Datenschutz nur auf dem Papier? Klage und Rechtliches

Hallo zusammen,

Ich wende mich mit folgendem Anliegen an euch, mit der Hoffnung, dass du mir eventuell hier weiterhelfen kannst.

Ich bin Beschäftigter im Öffentlichen Dienst und zu meinen Aufgaben gehört unter anderem der Bereich Datenschutz und Datensicherheit.

Ich war zuletzt an einer Grundschule eingesetzt und habe dort meinen Aufgaben entsprechend die IT-Infrastruktur analysiert und begutachtet. Ich habe alle aus meiner Sicht problematischen und fehlerhaften Dienste aufgelistet und der zuständigen Stelle schriftlich mitgeteilt.

An der Schule (Grundschule) wurde und wird Microsoft 365 eingesetzt. Ich hatte dazu keine AVV und auch keine Datenschutz Folgeabschätzung gefunden. Es gab noch weitere zahlreiche Mängel.

Ich teilte der Schulleitung mit, dass die Verwendung von Microsoft 365 ohne AVV und Datenschutz Folgeabschätzung nicht datenschutzkonform ist und gegen geltende Gesetze verstößt. Auch teilte ich der Schulleitung mit, dass sie laut BASS verantwortlich für den Datenschutz ist und das Schulkinder besonders schutzbedürftig sind.

Dieses Thema interessierte die Schulleitung recht wenig, da die Schulleitung diese Software vom Schulträger (Stadt) angepriesen bekommen hat.
In dem Vertrag von der Stadt an die Schule, wo die Regelung von Microsoft 365 beschrieben wurde, wird der Schulleitung die alleinige Verantwortung zugeschrieben und auch schriftlich festgehalten, dass der Schulträger von der Verwendung von Microsoft und 365 abrät.

Nach einiger Zeit gab es offensichtlich schriftlichen Verkehr zwischen der lokalen Datenschutzbeauftragten und der Schulleitung. Hier wurde unter anderem auch das Thema Microsoft 365 besprochen. Es wurde daraufhin auch der Schulleitung schriftlich von der Datenschutzbeauftragten mitgeteilt, dass sie die benötigten Daten wie die AVV zur Verfügung stellen müsste.

Wie ich erst im Nachhinein erfahren habe, hat die Schulleitung offensichtlich meine schriftlichen Stellungnahmen zum Thema Datenschutz und Microsoft 365 zu Überprüfung an die Datenschutzbeauftragte geschickt und wollte von dieser wissen, ob das wirklich so problematisch ist. Daraufhin wurde die Datenschutzbeauftragte aktiv.

Es wurde danach die Schulaufsicht eingeschaltet, und es kam zu einem Gespräch zwischen Schulleitung, Schulaufsicht und meiner Person, wo mir der Vorwurf gemacht wurde, dass ich mit dem Thema Datenschutz extreme Unruhe ins System bringen würde.

Das kann ich zwar nachvollziehen, ist aber laut meiner Arbeitsaufgaben genau mein Arbeitsgebiet.

Nach diesem Gespräch wurden mir nach und nach alle Arbeitsaufgaben entzogen. Daraufhin habe ich alle Unterlagen, die Datenschutzverstöße aufzeigen, an das Hinweisgeberschutzgesetz gesendet. Dort war es über ein Jahr in Bearbeitung, bis es jetzt ans zuständige LDI überstellt wurde. Auch hier habe ich einen ausführlichen schriftlichen Bericht der passenden Stelle.
Dadurch, dass mir so gut wie alle Aufgaben entzogen worden sind und ich eine neue Dienstanweisung bekommen habe, die mich zum nichts tun verbannt hätte,
Ich wurde kurz darauf von meinem Arbeitgeber, unter vollen Bezügen freigestellt,

Da mir das Thema Datenschutz persönlich auch wichtig ist, habe ich immer versucht, die Wichtigkeit von Datenschutz und insbesondere den Datenschutz bei Kindern hervorzuheben und dafür zu werben, dass es auf Dauer gesetzeskonform und vor allem günstiger ist, wenn man datenschutzkonforme Software einsetzt.

Man wollte aus meiner Sicht durch die Freistellung bezwecken, dass man mich von dem Thema weghält und irgendwann an eine neue Schule versetzt.

Ich hatte am 1.7.2024 ein Auskunftsersuchen nach Art. 15 DSGV O an meine Schulleitung gerichtet.
Ich habe bis heute noch keinerlei Unterlagen erhalten.

Nach dieser Auskunftsanfrage wurden mir alle personalisierten Dienst E-Mails gelöscht, beziehungsweise ich habe keinen Zugang mehr zu den Konten.
Auch das wurde mir schriftlich von der Schulleitung bestätigt.

Nachdem ich keine Rückmeldung auf mein Auskunftsersuchen erhalten habe und meine Mail- und Cloud-Konten gelöscht wurden, habe ich das LDI angeschrieben.
Das war am 11. November 2024, hier habe ich nur die Bestätigung bekommen, dass meine Schreiben eingegangen sind und dass die Schulleitung angeschrieben wurde.

Ich habe jetzt Klage beim Arbeitsgericht eingereicht wegen des Auskunftsersuchen nach Art. 15 und meiner Mail-Löschung.

Ich habe hier unter anderem das Urteil vom Oberlandesgericht Oldenburg und das Urteil vom EGH beigefügt.

https://curia.europa.eu/juris/document/document.jsf?text=&docid=287303&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=ArbG%20Oldenburg&Datum=09.02.2023&Aktenzeichen=3%20Ca%20150%2F21

Vertreten lass ich mich hier bisher durch den DGB Rechtsschutz über meine

Es gab auch schon einen Gütetermin, wo der Richter vorgeschlagen hat, dass ich meine Daten bekommen sollte.

Persönlich habe ich, glaube ich, einen ganz anderen Bezug zum Thema Datenschutz. Ich sehe das als wichtiges Gut an und verweise hier oftmals auf Edward Snowden und seine Veröffentlichungen. Ich merke aber immer mehr, dass es den meisten Menschen vollkommen egal ist. Problematisch finde ich es nur, wenn öffentliche Stellen wie das Land und wie hier insbesondere bei Schulen nicht nur Unsummen für Software ausgeben, die nicht datenschutzkonform ist und dann noch mit unseren Daten bezahlen, während man das Geld besser in eigene Entwicklung gesteckt hätte.

Ich sehe in meinem Fall, was das für Kreise gezogen hat und kann auch verstehen, warum man mich so klein halten möchte.
Die Schule, an der ich die Missstände aufgedeckt habe, gehört zur Stadt und die Stadt hat für sämtliche Schulen für fünf Jahre Microsoft Lizenzen im großen Stil gekauft und befürchtet natürlich jetzt, dass diese Software nicht mehr eingesetzt werden kann, da die den gesetzlichen Bestimmung nicht entspricht, was aber zur Folge hat, dass die städtische IT-Abteilung Unsummen an Geldern verbraten hat.

Ich bin nach wie vor fest entschlossen, meine Situation rechtlich zu klären, weil ich finde dass viel zu wenige das Thema Datenschutz in die Hand nehmen und sich erst dann was bewegt, wenn auch Behörden Strafen zahlen müssen und dann ans Überlegen kommen.

Ich würde mich sehr freuen, wenn ihr mir hier hilfreiche Tipps geben könntest. Ich merke, dass bei dem Thema nur sehr sehr wenige Menschen wirklich Ahnung haben.
Deshalb wollte ich mich auch an euch wenden und nachfragen, ob ihr Vereine oder Stellen kennst, die einen bei solcher Prozessführung helfen könnten und das Thema Datenschutz ernst nehmen. VG

Du könntest dich an noyb wenden, vielleicht können die dir helfen oder gegebenenfalls an eine andere Stelle weiterleiten (ich vermute, dass sie gut vernetzt sind).

Moin,

Du könntest Dich an digitalcourage wenden, oder auch FragDenStaat. Beide Vereine sind sehr engagiert.

Gruß
w.

PS: …und bitte halte uns hier auf dem Laufenden. Hier gibt es viele Eltern schulpflichtiger Kinder und sicher auch Lehrkörper #FediLZ

Heftig! Aber mich wundert keine einzige Zeile von dem, was du schreibst! Bin im Lehrerkollegium auch eine absolute Randfigur.

Hallo zusammen,

vielen Dank für die Hinweise und die netten Worte. Ich werde berichten wie es weitergeht. Ich bin aber immer noch erschrocken, dass selbst Stellen wie das LDI nicht wirklich aktiv werden.

Du bist auf jeden Fall ein Verbrecher, der in in Dingen rumschnüffelt, wo er sich raushalten soll. Wer sich für Datenschutz einsetzt, hat was zu verheimlichen und steht somit unter Generalverdacht.
Dein Pech ist halt, dass du für eine öffentliche Behörde im Dienst warst und soviel Verfehlungen gefunden hast, dass die Verantwortlichen alle hinter Gittern müssten
Nicht wörtlich nehmen, aber warum sollte es dir besser gehen als mir? Zich Einrichtungeb ihre Lügen vorgehalten und keine musste mit Konsequenzen rechnen.
Im Gegenteil denen wird noch der Teppich ausgerollt
Behörden die eigentlich zur Aufsicht eingerichtet wurden, fungieren im Endeffekt als Anwalt, verteilen großzügig Absolution für die Firmen die wissentlich Datzenschutzgesetze mit Formulierungen wie „berechtigtes Interesse“ oder Mogel Ausnahme Regelungen genannt „EU-US Data Privacy Framework“ aushebeln.
Krankenkassen, Versicherungen, Banken und deren Scoring GmbHs dürfen sich selber Ausreden in Ihre Codes of Conduct hin phantasieren, wo man Datenschutz verstöße, als ihr täglich Brot darstellt.
Alles Legitmiert durch Bundesgesetze.
Mit anderen Worten die DSGVO, ist eine riesen große Datenschutzlüge und erwarten sollte man hier rein gar nichts ausser sehr viel Gegenwind wenn man die Wahrheit sagt.

Hi @Lockslay

Ich kenne leider niemanden und kann dir nicht helfen.

Ich möchte mich nur bei dir bedanken! Du hast nicht den einfachen Weg gewählt und du kämpfst hier für uns alle. Ich wünschte es gäbe mehr Menschen mit deiner Courage. Bitte mach weiter so!

<3

Toll und löblich Dein Vorgehen.

Da Du schon das OLG zitierst, lasse doch Deine RV prüfen ob entsprechend der Gang zum LG ggfs. VG, zeitgleich mit Arbeitsgericht, förderlich wäre, da es schon den Träger betrifft und dieser die Verantwortung nicht allein auf die Schule abwälzen kann.

Wir befinden uns noch in der Frühphase der Datenschutz-Ära und selbst wenn befunden werden sollte, dass das eher ein Klotz am Bein ist, ist jedes Engagement wichtig.
DANKE.

Hallo zusammen,

Es tut wirklich gut, so viele aufmunternde Nachrichten zu lesen.
Danke dafür.

Wenn ich aktuell zurückblicken würde, würde ich heute folgendes machen.
Ich würde einem Rat eines Bekannten folgen und von Anfang an einen guten Fachanwalt aufsuchen und auch etwas Geld in die Hand nehmen, um die Sache von Anfang an in die richtigen Bahnen zu leiten.

Was ich nicht mehr machen würde, ist die Angelegenheit der Gewerkschaft zu übergeben. Das hat mir gezeigt, dass diese von der Thematik offensichtlich keine Ahnung haben und auch kein wirkliches Interesse an solchen Verfahren haben.
Im Gegenteil, sie haben vieles schlimmer gemacht.

Mein Vertrauen in die öffentlichen Behörden wie LDI oder Datenschutzbeauftragten, ist mittlerweile vernichtend und hat mein politisches Denken komplett verändert.

Abschließend fällt mir folgendes Zitat ein,
Man kann sie nicht zwingen, die Wahrheit zu sagen man kann sie aber zwingend immer dreister zu lügen.

Leider habe ich bis heute von keinen Stellen wie digitalcourage und noyb eine Antwort erhalten.

Das versteh ich nicht ganz. Wer ist der Schulträger? Du schreibst „die Stadt hat für sämtliche Schulen für fünf Jahre Microsoft Lizenzen im großen Stil gekauft…“
Schulträger ist nicht die Stadt?

Du meinst Hinweisgeberstelle? https://bfj-hinweisgeberstelle.dataport.de/#/

Es werden die eigenen Interessen vertreten, das ist meist nicht der Datenschutz, sondern der eigene Vorteil…

Wenn du das weiter durchziehen willst, scheint doch eine gute profesionelle Hilfe (Rechtsanwalt, Datenschutz NGO) unerlässlich.
Die zu finden ist oft „Glücksache“.
Frage vielleicht mal https://www.kuketz-blog.de/mitwirkende/ bei Matthias Eberl und Lacrosse nach, wegen einer Empfehlung.

Hallo zusammen,

Ich möchte euch nur kurz mitteilen, dass das LDI NRW sich heute gemeldet hat. Wie schon geschrieben, hatte ich am 8.7.2024 ein Auskunftsversuch nach Art. 15 DSGVO bei meiner zuständigen Schule gestellt.
Bis heute habe ich keinerlei Daten erhalten, ich sollte einen USB Stick kaufen und diesen im Briefkasten einwerfen. Ich hatte schriftlich mitgeteilt, dass ich eine sichere und datenschutzkonform Übertragung der Daten möchte und habe meinen PGP Schlüssel
Angeboten.

Nun endlich, nach nur einigen Monaten hat sich das LDI folgendermaßen gemeldet:

ich komme zurück auf Ihre Beschwerde vom 11.11.2024. Die Stellungnahme der verantwortlichen Stelle liegt mir mittlerweile vor.

Die verantwortliche Stelle hat mitgeteilt, dass sie den Eingang Ihres Auskunftsersuchens am 08.07.2024 bestätigt und am 15.07.2024 um Fristverlängerung gebeten habe. Am 24.09.2024 habe die verantwortliche Stelle Ihnen mitgeteilt, dass Sie ihr bis zum 27.09.2024 mitteilen mögen, auf welchem Wege diese Ihnen die gewünschten Daten zukommen lassen solle. Da Sie keinen der angezeigten Wege zurückrückgemeldet hatten, sei eine Übermittlung der gewünschten Daten durch die verantwortliche Stelle bisher nicht möglich gewesen.

Insofern bitte ich Sie, der verantwortlichen Stelle selber mitzuteilen, auf welchem Wege Sie die gewünschten Daten erhalten möchten. Sollte die verantwortliche Stelle diesem nicht oder nicht vollständig nachkommen, können Sie sich gerne wieder an mich wenden. Sofern ich bis zum 30.06.2025 keine weitere Rückmeldung von Ihnen erhalte, gehe ich davon aus, dass Sie die gewünschten Daten erhalten haben und werde den Vorgang ohne weitere Nachricht schließen.

Mit freundlichen Grüßen

Im Auftrag

Mir ist es vollkommen neu, dass man mitteilen möchte, beziehungsweise muss, welchen Übertragungsweg man haben möchte. Das LDI NRW macht hier keine wirklich gute Figur, alleine die lange Zeitspanne zeigt, wie das LD arbeitet. Ich werde dem LD antworten, und mitteilen, dass diese Aussage nicht richtig ist, da ich bereits in der Vergangenheit ein Kommunikationsweg aufgezeigt habe. Grundsätzlich muss der Antragsteller aber nicht mitarbeiten, dass hier das L DI so argumentiert ist für mich höchst fraglich. Wie würdet ihr das Schreiben formulieren?

Ich vermute, dass man die Antwort an eine verifizierte (also dienstliche E-Mail) geschickt hat, die Du aber nicht mehr abrufen konntest.

Für mich bist du ein mutiger Held.

Datenschutz besteht nur auf dem Papier. Die DS-Behörden sind zahnlose Tiger und haben keine „Befugnisgewalt“, sind unterbesetzt und technisch schlecht ausgestattet.
Wäre die Datensicherheit und Anonymität der Bürger wichtig, gäbe es kein coudflare und Co. Die ganzen Ami-Mächte wären weg.
Es würden zumindest für Banken, KK, Anwälte und Behörden etc. eine E2E Verschlüsselung vorgeschrieben werden.
Klar, kein Interesse, erschwert ja das Ausspionieren der Bürger Da bekomme ich Brechreiz.
Jetzt schaffen sie Fax ab (ist ja altmodisch) und dann jagt man alle sensiblen Daten per E-Mail durchs Netz?
Es lebe die deutsche Digitalisierung. 1984 lässt grüßen.

Hast du hiervon gehört?
https://www.datenschutzticker.de/2024/07/eu-kommission-verklagt-edsb-wegen-microsoft-365/

Der Streit über die Nutzung von Microsoft 365 durch die EU-Kommission wirft grundlegende Fragen über Datenschutz, Datenübermittlung und die Nutzung von Cloud-Diensten in der EU auf. Während die EU-Kommission und Microsoft versuchen, die Maßnahmen des EDSB zu annullieren, steht die Integrität und Sicherheit personenbezogener Daten auf dem Spiel. Sollte der Gerichtshof der EU zugunsten der EU-Kommission und Microsoft entscheiden, könnte dies weitreichende Folgen für den Datenschutz in EU-Institutionen haben. Es könnte auch die zukünftige Nutzung von Cloud-Diensten wie Microsoft 365 für Privatunternehmen in der EU beeinflussen. Andererseits könnte eine Bestätigung der Position des EDSB zu strengeren Datenschutzrichtlinien führen und die Nutzung von US-basierten Cloud-Diensten weiter einschränken.

Oder das?
https://dr-dsgvo.de/microsoft/

BSI verklagt Microsoft
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Microsoft verklagt. Das BSI möchte Microsoft damit zwingen, Informationen zum „Security-Desaster“ herauszugeben. Das passierte im Mai 2024.

Das BSI ist nicht bekannt dafür, Unternehmen zu verklagen. Insofern ist der Vorgang bemerkenswert. Einige der Sicherheitsprobleme, die Zulasten von Microsoft gehen, sind im verlinkten Beitrag sowie folgend genannt.
…
Microsofts Datenhunger geht sogar so weit, dass das neue Outlook nur noch genutzt werden kann, wenn der Anwender damit einverstanden ist, dass Microsoft alle Mails mitliest und für das Training der Microsoft-KI verwendet. Dazu nutzt Microsoft auch Benutzernamen und Passwörter des dummen Nutzers.

Die Doku Das Microsoft Dilemma zeigte schon vor zig Jahren die Abhängigkeit auf. Sogar das Militär nutzt Windows.

Ich hatte mal div. deutsche und EU-Behörden mit webkoll gecheckt.
Die IP-Adresse von https://commission.europa.eu war zum Zeitpunkt
meines Testes 2600:9000:25f7:9800:c:f06:71c0:93a1 mit Sitz direkt in den USA!!

Noch Fragen Kienzle?

Hallo, wenn die das gemacht haben, entspricht das auch nicht den geltenden Regeln.
Die Daten müssen übertragen werden und der verantwortliche ist dafür zuständig, die Daten zu übertragen. Das ist dann eine Zustellung, die nicht erfolgt ist, weil ich kein Zugang zu den Daten habe.

@ Relaxo

Hallo, vielen Dank für deine Antwort.
Als Held sehe ich mich nicht, Helden sind Edward Snowden.
Ich bin nur ein Bürger, der seine Rechte ernst nimmt und feststellt, wie es in der Realität mit dem Datenschutz und dem einhalten von gesetzten aussieht.

Die Dokumentation das Microsoft Dilemma kenne ich und es spricht Bände.

Mittlerweile muss ich einsehen, dass ich der Datenschutz nicht wirklich gewollt ist. Wenn selbst die höchste Datenschutzbehörde in NRW solche Antworten schreibt, fällt einem nicht mehr viel ein.

Mittlerweile stehe ich auf dem Standpunkt, dass ich sie nicht zwingen kann, die Wahrheit zu sagen, aber ich kann sie zwingend immer dreist, dazu lügen.

Datenschutz und Daten Souveränität gehören zusammen, und wir haben uns vor Jahren politisch dazu entschieden, an Großkonzerne zu verkaufen. Es ist aus meiner Sicht politisch gewollt und zeigt mir, in welcher Situation wir hier stecken.

Aber umso mehr Menschen, ihre Rechte ernst nehmen, und das Thema Datenschutz, also den Schutz seiner persönlichen Daten ernst nimmt, wird eventuell sich etwas ändern.

Ein Held bist du für mich deshalb. Weil nicht jeder so konsequent ist, sich nicht einschüchtern zu lassen. Vor allem, wenn Repressionen die Konsequenz sind.
Die ganze Politik ist doch verlogen. Mitunter auch wegen Inkompetenz, mangelnde Information, mangelnde Transparenz (und Lobyyismus/Korruption). Die laufen wie die Lemminge. Und dann können sie nicht mehr zurück und ziehen den Stinkstiefel den sie verbockten durch.
Sie sind halt keine Helden, die zu ihren Fehlern stehen. Gute Fehlerkultur in Deutschland → Fehlanzeige, ist nicht vorhanden. Verschleiern, vertuschen, weglächeln…

Das Bewusstsein in der Bevölkerung scheint nicht hoch zu sein. Eher im Gegenteil. Die Leute sind genervt von den Cookiebannern. (Wird Zeit, dass hier ein einheitlicher vorgeschrieben wird, ist anscheinend in Arbeit)
Bezahlen gerne mit ihren Daten und lassen sich billig abspeisen (Pay Back etc.)
Viele finden es toll, dass sie passende Seiten und Werbeangebote bekommen.

Ein dt. Gericht hat dem Datenschutzbeauftragten das Klagerecht versagt.
Und ja, Datenschutz ist nicht gewollt. Bleibt zu hoffen, dass durch Trump auch hier ein Umdenken erfolgt und die EU sich aus den Fängen der US-Tech-Giganten befreit und endlich selbst eine Infrastruktur aufbaut. Oder zumindest europäische Alternativen nutzt. Die gibt es ja.

Das EU Parlament halte ich für ziemlich korrupt. Die Kommission ist es bestimmt auch. Ich denke da an Semroth von Die Partei und warum er den Job nicht mehr weiter machte.
Korruption bedeutet in seltenen Fällen schwarze Geldkoffer. Es sind Pöstchen und Netzwerke, die angeboten werden.

Es gibt ein völlig anderes Problem in deutschen Behörden.

Datenschutz spielt eine untergeordnete Rolle.

Wieso?

Weil es nur noch mehr Arbeit macht und viele Leute es als Belastung sehen.

Da du selber Ahnung von der Marterie hast und die Arbeit nicht nur auf dem Papier machst, solltest du eines Bedenken.

1. Zeige Fehler auf, ABER auch Lösungen,
2. zeige möglche Konsequenzen auf,
3. Biete Dich aktiv an und
4. scheiß nicht rum

Es stimmt wenn ich sage, dass Datenschutz in den Bereichen stiefmütterlich behandelt wird.
Natürlich wird dagegen geschossen.
Aber wenn wir nicht trotz aller Winde die uns entgegen stehen und der Steine die uns in den Weg gelegt werden, für den Datenschutz einsetzen, wer dann? Der nächste macht es nur auf dem Papier.

Beharr nicht auf deiner Meinung und mach dich nicht unbeliebt, auch zulasten des Datenschutzes.

Datenschutz in deutschen Behörden zu etablieren ist kein Sprint, den man mit aller Kraft und 100%iger Sicherheit sofort umsetzt.
Es ist ein langer und steiniger Weg, mit vielen Hürden, viel Blut, Schweiß und Tränen.

Das ist das was dir jemanden als Datenschützer aus einer deutschen Behörden mitgeben kann.

Bring die Leute dazu, dir auf langer Sicht zu vertrauen und mit dir an einem Strang zu ziehen.