Hessische Datenschutz­behörde hoffnungslos überlastet!

Das die hie­si­gen Daten­schutz­be­hör­den hoff­nungs­los über­las­tet sind, war zumin­dest von Sach­sen, Meck­len­burg-Vor­pom­mern und Ham­burg bereits bekannt.
Aus ers­ter Hand kann ich dies auf­grund eines aktu­el­len Vor­gangs nun auch für den Hes­si­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit bestä­ti­gen. Muss­te es soweit kom­men?

Außer­dem in die­sem Bei­trag:

• Ver­stoss gegen Arti­kel 7 der DS-GVO – ein Pra­xis­bei­spiel
• War­um Pro­zess­ma­nage­ment wich­tig ist
• War­um wir auf die nächs­te Daten­schutz­kon­fe­renz gespannt sein dür­fen

Archiv­bild

Was ist vorgefallen?

Ende Janu­ar bin ich auf ein Ado­be-Bestell­for­mu­lar gesto­ßen, wel­ches offen­sicht­lich gegen Arti­kel 7 der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ver­stößt. Hier zunächst das For­mu­lar:

Im unte­ren, von mir gelb­lich hin­ter­leg­ten Bereich des For­mu­lars geht es augen­schein­lich um eine News­let­ter-Anmel­dung. Inter­es­sant ist der zur Check­box gehö­ren­de Text im roten Rah­men: "Bit­te kon­tak­tie­ren Sie mich nicht per E-Mail." Im Klar­text: Ich muss die Check­box akti­vie­ren, um kei­ne E-Mails von Ado­be zu erhal­ten. Dies stellt somit ein Opt-Out-Ver­fah­ren dar!

Warum Opt-Out-Verfahren gegen die DS-GVO verstoßen

Arti­kel 7 der DS-GVO for­dert für jede Form der Daten­ver­ar­bei­tung eine "Ein­wil­li­gung durch eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung". Aber was genau ist eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung?
Prak­ti­scher­wei­se gibt es zur DS-GVO eine Zusam­men­stel­lung soge­nann­ter Erwä­gungs­grün­de. Die­se die­nen als Hil­fe­stel­lung zur Inter­pre­ta­ti­on der DS-GVO-Arti­kel. Im Zusam­men­hang mit Arti­kel 7 der DS-GVO steht der Erwä­gungs­grund 32. Dar­in (Satz 3) heißt es: "Still­schwei­gen, bereits ange­kreuz­te Käst­chen oder Untä­tig­keit der betrof­fe­nen Per­son soll­ten daher kei­ne Ein­wil­li­gung dar­stel­len."

Soviel zum Sach­ver­halt.

Ich habe die­sen Sach­ver­halt ver­wen­det, um mal zu schau­en, wie es denn um die Über­las­tung der Hes­si­schen Daten­schutz­be­hör­de in Wies­ba­den bestellt ist.

Am 29. Janu­ar habe ich also eine for­mel­le Beschwer­de beim Hes­si­schen Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit ein­ge­reicht, und zwar über das eigens dafür bereit­ge­stell­te For­mu­lar.
Höf­li­cher­wei­se habe ich auch Ado­be über den Sach­ver­halt in Kennt­nis gesetzt. Sie haben also eine Chan­ce…

 

Fünf Wochen – für eine Eingangsbestätigung

Am 6. März, also mehr als fünf Wochen spä­ter, habe ich eine E-Mail der Post­stel­le erhal­ten. In die­ser E-Mail bestä­tigt man mir den Ein­gang mei­ner Beschwer­de, bit­tet unter Hin­weis auf die Viel­zahl der ein­ge­hen­den Beschwer­den und Anfra­gen um mein Ver­ständ­nis für die ver­zö­ger­te Bear­bei­tung – und bit­tet mich außer­dem, Unter­la­gen und Nach­wei­se vor­zu­le­gen.

Fehlendes Prozessmanagement

Was der Hes­si­chen Lan­des­da­ten­schutz­be­hör­de offen­sicht­lich fehlt, ist ein Pro­zess­ma­na­ger. Der hät­te näm­lich im Rah­men einer Pro­zess­ana­ly­se schon längst erkannt, das "Unter­la­gen und Nach­wei­se" ver­mut­lich in den aller­meis­ten Fäl­len nach­ge­reicht wer­den müs­sen – und das betref­fen­de For­mu­lar von vorn­her­ein mit einer Upload-Mög­lich­keit aus­ge­stat­tet.
Sicher, das ist nur eine Klei­nig­keit. Die hät­te mir aber eine Ant­wort-E-Mail mit dem betref­fen­den Screen­shot erspart – und damit Zeit.

Wür­de es sich um ein Unter­neh­men und mei­nen Kun­den han­deln, wür­de ich ihm an die­ser Stel­le erklä­ren, dass das Unter­neh­men durch die­se For­mu­lar­ge­stal­tung die Zeit sei­ner Kun­den ver­schwen­det.

Aber es han­delt sich um eine Behör­de – und nein, ich gehö­re nicht zu den Heer­scha­ren von Bera­tern, die in staat­li­chem Auf­trag unter­wegs sind.

Die Chronologie der DS-GVO

Kom­men wir aber nun zum Kern die­ses Bei­trags: Eine Behör­de benö­tigt mehr als fünf Wochen für eine simp­le Ein­gangs­be­stä­ti­gung (Ado­be hat übri­gens eben­falls bis heu­te weder reagiert, noch das For­mu­lar geän­dert). Waren der­ar­ti­ge Bear­bei­tungs­zei­ten abzu­se­hen oder sind sie schlicht­weg unver­meid­bar?

Im Zusam­men­hang mit der DS-GVO wird fast immer der 25. Mai 2018 genannt. Dabei han­delt es sich aber ledig­lich um das Datum der Anwend­bar­keit der Ver­ord­nung. Vom EU-Par­la­ment beschlos­sen wur­de die DS-GVO bereits am 14 April 2016. Die Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­sches Uni­on erfolg­te am 4. Mai des­sel­ben Jah­res. Damit trat die Ver­ord­nung bereits am 25.05.2016 in Kraft.

Alle Betrof­fe­nen – Unter­neh­men eben­so wie staat­li­che Stel­len – hat­ten also zwei Jah­re Zeit, sich auf die Anwen­dung der DS-GVO vor­zu­be­rei­ten.

Das vie­le Unter­neh­men zu Beginn die­ser zwei­jäh­ri­gen Über­gangs­frist hin­sicht­lich der Umset­zung der DS-GVO nur wenig getan haben, ist aus mei­ner Sicht ver­ständ­lich: Schließ­lich gehört Daten­schutz nicht unbe­dingt zum unmit­tel­ba­ren Kern­ge­schäft eines Unter­neh­mens.

Das Kern­ge­schäft einer Daten­schutz­be­hör­de ist aber zwei­fel­los der Daten­schutz – und somit auch jede pro­ak­ti­ve Maß­nah­me, die zur Erfül­lung der Auf­ga­ben unab­ding­bar ist.

Planlos in die Zukunft

Wenn man weiß, das in zwei Jah­ren eine neue Ver­ord­nung ange­wen­det wer­den soll, die zum Einen vie­le Fra­gen bei Unter­neh­men und Bür­gern auf­wer­fen und außer­dem zahl­rei­che Kon­trol­len erfor­der­lich machen wird, lässt dies aus mei­ner Sicht nur eine Maß­nah­me zu: Mit­ar­bei­ter ein­stel­len und aus­bil­den.

Dies ist jedoch nicht erfolgt. Aller­dings ist das nicht den Behör­den­lei­tern anzu­las­ten, das Gegen­teil ist der Fall: Wie man die­sem Bei­trag ent­neh­men kann, haben die Behör­den durch­aus auf ihren Per­so­nal­be­darf hin­ge­wie­sen –  mit zum Teil hane­bü­che­nen Ergeb­nis­sen!
Bei­spiel Sach­sen: Zu 22 bestehen­den Voll­zeit­stel­len waren 15 Voll­zeit­stel­len als zusätz­li­cher Bedarf ermit­telt wor­den. Mit­tel­fris­tig wur­den dort vier(!) Stel­len bewil­ligt.
Meck­len­burg-Vor­pom­merns Daten­schutz­be­hör­de hat nach wie vor 21 Mit­ar­bei­ter. Der dor­ti­ge Lan­des­rech­nungs­hof emp­fahl der Behör­de, "ande­re Daten­schutz­be­auf­trag­te um Amts­hil­fe zu bit­ten". Behör­den­lei­ter Heinz Mül­ler dazu: "Das ist so intel­li­gent wie der Rat­schlag an einen Bett­ler, einen ande­ren Bett­ler um Kre­dit zu fra­gen.".

Die Per­so­nal­si­tua­ti­on in den Lan­des­da­ten­schutz­be­hör­den ist ein wei­te­res Bei­spiel für das Ver­sa­gen der Poli­tik.

Selbstanzeige bei der EU-Kommission?

Arti­kel 78 Abs. 2 der DS-GVO räumt jeder betrof­fe­nen Per­son das Recht auf einen gericht­li­chen Rechts­be­helf ein, wenn die Auf­sichts­be­hör­de die betrof­fe­ne Per­son nicht inner­halb von drei Mona­ten über den Stand oder das Ergeb­nis der erho­be­nen Beschwer­de in Kennt­nis gesetzt hat. Das die­se Frist zumin­dest von eini­gen Lan­des­da­ten­schutz­be­hör­den nicht ein­ge­hal­ten wer­den kann, liegt auf der Hand. Das wis­sen natür­lich auch die Behör­den selbst – und genau des­halb steht sogar eine Selbst­an­zei­ge bei der zustän­di­gen EU-Kom­mis­si­on im Raum!

Gespanntes Warten auf die nächste Datenschutzkonferenz

Die Daten­schutz­kon­fe­renz (DSK), ist das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der. Auf der nächs­ten Ver­an­stal­tung im Früh­jahr 2019 wol­len sich die Auf­sichts­be­hör­den über ein gemein­sa­mes Vor­ge­hen ver­stän­di­gen. Auf die nächs­te DSK darf man also durch­aus gespannt sein!

 

Wel­che Erfah­run­gen haben Sie mit den Lan­des­da­ten­schutz­be­hör­den gemacht? Wie lan­ge war bei Ihnen die Bear­bei­tungs­dau­er?
Wir freu­en uns auf Ihre Fra­gen & Kom­men­ta­re!