areaC

EDRI (European Digital Rights),  wohl ein Zusammenschluss nationaler NGOs wie z.B. noyb schrieb kürzlich an das EDPB eine Liste mit Mängeln und Verbesserungsvorschlägen.

Im Anschreiben werden bereits im Umgang auf nationaler Ebene Punkte bemängelt, die ich allzu gut mit einigen Beschwerden erfahren musste und mit Blick auf deutsche Aufsichtsbehörde unterschreiben kann:

a) Mangel an Ressourcen
b) Weigerung, auf eine Beschwerde zu reagieren
c) unerklärliche Verzögerungen bei der Bearbeitung einer Beschwerde
d) fehlende Informationen über den Stand der Beschwerde
e) Schwierigkeiten bei der Einreichung einer Beschwerde

Quelle: Invitation to meet the EDPB on 13 September 2022 to discuss procedural aspects of the enforcement of the GDPR  (https://noyb.eu/sites/default/files/2022-09/EDRI_LETER_TO_EDPB.pdf)

Was mich persönlich darüber enttäuscht hat, sind die häufig oberflächlich Abschlussmitteilungen der meist langen Verfahren. Das Ergebnis kann sich reduzieren auf eine Email  "hat nachgebessert und ist damit erledigt".

Das Ergebnis der tatsächlichen Prüfung, wie z.B. festgestellte Verstöße (müssen ja in der Beschwerde nachgewiesen werden) und Nennung der getroffenen Maßnahmen, insbesondere jeweils Nennung der rechtlichen Bewertung, fehlt oft.

Formal korrekter ging hier bisher das BayLDA vor, allerdings beschränkten sich die Maßnahmen soweit mir bekannt auf gebührenpflichtige Verwarnungen basierend auf bayrische Vorschriften.

Zum Thema Bußgeld und BayLDA gab es kürzlich einen interessanten Wortbeitrag im ct-Podcast:

Zitat von: c't... im Jahr 2019 gab es ein Bußgeld und im Jahr 2020 vier Bußgelder, 2021 ist noch nicht gekommen ..]"

Zitat von: Dr. Thilo WeichertDas... muss auch öffentlich hinterfragt werden. Ich hatte schon zu meiner Amtszeit Auseinandersetzungen mit meinem damaligen bayrischen Kollegen. Die hab ich nicht mehr verstanden [...] Standortpolitik für Bayern..DS-Verstöße für seine Unternehmen durchgehen lassen....")

Quelle: DS-Podcast:DS-Fundamentalismus? (https://www.heise.de/hintergrund/Auslegungssache-71-Datenschutz-Fundamentalismus-7269208.html), ab ~Minute 56, Mediendatei (https://main.podigee-cdn.net/media/podcast_28304_auslegungssache_der_c_t_datenschutz_pdcst_episode_877208_datenschutz_fundamentalismus.mp3?v=1663876754&source=feed#t=3455)

Kleine Ergänzung zu BY:

ZitatIm Gegensatz zu anderen Datenschutzbehörden hat die Bayerische Datenschutzbehörde keine Maßnahmen gegen Cookie-Banner ergriffen, die eindeutig irreführend waren und Nutzer:innen zur Einwilligung drängten. Die bayerische Datenschutzbehörde argumentiert vor allem damit, dass Betroffene kein Recht darauf haben, dass eine Datenschutzbehörde tätig wird, und dass das Banner fragwürdig war, die Datenschutzbehörde aber keine Notwendigkeit sah, tätig zu werden.

Quelle: Datenschutzbehörden unterstützen noyb's Forderung nach fairen Ja/Nein-Cookie-Bannern (https://noyb.eu/de/datenschutzbehoerden-unterstuetzen-noybs-forderung-nach-fairen-janein-cookie-bannern)

Erfahrungen mit einer direkte Beschwerden bei der österreichischen DSB

A. Voraussetzungen

Anforderungen nach § 24 DSG (https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597) :

Zitat1. die Bezeichnung des als verletzt erachteten Rechts (hier kannst Du zusätzlich immer das Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG erwähnen),
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist (1 Jahr seit Kenntnis).
7. Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

Punkte 1 und 5 werden meist vergessen.
(Wenn etwas fehlt, hat man Gelegenheit nachzubessern - die DSB schickt eine entsprechende Aufforderung).

Zu 1: In Österreich kann davon ausgegangen werden, dass bei Datenverstößen zusätzlich meist auch §1 DSG verletzt worden ist. Dazu führte die DSB aus, dass nach § 1 Abs. 1 DSG  jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten habe, soweit ein schutzwürdiges Interesse daran bestehe. Das Bestehen eines solchen Interesses sei ausgeschlossen, wenn Daten infolge ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich seien. Die DSGVO und insbesondere auch die darin verankerten Grundsätze seien zur Auslegung des Rechts auf Geheimhaltung heranzuziehen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

B. 6-Monats-Frist zur Bearbeitung der Beschwerde

In der FAQ (https://www.dsb.gv.at/download-links/fragen-und-antworten.html#Beschwerde_an_die_Datenschutzbehoerde_DSB_) der DSB heißt es

ZitatPflicht der DSB zur Rückmeldung: ja (binnen 3 Monaten Information über Verfahrensstand, binnen *6* Monaten Entscheidung durch Bescheid)

Frist wird  nach meiner Erfahrung nicht beachtet.
Theoretisch ist die Frist von sechs Monaten strikt (natürlich nur wenn die verstrichene Zeit nicht auf Versäumnisse der Parteien zurückzuführen ist).
Es kann auch eine Säumnisbeschwerde vor dem Bundesverwaltungsgericht eingebracht werden.

Exkurs Säumnisbeschwerde
Die Säumnisbeschwerde ist direkt bei der Behörde, die ihre  Entscheidungspflicht verletzt hat, unter Angabe der Geschäftszahl (Aktenzeichen) einzubringen (Nicht beim  Bundesverwaltungsgericht!),  also bei der DSB unter  dsb@dsb.gv.at.

Die DSB hat dann zwei Möglichkeiten:

Entweder, sie beendet die  Säumnis, indem sie binnen drei Monaten eine Entscheidung erlässt,  oder sie übermittelt den Akt binnen drei Monaten dem  Bundesverwaltungsgericht.

Im zweiten Fall geht dann die  Entscheidungskompetenz auf das BVwG über. Kein Handlungsbedarf beim Beschwerdeführer.

Form:
Bezeichnung als ,,Beschwerde wegen Verletzung der Entscheidungspflicht",
Bezeichnung der DSB als säumige Behörde
und Angaben, aus denen hervorgeht, wann die ursprüngliche  Datenschutzbeschwerde eingebracht wurde, so dass klar ist, dass die  6-Monats-Frist verstrichen ist.

Bloße Sachstandsanfrage ist noch keine Säumnisbeschwerde!

Nicht die 30 Euro Eingabegebühr (https://www.bvwg.gv.at/verfahren_allgemein/gebuehren_start.html) vergessen.

Säumnisbeschwerden sind nur in Verfahren möglich, in denen die DSB alleinige Entscheidungskompetenz hat. In grenzüberschreitenden Verfahren, wo die Beschwerde zwar bei der DSB  eingebracht wurde, aber eine andere europäische  Daten schutzaufsichtsbehörde als federführende Behörde tätig wird,  gibt es keine Säumnisbeschwerde!
   
C. DSB befasst sich nur mit den Punkten, die in der Beschwerde ausdrücklich moniert werden.

Die österreichische DSB führt ihre Verfahren generell vor allem, indem sie die Parteien Schriftsätze austauschen lässt. Sie setzt selten proaktiv Ermittlungsschritte.
Später eingebrachte Erweiterung/Ergänzungen (wenn z.B. Nachbesserungen oder Einlassungen des Beschwerdegegners neue Mängel erkennen lassen) werden nicht berücksichtigt. Selbst wenn dies im Rahmen der regelmäßigen Anhörungen des Beschwerdeführers (nach jedem Einlassung des Beschwerdegegners) erfolgen.
Begründung der DSB:, Der ,,Gegenstand der Beschwerde" sei die durch das Vorbringen der Partei bei Antragstellung, hier: bei Beschwerdeerhebung, dem Umfang nach festgelegte Verwaltungssache, die ,,in Verhandlung stehende Angelegenheit" gemäß § 59 Abs. 1 AVG. Daraus folge, dass es dem Beschwerdeführer nicht freistehe, während des laufenden Verfahrens den Gegenstand der Beschwerde durch neues Vorbringen auszuweiten.

"homöopathische Durchsetzung"
Bestätigung der schlechten Erfahrungen durch noyb (https://noyb.eu/de/datenschutztag-werden-europaeerinnen-tatsaechlich-geschuetzt)

ZitatJene Europäer:innen die versucht haben, ihr Recht auf Datenschutz geltend zu machen und wurden oft bitter enttäuscht. noyb erhält täglich Nachrichten von frustrierten Nutzer:innen in der gesamten EU: regelmäßig werden Verfahren verzögert, Beschwerden ohne genauere Prüfung von Behörden abgewiesen oder überhaupt ohne Information an die Nutzer:innen sang und klanglos eingestellt. Die Rechte der Nutzer:innen enden in der 'Rundablage'.

ZitatSeit Inkrafttreten der DSGVO im Mai 2018 hat noyb 848 Einzelfälle bei unterschiedlichen Datenschutzbehörden in Europa eingereicht. Nur 10% (84 Beschwerden) der Fälle wurden von den zuständigen Behörden entschieden, wovon die meisten eingestellt wurden, oder es wurde eine Einigung mit dem Unternehmen gefunden, da dieses die Verletzung beseitigt hatte

ZitatDurch die Untätigkeit der Behörden und fehlendem Prozessrecht verschieben sich viele Verfahren auch mehr und mehr zu den nationalen Gerichten, welche häufig nicht das nötige DSGVO Wissen haben.

Vor ca. 1 1/2 habe ich mich wegen ~9 Trackingeinbettungen auf "eatsmarter.de" im Hamburg beschwert.

Anfang Dezember 2021 wurde ich auf den Blogbeitrag Tracking durch Identitätsprovider (https://www.kuketz-blog.de/tracking-durch-identitaetsprovider/)  aufmerksam.

Darin wurde auch die Beschwerdegegnerin eatsmarter als ein Beispiel genannt und eine Technik die mir für die Beschwerde nicht aufgefallen war. Der Autor des Blogbeitrags schätzte die nachgewiesenen Aktivitäten von Liveramp sogar als strafrechtlich relevant ein.
Nun ja, das ist ein anderes Rechtsgebiet.

Er teilte meine Erfahrung mit dem Unternehmen, dass Eatsmarter sich nicht zu Vorwürfen oder in meinem Fall  Aufforderungen zur Nachbesserung äußert.

Irritierend war die Anmerkung im Blog: Die zuständige Hamburger Datenschutzbehörde teilte mit , dass sie aktuell kein Verfahren gegen das Kochportal führe, auch keine Beschwerden dagegen vorlägen und man allgemein noch keine Erfahrungen mit Liveramp und anderen Identitätsprovidern habe.

Also machte ich die Behörde auf Artikel und meine vor ca. 2 Monaten eingereichte Beschwerde aufmerksam. Das ganze auch als Sachstandanfrage, da ich bislang kein Aktenzeichen erhalten hatte. Das ist jedoch für mich ein Zeichen, dass eine Beschwerde angenommen und ein Verfahren eröffnet wurde.

Darauf reagierte die Behörde nicht (ich hatte auch nichts anderes mehr erwartet).
Mit der jetzigen Abschlussmitteilung wurde also nach 1 1/2 Jahren erstmals mitgeteilt, dass ein Verfahren durchgeführt wurde!
Ein Zwischenstand, wie es das Gesetz zwingend vorsieht, wurde nach 3 Monate nicht migeteilt.
Anm.: Untätigkeitsklagen sind nicht wirkungsvoll, siehe dazu z.B. den Beitrag von daghwan » 9. Jun 2020, 06:56 unter  LDI: Erfahrungen mit der Bearbeitungsdauer, der einleitend mit " kleine Warnung :!: zum Thema Untätigkeitsklagen am Beispiel Bayern" beginnt, exakte Verlinkung (https://forum.kuketz-blog.de/viewtopic.php@t=1842&start=90.html) geht nicht)


Ergebnis:
Das Verfahren wird eingestellt.

Folgende Schritte (Art. 58 Abs. 1 DSGVO) wurden zum Verlauf mitgeteilt:

1. Eine Prüfung der Webseite durchgeführt und die Verwendung von einwilligungspflichtigen Dienste ohne Rechtsgrundlage festgestellt.
2. Das Unternehmen wurde zur Stellungnahme aufgefordert.
3. Nach nochmaliger Sichtung der Webseite konnten die Mängel nicht mehr festgestellt werden.

Dauer: 1 1/2 Jahre.
Dazu werden die üblichen Gründe eingangs vorgetragen: Ressourcenmangel, hohe Anzahl von Eingaben, Priorisierung der Vorgänge.

Auf weitere Maßnahme nach Art. 58 Abs. 2 DSGVO wird nach Ermessen verzichtet, da es sich um Mängel mit vergleichsweise geringe Intensität gehandelt habe und das Unternehmen unmittelbar die Mängel behoben habe.

Meine Vorstellung von Abhilfe in einer angemessenen Frist (Recht auf gute Verwaltung) und unmittelbare Reaktion durch das Unternehmen deckt sich damit jedoch nicht.
Anm.: Art. 41 GrCh (Recht auf eine gute Verwaltung) (https://dejure.org/gesetze/GRCh/41.html) und Art. 4 GrCh (Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht) (https://dejure.org/gesetze/GRCh/47.html)

Unabhängig vom Beschwerdeverfahren behält sich Hamburg noch vor, nach Abschluss eine Verwaltungsgebühr bei dem Unternehmen zu prüfen und ggf. zu erheben. Grundlage dafür sind nicht die Bußgeldvorschriften der DSGVO, sondern Rechstsgrundlagen des Landes: § 25 Absatz 1 und 2 Hamburgisches Datenschutzgesetz (HmbDSG) i. V. m. § 1 Datenschutzgebührenordnung (DSGebO).
Anm.:  Auch das BayLDA  geht in verleichbaren Fällen ähnlich vor und verhängt ein Verwarnentgelt nach bayrischen Landesvorschriften.

Ein Betroffener hat kein Recht auf eine bestimmte Maßnahme oder  die Verhängung eines Bußgeldes.

Erfahrung mit der Behörde in Sachsen-Anhalt.
Anm.: Das ist das Bundesland das seit Jahren keinen Datenschutzbeauftragte (https://www.datenschutzverein.de/2023/02/%3Cbr%20/%3E-anhalt-dvd-warnt-vor-vetternwirtschaft-beim-datenschutz/)n benennt!

Mitte 2021 hatte ich dort eine Beschwerde wegen Tracking eingebracht.
Nach einem 3/4 Jahr wurde die Beschwerde mit "fehlerhaft" abgeschlossen: Ich konnte 6 weitere Trackingeinbettungen nachweisen und der Vorgang wurde wieder aufgenommen.

Nach nun etwas mehr als  1  1/2 Jahren teilte mir die Behörde mit, dass aktuell die Zuständigkeit geprüft werde.
Grund: Der Verantwortliche verfüge neuerdings möglicherweise über zwei Adressen außerhalb von Europa.

Eine ähnliche Behördenflucht eines Verantwortlichen hatte ich bereits in Sachsen erlebt, dort genügte der Umzug nach Nordrhein-Westfalen für die Einstellung des Verfahrens.

Zitat von: GLenk am 28.02.2023, 15:29
Eine ähnliche Behördenflucht eines Verantwortlichen ...

Also der gesunde Menschenverstand sagt mir, dass die Anschrift zum Zeitpunkt der Eingabe entscheidend sein sollte.

Aber gesunder Menschenverstand und juristische bzw. verwaltungsrechtliche Verfahren müssen ja in Deutschland nicht unbedingt in die selbe Richtung laufen ...  :o

Zitat von: Andreas am 01.03.2023, 08:16
der gesunde Menschenverstand

und die rechtliche Berwertung durch Juristen sind vermutlich disjunkt.

Ich muss mich korrigieren: In dem zweiten Fall war es ein Geschäftswechsel (Geschäftsaufgabe und Verkauf an einen Käufer in NRW).

Selten wird die rechtswidrige Datenverarbeitung meiner Daten, die zur Beschwerde geführt haben, in der Untersuchung und der Bewertung der weiteren Zuständigkeit zugrunde gelegt.
Die Behörden müssen wohl neu untersuchen, Verstöße feststellen und am Schluss prüfen, welche Maßnahmen angemessen, wirksam und ggf. auch abschreckend(?) sein könnten.

Zitat von: GLenk am 01.03.2023, 08:36
neu untersuchen

Ich würde denken, weil es eine neue Instanz auf gleichem Niveau ist. Ansonsten finde ich Selbstüberprüfung bei Behörden immer fragwürdig.
Wäre es zum nächsten oder weiteren Niveau eskaliert, würde diese Instanz vermutlich mit den Erkenntnissen der vorausgegangenen arbeiten und nur die Richtigkeit der Schlussfolgerungen überprüfen.

Also: neue Chancen, neues Glück ...  (:DOWN :TOP)

Der Sächsische Datenschutzbeauftragte teilte mir den Abschluss eines ca.  400 Tag laufenden Verfahrens zu Trackingeinbettungen ohne Rechtsgrundlage mit.

Angeblich sei die Seite nach längerem Schriftverkehr abgeschaltet.

Ein Aufruf der Seite und dem Link zum shop folgend konnte ich keine Verbesserungen feststellen (es werden sogar irritierende zwei Einwilligungsbanner gezeigt.

Auf den Einwand, dass die Seite so fehlerhaft noch,  kam die "abwimmelnde" Antwort: Dann sei der Verantwortliche wohl noch nicht mit allen Nachbesserungen bei den Links fertig und ich solle nach einem angemessenen Zeitraum eine neue Beschwerde einlegen.

Wieviel Zeit ist denn für die Beseitigung von den üblichen G*-Trackern und irreführenden Bannern so angemessen? Mehr als 1 Jahr reicht in Sachsen nicht, um einen rechtswidrigen Betrieb zu unterbinden.

Datenaufsicht oder doch eher Standortpolitik vom Feinsten.

Zitat von: GLenk am 01.03.2023, 16:52
Standortpolitik

Man lernt von Bayern ...

Zitat von: GLenk am 01.03.2023, 16:52
Wieviel Zeit ist denn für die Beseitigung von den üblichen G*-Trackern und irreführenden Bannern so angemessen? Mehr als 1 Jahr reicht in Sachsen nicht, um einen rechtswidrigen Betrieb zu unterbinden.

Diese Verfahrensweisen halte ich ganz allgemein (nicht nur in Sachsen, sondern bundesweit) für reine Augenwischerei.

Zitat von: Bit am 01.03.2023, 17:34
Man lernt von Bayern ...

Die Freistaaten BAYERN und SACHSEN sind ganz, ganz nahe beieinander, in jedweder Beziehung.

Zitat von: Bit am 01.03.2023, 17:34

Zitat von: duda am 01.03.2023, 18:10

Nachdem ich meine Zweifel an der konsequentent Erledigung geäußert hatte, gabe es noch einen Erklärungsversuch von der Behörde zu der "Erledigung":

Die der Beschwerde zugrunde liegende Seite sei mit einem Baukasten erstellt worden, der keine rechtskonforme Nutzung zugelassen hätte (Ergebnis der Untersuchung).

Der Verantwortliche habe sich dafür entschieden, die Seite neu aufzusetzen und für die Zeit der Migration werde eine Kopie der alten Seite unter der nun von mir bemängelten URL betrieben (Dort wurde ich über einen Link ("Kaffee kaufen" oder so ähnlich)  von der Hauptseite hin geführt.
Der Verantwortliche würde nach eigenen Angaben mittelfristig(?) die Migration abschließen und mir stünde eine Überprüfung frei.

Diesem Ergebnis sei ein langer Austausch mit dem Verantwortlichen voran gegangen, mit vielen Iterationen und Fristen.
Soviel zur Angemessenheit.
Ob damit ggf  auch

Zitat von: Art 47 GrChJede Person hat ein Recht darauf, dass ihre Sache von einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht in einem fairen Verfahren, öffentlich und innerhalb angemessener Frist verhandelt wird. Jede Person kann sich beraten, verteidigen und vertreten lassen.

"erledigt" wurde?

Der aktuelle Stand sei zweifelsfrei ein temporärer Übergang zu einer neuen Seite, welche nicht Gegenstand dieses Verfahrens sei!

Also: Kein weiterer Sachverhalt für den Fortbestand des Verwaltungsverfahrens.

Es wäre auch zu viel verlangt, wenn die Behörde die neue Seite kritisch begleitet, oder?
Kann man wohl so sehen, aber meine Wertschätzung hat dieses Vorgehen nicht.

Zitat von: GLenk am 01.03.2023, 19:45
meine Wertschätzung hat dieses Vorgehen nicht.

Also ich finde, sie scheinen sich doch aber immerhin Mühe zu geben, sofern das alles der Wahrheit entspricht.
Dein Wohlwollen mit Behörden ist im Laufe der Jahre eben auch schon ganz schön abgenutzt, scheint mir ...  ;)

Zitat von: Bit am 01.03.2023, 20:35
... scheinen sich doch aber immerhin Mühe zu geben...Wohlwollen mit Behörden ist im Laufe der Jahre oo ganz schön abgenutzt

Nun ja, einfachste Verfahren (Google Tracking) dauern ja schon mehr als 1 Jahr, dann kommt die Vorgeschichte noch zeitlich dazu ...
Selbst im EU-Ausland mit Verfahrensregeln zu mehr Effizienz (Österreich: innerhalb von 6 Monaten zu beenden, Spanien ebenfalls begrenzt, ich glaube 8 Monate) werden diese Fristen nach meiner Erfahrung nicht selbstverständlich eingehalten.

Die zig-Länderbehörden, die immer wieder mit Vorwänden wie Ressourcenmangel, anhaltend hohem Beschwerdeaufkommen und deren Behördenleitung das Recht auf angemessene Ausstattung gegenüber der Landesregierung nicht durchzusetzen wagen, sind mE eine Fehlkonstruktion.

Das Thema ist ja in diesem Thread Erfahrungen - und nicht nur meine -, also wer hat gute und mag darüber schreiben?

Zitat von: Bit am 01.03.2023, 20:35
..., sie scheinen sich doch aber immerhin Mühe zu geben, ...

Es bleiben aber durchaus berechtigte Zweifel, ob das "Tun" wirklich unter "Mühe geben" einzuordnen ist. Vielleicht ist das auch nur eine haltlose, selbstverständlich nicht überprüfbare Behauptung seitens der Behörde, und das "Tun" ist tatsächlich gar kein "Tun" im Sinne von "Mühe geben".

Zitat von: GLenk am 28.02.2023, 15:29
Erfahrung mit der Behörde in Sachsen-Anhalt.
....
Nach nun etwas mehr als  1  1/2 Jahren teilte mir die Behörde mit, dass aktuell die Zuständigkeit geprüft werde.
Grund: Der Verantwortliche verfüge neuerdings möglicherweise über zwei Adressen außerhalb von Europa....

Verfahren erneut geschlossen.

High lights auf dem Weg dahin:

Eine Zwischenmitteilung: Die Behörde prüfe  Fragen des datenschutzkonformen Einsatzes von alternativen Techniken (die nach Bestehen der Prüfung noch vom Verantwortlichen hätten umgesetzt werden müssen). Der Verantwortliche zeige sich derzeit kooperativ.
(Anm.: Das verstand ich so, dass tatsächlich die Behörde technische Maßnahmen für den Verantwortlichen prüfte!)

Noch eine Zwischenmitteilung:  Die geprüften technischen Möglichkeiten kämen nicht umfassend als datenschutzkonforme Alternative in Frage. ...Die Internetseite müsss daher auf anderem Wege entsprechend angepasst werden. Der Verantwortliche zeige sich nach wie vor kooperativ. Das weitere Vorgehen mit ihm erörtert.

Noch eine Zwischenmitteilung: Es müsse noch einmal um Geduld gebeten werden. Die weiteren(?) Prüfungen hätten noch nicht abgeschlossen werden können.

1. Abschlussmitteilung (fehlerhaft): Man habe deutlich auf die datenschutzrechtlich notwendigen Veränderungen hingewirkt. Mit den bei der Behörde zur Verfügung stehenden Mitteln hätte feststellt werden können, dass zustimmungspflichtige Inhalte beim Besuch der Internetseite mittlerweile nur geladen würden, wenn eine Zustimmung über das Cookie-Banner erfolgt sei. Darüber hinaus könne die Behörde keine weiteren Skripte oder andere Abläufe mehr erkennen, die offensichtlich dem Nutzertracking oder einer Profilbildung zuzuordnen wären.

Antrag auf Weiterbearbeitung wegen Mängel

Wiederaufnahme der Bearbeitung

Noch eine Zwischenmitteilung:  Die Internetseite befände sich in der Überarbeitung. Eine entsprechende Mitteilung des Verantwortlichen läge vor.

Noch eine Zwischenmitteilung: ...nach wie vor in Bearbeitung. Der Verantwortliche habe zugesagt, die Internetseiten zu überarbeiten. Derzeit laufe eine neue Überprüfung der Behörde.

Noch eine Zwischenmitteilung: Fragen der Zuständigkeit, zwei Wohnsitze, Ausland ....

2. Abschlussmitteilung ohne Ergebnis:
Es verbleibe derzeit nur, die Akte zu schließen.
Der Verantwortliche seit nach Thailand verzogen.
Zwar verbleibe damit eine örtliche Zuständigkeit, da die Internetseiten in Deutschland abrufbar sind.
Jedoch habe die Behörde in Thailand keine Durchsetzungskompetenz.

Seiten sind nicht nur in D-Land abrufbar.
Ein ping ergibt eine IP mit geoiplookup (https://browserleaks.com/ip/185.30.32.215) in Deutschland.
64 bytes from s215.goserver.host (185.30.32.215): icmp_seq=4 ttl=55 time=28.0 ms

Und lt. Impressum auf der Seite wird für den Verantwortlichen keine Anschrift in Thailand, sondern in  Florida, USA,  angegeben und eine deutsche Adresse für Schriftverkehr angegeben.

Wird die Behörde da noch von einem Verantwortlichen an der Nase herumgeführt, oder ist es das ein willkommener Vorwand?

Organigramm der Behörde mit aktuell n.n. bei der Behördenleitung (https://datenschutz.sachsen-anhalt.de/landesbeauftragter/organigramm)

Bei der Durchsicht der Zwischenmitteilung habe ich den Eindruck, dass die kommisarisch geführte  (https://www.mdr.de/nachrichten/sachsen-anhalt/podcast-digitla-leben-seit-jahren-kein-richtiger-datenschutzbeauftragter-100.html) Behörde keine hohe Kompetenz besitzt. Allerdings wundere ich mich nicht mehr.

Zu Sachsen-Anhalt habe ich noch eine Info von Marcel Roth , Redakteur beim MDR Sachsen Anhalt, gefunden.

"Politikversagen in SachsenAnhalt - Seit Jahren ist der Landtag mit zwei verschiedenen Regierungskoalitionen nicht in der Lage, einen Datenschutzbeauftragten zu wählen"

Er weist auf einen treffenden Kommentar seines Kollegen Lars Frohmüller vom 13.04.2023 hin:
Endstation: Datenschutz – Ein Drama, bei dem das Ende fehlt hin  (https://www.mdr.de/nachrichten/sachsen-anhalt/landespolitik/kommentar-wahl-landesdatenschutzbeauftragter-100.html)

Seine frustrierte (keine Lust mehr an dem Thema), letzte Veröffentlichung vor einem Jahr zu dem Thema findet sich unter Datenschutz mit Füßen getreten  (https://www.mdr.de/nachrichten/sachsen-anhalt/landespolitik/kommentar-wahl-datenschutzbeauftragter-albert-cohaus-100.html)

Das passt in mein negatives Bild :DOWN von der Umsetzung des Datenschutzes in Sachsen-Anhalt.

Grenzüberschreitende Erfahrungen

Mitte 2021 hatte ich mich nach einer Flugrecherche über unrechtmäßiges Tracking und nicht datenschutzkonforme Einwilligungs-Dialoge auf den Webseiten einiger Flugunternehmen  beschwert.
In den grenzüberschreitenden Fällen wurden diese Beschwerden über das Binnenmarkt-Informationssystem von der betroffenen deutschen Behörde an die vermutlich federführende weitergeleitet.
Einzig die spanische aepd hatte bis gestern zwischenzeitlich reagiert und die Tätigkeit mit direkter Kommunikation mit mir aufgenommen.

1) Spanische aepd
Nach meinen bescheidenen Sprachkenntnissen mit deepl-Unterstützung wurde ein  Bußgeld verhängt (30000€).
Iberia wehrte sich nach spanischem Recht/Rechtsprechung, dass sich ein gleichwertiges älteres Verfahren vor Gericht (Audiencia National) befände und beantragte aus Gründen der Rechtssicherheit eine Aussetzung bis zur Entscheidung der ersten Beschwerde (spanische Webseite) .
Die Aufsichtsbehörde stellte daraufhin fest, dass die spanische und die deutsche Webseite wohl auf der gleichen Infrastruktur (Server/Software) liefen und im ersten strittigen Verfahren ebenfalls ein vergleichbares Bußgeld verhängt worden sei (Vergleichbarkeit).

Verfahren wurde nicht nur ausgesetzt sondern eingestellt!
 Details zum Sanktionsverfahren (spanisch) (https://www.aepd.es/es/documento/ps-00524-2021.pdf)
 Details zum Sanktionsverfahren (spanisch), das vor dem spanischen Gericht verhandelt wird (https://www.aepd.es/es/documento/ps-00402-2019.pdf)
Mein Einspruch gegen die Verfahrenseinstellung  wurde abgelehnt. da ich kein Betroffener (Beteiligter/interesado) im Verwaltungsstrafverfahren. Noyb sieht das kritisch (zB EuGH, C‑311/18, Rn. 111-112), würde das nur in einem rein spanischen Verfahren und nicht meinem one-shop klären wollen.

Über den Stand bis zum Einspruch hatte ich kürzlich die zurückgezogene, untätige deutsche betroffene Behörde in Kenntnis gesetzt. Sie teilte mir nun mit, dass sie von Seiten der aepd nie Informationen erhalten habe. Sie würden nun die Vermittlung aufnehmen und haben die aepd um Aktualisierung des Standes gebeten. Anm.: Etwas spät. Die Kommunikation über die deutsche Behörde sei der übliche Weg aus Art. 77 Abs.2 DSGVO.
Anm.:Die Ansicht, dass so auch in den meisten Fällen vorgegangen würde, deckt sich jedoch nicht mit meiner bisherigen Erfahrung. :(

2) Irische DPC
Durch meine Mitteilung zum Stand zum Verfahren in Spanien aufgeweckt leitete mir die deutsche Behörde nun überraschenderweise auch ein 1-Wochen-altes Schreiben der DPC weiter , was sie auch übersetzte!

Darin informiert die DPC, dass sie der Ansicht sei, die federführende Behörde zu sein, es sich um eine grenzüberschreitende Datenverarbeitung handele und ggf. Kooperations- und Kohärenzverfahren anwendbar sind sowie über meine Rechte, also zB  über die 3-Monatsfrist, in der ein betroffener einen Status erhalten müsse :D.

Verlauf der Beschwerde lt. DPC: Die Aufsichtsbehörde möchte mich gesetzeskonform innerhalb der 3-Monatsfrist (??) informieren. Der Fall wurde an eine Beschwerdebearbeitungstelle weitergeleitet. Sobald ein Ergebnis vorläge, würde die deutsche Behörde informiert.
Anm.: Wir sprechen über eine Beschwerde aus 06/21. >:(

Fazit :o :
Die Behörden in Verfahren gegen weitere Flugunternehmen schlafen weiterhin.

Die Aufsichtsbehörden sind teuer und ineffektiv. Die immer wieder geforderte Aufstockung von Ressourcen ändert bei grenzüberschreitenden Fällen sicher nichts und wäre mE die falsche Maßnahme. Gerade dt. Behörden sollen im europäischen Vergleich gut aufgestellt sein.

Im Gegensatz zu den ausführlichen Informationen im Bescheid der aepd (s.o.) fiel die LDI aus Niedersachsen leider negativ auf: Es gibt keinen Bescheid sondern lediglich eine detailarme "Massen"-abschlussmitteilung  von ca. 10 Vorgängen aus 2021

Zitatmit dieser E-Mail möchte ich Sie gesammelt über den Ausgang einiger Ihrer Beschwerden informieren (jeweils Aktenzeichen [...]):

Folgende Verfahren haben sich erledigt, da die Webseite nicht mehr erreichbar ist:
[...]
 i
Folgende Verfahren haben sich erledigt, da der von Ihnen gemeldete Verstoß nicht mehr vorlag:
[...]

In folgenden Verfahren wurde ein Prüfverfahren abgeschlossen, nachdem der oder die Verantwortliche die Webseite umgestaltet hatte. Teilweise habe ich weitere ergänzenden Hinweisen an den Verantwortlichen erteilt:
[...]

In folgenden Verfahren habe ich die Verantwortlichen datenschutzrechtlich sensibilisiert:
[...]

Darauf hin habe ich die erreichbaren Seiten besucht und bei 1/3 Trackingeinbettungen und einwilligungsbedürftige Cookies nach dem Ablehnen im Consent-Banner feststellen können.

Da fragt ich mich, wie sorgfältig die Behörde diese Vorgänge bearbeitet und mit welcher Wirksamkeit sie das Verantwortlichy  ;) sensibilisiert.

--------------------------------------

Anders ist bei deutschen Behörden die Behörde in Berlin: Hier gibt es jeweils einen ausführlichen Bescheid mit dokumentierenden Screenshots, Feststellung von Verstößen und Beschreibung der Ergebnisse sowie zahlreichen Ausführungen, die sich auch in der OH Telemedien finden lassen.

Einheitlicher Tenor

ZitatIm Ergebnis hat ein Verstoß vorgelegen, auf den wir den Verantwortlichen hingewiesen haben. Nachdem der Verstoß auf unsere Ansprache hin unverzüglich abgestellt wurde, haben wir nach pflichtgemäßem Ermessen davon abgesehen, sonstige aufsichtsrechtliche Maßnahmen zu ergreifen und betrachten die Angelegenheit damit als erledigt.

Zitat von: GLenk am 31.08.2023, 06:59Die Aufsichtsbehörden sind teuer und ineffektiv. Die immer wieder geforderte Aufstockung von Ressourcen ändert bei grenzüberschreitenden Fällen sicher nichts und wäre mE die falsche Maßnahme. Gerade dt. Behörden sollen im europäischen Vergleich gut aufgestellt sein.

Ich habe noch einen guten Hinweis erhalten, der die obige Aussage untermauert:
Zahlen des EDSA (https://edpb.europa.eu/system/files/2022-09/edpb_overviewresourcesmade_availablebymemberstatestosas2022_en.pdf). Den deutschen Behörden stünden danach die meisten Ressourcen zur Verfügung. Resultate seien leider kaum sichtbar.

Die im europäischer Vergleich gute Ausstattung erklärt die schlechten Leistungen der deutschen Behörden noch weniger.

Zitat von: GLenkDen deutschen Behörden stünden danach die meisten Ressourcen zur Verfügung. Resultate seien leider kaum sichtbar.

Die im europäischer Vergleich gute Ausstattung erklärt die schlechten Leistungen der deutschen Behörden noch weniger.

Danke für die Infos zum Thema. Spannend.
Ich muss auch sagen, dass die Behörde in Berlin relativ zeitnah zu einer Zoom-Beschwerde einer Bekannten (musste das im Unterricht nutzen mit Kamera!) reagiert hat und die Nutzung dann verboten hat.

Könnte es nicht auch sein, das es in Deutschland tendenziell mehr Eingaben von Privatpersonen gibt wegen der Geschichte und das die Behörden deshalb langsamer sind?

Zitat von: Kopinski am 02.09.2023, 10:54Könnte es nicht auch sein, das es in Deutschland tendenziell mehr Eingaben von Privatpersonen gibt wegen der Geschichte und das die Behörden deshalb langsamer sind?

Vergleichzahlen hätte ich dazu auch gerne, ohne die bleibt es nur eine Vermutung.
Deshalb hatte ich mich über das EDPB-Dokument gefreut.

Vergleichsversuch:
DE vs das Bußgeld-fleissige (abgeschlossene Verfahren) ES.
In 2022 hat DE 6,7-fache Budget (17 Mio zu 114 Mio) und nur 1/7 (163/733) an bekannten, abgeschlossenen Bußgeldern (nach wie vor sehr unterschiedliche Transparenz der Länderbehörden, vor allem der 17+x deutschen Behörden). Gezählt habe ich über enforcementtrackers.com (https://enforcementtracker.com/?insights)
Gesamt                           2023
SPAIN                             733
ITALY                             297
GERMANY                           163
ROMANIA                           152
HUNGARY                            67
GREECE                             59
POLAND                             57
NORWAY                             50
BELGIUM                            40
CYPRUS                             37
FRANCE                             37
SWEDEN                             34
LUXEMBOURG                         31
CZECH REPUBLIC                     26
IRELAND                            26
DENMARK                            25
BULGARIA                           24
CROATIA                            21
THE NETHERLANDS                    21
AUSTRIA                            20
FINLAND                            18
ICELAND                            14
MALTA                              14
UNITED KINGDOM                     13
LITHUANIA                          10
SLOVAKIA                            9
LATVIA                              8
PORTUGAL                            7
ESTONIA                             6
ISLE OF MAN                         3
LIECHTENSTEIN                       1
Ein Abbau der deutschen Länderbehörden und eine Kürzung des Budgets auf 1/7 ist sicher passend in Zeiten.
In DE werden offenbar Steuergelder durch ineffektive Strukturen verpulvert.
Die Notwendigkeit eines DatenSchutz(debattier)Kreises entfiele damit auch. Noch mal gespart.

Selbst wenn Beschwerden als solche bearbeitet und nicht nur als nice-to-check Hinweise angenommen würden (passiert in Berlin, Bayern), kommt es wie in Berlin selten zu Bußgeldern. Rechtsverstöße bleiben so ohne Konsequenzen(iSv Generalprävention), es sei denn sensibilisierende Hinweise begreift mal als solche.

Das merke ich mir dann für meinen nächsten Verstoß im Straßenverkehr:
Ich gelobe nach Belehrung dann einfach Besserung und gut ist.

Oder:
Zu der Massenabschlussmitteilung und zB der Bemerkung, eine Webseite sei nun nicht mehr erreichbar, habe ich folgende Einschätzung erhalten: Eine Beschwerde erledige sich nicht unbedingt, weil eine Webseite nicht mehr erreichbar bzw. angepasst worden sei. Der (vermeintliche) vergangene Rechtsverstoß sei von der Behörde schlicht nicht untersucht. Eine konstante Verletzung der DSGVO sei nicht erforderlich, um sich mit einer Beschwerde zu befassen oder um Maßnahmen zu ergreifen.

Das ist mE aktive, gelebte Betroffenenabwehr, nachdem der Betroffene vorher beim Verantworlichen schon auf Granit gestoßen ist (keine oder falsche Erfüllung von Betroffenenrechten).

Alle Gegner (Verantwortliche und unwillige und/oder unfähige Behörden) pokern damit, dass der individuelle Einzellfall seltenst vor Gericht kommt. Von den Streitwerten her werden Rechtsanwälte diesen Herausforderungen nicht hinterher rennen.

Anm.: Sorry wegen der zahlreichen Nachbesserungen. In der letzten Stunde ist mein Rechner gefühlt 10-mal abgestürzt. Qualität von Tuxedo. Macht er über Software und OD-grenzen hinweg immer mal.

Zitat von: GLenk am 02.09.2023, 16:16In 2022 hat DE 4,5-fache Budget (17 Mio zu 114 Mio) und

Hier eine kleine Korrektur.
114 Mio in DE und 17 Mio in ES?
Dann hätte DE 6,7 x so viel Budget.

Um meine Position noch ein wenig zu untermauern: In ES wird vom Beschwerdeführer gleich mal eine Ausweiskopie und ein Haufen Daten verlangt. Das ist nicht im Sinne des Datenschutzes und der Datensparsamkeit.
Könnte jedoch Beschwerdeführer abhalten.

Wenns wer so ohne Hintergrundwissen beschaut, könnt wer denken, das man in DE zu wenig für sein Geld bekommt.

Zitat von: GLenk am 02.09.2023, 16:16Das merke ich mir dann für meinen nächsten Verstoß im Straßenverkehr: Ich gelobe nach Belehrung dann einfach Besserung und gut ist.

Langsam ist die "Einführungsphase" vorbei, find' ich auch. Jetzt darf in DE die Datenschutzbehörde(n) gröberes "Besteck" auspacken.

Zitat von: GLenk am 02.09.2023, 16:16Eine Beschwerde erledige sich nicht unbedingt, weil eine Webseite nicht mehr erreichbar bzw. angepasst worden sei.

Wahrscheinlich ist doch, daß der Delinquent die Webseite unter neuem Namen/Domain identisch weiter betreibt.
Da man das nun als Beschwerdeführer kaum wissen kann, versandet die Beschwerde.

Zitat von: GLenk am 02.09.2023, 16:16Der (vermeintliche) vergangene Rechtsverstoß sei von der Behörde schlicht nicht untersucht. Eine konstante Verletzung der DSGVO sei nicht erforderlich, um sich mit einer Beschwerde zu befassen oder um Maßnahmen zu ergreifen.

Mit anderen Worten: sie ,,macht sich einen schlanken Fuß", wie man so sagt. Auf unsere Kosten!

Zitat von: Kopinski am 02.09.2023, 18:19Wenns wer so ohne Hintergrundwissen beschaut, könnt wer denken, das man in DE zu wenig für sein Geld bekommt.

Das ist ein Eindruck, der bei mir sogar mit Hintergrundwissen nicht zu vertreiben ist ...

Zitat von: Kopinski am 02.09.2023, 18:19

Zitat von: GLenk am 02.09.2023, 16:16In 2022 hat DE 4,5-fache Budget (17 Mio zu 114 Mio) und

Hier eine kleine Korrektur.
114 Mio in DE und 17 Mio in ES?
Dann hätte DE 6,7 x so viel Budget.

Vielen Dank! Da waren natürlichen die Abstürze zwischendurch ;)

Apropos: Anzahl der Beschäftigten 1155 (DE) / 184 (ES) = 6,24

Ein Referent bekommt m.W. E14 nach Tarif (https://oeffentlicher-dienst.info/c/t/rechner/tv-l/west?id=tv-l-2021&matrix=1), vereinfacht nehmen wir mal 5000€/Monat.
Bei einer Freistellung überflüssiger föderaler Juristen auf 1/7 hätten wir für DE 165, also 990 Gehälter gespart: 5000 * 13,5 * 990 = 66.825.000 weniger.
Dazu kommen zB noch eingesparte Sozialabgaben, Gebäude, Ausstattungen und Reisetätigkeiten zu überflüssigen Abstimmungsrunden.

ZitatUm meine Position noch ein wenig zu untermauern: In ES wird vom Beschwerdeführer gleich mal eine Ausweiskopie und ein Haufen Daten verlangt. Das ist nicht im Sinne des Datenschutzes und der Datensparsamkeit.
Könnte jedoch Beschwerdeführer abhalten.

Mit Spanien ist mir das nicht passiert. Die Beschwerde lief über LDI->Binnenmark-Informationssystem->aepd.
Die aepd hat nur noch meine Anschrift für postalische Kontakte erbeten.

In Österreich wurde eine Ausweiskopie verlangt, da der Verantwortliche Zweifel an meiner Existenz hatte (Beschwerde hatte ich direkt dort eingereicht nach Empfehlung einer deutschen Landesbehörde).
Bei Rechtsverletzung allein durch Seitenaufruf sollte mE die Identität dennoch unerheblich sein.
Nachdem ich eine teilgeschwärzte Ausweiskopie mit einem Link auf die Infoseite meiner betroffenen Behörde zu dem Thema nach Wien gesandt habe, war es erst mal gut.
Dem Abschlussbescheid konnte ich noch entnehmen, dass meine Identität im Rahmen eines Amtshilfeverfahrens von der LDI der österreichischen DSB gegenüber bestätigt wurde.

Das hört sich für mich datenschutzrechtlich unproblematisch an.

Das der Beschwerdegegner in diesem Fall überhaupt mit seinen Zweifeln gehört wurde hatte - und da gebe ich dir Recht - wieder ein Geschmäckle von "gemeinsamer Betroffenenabwehr" oder war es eine Auftragsverarbeiung  ;D?

Zitat von: Bit am 02.09.2023, 19:06Da man das nun als Beschwerdeführer kaum wissen kann, versandet die Beschwerde

Wenn ich da die Wiener Ratgeber richtig verstanden habe, ist der aktuelle Zustand für den ursprünglichen Rechtsverstoß unerheblich.

Ich weiß, die dt. Behörden werden jetzt auf ihre Untersuchungsverfahren verweisen, wo sie meist monatelang mit mehr (Berlin) oder weniger know-how (Bremen konnte monatelang meine gemeldeten Verstöße nicht festellen) zum Teil mehrfach prüfen bevor sie gegebenenfalls mit diesen Ergebnissen an den Verantwortlichen herantreten.

Beispiel aus Brandenburg:
Hier dauerte zB die Aufnahme des Verfahrens und folgende Untersuchung bis zur ersten Kontaktaufnahme mit dem Verantwortlichen 10 Monate.
Dann folgten 11 Monate der Kommunikation und weiterer Untersuchungen und weiter geht es mit Diensten von Drittanbietern.
Positiv ist dort, dass sie wirklich alle 3 Monaten einen Satz zum Status senden!

Behörden wie zB Baden-Württemberg, Schleswig-Hostein rühren sich kaum.

Nachtrag zum Thema Abfrage der gespeicherten Daten in Spanien. Hier ist ein anonymer Ticketkauf bei Touriattraktionen großteils nicht mehr möglich. Das gilt auch gerne mal in wirklich kleinen Museen.

Die Vorlage der Eintrittskarte genügt hier nicht, um weitere Auskünfte über die gespeicherten Daten zu erhalten. Ok, verständlich, denn die ist ja schnell unzerstört im Müll gelandet.
Wer also weiterführende Infos haben möchte, muss dann selbst noch mehr Daten liefern.
Hier exemplarisch Andalusien:
https://www.juntadeandalucia.es/export/drupaljda/002811-A00-V00-00_0_formulario.pdf

Mir stellt sich die Frage, warum solche Prozesse überhaupt genehmigt werden. Im Land wird man argumentieren, um den illegalen Ticketverkauf einzusperren. Reiseanbieter könnten große Kontingente kaufen, so dass nix mehr aufm Markt ist. Hiernach werden die Tickets teuer weiterverkauft.
Es muss da aber auch andre Maßnahmen geben, um das einzusperren.

Ob man der spanischen Behörde noch mal mehr Daten anvertrauen sollte, um an die Infos zu kommen und seine DSGVO Rechte wahrzunehmen?

In Österreich ist ...

Zitat von: GLenk am 02.09.2023, 20:45der aktuelle Zustand für den ursprünglichen Rechtsverstoß unerheblich

So sollte das nach meinem Rechtsempfinden auch generell sein:
Ein Tatbestand ist zum Zeitpunkt der Anzeige zu bewerten – sowohl, was Zustand und Verhalten, als auch was die Rechtslage betrifft!

Ansonsten wären alle stationären Verkehrskontrollen obsolet, denn wenn man mal angehalten hat, überholt man nicht (mehr) und fährt auch nicht (mehr) zu schnell u. dgl. ...

Zitat von: Bit am 09.09.2023, 17:45So sollte das nach meinem Rechtsempfinden auch generell sein: Ein Tatbestand ist zum Zeitpunkt der Anzeige zu bewerten – sowohl, was Zustand und Verhalten, als auch was die Rechtslage betrifft!

Tja, das ist wohl - wenn überhaupt - eine Lehrmeinung, die aber just heute wieder nicht bestätigt wurde:

Das BayLDA teilte mir nach ~27 1/2 Monaten mit, dass auch in diesem Fall aus 2021 nun das zwischenzeitlich in Kraft getretene "EU-U.S. Data Privacy Framework" (DPF) zu berücksichtigen sei.
Übermittlungen seien demnach nicht zu beanstanden, insbesondere seien die Unternehmen Gg und Meta auch nach DPF zertifiziert.

Dass dem in 2021 nicht so war und der EuGH sogar von den Datenaufsehern nach meinem Verständnis Durchsetzung gefordert hatte, wird nicht thematisiert.

Mit Blick auf den ersten Beitrag zu diesem Thema (Behördenmängel benannt von EDRI)

Zitat von: GLenk am 05.10.2022, 15:28a) Mangel an Ressourcen b) Weigerung, auf eine Beschwerde zu reagieren c) unerklärliche Verzögerungen bei der Bearbeitung einer Beschwerde d) fehlende Informationen über den Stand der Beschwerde e) Schwierigkeiten bei der Einreichung einer Beschwerde

ist das wohl ein
Sonderfall von c': Erklärlicher Verzögerung durch die Behörde bis die Gesetzeslage den Fall erledigt

Zitat von: GLenk am 13.09.2023, 14:29Verzögerung durch die Behörde bis die Gesetzeslage den Fall erledigt

Das darf doch nicht sein! Was ist denn das für ein Recht?

Zitat von: Bit am 13.09.2023, 16:22...Das darf doch nicht sein! Was ist denn das für ein Recht?

Standortpolitik.

noyb nennt diese "Durchsetzung" auch schon

Zitat von: GLenk am 03.02.2023, 17:39homöopathische

;D

Das Verfahren lief in 2 Phasen:

1. Zuerst gab es bzgl. Trackingeinbettungen vor ca. 2 Jahren die Information des dafür noch zuständigen Referats, dass der Verantwortliche dafür gebührenpflichtig verwarnt, Art. 58 Abs. 2 lit. b DSGVO, worden sein (zum Verständnis: also kein Bußgeld, sondern bayrisches Gebührenrecht). Von da an würde er nun eine rechtswirksame Einwilligung einholen.
Auch die Löschung der Daten bei Drittanbietern habe der Seitenbetreiber der Behörde gegenüber glaubwürdig zugesichert und für die technische Umsetzung einen Drittanbieter beauftragt.

2. "Erwartungsgemäß" (EDRi-Mangel d) fehlende Informationen über den Stand der Beschwerde) hatte es in der Zwischenzeit von ca 25 Monaten nach der Abgabe an das interne Fachreferat internationaler Datenverkehr  bis gestern keine weiteren Informationen (Status, Information über den Fortgangs o.ä.) in den letzten zwei Jahren gegeben.

Zitat von: GLenk am 01.03.2023, 16:52Auf den Einwand, dass die Seite so fehlerhaft noch, kam die "abwimmelnde" Antwort: Dann sei der Verantwortliche wohl noch nicht mit allen Nachbesserungen bei den Links fertig und ich solle nach einem angemessenen Zeitraum eine neue Beschwerde einlegen.

Nach nun gut 6 Monaten habe ich die Webseite besucht und konnte Google Analytics und Facebook-Pixel ohne viel Aufhebens feststellen. Einwilligungsbanner wurden  gar nicht mehr angezeigt.

Mit Verweis auf die geschlossene Beschwerde habe ich also eine neue Beschwerde in Sachsen eingereicht. Ich hoffe, das wird mir nicht als Ungeduld ausgelegt.::)
Vielleicht ist der Seitenbetreiber doch noch mit allen Nachbesserungen beschäftigt.  Im März teilte mir die Behörde mit, dass mit dem bisher für die alte Webseite genutzten Baukasten keine rechtskonforme Umsetzung möglich sei und als Maßnahme würde eine Migration auf eine (wohl neue Software? neue Plattform?) mittelfristig vom Verantwortlichen abgeschlossen werden.
Sind 6-Monate mittelfristig? Die Consentbanner wurden scheinbar deaktiviert und fbp ist mir jetzt neu aufgefallen..

Zitat von: GLenk am 31.08.2023, 06:592) Irische DPC ...leitete mir die deutsche Behörde nun überraschenderweise auch ein 1-Wochen-altes Schreiben der DPC weiter , was sie auch übersetzte! Darin informiert die DPC, dass sie der Ansicht sei, die federführende Behörde zu sein, es sich um eine grenzüberschreitende Datenverarbeitung handele und ggf. Kooperations- und Kohärenzverfahren anwendbar sind sowie über meine Rechte, also zB über die 3-Monatsfrist, in der ein betroffener einen Status erhalten müsse :D. Verlauf der Beschwerde lt. DPC: Die Aufsichtsbehörde möchte mich gesetzeskonform innerhalb der 3-Monatsfrist (??) informieren. Der Fall wurde an eine Beschwerdebearbeitungstelle weitergeleitet. Sobald ein Ergebnis vorläge, würde die deutsche Behörde informiert. Anm.: Wir sprechen über eine Beschwerde aus 06/21. >:(

Jetzt geht es Schlag auf Schlag ???
Schon ca. 2 Monate später kommt die Beschwerdebearbeitungstelle der DPC zu folgendem Zwischenergebnis:

1) Die Beschwerde wurde "jetzt schon" an die Cross Border Complaint Handling Unit 1 der DPC weitergeleitet,

2) Der Beschwerdegegenstand (Tracking mit Google Analytics) wird aufgeteilt:
  a) ePrivacy-Cookie -> Soll NRW für zuständig sein. Aus dem bisherigen Verlauf war das nicht ersichtlich, die betroffene dt. Behörde hatte den Vorgang damals (07/21) mit der Information

ZitatDa es sich dabei um Fälle grenzüberschreitender Verarbeitung handelt, habe ich die Angelegenheiten inzwischen im Binnenmarkt-Informationssystem eingegeben und die EU-interne Abstimmung eingeleitet. Ziel ist, dass die für den jeweiligen Verantwortlichen zuständigen EU-Datenschutzbehörden die federführende Bearbeitung Ihrer Beschwerden übernehmen.

b) Weiterverabeitung der Daten -> DPC (DSGVO-Anteil)

Zurück zum realistischen Pessimismus:
Die deutsche betroffene Behörde hat mir dies zur Kenntnisnahme ohne weiteren Kommentar weitergereicht. TTDSG galt in 2021 noch nicht. Vermutung: Bei ryanair werden sie wenig Lust verspürt haben, in Irland die ePrivacy-Richtlinie durchzusetzen.
Da es sich die Tracking - nur mit Google Analytics - handelt wird die DPC da  nach 2 Jahren wenig erreichen (aussichtslos).

2019 hatte das VG Ansbach die Kosten in einem sehr ähnlichen Fall (Klage auf nur Tätigwerden nach DSGVO, Antrag auf Erledigung durch Kläger nach Tätigwerden) noch hälftig auf Kläger und Land Bayern aufgeteilt! Das BayLDA hatte seine Untätigkeit mit dem üblichen Lamentieren (Überlastung, Ressourcenmangel) verteidigt.

Zitat von: GLenk am 28.02.2023, 15:18Anm.: Untätigkeitsklagen sind nicht wirkungsvoll, siehe dazu z.B. den Beitrag von daghwan » 9. Jun 2020, 06:56 unter LDI: Erfahrungen mit der Bearbeitungsdauer, der einleitend mit " kleine Warnung :!: zum Thema Untätigkeitsklagen am Beispiel Bayern" beginnt, exakte Verlinkung geht nicht)

Aktueller Lichtblick: §161 Abs. 3 VwGO (https://www.gesetze-im-internet.de/vwgo/__161.html) ist analog anwendbar!

ZitatIn den Fällen des § 75 fallen die Kosten stets dem Beklagten zur Last, wenn der Kläger mit seiner Bescheidung vor Klageerhebung rechnen durfte.

VG Ansbach, Beschluss vom 03.08.2023, Az. AN 14 K (https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2023-N-20857)
Datenschutzbehörden haben sich an Fristen zu halten – sagt das VG Ansbach (https://www.lhr-law.de/magazin/datenschutzrecht/untaetigkeitsklage/)