Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.
DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".
Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.
DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.
DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.

Arbeitsbeispiel Krankenhaus

Wenn auf einmal handfeste Datenschutz-Probleme auftauchen

Für ein Krankenhaus in einer Kleinstadt in der Mitte von Deutschland* sollte ein Verfahrensverzeichnis inklusive der dazugehörigen technischen und organisatorischen Maßnahmen erstellt werden. Infolge der großen Menge an Verfahren sah sich der interne, Teilzeit-Datenschutzbeauftragte des Krankenhauses nicht in der Lage, diese Aufgabe mit der gebotenen Gründlichkeit zu erledigen, und übergab sie an uns.

In einem Verfahrensverzeichnis werden sämtliche automatisierten Verfahren eines Unternehmens erfasst und ausgewertet, die die Erhebung, Speicherung oder Weiterverarbeitung personenbezogener Daten betreffen. Tauchen hier Fragen oder Unklarheiten auf, sind diese für die Datenschutzbeauftragten ein guter Anknüpfungspunkt der Frage nach der Erlaubnis einer bestimmten Datenverarbeitung nachzugehen.

Aller Anfang ist Recherche: nach Auswertung bestehender Unterlagen und ausführlichem Befragen verschiedener Mitarbeiter insbesondere aus der IT-Abteilung identifizierten wir insgesamt 56 Verfahren, in denen mit Patientendaten gearbeitet wurde.

Neben den üblichen und gängigen Verfahren wie Röntgenbilder oder dem Umgang mit (papiernen) Patientenakten tauchte aber bald ein mysteriöser Posten auf: Der Chefarzt H. der Chirurgie hatte aus seiner Zeit an der Universitätsklinik Bonn eine Software mitgebracht und eingeführt, die jedoch keiner außer ihm selbst nutzen oder bedienen konnte.

Hier gab es also zwei handfeste Datenschutz-Probleme:

1.Haftung: Da keiner außer dem Chefarzt H. wusste, wofür die Software genutzt wurde, und ob damit möglicherweise Patientendaten an Unbefugte übermittelt würden, bestand eine ernstzunehmende Gefahr für das Krankenhaus. Dieses haftet nämlich für sämtliche angewendete Verfahren, auch wenn es gar nicht in die Inhalte eingeweiht ist. Auch der Datenschutzbeauftragte haftet für Schäden mit einem Bußgeld, weshalb er die Leitung des Krankenhauses in einem solchen Fall unbedingt auf die Gefahr dieses nicht-öffentlichen und potenziell unzulässigen Verfahrens hinweisen muss.

2. Verfügbarkeit: Außer dem Chefarzt konnte niemand auf die Software zugreifen und niemand vermochte zu sagen, ob die Daten überhaupt mit in die reguläre Datensicherung des Krankenhauses einflossen. Im Krankheitsfall oder schlimmerem wäre es also keinem anderen aus dem Krankenhaus möglich gewesen, das Verfahren weiter zu betreiben oder auch nur zu prüfen, worum es sich dabei handelte.

Wir wiesen das Krankenhaus mit einem umfassenden Bericht auf dieses und noch verschiedene andere Risiken in Bezug auf den Umgang mit Patientendaten hin. Im Ernstfall hätte ein Bußgeld von bis zu 300.000 Euro auf das Krankenhaus zukommen können, das nicht auf den betreffenden Chefarzt abzuwälzen gewesen wäre.

Das Krankenhaus machte sich daraufhin umgehend daran, das Problem der Chefarztsoftware zu beheben. Der Datenschutzbeauftragte war erfreut, nunmehr über eine umfassende Übersicht über alle Verfahren mit Bezug zu Patientendaten zu verfügen und über mögliche Schwachstellen informiert zu sein.

*Alle Namen und Orte wurden von der Redaktion geändert.

Haben auch Sie Fragen zu den Abläufen in Ihrem Krankenhaus? Wir beraten Sie gerne. Kontakt

Zurück