Ein BfDI, der keiner sein sollte. Oder:

Wenn Datenschutzaufsichtsbehörden Datenschutz verletzten... Wie geht man eigentlich damit um?

Machen Sie auch die Erfahrung, dass die Datenschutzverletzungen in den letzten 1 bis 2 Jahren zugenommen haben, anstatt deutlich weniger zu werden? Man muss sich fragen, wie Datenschutzaufsichsbehörden es geschafft haben, dass Datenschutz in Deutschland vor der DSGVO besser war als mit. An der DSGVO liegt es nicht. #DigitaleSicherheitundFreiheit ~ Beispiele von Rechtsunsicherheiten, mangelnder Durchsetzungsbereitschaft oder sogar Rechtswidrigkeiten von Aufsichtsbehörden, nur ein kleiner Auszug:   

  • Bagtellisierung von Datenschutzverstössen.
  • Datenschutzverstösse von Unternehmen und Behörden zu verteidigen.
  • Missachtung von do-not-track-Anforderungen und automatische und willkürliche Installation von Cookies beim Besuch einer Website auf den Endgeräten der Besucher: Der EU-Generalanwalt hat sich in seinem Rechtsgutachten erfreulich deutlich gegen Cookies positioniert. Es wär schön, wenn deutsche Aufsichtsbehörden endlich auch deutlich würden - anstatt selber Cookies zu installieren, wie der BfDI.
  • Neben gerichtlichen Rechtsbehelfen nicht auf aussergerichtliche und verwaltungsrechtliche Rechtsbehelfe hinzuweisen (s.u.a. Art. 78 DSGVO u.w.), Fragen dazu nicht zu beantworten oder die Möglichkeiten aussergerichtlicher und verwaltungsrechtlicher Rechtsbehelfe zu dementieren.
  • Missachtung (höchstrichterlicher) deutscher und europäischer Rechtsgrundlagen.
  • Schriftlich mitzuteilen, dass eMails nicht unter das Brief-, Post- und Fernmeldegeheimnis nach Art. 10 GG fallen.

Letzteres gehört zu den abenteuerlichsten und gewagtesten Auslegungen einer Datenschutzaufsichtsbehörde, die ich in den letzten Monaten erleben musste. Der neue BfDI Ulrich Kelber schreibt am 14.2.2019, dass z.B. Gesundheitsdaten hochsensible Daten seien, die einen besonderen Schutz geniessen, und diesen besonderen Schutz würde beim Versand das Post- und Briefgeheimnis nach Art. 10 GG gewährleisten. Lt. BfDI würden unter diesen Schutz Postbriefe und sogar Postkarten fallen. Aber keine eMails, die seien noch nicht mal mit Postkarten vergleichbar, sagt der BfDI. Damit stellt Kelber sich mal kurzerhand über die höchstrichterliche deutsche Instanz, dem BVerfG. So gefährdet der BfDI höchstpersönlich den Datenschutz von tagtäglich millionen eMail-Nutzern. 
Ausserdem missachtet der BfDI selbst das gesetzlich fundierte Recht der BürgerInnnen auf eMail-Verkehr und schickt seine Antworten -anders als seine Vorgängerin- neuerdings per Post, obwohl er gem. den Gesetzen und insbesondere Art. 12 DSGVO und § 59 Abs. 1 BDSG dazu verpflichtet ist, in "... leicht zugänglicher Form zu kommunizieren... und ... bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form zu verwenden". $`§ 59 Abs. 1 BDSG bedeutet schlicht: Wer per eMail schreibt darf automatisch per eMail Antwort erwarten. Leider gibt es immer noch ein paar Institutionen die glauben, dass sie abermillionen BürgerInnen in Deutschland und aus der EU und den allein in Deutschland über 2,3 Millionen Unternehmen, Banken, Versicherungen, Rechtsanwälten(!) und tausenden Behörden und Ämtern (Bezirksämter, Finanzämter!, Fahndungen und viele weitere) adhoc den eMail-Verkehr - der faktisch stattfindet - streichen und auf den Austausch von Wetter und smalltalk beschränken können.

Ein BfDI, der sich gegen Artikel13 UrhG ausspricht, aber selber Cookies implementiert und die Beschneidung des Kommunikationsmittels des 21. Jahrhunderts phantasiert - der ist mir suspekt. 

Wussten Sie, dass Ulrich Kelber das Amt des Bundesdatenschutzbeauftragten mit einem erheblichen Verstoß gegen die EU-DSGVO angetreten hat, da wissentlich über ein DSGVO-verletzendes Verfahren? Herr Kelber wurde von der Bundesregierung nach alten Regeln aber eben nicht nach neuen Gesetzen ausgewählt. Was ausserdem zu der traurigen Tatsache führte, dass Frauen noch nicht einmal die Möglichkeit hatten, sich auf diese begehrenswerte Position zu bewerben! Deutschland 2019... Zeitsprung Mittelalter. Ein transparentes Auswahlverfahren zur Ernennung einer/s Datenschutzbeauftragten gilt übrigens für jede Datenschutzaufsichtsbehörde.

Das DSGVO-Wunder - von den Aufsichtsbehörden nicht verstanden?

Letztes Jahr sagte eine Mitarbeiterin der Niedersächsischen Landesdatenschutzbehörde zu mir "Aber Frau Fritz, Maßnahmen müssen doch verhältnismäßig sein." Da hab ich gesagt "Ja, das find ich auch, wir haben nur unterschiedliche Auffassungen von verhältnismäßig." Also habe ich mir die DSGVO genommen und das Wort 'verhältnismäßig' gesucht. Dabei bin ich auf das Wort 'abschreckend' gestoßen. Die DSGVO nimmt uns die Entscheidung ab, denn das Wort "abschreckend" kommt exakt fünf Mal vor:

1.       Bußgelder/Strafen

2.       Art. 83 DSGVO

3.       Art. 84 DSGVO

4.       EWG 151

5.       EWG 152

Ausnahmslos heisst es unzweifelhaft '...Maßnahmen, Sanktionen, Geldbußen müssen wirksam, verhältnismäßig und abschreckend sein, und zwar für jeden Einzelfall, und richten sich u.a. nach Schwere, Vorsatz, Erkenntnis- und Mitwirkungsbereitschaft der Verantwortlichen, nach der (finanziellen) Firmengrösse sowie jeglichen anderen erschwerenden oder mildernden Umständen.' Nicht verhältnismäßig ist, wenn Aufsichtsbehörden Datenschutzverstösse erschreckend bagatellisieren anstatt abschreckend zu ahnden.

·         Verhältnismäßig kann gem. DSGVO nur sein, was abschreckend ist. 

·         Deutsche Zurückhaltung ist nicht abschreckend (findet auch der EuGH)

·         Keine oder schwache Bußgelder/Maßnahmen/Sanktionen zu erlassen, ist nicht abschreckend. 

·         Was nicht abschreckend ist, ist nicht wirksam.

Aufgaben und Befugnisse der Aufsichtsbehörden

Möchten Sie noch ein paar unbekannte Wunder der DSGVO? Erwägungsgrund 129 zur EU-DSGVO: "...Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen,

Ø  Untersuchungsbefugnisse,

Ø  Abhilfebefugnisse und

Ø  Sanktionsbefugnisse und

Ø  Genehmigungsbefugnisse und

Ø  beratende Befugnisse, 

Ø  sowie – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen 

Ø  und Gerichtsverfahren anzustrengen.

Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind."   

Verstehen Sie?!

  • Aufsichtbehörden dürfen sich sogar Zugang zu Räumlichkeiten und Unterlagen von Institutionen verschaffen und Durchsuchungen vornehmen,  s.u.a. Art. 58 DSGVO. 
  • Aufsichtsbehörden sollen überflüssige Kosten für Betroffene vermeiden!  Ist das nicht wundervoll?! Gerichtliche Rechtsbehelfe, die die Betroffenen mit ihren Ansprüchen alleine lassen, erfüllen diese Anforderung nur äusserst selten, denn wer kann sich schon ein Gerichtsverfahren gegen eine Aufsichtsbehörde oder gegen einen datenschtuzverletztenden Konzern leisten?? Wer findet dafür überhaupt einen Anwalt, und wer bekäme wohl Prozesskostenhilfe für eine Klage auf immaterielles Schemerzensgeld nach Art. 82 DSGVO ?! Schon wieder haben die Menschen, die nicht genug Geld haben, keine praktischen Rechte. Da passt es sich doch prima, dass
  • Aufsichtsbehörden selber Gerichtsverfahren anstrengen sollen

Liebe deutsche Datenschutzaufsichtsbehörden,

 

kennen Sie den Unterschied zwischen können und sollen? Ja, aber Sie sind chronisch überlastet, weil personell, technisch und/oder finanziell unterbesetzt?  Aha... Wussten Sie, dass man Gerechtigkeit ganz einfach aushungert, in dem man Justiz, Steuerfahnder etc. bewusst personell unterbesetzt? Das hat politische Kultur bei der Bundesregierung. 
Das sollte für Sie allerdings mit der neuen DSGVO kein Problem sein, denn wenn die Bundesrepublik Deutschland den Pflichten gem. Art. 52 Abs. 4 DSGVO gegenüber Ihrer Datenschutzaufsichtsbehörde nicht nachkommt und damit geradezu hauptverantwortlich ist für umfängliche Verletzung von Datenschutz: Warum verpflichten Sie - die betroffene Datenschutzaufsichtsbehörde - die Bundesregierung resp. den Bund nicht kurzerhand zu wirkungsvollen Sanktionen, Maßnahmen und Finanzmitteln? Sie müssen nicht fragen. Immerhin sind Sie nicht der Bundesregierung verpflichtet und auch keiner Landesregierung, sondern den Datenschutzgesetzen und BürgerInnen der Bundesrepublik Deutschland !


Beste Grüsse

Susanne Fritz

27. März anno 2019

Wer als BundesbürgerIn der Meinung ist, dass ein Mitgliedstaat gegen EU-Recht verstößt, kann sich bei der Europäischen Kommission beschweren. In ihrer Rolle als Hüterin der Verträge kann die Kommission Vertragsverletzungsverfahren gegen Mitgliedstaaten einleiten, die gegen EU-Recht verstoßen. Ggfs. kann man dann Datenschutzbehörden oder Deutschland auf Schadenersatz und immaterielles Schmerzensgeld nach Art. 82 DSGVO verklagen. Das ist möglicherweise der effizienteste Weg, Klage

  1. gegen die Bundesrepublik Deutschland u.a. wegen Verstosses gegen Art. 52 Abs. 4 DSGVO
  2. und/oder gegen die Datenschutzaufsichtsbehörden wegen Verletzung ihrer Pflichten, sei es durch die erheblichen Rechtsunsicherheiten, mangelnder Durchsetzungsbereitschaft oder Bagetellisierungen der Datenschutzverstösse von Unternehmen und Behörden. 

Hier geht es zum Beschwerdeformular der Europäischen KommissionDenn man muss sich fragen, wie Datenschutzaufsichsbehörden es geschafft haben, dass Datenschutz in Deutschland vor der DSGVO besser war als mit. An der DSGVO liegt es nicht. 


#DigitaleSicherheitundFreiheit