“Wir haben nahezu einen Totalausfall der Datenschutzbeh\u00f6rden” sagt Max Schrembs.<\/p>\n
\nnetzpolitik.org: Du sieht auch bei Rechtsdurchsetzung des Datenschutzes Reformbedarf. Wo liegt hier das Problem?<\/p>\n
Max Schrems: Eines der Probleme ist der nahezu Totalausfall der Datenschutzbeh\u00f6rden.\u00a0Es gibt nat\u00fcrlich Ausnahmen, aber den meisten fehlt der politische Wille, es fehlen die\u00a0budget\u00e4ren Mittel oder das kompetente Personal. Die Leitungsposten der Beh\u00f6rden\u00a0werden immer \u00f6fter nicht unabh\u00e4ngig, sondern politisch besetzt. Eine zweite Amtszeit gibt es nur bei einem wirtschaftsfreundlichen Kurs. Das f\u00fchrt dazu, dass es in Europa nicht mal bei 1,3 Prozent der DSGVO-Beschwerden<\/span> \u00fcberhaupt zu einem Bu\u00dfgeld kommt. Inzwischen herrscht eine Logik des Rechtsbruches vor. In der juristischen Bubble interessiert die DSGVO keine Sau mehr, weil der Anwalt, der dich ber\u00e4t, mehr kostet als\u00a0die potenzielle Strafe.<\/p>\n<\/blockquote>\n
Ich h\u00e4tte das vor einem Jahr noch f\u00fcr reichlich \u00fcbertrieben gehalten, aber schliesse mich nun doch der Meinung von Max Schrembs an.<\/p>\n
Wen es interessiert – ich kann gerne auf Anfrage die Korrespondenz mit dem “Bayrischen Landesbeauftragten f\u00fcr den Datenschutz” f\u00fcr Analysen zur Verf\u00fcgung stellen.<\/p>\n
Es geht hier um die Weitergabe der Namen\/ Adressen aller 90.000 \u00c4rztinnen und \u00c4rzte an eine private Firma, die damit Emails mit Tracking Pixel f\u00fcr einen Fragebogen verschickt hat ohne da\u00df sie daf\u00fcr je ein Einverst\u00e4ndnis der Betroffenen hatte. Antwort des Datenschutz Beauftragten “Ihre Vermutungen kann ich nicht nachvollziehen”.<\/p>\n
Hier mein Schreiben vom 15.10.2025.<\/p>\n
Betreff: Ihr Zeichen 7.608-9-3, Schreiben vom 19.9.2025,
\nHier: Erg\u00e4nzende Angaben zu meiner Beschwerde \u00fcber den Newsletterversand der Bayerischen Landes\u00e4rztekammer<\/p>\nSehr geehrte Frau ….,<\/p>\n
vielen Dank f\u00fcr Ihr Schreiben vom 19.9.2025, in dem Sie auf meine Bitte um Wiederaufnahme des Verfahrens eingehen. Gerne reiche ich die von Ihnen erbetenen erg\u00e4nzenden Informationen nach und erl\u00e4utere die technische Grundlage meiner Beschwerde.<\/p>\n
1. Newsletter<\/p>\n
Die Bayerische Landes\u00e4rztekammer beruft sich auf Art. 4 BayDSG und Art. 2 Abs. 1 HKaG, um den Versand des Newsletters und die Erhebung von Umfragedaten zu rechtfertigen. Diese Vorschriften regeln jedoch lediglich die Auftragsdatenverarbeitung durch die Kammer im Rahmen ihrer berufsst\u00e4ndischen Aufgaben und die gesetzlich zul\u00e4ssige Nutzung von Mitgliederdaten zur Erf\u00fcllung ihrer beruflicher Pflichten. Die Weitergabe personenbezogener Daten (mindestens Anrede, Name, E-Mail, akademische Grade) an externe Dienstleister f\u00fcr Tracking-Zwecke und die damit m\u00f6gliche Verkn\u00fcpfung mit Umfrageantworten f\u00e4llt nicht automatisch unter diese Rechtsgrundlage, da die Verarbeitung nicht ausschlie\u00dflich auf Weisung der Kammer erfolgt, sondern die externe Firma jederzeit Daten eigenst\u00e4ndig auswerten kann.<\/p>\n
Die erhobenen Tracking-Daten waren zur Erf\u00fcllung der gesetzlichen Aufgaben der Kammer im Rahmen ihrer berufsst\u00e4ndischen Selbstverwaltung nicht erforderlich. Etwaige ung\u00fcltige E-Mail-Adressen w\u00e4ren bereits durch R\u00fcckl\u00e4ufer erkennbar gewesen; auch der R\u00fccklauf der ausgef\u00fcllten Frageb\u00f6gen h\u00e4tte als ausreichende Informationsgrundlage gedient. Eine ausdr\u00fcckliche, informierte Einwilligung der rund 90.000 betroffenen Mitglieder liegt nicht vor. Gerade weil es sich hierbei um Pflichtmitglieder einer \u00f6ffentlich-rechtlichen K\u00f6rperschaft handelt, besteht ein erh\u00f6hter Schutzbedarf ihrer personenbezogenen Daten.<\/p>\n
Daraus folgt, dass die Berufung auf Art. 4 BayDSG sowie Art. 2 Abs. 1 HKaG die datenschutzrechtliche Verantwortlichkeit der Kammer nach der DSGVO nicht ausschlie\u00dft. Die Weitergabe personenbezogener Daten ohne hinreichende Rechtsgrundlage stellt einen Versto\u00df gegen Art. 5, 6 und 13 DSGVO dar und kann als Ordnungswidrigkeit im Sinne der \u00a7\u00a7 42, 44a BDSG gewertet werden.<\/p>\n
Vor diesem Hintergrund erscheint es widerspr\u00fcchlich, dass die Kammer einerseits die massenhafte \u00dcbermittlung von Mitgliederdaten an Dritte rechtfertigt, andererseits jedoch unter Berufung auf die DSGVO die Herausgabe einzelner E-Mail-Adressen von gew\u00e4hlten Delegierten verweigert, die im Rahmen der laufenden Gerichtsverfahren kontaktiert werden sollten. Die unterschiedliche Anwendung datenschutzrechtlicher Ma\u00dfst\u00e4be erweckt den Eindruck einer interessengeleiteten und damit inkonsistenten Rechtsauslegung.<\/p>\n
2. Zum angeblich \u201eanonymen\u201c Tracking durch externe Dienstleister<\/p>\n
Die Newsletter werden \u00fcber personalisierte Versandlisten aus dem Mitgliederbestand der Bayerischen Landes\u00e4rztekammer (BL\u00c4K) versendet. Dabei wurden offensichtlich die E-Mails im System von Newsletter2Go mit einer eindeutigen ID versehen, um den Versandstatus (Zustellung, \u00d6ffnung, Klick) zur\u00fcckzumelden.<\/p>\n
Ein \u201eanonymes Tracking\u201c ist in dieser Form technisch unm\u00f6glich, da jedes \u00d6ffnungstracking \u00fcber einen individuellen Pixel-Link\u00a0 erfolgt. Der Webserver von Newsletter2Go protokolliert dabei zwangsl\u00e4ufig IP-Adresse, Zeitstempel, User-Agent und Browser des Empf\u00e4ngers. Diese Tracking-Informationen sind \u00fcber die Empf\u00e4nger-ID mit den personenbezogenen Mitgliedsdaten (Name, Titel, E-Mail-Adresse) verkn\u00fcpfbar; damit liegt objektiv eine personenbeziehbare Datenverarbeitung vor. Die Behauptung eines \u201eanonymen Trackings\u201c durch die BL\u00c4K bzw. den Auftragsverarbeiter ist technisch unzutreffend. Zudem weckt das heimliche Vorgehen Misstrauen.<\/p>\n
Um die Vorg\u00e4nge als Aufsichtsbeh\u00f6rde zu pr\u00fcfen, w\u00e4ren folgende Ma\u00dfnahmen sachgerecht:
\n– Vorlage der genauen Datenfelder der \u00fcbermittelten \u00c4rztedaten sowie Begr\u00fcndung, warum die E-Mails nicht von der BL\u00c4K-IT versandt wurden.
\n– Einsicht in die Serverlogs des Sendinblue-Servers f\u00fcr die Termine 11.07. und 25.07.2024, die den Abruf der Tracking-GIFs sowie der HTML-Webversion dokumentieren.
\n– Vorlage des Vertrages mit dem Dienstleister sowie der Datenfelder der Ergebnismitteilung<\/p>\nDie Einladung zum Fragebogen erfolgte \u00fcber dieselbe E-Mail, die das Tracking implementierte. Die Trackingdaten (\u00d6ffnungszeit, IP, Browserdaten, Provider, Betriebssystem etc.) wurden auf demselben Server erfasst, \u00fcber den auch der Umfragelink in der HTML-Version bereitgestellt wurde. Der Umfragelink in der E-Mail ist formal zwar nicht personalisiert; ein Direktklick gibt IQME die Identit\u00e4t des Empf\u00e4ngers nicht preis. Anders verh\u00e4lt es sich jedoch, wenn der Empf\u00e4nger die individualisierte Webversion auf dem Brevo-Server (ehemals Sendinblue) ge\u00f6ffnet hat: Dann wird die Empf\u00e4nger-ID \u00fcber den Referrer direkt an IQME \u00fcbermittelt.<\/p>\n
Vor diesem Hintergrund w\u00e4ren auch die folgenden Punkte relevant:
\n– Wurden IQME auch Daten einzelner \u00c4rztinnen und \u00c4rzte \u00fcbermittelt? Unter der postalischen Adresse der IQME und dem Namen des Gesch\u00e4ftsf\u00fchrers lassen sich prim\u00e4r Informationen zu einer Yoga-Schule finden (yoga4you.eu).
\n– Hat IQME den Referrer ausgewertet oder Zugriff auf weitere Daten erhalten? – Wie hat IQME unautorisierte oder mehrfach ausgef\u00fcllte Frageb\u00f6gen verhindert, falls nicht \u00fcber eine Individualisierung?
\n– Welche (Meta-)Daten wurden der Kammer als Ergebnis zur\u00fcckgegeben?<\/p>\nDie M\u00f6glichkeit einer Datenverkn\u00fcpfung wurde von der BL\u00c4K bisher nicht widerlegt, sondern lediglich verneint \u2013 ohne Vorlage technischer Logausz\u00fcge oder einer nachvollziehbaren Beschreibung des Datenflusses.<\/p>\n
[…]<\/p>\n
5. Zusammenfassung und Bitte<\/p>\n
Ich halte daher an meiner Einsch\u00e4tzung fest, dass durch den Versand personalisierter Emails mit versteckten Tracking-Mechanismen und einer anschlie\u00dfende Umfrage mehrere Verst\u00f6\u00dfe gegen die DSGVO vorliegen, insbesondere:
\nArt. 5 Abs. 1 lit. a\u2013c DSGVO (Rechtm\u00e4\u00dfigkeit, Zweckbindung, Datenminimierung)
\nArt. 6 DSGVO (fehlende Einwilligung \/ Rechtsgrundlage)
\nArt. 13 DSGVO (fehlende Information der Betroffenen)
\nArt. 28 Abs. 4 DSGVO (Verantwortlichkeit trotz Auftragsverarbeitung)<\/p>\nIch bitte Sie daher, unter Ber\u00fccksichtigung dieser technischen und rechtlichen Aspekte die BL\u00c4K um eine detaillierte technische Offenlegung der Trackingverfahren zu ersuchen, die Angaben zum \u201eanonymen Modus\u201c zu verifizieren, und das Beschwerdeverfahren weiterzuf\u00fchren.<\/p><\/blockquote>\n\n
<\/p>\n
\n CC-BY-NC Science Surf , accessed 17.04.2026<\/span>\n <\/div>","protected":false},"excerpt":{"rendered":"“Wir haben nahezu einen Totalausfall der Datenschutzbeh\u00f6rden” sagt Max Schrembs. netzpolitik.org: Du sieht auch bei Rechtsdurchsetzung des Datenschutzes Reformbedarf. Wo liegt hier das Problem? Max Schrems: Eines der Probleme ist der nahezu Totalausfall der Datenschutzbeh\u00f6rden.\u00a0Es gibt nat\u00fcrlich Ausnahmen, aber den meisten fehlt der politische Wille, es fehlen die\u00a0budget\u00e4ren Mittel oder das kompetente Personal. Die Leitungsposten … Continue reading Datenschutz in Bayern<\/span>