Die Aufsicht schläft

Die Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft – vor rund fünf Jahren. Anfangs gab es riesen Diskussionen über Umsetzung und Strafen – aber beides ist eher ausgeblieben. Oder am ehesten wahrnehmbar im Gesundheitswesen und bei außereuropäischen oder in Irland ansässigen Anbietern. Warum? Die Aufsicht schläft. Nicht nur meine Wahrnehmung, sondern auch Noyb in einem Statement zum 4. Jahrestag der DSGVO. Auch schon Anfang 2022 titelte Noyb Europäischer Datenschutztag: 41 Jahre "Datenschutz am Papier"?!

Ich nutze immer Mal wieder meine Betroffenenrechte nach Artikel 12ff DSGVO und habe in den letzten vier Jahren - bitte schalten Sie Javascript ein - Beschwerden (Artikel 77 DSGVO) bei der Datenschutzaufsicht über Verantwortliche eingelegt oder unterstützt, einige davon öffentlich über FragDenStaat, viele auch hier dokumentiert und verlinkt. Leider waren davon nur wenige erfolgreich. Erfolgreich auch nur im Sinne von, der Beschwerde wurde stattgegeben. Das heißt noch lange nicht, dass der Datenschutzverstoß abgestellt wurde – insbesondere beim Bundesministerium für Inneres und für Heimat (BMI) sowie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) hapert es massiv damit. Andere Beschwerden sind entweder noch nicht entschieden oder wurden abgelehnt, teilweise unverständlich. Und dabei bilde ich mir ein, ich verstehe etwas von Datenschutz, vermutlich deutlich mehr als andere Betroffene. Und was die nicht entschiedenen angeht – drei Monate sagt die DSGVO, oder zumindest darf der Betroffene dann eine Standmitteilung erwarten. Auch das findet oft nicht statt.

Dass bei einer meiner Beschwerden eine Strafe verhängt wurde habe ich noch nicht erlebt – im öffentlichen Bereich verhindert das sowieso §43 Abs. 3 Bundesdatenschutzgesetz (BDSG), aber auch bei anderen Verantwortlichen bleibt es meist bei einer Verwarnung oder weniger. Warum?

• Meine Beschwerden
• Schwerpunkte
• Warum dauert das so lange?
• Welche Alternativen haben wir?

Meine Beschwerden

Die Liste ist weitgehend vollständig hinsichtlich der Beschwerden, aber nicht vollständig hinsichtlich allen Unzulänglichkeiten die ich beobachtet habe. Einige Beschwerden von Freunden die ich dabei unterstützt habe sind auch aufgeführt. Nicht in allen Fällen erscheint es mir sinnvoll, alle Details offen zu legen, zumal das eine ganze Menge Arbeit macht, insbesondere wegen den nötigen Schwärzungen.

Tabelle überspringen.

Schnell geht es nur dann, wenn man gegen den Betroffenen entscheidet. Da vor einer Ablehnung auch eine Anhörung stattfinden soll, geht es – wenn man entsprechende Argumente liefert – ab der Anhörung dann oft gar nicht weiter. Als offen betrachte ich im Zweifelsfall auch alles, bei dem ich keine Rechtsbehelfsbelehrung erhalten habe – erst dann ist ein Verwaltungsverfahren wirklich abgeschlossen. Leider gibt es auch Aufsichten, die eine Beschwerde nicht für ein Verwaltungsverfahren sondern für eine Petition halten. Das ist durch die Rechtsprechung leider noch nicht endgültig geklärt, aber Gerichte urteilen zunehmend, dass es sich jedenfalls nicht um ein petitionsartiges Recht handelt – so z.B. Landessozialgericht Niedersachsen-Bremen Urteil vom 14.02.2023, Az.: L 16 SF 5/21 DS (KR) in dem auch andere Urteile referenziert werden.

Schwerpunkte

Wenn ich bei meinen Beschwerden klare Brennpunkte sehe, dann sind es unvollständige Auskünfte und mangelhafte Sicherheit. Die liefern sich ein Kopf-an-Kopf-Rennen.

Fast immer ist die erste Auskunft unvollständig oder hat sonst einen Mangel – siehe Auskunft – selten korrekt. Das erweckt bei mir den Eindruck, dass keine Verarbeitungsverzeichnisse nach Artikel 30 DSGVO geführt werden, oder erst dann erstellt werden wenn eine Beschwerde eintrifft – und dann wird notfalls solange nachgebessert, bis mir nichts mehr einfällt, aber das beweist natürlich nicht, dass das Verarbeitungsverzeichnis oder die Auskunft vollständig ist. Leider hat die DSGVO im Unterschied zur vorhergehenden Datenschutzrichtlinie (Richtlinie 95/46/EG) kein Recht für jedermann, das Verarbeitungsverzeichnis einzusehen. Das ist den Aufsichten vorbehalten – nur scheinen die dieses Recht nicht konsequent zu nutzen. In keiner meiner Akteneinsichten fand sich bisher ein Verarbeitungsverzeichnis. Ein Mitarbeiter des LfDI BW hat auf meine Frage danach geantwortet, das helfe ihnen nicht. Das halte ich wiederrum für ein Symptom mangelnder Kenntnisse darüber, welche Verarbeitungen Unternehmen typischerweise vornehmen.

An zweiter Stelle stehen dann Verstöße gegen Artikel 32 DSGVO: Einwilligung in unverschlüsselte Email (s. a. Ist Artikel 32 DSGVO dispositiv?), Verdacht auf fehlende Verschlüsselung, Sicherheitsfragen oder schlechte Passwörter – mehr dazu in Sicherheit? Unsinn! Das Problem hier: Unsicherheit ist nur bei diesem Unsinn von außen sichtbar, was hinter den Kulissen sonst noch nicht oder nicht gut gemacht wird, kann man auch als Experte nur vermuten – allerdings wundern mich angesichts der Defizite beim Bundesamt für Unsicherheit die Meldungen über Einbrüche bei allen möglichen Einrichtungen nicht wirklich. Auch will anscheinend keine Aufsicht die Sicherheitsmängel der Verwaltungsportale ernsthaft untersuchen. Und ein Armutszeugnis ist auch Es besteht keine datenschutzrechtliche Verpflichtung für die verantwortliche Stelle, für jeden Prozess einen maximalen Sicherheitsstandard zu implementieren. Es genügt, die Prozesse so auszugestalten, dass für die jeweilige Datenverarbeitung ein angemessenes Sicherheitsniveau besteht. wenn man mit dieser Ermessensentscheidung Unsinn durchwinkt.

Deutlich abgeschlagen sind mangelhafte Datenschutzerklärungen, unklare Rechtsgrundlagen und Einwilligungen, Verstöße gegen die Datensparsamkeit und anderes.

Gar nicht zählen will ich falsche Cookie-Banner und Einbindung von Diensten aus den USA, alles auch als Verstoß gegen Artikel 6 und 7 zu sehen. Wenn ich mich darüber immer beschweren wollte, dann wäre das eine 24h-Aufgabe – und ich vielleicht ein Working-Poor. Ich behelfe mir mit einem Pi-Hole der den gröbsten Murks ins Leere laufen lässt und freue mich über die Aktion noyb setzt dem Cookie-Banner-Wahnsinn ein Ende und über Tools wie decareto. Mit Tool habe ich inzwischen einige Verantwortliche angeschrieben und dann mit dem üblichen Monat Verzögerung Beschwerde eingereicht. Dass ein Verantwortlicher auf meine Beschwerde reagiert – das findet nicht statt, obwohl es klar rechtswidrig ist. Anscheinend sind die Strafen immer noch kleiner als der Gewinn durch die Datensammelei.

Bei den Aufsichten bei denen es klemmt sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) nach der Anzahl der Beschwerden vorne. Das heißt aber nicht, dass die anderen besser sind sondern eher dass bei den anderen meine Stichprobe zu klein ist, um ein Ranking zu erstellen.

In den meisten oben aufgezählten Fällen bin ich selbst oder sind Freunde von mir betroffen. Der Betroffenenstatus ist deswegen wichtig, weil viele Aufsichten – die Stichprobe ist zu klein, um alle schreiben zu können – gerne versuchen, eine Beschwerde damit abzuwimmeln, man sei nicht erkennbar betroffen, und damit sei es nur eine Eingabe, der man nachgehe ohne weitere Informationen an den Betroffenen oder Hinweisgeber erteilen zu müssen, denn Artikel 78 ist dann nicht anwendbar. Manchmal hilft es, zu widersprechen (aber es gibt kein Widerspruchs- oder Vorverfahren im Sinne von §68 Verwaltungsgerichtsordnung). Immer hilfreich ist, regelmäßig bei der Aufsicht eine Auskunft nach Artikel 15 DSGVO einzufordern, sonst bekommt man überhaupt nicht mit ob und was im Verfahren passiert. Und auch da muss man damit rechnen, das die ersten Auskünfte unvollständig sind und man nachhaken muss – siehe Auskunft – selten korrekt.

Warum dauert das so lange?

Natürlich frage ich mich, warum das so lange dauert und die Beschwerden eher abgelehnt werden als erfolgreich sind. Natürlich ist die Stichprobe zu klein, um die Erfolgschancen zu verallgemeinern. Traurig: auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat keine Erfolgsstatistik, den auf diese Anfrage einer Freundin kam eine unbefriedigende Antwort. Das hat sich nicht geändert, siehe Vodafone, der Datenschutz und Verbraucherrechte. Wollte Professor Kelber nicht ein Transparenzgesetz? 29. Tätigkeitsbericht für 2020 auf Seite 10 Ich empfehle dem Gesetzgeber die Weiterentwicklung des Informations­freiheits­gesetzes in Richtung eines Transparenz­gesetzes. .... Da gehören meiner Meinung nach solche – wie man in der freien Wirtschaft sagen würde – Key-Performance-Indikatoren (KPIs) unbedingt hinein. Daher können auch unabhängige Seiten wie das DSGVO Portal und GDPR Enforcement Tracker keine wirkliche Transparenz bringen. So fällt beispielsweise auf, dass Spanien fast zehn mal so viele Bußgelder veröffentlicht hat als Deutschland, nur in der Höhe sind die von Deutschland verhängten höher. Das kann aber verschieden Ursachen haben. Die Veröffentlichungsmuster der Aufsichten sind sehr unterschiedlich. Und Spanien ist auch ein Sonderfall: Die Aufsicht war dort schon vor der DSGVO als Profitcenter organisiert und hat sich aus den Strafen finanziert. Klar dass man dann mehr Biss entwickelt. Da muss man nur die Parallele zu den fehlenden Steuerfahndern in Deutschland sehen...

Insgesamt muss ich raten:

• Die Aufsichten haben möglicherweise zu wenige Experten, was die Datenverarbeitung in Unternehmen angeht. Als langjähriger SAP-Mitarbeiter und Freiberufler in der Informationstechnik habe ich da vermutlich einen besseren Einblick. Aber die Aufsichten könnten sich ja zumindest Verfahrensverzeichnisse geben lassen und an die Betroffenen weiterreichen.
• Die Aufsichten sind möglicherweise überlastet – aber meines Wissens dürfen sie nach Artikel 52 DSGVO ihren Haushalt selbst bestimmen, haben also theoretisch unbegrenzte Ressourcen, und analog Steuerfahndern würde ich vermuten dass sich mehr Leute auch bezahlt machen würden – zumindest wenn man auch mal Strafen verhängt.
• Die Aufsichten haben möglicherweise Angst sich mit Unternehmen anzulegen, die dann vielleicht vor Gericht gehen. Aus eigener Erfahrung: Unternehmen finden ganz leicht einen Rechtsbeistand, Betroffene nicht. Dazu auch: Stefan Hessel, Moritz Schneider: "Inspector Gadget ermittelt? – Zur Unzulässigkeit von Produktwarnungen durch die Datenschutzaufsichtsbehörden", K&R 2/2022, S.82-86
• Große Verantwortliche sitzen regelmäßig mit der zuständigen Aufsicht zusammen – und wenn dann doch Beschwerden kommen, wie z.B. bei Vodafone, DPD, oder der Deutschen Bahn, dann tut man sich anscheinend auf beiden Seiten schwer dem nachzugehen.
• Die Beauftragten und Mitarbeiter sind mit Politikern und Lobbyisten bestens vernetzt, denn natürlich wollen auch sie Karriere machen. So ganz unabhängig sind sie damit nicht. Siehe dazu P. Schütz und M. Karaboga in A. Busch, Y. Breindl, T. Jakobi (Hrsg.) "Netzpolitik", Springer Fachmedien, Wiesbaden 2019, Kapitel 3.4 Datenschutzbehörde.
• Es gibt keinen Anreiz für Betroffene zu entscheiden oder sich mit Strafen verdient zu machen. Im öffentlichen Bereich gibt es auch keine Strafen (§43 (3) BDSG) – das scheinen einige öffentliche Stellen als Freibrief zu sehen, den Datenschutz zu ignorieren.
• Keine Entscheidung erscheint da wohl besser als Partei zu ergreifen. Das würde auch erklären, warum mehrere Beschwerden erst im zweiten Anlauf bearbeitet wurden.
• Oder man bestraft die kleinen und lässt die großen laufen. Dafür ein Beispiel: eine Privatperson wird bestraft, weil sie mit unverschlüsselter Email eine Anzeige erstattet. Es wird nicht etwa die Behörde verdonnert, Verschlüsselung anzubieten. Aber nicht ganz überraschend Sachsen-Anhalt – das Schlusslicht in meinem Test Emailsicherheit bei öffentlichen Einrichtungen – da konnte ich mir eine Anfrage beim Landesbeauftragten nicht verkneifen.

Auch wenn ich rate, Betroffen von Datenschutzverstößen – Was kann ich tun? vom Netzwerk Datenschutzexpertise kommt zu sehr ähnlichen Problemfeststellungen und teilweise auch Schlussfolgerungen.

Welche Alternativen haben wir?

Wir können natürlich statt uns an die Aufsicht zu wenden auch vor Gericht gehen. Nur ist das ohne Anwalt schwierig, und einen Anwalt finden, der Betroffene vertritt, ist auch ein großes Problem. Selbst dann entscheiden die unteren Gerichte oft erratisch, denn mit Datenschutz haben sie wenig zu tun. Dazu auch Max Schrems: Datenschutz skalieren, allerdings nur auf der Tonspur. Ganz ohne Klagen wird es aber nicht gehen – meine Vodafone Beschwerden wären im Sommer 2021 bereits abgeschmettert worden, wenn ich nicht parallel eine Klage laufen gehabt hätte. Möglicherweise helfen dann Untätigkeits- oder Verpflichtungsklagen gegen die Aufsicht – die ersten Schritte in dieser Richtung habe ich bereits unternommen.

Dann bräuchten wir dringend mehr Artikel 80 Organisationen. Artikel 80 erlaubt es Verbraucherorganisationen, die Interessen von Betroffenen gegenüber der Aufsicht zu vertreten. None of Your Business ist so eine Organisation, aber obwohl ich Fördermitglied bin und im Kontakt mit denen stehe – man muss sich fokussieren, und den öffentlichen Sektor klammert man explizit aus. Auch Digitalcourage – immerhin Mitglied im Bundesverband der Verbraucherorganisationen – könnte das machen, aber meine Anfrage dazu hat padeluun abgeschmettert.

Traurig aber wahr: unser Grundrecht auf Datenschutz, niedergeschrieben in Artikel 8 der Charta der Grundrechte der Europäischen Union, erodiert, und die in Absatz 3 genannte Stelle – sie ist nicht so unabhängig wie man sich das wünscht und sie sieht viel zu oft weg.

Natürlich nutze ich auch hier Anfragen um etwas Licht ins Dunkel zu bringen. Allerdings kann man schon am Datum erkennen, dass dieser Artikel doch einige Zeit reifen musste, bis er veröffentlicht wurde.