Aus aktuellem Anlass berichtet der Bundesverband deutscher Vereine & Verbände e. V. (bdvv) über einen vermeintlichen #Datenschutzverstoß in Verbindung mit einem Auskunftsersuchen gemäß Art. 15 DSGVO, welchem auch umgehend ein Bestätigungsschreiben folgte, nicht ohne sich zuvor der Identität des Betroffenen, wie sich herausstellte, ein ehemaliger #Auftragsverarbeiter, versichert zu haben. Allein die Diktion im #Auskunftsersuchen des Betroffenen lies auf den Betroffenen und seine Häme selbst schließen.
Der bdvv habe seine Hausaufgaben gemacht und trage nicht nur der viel zitierten Dokumentations- und Informations- und #Rechenschaftspflicht Rechnung, sondern kommuniziere jede einzelne DSGVO-relevante Verarbeitungstätigkeit und die damit verbundenen Geschäftsprozesse, Kategorien und Zuständigkeiten unmittelbar mit den berechtigten Mitwirkenden bzw. Ausführenden direkt am Arbeitsplatz, nämlich dem Ort mutmaßlicher Datenschutzverstöße, und protokolliere zum Nachweis der Datenschutzkonformität jede einzelnen Maßnahme in Echtzeit.
So zitierte der Betroffene bzw. jener Auskunftsersuchenden auszugsweise einen Newsletters des bdvv an seine Mitglieder sowie an Adressaten aus seinem Newsletterverteiler, bedauerlicherweise, eher versehentlich (eine Einwilligung lies sich nicht nachweisen), eben auch an den Betroffenen selbst und fuhr fort:
insofern es ja ein leichtes sein müsste, ihm folgende ihm zustehende Informationen zukommen zu lassen. Gemäß Artikel 15 DSGVO fordere er den bdvv auf, ihm folgende Auskünfte zu erteilen:
Natürlich bestätigte der bdvv umgehend den Erhalt des Ersuchens und beantwortete fristgemäß seine Fragen, wie sie sich auch aus Art. 15 Abs. 1 DSGVO ergeben:
Auf welcher #Rechtsgrundlage habe man den Newsletter an seine E-Mail-Adresse gesendet?
Wann habe er hierzu seine #Einwilligung erteilt? IP, Datum etc.
Falls man seine #personenbezogenen Daten nicht erhoben habe, bäte er um Nachweis der Herkunft seiner personenbezogenen Daten.
Welche personenbezogenen Daten von ihm gespeichert seien?
Für welche #Verarbeitungszwecke habe man diese personenbezogenen Daten gespeichert?
Wer den der Empfänger bzw. welche Kategorien von Empfängern diese personenbezogenen Daten erhalten.
Ob es denn eine Vereinbarung zur #Auftragsverarbeitung zwischen dem bdvv und dem Newsletter-Versand-Dienstleister gäbe?
Wer den die zuständige Aufsichtsbehörde sei?
Er widerspreche jeglicher weiteren Verarbeitung und verlange die sofortige #Löschung seiner personenbezogenen Daten und bäte um entsprechende Bestätigung.
Sollte er nicht innerhalb von vier Wochen, keine Antwort auf sein #Auskunftsersuchen erhalten, sähe er sich gezwungen, diesen Vorfall der zuständigen Aufsichtsbehörde melden.
Bis hierhin ist es jedem Betroffenen benommen, seine Rechte einzufordern, insofern der bdvv auch seinen Mitgliedern dringend empfiehlt, auf das Prozedere eines Auskunftsersuchens vorbereitet zu sein.
Es kam aber noch dicker. Der Betroffene legte nach, wie unter https://www.bdvv.de/post/abgemahnt-aus-fragwuerdigem-anlass nachzulesen.
Diese Nachricht will nichts anderes sagen, als sich in Acht zu nehmen vor noch so kleinen #Datenschutzverstößen. Jedenfalls sind die Mitglieder des bdvv über entsprechende Bedrohungslagen informiert.
Bleibt in diesem Zusammenhang anzumerken, dass der bdvv seinen Mitgliedern ab sofort ein cloudbasiertes Datenschutz-Management-System (DSMS) zum kostenlosen Nutzen anbietet. Da zu mehr aber in der nächsten Blog-Ausgabe.