Von: Joachim Lindenberg <*****@lindenberg.one>
Gesendet: 03.07.2024 17:41
An: 'Berliner Beauftragte für Datens chutz und Informationsfreiheit' <mailbox@datenschutz-berlin.de>
Betreff: AW: [File-Filter] Beschwerde wegen rechtswidrigem Consent-Banner und Einbindung Dritter ohne Einwilligung
Sehr geehrte Damen und Herren,
ich habe Ihnen als Anlage zur Beschwerde gezippter .har-Dateien mitgeschickt. Die enthalten die gesamte Kommunikation von mir mit der Webseite einschließlich aller Cookies und exakten Zeitstempeln. Genauer geht es nicht.
Meine IP-Adressen kann ich Ihnen gerne mitteilen:
IPv4-Adresse: 134.3.35.89
IPv6-Adresse: 2a02:8071:2200::1e61/64.
Und natürlich habe ich das ganze persönlich auf meinem Laptop durcherlitten, bin also Betroffener im Sinne von Artikel 77 DSGVO. Oder muss ich in drei Monaten erneut Untätigkeitsklage einreichen, damit Sie meiner Beschwerde nachgehen?
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Berliner Beauftragte für Datenschutz und Informationsfreiheit <mailbox@datenschutz-berlin.de>
Gesendet: Mittwoch, 3. Juli 2024 17:09
An: Joachim Lindenberg <*****@lindenberg.one>
Betreff: Re: [File-Filter] Beschwerde wegen rechtswidrigem Consent-Banner und Einbindung Dritter ohne Einwilligung
GeschZ.: 223
Möglicher Datenschutzverstoß auf www.sicher-im-netz.de
Ihre Eingabe vom 2. Juli 2024
Sehr geehrter Herr Lindenberg,
Ihre o. g. Eingabe, mit der Sie uns auf den Einsatz von Tracking-Techniken auf der Website www.sicher-im-netz.de aufmerksam machen möchten, haben wir erhalten.
Grundsätzlich kann sich jede Person gem. Art. 77 Datenschutz-Grundverordnung (DSGVO) bei einer Datenschutz-Aufsichtsbehörde beschweren, wenn personenbezogene Daten dieser Person von jemand anderem mutmaßlich rechtswidrig verarbeitet werden. Eine formale Beschwerde in diesem Sinne setzt jedoch voraus, dass die eigene individuelle Betroffenheit nachvollziehbar dargelegt wird. Andernfalls ist es regelmäßig nicht möglich, einen Verstoß konkret in Bezug auf die sich beschwerende Person nachzuverfolgen. Um einen konkreten, individuellen Rechtsverstoß im Zusammenhang mit Tracking-Techniken überprüfen zu können, ist z. B. relevant, welche IP-Adresse oder sonstige eindeutige Kennung der Person beim Besuch der Website zuzuordnen war, welche Informationen einer Person bei diesem Besuch zur Verfügung gestellt wurden, welche konkreten Cookies dabei auf dem Endgerät der Person gesetzt wurden, zu welchen Servern Dritter dabei Datenströme erkennbar waren und welche Einstellungen zu diesem Zeitpunkt z. B. in etwaigen Bannern getroffen wurden - nebst Dokumentation.
Wenn sich aus der Substantiierung von Beschwerdeführer:innen Anlass dazu ergibt, eine Website ausschnittsweise in Bezug auf die Daten einer einzelnen Person zu untersuchen, so kann ein individuelles Prüfverfahren eingeleitet werden, über dessen Verlauf und Ergebnis die betroffenen Personen von der Aufsichtsbehörde informiert werden würde.
Wenn potenziell betroffene Personen stattdessen allgemein auf generelle Defizite in Bezug auf Cookies und ähnliche Technologien hinweisen, so werten wir dies als Prüfanregung. In diesen Fällen gehen wir dem Einsatz von Cookies auf der Website und der damit einhergehenden Datenverarbeitung von Amts wegen nach. Bei derartigen Amtsprüfungen wird die Angelegenheit somit grundlegend und unabhängig von einer einzelnen Person überprüft.
Zwar haben Sie uns Screenshots zur Verfügung gestellt, die zeigen, dass Sie mit einem Browser-Werkzeug einige Datenströme und Cookies gemessen haben. Diese Screenshots bieten Anhaltspunkte für einen Gerätezugriff und hiermit zusammenhängende Datenverarbeitungen. Sie sind jedoch nicht geeignet, um eine rechtswidrige Datenverarbeitung konkret in Bezug auf eine individuelle Person nachzuweisen. Denn unter anderem ist den Screenshots nicht zu entnehmen, zu welchem sekundengenauen Zeitpunkt welcher konkrete Cookie mit welcher Bezeichnung, welchem Wert, welcher Laufzeit und welcher ID gesetzt wurde, welche Einstellungen zu diesem Zeitpunkt im Browser getroffen wurden usw. Hierfür bedürfte es mindestens einer Dokumentation der sog. Netzwerkanalyse beim Besuch der Website.
Dies hat folgenden Hintergrund: Wir erhalten eine stetig steigende Anzahl von Beschwerden zum Einsatz von Tracking-Techniken auf Websites. Diese werden im Rahmen der personellen Kapazitäten in einer Reihenfolge bearbeitet, die davon abhängt, welches Ausmaß an potentiellen Mängeln besteht, wie stark eine Website frequentiert ist (d. h. viele Personen potentiell betroffen sind) und ob besondere Kategorien von Daten oder besonders schutzbedürftige Personenkreise (z. B. Minderjährige) betroffen sind. Da bedauerlicherweise sehr viele Websites deutliche datenschutzrechtliche Mängel aufweisen, mit teils hunderten problematischen Drittdiensten, können viele Eingaben nur mit Verzögerung bearbeitet werden. Wenn letztlich eine Individualprüfung begonnen wird, dauert das Verfahren auch deshalb geraume Zeit, da die Prüfungen inhaltlich komplex und aufgrund formaler Vorgaben langwierig sind. Unter anderem muss einem Websitebetreibenden stets rechtliches Gehör eingeräumt und Stellungnahmen aufwändig ausgewertet werden.
Trotz des hohen Beschwerdeaufkommens muss die BlnBDI sicherstellen, dass wir allen Menschen und Stellen, die sich an uns wenden, in gleichem Maße zur Seite stehen können. Hinzu kommt, dass wir über die Bearbeitung von Beschwerden und Anfragen hinaus noch eine Reihe von weiteren relevanten Aufgaben wahrnehmen. Gemäß Art. 57 Abs. 1 DSGVO zählt hierzu u. a. die Aufklärung der Öffentlichkeit, Sensibilisierung der Verantwortlichen, Begleitung von Gesetzgebungsverfahren, Zusammenarbeit mit anderen Aufsichtsbehörden.
Vor diesem Hintergrund werten wir Ihr Schreiben als allgemeine Prüfanregung. Wir möchten uns hiermit für Ihren Hinweis bedanken und werden der von Ihnen angedeuteten Thematik im Rahmen unserer Kapazitäten von Amts wegen nachgehen, jedoch diesbezüglich keinen weiteren Schriftverkehr mit Ihnen führen. Unabhängig davon, ob ein individuelles Beschwerdeverfahren oder eine allgemeine Amtsprüfung durchgeführt wird, ist damit zu rechnen, dass die Bearbeitung geraume Zeit in Anspruch nehmen wird, wofür wir um Ihr Verständnis bitten.
Mit freundlichen Grüßen
Informations- und Beschwerdestelle
Am 02.07.24 um 11:50 schrieb Joachim Lindenberg:
Sehr geehrte Damen und Herren,
ich darf eine weitere Beschwerde gegen Deutschland sicher im Netz einreichen. Das Consentbanner und die Integration von Diensten Dritter sind in meinen Augen rechtswidrig und verstoßen damit gegen §25 TTDSG sowie Artikel 5, 6 und 7 der DSGVO. Ich darf den Decareto-Report beifügen und kann aufgrund eigener Nutzung und damit Betroffenheit bestätigen, dass Youtube ohne Einwilligung von meinem Besuch erfährt (.har Dateien meines Besuchs anbei).
Vielen Dank und viele Grüße
Joachim Lindenberg
--
Berliner Beauftragte für
Datenschutz und Informationsfreiheit
Informations- und Beschwerdestelle
Berlin Commissioner for
Data Protection and Freedom of Information
Front Office
Tel.: + 49 30 13889-0
Fax: + 49 30 215 50 50
E-Mail: mailbox@datenschutz-berlin.de
www.datenschutz-berlin.de
Alt-Moabit 59-61
10555 Berlin
Eingang/Entrance: Alt-Moabit 60
--------------------------------------------------------------------
Wir verarbeiten personenbezogene Daten zur Erfüllung unserer Aufgaben als
Datenschutzaufsichtsbehörde auf Grundlage von § 40 Abs. 3 Bundesdatenschutzgesetz
und § 13 Abs. 6 Berliner Datenschutzgesetz.
Für die Bearbeitung von Angelegenheiten nach dem Berliner Informationsfreiheitsgesetz
verarbeiten wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. e Datenschutz-
Grundverordnung in Verbindung mit § 18 Berliner Informationsfreiheitsgesetz.
Einzelheiten hierzu können Sie unserer Datenschutzerklärung entnehmen, die Sie unter
der Adresse https://datenschutz-berlin.de/datenschutzerklaerung.html abrufen können.
--------------------------------------------------------------------
We process personal data in order to fulfil our duties and responsibilities as a data protection
supervisory authority. This is done on the basis of § 40 para. 3 Federal Data Protection Act
as well as § 13 para. 6 Berlin Data Protection Act.
To deal with matters in accordance with the Berlin Freedom of Information Act we process
personal data on the basis of Art. 6 para. 1 lit. e General Data Protection Regulation in
conjunction with § 18 Berlin Freedom of Information Act.
Further information can be obtained in our privacy declaration, which is accessible via
www.datenschutz-berlin.de/datenschutzerklaerung.html