Das BMVg entdeckt die DSGVO: Formular, Schutzbereich 2

 

Das hier oben ist ein Symbolbild: In den vergangenen Tagen habe ich, wie vermutlich viele Leser auch, zahlreiche Mails erhalten mit der Bitte, zum Inkrafttreten der neuen EU-Datenschutzgrundverordnung (DSGVO) die Zustimmung zur weiteren Speicherung in Verteilerlisten zu geben. Im Regelfall ist das ein Klick, vielleicht auch ein Link auf eine Webseite, auf der man die Einigung erteilen kann.

Im Geschäftsbereich des Bundesministeriums der Verteidigung läuft das ein bisschen anders. Wie schon bei den Sturmhauben oder beim Korruptions-Osterhasen lassen sich die zuständigen Profis da nicht dreinreden und gehen knallhart ihren eigenen Weg: Die Zustimmung zur weiteren Speicherung im Presseverteiler des Ministeriums gibt es nicht per Klick – sondern per Formular, das heruntergeladen, ausgefüllt, unterschrieben und zurückgeschickt werden muss.

Ein bisschen enttäuscht bin ich ja schon, dass man die Mitteilungen nicht per Telex abonnieren kann. Oder per Postzusendung. Aber immerhin kommt die Anfrage zur Einwilligung einen Tag vor Inkrafttreten der neuen Verordnung. Und so ein Formular lässt sich bestimmt viel besser ausdrucken und abheften.

(Ernsthaft: Von den -zig E-Mail-Verteilerlisten, die mich in den vergangenen Tagen um Zustimmung gebeten haben, ist dieser Fall der einzige, bei dem ein Formular ausgefüllt und zurückgeschickt werden soll. )

Nachtrag:

FunFact 1: Das Fomular lässt sich zwar am Computer ausfüllen, allerdings sind die vorgesehenen Felder so knapp bemessen, dass die Mailadresse opz@augengeradeaus.net nicht reinpasst (das .net habe ich dann händisch ergänzt)

FunFact 2: Ich habe das ausgefüllte und unterschriebene Formular an die vom Presse- und Informationsstab angegebene Berliner Faxnummer geschickt. Als Absenderkennung der Gegenseite erschien dann allerdings eine Nummer mit der Landesvorwahl +90, also in der Türkei. Da wird doch nicht etwa der Faxempfang an ein Unternehmen mit Sitz außerhalb der EU und damit außerhalb des Geltungsbereichs der Datenschutzgrundverordnung outgesourced sein? Ein Glück, dass das BMVg für Nachfragen die Kontaktdaten der Datenschutzbeauftragten angegeben hat.

 Nachtrag zum Nachtrag: Noch keine offizielle Antwort, aber Kenner aus dem Apparat weisen mich darauf hin, dass die 90 die Bundeswehr-interne Auswahlziffer für Rufnummern ist. Das wäre ja eine einfache und gleichzeitig einleuchtende Erklärung; allerdings stellt sich die Frage, warum das in der ansonsten per Konvention für internationale Landesvorwahlen gültigen Form +90 in die Absenderkennung einprogrammiert wird…

Ergänzung 25. Mai und in gewisser Weise eine Abbitte an das Bundesministerium der Verteidigung: Nachdem ich inzwischen von vier verschiedenen Bundesministerien vier völlig unterschiedliche, ja gegensätzliche Vorgehensweisen zum Umgang mit den Vorgaben der DSGVO erleben musste, habe ich in der Bundespressekonferenz mal gefragt, warum es keine einheitliche Haltung der Bundesregierung dazu gibt. (Vom BMVg-Formular über das völlige Ignorieren des Themas bis zu „Wir haben doch ordnungsgemäß Ihre Daten“ ist alles drin.) Die Antwort zum Nachhören (Spoiler: Es gilt das Ressortprinzip):

 

BPK_DSGVO_25mai2018.mp3     

 

Das Transkript dazu:

Frage: Zu einem neuen Thema: europäische Datenschutz-Grundverordnung. Wie einige wissen, endet heute die Übergangsfrist. Das BMI hat das in einer Pressemitteilung ausführlich gewürdigt.

Dennoch dazu die Nachfrage an das BMI, an Frau Fietz und an die Sprecherinnern und Sprecher der Ministerien: Warum haben diese zwei Jahre Übergangsfrist nicht gereicht, um eine einheitliche Umsetzungsweise innerhalb der Bundesregierung festzulegen? Ich habe allein von vier Ministerien gestern und heute vier verschiedene Arten des Umgangs mit Bestimmungen der DSGVO erlebt. Das reicht von einem ausführlichen Formular zum Herunterladen und Ausfüllen über Gar-nichts-Tun bis zu: „Sie sind doch in unserem Verteiler“ – obwohl ich mich da nie eingeschrieben habe. Von einer einheitlichen Vorgehensweise innerhalb der Bundesregierung kann also anscheinend nicht die Rede sein.

Noch einmal die Frage: Warum haben diese zwei Jahre Vorbereitungszeit nicht ausgereicht, um eine einheitliche Umsetzungsweise innerhalb der Bundesregierung festzulegen?

SRSin Fietz: Ich kann Ihnen dazu nur so viel sagen, dass die Bundesregierung diese Regelung in allen Ressorts umsetzt. Wie die Ressorts das handhaben, ist wirklich Angelegenheit der Ressorts. Ich kann Ihnen viele Details liefern, wie das BPA das umgesetzt hat, aber ansonsten ist es Sache der Ressorts, die Datenschutz-Grundverordnung umzusetzen.

Zusatzfrage: Heißt das, dass jedes Ressort eigenverantwortlich entscheidet, wie es die Regeln der DSGVO interpretiert?

SRSin Fietz: Ich würde jetzt nicht von Interpretation reden, sondern von Umsetzung.

Korff: Dem ist grundsätzlich nichts hinzuzufügen. In erster Linie entscheidet das jedes Ressort selber. Aber es fanden dazu – zugegebenermaßen etwas kurzfristig –Abstimmungen statt. Falls man innerhalb der üblichen Ressortabstimmungen zu dem Ergebnis kommt, sich auch an anderen zu orientieren, dann wird das sicherlich noch weiter stattfinden. Diese Gespräche fanden statt. Es wurde entschieden, dass es jedes Ressort für sich selbst macht. Ein enger Austausch fand statt, wo es möglich war, und es ist nicht ausgeschlossen, dass das auch noch weiterhin passiert.

Frage: Warum reicht es bei dem einen, nur auf „antworten“ zu drücken, während ich bei dem anderen – wir reden von einer und derselben Bundesregierung – ein ganzes Formular neu ausfüllen muss? Wie kann das rechtlich sein? Denn die rechtliche Basis ist ja exakt identisch.

Korff: Das kann ich Ihnen derzeit nicht sagen, weil ich keine Kenntnis darüber habe, wie es die einzelnen Ressorts umsetzen.

Frage: Gibt es in der Regierung Überlegungen, per Kabinettsbeschluss noch Anpassungen bei der Datenschutz-Grundverordnung vorzunehmen?

Ich weiß; die Grundverordnung ist in Kraft gesetzt. Aber man könnte auch das Setzen von Strafen noch einmal überdenken.

Korff: Darüber haben wir am Mittwoch wirklich ausführlich gesprochen. Herr Seibert hat dazu sehr deutlich Stellung genommen, wir ebenfalls. Das ist derzeit nicht geplant.

Frage: Wie sieht die Bundesregierung das Vorgehen von Webseiten von außerhalb der EU, dieses Seiten beim Zugriff aus der EU unter Hinweis auf die Datenschutz-Grundverordnung zu blockieren? War das mit ein angestrebtes Ziel des Inkrafttretens dieser Regelung?

Korff: Es tut mir wirklich leid, aber ich kenne die Datenschutz-Grundverordnung nicht so im Detail, dass ich auf diese Frage antworten könnte.

Zusatz: Es ist ja keine Frage zur Datenschutz-Grundverordnung im Detail.

Korff: Das ist die Frage, wie das auf Grundlage der Datenschutz-Grundverordnung rechtlich zu bewerten ist.

Zusatz: Nein, das war nicht meine Frage. Entschuldigung, dass ich sie so unpräzise gestellt habe.

Als Folge des Inkrafttretens der europäischen Datenschutz-Grundverordnung gibt es Seiten von Betreibern von außerhalb der EU, die als Reaktion darauf für Nutzer aus der EU grundsätzlich Geoblocking betreiben. Ist das etwas, was die Bundesregierung quasi schulterzuckend hinnimmt, war das mit eingepreist, oder ist es Ihnen einfach egal? – Haben Sie dazu eine Meinung oder nicht?

Korff: Ich kann Ihnen jedenfalls keine Meinung für das BMI geben, weil ich es schlichtweg nicht weiß. Die Frage scheint mir aber in Teilen auch in der Zuständigkeit des BMWi zu liegen.

Vorsitzende Wefers: Können Sie weiterhelfen?

Jornitz: Im Moment leider nicht. Das müsste ich nachreichen.

Die nachgereichte Antwort des Bundeswirtschaftsministeriums:

Nicht-europäische Webseitenbetreiber müssen auf Grund des Marktortprinzips die Vorgaben der DS-GVO einhalten, sobald sie die IP-Adressen von Webseitenbesuchern in der EU speichern.
Dass aus diesem Grund Webseitenaufrufe aus der EU blockiert werden, ist uns nicht bekannt. Vielmehr stellen nach unseren Erkenntnissen gegenwärtig auch nicht-europäische Anbieter ihre Prozesse auf die DS-GVO um – teilweise sogar über das Gebiet der EU hinaus. Ein gewichtiger Grund hierfür ist die Bedeutung des europäischen Markt für Anbieter auch außerhalb der EU.

Und so sah die Webseite der Los Angeles Times am 25. Mai aus, wenn sie aus Europa aufgerufen wurde: