Das Wichtigste zum Thema “DSGVO-Verstoß melden” in Kürze
In der Regel muss jeder Datenschutzverstoß der zuständigen Datenschutzbehörde gemeldet werden. Ein Ausnahme besteht, wenn ein geringes Verletzungsrisiko der personenbezogenen Daten vorliegt. Mehr dazu lesen Sie hier.
Wem der DSGVO-Verstoß zu melden ist, richtet sich nach dem Ort der Datenpanne und der verarbeitenden Stelle. In der Tabelle weiter unten haben wir Ihnen die örtlichen Zuständigkeiten übersichtlich zusammengefasst.
Einen Datenschutzverstoß definiert die DSGVO allgemein als Verletzung des Schutzes personenbezogener Daten. Diese kann in der Vernichtung, dem Verlust, der Veränderung oder der Offenlegung der Daten liegen.
Bußgeldrechner: DSGVO-Verstöße
Wie können Sie einen Datenschutzverstoß melden?
Inhaltsverzeichnis
Die Datenschutz-Grundverordnung (DSGVO) legt strenge Regelungen fest, wenn es um den Umgang mit personenbezogenen Daten geht. Von Zeit zu Zeit kann es vorkommen, dass diese Regeln gebrochen werden – sei es vorsätzlich oder aus Versehen. In einem solchen Fall ist es wichtig, den Verstoß gegen die DSGVO zu melden. Doch wie läuft das ab? Wer ist Ansprechpartner, wenn Sie Datenschutzverstöße melden wollen? Und generell: Was ist überhaupt ein Datenschutzverstoß? Diesen Fragen gehen wir im folgenden Ratgeber auf den Grund.
Datenschutz: Einen Verstoß erkennen und melden
Bevor es um die Frage geht, wie Sie einen DSGVO-Verstoß melden können, ist es zunächst wichtig zu klären, was überhaupt unter einem solchen Verstoß verstanden wird.
Nach der DSGVO liegt ein Datenschutzverstoß ganz allgemein dann vor, wenn der Schutz personenbezogener Daten verletzt wurde. Die Rede ist dann auch von der sogenannten Datenpanne. Im Einzelnen wird zwischen zwei Alternativen unterschieden:
- Vernichtung, Verlust oder Veränderung der personenbezogenen Daten
- unbefugte Offenlegung bzw. unbefugter Zugang von/zu personenbezogenen Daten
Liegt ein solcher Fall vor, handelt es sich um einen Verstoß gegen den Datenschutz, den Sie melden können. Verantwortliche eines Unternehmens/einer Institution (z. B. Datenschutzbeauftragte) sind sogar zu einer entsprechenden Meldung verpflichtet. Dies ist in Art. 33 der DSGVO geregelt. Dort heißt es:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die DSGVO legt also sowohl fest, wer den Datenschutzverstoß melden, als auch innerhalb welcher Frist die Meldung vorgenommen werden muss. Wer Verantwortlicher im Sinne der DSGVO ist, wird im Art. 4 Nr. 7 definiert. Dementsprechend ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Eine Meldung ist laut. Art. 33 DSGVO nicht erforderlich, wenn ein geringes Verletzungsrisiko bzgl. der personenbezogenen Daten besteht. Dies ist bspw. dann der Fall wenn sicher verschlüsselte Datenträger verloren gegangen sind, auf denen sich entsprechende Daten befinden.
Bei wem müssen Sie Datenschutzverstöße melden?
Um einen DSGVO-Verstoß zu melden, muss sich der Verantwortliche an die zuständige Datenschutzbehörde wenden. Auch Betroffene können hier mögliche Datenschutzverstöße anzeigen.
Je nachdem wo die personenbezogenen Daten (unzulässig) verarbeitet wurden und welche Stelle für die Datenpanne verantwortlich ist, ändert sich auch die zuständige Behörde. In der folgenden Tabelle haben wir übersichtlich aufgelistet, wer in Ihrem jeweiligen Bundesland für den Datenschutz zuständig ist. Beachten Sie jedoch, dass in einigen Fällen der Bundesdatenschutzbeauftragte oder auch spezielle Datenschutzbehörden unabhängig vom Ort des Verstoßes zuständig sind.
Landesdatenschutzbeauftragte in Deutschland
Bundesland | Landesdatenschutzbeauftragte/r | Homepage |
---|---|---|
Baden-Württemberg | Dr. Stefan Brink | Homepage |
Bayern | Prof. Dr. Thomas Petri | Homepage |
Berlin | Volker Brozio (kommissarisch) | Homepage |
Brandenburg | Dagmar Hartge | Homepage |
Bremen | Dr. Imke Sommer | Homepage |
Hamburg | Thomas Fuchs | Homepage |
Hessen | Prof. Dr. Alexander Roßnagel | Homepage |
Mecklenburg-Vorpommern | Heinz Müller | Homepage |
Niedersachsen | Barbara Thiel | Homepage |
Nordrhein-Westfalen | Bettina Gayk | Homepage |
Rheinland-Pfalz | Prof. Dr. Dieter Kugelmann | Homepage |
Saarland | Monika Grethel | Homepage |
Sachsen | Dr. Juliane Hundert | Homepage |
Sachsen-Anhalt | Albert Cohaus (kommissarisch) | Homepage |
Schleswig-Holstein | Marit Hansen | Homepage |
Thüringen | Dr. Lutz Hasse | Homepage |
Bildnachweise: Fotolia.com/peterschreiber.media, Fotolia.com/mangpor2004
sie hat mich im Bus gefilmt
Guten Tag,
ich arbeite in einem der größten Automobilunternehmen der Welt. Hier wird immer von der Datenschutzverordnung gepredigt und das wir dies strengstens einhalten müssen. Jetzt musste ich feststellen, das in einem Archiv ich eine Personalakte von mir gefunden habe. Darin meine Zeugnisse, meine Bewerbung, mein Einstellungstest mit Bewertung und Ergebnissen. Auch finde ich dort von vielen anderen die Unterlagen. U.a. auch von Prämienzahlungen usw. Dieser Raum kann von jedem Kollegen ohne Personalverantwortlichkeit betreten werden, da dieser Raum auch anders genutzt wird. Dies ist für mich ein riesen Skandal. Ich würde dies nun gerne rechtssicher festhalten, weiß jedoch nicht wie? Fotos darf ich eigentlich keine anfertigen lt. Betriebsordnung. Da ich ja dann mich wieder strafbar mache, weiß ich einfach nicht wie ich das festhalten kann.
Verstöße gegen die Betriebsordnung sind keine Straftat, und es wird auch keine, solange du die Fotos nicht veröffentlichst oder anderweitig missbrauchst. Ich würde es entsprechend dokumentieren und dann sehen, ob das Unternehmen eine interne Meldestelle für Whistleblower hat, wo man sich anonym melden kann. Sollte daraufhin nichts passieren, kannst du Strafantrag stellen, was allerdings heißen kann, dass du deinen Job los bist. Die Bananenrepublik Deutschland hat nicht viel für gesetzestreue Bürger übrig.
Bitte löschen Sie meine eben gestellte Nachricht!
Leute haben auf einem Sommerfest Videos gemacht und auf Facebook veröffentlicht. Bis auf einen, haben die Filmer darauf geachtet, niemand länger als eine Sekunde im Bild zu haben. Leider bin ich lange u. deutlich auf einem Video von dem einen zu sehen, dem Recht auf Datenschutz woscht ist.
Weder wurde ich vor Veröffentlichung um Erlaubnis gefragt, noch reagiert er auf meine Nachricht, das Video bitte zu löschen. Es scheint auch keinen anderen aufzufallen, oder zu interessieren, dass die Personen gut zu erkennen sind, sonst würden sie es nicht liken, teilen u. mit vielen Emojis kommentieren.
Gestern Abend 23:30 Uhr habe mit der Original Video URL die Löschung wg. Dsgvo-Verstoß bei Fb beantragt. Jetzt ist es 19:30 Uhr, das Video ist immer noch on. Wie lange dauert sowas? Kann die Polizei den Nutzer auffordern, das Video zu löschen? Was soll ich machen?
Eine private Person hat eine Wildkamera bzw. Überwachungskamera an einen Mast der Bahn innerhalb des Bahngrundstücks installiert, die Kamera ist in Richtung private Grundstücke gerichtet, sodass Bewohner der Grundstücke aufgenommen werden. Da es sich um Gärten handelt, ist nicht bei jedem Grundstück eine Sichtschutz vorhanden. Gemäß Modellbeschreibung, ist die angehängte Kamera für die Aufnahme von Bilder und Videos fähig, außerdem ist das Gerät auch in der Lage, sich an das Internet zu verbinden.
Meine Familie und ich (ink. meine Kinder) werden auch von dieser Kamera aufgenommen, dies haben wir aber nie zugestimmt.
Wir haben den Fall bei der Polizei gemeldet, sie meinten aber, dies sei nicht strafbar, da dort kein Sichtschutz vorhanden ist. Wir fühlen uns in unserer privaten Sphäre verletz und überwacht. Könnte mir jemand sagen, wie wir mit diesem Fall vorgehen sollen? Wo sollen wir den Fall melden?
Vielen Dank!
Einen Anwalt hinzuziehen und Klage einreichen. Der Polizist hat unrecht. Es ist nicht erlaubt, Überwachungskameras auf fremde Grundstücke oder auch nur den öffentlichen Raum zu richten. Sogar Atrappen sind verboten, weil dadurch „Überwachungsdruck“ entsteht.
Mein Ex-Arbeitgeber (seit 30.06.2022) leitet meine persönlichen E-Mails ohne meine Einwilligungserklärung weiter und zwar an die Chefin persönlich – das hat eine ehemalige Arbeitskollegin berichtet und ich habe heute den Test über ein Fake E-Mail Account ausgeführt. E-Mail an meine alte E-Mail Adresse geschickt und ich erhalte keine Fehlermeldung.
Wir kamen überhaupt auf das Thema, weil ich als ehemalige Angestellte das Thema schon mitbekommen hatte (E-Mail Weiterleitung von ehemaligen Mitarbeitern). Meine Ex Chefin hat nach Hinweis, dass das so nicht erlaubt ist, das Ganze immer sehr lächerlich angetan.
Was mache ich denn nun? Ist das schon ein Thema für die Datenschutzbehörde?
Wenn ich mich hier den einen oder anderen Kommentar durchlese, dann frage ich mich echt, ob es nurnoch darum geht die DSGVO religiös wörtlich auszulegen und bei Zweifeln ein möglichst noch strenge Interpretation zu erfinden.
Mein Gott, was spricht dagegen, das der Fotograf ein Foto von mir macht?
Oder, wenn Gutefrage.de Werbecookies setzten will und keine andere Option zulässt, dann geht halt nicht auf diese Webseite. Lasst mal die Kirche im Dorf! Wenn hier alle soviel Angst vor der Digitalen Welt haben, dann schaltet alles ab und geht in den Wald. Aber belästigt nicht den Rest der Welt, der die Dinge nutzten möchte. Ausserhalb Deutschlands fängt man schon an über die Deutschen zu lachen und überholt in Richtung Zukunft.
Der Aufstand der schlesischen Weber hat auch nicht die Dampfmaschinen verhindert.
Ein niederländisches Unternehmen benutzt meine personenbezogenen Daten ohne das wir eine geschäftliche Beziehung hsben. An welche Behörde richte ich als deutscher Staatsbürger meine Beschwerde?
Ich habe heute per Opodo App meinen online Check in angefordert.
Per E-Mail habe ich dann „meinen“ persönlichen Link zum download des Boarding Pass erhalten.
Blöd nur, dass der Boarding pass jemand völlig anderem gehört. Auf dem Boardingpass steht logischerweise auch der Name und die Buchungsnummer der fremden Person drauf. Diesen Flug könnte ich ja bösartiger Weise stornieren. Mach ich na klar nicht.
Das ist doch ein klarer Verstoß gegen die DSGVO, oder
Danke und Gruß
Holger
löschen Sie meine Nachricht von ca. 11:30 Uhr.
Ich habe mit einem Änderungsbescheid eines Sozialamts den Änderungsbescheid einer mir fremden Person im selben Briefumschlag mitgeschickt bekommen. Ich habe das Amt in Kenntnis darüber gesetzt.
Allerdings außer automatisierter Eingangsbestätigung kam keinerlei Reaktion.
Ich habe das dem Datenschutzamt meines Bundeslandes gemeldet, da ich in meiner Stadt keinen Verantwortlichen finden konnte.
Ist das übertrieben von mir? Ich finde es beunruhigend da ich jetzt über die Identität einer mir fremden Person samt ihrer Einkommensverhältnisse und Wohnort voll im Bilde bin. Ich werde das zwar nicht missbrauchen, aber in falschen Händen könnte man damit Schaden anrichten.
Über Antworten freue ich mich
Zitat aus dem Beitrag zu DSGVO-Verstoß: „Liegt ein solcher Fall vor, handelt es sich um einen Verstoß gegen den Datenschutz, den Sie melden können. Verantwortliche eines Unternehmens/einer Institution (z. B. Datenschutzbeauftragte) sind sogar zu einer entsprechenden Meldung verpflichtet. Dies ist in Art. 33 der DSGVO geregelt…“
Das stimmt so nicht. Grundsätzlich ist der Datenschutzbeauftragte nicht Verantwortlicher eines Unternehmens oder einer Institution; daher obliegt ihm auch nicht die Meldepflicht gegenüber der Aufsichtsbehörde. Die Meldepflicht besteht ausnahmslos nur für Vorstände, Geschäftsführer oder Unternehmer selbst.
Meine Handy-Nummer wurde vom „Verbund Pflegehilfe“ (Mainz) ohne mein Einverständnis an die vermittelten Pflegedienste weitergegeben. Da unter den angebotenen Pflegediensten zufällig auch mein derzeitiger Pflegedienst aufgelistet war, hat dieser davon Kenntnis bekommen, dass ich die Absicht habe, den Pflegedienst zu wechseln.
Die Folge: Ich wurde sofort telefonisch kontaktiert und erhielt am nächsten Tag die Kündigung.
Eine solche Praxis wird dann wohl auch andere pflegebedürftige Menschen betreffen.
Ich habe für jede Webseite mit Registrierungsoption eine eigene Mailadresse vergeben, um so erkennen zu können, ob diese Daten ggf. gehackt oder verkauft worden sind – dann wird diese unberechtigterweise von einem Dritten benutzt werden.
Wenn ich jetzt diese Vermutung hege – wen informiere ich in welchem Umfang und gegenüber wem mache ich dann mit welchen Worten meine Betroffenenrechte geltend: der Firma und/oder dem Landes-/Bundes-Datenschutzbeauftragten?
Ich habe eine Frage.
Bei mir im Betrieb ist ein täglicher Corona Schnelltest Pflicht. Da dieser nicht überwacht wird liegen für die Dokumentation auf einem Tisch für alle Mitarbeiter frei zugänglich Listen aus mit Namen , Geburtsdaten. Der Impfstatus wird dadurch signalisiert , daß die Namen der Ungeimpften in rot getippt sind , mit dem Vermerk 2× wöchentlich PCR Test .
Meine Frage nun wo kann man als Arbeitnehmer so etwas melden ?
Frage:
Wenn ich weiß, das ein Unternehmen eine veraltete Software verwendet, die keine Sicherheitsupdates mehr herstellt, ist das dann schon eine Datenschutzverletzung?
Ich kenne ein Unternehmen welches immer noch (heute 04/2022) Windows 7 verwendet. Die Sicherheitsupdates wurden ende 2019 eingestellt. Es werden hoch sensible personalisierte Daten auf den entsprechenden Servern gelagert und ich bin unschlüssig, ob ich dieses Unternehmen melden sollte oder nicht, da ich mir unsicher bin ob dies bereits eine DSGVO Verletzung ist.
Sofern das eine Verletzung wäre, würde ich die Meldung gern Anonym veranlassen, gibt es diese Möglichkeit oder muss ich meine Personalien angeben? (Bundesland: Rheinland-Pfalz)
Ich bitte um Antwort auf die Fragen.
Grüße
Hallo Aldurin,
soweit ich weiß bekommen geschäftlich geführte Windows Lizenzen eine verlängerte Frist, weil es je nach Größe des Unternehmens ein riesiger organasiatischer Akt ist, immer das aktuellste Betriebssystem zu verwenden. Außerdem laufen einige Spezialanwendungen eventuell nicht auf den aktuellen Systemen, sondern müssen aufwendig portiert werden. Bevor eine Meldung abgesetzt wird, würde ich erstmal bei der IT Abteilung in Erfahrung bringen, welche Gründe für besagte veraltete Betriebssysteme vorliegen. Meist kann die Firma nicht, wie sie gerne wollte, ihr sind schlicht aus Ermangelung an Alternativen die Hände gebunden.
Gruß Jonas
Es fehlt noch immer die Antwort auf Christians Frage. An wen muß ich mich wenden, wenn das Cookie banner nicht den gesetzlichen Vorschriften entspricht; wenn eine Auswahlmöglichkeit nicht besteht?
Ich schlage vor, dass Sie die entsprechende Webseite nicht verwenden. Andere Nutzer der Webseite scheint ihr Problem nicht zu stören.
Die Teenager Plattform Gutefrage.net verstößt seit letzter Woche gegen den Datenschutz. Die Nutzung ist nur noch möglich, indem Webecookies angenommen werden müssen, oder es muss ein Zahlabo abgeschlossen werden. Es handelt sich um eine Nutzerplattform, also um keinen Zeitschriftenverlag. Ich finde es eine Frechheit, das Minderjährige und Menschen, die akut Hilfe suchen so erpresst werden, der Datenverarbeitung zuzustimmen.
Guten Tag,
muß die Anonymität des DSGVO-Beschwerdeführers durch die LfDs gewahrt bleiben bzw. unter welchen Vorraussetzung muss die Identität offen gelegt werden? (Reicht z.B. Akteneinsicht zur Offenlegung aus?)
Danke
Darf die Schufa einfach meine neue Adresse an eine Firma namens Riser ID Services weiter geben ohne das ich irgendetwas mit der Firma zu tun habe bzw. ich dazu meine Einwilligung gegeben habe bzw. mich überhaupt darüber informiert hat? Beide äußern sich dazu nicht. Ist mir auch nur aufgefallen, weil ich zufällig einen Ausdruck meiner gespeicherten Daten angefordert habe.
In einem Streit mit einer Partnervermittlung hat diese meine Daten ( Name , Vorname ) aus einer Banküberweisung an ein Inkassobüro weiter gegeben
eine Vollmacht ( Partnervermittlung/Inkassobüro liegt nicht vor.
Über eine Einschätzung würde ich mich freuen ( Danke )
ich habe vor einem monat einen groben verstoß beim datenschutzbeauftragten gemeldet, bis her ist nichts passiert, der verstoß dauert an! wie soll ich vorgehen?
Ich teile mir mit meinem Ex-Mann einen PKW der Marke Citröen. Jetzt nutzt er die App „My Citröen“, die, unter anderem, die zurückgelegten Fahrten speichert. Und zwar wirklich alle, auch die Fahrten von mir, wenn der Ex-Mann gar nicht im Auto sitzt. Mit angefahrenen Adressen, Uhrzeit, usw. Das Auto zeigt es nicht an, dass eine Aufzeichnung stattfindet und ich hsbe keine Möglichkeit, die Daten zu löschen. Ist so eine Aufzeichnung datenschutzrechtlich in Ordnung?
Hallo, leider muss ich sie enttäuschen. Eine Aufzeichnung der Daten wird bei Nutzung dieser App kaum zu verhindern sein. Mit freundlichen Grüßen Synology
Hallo,
an wen muss ich mich wenden, wenn ich nur alle Cookies einwilligen kann, nicht jedoch abwählen?
(Website bietet keine Möglichkeit, Cookies abzulehnen, egal ob einzelne oder alle.)
Danke!
Jemand veröffentlicht bei Facebook eine gerichtliche Verfügung und lässt dabei den Namen der Person gegen die, die gerichtliche Verfügung gerichtet ist ungeschwärzt stehen.
Auf den Hinweis an die postende, dass dies datenschutzrechtlich nicht richtig sei! Erwiderte die postende Person, es sei ihr egal.
Bei der postenden Person als auch der benannten Person, handelt es sich um Privatpersonen.
Es geht offensichtlich nur um das schädigen der benannten Person.
Das ganze Thema wird ironischerweise interessant, wenn eine Webseite in vielen Punkten möglicherweise gegen die DSGVO verstößt (kein Cookie-Hinweis, jede Menge Social-Media-Cookies, Google-Ressourcen, kein HTTPS), aber die Webseite zudem gegen die Impressumspflicht verstößt, das heißt, kein „Unternehmenssitz“ angegeben ist. Die Webseite besitzt einen Spenden-Button und Sponsoren-Links, es handelt sich also um eine kommerzielle Seite.
Der Webspace-Hoster sitzt nach IP-geolocation in NRW, die Webseite hat eine .de-Domain, aber ansonsten gibt es keine persönlichen Informationen zum Betreiber. NRW bietet ein online ausfüllbares Beschwerdeformular, dass per Post oder Fax (!!) geschickt werden muss, zusammen mit kopierten Unterlagen (Webseite ausdrucken?) zum DSGVO-Verstoß. Bonus: man muss Namen und Sitz des „Unternehmens“ mit angeben.. Glückwunsch, Deutschland. Großartig umgesetzt, die Neulandpolitik hat es geschafft.
Wenn ein Fotograf ohne einem Vertrag und ohne mündlicher Vereinbarung Fotos öffentlich von mir verwendet, verkauft und öffentlich zur Verfügung stellt, kann ich was dagegen tun?
Das ist kein Datenschutz- sondern ein Urheberrechts-Verstoß. Du kannst den Täter auf Unterlassung verklagen, Schadensersatz fordern und Strafanzeige stellen.
Hallo, Ja, machen sie eine Unterlassungsklage bei der Polizei.
Mit freundlichen Grüßen Synology