DSGVO – NPO IT Support

Ein ungeliebtes Thema bei jeder Organisation – ganz besonders für ehrenamtliche Organisationen. Es scheint zwar so, dass das Thema DSGVO sich in der Zwischenzeit etwas beruhigt hat. Aber man soll das schlafende Bürokratiemonster auch nicht unterschätzen.

Die Frage für jede Organisation – egal nun ob nicht-profit-orientiert oder doch – ist, wie und was muss ich notwendigerweise dokumentieren, um den Vorschriften gerecht zu werden.

Grundsätzlich: sobald Daten von natürlichen Personen gespeichert werden, ist man in der Pflicht, diesen natürlichen Personen Auskunft über den Umfang der gespeicherten Daten sowie deren Nutzung Auskunft geben zu können.

Die Frage ist halt: ab wann speichert man denn nun Daten? Einfaches Beispiel: der Verein und die Mitgliederverwaltung samt Beitragseinzug, usw. usw.. Und auch egal, ob nun Daten digital oder analog (z.B. manuelle Beitrittserklärungen) erfasst sind und archiviert sind.

Hier gilt es nun zu dokumentieren:

welche Daten werden gespeichert (ff: die sog. Datenattribute wie Name, Vorname, Wohnort, usw.)
wer ist mit der Datenspeicherung beauftragt, wer hat Zugriff zu diesen Daten
was wird mit den Daten gemacht – wie wird verarbeitet (die sog. Verarbeitungsmatrix)
wie geht man im Missbrauchsfall vor (die sog. TOM’s -> Technisch organisatorische Maßnahmen)

Ist also kein Hexenwerk und man sollte nach dem Motto “wer schreibt, der führt” vorgehen. Man soll also zeigen, dass man sich organisatorisch Gedanken zu diesem Thema gemacht hat und man auch eine dokumentierte Vorgehensweise einschließlich den verantwortlichen Personen an der Hand hat, welche mit dem Thema DSGVO vertraut sind bzw. vertraut gemacht worden sind.

Die unsäglichen Diskussionen

Natürlich gibt es in diesem Zusammenhang auch “unendliche” Diskussion, im Besonderen beim Führen von Web-Seiten wie hier. Das “unendliche” Thema dabei: die von den Web-Servern vorgenommene Registrierung des Zugriffes auf eine Web-Seite (z.B. Web-Server Apache -> Access Log). Einige Richter sind der Meinung, dass hiermit persönliche Daten gespeichert werden. Diese Richter haben sich aber in der Praxis noch nie angesehen, wie denn die Speicherung dieser Daten zur Identifizierung einer natürlichen Person führen soll – wohlgemerkt: für den normalen Betreiber einer Homepage. Wir reden hier nicht über staatliche Organe, welche ggf. andere Möglichkeiten der Identifizierung via IP-Adresse haben.

Der Access-Log auf einem Server

Jeder, der sich schon im Detail mit dem sog. “Access Log” auf einem (Linux)Server beschäftigt hat, kennt im Prinzip die Einträge. Jeder kennt auch seine eigene IP-Adresse -> dazu gibt es ja genügend Tools im Internet, womit man das herausfinden kann.

Gesagt – getan -> eigene IP-Adresse ermittelt und mal in den Access-Log hineingeschaut. Et voilà -> da finden wir dann tatsächlich unsere eigene Adresse. Genau – wird nun der Richter in Sachen DSGVO sagen – da haben wir’s doch. Na dann mal anders herum: wir nehmen also die IP-Adresse und befragen eines der vielen Tools im Internet (WhoIs IP) und was sehen wir dann: ah, wir sehen einen Provider. Also weit davon entfernt, dass wir eine private Adresse eines Internet-Teilnehmers sehen würden.

Nun frage ich mich: wieso kommt jemand – wohlgemerkt (siehe oben) keine staatliche Institution (welche wir privaten Personen ja alle nicht sind) – auf die Idee, dass die IP-Adresse ein persönliche Merkmal sind? Denn liest man die Präambel der DSGVO, dann findet man dort den Hinweis, dass es ja um die Rechte einer natürlichen Person geht. Wie soll man aber die natürlich Person identifizieren? Mit einer IP geht es auf jeden Fall nicht.

Ich persönlich kann über die Rechtsprechung und deren Auslegung in diesem Fall nur den Kopf schütteln. Das Vorhalten eines Access-Logs auf Grund einer amtlichen Anordnung ist hier natürlich nicht ausgeschlossen. Aber da sind wir dann weit von den Inhalten der DSGVO entfernt.