Photo by Martin Wessely on Unsplash

Ich habe ja im Zusammenhang mit der #DGVO, die ich versuchen muss für zwei Vereine ordentlich umzusetzen, meinem Zorn schon mehrfach freien Lauf gelassen.

Ich habe dazu auch mehrere Fragen an mehrere Datenschutz-Landesbehörden geschickt. Im Juni. Bisher bekam ich eine Antwort. Immerhin: es hat nur vier Wochen gedauert

Das Thema ist das „Verzeichnis für Verarbeitungstätigkeiten“. Anlass ist etwa dieses Feld in einem der Verkaufsschlage bei Amazon im Frühjahr. Der Titel: Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine. Erschienen im Verlag C.H. Beck, herausgegeben vom „Bayerischen Landesamt für Datenschutzaufsicht“. 5,50 Euro, musste aufgrund enormer Nachfrage im Mai wohl nachgedruckt werden.

Auf Seite 14 ist ein „Muster“ für ein Verarbeitungsverzeichnis. Das muss jeder Verein führen, da drin stehen die Datenverarbeitungstätigkeiten und welche Daten jeweils betroffen sind. Hilfreich, sollte man meinen, und dann gibt es den so genannten „Mindestinhalt“

Dass dort ein Ansprechpartner genannt werden muss, das habe ich auch schon auf der Webseite der Datenschützer gelesen, und klugscheißerisch steht da, dass das aufgrund Art. 30 Abs 1 DSGVO so sein müsse.

Ich lese gerne nach, in Quellen, und: da steht so etwas nicht. Es gibt übrigens im Muster auch eine Tabelle mit „empfohlenen Ergänzungen“.

Meine Anfrage an die bayerischen Datenschützer und die komplette Antwort dokumentiere ich unten.

Kurz und gut die Zusammenfassung der längeren Antwort:

Bei Behörden und juristischen Personen sind nicht zwingend Daten zu Leitungspersonen gefordert, aus aufsichtsbehördlicher Sicht ist die Angabe des operativ verantwortlichen Ansprechpartners wünschenswert. Dementsprechend sollte ein Eintrag unter „Ansprechpartner“ erfolgen.“

Zwingend anzugeben ist ein „Ansprechpartner“ jedoch nicht, sondern lediglich der Verantwortliche und ggf. der Datenschutzbeauftragte.

Auf meine Frage, warum denn da Pflichtangabe oder Mindestinhalt steht: Keine Antwort.

Ich halte für mich fest: die Landesdatenschützer schießen gerne mal übers Ziel hinaus, weil sie etwas „wünschenswert“ finden. Ich finde das unerhört. Denn ohne diese „wünschenswerten“ Angaben ist mein Verarbeitungsverzeichnis zeitlos, mit diesen Angaben muss ich das immer überarbeiten, wenn nur die Ansprechpartner wechselt.

Aber so läuft es mit der DSGVO: Lieber etwas mehr, etwas dicker auftragen, an kleine Vereine die selben Anforderungen stellen wie an große Unternehmen. Und dann Aufsichtsbehörden, die ein Wünschdirwas kommunizieren. Ich bin begeistert.

Übrigens steht noch eine Antwort aus vom Datenschutz in Baden-Württemberg (meine E-Mail am 14.6.2018I zum Thema Datenschutzverordnung) und ich habe da nochmal eine Frage wegen des Datenschutzbeauftragten …

 

 

 

Dokumentation:

Meine Frage:

Sehr geehrte Damen und Herren,

ich erstelle gerade für einen gemeinnützigen Verein als ehrenamtlicher Vorstand das so genannte Verarbeitungsverzeichnis.

Dabei verweisen zahlreiche Seiten auf Ihre Vorlage unter

https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf

Dort ist bei den Verarbeitungstätigkeiten ein so genannter „Ansprechpartner“ beispielhaft angegeben.

Meine Frage: ist diese Bennenung des Ansprechspartners mit seinen Kontaktdaten zwingend durch die DSGVO vorgeschrieben? In Art. 30 Abs. 1 DS-GVO finde ich dazu nichts.

Auch in dem von Ihnen herausgegebenen Werk „Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine“ findet sich auf S. 14 ff. die Spalte „Bezeichnung der Verarbeitungstätigkeit – Mindestinhalt“ die Rubrik „Verantwortliche Fachabteilung“ mit den Feldern „Ansprechpartner, Telefon, E-Mail-Adresse“.

Warum ist das ein Mindestinhalt, auf welche rechtliche Regelung bezieht sich dieses Muster?

Zum Hintergrund: in den Handreichungen des hessischen Datenschutz heißt es:

Mithin wird das als „Kann“-Regelung charakterisiert.

Da aber immer und auch von anderen Behörden auf Ihr „Muster“ rekuriert wird: wie beurteilen Sie die Tatsache, dass der oberflächliche Leser den Eindruck bekommen muss, dass es sich um eine Pflichtangabe handelt?

Der Satz „Art. 30 Abs. 1 S. 2 lit a“

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

bezieht sich im Verein ja wohl nur auf den gesetzlichen Vertreter der Körperschaft und keineswegs zwingend auf die Ausführenden im Verein.

 

Die Antwort:

Sehr geehrter Herr Scheuch,

bei dem von Ihnen genannten Verzeichnis handelt es sich lediglich um ein kurzes Muster zum Thema Verzeichnis von Verarbeitungstätigkeiten (daher auch unser Hinweis: Dieses kurze Muster soll Verantwortlichen nur den Einstieg in das Thema „Verzeichnis von Verarbeitungstätigkeiten“ gem. Art. 30 Abs. 1 DS-GVO erleichtern. Ein umfassendes Muster ist unter www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf abrufbar.), das als Vorschlag anzusehen ist.

Hintergrund, warum hier eine Zeile „Ansprechpartner“ vorhanden ist, ist der, dass in Vereinen und (kleinen) Unternehmen die Organisation oft in unterschiedlichen Händen liegt, nicht lediglich beim „Verein“ bzw. beim Vorstand; das Verzeichnis von Verarbeitungstätigkeiten soll gerade auch Unternehmen und Vereinen einen Überblick über die laufende Datenverarbeitung geben und im besten Fall bei Anfragen durch unsere Behörde oder bei Auskunftsanfragen durch Betroffene einen schnellen Überblick geben, welche Datenkategorien für was verarbeitet werden. Hierbei ist es durchaus hilfreich zu wissen, wer sich intern auskennen müsste, da er für die entsprechende Datenverarbeitung innerhalb des Vereins die Organisation übernommen hat – ein Beispiel hierfür ist z.B. der Betrieb einer Vereinswebseite, der oft von einem technikaffinen Vereinsmitglied organisiert wird, welche/r nicht unbedingt Teil des Vorstands ist.

Die Empfehlung ist auch im Hinweispapier der Datenschutzkonferenz vom Februar 2018 (https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf) enthalten, hier heißt es auf S.4 Kapitel 6.1:
„Anzugeben sind die postalische, elektronische und telefonische Erreichbarkeit, um zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege (und in Eilfällen auch über verschiedene Kanäle) erreichen kann (s.a. WP 243, Ziff. 2.6).
Bei Behörden und juristischen Personen sind nicht zwingend Daten zu Leitungspersonen gefordert, aus aufsichtsbehördlicher Sicht ist die Angabe des operativ verantwortlichen Ansprechpartners wünschenswert. Dementsprechend sollte ein Eintrag unter „Ansprechpartner“ erfolgen.“

Zwingend anzugeben ist ein „Ansprechpartner“ jedoch nicht, sondern lediglich der Verantwortliche und ggf. der Datenschutzbeauftragte.

 

Photo by Martin Wessely on Unsplash