Vermutete ich letzte Woche noch, die Berliner Aufsichtsbehörde hätte ihren PGP Schlüssel verlegt und könnten deshalb meine Beschwerde über lieferando.de nicht bearbeiten, wurde ich gestern eines besseren belehrt – wenngleich der Ausgang identisch ist. Per Briefpost erhielt ich die Eingangsbestätigung – aber bearbeiten will die Behörde die Beschwerde dennoch nicht selbst. Peinlich, peinlicher, Berliner Beauftragte für Datenschutz und Informationsfreiheit – so sehe ich dieses Verfahren. Die Behörde sollte sich schämen.

Behörde sieht sich nicht zuständig

Die gleiche Behörde, die sich noch vor rund einem Monat mit einem Bußgeld von knapp 200.000 € bei lieferando.de gebrüstet hat, fühlt sich heute plötzlich nicht mehr zuständig?! Man hat das Gefühl, lieferando.de ist zum schwarzen Peter für die Aufsichtsbehörde geworden, den sie schnell wieder loswerden will. Vielleicht liegt es an der unglaublichen Peinlichkeit, dass die Behörde bei der ersten Prüfung evidente Datenschutzprobleme des Unternehmens übersehen hat und sich jetzt nicht die Blöße geben will?

Eingangsbestätigung der Berliner Aufsichtsbehörde

Was auch immer der Hintergrund ist, kann nur spekuliert werden. Dass tatsächlich die Zuständigkeit nun in einem anderen Mitgliedsland angesiedelt werden soll, ist aus zwei Gründen unglaublich:

  1. Meine Beschwerde habe ich gegen die Delivery Hero Germany GmbH gerichtet, also gegen das gleiche Unternehmen, gegen das die Berliner Behörde nach eigenen Angaben auch ihr Bußgeld gerichtet hat – und die ihren Sitz unstrittig in Berlin hat. Ebenso wie die im Schreiben der Behörde genannte yd. yourdelivery GmbH. Und für das Land Berlin ist die Berliner Aufsichtsbehörde ebenso unstrittig zuständig.
  2. Die Verfahren im EU-Austausch dauern ewig – wahrscheinlich sogar Jahre. Meine Beschwerde über SONOS, die auch in den Niederlanden ihren EU-Standort betreiben, hat alleine sieben Monate Bearbeitung gedauert. Aber nur, um zunächst festzustellen, dass die Niederländer überhaupt zuständig sind. Heute, rund 16 Monate nach der Beschwerde, ist immer noch nichts passiert und das Verfahren droht im Behördensumpf zu versickern. Vielleicht ist das genau das Ziel der Berliner Aufsicht?

Ich bin jedenfalls entsetzt über die Berliner Behörde und werde dagegen wiederum Beschwerde einlegen. Wenn wir Datenschutz wie ein “Schwarzer Peter”-Spiel betreiben, lachen die Unternehmen weiter über die Gesetze und die Behörden machen sich noch überflüssiger. Leidtragender ist wie immer der betroffene Bürger, der ein Anliegen hat, das nicht nur ihn, sondern Millionen von Nutzer betrifft. Aber millionenfache Verstöße abzustellen, scheint leider kein Anliegen der Behörden zu sein.

Eindruck: Datenschutz zwecklos

Schade, dass der Eindruck “Datenschutz ist zwecklos” sich durch solches Behördenverhalten immer weiter manifestiert. Ist das tatsächlich der Wille in Brüssel gewesen, als man die DSGVO entwickelt hat? Keinen Schutz für die Bürger, Wilder Westen bei den Datengiganten und Datenschutz-Anarchie bei Unternehmen. Und die Aufsichtsbehörden spielen lieber Schwarzer Peter, statt den Datenschutz durchzusetzen. Das ist leider die Realität, die uns Bürgern die DSGVO und der Behördenhabitus bisher gebracht hat. Ist Datenschutz doch zwecklos?


[Update 24.10.2019]
Folgende Beschwerde-E-Mail habe ich gestern verschickt:

Liebe Berliner Aufsichtsbehörde für Datenschutz und Informationsfreiheit,
sehr geehrte Frau Smoltczyk,
sehr geehrt… [Anm.: Bearbeiter geschwärzt],

mit großer Irritation und Enttäuschung habe ich Ihr Schreiben vom 14.10.2019 mit o.g. Geschäftszeichen vorgestern zur Kenntnis genommen.

Es ist für normale Bürger schlicht nicht nachvollziehbar, warum ein Unternehmen, das von Ihrer Behörde erst vor rund einem Monat sanktioniert wurde, heute nicht mehr in Ihren Zuständigkeitsbereich fallen soll. Meinen Dissens und meine offizielle Beschwerde über die potentielle Abgabe des Verfahrens an die Niederlande nehmen Sie hiermit bitte zur Kenntnis. Gleichzeitig prüfe ich derzeit, welche Rechtsmittel in dem Verfahren einlegt werden können.

Ich befürchte, wenn sich Aufsichtsbehörden durch die einfache Verschiebung der verantwortlichen Stelle in ein anderes Mitgliedsland so leicht ausbremsen lassen, obwohl an der Datenverarbeitung und lokalen Ausrichtung der Geschäftstätigkeit keinerlei Veränderung vorgenommen wurden, dass sie damit eine Tür öffnen, die viele, insbesondere internationale Unternehmen bald ausnutzen werden.

Den Schaden, wie in diesem Fall, tragen Millionen deutsche Bürger. Ist das tatsächlich Ihr Ziel und ist das mit Ihrer Intention, die Daten der Betroffenen in Deutschland zu schützen, für Sie wirklich vereinbar?

Für mich ist es das nicht und meinen weiteren Kommentar zu diesem Vorgang finden Sie im Übrigen öffentlich unter folgender URL: https://datenschutz-zwecklos.de/blog/2019/10/lieferando-de-aufsichtsbehoerde-schiebt-schwarzen-peter-nach-holland/

Vor dem Hintergrund des öffentlichen Interesses in dieser Angelegenheit weise ich vorsorglich darauf hin, dass ich die Entwicklung des Verfahrens zeitnah auf www.datenschutz-zwecklos.de darstellen und kommentieren werde. Es steht Ihnen im Übrigen frei, eine eventuelle Stellungnahme auf der Website selbst als Kommentar zu veröffentlichen, aber selbstverständlich übernehme ich diese Veröffentlichung auch gerne für Sie.

In der Hoffnung, dass Sie im Dialog mit den niederländischen Kollegen eine für die Betroffenen gute und vor allem zeitnahe Lösung finden, verbleibe ich mit besten Grüßen

Christian Bennefeld

[Update 05.11.2019]
Die Berliner Aufsichtsbehörde hat – diesmal per PGP verschlüsselt – und gleich vier mal am 29.10.2019 eine “Zwischennachricht” geschickt, deren Kern wie folgt lautet:

In der Sache ist zu berichten, dass die durch die DS-GVO zwingend vorgeschriebene Abstimmung der Aufsichtsbehörden noch nicht abgeschlossen ist.

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Es bleibt also spannend, ob die Klärung der Zuständigkeit wieder mehr als sechs Monate, wie im Fall SONOS, benötigt oder die Behörden nunmehr schneller geworden sind.

Ich bleibe natürlich weiter dran und werde diesen Artikel entsprechend bei Neuerungen aktualisieren. Über ein Web Push Abo (unten am Fuß der Seite) informieren wir in Sie Echtzeit.