Photo by nikko macaspac on UnsplashPhoto by nikko macaspac on Unsplash

Hurra, wir haben eine europaweit einheitliche Regelung zum Datenschutz.

Hurra, wir haben Föderalismus.

Das bedeutet: in jedem Bundesland gibt es Datenschutzbeauftragte, und die reden zwar miteinander, publizieren aber auch durchaus getrennt. Etwa die Handreichungen zur DSGVO für Vereine. (Genervt von der DSGVO? Ich bin es auch)

Dass das ineffektiv und teuer ist: geschenkt. Das bin ich im  Föderalismus gewöhnt. Keine Überraschung ist es dann auch, dass die einzelnen Behörden sich möglicherweise nicht ganz einig sind, wie das denn mit der Auslegung einzelner Abschnitte der DSGVO ist. Blöd, wenn man denkt, man hat sich schlau gemacht, dann aber die Behörde eines anderen Bundeslandes anders denkt.

Ein Beispiel ist die Frage, ob ein Verein einen Datenschutzbeauftragten braucht.

Dazu heißt es in der DSGVO §38 (1):

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Der wichtige Teil „mindestens zehn Personen ständig“.

Nun gehen Vereine an mehr Stellen, als sie vielleicht denken, mit Daten um, vor allem wenn es innerhalb des Vereins mehrere Gruppen, etwa Mannschaften oder Orchester oder Abteilungen gibt. Denn die organisieren sich meist selbst, und schon wenn diese ein Telefonverzeichnis anlegen: „Verarbeitung personenbezogener Daten“.

Oder?

Jetzt helfen uns die Datenschutzbeauftragten, etwa in Hessen:

Ausschnitt Broschüre „Datenschutz im Verein“ https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/20180522_Datenschutz%20im%20Verein.pdf

Ach naja, das klingt mal sehr weitgehend, und das scheint sich auch auf Gruppen im Verein und deren Leiter zu beziehen.

In diese Richtung geht auch der Datenschutzbeauftragte in Baden-Württemberg:

Ausschnitt aus der Broschüre „Datenschutz im Verein nach DS-GVO / PRaxisratgeber“ https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Praxisratgeber-f%C3%BCr-Vereine.pdf Seite 6
Ausschnitt aus der Broschüre „Datenschutz im Verein nach DS-GVO / PRaxisratgeber“ https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Praxisratgeber-f%C3%BCr-Vereine.pdf Seite 6

„Ständig ist also auch dann erfüllt, wenn die Aufgabe selbst nur gelegentlich anfällt (..)“

Das merke ich mir mal.

Denn kommen wir nun zu den neuen Hinweisen des Bayerischen Landesamtes für Datenschutzaufsicht, die versuchen, die FAQs durchaus webgerecht ein bisschen aufzubereiten:

Screenshot https://www.lda.bayern.de/de/faq.html am 20.7.2018

Den Satz finde ich toll:

da hier zwar eine wiederkehrende und häufige, aber keine ständige Datenverarbeitung vorliegt

Also: glasklar in Baden-Württemberg: „Ständig ist also auch dann erfüllt, wenn die Aufgabe selbst nur gelegentlich anfällt (..)“.

Glasklar in Bayern: „Im Verein können daher ohne Weiteres auch mehr als 10 Personen regelmäßig Zugriff auf die Datenbestände der Vereinsmitglieder nehmen (beispielsweise zur Organisation von wöchentlichen Proben, Trainingseinheiten, Spielen oder Veranstaltungen), ohne dass deshalb ein Datenschutzbeauftragter bestellt werden müsste, da hier zwar eine wiederkehrende und häufige, aber keine ständige Datenverarbeitung vorliegt. “

Und jetzt darf sich ein Vereinsverantwortlicher aussuchen, welche Auffassung er umsetzt – wenig überraschend neige ich zur bayerischen Interpretation des „Ständig“.

Großartige DSGVO. Vor allem für Nicht-Juristen.

 

Photo by nikko macaspac on Unsplash