Vielleicht ist es sinnvoll, den Beitrag und die Diskussion zur Werners Thema in einen eigenen Thread auszulagern. Die Beschreibung dieses Threads scheint mir zu weit gefasst und nicht ganz auf die Frage zutreffend.
Zum Thema:
Die Datenschutzkonferenz definiert / beschreibt “Kerntätigkeit” und “umfangreich” in Kurzpapier Nr.12:
„Kerntätigkeit" ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt, und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit (ErwGr. 97 der DS-GVO). Zu den Kerntätigkeiten gehören danach auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.
Für die Definition des Begriffs “umfangreich” können aus ErwGr 91 der DS-GVO folgende Faktoren herangezogen werden:
- Menge der verarbeiteten personenbezogenen Daten (Volumen),
- Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),
- Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und
- Dauer der Verarbeitung (zeitlicher Aspekt).
https://www.datenschutzzentrum.de/artikel/1201-Kurzpapier-Nr.-12-Datenschutzbeauftragter.html
ErwGr. 91 DSGVO: https://www.datenschutz-wiki.de/DSGVO:EG_91
ErwGr. 97 DSGVO: https://www.datenschutz-wiki.de/DSGVO:EG_97
Eine Öffnungsklausel in Art.37 Abs.4 erlaubt dem nationalen Recht in einem bestimmten Rahmen eigene Regelungen. Das BDSG spezifiziert in §38 Abs.1 die Verpflichtung zur Bestellung eines DSB
- soweit Verantwortliche oder Auftragsverarbeiter “in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”
- für Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art.35 DSGVO unterliegen.
Art.35 DSGVO sieht in Abs.3 lit.b eine Datenschutz-Folgenabschätzung insbesondere bei “umfangreiche[n] Verarbeitung[en] besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1” vor.
Art.35 DSGVO: https://www.datenschutz-wiki.de/DSGVO:Art_35
Art.37 DSGVO: https://www.datenschutz-wiki.de/DSGVO:Art_37
§38 BDSG: https://www.datenschutz-wiki.de/BDSG:§_38
Eine Verarbeitung von Daten gem. Art.9 DSGVO sehen
Der BfDI nennt in seiner Info4-Broschüre unter Punkt 1.2 die Voraussetzungen des Art.37 Abs.1 für die verpflichtende Benennung eines DSB bei nicht rechtsfähigen Vereinigungen (= nicht-öffentliche Stellen, u.a. Parteien).
BfDI Info4: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Broschueren/INFO4.pdf?__blob=publicationFile&v=26
Aus den vorangegangenen Ausführungen schließe ich, dass die Bestellung eines DSB verpflichtend ist, sofern Wählerdaten verarbeitet werden, da diese unter Art.9 DSGVO fallen. Zu einer solchen Verarbeitung zähle ich persönliche Ansprachen und Kampagnen jeglicher Art (zB über Targeting/Zielgruppen bei Facebook, Twitter oder Messengern, wie auch persönlich ansprechende Wahlkampagnen oder die Verarbeitung von Melderegisterdaten uä). Diese würde ich unter “umfangreich” einordnen und während der Wahlvorbereitung / Wahlen auch der “Kerntätigkeit” zuordnen. Die Kerntätigkeit einer Partei beinhaltet während dieser Zeit die Vermittlung der eigenen Positionen und ohne das Erreichen des Wählers wären ihre Handlungen reichlich sinnfrei. Oder? Es sei denn die Partei beschränkt sich auf das Kleben von Wahlplakate; in dem Fall verarbeitete sie keine Wählerdaten.
Werden keine Wählerdaten verarbeitet, stellt sich die Frage, welche Mitgliederdaten verarbeitet werden. Hier trifft mE die Ausnahme Art.9 Abs.2 lit.d zu (Verarbeitung bezieht sich ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation). Das würde bedeuten, bei Mitgliedern bewegen wir uns im Bereich der normalen personenbezogenen Daten. Eine Kerntätigkeit träfe hier nach obiger Aussage der DSK nicht zu (Verarbeitung Mitarbeiterdaten stelle ich Verarbeitung Mitgliederdaten gleich). Die Notwendigkeit einer Bestellung würde ich allerdings aus der o.g. 20-Personenregel des BDSG ableiten. Wie viele Personen sind mit der Verarbeitung der Mitgliederdaten ständig (regelmäßig) beschäftigt?
Aber auch hier spricht nichts gegen eine freiwillige Bestellung. Erfahrungsgemäß fällt es der Leitung schwer, das Aufgabengebiet des DSB im erforderlichen Maß abzudecken. Hier hat sich im Gegensatz zum alten BDSG und der Datenschutz-Richtlinie einiges in Bezug auf Rechenschafts- und Nachweispflicht und auch im Umfang der Dokumentation geändert und auch die Fachkunde lässt regelmäßig zu wünschen übrig.
Verbindliche Auskünfte können die Landesdatenschutzbeauftragten oder der Bundesdatenschutzbeauftragte erteilen.
https://www.datenschutz-wiki.de/ASB
