Hessische Datenschutzbehörde hoffnungslos überlastet!
Zuletzt aktualisiert am 18. Oktober 2019 durch Jürgen Voskuhl
Das die hiesigen Datenschutzbehörden hoffnungslos überlastet sind, war zumindest von Sachsen, Mecklenburg-Vorpommern und Hamburg bereits bekannt.
Aus erster Hand kann ich dies aufgrund eines aktuellen Vorgangs nun auch für den Hessischen Beauftragten für Datenschutz und Informationsfreiheit bestätigen. Musste es soweit kommen?
Außerdem in diesem Beitrag:
- Verstoss gegen Artikel 7 der DS-GVO – ein Praxisbeispiel
- Warum Prozessmanagement wichtig ist
- Warum wir auf die nächste Datenschutzkonferenz gespannt sein dürfen
Archivbild
Was ist vorgefallen?
Ende Januar bin ich auf ein Adobe-Bestellformular gestoßen, welches offensichtlich gegen Artikel 7 der Datenschutz-Grundverordnung (DS-GVO) verstößt. Hier zunächst das Formular:
Im unteren, von mir gelblich hinterlegten Bereich des Formulars geht es augenscheinlich um eine Newsletter-Anmeldung. Interessant ist der zur Checkbox gehörende Text im roten Rahmen: "Bitte kontaktieren Sie mich nicht per E‑Mail." Im Klartext: Ich muss die Checkbox aktivieren, um keine E‑Mails von Adobe zu erhalten. Dies stellt somit ein Opt-Out-Verfahren dar!
Warum Opt-Out-Verfahren gegen die DS-GVO verstoßen
Artikel 7 der DS-GVO fordert für jede Form der Datenverarbeitung eine "Einwilligung durch eine eindeutige bestätigende Handlung". Aber was genau ist eine eindeutige bestätigende Handlung?
Praktischerweise gibt es zur DS-GVO eine Zusammenstellung sogenannter Erwägungsgründe. Diese dienen als Hilfestellung zur Interpretation der DS-GVO-Artikel. Im Zusammenhang mit Artikel 7 der DS-GVO steht der Erwägungsgrund 32. Darin (Satz 3) heißt es: "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen."
Soviel zum Sachverhalt.
Ich habe diesen Sachverhalt verwendet, um mal zu schauen, wie es denn um die Überlastung der Hessischen Datenschutzbehörde in Wiesbaden bestellt ist.
Am 29. Januar habe ich also eine formelle Beschwerde beim Hessischen Beauftragte für Datenschutz und Informationsfreiheit eingereicht, und zwar über das eigens dafür bereitgestellte Formular.
Höflicherweise habe ich auch Adobe über den Sachverhalt in Kenntnis gesetzt. Sie haben also eine Chance…
Fünf Wochen – für eine Eingangsbestätigung
Am 6. März, also mehr als fünf Wochen später, habe ich eine E‑Mail der Poststelle erhalten. In dieser E‑Mail bestätigt man mir den Eingang meiner Beschwerde, bittet unter Hinweis auf die Vielzahl der eingehenden Beschwerden und Anfragen um mein Verständnis für die verzögerte Bearbeitung – und bittet mich außerdem, Unterlagen und Nachweise vorzulegen.
Fehlendes Prozessmanagement
Was der Hessichen Landesdatenschutzbehörde offensichtlich fehlt, ist ein Prozessmanager. Der hätte nämlich im Rahmen einer Prozessanalyse schon längst erkannt, das "Unterlagen und Nachweise" vermutlich in den allermeisten Fällen nachgereicht werden müssen – und das betreffende Formular von vornherein mit einer Upload-Möglichkeit ausgestattet.
Sicher, das ist nur eine Kleinigkeit. Die hätte mir aber eine Antwort-E-Mail mit dem betreffenden Screenshot erspart – und damit Zeit.
Würde es sich um ein Unternehmen und meinen Kunden handeln, würde ich ihm an dieser Stelle erklären, dass das Unternehmen durch diese Formulargestaltung die Zeit seiner Kunden verschwendet.
Aber es handelt sich um eine Behörde – und nein, ich gehöre nicht zu den Heerscharen von Beratern, die in staatlichem Auftrag unterwegs sind.
Die Chronologie der DS-GVO
Kommen wir aber nun zum Kern dieses Beitrags: Eine Behörde benötigt mehr als fünf Wochen für eine simple Eingangsbestätigung (Adobe hat übrigens ebenfalls bis heute weder reagiert, noch das Formular geändert). Waren derartige Bearbeitungszeiten abzusehen oder sind sie schlichtweg unvermeidbar?
Im Zusammenhang mit der DS-GVO wird fast immer der 25. Mai 2018 genannt. Dabei handelt es sich aber lediglich um das Datum der Anwendbarkeit der Verordnung. Vom EU-Parlament beschlossen wurde die DS-GVO bereits am 14 April 2016. Die Veröffentlichung im Amtsblatt der Europäisches Union erfolgte am 4. Mai desselben Jahres. Damit trat die Verordnung bereits am 25.05.2016 in Kraft.
Alle Betroffenen – Unternehmen ebenso wie staatliche Stellen – hatten also zwei Jahre Zeit, sich auf die Anwendung der DS-GVO vorzubereiten.
Das viele Unternehmen zu Beginn dieser zweijährigen Übergangsfrist hinsichtlich der Umsetzung der DS-GVO nur wenig getan haben, ist aus meiner Sicht verständlich: Schließlich gehört Datenschutz nicht unbedingt zum unmittelbaren Kerngeschäft eines Unternehmens.
Das Kerngeschäft einer Datenschutzbehörde ist aber zweifellos der Datenschutz – und somit auch jede proaktive Maßnahme, die zur Erfüllung der Aufgaben unabdingbar ist.
Planlos in die Zukunft
Wenn man weiß, das in zwei Jahren eine neue Verordnung angewendet werden soll, die zum Einen viele Fragen bei Unternehmen und Bürgern aufwerfen und außerdem zahlreiche Kontrollen erforderlich machen wird, lässt dies aus meiner Sicht nur eine Maßnahme zu: Mitarbeiter einstellen und ausbilden.
Dies ist jedoch nicht erfolgt. Allerdings ist das nicht den Behördenleitern anzulasten, das Gegenteil ist der Fall: Wie man diesem Beitrag entnehmen kann, haben die Behörden durchaus auf ihren Personalbedarf hingewiesen – mit zum Teil hanebüchenen Ergebnissen!
Beispiel Sachsen: Zu 22 bestehenden Vollzeitstellen waren 15 Vollzeitstellen als zusätzlicher Bedarf ermittelt worden. Mittelfristig wurden dort vier(!) Stellen bewilligt.
Mecklenburg-Vorpommerns Datenschutzbehörde hat nach wie vor 21 Mitarbeiter. Der dortige Landesrechnungshof empfahl der Behörde, "andere Datenschutzbeauftragte um Amtshilfe zu bitten". Behördenleiter Heinz Müller dazu: "Das ist so intelligent wie der Ratschlag an einen Bettler, einen anderen Bettler um Kredit zu fragen.".
Die Personalsituation in den Landesdatenschutzbehörden ist ein weiteres Beispiel für das Versagen der Politik.
Selbstanzeige bei der EU-Kommission?
Artikel 78 Abs. 2 der DS-GVO räumt jeder betroffenen Person das Recht auf einen gerichtlichen Rechtsbehelf ein, wenn die Aufsichtsbehörde die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat. Das diese Frist zumindest von einigen Landesdatenschutzbehörden nicht eingehalten werden kann, liegt auf der Hand. Das wissen natürlich auch die Behörden selbst – und genau deshalb steht sogar eine Selbstanzeige bei der zuständigen EU-Kommission im Raum!
Gespanntes Warten auf die nächste Datenschutzkonferenz
Die Datenschutzkonferenz (DSK), ist das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Auf der nächsten Veranstaltung im Frühjahr 2019 wollen sich die Aufsichtsbehörden über ein gemeinsames Vorgehen verständigen. Auf die nächste DSK darf man also durchaus gespannt sein!
Welche Erfahrungen haben Sie mit den Landesdatenschutzbehörden gemacht? Wie lange war bei Ihnen die Bearbeitungsdauer?
Wir freuen uns auf Ihre Fragen & Kommentare!