Sehr geehrter Herr Lindenberg,

 

vielen Dank für Ihre Mail und die Möglichkeit einer Stellungnahme, der wir hiermit gerne nachgehen.

 

Sie deuten in Ihrem Beitrag an, dass die Auskunft des HmbBfDI möglicherweise nicht vollständig sei (Zitat: „Ob die Auskünfte von Hamburg und Schleswig-Holstein vollständig sind ist auch nicht sicher, denn Kommunikation mit dem Verantwortlichen war in beiden Fällen nicht enthalten. Die kann aber auch gar nicht oder auf Papier stattgefunden haben – nur eine vollständige Akteneinsicht würde das offenbaren.). Dieser Aussage können wir so nicht zustimmen. Wie aus der Akte hervorgeht, hat der HmbBfDI im Zuge des Verfahrens sowohl Kontakt mit der Senatskanzlei Hamburg als verantwortliche Stelle am 11.02.2022, als auch mit Dataport als Auftragsverarbeiter nach Art. 28 DSGVO am 14.01.2022 aufgenommen. Wir bitten Sie daher, diese Aussage entsprechend zu korrigieren.

 

Im letzten Jahr haben den HmbBfDI über 4000 Eingaben erreicht und auch dieses Jahr ist die Verfahrenszahl weiterhin hoch. Unsere Mitarbeitenden bearbeiten die Beschwerden umgehend und setzen sich täglich für die Rechte der Petent:innen ein.  Eine individuelle Sachstandsmitteilung ist jedoch auf Grund der hohen Verfahrenszahl leider nicht immer zu gewährleisten. Damit die datenschutzrechtlichen Aufsichtsbehörden ein an sie herangetragenes Anliegen als Beschwerde gemäß Artikel 77 Datenschutzgrundverordnung (DSGVO) einstufen können, muss zudem feststehen, dass die Person, die das Anliegen vorbringt, "betroffen"  im Sinne des Artikels 77 DSGVO ist. Eine natürliche Person ist nach Artikel 77 DSGVO beschwerdebefugt und insofern "betroffene Person", wenn sie der Ansicht ist, dass eine Verarbeitung der sie selbst betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Den Aufsichtsbehörden müssen konkrete Angaben vorliegen, aus denen hervorgeht, dass Petent:innen eine solche betroffene Person im Sinne der DSGVO sind, bevor sie diese als Beschwerdeführende behandeln können. Erst nach der Feststellung ihrer Betroffenheit werden "Petent:innen" zu "Beschwerdeführenden" mit der Folge, dass die datenschutzrechtlichen Aufsichtsbehörden ihre Kommunikation mit denselben nach den Vorgaben der Artikel 77 und 78 DSGVO gestalten. Unabhängig von Ihrer Betroffenheit verwenden datenschutzrechtliche Aufsichtsbehörden Angaben von Petent:innen, die nicht Beschwerdeführer:innen sind, als Hinweise für ihre datenschutzrechtliche Aufsichtstätigkeit.

 

Datenschutzrechtliche Fragen hinsichtlich der Verwaltungsportale und des Nutzerkontos spielen in der Beratungspraxis eine wichtige Rolle in der Arbeit der einzelnen Datenschutzaufsichtsbehörden und auch in der Kontaktgruppe OZG der DSK (früher UAK Portallösungen). Die Kontaktgruppe tauscht sich dabei regelmäßig auch über die Erkenntnisse einzelner Behörden aus. Die Unterstellung, dass die Datenschutzaufsichtsbehörden sich in diesem Rahmen mit dem "Abwimmeln" von Beschwerden befassen würden, ist falsch und entbehrt jeder Grundlage.

 

Mit freundlichen Grüßen

 

Alina Feustel

Pressesprecherin | Referentin Medienbildung

 

Referat Zentrale Dienste und Information (Z)

Fachbereich Presse, Medienbildung und Information

 

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Ludwig-Erhard-Str. 22 · 20459 Hamburg
Telefon:   +49 (0)40 428 54-**** (Durchwahl)	+49 (0)40 428 54-**** (Zentrale)
Mobil:       +49 (0)176 428 653 74
E-Mail:      alina.feustel@datenschutz.hamburg.de Internet:   datenschutz-hamburg.de

Abhängig vom Anlass Ihrer oder unserer Kontaktaufnahme werden Ihre personenbezogenen Daten von uns verarbeitet. Nähere Informationen dazu erhalten Sie hier oder auf Nachfrage bei unserer behördlichen Datenschutzbeauftragten.
Bitte beachten Sie auch, dass vertrauliche Informationen auf elektronischem Wege nur verschlüsselt an uns übermittelt werden sollten.

 

Informationen zum Thema Medienbildung des HmbBfDI finden Sie hier.

 

 

Sehr geehrte Beauftragte für den Datenschutz,

Christina Franke hat im August eine Auskunftsanfrage zusammen mit der Bitte um Standmitteilung und Akteneinsicht an Sie und weitere Aufsichten gerichtet, deren Reaktionen wir – Christina Franke und Joachim Lindenberg – gemeinsam ausgewertet haben. Die Reaktionen waren durchwachsen, einige haben überhaupt nicht reagiert. In Anbetracht der Fülle des Materials, das wir sichten durften, können wir nicht ausschließen, dass uns etwas durchgerutscht ist. Wir möchten Ihnen die Möglichkeit geben, vor unserer Veröffentlichung – geplant für den 20.09.2022 – Stellung zu nehmen, zu den von uns beobachteten Verstößen Ihrer Behörde gegen die DSGVO. Selbstverständlich dürfen Sie auch gerne fehlende Auskünfte und Unterlagen nachliefern.

Darüberhinaus hätten wir gerne konkrete Antworten auf die folgenden Fragen:

• Wieso erhalten wir (fast) nie ungefragt eine Standmitteilung nach Artikel 78 DSGVO?
• Wieso finden wir (fast) nie eine Kommunikation mit dem Verantwortlichen?
• Wieso wird Beschwerden nur nachgegangen, wenn der Betroffene erkennbar Druck macht?
  • Weil Sie lieber Betroffene abwimmeln als die DSGVO durchzusetzen?
  • Weil Sie Kollegen anderer Behörden nicht kritisieren wollen?
  • Weil Sie unterstellen, dass die DSGVO im öffentlichen Bereich wegen BDSG §43 III sowieso nicht eingehalten wird?
  • Weil Ihnen Artikel 32 (Sicherheit) nicht wichtig ist?
• Hat man sich tatsächlich im Arbeitskreis nur darüber ausgetauscht, wie man die Beschwerden am besten abwimmelt oder hat man sich dort auch über Erkenntnisse – vielleicht die von Hessen –  über die Sicherheit der Portale ausgetauscht?

Mit freundlichen Grüßen

Christina Franke und Joachim Lindenberg
(freier Journalist, Presseausweis beigefügt)