+49 (0) 69 247 429 19-0
  • Leistungen
    • IT-Beratung
      • Datensicherung (Backup)
      • Verschlüsselung
      • Prozessoptimierung
    • Softwareentwicklung
      • Web-Design
      • Office-Programmierung
      • Datenbank-Anwendungen
    • B2B-Dienstleistungen
      • Marketing & Vertrieb
      • Computersystem-Validierung (CSV)
  • Kundenmeinungen
  • Blog-Universe
    • Das itcv-IT-Blog
    • Zukunftswelt
  • Über itcv
  • Kontakt
  • Suche
  • Menü Menü
Unser Blog-Universum

Hessische Datenschutz­behörde hoffnungslos überlastet!

Allgemein

Zuletzt aktua­li­siert am 18. Okto­ber 2019 durch Jür­gen Voskuhl

Das die hie­si­gen Daten­schutz­be­hör­den hoff­nungs­los über­las­tet sind, war zumin­dest von Sach­sen, Meck­len­burg-Vor­pom­mern und Ham­burg bereits bekannt.
Aus ers­ter Hand kann ich dies auf­grund eines aktu­el­len Vor­gangs nun auch für den Hes­si­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit bestä­ti­gen. Muss­te es soweit kommen?

Außer­dem in die­sem Beitrag:

  • Ver­stoss gegen Arti­kel 7 der DS-GVO – ein Praxisbeispiel
  • War­um Pro­zess­ma­nage­ment wich­tig ist
  • War­um wir auf die nächs­te Daten­schutz­kon­fe­renz gespannt sein dürfen

Archiv­bild

Was ist vorgefallen?

Ende Janu­ar bin ich auf ein Ado­be-Bestell­for­mu­lar gesto­ßen, wel­ches offen­sicht­lich gegen Arti­kel 7 der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ver­stößt. Hier zunächst das Formular:

Adobe Bestellformular

Im unte­ren, von mir gelb­lich hin­ter­leg­ten Bereich des For­mu­lars geht es augen­schein­lich um eine News­let­ter-Anmel­dung. Inter­es­sant ist der zur Check­box gehö­ren­de Text im roten Rah­men: "Bit­te kon­tak­tie­ren Sie mich nicht per E‑Mail." Im Klar­text: Ich muss die Check­box akti­vie­ren, um kei­ne E‑Mails von Ado­be zu erhal­ten. Dies stellt somit ein Opt-Out-Ver­fah­ren dar!

Warum Opt-Out-Verfahren gegen die DS-GVO verstoßen

Arti­kel 7 der DS-GVO for­dert für jede Form der Daten­ver­ar­bei­tung eine "Ein­wil­li­gung durch eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung". Aber was genau ist eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung?
Prak­ti­scher­wei­se gibt es zur DS-GVO eine Zusam­men­stel­lung soge­nann­ter Erwä­gungs­grün­de. Die­se die­nen als Hil­fe­stel­lung zur Inter­pre­ta­ti­on der DS-GVO-Arti­kel. Im Zusam­men­hang mit Arti­kel 7 der DS-GVO steht der Erwä­gungs­grund 32. Dar­in (Satz 3) heißt es: "Still­schwei­gen, bereits ange­kreuz­te Käst­chen oder Untä­tig­keit der betrof­fe­nen Per­son soll­ten daher kei­ne Ein­wil­li­gung darstellen."

Soviel zum Sachverhalt.

Ich habe die­sen Sach­ver­halt ver­wen­det, um mal zu schau­en, wie es denn um die Über­las­tung der Hes­si­schen Daten­schutz­be­hör­de in Wies­ba­den bestellt ist.

Am 29. Janu­ar habe ich also eine for­mel­le Beschwer­de beim Hes­si­schen Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit ein­ge­reicht, und zwar über das eigens dafür bereit­ge­stell­te For­mu­lar.
Höf­li­cher­wei­se habe ich auch Ado­be über den Sach­ver­halt in Kennt­nis gesetzt. Sie haben also eine Chance…

 

Datenschutz - DS-GVO

Fünf Wochen – für eine Eingangsbestätigung

Am 6. März, also mehr als fünf Wochen spä­ter, habe ich eine E‑Mail der Post­stel­le erhal­ten. In die­ser E‑Mail bestä­tigt man mir den Ein­gang mei­ner Beschwer­de, bit­tet unter Hin­weis auf die Viel­zahl der ein­ge­hen­den Beschwer­den und Anfra­gen um mein Ver­ständ­nis für die ver­zö­ger­te Bear­bei­tung – und bit­tet mich außer­dem, Unter­la­gen und Nach­wei­se vorzulegen.

Fehlendes Prozessmanagement

Was der Hes­si­chen Lan­des­da­ten­schutz­be­hör­de offen­sicht­lich fehlt, ist ein Pro­zess­ma­na­ger. Der hät­te näm­lich im Rah­men einer Pro­zess­ana­ly­se schon längst erkannt, das "Unter­la­gen und Nach­wei­se" ver­mut­lich in den aller­meis­ten Fäl­len nach­ge­reicht wer­den müs­sen – und das betref­fen­de For­mu­lar von vorn­her­ein mit einer Upload-Mög­lich­keit ausgestattet.
Sicher, das ist nur eine Klei­nig­keit. Die hät­te mir aber eine Ant­wort-E-Mail mit dem betref­fen­den Screen­shot erspart – und damit Zeit.

Wür­de es sich um ein Unter­neh­men und mei­nen Kun­den han­deln, wür­de ich ihm an die­ser Stel­le erklä­ren, dass das Unter­neh­men durch die­se For­mu­lar­ge­stal­tung die Zeit sei­ner Kun­den verschwendet.

Aber es han­delt sich um eine Behör­de – und nein, ich gehö­re nicht zu den Heer­scha­ren von Bera­tern, die in staat­li­chem Auf­trag unter­wegs sind.

Die Chronologie der DS-GVO

Kom­men wir aber nun zum Kern die­ses Bei­trags: Eine Behör­de benö­tigt mehr als fünf Wochen für eine simp­le Ein­gangs­be­stä­ti­gung (Ado­be hat übri­gens eben­falls bis heu­te weder reagiert, noch das For­mu­lar geän­dert). Waren der­ar­ti­ge Bear­bei­tungs­zei­ten abzu­se­hen oder sind sie schlicht­weg unvermeidbar?

Im Zusam­men­hang mit der DS-GVO wird fast immer der 25. Mai 2018 genannt. Dabei han­delt es sich aber ledig­lich um das Datum der Anwend­bar­keit der Ver­ord­nung. Vom EU-Par­la­ment beschlos­sen wur­de die DS-GVO bereits am 14 April 2016. Die Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­sches Uni­on erfolg­te am 4. Mai des­sel­ben Jah­res. Damit trat die Ver­ord­nung bereits am 25.05.2016 in Kraft.

Alle Betrof­fe­nen – Unter­neh­men eben­so wie staat­li­che Stel­len – hat­ten also zwei Jah­re Zeit, sich auf die Anwen­dung der DS-GVO vorzubereiten.

Das vie­le Unter­neh­men zu Beginn die­ser zwei­jäh­ri­gen Über­gangs­frist hin­sicht­lich der Umset­zung der DS-GVO nur wenig getan haben, ist aus mei­ner Sicht ver­ständ­lich: Schließ­lich gehört Daten­schutz nicht unbe­dingt zum unmit­tel­ba­ren Kern­ge­schäft eines Unternehmens.

Das Kern­ge­schäft einer Daten­schutz­be­hör­de ist aber zwei­fel­los der Daten­schutz – und somit auch jede pro­ak­ti­ve Maß­nah­me, die zur Erfül­lung der Auf­ga­ben unab­ding­bar ist.

Planlos in die Zukunft

Wenn man weiß, das in zwei Jah­ren eine neue Ver­ord­nung ange­wen­det wer­den soll, die zum Einen vie­le Fra­gen bei Unter­neh­men und Bür­gern auf­wer­fen und außer­dem zahl­rei­che Kon­trol­len erfor­der­lich machen wird, lässt dies aus mei­ner Sicht nur eine Maß­nah­me zu: Mit­ar­bei­ter ein­stel­len und ausbilden.

Dies ist jedoch nicht erfolgt. Aller­dings ist das nicht den Behör­den­lei­tern anzu­las­ten, das Gegen­teil ist der Fall: Wie man die­sem Bei­trag ent­neh­men kann, haben die Behör­den durch­aus auf ihren Per­so­nal­be­darf hin­ge­wie­sen –  mit zum Teil hane­bü­che­nen Ergebnissen!
Bei­spiel Sach­sen: Zu 22 bestehen­den Voll­zeit­stel­len waren 15 Voll­zeit­stel­len als zusätz­li­cher Bedarf ermit­telt wor­den. Mit­tel­fris­tig wur­den dort vier(!) Stel­len bewilligt.
Meck­len­burg-Vor­pom­merns Daten­schutz­be­hör­de hat nach wie vor 21 Mit­ar­bei­ter. Der dor­ti­ge Lan­des­rech­nungs­hof emp­fahl der Behör­de, "ande­re Daten­schutz­be­auf­trag­te um Amts­hil­fe zu bit­ten". Behör­den­lei­ter Heinz Mül­ler dazu: "Das ist so intel­li­gent wie der Rat­schlag an einen Bett­ler, einen ande­ren Bett­ler um Kre­dit zu fragen.".

Die Per­so­nal­si­tua­ti­on in den Lan­des­da­ten­schutz­be­hör­den ist ein wei­te­res Bei­spiel für das Ver­sa­gen der Politik.

Selbstanzeige bei der EU-Kommission?

Arti­kel 78 Abs. 2 der DS-GVO räumt jeder betrof­fe­nen Per­son das Recht auf einen gericht­li­chen Rechts­be­helf ein, wenn die Auf­sichts­be­hör­de die betrof­fe­ne Per­son nicht inner­halb von drei Mona­ten über den Stand oder das Ergeb­nis der erho­be­nen Beschwer­de in Kennt­nis gesetzt hat. Das die­se Frist zumin­dest von eini­gen Lan­des­da­ten­schutz­be­hör­den nicht ein­ge­hal­ten wer­den kann, liegt auf der Hand. Das wis­sen natür­lich auch die Behör­den selbst – und genau des­halb steht sogar eine Selbst­an­zei­ge bei der zustän­di­gen EU-Kom­mis­si­on im Raum!

Gespanntes Warten auf die nächste Datenschutzkonferenz

Die Daten­schutz­kon­fe­renz (DSK), ist das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der. Auf der nächs­ten Ver­an­stal­tung im Früh­jahr 2019 wol­len sich die Auf­sichts­be­hör­den über ein gemein­sa­mes Vor­ge­hen ver­stän­di­gen. Auf die nächs­te DSK darf man also durch­aus gespannt sein!

 

Wel­che Erfah­run­gen haben Sie mit den Lan­des­da­ten­schutz­be­hör­den gemacht? Wie lan­ge war bei Ihnen die Bearbeitungsdauer?
Wir freu­en uns auf Ihre Fra­gen & Kommentare!

9. März 2019/von Jürgen Voskuhl
Eintrag teilen
  • Teilen auf Facebook
  • Teilen auf Twitter
  • Auf WhatsApp teilen
  • Teilen auf LinkedIn
  • Per E-Mail teilen
https://www.itcv-software.com/wp-content/uploads/2019/03/AdobeStock_18989010_edit.jpg 200 300 Jürgen Voskuhl /wp-content/uploads/2018/11/Logo_itcv_claim.svg Jürgen Voskuhl2019-03-09 18:38:472019-10-18 14:21:32Hessische Datenschutz­behörde hoffnungslos überlastet!
Das könnte Dich auch interessieren
Wasabi + SynologyDatensicherung: Cloud-Backup von Synology NAS auf Wasabi Hot Cloud Storage
Verschlüsselung - KryptografieVerschlüsselung: Welche Lösung für welchen Zweck? Die ultimative Übersicht
PCsicher-Logo quer, mit RahmenPCsicher: Günstige und qualifizierte IT-Sicherheits-Lösung speziell für KMU
Windows 7: Jetzt noch schnell auf Windows 10 umsteigen oder besser gleich einen neuen Rechner kaufen?
DSGVOErstes DSGVO-Bußgeld in Deutschland verhängt: 20.000 € für fehlende Verschlüsselung
HaftstrafeDSGVO: Trägern von Berufsgeheimnissen droht bei Nichteinhaltung Freiheitsstrafe

Newsletter

Kategorien

  • Allgemein
  • Coronavirus
  • Datensicherung (Backup)
  • Energie & Umwelt
  • IT-Sicherheit
  • Klimakrise
  • Marketing
  • Mobilität
  • Off-Topic
  • Social Media
  • Software
  • Uncategorized
  • Verschlüsselung
  • Web-Design

Schlagwörter

2FA Allianz für Cybersicherheit Automobilindustrie Backup BDSG Blutdruck Campaining Coronavirus Cryptomator Datendiebstahl Datenschutz Datensicherung Defender DSGVO E-Mail-Marketing EEG Energiewende Excel Facebook IT-Grundschutz IT-Sicherheit Klimaschutz Klimawandel Klimawandelleugner Klimawandelskeptizismus Kohleausstiegsgesetz Lobbyismus Mobilität Mundschutz Newsletter Passwort-Manager Passwortsicherheit PCsicher Phishing Solardeckel Stromlobby Verein Verschlüsselung Wasserstoff Wasserstoffstrategie Web-Design Website Windows 10 WordPress Zwei-Faktor-Authentifizierung
Kürzlich
  • Produkt: ExpertSys – Expertensystem als WordPress-Plu...9. November 2022 - 5:12
  • Projekt: Search&Vote – Benutzerfreundliches WordP...28. September 2022 - 18:05
  • Vereine im Wandel: Was wir für Vereine tun26. Dezember 2021 - 17:24
  • Office - GSuite - Word - Google DocsGemeinsames Arbeiten an einem Dokument: Wie funktioniert...29. Oktober 2021 - 14:30
Beliebt
  • KohleausstiegDas Kohleausstiegsgesetz: Ein Rohrkrepierer7. Juni 2020 - 16:32
  • Jürgen Voskuhl (Portrait)itcv:Reloaded – Was steckt dahinter?12. November 2018 - 18:09
  • BundesregierungWelche Energiewende will die Bundesregierung?23. Mai 2020 - 17:31
  • Wasserstoff statt CO2Die nationale Wasserstoffstrategie: Fragen und Anmerkun...15. Juni 2020 - 18:30

Kontakt

Fon +49.69.24742919–0
Fax +49.69.24742919–9
E‑Mail info@​itcv-​software.​com
Face­book

itcv GmbH

Solms­str. 71
D‑60486 Frankfurt

Newsletter

Abon­nie­ren Sie jetzt unse­ren News­let­ter und erhal­ten Sie ab sofort infor­ma­ti­ve Bei­trä­ge zu allen wich­ti­gen IT-Themen!

Wir sen­den Ihnen höchs­tens zwei E‑Mails pro Monat. Sie kön­nen unse­ren News­let­ter jeder­zeit wie­der abbe­stel­len. Bit­te beach­ten Sie unse­re Daten­schutz­er­klä­rung. Mit dem Klick auf „Abon­nie­ren“ akzep­tie­ren Sie diese.

Unsere Mission

Durch unse­re Bera­tung und mit unse­ren Lösun­gen für klei­ne und mitt­le­re Unter­neh­men sind die­se für Ihre Kun­den bes­ser erreich­bar, erhö­hen Ihre IT-Sicher­heit und opti­mie­ren Ihre Geschäftsprozesse.

WEITERSAGEN
  • Tei­len auf Facebook
  • Tei­len auf Twitter
  • Tei­len auf LinkedIn
  • Per E‑Mail teilen

SICHERHEIT

Ihre Daten sind bei uns sicher

Logo SSL-Verschlüsselung

Copyright © 2018-2022 itcv GmbH
  • Facebook
  • Twitter
  • AGB
  • Datenschutzerklärung
  • Impressum
Informationssicherheit: So schützen Sie Ihr Unternehmen!InformationssicherheitING Online-Banking - Login1Zwei-Faktor-Authentifizierung (2FA) am Beispiel Online-Banking Nach oben scrollen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können. Oder klicken Sie auf "Cookie-Einstellungen", um Ihre Cookies selbst verwalten zu können.

Ich stimme zuCookie-Einstellungen

Cookie und Privatsphäre-Einstellungen



Wie wir Cookies verwenden

Wir verwenden Cookies, um Sie als wiederkehrenden Besucher zu erkennen und z.B. Inhalte speziell für Sie zugeschnitten zu präsentieren. Cookies ermöglichen aber auch Nutzungshäufigkeit, Verhaltensweisen und eindeutige Nutzerzahlen statistisch zu ermitteln, um die Website besucherfreundlicher und sicherer zu gestalten.

Klicken Sie auf die verschiedenen Überschriften, um mehr zu erfahren. Sie können auch einzelne Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Ihre Erfahrung auf unseren Websites und die von uns angebotenen Dienste beeinträchtigen kann.

Wichtige Website Cookies

Diese Cookies sind unbedingt erforderlich, um Ihnen die auf unserer Website verfügbaren Dienste zur Verfügung zu stellen und einige ihrer Funktionen zu nutzen.

Da diese Cookies zur Bereitstellung der Website unbedingt erforderlich sind, können Sie sie nicht ablehnen, ohne die Funktionsweise unserer Website zu beeinträchtigen. Sie können sie blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Website erzwingen.

Google Analytics Cookies

Diese Cookies sammeln Informationen, die entweder in aggregierter Form verwendet werden, um zu verstehen, wie unsere Website genutzt wird oder wie effektiv unsere Marketingkampagnen sind, oder um uns zu helfen, unsere Website und Anwendung für Sie anzupassen, um Ihre Erfahrung zu verbessern.

Wenn Sie nicht möchten, dass wir Ihren Besuch auf unserer Website verfolgen, können Sie das Tracking in Ihrem Browser hier deaktivieren:

Andere externe Dienste

Wir verwenden auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten wie Ihre IP-Adresse sammeln, können Sie diese hier blockieren. Bitte beachten Sie, dass dies die Funktionalität und das Erscheinungsbild unserer Website stark beeinträchtigen kann. Änderungen werden wirksam, sobald Sie die Seite neu laden.

Google Webfont-Einstellungen:

Google Karteneinstellungen:

Vimeo und Youtube Video bettet ein:

Datenschutz-Bestimmungen

Sie können unsere Cookies und Datenschutzeinstellungen im Detail in unserer Datenschutzerklärung nachlesen.

Datenschutzerklärung
Accept settingsHide notification only