Die Datenschutzgrundverordnung ist vor allem für Ehrenamtliche in Vereinen ein steter Quell der Freude. Und der Fragen. Wenn schon deren Initiator auf seiner Webseite nicht auf Anhieb ordentlich Auskunft geben kann, wer dann?
Natürlich die hauptberuflichen Datenschützer. Und, hurra auf den Föderalismus, davon haben wir in der Bundesrepublik ja auch reichlich, denn auch europäisch vereinheitlichter Datenschutz ist, natürlich, Ländersache.
Also wende ich mich vertrauensvoll an unsere Profis. Die ja klar gesagt haben: Jetzt geht’s los, ihr hattet alle zwei Jahre Zeit, Euch auf die DSGVO einzustellen. Das besonders liebenswerte Exemplar der Gattung Datenschützer Lutz Haase, seines Zeichens im wundervollen Freistaat Thüringen für den Schutz der Bits und Bytes zuständig, hat es unnachahmlich so formuliert:
Es gibt nach zwei Jahren Übergang keine Schonfrist mehr, bei Verstößen sind regelmäßig Bußgelder fällig.
Genau. Wo kommen wir denn hin, wenn man zwei Jahre lang Zeit hatte, sich auf die Situation vorzubereiten.
Die hatten allerdings auch die Landesdatenschützer. Und jetzt das: Datenschutzbeauftragte klagen wegen Überlastung.
„Wir nennen uns nur noch Call-Center“, sagte eine Sprecherin des hessischen Datenschutzbeauftragten Michael Ronellenfitsch. „Die Zahl der Anfragen ist extrem hoch. Vor allem bei Firmen, Kommunen und auch bei Vereinen herrschen große Unsicherheiten.“ Auch Privatleute wenden sich mit ihren Fragen an den Datenschutzbeauftragten und sein Team. Wie viele formale Beschwerden unter den Anfragen sind, konnte die Sprecherin nicht beziffern.
In Thüringen dagegen gab es nach Angaben des Datenschutzbeauftragten Lutz Hasse keinen signifikanten Anstieg von Beschwerden im Zusammenhang mit der Datenschutzgrundverordnung. „Allerdings haben sich die Eingangszahlen auf bis zu 500 pro Tag deshalb stark erhöht, weil sehr viele Fragen – auch von Unternehmen – zur DSGVO gestellt werden“, erklärte Hasse. „Das ist sehr schön, drückt unsere Behörde aber kapazitätsmäßig ganz schön in die Knie.“
Och. Keine zwei Jahre Zeit genutzt, sich auf diese Fragen vorzubereiten?
Auch in Bayern und Baden-Württemberg hat man wohl viel zu tun. Hier meine beiden Anfragen an die Ämter.
Vom 14. Juni:
Sehr geehrte Damen und Herren,
für einen eingetragenen Verein versuche ich derzeit als Vorsitzender die
Auflagen nach der DSGVO zu erfüllen. Dabei nutze ich auch Ihr Dokument
„Datenschutz im Verein nach der Datenschutzgrundverordnung (DSGVO)“, zu
finden unterhttps://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
Zum Thema „Datenschutzverordnung“ heißt es da auf S. 10
„Diese Datenschutzordnung sollte von der Mitgliederversammlung
beschlossen werden.“Auf welche Rechtsvorschrift bezieht sich dieser Satz? (Ansonsten werden
ja gerne die entsprechenden Stellen der DSGVO oder des BDSG-neu zitiert)Wieso heißt es dazu auf S. 8
„Die Datenschutzordnung kann, wenn die Vereinssatzung nichts anderes
bestimmt, vom Vorstand oder von der Mitgliederversammlung beschlossen
werden und muss nicht die Qualität einer Satzung haben.“ ?Kurz gefasst: ist überall, wo bei Ihnen ein „sollte“ steht festzuhalten,
dass es sich nicht um Anforderungen aus Vorschriften sondern nur um
„Empfehlungen“ handelt?Besten Dank für Ihre Rückmeldung im Voraus,
mit freundlichen Grüßen
Michael Scheuch
Hier gab es eine Eingangsbestätigung, danach war Ruhe. Die Bayern habe ich am 21.6. angeschrieben, Eingangsbestätigung Fehlanzeige:
Sehr geehrte Damen und Herren,
ich erstelle gerade für einen gemeinnützigen Verein als ehrenamtlicher Vorstand das so genannte Verarbeitungsverzeichnis.
Dabei verweisen zahlreiche Seiten auf Ihre Vorlage unter
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
Dort ist bei den Verarbeitungstätigkeiten ein so genannter „Ansprechpartner“ beispielhaft angegeben.
Meine Frage: ist diese Bennenung des Ansprechspartners mit seinen Kontaktdaten zwingend durch die DSGVO vorgeschrieben? In Art. 30 Abs. 1 DS-GVO finde ich dazu nichts.
Auch in dem von Ihnen herausgegebenen Werk „Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine“ findet sich auf S. 14 ff. die Spalte „Bezeichnung der Verarbeitungstätigkeit – Mindestinhalt“ die Rubrik „Verantwortliche Fachabteilung“ mit den Feldern „Ansprechpartner, Telefon, E-Mail-Adresse“.
Warum ist das ein Mindestinhalt, auf welche rechtliche Regelung bezieht sich dieses Muster?
Zum Hintergrund: in den Handreichungen des hessischen Datenschutz heißt es:
Mithin wird das als „Kann“-Regelung charakterisiert.
Da aber immer und auch von anderen Behörden auf Ihr „Muster“ rekuriert wird: wie beurteilen Sie die Tatsache, dass der oberflächliche Leser den Eindruck bekommen muss, dass es sich um eine Pflichtangabe handelt?
Der Satz „Art. 30 Abs. 1 S. 2 lit a“
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
bezieht sich im Verein ja wohl nur auf den gesetzlichen Vertreter der Körperschaft und keineswegs zwingend auf die Ausführenden im Verein.Besten Dank für Ihre Rückmeldung im Voraus,
mit freundlichen Grüßen
Michael Scheuch
Ich bin gespannt.
Photo by Martin Wessely on Unsplash