Ich möchte mal kurz von meinen persönlichen Erfahrungen mit einigen Datenschutzaufsichtsbehörden berichten. Zu beachten, es werden meine subjektive Erfahrungen, welche ich persönlich gemacht widergespiegelt und diese können ggf. von Erfahrungen anderer Betroffener abweichen.
Mich würde mal interessieren ob sich meine Erfahrungen auch mit denen Anderer decken.
Auch ist mir aufgefallen, anscheint sind die Datenschutzaufsichten im europäischen Ausland nicht, wie in Deutschland, föderal organisiert.
Commission Nationale de l’Informatique et des Libertés (CNIL) - Frankreich
Lange Bearbeitungsdauer
Teils als bagatellisierend empfunden
Garante per la protezione dei dati personali (GPDP) - Italien
Auf zwei Eingaben nach eineinhalb Jahren noch keine Antwort, auch keine Eingangsbestätigung
Das Unabhängige Landeszentrum für Datenschutz (ULD) - Schleswig-Holstein
Sachverhalten wird nachgegangen, auch den ggf. individuell gelagerten
Bearbeitung und Entscheidung durchaus sehr abhängig vom Sachbearbeiter
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) - Hamburg
Sehr präzise, strukturiert und genau
Durchaus lange Bearbeitungszeiten
Einige Sachbearbeiter greifen auch mal hart durch (Verwarnung, Zwangsgeld, Bußgelder, Erlass Auskunftsheranziehungsbescheid), wenn es sein muss
Die Landesbeauftragte für den Datenschutz (LfD) - Niedersachsen
Wirkt schleppend
Individuellen Sachverhalten wird i.d.R. nicht nachgekommen, wenn kein allgemeines öffentliches Interesse zugrunde liegt
Berliner Beauftragte für Datenschutz und Informationsfreiheit - Berlin
Hin und wieder Büroversehen vorgekommen
In der Sachverhaltsaufklärung genau
Auch mal durchgreifend (Verwarnungen), falls erforderlich
Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg - Brandenburg
Langsame Bearbeitung
Freundlicher Austausch
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI) - Nordrhein-Westfalen
Sehr präzise und gründlich
Jeder Eingabe wurde bisher nachgegangen, auch ohne direktem öffentlichen Interesse
Gute Tipps auch für den Betroffenen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit - Hessen
Sehr bagatellisierend, ggf. teils befangen (fehlende Neutralität)
Auch sehr vom Sachbearbeiter und dessen Motivation abhängig
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) - Bayern
Teilweise keine Antworten auf Eingaben / Rückmeldungen
Andererseits auch sehr an einer Aufklärung in einigen Fällen interessiert
Sehr zeitintensiv
Griff trotz gravierender Verstöße zu lasch durch
Der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg (LfDI) - Baden-Württemberg
Zu viel Untätigkeit, i.d.R. keine Antworten auf Mails
Eingaben gehen unter, wenn man nicht wiederkehrend nachhakt
Das hat den Sinn, das Ausmaß des Staatsversagens auszuloten.
[Bearbeitet: Ergänzung zugefügt]
Zum zwejährigen Jubiläum der Datenschutz-Grundverordnung attestierte der Bundesdatenschutzbeauftragte Kelber dem Datenschutzaktivisten Max Schrems, er habe in den vergangenen Jahren mehr bewirkt als alle europäischen Aufsichtsbehörden zusammen. Kurz darauf war von Max Schrems zu hören, dass er trotz seiner Erfolge vor dem Europäischen Gerichtshof, nüchtern betrachtet, nichts bewirkt habe. Das Problem: Beide haben recht.
Ich bewundere dich für deine Leidensfähigkeit, toca. Meine Erfahrungen sind im Vergleich zu deinen spärlich:
Commission nationale pour la protection des données des Großherzogtums Luxemburg
Bestätigung der Zuständigkeit per E-Mail innerhalb von vier Stunden. Weder auf eine konkrete Beschwerde als Betroffener noch auf Anfragen meinerseits als Medienvertreter wurde jemals geantwortet. Mehrfaches Nachhaken wurde ignoriert.
Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Nach drei jeweils unbearbeiteten Beschwerden hat sich bei mir der Eindruck eingestellt, dass hier Arbeitsverweigerung System hat. Auch wenn es um kommunale Unternehmen wie die Hamburger Müllabfuhr oder den Hamburger Verkehrsverbund geht, wird die Behörde nicht tätig.
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Keine formelle Beschwerde eingereicht, sondern mit der Pressestelle Kontakt wegen eines in Berlin ansässigen Unternehmens aufgenommen. Die Auskunft: Dieses Unternehmen überprüfen wir gerade. Ein gutes halbes Jahr darauf noch einmal nachgehakt, nur um zu erfahren, dass immer noch geprüft werde. Noch einmal ein Jahr später bekam das fragliche Unternehmen den Big-Brother-Award verliehen, die Laudatio hielt Dr. Thilo Weichert. Vielleicht hat das die Überprüfung ja doch beschleunigt.
European Data Protection Supervisor
Eine Beschwerde eingereicht, wurde sehr zügig bearbeitet.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Eine Beschwerde eingereicht, wurde nach ein paar Monaten akkurat bearbeite
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Eine Beschwerde eingereicht und kurz darauf wieder zurückgezogen, weil des fragliche Unternehmen seinen datenschutzrechtlichen Verstoß korrigiert hatte. Reaktion des ULD: Beschwerde zurückziehen ist nicht, wenn wir prüfen, prüfen wir. Ach, wenn nur alle amtlichen Datenschützer so engagiert wären …
Mein Eindruck ist, dass die Datenschutzaufsichtsbehörden – ebenso wie auch viele Unternehmen – nur um des Meckerns Willen mit Beschwerden bzw. mit Auskunftsersuchen belästigt werden.
Falls sich der Europäische der Rechtsansicht des Generalanwalts anschließt, wonach ein Datenschutzverstoß nur dann eine Schadenersatzpflicht begründet, wenn der Verstoß für die betroffende Person nicht nur ärgerlich ist, sondern ein Unmutsgefühl verursacht hat, das nach der Rechtsordnung des betreffenden Mitgliedsstaats als immaterieller Schaden angesehen werden kann; Rn. 117. Interessant ist übrigens auch, dass der Generalanwalt in seinem Schlussantrag betont, dass die DSGVO gleichberechtigt den Schutz personenbezogener Daten bezweckt wie auch die Förderung des freien Datenverkehr; Rn. 78.
Niemand sagte es ginge ausschließlich um Auskunftsersuchen. Es gibt auch Fälle, wie bei mir, da wurde die Aufsichtsbehörde bei anderen Fällen hinzugezogen. Bei wir waren es beispielsweise unzureichende / fehlende Verschlüsselung in Portalen, Möglichkeit des Zugriff auf fremde personenbezogene Daten, rechtswidriges Profiling oder unzulässige Werbung, kein Hashen der Kennwörter in Datenbanken, Einbindung nicht notwendiger externer Tracker auf Webseiten oder in Apps, unzulässige Weitergabe personenbezogener Daten an Dritte, unzulässige obligatorische Abfrage personenbezogener Daten, anlasslose Vorratsdatenspeicherung, unzureichende technische und organisatorische Maßnahmen, veraltete / unsichere Software, wie auch fehlende Aufklärungen der betroffenen Person.
Auskunftsersuchen stelle ich persönlich nur noch in begründeten Ausnahmefällen. Es ist einfach müßig und nervenaufreibend wenn Verantwortliche dem Ersuchen nicht oder nur unzureichend nachkommen. Nach meiner Erfahrung ist es hier auch sinnvoller selbst beispielsweise mit Klage vorzugehen, statt über die Rechtsaufsicht.
Es mag aber sicherlich auch Kandidaten geben die Auskunftsersuchen nur stellen um den Verantwortlichen möglichst viel Arbeit zu machen, Kosten zu verursachen und weil sie selbst keinen höheren Sinn in ihrem Leben sehen.
Mit Eindrücken ist das so eine Sache … Ich bevorzuge Fakten. Um nur mal ein Beispiel herauszugreifen: Wenn der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit nicht tätig wird, wenn die Website der Hamburger Stadtreinigung in weiten Teilen nicht nutzbar ist, ohne dass personenbezogene Daten an einen US-amerikanischen Konzern übertragen werden, wäre eigentlich eine Untätigkeitsbeschwerde fällig. Alternativ ließe sich natürlch auch über die Abschaffung einer Behörde nachdenken, die ihren Auftrag offensichtlich nicht sonderlich ernst nimmt
Tatsächlich glaube ich, dass die Behörden überlastet sind. Dies geben sie selbst zu.
Die realen Personalausstattungen sind meist nicht bekannt, aber ich schätze die Fälle, die bearbeitet werden sollten oder müssten, sind zahllos…
Aus eigener Erfahrung weiß ich auch und kann Vatolin zustimmen, dass eine Reihe Beschwerden die Datenschutzbehörden erreichen, in denen es eigentlich primär gar nicht um den Datenschutz geht, sondern z.B. um Sorgerechtsstreitigkeiten, um Mobbing vom AG oder den Versuch, dem AG eins auszuwischen, weil man sich im Streit trennte oder auch nur um Mißverständnisse in der Kommunikation…
Das ist unbestreitbar so. Allerdings gibt es durchaus auch in anderen Bereichen unangebrachte Belastungen von Behörden. Zahllose Strafanträge werden beispielsweise aus nichtigem Anlass gestellt – ohne dass es dazu führt, dass Tötungsdelikte und Vergewaltigungen nicht mehr verfolgt werden.
Zudem ist fraglich, wieso manche Datenschutzbehörden eine gute Bearbeitungsquote vorweisen können, andere bei vergleichbarem Personalstand nicht – liegt das nur an den unterschiedlichen Querulanten-Quoten in verschiedenen Bundesländern?
Bei Blick auf die EU kommen noch andere Faktoren ins Spiel. Luxemburg und Irland sind nicht nur „safe havens“, wenn es um Steuervermeidung von Konzernen geht, sondern auch bei der Vermeidung der Datenschutz-Grundverordnung. Hier geht es um geplante (und höchst erfolgreiche) Datenschutz-Sabotage.
Meine Erfahrung mit dem Bundesdatenschutzbeauftragen:
Ein Jahr Bearbeitungszeit für eine relative kleine Sache, Beschwerde am Ende abgelehnt. Sinngemäß „Also korrekt war das jetzt nicht, was der Beschwerdegegner gemacht hat, eine plausible Erklärung hatte er auch nicht, aber so richtig illegal war es jetzt auch nicht. Beschwerde abgelehnt.“
Ich muss zugeben, dass ich die Sache zu dem Zeitpunkt schon lange abgehakt hatte, daher habe ich mir eine weitere Diskussion mit dem BfDI gespart.
Zahllose Strafanträge werden beispielsweise aus nichtigem Anlass gestellt – ohne dass es dazu führt, dass Tötungsdelikte und Vergewaltigungen nicht mehr verfolgt werden.
Deine Aussage geht insofern fehl, als dass der Vergleich unpassend ist. Es werden diverse Delikte nicht (mehr) nennenswert verfolgt, weil schlicht keine Ressourcen dafür verfügbar sind. Dass es sich dabei nicht gerade im Kapitalverbrechen handelt, erklärt sich von selbst. Aber der Verfolgungsdruck bei Eigentumsdelikten ist je nach Bundesland ausgesprochen gering. Es sei denn, man der Geschädigte ist der Staat…
Aber das ist ein Thema für einen eigenen Thread bzw. ein anderes Forum.
Im Vergleich zu den Verfahrensdauern bei Polizei/StA/Gericht sind die Datenschutzbehörden geradezu schnell. Ein Jahr ist doch fast sofort. Schneller können Menschen einfach nicht. Gleichzeitig werden digitale Lösungsansätze wie etwa das automatische Cookie-Banner-Prüfsystem von NOYB (1) verhindert durch die gesetzliche Gestaltung der Behörden (reaktiv statt proaktiv) .
BayLDA - bisherige Erfahrung in der Zusammenarbeit als DSB: zwei gemeldete Datenpannen wurden mit der Begründung „getroffene Maßnahmen sind ausreichend“ eingestellt. Beide Datenpannen wären nach meiner Einschätzung bußgeldbewehrt, da diese Aufgrund unzureichender TOM eingetreten sind… Seither sieht der Verantwortliche das Thema Datenschutz recht „locker“ und mein Standpunkt im UN hat sich verschlechtert (Panikmache).
Was hieltest du davon, wenn eine Aufsichtsbehörde eine Eingabe deinerseits als „Meckern um des Meckerns Willen“ abtäte?
Du kennst doch die Inhalte gar nicht, die unsere Mitforisten dazu brachten, Eingaben zu machen?
Nehmen wir an, du erlebst, wie ein Nachbarkind pausenlos misshandelt und geschlagen wird und wendest dich letztlich an das Jugendamt …
Du erlebst, wie eine Arztpraxis Akten regelmäßig in einem öffentlich zugänglichen Papiercontainer beim nahegelegenen Supermarkt entsorgt, so dass Arztbriefe gelegentlich auf dem Supermarktparkplatz im Wind herumfliegen … ?
Und mit einer Schadensersatzpflicht gegenüber einem konkret Betroffenen hat das gar nichts zu tun, es geht zumeist um Bußgelder und Unterlassungs- bzw. Beseitigungsverfügungen.
Datenschutzverstoß per Webformular gemeldet.
Rückfrage nach weiteren Informationen innerhalb weniger Tage, nach knapp 4 Wochen kam die Info, dass die betroffene Firma gerügt wurde (empfand ich als angemessene Reaktion).
Schneller können Menschen einfach nicht. Gleichzeitig werden digitale Lösungsansätze wie etwa das automatische Cookie-Banner-Prüfsystem von NOYB (1) verhindert durch die gesetzliche Gestaltung der Behörden (reaktiv statt proaktiv) .