In einer Folge aus zwei Teilen erg\u00e4nze ich meinen ersten Artikel von vor einigen Tagen durch einen Beitrag, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4023],"class_list":["post-287800","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-recht"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287800"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287800\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}