Ein BfDI, der keiner sein sollte. Oder:

Wenn Datenschutzaufsichtsbehörden Datenschutz verletzten - wie geht man eigentlich damit um?

Machen Sie auch die Erfahrung, dass die Datenschutzverletzungen im letzten Jahr zugenommen haben, anstatt deutlich weniger zu werden? Man muss sich fragen, wie Datenschutzaufsichtsbehörden es geschafft haben, dass Datenschutz in Deutschland vor der DSGVO besser war als mit. An der DSGVO liegt es nicht. #DigitaleSicherheitundFreiheit ~ Beispiele von Rechtsunsicherheiten, mangelnder Durchsetzungsbereitschaft oder sogar Rechtswidrigkeiten von Aufsichtsbehörden, nur ein kleiner Auszug:   

  • Die wohl schlimmste Entwicklung: Bagtellisierung, Schutz und Verteidigung von Datenschutzverstössen.
  • Missachtung von do-not-track-Anforderungen und willkürliche Installation von Cookies beim Besuch einer Website auf den Endgeräten der Besucher: Der EU-Generalanwalt hat sich in seinem Rechtsgutachten erfreulich deutlich gegen Cookies positioniert. Es wär schön, wenn deutsche Aufsichtsbehörden endlich auch deutlich würden, anstatt selber Cookies zu installieren, wie der BfDI.
  • Neben gerichtlichen Rechtsbehelfen nicht auf aussergerichtliche und verwaltungsrechtliche Rechtsbehelfe hinzuweisen (s.u.a. Art. 78 DSGVO u.w.), Fragen dazu nicht zu beantworten oder die Möglichkeiten aussergerichtlicher und verwaltungsrechtlicher Rechtsbehelfe sogar zu dementieren.
  • Obwohl der BfDI so wie jede andere Datenschtuzaufsichtsbehörde eine öffentliche Stelle mit erheblichen Befugnissen ist wie '...Ordnungswidrigkeiten, Geldbußen, Sanktionen, Maßnahmen... soll sogar selber Gerichtsverfahren anstreben, s.u.a. Art. 58 DSGVO,... Untersuchungsbefugnisse der verschiedensten Art, Zugang zu Räumlichkeiten und Unterlagen von Institutionen verschaffen ' u.v.m.,  behauptet der BfDI, dass er keine zuständige öffentliche Stelle ist, die unter die Kategorie "...Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten..." fällt. Aha
  • Missachtung (höchstrichterlicher) deutscher und europäischer Rechtsgrundlagen.
  • Im Jubiläumsjahr des. 70 Geburtstages unseres Grundgesetzes schriftlich mitzuteilen, dass eMails nicht unter das Brief-, Post- und Fernmeldegeheimnis nach Art. 10 GG fallen. 

Letzteres gehört zu den abenteuerlichsten und gewagtesten Auslegungen einer Datenschutzaufsichtsbehörde, die ich in den letzten Monaten erleben musste. Der neue BfDI Ulrich Kelber schreibt am 14.2.2019, dass z.B. Gesundheitsdaten hochsensible Daten seien, die einen besonderen Schutz geniessen, und diesen besonderen Schutz würde beim Versand das Post- und Briefgeheimnis nach Art. 10 GG gewährleisten. Lt. BfDI würden unter diesen Schutz Postbriefe und sogar Postkarten fallen, aber keine eMails, die seien noch nicht mal mit Postkarten vergleichbar, sagt der BfDI. Damit stellt Kelber sich kurzerhand über die höchstrichterliche deutsche Instanz, dem BVerfG. Und gefährdet damit höchstpersönlich den Datenschutz von tagtäglich millionen eMail-Nutzern. 

Das Recht der Betroffenen ist die Pflicht der Verantwortlichen

Der BfDI selbst missachtet das gesetzlich fundierte Recht der BürgerInnnen auf eMail-Verkehr und schickt seine Antworten -anders als seine Vorgängerin- neuerdings per Post, obwohl er gem. den Gesetzen  wie Art. 12 DSGVO und insbesondere § 59 Abs. 1 BDSG dazu verpflichtet ist, in "... leicht zugänglicher Form zu kommunizieren... und ... bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form zu verwenden". § 59 Abs. 1 BDSG bedeutet schlicht: Wer per eMail schreibt darf automatisch per eMail Antwort erwarten.

Leider gibt es immer noch ein paar Institutionen die glauben, dass sie abermillionen BürgerInnen in Deutschland und aus der EU und den allein in Deutschland über 2,3 Millionen Unternehmen, Banken, Versicherungen, Rechtsanwälten(!) und tausenden Behörden und Ämtern wie Bezirksämter, Finanzämter, Fahndungen und viele weitere adhoc den eMail-Verkehr - der faktisch dort überall stattfindet - streichen und auf den Austausch von Wetter und smalltalk beschränken können. Ein BfDI, der sich gegen Artikel13 UrhG ausspricht, aber die Beschneidung des Kommunikationsmittels des 21. Jahrhunderts phantasiert - der ist mir suspekt. 

Wussten Sie, dass Ulrich Kelber das Amt des Bundesdatenschutzbeauftragten mit einem erheblichen Verstoß gegen die EU-DSGVO angetreten hat, da wissentlich über ein DSGVO-verletzendes Verfahren? Herr Kelber wurde von der Bundesregierung nach alten Regeln aber eben nicht nach neuen Gesetzen ausgewählt. Was nebenbei noch zu der traurigen Tatsache führte, dass Frauen und Diverse noch nicht einmal die Möglichkeit hatten, sich auf diese begehrenswerte Position zu bewerben! Deutschland 2019... Zeitsprung Mittelalter. Ein transparentes Auswahlverfahren zur Ernennung einer/s Datenschutzbeauftragten gilt übrigens seit dem 25.5.2018 für jede Datenschutzaufsichtsbehörde.

Das DSGVO-Wunder - von den Aufsichtsbehörden nicht verstanden?

Letztes Jahr sagte eine Mitarbeiterin der Niedersächsischen Landesdatenschutzbehörde zu mir "Aber Frau Fritz, Maßnahmen müssen doch verhältnismäßig sein."  Da hab ich gesagt "Ja, das find ich auch, wir haben nur unterschiedliche Auffassungen von verhältnismäßig." Also habe ich mir die DSGVO genommen und das Wort 'verhältnismäßig' gesucht. Dabei bin ich auf das Wort 'abschreckend' gestoßen. Die DSGVO nimmt uns die Entscheidung ab, denn das Wort "abschreckend" kommt exakt fünf Mal vor:

1.       Bußgelder/Strafen

2.       Art. 83 DSGVO

3.       Art. 84 DSGVO

4.       EWG 151

5.       EWG 152

Ausnahmslos heisst es unzweifelhaft '...Maßnahmen, Sanktionen, Geldbußen müssen wirksam, verhältnismäßig und abschreckend sein, und zwar für jeden Einzelfall, und richten sich u.a. nach Schwere, Vorsatz, Erkenntnis- und Mitwirkungsbereitschaft der Verantwortlichen, nach der (finanziellen) Firmengrösse sowie jeglichen anderen erschwerenden oder mildernden Umständen.' Nicht verhältnismäßig ist, wenn Aufsichtsbehörden Datenschutzverstösse erschreckend bagatellisieren anstatt abschreckend zu ahnden.

·         Verhältnismäßig kann gem. DSGVO nur sein, was abschreckend ist. 

·         (Deutsche) Zurückhaltung ist nicht abschreckend (findet auch der EuGH)

·         Keine oder schwache Bußgelder/Maßnahmen/Sanktionen zu erlassen, ist nicht abschreckend. 

·         Was nicht abschreckend ist, ist nicht wirksam.

Aufgaben und Befugnisse der Aufsichtsbehörden

Möchten Sie noch ein paar weitestgehend unbekannte Wunder der DSGVO? Erwägungsgrund 129
"...Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen,

Ø  Untersuchungsbefugnisse,

Ø  Abhilfebefugnisse und

Ø  Sanktionsbefugnisse und

Ø  Genehmigungsbefugnisse und

Ø  beratende Befugnisse, 

Ø  sowie – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen 

Ø  und Gerichtsverfahren anzustrengen.

Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind."   

Verstehen Sie?!

  • Aufsichtbehörden dürfen sich sogar Zugang zu Räumlichkeiten und Unterlagen von Institutionen verschaffen und Durchsuchungen vornehmen,  s.u.a. Art. 58 DSGVO. 
  • Aufsichtsbehörden sollen überflüssige Kosten für Betroffene vermeiden!  Ist das nicht wundervoll?! Gerichtliche Rechtsbehelfe, die die Betroffenen mit ihren Ansprüchen alleine lassen, erfüllen diese Anforderung nur äusserst selten, denn wer kann sich schon ein Gerichtsverfahren gegen eine Aufsichtsbehörde oder gegen einen datenschtuzverletztenden Konzern leisten?? Wer findet dafür überhaupt einen Anwalt, und wer bekäme wohl Prozesskostenhilfe für eine Klage auf immaterielles Schmerzensgeld nach Art. 82 DSGVO ?! Schon wieder haben die Menschen, die nicht genug Geld haben, keine praktischen Rechte. Da passt es sich doch prima, dass
  • Aufsichtsbehörden selber Gerichtsverfahren anstrengen sollen

Liebe deutsche Datenschutzaufsichtsbehörden,

 

kennen Sie den Unterschied zwischen können und sollen? Ja, aber Sie sind chronisch überlastet, weil personell, technisch und/oder finanziell unterbesetzt?  Aha... Wussten Sie, dass man Gerechtigkeit ganz einfach aushungert, in dem man Justiz, Steuerfahnder etc. bewusst personell unterbesetzt? Das hat politische Kultur bei der Bundesregierung. 
Das sollte für Sie allerdings mit der neuen DSGVO kein Problem sein, denn wenn die Bundesrepublik Deutschland den Pflichten gem. Art. 52 Abs. 4 DSGVO gegenüber Ihrer Datenschutzaufsichtsbehörde nicht nachkommt und damit geradezu hauptverantwortlich ist für umfängliche Verletzung von Datenschutz: Warum verpflichten Sie - die betroffene Datenschutzaufsichtsbehörde - die Bundesregierung resp. den Bund nicht kurzerhand zu wirkungsvollen Sanktionen, Maßnahmen und Finanzmitteln? Sie müssen nicht fragen, denn Sie sind weisungsungebunden. Immerhin sind Sie nicht der Bundesregierung verpflichtet und auch keiner Landesregierung, sondern den Datenschutzgesetzen und BürgerInnen der Bundesrepublik Deutschland !


Beste Grüsse

Susanne Fritz

27. März anno 2019

 

Was deutsche Datenschutzaufsichtsbehörden im Alltag an tatsächlichen Schritten unternehmen und Ergebnissen erzielen, ist erschreckend, aber in keinster Weise abschreckend. Und sicherlich ist es nicht wirksam, was viele Betroffene zu spüren bekommen, da durch Bagatellisierungen von Datenschutzverletzungen besonders von deutschen Grossunternehmen und Konzernen mit entsprechender Leichtigkeit durchgesetzt werden. Man kann im Ergebnis gar nicht so viel klagen, wie man müsste! Zuerst müsste man oftmals wegen Untätigkeit oder Verzögerung gegen die zuständige Datenschutzzaufsichtsbehörde erstmal überhaupt ein Ergebnis einklagen. Im Anschluss dann Klage gegen die schwachen und damit oftmals rechtswidrigen Ergebnisse der Aufsichtsbehörde. Um dann -nach wie vielen Jahren?- gegen die eigentlichen Datenschutzverletzungen zu klagen... Das ist absurd und ausdrücklich nicht Sinn und Ziel der DSGVO, s.o. 'Nachteile, überflüssige Kosten und übermäßige Unnanehmlichkeiten für Betroffene sind zu vermeiden'. Selbst wenn man das Geld für all die Klagen hätte und dafür Anwälte finden würde - aber an diesen beiden Punkten scheitern ohnehin die mit Abstand meisten Menschen - Know How und sehr sehr viel Zeit bräuchte man dafür auch noch. So bleibt Datenschutz und besonders Art. 82 DSGVO für den Grossteil der deutschen Bevölkerung eine unerreichbare Theorie - den deutschen Datenschutzaufsichtsbehörden sei Dank.

Wer als BundesbürgerIn der Meinung ist, dass ein Mitgliedstaat gegen EU-Recht verstößt, kann sich bei der Europäischen Kommission beschweren. In ihrer Rolle als Hüterin der Verträge kann die Kommission Vertragsverletzungsverfahren gegen Mitgliedstaaten einleiten, die gegen EU-Recht verstoßen. Ggfs. kann man dann Datenschutzbehörden oder Deutschland auf Schadenersatz und immaterielles Schmerzensgeld nach Art. 82 DSGVO verklagen. Das ist möglicherweise der effizienteste Weg, eine Klage gegen

  1. die Bundesrepublik Deutschland u.a. wegen Verstosses gegen Art. 52 Abs. 4 DSGVO
  2. und/oder gegen die Datenschutzaufsichtsbehörden wegen Verletzung ihrer Pflichten, sei es durch die erheblichen Rechtsunsicherheiten, mangelnder Durchsetzungsbereitschaft oder Bagetellisierungen der Datenschutzverstösse von Unternehmen und Behörden. 

Hier geht es zum Beschwerdeformular der Europäischen KommissionDenn man muss sich fragen, wie Datenschutzaufsichsbehörden es geschafft haben, dass Datenschutz in Deutschland vor der DSGVO besser war als mit. An der DSGVO liegt es nicht. 


#DigitaleSicherheitundFreiheit