Derzeit erreicht ein Schreiben des Bundesverband sichere Kunden- und Patientendaten (BVSKPD e.V.) verschiedene Unternehmen. Inhalt des Schreibens ist eine angebliche Beschwerde eines Mitglieds des Verbandes hinsichtlich der Einhaltung des Datenschutzes im Unternehmen. Dieser Artikel soll die Hintergründe beleuchten.
Der Inhalt im Überblick
Klarstellung
Wir sind dabei ohne für uns ersichtlichen Grund auf der Anbieterliste für die Bestellung eines externen Datenschutzbeauftragten gelistet. Hiermit stellen wir (intersoft consulting services AG) klar, dass wir in keiner geschäftlichen oder sonstigen Art mit dem Absender verbunden sind. Wir distanzieren uns ausdrücklich von dieser Form der Ansprache und unterstützen diese auch in keinerlei Hinsicht. Vielmehr prüfen wir die Durchführung von rechtlichen Schritten.
Der Inhalt des Schreibens
Der Verband, in der Rechtsform des eingetragenen Vereins mit Sitz in Hamburg tätig, behauptet zunächst, dass ein Mitglied sich mit einer Beschwerde hinsichtlich der Einhaltung des Datenschutzes in dem angeschriebenen Unternehmen gewandt hat. Weiter wird von einem „Anfangsverdacht“ fabuliert und ein Verfahrensverzeichnis angefordert.
Das öffentliche Verfahrensverzeichnis
Bereits die Formulierung ist nicht korrekt, so wird unterschieden zwischen dem öffentlichen Verfahrensverzeichnis und den internen Verfahrensübersichten eines Unternehmens. In der Tat ist dieses öffentliche Verfahrensverzeichnis auf Antrag jedermann nach §4g BDSG zur Verfügung zu stellen.
Grober Rechtsmissbrauch?
Nach den allgemeinen Rechtsgrundsätzen wäre das dann möglicherweise nicht der Fall, wenn die Ausübung des Rechts ein grober Rechtsmissbrauch wäre. Das könnte vorliegend der Fall sein.
Uns erreichen zahlreiche Anfragen zu dem Schreiben des BVSKPD e.V., sodass wir einmal die Hintergründe zu dem Verband und den beteiligten Personen recherchiert haben:
- Die Domain „bundesverbanddaten.de“ wurde am 15.06.2014 registriert von Herrn Kent Florian Schwirz, Bahnhofstraße 3, 21244 Buchholz
- Unter der angegebenen Adresse residierte das Unternehmen „All10 Communication GmbH & Co KG“, das seit dem 08.01.2015 insolvent und aufgelöst ist.
- Die noch erreichbare Webseite (http://all10.de/unser-team/) nennt neben Herrn Schwirz auch Frau Elke Schwirz als Teammitglied.
- Frau Elke Schwirz ist Geschäftsführerin der WENZA EWIV Europäische Wirtschaftliche InteressenVereinigung, die in dem Brief an 3. Stelle der empfohlenen Unternehmen steht.
- Das Verfahrensverzeichnis der WENZA EWIV (http://www.wenza.de/wp-content/uploads/2015/06/verfahrensverzeichnis_extern-wenza-ewiv.pdf) nennt als Leiter der EDV „Fariborz Samavati“.
- Herr Samavati wird zusammen mit Herrn Kent Schwirz im Handelsregister als Vorstand des Bundesverband sichere Kunden- und Patientendaten e.V. (BVSKPD e.V.) geführt.
Eine einfache Lösung?
Das „öffentliche Verfahrensverzeichnis“ ist in geeigneter Form zur Verfügung zu stellen. Das bedeutet, dass Sie gern einen Vertreter des Verbandes BVSKPD e.V. einladen können, um diesen bei Ihnen vor Ort im Unternehmen das Verfahrensverzeichnis einsehen zu lassen.
Das so genannte „öffentliche Verfahrensverzeichnis“ der Firma WENZA EWIV ist eine freiwillige Auskunft aber nahezu nutzlos:
– die Daten, welche jedermann zur Verfügung gestellt werden müssen, müssen für jedes einzelne Verfahren zugänglich gemacht werden, eine grobe Übersicht reicht nicht aus!
– es fehlen die auf die Personengruppen entfallenden Daten oder Datenkategorien
– die Leitung der Datenverarbeitung ist eine externe Stelle? „Fariborz Samavati EDV“ ?
Auch die Darstellung zur Beauftragung eines DSBs ist zu beanstanden und größtenteils falsch:
– bei 0-9 Mitarbeitern -> es wird keine Ausnahme für gesetzliche Verpflichtungen §4d Abs. 5 Satz 2 BDSG in Verbindung mit § 4f Absatz 1 Satz 6 BDSG genannt, so dass jede Firma erst einmal denken muss, dass sie einen DSB bestellen muss (z.B. durch die zu speichernde kirchensteuerpflichtige Konfession) Warum kein Link zum Wiki des BfDI: http://www.bfdi.bund.de/bfdi_wiki/index.php/Verfahrensverzeichnisse_und_Meldepflichten#Entscheidungs.C3.BCbersicht
– Personen, die mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, wird hier gleichgesetzt mit Betriebsgröße!!
http://www.wenza.de/wp-content/uploads/2015/05/wenza_fachinfo_datenschutz_reinz2015_maerz_web.pdf
„Seit 2010 ist dieses Thema für Unternehmen rechtlich eindeutig im Bundesdatenschutzgesetz (BDSG) geregelt“
Erst seit 2010??
In den drei Novellen 2009 hat sich doch aber nichts im § 4g geändert, oder sehe ich das falsch?
Ich bezweifle, dass dort überhaupt ein seriöser Datenschutzbeauftragter bestellt wurde.
Und solchen Leuten soll man die Beratung im Datenschutz anvertrauen??
Meiner Meinung nach ist das ein Fall für den LDI-NRW und die Staatsanwaltschaft!