r/datenschutz

Hi zusammen,
ich arbeite als Pflegefachkraft in einem großen Krankenhaus in Deutschland. Am 28. April habe ich beim behördlichen Datenschutzbeauftragten offiziell Einsicht in meine Log-Daten (gemäß Art. 9 DSGVO) beantragt.
Der Grund dafür ist, dass ich den begründeten Verdacht habe, dass jemand aus meinem Team unbefugt (ohne medizinischen/dienstlichen Grund) auf meine Patientenakte zugegriffen hat, als ich nicht da war.
Auf meine allererste E-Mail wurde damals super schnell geantwortet, aber seitdem herrscht absolute Funkstille. Es ist jetzt fast um ein Monat her. Auf meine Erinnerungs-Mails wird nicht reagiert und ans Telefon geht dort auch niemand.
Heute habe ich mit einem Vertreter vom Personalrat gesprochen. Er meinte, dass die Datenschutz-Dienststelle extrem unterbesetzt ist (anscheinend nur zwei Leute für den gesamten Klinikkomplex) und hat mir empfohlen, noch mal eine Erinnerung zu schreiben eihn in CC zu setzen. Das habe ich gerade erledigt.
Trotzdem macht mich das Warten und die Ungewissheit langsam verrückt. Wenn die Log-Daten komplett sauber wären, wäre das doch eigentlich eine Sache von zwei Klicks für die IT, oder? Sie könnten mir einfach eine Standard-Antwort schicken ("kein unbefugter Zugriff festgestellt") und das Ticket schließen.
Dauert das wegen der normalen deutschen Bürokratie einfach so lange oder ist es wahrscheinlicher, dass sie tatsächlich einen unbefugten Zugriff gefunden haben und die Sache jetzt intern in der Rechtsabteilung/Personalabteilung festsitzt, während sie das Ganze prüfen?
Hat jemand schon mal Erfahrungen mit sowas im öffentlichen Dienst oder im Krankenhausbereich gemacht? Danke für eure Einschätzungen!

Eine Kreditkartenfirma hab in einem laufenden Vertrag die Adresse eine Kunden falsch an die Schufa übermittelt. Dabei wurde nur ein Buchstabe vergessen. Die Schufa wertet das als neue Adresse und der Score fällt dann um über 50 Punkte. Das die Kreditkartenfirma das falsch gemeldet hat, ergibt sich aus einer Datenauskunft der Schufa. Die Adresse wurde durch den Kunden zwar bei der Schufa wieder berichtig, aber die Schufa will jetzt vom Kunden nachweise, über die Zeit, die der Kunde an der Adresse wohnt. Diese Nachweise müssten kostenpflichtig beschafft werden.

Der Kundenservice der Kreditkarte (teuer und "Premium") erwartet, das man sich nun per Brief meldet und sieht das nicht als etwas an, das man bearbeiten muss.

Welche Möglichkeiten hat man? Auch um zu verhindern, das man jetzt Geld und Zeit investiert und die Firma die Adresse wieder falsch meldet

Bei uns auf der Arbeit hat mein Chef jetzt angefangen, Granola zu nutzen. Das ist eine KI, die in Teams oder Google Meetings alles aufnimmt, transkribiert und eine Zusammenfassung erstellt. Allerdings sehen die Teilnehmer des Meetings NICHT, dass eine KI dabei ist. Es wird auch nicht angesprochen.

Als mein Chef das zum ersten Mal erwähnt hat, fand ich das ehrlich gesagt ziemlich schwierig, weil man gar nicht weiß, in welchen Meetings die KI mitläuft. (Oder auch schon die ganze Zeit mitgelaufen ist)

Manchmal bespricht man ja auch am Anfang kurz private Themen in Meetings.

Jetzt sollen wir als Mitarbeiter das ebenfalls nutzen, auch in internen Meetings oder mit Kunden. Aber wir geben dabei niemandem Bescheid.

Wie ist hier die Datenschutzlage?

In meiner Straße (Zone 30) fährt seit einiger Zeit ein "verdammt cooler" Typ mit Motorrad und Auto immer viel zu schnell und oft auf der falschen Seite. Polizei macht nicht, da ich nicht nachweisen kann, dass er zu schnell fährt und keine Beweise habe.

Darf ich ein Video aufnehmen sobald ich sehe, dass er wieder viel zu schnell an meinem Haus vorbei fährt?

Ich könnte ja vielleicht den Sonnenuntergang gefilmt haben und er ist als Beiwerk drauf?

Edit: Ja..fotografieren ist das falsche Wort im Titel

Hallo Freunde des Internets,

Ich hatte die Woche ein etwas seltsames Erlebnis:

Habe ein Produkt bei Amazon bestellt und es war leider nicht den Erwartungen entsprechend, also habe ich auch eine entsprechende Rezension mit meinen Kritikpunkten hinterlassen. Einige Tage später werde ich wohl von einem der Mitgründer des Start-Ups hinter dem Produkt abgerufen ob ich denn einen Moment Zeit habe ihm zu schildern was genau das Problem war, ihm evtl Fotos der geschilderten Problematik schicken kann und wenn ich Verbesserungsvorschläge habe würde er diese auch aufnehmen. Prinzipiell war es kein schlechtes Gespräch und ich hätte auch generell kein Problem damit gehabt wenn ein Hersteller bei sowas auf mich zukommt aber jetzt ist meine Frage: Woher hatten die überhaupt meine Nummer? Ist das bei Amazon für Verkäufer ersichtlich? Wenn ja, wie kann ich das künftig verhindern, dass jeder einzelne Verkäufer potenziel an meine Handynummer kommt?

Danke im Voraus.

War neulich im Amtsgericht. Während ich wartete, vertrat ich mir auf der Etage die Beine und erkundete den Flur. Ich schlenderte so daher als ich auf einer Wartebank für das Publikum Unterlagen entdeckte. Offensichtlich Anträge zur Prozesskostenhilfe, Name, Kontoverbindung etc. Ebenfalls standen 2 grosse Aktenwagen in diesem Flur, hier lagen die Akten haufenweise, teils geöffnet drauf.

Ich dachte ich sehe nicht richtig.

Also schrieb ich vor Ort eine Mail an den Datenschutzbeauftragten aka. Richter am Amtsgericht. Dieser erschien tatsächlich umgehend am vermeintlichen Tatort. Überzeugte sich selbst und legte die Anträge auf einen der Aktenwagen und verschwand wieder. Also Sachen gibt es.

Einleitung:

"Ich bitte, höflichst um die fachliche Diskussion.

Wer meine Logik für einen 'Bestätigungsfehler' hält, ist hiermit eingeladen, die folgenden Thesen faktisch zu widerlegen.

Emotionen, Diagnosen oder Muffin-Rezepte werde ich ignorieren – hier zählt nur das Fachfundament."

These 1:

Das Recht auf Löschungsgrund (Digital-Statik) Jeder User hat gemäß Art. 15 DSGVO ein Recht darauf zu erfahren, auf welcher exakten Tatsachengrundlage Posts oder Accounts gelöscht wurden. Eine pauschale Berufung auf 'Hausrecht' ohne Benennung des konkreten Verstoßes ist bei Plattformen mit öffentlicher Relevanz (siehe EuGH-Urteil ULD vs. Meta, ​EuGH, Urteil vom 05.06.2018 – Az. C-210/16 ) rechtswidrig.

• Herausforderung: Widerlegt faktisch, warum eine Blackbox-Löschung bei der Aufdeckung von Behördenfehlern rechtmäßig sein sollte.

These 2:

Die titullose Aufrechnung ist ein Systembruch (Behörden-Statik) Eine Einbehaltung von Geldern durch das Finanzamt oder Jugendamt ohne vollstreckbaren Titel (Bescheid) ist kein 'Verwaltungshandeln', sondern staatliche Willkür. Ein 'Informationsschreiben' ersetzt keinen Verwaltungsakt.

• Herausforderung: Zeigt mir die Rechtsnorm, die eine Aufrechnung ohne vorherige Bescheiderteilung und Widerspruchsmöglichkeit legitimiert (Stichwort: Akteinsicht nach Art. 15 DSGVO (Auskunftsrecht der betroffenen Person)

These 3:

Die fragmentierte Akte als Verfahrenshindernis (Justiz-Statik) Wenn Belege, die nachweislich (fotografisch dokumentiert) eingereicht wurden, in der Gerichtsakte fehlen, ist die Amtsermittlungspflicht (§ 103 SGG) verletzt. Ein Urteil auf Basis einer unvollständigen Akte ist statisch instabil und nichtig.

• Herausforderung: Erklärt fachlich, wie ein fairer Prozess möglich ist, wenn die 'technische Schnittstelle' (ADGA) selektiv Beweise schluckt.

Schlusswort: "Ich suche keinen Beifall, ich suche den fachlichen Fehler in meiner Logik. Wenn ihr ihn nicht findet, ist meine Statik korrekt. Werdet konkret oder bleibt still."

Ich danke euch herzlichst!

Ihr helft mir damit​ entweder meinen Logikstrang zu festigen oder eben aufzulösen.

Beides ist für mich als Erfolg zu werten!

Liebe Grüße aus Steinburg

Moin,

Hatte über Shodan-Dorking einen komplett ungesicherten (kein Passwort, nichts) NAS-Server einer Hausverwaltung gefunden in der wirklich alle Daten einsehbar sind.

Mietverträge, Mahnungen, Lohn, Steuern, ein Ordner mit >1200 eingescannten Dokumenten, wirklich alles der letzten Jahr(zehnte)

Kann man sowas irgendwo (anonym) melden?

Studiere IT-Sicherheit und das ist bei mir jetzt der erste Fall bei dem es so gravierend ist und bei dem die Daten in falschen Händen wirklich schwere Folgen haben könnten

Mir ist vermehrt in den letzten Wochen aufgefallen, dass hier auffällig viele Beiträge und Kommentare auftauchen, die erkennbar aus einem LLM kommen – und zwar ungeprüft.

Die Muster sind immer ähnlich: Eine Wand aus Paragraphen, die sich gut anhört, bei näherem Hinsehen aber juristisch nicht zusammenpasst. IZG-SH wird bundesweit zitiert, das Bayerische Pressegesetz für Privatpersonen, Art. 15 DSGVO als Allzweck-Türöffner für sämtliche Informationen einer Behörde. Manchmal bleiben sogar Reste wie „Serviervorschlag" oder Platzhalter im Text stehen.

Ehrlich gesagt schwanke ich zwischen amüsiert und genervt. Amüsiert, weil manche Konstrukte so kreativ falsch sind, dass es schon wieder Kunst ist. Genervt, weil:

- Leute solche Texte ungeprüft an Behörden schicken und sich damit selbst im Weg stehen.

- Echte Fragen im Rauschen untergehen.

- Sich eine Pseudo-Kompetenz etabliert, die niemandem hilft – am wenigsten dem Fragesteller selbst.

An die Fachleute hier: Seht ihr das auch so, oder übertreibe ich? Begegnet euch das im Berufsalltag, und wie geht ihr damit um?

Mir geht es nicht darum, KI grundsätzlich zu verteufeln – als Recherchehilfe oder zum Strukturieren kann sie sinnvoll sein. Aber der Schritt „Output prüfen, bevor man ihn als Rechtsmeinung verkauft" scheint zunehmend ausgelassen zu werden.

Unter Berufung auf Art. 14 & 17 des Digital Services Act (DSA) bitte ich die Offenlegung der Moderationsparameter, die zur Sperrung meines vorherigen Accounts führten.

Es kann nicht im Sinne der EU-Rechtslage sein, dass ein sachlicher Diskurs über Datenschutzverfahren (ULD Az. LD2.4-72.01/26.018) durch massenhafte, unbegründete Meldungen eines 'Pöbel-Blocks' unterbunden wird, während Beleidigungen ('Psychopath') ungeahndet bleiben.

Ich erwarte eine rechtfertigende Begründung gemäß der gesetzlichen Transparenzpflichten für Online-Plattformen in der EU.

Vielen Dank und liebe Grüße

Seit 2023 gehe ich gegen eine Behörde in meinem Landkreis vor. Ohne Anwalt, nur als Bürger mit einem gesunden Rechtsempfinden. Hier ist die Geschichte hinter meinem „Antrieb Transparenz“:

1. Der Auslöser: Ich stellte eine Rechtswidrigkeit fest und zeigte diese bei der Behörde an. Statt einer sachlichen Begründung mit Paragraphen erlebte ich eine reine Abwehrhaltung. Das war mein erstes Indiz:

Wer nicht erklärt, hat meistens etwas zu verbergen.

2. Die Methode (Citizen Science): Ich habe angefangen, die Strukturen wie eine Landkarte zu analysieren:

• KI-gestützte Recherche: Ich habe Logikketten und Paragraphen mit KI-Unterstützung geprüft und Gegenthesen erstellt. Nur was jeder Prüfung standhielt, wurde zum Fakt.
• Fakten-Check: Jede KI-Information habe ich manuell im Internet gegen die Gesetzestexte geprüft.
• Dokumentation: Über 50 Einwurf-Einschreiben, 50 Faxe und über 100 E-Mails. Alles chronologisch nummeriert und in einem Blockverzeichnis erfasst. So entstand eine lückenlose Landkarte des behördlichen Handelns.
• 3. Der Stresstest (Der Benchmark): Ich wollte wissen: Ist das ein systemisches Problem oder nur diese eine Behörde? Ich habe andere Landkreise mit denselben Fragen zur ADGA (Arbeitsanweisung) kontaktiert.
• Das Ergebnis: Erstaunlich. Während Metropolen wie München oder Frankfurt mauern, haben kleine Landkreise innerhalb von 48 Stunden geliefert – teilweise vom Landrat persönlich unterschrieben.
• Die Erkenntnis: Es gibt keinen rechtlichen Grund für die Geheimhaltung. Wenn Kreis A es offenlegt und Kreis B behauptet, es sei geheim, dann handelt Kreis B willkürlich.
• 4. Wo ich heute stehe: Meine „Landkarte“ ist mittlerweile so fundiert, dass das ULD SH ermittelt. Es geht um die Frage, wie eine Behörde die Herausgabe von Arbeitsanweisungen verweigern kann, die jeder Bürger einsehen darf.

Mein Fazit: Transparenz ist kein Gnadenakt. Der Weg vom Eingang eines Antrags bis zum Bescheid (die Verknüpfung von Input und Output) muss für uns Bürger einsehbar sein. Wir sind der Souverän.

Ich schreie keine Wolken an. Ich verlange das Wetterprotokoll. Und ich werde nicht aufhören, bis die Landkarte vollständig ist.

Sehr geehrte Damen und Herren,

hiermit informiere ich Sie als zuständigen Haftpflichtversicherer (Kommunaler Schadenausgleich) über einen Sachverhalt im Kreis Steinburg, der nach meiner Einschätzung erhebliche Auswirkungen auf Ihre Risikobewertung und die künftige Schadenabwicklung haben dürfte.

Zudem ergeht diese Nachricht zur Information an den Landesrechnungshof Schleswig-Holstein, da die Anwendung der ADGA 1.7.1 offensichtlich zu einer massiven Fehlallokation von Verwaltungsressourcen führt: Es werden enorme Personalkosten investiert, um rechtmäßige Auskunftsansprüche abzuwehren, was dem Gebot der Wirtschaftlichkeit und Sparsamkeit diametral widerspricht.

Gegen die Kreisverwaltung Steinburg läuft derzeit ein Ermittlungsverfahren des Unabhängigen Landeszentrums für Datenschutz (ULD) unter dem Aktenzeichen LD2.4-72.01/26.018.

Gegenstand der Prüfung ist unter anderem die behördeninterne Dienstanweisung ADGA 1.7.1. Diese Anweisung legitimiert die gezielte „Steuerung“ bzw. Unterdrückung von Informationen gegenüber Bürgern mit dem expliziten Ziel, Schadensersatzansprüche (Amtshaftung) abzuwehren.

In meiner beruflichen Praxis als Meister für Veranstaltungstechnik bin ich für die statische Sicherheit von Konstruktionen verantwortlich.

Ich weiß: Wenn man Mängel verschleiert, anstatt sie zu beheben, bricht das System irgendwann ein.

In der Verwaltung ist es identisch:

Eine gezielte Informationsunterdrückung widerspricht nicht nur der Aktenwahrheit, sondern höchstwahrscheinlich auch den Obliegenheitspflichten gegenüber dem Versicherer.

Ich bitte Sie daher um Prüfung, inwieweit Sie über diese systematische Praxis der „Informationssteuerung“ im Bilde sind. Es steht zu befürchten, dass Ihnen Sachverhalte nur gefiltert oder unvollständig gemeldet werden, was den Deckungsschutz für den Kreis Steinburg gefährden könnte.

Ich sehe mich aufgrund der fortgesetzten Intransparenz der Behörde gezwungen, Sie direkt zu informieren, um weiteren Schaden von der Versichertengemeinschaft abzuwenden.

Mit freundlichen Grüßen

Ich habe eben den m. W. ersten Cold Call (i. e. Spam-Anruf) auf mein Mobiltelefon bekommen. Am anderen Ende war ein Österreicher (laut Akzent). Als ich fragte, woher er meine Nummer habe, sagte er, die sei "zufällig erstellt worden".

Yeah, I think not.

Ich habe ihm gesagt, dass er meine Nummer für immer sperren solle.

Allerdings wüsste ich jetzt schon gerne, woher die meine Daten haben.

Frage: Geht das tatsächlich so, ein Automat wählt so lange, bis jemand rangeht? Falls nicht, wie stelle ich denen eine Anfrage nach DSGVO zu, ohne zu viel weitere Daten von mir preiszugeben?

Ich habe daran gedacht, eine neue E-Mailadresse nur für diesen Fall zu erstellen (ist wohl heute anonym auch nicht mehr so einfach) und sie aufzufordern, dahin eine entsprechende Auskunft zu schicken. Allerdings bin ich mir nicht sicher, ob das überhaupt geht. (Nach dem Motto "Wir dürfen keine Daten (die wir möglicherweise illegal erhalten haben) an eine beliebige E-Mailadresse schicken.")

Wie ist da meine Rechtslage nach Pflicht auf Auskunft. Denn ich bin mir sicher, falls ich denen jetzt noch mehr Daten zu meiner Person liefere (vielleicht haben die nur meine Nummer), werden die meine Nummer zwar bei denen sperren, aber sie und alle dadurch zusätzlich erhaltenen Daten weiterverkaufen an den nächsten Heini.