+49 (0) 69 247 429 19-0
  • Leis­tun­gen
    • IT-Bera­tung
      • Daten­si­che­rung (Back­up)
      • Ver­schlüs­se­lung
      • Pro­zess­op­ti­mie­rung
    • Soft­ware­ent­wick­lung
      • Web-Design
      • Office-Pro­gram­mie­rung
      • Daten­bank-Anwen­dun­gen
    • B2B-Dienst­leis­tun­gen
      • Mar­ke­ting & Vertrieb
      • Com­pu­ter­sys­tem-Vali­die­rung (CSV)
  • Kun­den­mei­nun­gen
  • Blog-Uni­ver­se
    • Das itcv-IT-Blog
    • Zukunfts­welt
  • Über itcv
  • Kon­takt
  • Suche
  • Menü Menü
Unser Blog-Uni­ver­sum

Hes­si­sche Datenschutz­behörde hoff­nungs­los überlastet!

Allgemein

Zuletzt aktua­li­siert am 18. Okto­ber 2019 durch Jür­gen Voskuhl

Das die hie­si­gen Daten­schutz­be­hör­den hoff­nungs­los über­las­tet sind, war zumin­dest von Sach­sen, Meck­len­burg-Vor­pom­mern und Ham­burg bereits bekannt.
Aus ers­ter Hand kann ich dies auf­grund eines aktu­el­len Vor­gangs nun auch für den Hes­si­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit bestä­ti­gen. Muss­te es soweit kommen?

Außer­dem in die­sem Beitrag:

  • Ver­stoss gegen Arti­kel 7 der DS-GVO – ein Praxisbeispiel
  • War­um Pro­zess­ma­nage­ment wich­tig ist
  • War­um wir auf die nächs­te Daten­schutz­kon­fe­renz gespannt sein dürfen

Archiv­bild

Was ist vorgefallen?

Ende Janu­ar bin ich auf ein Ado­be-Bestell­for­mu­lar gesto­ßen, wel­ches offen­sicht­lich gegen Arti­kel 7 der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ver­stößt. Hier zunächst das Formular:

Adobe Bestellformular

Im unte­ren, von mir gelb­lich hin­ter­leg­ten Bereich des For­mu­lars geht es augen­schein­lich um eine News­let­ter-Anmel­dung. Inter­es­sant ist der zur Check­box gehö­ren­de Text im roten Rah­men: "Bit­te kon­tak­tie­ren Sie mich nicht per E‑Mail." Im Klar­text: Ich muss die Check­box akti­vie­ren, um kei­ne E‑Mails von Ado­be zu erhal­ten. Dies stellt somit ein Opt-Out-Ver­fah­ren dar!

War­um Opt-Out-Ver­fah­ren gegen die DS-GVO verstoßen

Arti­kel 7 der DS-GVO for­dert für jede Form der Daten­ver­ar­bei­tung eine "Ein­wil­li­gung durch eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung". Aber was genau ist eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung?
Prak­ti­scher­wei­se gibt es zur DS-GVO eine Zusam­men­stel­lung soge­nann­ter Erwä­gungs­grün­de. Die­se die­nen als Hil­fe­stel­lung zur Inter­pre­ta­ti­on der DS-GVO-Arti­kel. Im Zusam­men­hang mit Arti­kel 7 der DS-GVO steht der Erwä­gungs­grund 32. Dar­in (Satz 3) heißt es: "Still­schwei­gen, bereits ange­kreuz­te Käst­chen oder Untä­tig­keit der betrof­fe­nen Per­son soll­ten daher kei­ne Ein­wil­li­gung darstellen."

Soviel zum Sachverhalt.

Ich habe die­sen Sach­ver­halt ver­wen­det, um mal zu schau­en, wie es denn um die Über­las­tung der Hes­si­schen Daten­schutz­be­hör­de in Wies­ba­den bestellt ist.

Am 29. Janu­ar habe ich also eine for­mel­le Beschwer­de beim Hes­si­schen Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit ein­ge­reicht, und zwar über das eigens dafür bereit­ge­stell­te For­mu­lar.
Höf­li­cher­wei­se habe ich auch Ado­be über den Sach­ver­halt in Kennt­nis gesetzt. Sie haben also eine Chance…

 

Datenschutz - DS-GVO

Fünf Wochen – für eine Eingangsbestätigung

Am 6. März, also mehr als fünf Wochen spä­ter, habe ich eine E‑Mail der Post­stel­le erhal­ten. In die­ser E‑Mail bestä­tigt man mir den Ein­gang mei­ner Beschwer­de, bit­tet unter Hin­weis auf die Viel­zahl der ein­ge­hen­den Beschwer­den und Anfra­gen um mein Ver­ständ­nis für die ver­zö­ger­te Bear­bei­tung – und bit­tet mich außer­dem, Unter­la­gen und Nach­wei­se vorzulegen.

Feh­len­des Prozessmanagement

Was der Hes­si­chen Lan­des­da­ten­schutz­be­hör­de offen­sicht­lich fehlt, ist ein Pro­zess­ma­na­ger. Der hät­te näm­lich im Rah­men einer Pro­zess­ana­ly­se schon längst erkannt, das "Unter­la­gen und Nach­wei­se" ver­mut­lich in den aller­meis­ten Fäl­len nach­ge­reicht wer­den müs­sen – und das betref­fen­de For­mu­lar von vorn­her­ein mit einer Upload-Mög­lich­keit ausgestattet.
Sicher, das ist nur eine Klei­nig­keit. Die hät­te mir aber eine Ant­wort-E-Mail mit dem betref­fen­den Screen­shot erspart – und damit Zeit.

Wür­de es sich um ein Unter­neh­men und mei­nen Kun­den han­deln, wür­de ich ihm an die­ser Stel­le erklä­ren, dass das Unter­neh­men durch die­se For­mu­lar­ge­stal­tung die Zeit sei­ner Kun­den verschwendet.

Aber es han­delt sich um eine Behör­de – und nein, ich gehö­re nicht zu den Heer­scha­ren von Bera­tern, die in staat­li­chem Auf­trag unter­wegs sind.

Die Chro­no­lo­gie der DS-GVO

Kom­men wir aber nun zum Kern die­ses Bei­trags: Eine Behör­de benö­tigt mehr als fünf Wochen für eine simp­le Ein­gangs­be­stä­ti­gung (Ado­be hat übri­gens eben­falls bis heu­te weder reagiert, noch das For­mu­lar geän­dert). Waren der­ar­ti­ge Bear­bei­tungs­zei­ten abzu­se­hen oder sind sie schlicht­weg unvermeidbar?

Im Zusam­men­hang mit der DS-GVO wird fast immer der 25. Mai 2018 genannt. Dabei han­delt es sich aber ledig­lich um das Datum der Anwend­bar­keit der Ver­ord­nung. Vom EU-Par­la­ment beschlos­sen wur­de die DS-GVO bereits am 14 April 2016. Die Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­sches Uni­on erfolg­te am 4. Mai des­sel­ben Jah­res. Damit trat die Ver­ord­nung bereits am 25.05.2016 in Kraft.

Alle Betrof­fe­nen – Unter­neh­men eben­so wie staat­li­che Stel­len – hat­ten also zwei Jah­re Zeit, sich auf die Anwen­dung der DS-GVO vorzubereiten.

Das vie­le Unter­neh­men zu Beginn die­ser zwei­jäh­ri­gen Über­gangs­frist hin­sicht­lich der Umset­zung der DS-GVO nur wenig getan haben, ist aus mei­ner Sicht ver­ständ­lich: Schließ­lich gehört Daten­schutz nicht unbe­dingt zum unmit­tel­ba­ren Kern­ge­schäft eines Unternehmens.

Das Kern­ge­schäft einer Daten­schutz­be­hör­de ist aber zwei­fel­los der Daten­schutz – und somit auch jede pro­ak­ti­ve Maß­nah­me, die zur Erfül­lung der Auf­ga­ben unab­ding­bar ist.

Plan­los in die Zukunft

Wenn man weiß, das in zwei Jah­ren eine neue Ver­ord­nung ange­wen­det wer­den soll, die zum Einen vie­le Fra­gen bei Unter­neh­men und Bür­gern auf­wer­fen und außer­dem zahl­rei­che Kon­trol­len erfor­der­lich machen wird, lässt dies aus mei­ner Sicht nur eine Maß­nah­me zu: Mit­ar­bei­ter ein­stel­len und ausbilden.

Dies ist jedoch nicht erfolgt. Aller­dings ist das nicht den Behör­den­lei­tern anzu­las­ten, das Gegen­teil ist der Fall: Wie man die­sem Bei­trag ent­neh­men kann, haben die Behör­den durch­aus auf ihren Per­so­nal­be­darf hin­ge­wie­sen –  mit zum Teil hane­bü­che­nen Ergebnissen!
Bei­spiel Sach­sen: Zu 22 bestehen­den Voll­zeit­stel­len waren 15 Voll­zeit­stel­len als zusätz­li­cher Bedarf ermit­telt wor­den. Mit­tel­fris­tig wur­den dort vier(!) Stel­len bewilligt.
Meck­len­burg-Vor­pom­merns Daten­schutz­be­hör­de hat nach wie vor 21 Mit­ar­bei­ter. Der dor­ti­ge Lan­des­rech­nungs­hof emp­fahl der Behör­de, "ande­re Daten­schutz­be­auf­trag­te um Amts­hil­fe zu bit­ten". Behör­den­lei­ter Heinz Mül­ler dazu: "Das ist so intel­li­gent wie der Rat­schlag an einen Bett­ler, einen ande­ren Bett­ler um Kre­dit zu fragen.".

Die Per­so­nal­si­tua­ti­on in den Lan­des­da­ten­schutz­be­hör­den ist ein wei­te­res Bei­spiel für das Ver­sa­gen der Politik.

Selbst­an­zei­ge bei der EU-Kommission?

Arti­kel 78 Abs. 2 der DS-GVO räumt jeder betrof­fe­nen Per­son das Recht auf einen gericht­li­chen Rechts­be­helf ein, wenn die Auf­sichts­be­hör­de die betrof­fe­ne Per­son nicht inner­halb von drei Mona­ten über den Stand oder das Ergeb­nis der erho­be­nen Beschwer­de in Kennt­nis gesetzt hat. Das die­se Frist zumin­dest von eini­gen Lan­des­da­ten­schutz­be­hör­den nicht ein­ge­hal­ten wer­den kann, liegt auf der Hand. Das wis­sen natür­lich auch die Behör­den selbst – und genau des­halb steht sogar eine Selbst­an­zei­ge bei der zustän­di­gen EU-Kom­mis­si­on im Raum!

Gespann­tes War­ten auf die nächs­te Datenschutzkonferenz

Die Daten­schutz­kon­fe­renz (DSK), ist das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der. Auf der nächs­ten Ver­an­stal­tung im Früh­jahr 2019 wol­len sich die Auf­sichts­be­hör­den über ein gemein­sa­mes Vor­ge­hen ver­stän­di­gen. Auf die nächs­te DSK darf man also durch­aus gespannt sein!

 

Wel­che Erfah­run­gen haben Sie mit den Lan­des­da­ten­schutz­be­hör­den gemacht? Wie lan­ge war bei Ihnen die Bearbeitungsdauer?
Wir freu­en uns auf Ihre Fra­gen & Kommentare!

9. März 2019/von Jürgen Voskuhl
Eintrag teilen
  • Teilen auf Facebook
  • Teilen auf Twitter
  • Auf WhatsApp teilen
  • Teilen auf LinkedIn
  • Per E-Mail teilen
https://www.itcv-software.com/wp-content/uploads/2019/03/AdobeStock_18989010_edit.jpg 200 300 Jürgen Voskuhl /wp-content/uploads/2018/11/Logo_itcv_claim.svg Jürgen Voskuhl2019-03-09 18:38:472019-10-18 14:21:32Hes­si­sche Datenschutz­behörde hoff­nungs­los überlastet!
Das könnte Dich auch interessieren
Newsletter News­let­ter-Ver­sand: Wie funk­tio­niert das eigent­lich und was muss man beachten?
DSGVO Ers­tes DSGVO-Buß­geld in Deutsch­land ver­hängt: 20.000 € für feh­len­de Verschlüsselung
Verschlüsselung - Backup IT-Sicher­heit auf Basis von Win­dows-Bord­mit­teln, Teil 2: Verschlüsselung
Win­dows 7: Jetzt noch schnell auf Win­dows 10 umstei­gen oder bes­ser gleich einen neu­en Rech­ner kaufen?
PCsicher-Logo quer, mit Rahmen PCsi­cher: Güns­ti­ge und qua­li­fi­zier­te IT-Sicher­heits-Lösung spe­zi­ell für KMU
Haftstrafe DSGVO: Trä­gern von Berufs­ge­heim­nis­sen droht bei Nicht­ein­hal­tung Freiheitsstrafe

News­let­ter

Kate­go­rien

  • Allgemein
  • Coronavirus
  • Datensicherung (Backup)
  • Energie & Umwelt
  • IT-Sicherheit
  • Klimakrise
  • Marketing
  • Mobilität
  • Off-Topic
  • Social Media
  • Software
  • Uncategorized
  • Verschlüsselung
  • Web-Design

Schlag­wör­ter

2FA Allianz für Cybersicherheit Backup BDSG Bitlocker Blutdruck Coronavirus COVID-19 Cryptomator Datendiebstahl Datenschutz Datensicherung Defender DSGVO E-Mail-Marketing EEG Energiewende Excel Facebook GoBD IT-Grundschutz IT-Sicherheit Klimawandel Klimawandelleugner Klimawandelskeptizismus Kohleausstiegsgesetz Lobbyismus Microsoft Mobilität Mundschutz Newsletter Office 365 Passwort-Manager Passwortsicherheit PCsicher Phishing SARS-CoV-2 Solardeckel Stromlobby Strompreise Verein Verschlüsselung Windows Windows 10 Zwei-Faktor-Authentifizierung
Kürzlich
  • Ver­ei­ne im Wan­del: Was wir für Ver­ei­ne ...26. Dezember 2021 - 17:24
  • Office - GSuite - Word - Google DocsGemein­sa­mes Arbei­ten an einem Doku­ment: Wie funk­tio­niert...29. Oktober 2021 - 14:30
  • Tichys Aus­blick Talk debun­ked: Mythen der Energiewe...11. Oktober 2021 - 17:57
  • Die Skan­da­le des Armin Laschet. Eine Liste.5. August 2021 - 21:46
Beliebt
  • KohleausstiegDas Koh­le­aus­stiegs­ge­setz: Ein Rohrkrepierer7. Juni 2020 - 16:32
  • Jürgen Voskuhl (Portrait)itcv:Reloaded – Was steckt dahinter?12. November 2018 - 18:09
  • Wasserstoff statt CO2Die natio­na­le Was­ser­stoff­stra­te­gie: Fra­gen...15. Juni 2020 - 18:30
  • BundesregierungWel­che Ener­gie­wen­de will die Bundesregierung?23. Mai 2020 - 17:31
Kommentare
  • Reinhard StransfeldEinmal mehr hat ein namhafter Wissenschaftler den schrecklichen...19. Oktober 2020 - 18:17 von Reinhard Stransfeld
  • Ralf BoeckerZu Kosten der Umwandlung von elektrischer Energie in Wasserstoff: Abwägung...28. Juni 2020 - 13:18 von Ralf Boecker
  • Ralf Boeckerhttp://www.de.clientearth.org/absprachen-mit-kohlelobby-juristinnen-fordern-transparenz-per-eilverfahren...28. Juni 2020 - 12:24 von Ralf Boecker
  • Ralf Boeckerhttp://www.de.clientearth.org/absprachen-mit-kohlelobby-juristinnen-fordern-transparenz-per-eilverfahren...28. Juni 2020 - 12:14 von Ralf Boecker

Kon­takt

Fon +49.69.24742919–0
Fax +49.69.24742919–9
E‑Mail info@​itcv-​software.​com
Face­book

itcv GmbH

Solms­str. 71
D‑60486 Frankfurt

News­let­ter

Abon­nie­ren Sie jetzt unse­ren News­let­ter und erhal­ten Sie ab sofort infor­ma­ti­ve Bei­trä­ge zu allen wich­ti­gen IT-Themen!

Wir sen­den Ihnen höchs­tens zwei E‑Mails pro Monat. Sie kön­nen unse­ren News­let­ter jeder­zeit wie­der abbe­stel­len. Bit­te beach­ten Sie unse­re Daten­schutz­er­klä­rung. Mit dem Klick auf „Abon­nie­ren“ akzep­tie­ren Sie diese.

Unse­re Mission

Durch unse­re Bera­tung und mit unse­ren Lösun­gen für klei­ne und mitt­le­re Unter­neh­men sind die­se für Ihre Kun­den bes­ser erreich­bar, erhö­hen Ihre IT-Sicher­heit und opti­mie­ren Ihre Geschäftsprozesse.

WEITERSAGEN
  • Tei­len auf Facebook
  • Tei­len auf Twitter
  • Tei­len auf LinkedIn
  • Per E‑Mail teilen

SICHERHEIT

Ihre Daten sind bei uns sicher

Logo SSL-Verschlüsselung

Copyright © 2018-2022 itcv GmbH
  • Facebook
  • Twitter
  • AGB
  • Daten­schutz­er­klä­rung
  • Impres­sum
Infor­ma­ti­ons­si­cher­heit: So schüt­zen Sie Ihr Unternehmen!InformationssicherheitING Online-Banking - Login1Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) am Bei­spiel... Nach oben scrollen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können. Oder klicken Sie auf "Cookie-Einstellungen", um Ihre Cookies selbst verwalten zu können.

Ich stimme zuCookie-Einstellungen

Cookie und Privatsphäre-Einstellungen



Wie wir Cookies verwenden

Wir verwenden Cookies, um Sie als wiederkehrenden Besucher zu erkennen und z.B. Inhalte speziell für Sie zugeschnitten zu präsentieren. Cookies ermöglichen aber auch Nutzungshäufigkeit, Verhaltensweisen und eindeutige Nutzerzahlen statistisch zu ermitteln, um die Website besucherfreundlicher und sicherer zu gestalten.

Klicken Sie auf die verschiedenen Überschriften, um mehr zu erfahren. Sie können auch einzelne Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Ihre Erfahrung auf unseren Websites und die von uns angebotenen Dienste beeinträchtigen kann.

Wichtige Website Cookies

Diese Cookies sind unbedingt erforderlich, um Ihnen die auf unserer Website verfügbaren Dienste zur Verfügung zu stellen und einige ihrer Funktionen zu nutzen.

Da diese Cookies zur Bereitstellung der Website unbedingt erforderlich sind, können Sie sie nicht ablehnen, ohne die Funktionsweise unserer Website zu beeinträchtigen. Sie können sie blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Website erzwingen.

Google Analytics Cookies

Diese Cookies sammeln Informationen, die entweder in aggregierter Form verwendet werden, um zu verstehen, wie unsere Website genutzt wird oder wie effektiv unsere Marketingkampagnen sind, oder um uns zu helfen, unsere Website und Anwendung für Sie anzupassen, um Ihre Erfahrung zu verbessern.

Wenn Sie nicht möchten, dass wir Ihren Besuch auf unserer Website verfolgen, können Sie das Tracking in Ihrem Browser hier deaktivieren:

Andere externe Dienste

Wir verwenden auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten wie Ihre IP-Adresse sammeln, können Sie diese hier blockieren. Bitte beachten Sie, dass dies die Funktionalität und das Erscheinungsbild unserer Website stark beeinträchtigen kann. Änderungen werden wirksam, sobald Sie die Seite neu laden.

Google Webfont-Einstellungen:

Google Karteneinstellungen:

Vimeo und Youtube Video bettet ein:

Datenschutz-Bestimmungen

Sie können unsere Cookies und Datenschutzeinstellungen im Detail in unserer Datenschutzerklärung nachlesen.

Daten­schutz­er­klä­rung
Accept settingsHide notification only