Erfahrungen mit Aufsichtsbehörden

[GLenk]

EDRI (European Digital Rights),  wohl ein Zusammenschluss nationaler NGOs wie z.B. noyb schrieb kürzlich an das EDPB eine Liste mit Mängeln und Verbesserungsvorschlägen.

Im Anschreiben werden bereits im Umgang auf nationaler Ebene Punkte bemängelt, die ich allzu gut mit einigen Beschwerden erfahren musste und mit Blick auf deutsche Aufsichtsbehörde unterschreiben kann:

a) Mangel an Ressourcen
b) Weigerung, auf eine Beschwerde zu reagieren
c) unerklärliche Verzögerungen bei der Bearbeitung einer Beschwerde
d) fehlende Informationen über den Stand der Beschwerde
e) Schwierigkeiten bei der Einreichung einer Beschwerde

Quelle: Invitation to meet the EDPB on 13 September 2022 to discuss procedural aspects of the enforcement of the GDPR

Was mich persönlich darüber enttäuscht hat, sind die häufig oberflächlich Abschlussmitteilungen der meist langen Verfahren. Das Ergebnis kann sich reduzieren auf eine Email  "hat nachgebessert und ist damit erledigt".

Das Ergebnis der tatsächlichen Prüfung, wie z.B. festgestellte Verstöße (müssen ja in der Beschwerde nachgewiesen werden) und Nennung der getroffenen Maßnahmen, insbesondere jeweils Nennung der rechtlichen Bewertung, fehlt oft.

Formal korrekter ging hier bisher das BayLDA vor, allerdings beschränkten sich die Maßnahmen soweit mir bekannt auf gebührenpflichtige Verwarnungen basierend auf bayrische Vorschriften.

Zum Thema Bußgeld und BayLDA gab es kürzlich einen interessanten Wortbeitrag im ct-Podcast:

... im Jahr 2019 gab es ein Bußgeld und im Jahr 2020 vier Bußgelder, 2021 ist noch nicht gekommen ..]"

Das... muss auch öffentlich hinterfragt werden. Ich hatte schon zu meiner Amtszeit Auseinandersetzungen mit meinem damaligen bayrischen Kollegen. Die hab ich nicht mehr verstanden [...] Standortpolitik für Bayern..DS-Verstöße für seine Unternehmen durchgehen lassen....")

Quelle: DS-Podcast:DS-Fundamentalismus?, ab ~Minute 56, Mediendatei

[GLenk]

Kleine Ergänzung zu BY:

Im Gegensatz zu anderen Datenschutzbehörden hat die Bayerische Datenschutzbehörde keine Maßnahmen gegen Cookie-Banner ergriffen, die eindeutig irreführend waren und Nutzer:innen zur Einwilligung drängten. Die bayerische Datenschutzbehörde argumentiert vor allem damit, dass Betroffene kein Recht darauf haben, dass eine Datenschutzbehörde tätig wird, und dass das Banner fragwürdig war, die Datenschutzbehörde aber keine Notwendigkeit sah, tätig zu werden.

Quelle: Datenschutzbehörden unterstützen noyb's Forderung nach fairen Ja/Nein-Cookie-Bannern

[GLenk]

Erfahrungen mit einer direkte Beschwerden bei der österreichischen DSB

A. Voraussetzungen

Anforderungen nach § 24 DSG :

1. die Bezeichnung des als verletzt erachteten Rechts (hier kannst Du zusätzlich immer das Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG erwähnen),
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist (1 Jahr seit Kenntnis).
7. Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

Punkte 1 und 5 werden meist vergessen.
(Wenn etwas fehlt, hat man Gelegenheit nachzubessern - die DSB schickt eine entsprechende Aufforderung).

Zu 1: In Österreich kann davon ausgegangen werden, dass bei Datenverstößen zusätzlich meist auch §1 DSG verletzt worden ist. Dazu führte die DSB aus, dass nach § 1 Abs. 1 DSG  jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten habe, soweit ein schutzwürdiges Interesse daran bestehe. Das Bestehen eines solchen Interesses sei ausgeschlossen, wenn Daten infolge ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich seien. Die DSGVO und insbesondere auch die darin verankerten Grundsätze seien zur Auslegung des Rechts auf Geheimhaltung heranzuziehen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

B. 6-Monats-Frist zur Bearbeitung der Beschwerde

In der FAQ der DSB heißt es

Pflicht der DSB zur Rückmeldung: ja (binnen 3 Monaten Information über Verfahrensstand, binnen *6* Monaten Entscheidung durch Bescheid)

Frist wird  nach meiner Erfahrung nicht beachtet.
Theoretisch ist die Frist von sechs Monaten strikt (natürlich nur wenn die verstrichene Zeit nicht auf Versäumnisse der Parteien zurückzuführen ist).
Es kann auch eine Säumnisbeschwerde vor dem Bundesverwaltungsgericht eingebracht werden.

Exkurs Säumnisbeschwerde
Die Säumnisbeschwerde ist direkt bei der Behörde, die ihre  Entscheidungspflicht verletzt hat, unter Angabe der Geschäftszahl (Aktenzeichen) einzubringen (Nicht beim  Bundesverwaltungsgericht!),  also bei der DSB unter  dsb@dsb.gv.at.

Die DSB hat dann zwei Möglichkeiten:

Entweder, sie beendet die  Säumnis, indem sie binnen drei Monaten eine Entscheidung erlässt,  oder sie übermittelt den Akt binnen drei Monaten dem  Bundesverwaltungsgericht.

Im zweiten Fall geht dann die  Entscheidungskompetenz auf das BVwG über. Kein Handlungsbedarf beim Beschwerdeführer.

Form:
Bezeichnung als ,,Beschwerde wegen Verletzung der Entscheidungspflicht",
Bezeichnung der DSB als säumige Behörde
und Angaben, aus denen hervorgeht, wann die ursprüngliche  Datenschutzbeschwerde eingebracht wurde, so dass klar ist, dass die  6-Monats-Frist verstrichen ist.

Bloße Sachstandsanfrage ist noch keine Säumnisbeschwerde!

Nicht die 30 Euro Eingabegebühr vergessen.

Säumnisbeschwerden sind nur in Verfahren möglich, in denen die DSB alleinige Entscheidungskompetenz hat. In grenzüberschreitenden Verfahren, wo die Beschwerde zwar bei der DSB  eingebracht wurde, aber eine andere europäische  Daten schutzaufsichtsbehörde als federführende Behörde tätig wird,  gibt es keine Säumnisbeschwerde!
   
C. DSB befasst sich nur mit den Punkten, die in der Beschwerde ausdrücklich moniert werden.

Die österreichische DSB führt ihre Verfahren generell vor allem, indem sie die Parteien Schriftsätze austauschen lässt. Sie setzt selten proaktiv Ermittlungsschritte.
Später eingebrachte Erweiterung/Ergänzungen (wenn z.B. Nachbesserungen oder Einlassungen des Beschwerdegegners neue Mängel erkennen lassen) werden nicht berücksichtigt. Selbst wenn dies im Rahmen der regelmäßigen Anhörungen des Beschwerdeführers (nach jedem Einlassung des Beschwerdegegners) erfolgen.
Begründung der DSB:, Der ,,Gegenstand der Beschwerde" sei die durch das Vorbringen der Partei bei Antragstellung, hier: bei Beschwerdeerhebung, dem Umfang nach festgelegte Verwaltungssache, die ,,in Verhandlung stehende Angelegenheit" gemäß § 59 Abs. 1 AVG. Daraus folge, dass es dem Beschwerdeführer nicht freistehe, während des laufenden Verfahrens den Gegenstand der Beschwerde durch neues Vorbringen auszuweiten.

[GLenk]

"homöopathische Durchsetzung"
Bestätigung der schlechten Erfahrungen durch noyb

Jene Europäer:innen die versucht haben, ihr Recht auf Datenschutz geltend zu machen und wurden oft bitter enttäuscht. noyb erhält täglich Nachrichten von frustrierten Nutzer:innen in der gesamten EU: regelmäßig werden Verfahren verzögert, Beschwerden ohne genauere Prüfung von Behörden abgewiesen oder überhaupt ohne Information an die Nutzer:innen sang und klanglos eingestellt. Die Rechte der Nutzer:innen enden in der 'Rundablage'.

Seit Inkrafttreten der DSGVO im Mai 2018 hat noyb 848 Einzelfälle bei unterschiedlichen Datenschutzbehörden in Europa eingereicht. Nur 10% (84 Beschwerden) der Fälle wurden von den zuständigen Behörden entschieden, wovon die meisten eingestellt wurden, oder es wurde eine Einigung mit dem Unternehmen gefunden, da dieses die Verletzung beseitigt hatte

Durch die Untätigkeit der Behörden und fehlendem Prozessrecht verschieben sich viele Verfahren auch mehr und mehr zu den nationalen Gerichten, welche häufig nicht das nötige DSGVO Wissen haben.

[GLenk]

Vor ca. 1 1/2 habe ich mich wegen ~9 Trackingeinbettungen auf "eatsmarter.de" im Hamburg beschwert.

Anfang Dezember 2021 wurde ich auf den Blogbeitrag Tracking durch Identitätsprovider  aufmerksam.

Darin wurde auch die Beschwerdegegnerin eatsmarter als ein Beispiel genannt und eine Technik die mir für die Beschwerde nicht aufgefallen war. Der Autor des Blogbeitrags schätzte die nachgewiesenen Aktivitäten von Liveramp sogar als strafrechtlich relevant ein.
Nun ja, das ist ein anderes Rechtsgebiet.

Er teilte meine Erfahrung mit dem Unternehmen, dass Eatsmarter sich nicht zu Vorwürfen oder in meinem Fall  Aufforderungen zur Nachbesserung äußert.

Irritierend war die Anmerkung im Blog: Die zuständige Hamburger Datenschutzbehörde teilte mit , dass sie aktuell kein Verfahren gegen das Kochportal führe, auch keine Beschwerden dagegen vorlägen und man allgemein noch keine Erfahrungen mit Liveramp und anderen Identitätsprovidern habe.

Also machte ich die Behörde auf Artikel und meine vor ca. 2 Monaten eingereichte Beschwerde aufmerksam. Das ganze auch als Sachstandanfrage, da ich bislang kein Aktenzeichen erhalten hatte. Das ist jedoch für mich ein Zeichen, dass eine Beschwerde angenommen und ein Verfahren eröffnet wurde.

Darauf reagierte die Behörde nicht (ich hatte auch nichts anderes mehr erwartet).
Mit der jetzigen Abschlussmitteilung wurde also nach 1 1/2 Jahren erstmals mitgeteilt, dass ein Verfahren durchgeführt wurde!
Ein Zwischenstand, wie es das Gesetz zwingend vorsieht, wurde nach 3 Monate nicht migeteilt.
Anm.: Untätigkeitsklagen sind nicht wirkungsvoll, siehe dazu z.B. den Beitrag von daghwan » 9. Jun 2020, 06:56 unter  LDI: Erfahrungen mit der Bearbeitungsdauer, der einleitend mit " kleine Warnung :!: zum Thema Untätigkeitsklagen am Beispiel Bayern" beginnt, exakte Verlinkung geht nicht)


Ergebnis:
Das Verfahren wird eingestellt.

Folgende Schritte (Art. 58 Abs. 1 DSGVO) wurden zum Verlauf mitgeteilt:

1. Eine Prüfung der Webseite durchgeführt und die Verwendung von einwilligungspflichtigen Dienste ohne Rechtsgrundlage festgestellt.
2. Das Unternehmen wurde zur Stellungnahme aufgefordert.
3. Nach nochmaliger Sichtung der Webseite konnten die Mängel nicht mehr festgestellt werden.

Dauer: 1 1/2 Jahre.
Dazu werden die üblichen Gründe eingangs vorgetragen: Ressourcenmangel, hohe Anzahl von Eingaben, Priorisierung der Vorgänge.

Auf weitere Maßnahme nach Art. 58 Abs. 2 DSGVO wird nach Ermessen verzichtet, da es sich um Mängel mit vergleichsweise geringe Intensität gehandelt habe und das Unternehmen unmittelbar die Mängel behoben habe.

Meine Vorstellung von Abhilfe in einer angemessenen Frist (Recht auf gute Verwaltung) und unmittelbare Reaktion durch das Unternehmen deckt sich damit jedoch nicht.
Anm.: Art. 41 GrCh (Recht auf eine gute Verwaltung) und Art. 4 GrCh (Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht)

Unabhängig vom Beschwerdeverfahren behält sich Hamburg noch vor, nach Abschluss eine Verwaltungsgebühr bei dem Unternehmen zu prüfen und ggf. zu erheben. Grundlage dafür sind nicht die Bußgeldvorschriften der DSGVO, sondern Rechstsgrundlagen des Landes: § 25 Absatz 1 und 2 Hamburgisches Datenschutzgesetz (HmbDSG) i. V. m. § 1 Datenschutzgebührenordnung (DSGebO).
Anm.:  Auch das BayLDA  geht in verleichbaren Fällen ähnlich vor und verhängt ein Verwarnentgelt nach bayrischen Landesvorschriften.

Ein Betroffener hat kein Recht auf eine bestimmte Maßnahme oder  die Verhängung eines Bußgeldes.

[GLenk]

Erfahrung mit der Behörde in Sachsen-Anhalt.
Anm.: Das ist das Bundesland das seit Jahren keinen Datenschutzbeauftragten benennt!

Mitte 2021 hatte ich dort eine Beschwerde wegen Tracking eingebracht.
Nach einem 3/4 Jahr wurde die Beschwerde mit "fehlerhaft" abgeschlossen: Ich konnte 6 weitere Trackingeinbettungen nachweisen und der Vorgang wurde wieder aufgenommen.

Nach nun etwas mehr als  1  1/2 Jahren teilte mir die Behörde mit, dass aktuell die Zuständigkeit geprüft werde.
Grund: Der Verantwortliche verfüge neuerdings möglicherweise über zwei Adressen außerhalb von Europa.

Eine ähnliche Behördenflucht eines Verantwortlichen hatte ich bereits in Sachsen erlebt, dort genügte der Umzug nach Nordrhein-Westfalen für die Einstellung des Verfahrens.

[Andreas]

Eine ähnliche Behördenflucht eines Verantwortlichen ...

Also der gesunde Menschenverstand sagt mir, dass die Anschrift zum Zeitpunkt der Eingabe entscheidend sein sollte.

Aber gesunder Menschenverstand und juristische bzw. verwaltungsrechtliche Verfahren müssen ja in Deutschland nicht unbedingt in die selbe Richtung laufen ... 

[GLenk]

der gesunde Menschenverstand

und die rechtliche Berwertung durch Juristen sind vermutlich disjunkt.

Ich muss mich korrigieren: In dem zweiten Fall war es ein Geschäftswechsel (Geschäftsaufgabe und Verkauf an einen Käufer in NRW).

Selten wird die rechtswidrige Datenverarbeitung meiner Daten, die zur Beschwerde geführt haben, in der Untersuchung und der Bewertung der weiteren Zuständigkeit zugrunde gelegt.
Die Behörden müssen wohl neu untersuchen, Verstöße feststellen und am Schluss prüfen, welche Maßnahmen angemessen, wirksam und ggf. auch abschreckend(?) sein könnten.

[Bit]

neu untersuchen

Ich würde denken, weil es eine neue Instanz auf gleichem Niveau ist. Ansonsten finde ich Selbstüberprüfung bei Behörden immer fragwürdig.
Wäre es zum nächsten oder weiteren Niveau eskaliert, würde diese Instanz vermutlich mit den Erkenntnissen der vorausgegangenen arbeiten und nur die Richtigkeit der Schlussfolgerungen überprüfen.

Also: neue Chancen, neues Glück ...  (:DOWN :TOP)

[GLenk]

Der Sächsische Datenschutzbeauftragte teilte mir den Abschluss eines ca.  400 Tag laufenden Verfahrens zu Trackingeinbettungen ohne Rechtsgrundlage mit.

Angeblich sei die Seite nach längerem Schriftverkehr abgeschaltet.

Ein Aufruf der Seite und dem Link zum shop folgend konnte ich keine Verbesserungen feststellen (es werden sogar irritierende zwei Einwilligungsbanner gezeigt.

Auf den Einwand, dass die Seite so fehlerhaft noch,  kam die "abwimmelnde" Antwort: Dann sei der Verantwortliche wohl noch nicht mit allen Nachbesserungen bei den Links fertig und ich solle nach einem angemessenen Zeitraum eine neue Beschwerde einlegen.

Wieviel Zeit ist denn für die Beseitigung von den üblichen G*-Trackern und irreführenden Bannern so angemessen? Mehr als 1 Jahr reicht in Sachsen nicht, um einen rechtswidrigen Betrieb zu unterbinden.

Datenaufsicht oder doch eher Standortpolitik vom Feinsten.

[Bit]

Standortpolitik

Man lernt von Bayern ...

[duda]

Wieviel Zeit ist denn für die Beseitigung von den üblichen G*-Trackern und irreführenden Bannern so angemessen? Mehr als 1 Jahr reicht in Sachsen nicht, um einen rechtswidrigen Betrieb zu unterbinden.

Diese Verfahrensweisen halte ich ganz allgemein (nicht nur in Sachsen, sondern bundesweit) für reine Augenwischerei.

Man lernt von Bayern ...

Die Freistaaten BAYERN und SACHSEN sind ganz, ganz nahe beieinander, in jedweder Beziehung.

[GLenk]

Nachdem ich meine Zweifel an der konsequentent Erledigung geäußert hatte, gabe es noch einen Erklärungsversuch von der Behörde zu der "Erledigung":

Die der Beschwerde zugrunde liegende Seite sei mit einem Baukasten erstellt worden, der keine rechtskonforme Nutzung zugelassen hätte (Ergebnis der Untersuchung).

Der Verantwortliche habe sich dafür entschieden, die Seite neu aufzusetzen und für die Zeit der Migration werde eine Kopie der alten Seite unter der nun von mir bemängelten URL betrieben (Dort wurde ich über einen Link ("Kaffee kaufen" oder so ähnlich)  von der Hauptseite hin geführt.
Der Verantwortliche würde nach eigenen Angaben mittelfristig(?) die Migration abschließen und mir stünde eine Überprüfung frei.

Diesem Ergebnis sei ein langer Austausch mit dem Verantwortlichen voran gegangen, mit vielen Iterationen und Fristen.
Soviel zur Angemessenheit.
Ob damit ggf  auch

Jede Person hat ein Recht darauf, dass ihre Sache von einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht in einem fairen Verfahren, öffentlich und innerhalb angemessener Frist verhandelt wird. Jede Person kann sich beraten, verteidigen und vertreten lassen.

"erledigt" wurde?

Der aktuelle Stand sei zweifelsfrei ein temporärer Übergang zu einer neuen Seite, welche nicht Gegenstand dieses Verfahrens sei!

Also: Kein weiterer Sachverhalt für den Fortbestand des Verwaltungsverfahrens.

Es wäre auch zu viel verlangt, wenn die Behörde die neue Seite kritisch begleitet, oder?
Kann man wohl so sehen, aber meine Wertschätzung hat dieses Vorgehen nicht.

[Bit]

meine Wertschätzung hat dieses Vorgehen nicht.

Also ich finde, sie scheinen sich doch aber immerhin Mühe zu geben, sofern das alles der Wahrheit entspricht.
Dein Wohlwollen mit Behörden ist im Laufe der Jahre eben auch schon ganz schön abgenutzt, scheint mir ... 

[GLenk]

... scheinen sich doch aber immerhin Mühe zu geben...Wohlwollen mit Behörden ist im Laufe der Jahre oo ganz schön abgenutzt

Nun ja, einfachste Verfahren (Google Tracking) dauern ja schon mehr als 1 Jahr, dann kommt die Vorgeschichte noch zeitlich dazu ...
Selbst im EU-Ausland mit Verfahrensregeln zu mehr Effizienz (Österreich: innerhalb von 6 Monaten zu beenden, Spanien ebenfalls begrenzt, ich glaube 8 Monate) werden diese Fristen nach meiner Erfahrung nicht selbstverständlich eingehalten.

Die zig-Länderbehörden, die immer wieder mit Vorwänden wie Ressourcenmangel, anhaltend hohem Beschwerdeaufkommen und deren Behördenleitung das Recht auf angemessene Ausstattung gegenüber der Landesregierung nicht durchzusetzen wagen, sind mE eine Fehlkonstruktion.

Das Thema ist ja in diesem Thread Erfahrungen - und nicht nur meine -, also wer hat gute und mag darüber schreiben?