Datenschutzbeauftragte und Datenschutzorganisation

@VSH

… deswegen fragte ich, denn ein solches Zertifikat, das seinen Namen wert wäre, gibt es noch nicht.

Zum Thema Abberufung - hier würde ja mangelnde Fachkunde in Frage kommen - eines DSB z.B. durch die Ausfsichtsbehörden (bzw. die ASB kann die Abberufung verlangen). Ich hatte bei verschiedenen Gelegenheiten schon diese Diskussion mit Vertretern einer Landesbehörde. Die sind da sehr zögerlich. Ich hatte eher den Eindruck, dass gar kein DSB meist als größeres Übel angesehen wird. Wir gesagt mein Eindruck und kein offizieller Standpunkt. Und sicher kommt auch dort der Punkt, wo die Aufsicht handeln muss.

FAQ LDI NRW Nr. 6. Welche Voraussetzungen müssen Datenschutzbeauftragte in Bezug auf das Fachwissen und die Qualifikation erfüllen?

(…) Eine Prüfung oder Zertifizierung ist gesetzlich nicht vorgeschrieben. (…)

Was ist hier wichtiger: Qualität oder Quantität?

Der Gesetzgeber und die Behörden schlagen sich letztlich wohl eher auf Seiten des letzteren.

Praktiker, insb. solche die mit benannten DSBs arbeiten (müssen), die Ihrer Verantwortung nicht gerecht werden, sehnen sich nach klaren Mindestvorgaben zur Qualität, da schlechte DSBs mittelfristig eben viel schädlicher als keine DSBs sind.

Im Sinne der Sache darf diese Frage daher kein Tabuthema sein/bleiben, sodass ich mich sehr über jeden Austausch praktischer Erfahrungen u/o fachlichen Auseinandersetzung hierzu freuen würde!

Es braucht nach m.E. schlicht beides. Allerdings wie kommt man dahin? Frist things frist…

Ich denke wir müssen uns zunächst damit auseinandersetzen, was denn das Handwerkszeug des DSB’s ist. Nun haben wir auf der Fachkunde-Metaebene (Datenschutz)Recht, Technik, Organisation.

Meine Erfahrung ist, dass ich als DSB, einen interdisziplinären Werkzeugkasten mitbringen sollte. Ich decke beispielhaft die genannten Metaebenen mit konkreten Wissensblöcken ab (ohne das diese vollständig sind; es geht um das Prinzip). Natürlich ist es auch davon abhängig, in welcher Branche die öffentliche oder nichtöffentliche Stelle tätig ist.

Kenntnisse Organisations(beurteilung)

  • Prozessmodelle z.B. Ereignisorinetierte Prozessketten (EPK)

  • Risikomodelle z.B. Bowtie-Risikomodell (…)

  • Sozialwissenschaftliche Risiken in Organisationen wie z.B. Normalisierung der Abweichung (…)

  • Organisatorische Konfliktpotentiale, Abgrenzung und Schnittmengen IT-Sicherheit und Datenschutz (IT-Sicherheit=schützt Informationen einer juristischen Person; Datenschutz=Schützt die natürliche Person)

  • (…)

Kenntnisse Technik(beurteilung)

  • Internet: Entwicklertools Browser zur Webseiten-Analyse bzw. Interpretation der Ergebnisse, Aufbau Domain Name System, Ressource Record, IP-Adressen, sowie Transportprotokolle (z.B. HTTPS), Funktionsweise und Regeln für Cookies (z.B. in diesem Zusammenhang Same Origin Policy, Same Site Attribute), Funktionsweise von Cosent-Bannern (…)

  • Netzwerkeverkehr. Netzwerkanalyse z.B. Wireshark bzw. Interpretation der Ergebnisse, sowie Netzwerkprotokolle (z.B. TCP/IP) und OSI-Schichtenmodell (…)

  • Rechnernetzwerke: Betriebssysteme, Anwendungen, Aufbau Rechner-Netzwerke, sowie Schutzmaßnahmen wie z.B. Multifaktor Authentifizierungen (MFA), Antiviren und SPAM (…),

  • Datensicherheit, Vertraulichkeit und Integrität von pbD: Verschlüsselung (Transportverschlüsselung, Ende zu Ende Verschlüsselung), Unterschied und Schwierigkeiten Anonymisierung und Pseudonymisierung. Schutzklassen von pbD

  • Grundzüge des Standard-Datenschutzmodells v2 (die verwertbaren Teile davon); insbesondere die Gewährleistungsziele

  • Grundzüge des BSI Grundschutz

  • (…)

Kenntnisse Datenschutz(Recht)

  • DSGVO inkl. ErwG; BDSG nF; u.U. UWG (…)

  • Andere Gesetze mit Schnittmengen, z.B. gesetzliche Aufbewahrungsfristen (AO, HGB…) (…)

  • Struktur der Aufsichtsbehörden EU und Deutschland (DSK; EDSA); sowie aktuelle Rechtsprechung (relevant EuGH; Deutschland) und Auswirkungen (z.B. Schrems II) (…)

  • (…)

Persönliche Meinung: Anhand dessen würde ich den Begriff Fachkunde einordnen. Ich würde die Themengebiete Datenschutzrecht und Technik inzwischen als gleichrangig einstufen.

3 „Gefällt mir“

Die französische Aufsichtsbehörde CNIL bietet eine freiwillige Zertifizierung für DSB’s.

Hallo zusammen, bin neu hier, habe aber schon einiges gelesen und dabei viel gelernt :slight_smile:
Hergeführt hat mich die Frage, ob es in einer kleinen politischen Partei (400 MG) zwingend einen Datenschutzbeauftragten braucht. Dazu scheinen mir die gesetzlichen Regelungen unklar, also der Passus:

1. 2. Wenn die Kerntätigkeit einer Person im Umgang mit den personenbezogenen Daten steht, also die Durchführung von Verarbeitungsvorgängen umfasst, für die eine umfangreiche und regelmäßige Überwachung der Personen notwendig ist.
2. Die Kerntätigkeit besteht in der umfangreichen Verarbeitung von Daten nach Artikel 9 und 10 DSGVO.

Was ist “umfangreich”? Wenn der Schatzmeister die Buchhaltung macht und dafür die Mitgliederkartei nutzt?

Für entsprechende Hinweise wäre ich dankbar – auch darauf, wer hier rechtssicher Auskunft geben kann :slight_smile:

Eine feste Anzahl an Personen die betroffen sind gibt es nicht. Es kommt auf verschiedene Kriterien an - so steht es auch in den Erwägungsgründen (EW91)

  • Verarbeitung großer Mengen von personenbezogener Daten
  • Verarbeitung auf internationaler Ebene (Datentransfers)
  • Anzahl der betroffenen Personen
  • Dauer der Verarbeitung (wie lange werden die Daten gespeichert)
  • systematische / methodische Überwachung und Profiling

Ansonsten gibt es da ein paar Artikel / Blogeinträge zu wo die Frage besprochen wird:

Ich persönlich halte es immer für sinnvoll einen DSB zu benennen und seine Orga zu prüfen - auch freiwillig um die Vorgaben der DSGVo zu erfüllen. Ohne DSB bleibt die Aufgabe bei der obersten managmentebene hängen und er muss es selbst machen ohne ggf die Fachkunde zu haben. (Kein DSB heißt nicht das die DSGVO nicht für einen gilt).

1 „Gefällt mir“

Vielleicht ist es sinnvoll, den Beitrag und die Diskussion zur Werners Thema in einen eigenen Thread auszulagern. Die Beschreibung dieses Threads scheint mir zu weit gefasst und nicht ganz auf die Frage zutreffend.

Zum Thema:
Die Datenschutzkonferenz definiert / beschreibt “Kerntätigkeit” und “umfangreich” in Kurzpapier Nr.12:

„Kerntätigkeit" ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt, und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit (ErwGr. 97 der DS-GVO). Zu den Kerntätigkeiten gehören danach auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.

Für die Definition des Begriffs “umfangreich” können aus ErwGr 91 der DS-GVO folgende Faktoren herangezogen werden:

  • Menge der verarbeiteten personenbezogenen Daten (Volumen),
  • Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),
  • Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und
  • Dauer der Verarbeitung (zeitlicher Aspekt).

https://www.datenschutzzentrum.de/artikel/1201-Kurzpapier-Nr.-12-Datenschutzbeauftragter.html
ErwGr. 91 DSGVO: https://www.datenschutz-wiki.de/DSGVO:EG_91
ErwGr. 97 DSGVO: https://www.datenschutz-wiki.de/DSGVO:EG_97

Eine Öffnungsklausel in Art.37 Abs.4 erlaubt dem nationalen Recht in einem bestimmten Rahmen eigene Regelungen. Das BDSG spezifiziert in §38 Abs.1 die Verpflichtung zur Bestellung eines DSB

  • soweit Verantwortliche oder Auftragsverarbeiter “in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”
  • für Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art.35 DSGVO unterliegen.

Art.35 DSGVO sieht in Abs.3 lit.b eine Datenschutz-Folgenabschätzung insbesondere bei “umfangreiche[n] Verarbeitung[en] besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1” vor.
Art.35 DSGVO: https://www.datenschutz-wiki.de/DSGVO:Art_35
Art.37 DSGVO: https://www.datenschutz-wiki.de/DSGVO:Art_37
§38 BDSG: https://www.datenschutz-wiki.de/BDSG:§_38

Eine Verarbeitung von Daten gem. Art.9 DSGVO sehen

Der BfDI nennt in seiner Info4-Broschüre unter Punkt 1.2 die Voraussetzungen des Art.37 Abs.1 für die verpflichtende Benennung eines DSB bei nicht rechtsfähigen Vereinigungen (= nicht-öffentliche Stellen, u.a. Parteien).
BfDI Info4: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Broschueren/INFO4.pdf?__blob=publicationFile&v=26

Aus den vorangegangenen Ausführungen schließe ich, dass die Bestellung eines DSB verpflichtend ist, sofern Wählerdaten verarbeitet werden, da diese unter Art.9 DSGVO fallen. Zu einer solchen Verarbeitung zähle ich persönliche Ansprachen und Kampagnen jeglicher Art (zB über Targeting/Zielgruppen bei Facebook, Twitter oder Messengern, wie auch persönlich ansprechende Wahlkampagnen oder die Verarbeitung von Melderegisterdaten uä). Diese würde ich unter “umfangreich” einordnen und während der Wahlvorbereitung / Wahlen auch der “Kerntätigkeit” zuordnen. Die Kerntätigkeit einer Partei beinhaltet während dieser Zeit die Vermittlung der eigenen Positionen und ohne das Erreichen des Wählers wären ihre Handlungen reichlich sinnfrei. Oder? Es sei denn die Partei beschränkt sich auf das Kleben von Wahlplakate; in dem Fall verarbeitete sie keine Wählerdaten.

Werden keine Wählerdaten verarbeitet, stellt sich die Frage, welche Mitgliederdaten verarbeitet werden. Hier trifft mE die Ausnahme Art.9 Abs.2 lit.d zu (Verarbeitung bezieht sich ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation). Das würde bedeuten, bei Mitgliedern bewegen wir uns im Bereich der normalen personenbezogenen Daten. Eine Kerntätigkeit träfe hier nach obiger Aussage der DSK nicht zu (Verarbeitung Mitarbeiterdaten stelle ich Verarbeitung Mitgliederdaten gleich). Die Notwendigkeit einer Bestellung würde ich allerdings aus der o.g. 20-Personenregel des BDSG ableiten. Wie viele Personen sind mit der Verarbeitung der Mitgliederdaten ständig (regelmäßig) beschäftigt?
Aber auch hier spricht nichts gegen eine freiwillige Bestellung. Erfahrungsgemäß fällt es der Leitung schwer, das Aufgabengebiet des DSB im erforderlichen Maß abzudecken. Hier hat sich im Gegensatz zum alten BDSG und der Datenschutz-Richtlinie einiges in Bezug auf Rechenschafts- und Nachweispflicht und auch im Umfang der Dokumentation geändert und auch die Fachkunde lässt regelmäßig zu wünschen übrig.

Verbindliche Auskünfte können die Landesdatenschutzbeauftragten oder der Bundesdatenschutzbeauftragte erteilen.
https://www.datenschutz-wiki.de/ASB

5 „Gefällt mir“

Vielen Dank JoeDS und anzolino!

Wir “verarbeiten” wirklich nur die Daten von Mitgliedern bzw. Spendenden, Kampagnen wie beschrieben sind bisher nicht vorgesehen, aber z. B. Erstwählende anzuschreiben und dafür Daten von Einwohnermeldeämtern zu nutzen, könnte in Zukunft vorkommen.

Ich habe den Landesdatenschutzbeauftragten gleich mal angeschrieben; den Fall müsste es ja schon geben, weil wir nicht die erste Partei sind, die mit dieser Frage konfrontiert wird :wink: