[E-Mail:] „Sehr geehrte Damen und Herren,
bitte teilen Sie mir gem. § 34 BDSG mit, welche Daten Sie über mich gespeichert haben.
Mit freundlichem Gruß,
Name“
Eine solche Mail erhielten im 2. Halbjahr 2014 Jahr viele Unternehmen. Interne Recherchen führten zu keinen Ergebnissen. Der Betroffene war den angefragten Unternehmen völlig unbekannt. Antwortschreiben blieben stets unbeantwortet (wir berichteten).
Nahezu parallel verschickte im November 2014 eine Anwaltskanzlei Schreiben und verlangte für ihren Mandanten zwischen 8.000 und 32.000 EUR für Hinweis auf Sicherheitslücken im Unternehmen (wir berichteten).
Jetzt scheint es in die dritte Runde zu gehen. Der Bundesverband sichere Kunden- und Patientendaten (BVSKPD e.V.) versendet derzeit ein Schreiben, in dem er sich kurz vorstellt und seine Kompetenz und Zuständigkeit eindrucksvoll unterlegt:
„…als Bundesverband haben wird gemäß unserer Satzung nicht nur die Funktion, allgemeiner Ansprechpartner für Politik, Behörden, Unternehmen u.a. zu sein, sondern wir haben auch die Aufgabe, für die Einhaltung der Datenschutzgesetze und Verordnungen bis hin zur Wahrnehmung rechtlicher Schritte zu sorgen.“
Der Satz klingt stark nach Kontrollinstanz und flößt gleich etwas Respekt ein. ABER: Per Satzung kann man sich sämtliche Aufgaben zuschreiben!
Danach erfolgt eine Darstellung zum Verfahrensverzeichnis und zur Bestellplicht eines Datenschutzbeauftragten. Anschließend kommt man zur Sache:
„Eines unserer Mitglieder hat uns eine Beschwerde hinsichtlich der Einhaltung des Datenschutzes in Ihrem Unternehmen angezeigt. Dem müssen wir nachgehen. Damit wir den bestehenden Anfangsverdacht ausräumen können, bitten wir um Übersendung Ihres bestehenden Verfahrensverzeichnisses.“
Das Verfahrensverzeichnis dokumentiert die elektronischen Datenverarbeitungsprozesse und nennt die hierzu eingesetzte Software, den Zweck der Datenverarbeitung, die betroffenen Personen, die Arten der Daten sowie Übermittlungen an externe Stellen sowie die Aufbewahrungsfristen. Ob sich damit jedoch ein Anfangsverdacht aufklären lässt, ist mehr als fraglich. Die Landesdatenschutzbeauftragten würden im Falle einer Beschwerde zunächst den Sachverhalt darstellen und dann hierzu gehörende Informationen anfordern.
Nach einer großzügigen Fristeinräumung von einem Monat endet das Schreiben mit den Satz:
„Grundsätzlich verfolgen wir das Ziel, eine gütliche Einigung zu erreichen.“
Am Ende des Briefs findet sich noch eine Anbieterliste für die Bestellung eines externen Datenschutzbeauftragten. Der BVSKPD e.V. empfiehlt freundlicherweise noch drei externe Dienstleister, falls das angeschriebene Unternehmen im Datenschutzrecht noch nicht gut aufgestellt sein sollte. Bemerkenswert in diesen Zusammenhang ist, dass sich zwei (Tobias Mauß und die intersoft consulting services AG) der drei Genannten ausdrücklich vom BVSKPD e.V. distanzieren.
Letztgenannte haben bei ihrer Recherche herausgefunden, dass bei der dritten Empfehlung, die WENZA EWIV Europäische Wirtschaftliche Interessen Vereinigung, der Leiter der Datenverarbeitung ein Herr Fariborz Samavati ist. Dieser wird zusammen mit anderen im Handelsregister als Vorstandsmitglied des BVSKPD e.V. geführt. Herzlichen Dank an die Kollegen der intersoft consulting services AG für diese Recherche.
In diesem Licht erscheint das Anschreiben als eine Sondierung des Marktes mit dem Ziel der Kundenakquise durch den WENZA EWIV.
Wie geht man mit dem Schreiben um.
Ignorieren ist der falsche Weg. Fordern Sie einen Sachverhalt an, aus dem sich die Nicht-Einhaltung des Datenschutzes ergeben soll. Da die Bereitstellung des Verfahrensverzeichnisses eine gesetzliche Pflicht ist, sollten Sie auch hier aktiv werden. Das Gesetz besagt nur, dass dieses jedermann zur Verfügung zu stellen ist, schweigt aber bezüglich der Art und Weise. Daher laden Sie doch die Mitarbeiter des BVSKPD e.V. zu sich ins Unternehmen ein, damit diese dort in das Verfahrensverzeichnis Einsicht nehmen können. Letztlich können Sie auch im Gegenzug das Verfahrensverzeichnis des BVSKPD e.V. anfordern.