DA+

Aufsatz : DS-GVO – und was die Aufsichtsbehörden daraus machen (sollten) : aus der RDV 5/2018, Seite 243 bis 247

Thomas KranigArchiv RDV
Lesezeit 14 Min.

Die Datenschutz-Grundverordnung (DS-GVO) ist seit mehr als zwei Jahren in Kraft und seit dem 25. Mai 2018 anwendbar. Eine nicht wirklich neue Erkenntnis. Nicht wirklich neu ist auch die Erkenntnis, dass auch die Aufsichtsbehörden sich sehr schwer damit tun, die Anforderungen wahrzunehmen und – möglichst einheitlich – zu realisieren, die sie selbst betreffen,[1] und auch die Richtung abzustecken und vorzugeben, die in Zukunft Grundlage von Beratungen und insbesondere auch Kontrollen sein wird. Wenn man einen Blick auf den Rechtszustand vor dem 25. Mai 2018 in Europa wirft, ist festzustellen, dass trotz wiederholter Äußerungen des EuGH, dass auch schon die Datenschutzrichtlinie von 1995 eine harmonisierende Bedeutung gehabt habe[2], eine sehr unterschiedliche Datenschutzkultur, Rechtslage und Rechtsverständnis und nicht zuletzt auch ein sehr unterschiedlicher Vollzug in Datenschutzrecht bestanden haben. Davon ausgehend könnte man zu der Auffassung gelangen, dass die Aufsichtsbehörden nun schon eine Menge Arbeit geleistet haben, selbst wenn das nur einen kleinen Bruchteil davon darstellt, was noch zu leisten sein wird.

I. Bemühungen der Europäischen Aufsichtsbehörden um ein einheitliches Verständnis der DS-GVO

Das neue Europäische Datenschutzrecht in Form einer Verordnung zwingt die unabhängigen Aufsichtsbehörden, sich um ein einheitliches Verständnis über das geltende Recht zu bemühen und einen einheitlichen Vollzug sicherzustellen. Dies hat schon früher die Art.-29-Gruppe insbesondere durch die Veröffentlichungen von Working Papers angestrebt. Den Weg hat der nun mit einer eigenen Rechtsnatur ausgestattete Europäische Datenschutzausschuss (EDSA) fortgesetzt und die Fortsetzung dadurch dokumentiert, dass er in den ersten Sitzungen mehrere vor der Anwendbarkeit der DS-GVO entstandene Arbeitspapiere der Artikel-29- Gruppe „bestätigt“ hat.[3]

Zu den „bestätigten“ Papieren gehören unter anderem[4]:

  • WP 259 rev.01 (Leitlinien[5] zur Einwilligung)
  • WP 260 rev.01 (Leitlinien zur Transparenz
  • WP 250 rev.01 (Leitlinien für die Meldung von Datenschutzverletzungen)
  • WP 242 rev.01 (Leitlinien zur Datenportabilität)
  • WP 243 rev.01 (Leitlinien zum Datenschutzbeauftragten)
  • WP 248 rev.01 (Leitlinien zur Datenschutzfolgenabschätzung)
  • WP 251 rev.01 (Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling)
  • WP 244 rev.01 (Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters)

Seit dem 25. Mai 2018 hat der Europäische Datenschutzausschuss folgende eigene Leitlinien im Sinne von Art. 70 DS-GVO beschlossen[6]:

  • Leitlinien Nr. 1/2018 zur Zertifizierung und zu Zertifizierungskriterien – Leitlinien Nr. 2/2018 zu den Ausnahmebestimmungen gemäß Art. 49 DS-GVO für Datenübermittlungen in Drittstaaten In der Entwicklung sind derzeit weitere Leitlinien und Stellungnahmen des Europäischen Datenschutzausschusses unter anderem zu folgenden Themen:
  • weitere Leitlinien zur Zertifizierung und Akkreditierung
  • Leitlinien zum räumlichen Anwendungsbereich der DSGVO (Art. 3)
  • Leitlinien zum Anwendungsbereich von Kapitel V DS-GVO
  • Leitlinien zu Art. 46 Abs. 2 a und 3 b DS-GVO betreffend Übermittlungen zwischen öffentlichen Stellen
  • Videoüberwachung
  • Anwendung von Art. 6 Abs. 1 b DS-GVO im Rahmen kostenfreier Online-Dienste

Es ist sicherlich damit zu rechnen, dass der EDSA auch darüber hinaus sukzessive weitere Leitlinien, Empfehlungen, „bewährte Verfahren“ und Stellungnahmen verabschieden bzw. zur Verfügung stellen wird. Wann er darüber hinaus nach Art. 65 DS-GVO in Einzelfällen Entscheidungen treffen und damit Orientierung geben wird, bleibt abzuwarten und hängt ganz maßgeblich davon ab, wann und wie die einzelnen Aufsichtsbehörden ihn zu einer Entscheidung „zwingen“.

II. Bemühungen der deutschen Aufsichtsbehörden um ein einheitliches Verständnis der DS-GVO

Selbst wenn der europäische Datenschutzausschuss, wie oben ausgeführt, auf einem guten Weg ist, den Anwendern der DS-GVO Orientierung zu geben, betrifft dies auf längere Zeit nur Einzelthemen, die von einzelnen europäischen Aufsichtsbehörden an den Ausschuss herangetragen und vorbereitet werden müssen. Insofern bleibt den deutschen Aufsichtsbehörden und den Aufsichtsbehörden der anderen Mitgliedstaaten noch jede Menge an Fragestellungen, die „sofort“ beantwortet werden müssen. Sicherlich wird es der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) nicht möglich sein, auf die Unmenge an Fragen zum Vollzug der DS-GVO und des BDSG zeitnah einheitliche deutsche Antworten zu haben, so wünschenswert dies aus Sicht der Verantwortlichen und Auftragsverarbeiter vielleicht sein könnte[7]. Wichtig wären derartige einheitliche Antworten aber auch, um auf gefestigte Positionen zurückgreifen zu können, wenn es darum geht, mit einer starken deutschen Position in eine europaweite Abstimmung zu gehen.

Die DSK hat sich entschieden, eine gemeinsame Homepage[8] zu betreiben und auf dieser alle relevanten Entscheidungen der deutschen Aufsichtsbehörden zu veröffentlichen. Dies betrifft insbesondere die so genannten Kurzpapiere, die den Verantwortlichen, Auftragsverarbeitern und betroffenen Personen in Deutschland das Vollzugsverständnis der deutschen Aufsichtsbehörden und konkludent damit die Kriterien für deren zukünftige Prüfungen transparent machen. Zum anderen dienen diese Kurzpapiere auch dazu, wie oben gesagt, eine deutsche Position zu haben, die auf europäischer Ebene bei der Erstellung von Leitlinien, Entscheidungen oder sonstigen Stellungnahmen des EDSA eingebracht werden können. Dabei ist den Aufsichtsbehörden sehr bewusst, dass die ziemlich anstrengende Arbeit der Verständigung auf derzeit 19 Kurzpapiere nur ein Anfang und lange nicht das Ende ihrer Informations- und Sensibilisierungspflicht nach Art. 57 DS-GVO sein kann.

III. Bemühungen einzelner deutscher Aufsichtsbehörden um ein „einheitliches Verständnis“ der DS-GVO

Im Verhältnis des EDSA zur DSK zeigt sich, dass die DSK etwas schneller und in größerem Umfang zu Fragen Stellung nehmen kann und muss, als der EDSA dies aufgrund seiner Struktur, d.h. der Einbindung aller europäischen Aufsichtsbehörden, bei der Verabschiedung von Leitlinien u.a. kann. Eine ähnliche Situation gibt es in Deutschland im Verhältnis der DSK zu den einzelnen Aufsichtsbehörden. Letztere werden derzeit mit Anfragen zur Auslegung der DS-GVO und des BDSG, ergänzt mit Anfragen zur Auslegung des jeweiligen Landesdatenschutzgesetzes überhäuft und können auch hier nicht in allen Fällen warten, bis es eine einheitliche deutsche Position gibt. Die Auffassungen der einzelnen Aufsichtsbehörden sind für die Verantwortlichen und Auftragsverarbeiter im jeweiligen Zuständigkeitsbereich notwendig und dem Vernehmen nach auch hilfreich, um zumindest in beschränktem Umfang Rechtssicherheit zu haben.

Insbesondere kleine Unternehmen, Vereine, Verbände oder freiberuflich Tätige, die die zwei Jahre Übergangszeit der DS-GVO nicht wirklich genutzt haben und nun durch irreführende Verlautbarungen von „Datenschutzfachleuten“, regelmäßig in Verbindung mit der Aussage, dass die Aufsichtsbehörden Millionenstrafen verhängen, wenn man nicht den (kostenpflichtigen) Empfehlungen dieser Fachleute folgt, verunsichert wurden, sind mit einer Unmenge an Fragen an die Aufsichtsbehörden herangetreten, die, so gut es geht, – und ganz häufig nicht in Abstimmung mit den anderen Aufsichtsbehörden – beantwortet wurden[9]. Viele Aufsichtsbehörden haben deshalb ihr Angebot auf der jeweiligen Homepage aktualisiert, um damit zahlreiche gleich lautende Anfragen zu beantworten. Eine Konsolidierung der Antworten auf viele dieser Fragen, die dadurch geschehen könnte, dass sich die Antworten nicht mehr nur auf den Homepages der einzelnen Aufsichtsbehörden, sondern der Homepage der DSK bzw. des EDSA finden, ist dringend erforderlich und steht in weiten Bereichen noch aus[10].

Für Verantwortliche scheint diese Situation trotzdem erträglich zu sein, da sie dann, wenn sie sich an das halten, was ihre zuständige Aufsichtsbehörde empfiehlt, in keinem Fall mit Sanktionen rechnen müssen, selbst wenn sie ein Stück weit im Auge haben müssen, dass die Auffassung ihrer Aufsichtsbehörde dann, wenn eine einheitliche Auffassung auf „höherer“ Ebene, sei es DSK oder EDSA gefunden wurde, angepasst werden könnte.

IV. Antworten auf häufige Fragestellungen

Aus der Masse der kaum mehr überschaubaren Anfragen zur Auslegung der DS-GVO bzw. des BDSG sollen im Folgenden einzelne Fragen konkret angesprochen werden.

1. Welche Anforderungen gibt es an das Verzeichnis von Verarbeitungstätigkeiten?

In formaler Hinsicht könnte man weitgehend auf ein Verfahrensverzeichnis nach § 4e BDSG-alt aufbauen, wenn es das jemals gegeben haben sollte. Ein einheitliches Muster oder auch eine Empfehlung, ob das Verzeichnis in Word, Excel oder mit einer Spezialsoftware erstellt werden soll, kann es nicht geben, da die Verarbeitungen zu unterschiedlich sind. Grundsätzlich empfiehlt es sich jedoch, über die Mindestangaben gemäß Art. 30 Abs. 1 DS-GVO hinaus Angaben zum Nachweis weiterer Anforderungen der DS-GVO wie z.B. Rechtsgrundlage, Schwellwertanalyse DSFA, Privacy by Design, Betroffenenrechte u.a. zur Verfügung haben.

2. Wie ist die Rechenschafts- und Dokumen tationspflicht konkret umzusetzen?

Rechenschaftspflicht kann als Beweislastumkehr gesehen werden. Verantwortliche und Auftragsverarbeiter müssen insbesondere die Rechtmäßigkeit ihrer Verarbeitung und die sonstigen in Art. 5 Abs. 1 DS-GVO genannten Datenschutzgrundsätze nachweisen. Mathematisch könnte man es auf die Formel bringen: Rechenschaftspflicht = Aufbauorganisation + 3 Hauptbereiche (datenschutzkonforme Verarbeitung, Betroffenenrechte, Datenschutzverletzungen) + Dokumentation + (internes) Audit. Bei KMUs könnte dies durch ein (etwas gegenüber den Minimalanforderungen nach Art 30 Abs. 1 DS-GVO erweitertes) Verzeichnis der Verarbeitungstätigkeiten sichergestellt werden. Größere Unternehmen werden um ein Datenschutzmanagementsystem nicht herumkommen.

3. Gibt es die Notwendigkeit für Prozesse, die schon vor Geltung der DS-GVO bestanden haben, eine Datenschutz-Folgenabschätzung durchzuführen?

Eine DSFA muss für bereits laufende Verarbeitungsvorgänge durchgeführt werden, wenn diese wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und wenn sich deren Risiken im Hinblick auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung geändert haben[11]. Konkret bedeutet dies, dass bestehende Prozesse weiterlaufen können, solange sich risikorelevante Faktoren (z.B. neue Dienstleister, Einsatz neuer oder innovativer Technologien usw.) nicht geändert haben.

Spannend bleibt in diesem Zusammenhang der derzeit laufende Prozess auf europäischer Ebene, eine einheitliche Liste nach Art. 35 Abs. 4 DS-GVO zu konsolidieren. Die von insgesamt ca. 10 (von 28 Mitgliedstaaten) vorgelegten Landeslisten zeigen ein extrem unterschiedliches Verständnis, wann und in welcher Art und Weise eine DSFA durchzuführen ist. Die Arbeit, die auf nationaler Ebene mit großem Aufwand geleistet und in die Kurzpapiere Nrn. 5[12] (Datenschutzfolgeabschätzung) und insbesondere 18[13] (Risiko für die Rechte und Freiheiten natürlicher Personen) eingeflossen ist, ist auf europäischer Ebene (mit ungewissem Ausgang) noch zu leisten.

4. Welche konkreten Anforderungen werden an das Löschen von Daten gestellt?

Grundsätzlich gilt, dass das Sperren von Daten (siehe § 35 Abs. 3 BDSG-alt) wegen eines behaupteten hohen Löschaufwandes nicht mehr möglich ist. Daten sind zu löschen, sobald diese nicht mehr erforderlich und mögliche gesetzliche Aufbewahrungsfristen abgelaufen sind.[14] Sinnvollerweise sollten orientiert an Aufbewahrungsfristen Löschroutinen implementiert werden. Derzeit noch teilweise glaubhafte Aussagen von Verantwortlichen, dass ein Löschen technisch nicht möglich sei, werden mittelfristig nicht davor schützen, mit einer Sanktion belegt zu werden.

5. Welche Empfehlungen gibt es im Zusammenhang mit der Meldepflicht von Datenschutzverletzungen nach Art. 33 DS-GVO?

Dass die Schwelle zur Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO gegenüber der Meldepflicht von Datenpannen nach § 42a BDSG-alt abgesenkt wurde, ist unbestritten. Dass aber die Anzahl der Meldungen von Datenschutzverletzungen nach Art. 33 DSGV in einer Art und Weise explodiert ist[15], haben Aufsichtsbehörden zwar befürchtet, aber nicht wirklich „sich zu erwarten getraut“. Natürlich kann es derzeit keine Empfehlung der Aufsichtsbehörden geben, Datenschutzverletzungen, die nach Art. 33 DS-GVO meldepflichtig sind oder vom Verarbeiter als meldepflichtig angesehen werden, nicht zu melden. Wegschauen geht nicht. Nach der DS-GVO müssen Prozesse aufgebaut und Mitarbeiter geschult werden, so dass Verletzungen der Sicherheit erkannt werden können. Wegschauen von der Masse der Eingänge geht aber auch nicht für die Aufsichtsbehörden. Notwendig wird es aber sein, die Menge dieser Meldungen, die dem Vernehmen nach in ähnlichem Umfang bei allen deutschen Aufsichtsbehörden eingegangen sind, auszuwerten und gegebenenfalls Verfahren zu implementieren, die eine stärker risikobasierte Art der Bearbeitung der gemeldeten Datenschutzverletzungen wie Hacking-Vorfälle, Softwarefehler, Verlust von Datenträgern, Fehlversand u.a. vorsehen.

6. Wie bewerten die Aufsichtsbehörden die Einschränkungen bei den Betroffenenrechten durch das BDSG?

Die Diskussion darüber, ob und inwieweit Vorschriften des BDSG-neu wegen Anwendungsvorrangs der DS-GVO nicht angewendet werden dürfen, kommt immer wieder in den einzelnen Arbeitskreisen der DSK hoch, wenn einzelne Themenblöcke, wie z.B. Videoüberwachung, bearbeitet werden. Ergebnis der internen Diskussionen unter den Aufsichtsbehörden war bis jetzt jedoch, dass die DSK sich nicht dahingehend zu einzelnen Vorschriften äußert, dass sie nicht anwendbar seien. Der Grund dafür ist, dass diese Entscheidung nicht generell getroffen werden kann, sondern nur im konkreten Einzelfall und dann nur durch die jeweils zuständige Aufsichtsbehörde.

V. Ausblick

Die Aufsichtsbehörden werden noch lange Zeit benötigen, um selbst oder unter Einbindung von Gerichten[16] Rechtssicherheit zu schaffen. Dabei sollten Sie aber einem Paradigmenwechsel der DS-GVO Rechnung tragen: Der Verantwortliche ist für seine Datenverarbeitung verantwortlich und bleibt verantwortlich. Dies bedeutet zum Beispiel bei Beratungen[17], dass Voraussetzung für eine Äußerung einer Aufsichtsbehörde sein sollte, dass der Verantwortliche der Aufsichtsbehörde nicht nur einen Sachverhalt mit der Bitte, diesen datenschutzrechtlich zu bewerten, mitteilt, sondern seine eigene datenschutzrechtliche Bewertung übermittelt. Davon kann man möglicherweise bei sehr kleinen Verantwortlichen abweichen. Bei allen Verantwortlichen, die verpflichtet sind, einen Datenschutzbeauftragten zu benennen, muss dies Standard sein, und insbesondere auch, wenn ein anwaltlich Bevollmächtigter um Beratung nachsucht.

Zur Herstellung von Synergieeffekten sollten Aufsichtsbehörden für den nichtöffentlichen Bereich die intensivere Zusammenarbeit mit den Verbänden und Kammern suchen, um diese in die Lage zu versetzen, als Multiplikatoren zu wirken und für den jeweiligen fachlichen Bereich einschlägige Muster oder Handreichungen zu erstellen[18]. Wenn dies in deutlich mehr Fälle als bisher zu genehmigten Verhaltensregeln (CoC) gemäß Art. 40 DS-GVO führen würde, wäre dies für alle Beteiligten hilfreich. In der Praxis haben sich die ERFA – Kreise, bei denen sich in aller Regel Wirtschaft und Aufsichtsbehörden begegnen, sehr bewährt. Zu überlegen wäre in diesem Zusammenhang, ob die Verbände der Datenschutzbeauftragten, die mittlerweile auch auf europäischer Ebene vernetzt sind, zu einzelnen Themen derartige Kreise auf europäischer Ebene ins Leben rufen, um die Praxis zu vernetzen. Vielleicht könnte dies helfen, ein für die Praxis überzeugendes Verständnis zu entwickeln, wie das Problem mit den Dashcams, die in UK zum Teil verpflichtend betrieben werden müssen, um den Haftpflichtversicherungsschutz nicht zu verlieren, und in Deutschland, sofern sie permanent laufen, um den Hergang eines Unfalls für Versicherungen zu dokumentieren, verboten sind, harmonisierend gelöst werden kann.

 

Thomas Kranig ist seit dem Jahr 1997 Richter am Verwaltungsgericht Ansbach. Im Jahr 2011 wurde er schließlich zum Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht in Bayern ernannt.

[1] So hatten die Information einzelner Aufsichtsbehörden nach Art. 13 DS-GVO, die an E-Mails angehängt waren, einmal ausgedruckt einen Umfang von vier DIN A 4 Seiten und ein anderes Mal fünf Zeilen (mit Link auf Webseite). Andere Aufsichtsbehörden machten weiter wie bisher, d.h. ohne spezielle Information – ging auch.

[2] So z.B. Urt. v. 24.11.2011, C 468/10 und C 469/10: „Die mit der Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr angestrebte Harmonisierung der nationalen Rechtsvorschriften ist nicht auf eine Mindestharmonisierung beschränkt, sondern führt zu einer grundsätzlich umfassenden Harmonisierung.“

[3] Der EDSA hat diese Papiere „bestätigt“ (endorsement) und mit keinem Wort gesagt, dass sie „Leitlinien im Sinne von Art. 70 DS-GVO“ seien. Diesen Begriff hat er nur für Papiere verwendet, die er ab dem 25. Mail 2018 neu beschlossen hat (siehe den Wortlaut der „Bestätigungsentscheidung“ unter https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en).

[4] Der EDSA hat daneben noch (recht zahlreiche) weitere Papiere der WP29 bestätigt, die von der WP29 nicht als „Leitlinien“ bezeichnet wurden (z.B. mehrere Arbeitspapiere zum BCR-Verfahren; vollständige Liste unter https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf)

[5] Die Papiere wurden von der WP29 durchaus als „Leitlinien“ bezeichnet. Es sind aber eben keine echten, eigenen Leitlinien des EDSA i.S.v. Art. 70 DS-GVO.

[6] Diese eigenen Leitlinien des EDSA i.S.v. Art. 70 werden nun anders nummeriert.

[7] Manche Verantwortliche sehen dies im Hinblick darauf, dass sich in den letzten Jahren bei gemeinsamen Positionen, die nur einstimmig verabschiedet werden konnten, häufig die Version durchgesetzt hat, die die schärfsten (gelegentlich auch nicht durchsetzbaren, wie z.B. bei den Anforderungen an Krankenhausinformationssysteme – KIS) Anforderungen beinhalteten. Mittlerweile beschließen Aufsichtsbehörden ihre Positionen in aller Regel mit Mehrheit.

[8]Https://www.datenschutzkonferenz-online.de/

[9] Das BayLDA hat, um die zahlreichen Fragen der Vereine abzufangen, für einen Zeitraum von vier Monaten die Dienstleistung einer professionellen Hotline eingekauft, die dortigen Mitarbeiterinnen und Mitarbeiter geschult und in den ersten Wochen mit jeweils einer Person im Hintergrund und parallel dazu konkreten Informationen auf der Homepage unterstützt. Deutlich über 1.000 Anrufe (Stand: August 2018) mit einer Erreichbarkeit von über 90 % zeigen, dass das Projekt erfolgreich war bzw. ist (siehe: https://www.lda.bayern.de/de/hotline.html).

[10] So jedenfalls die Auffassung des Verfassers.

[11] WP 248 Rev. 01, S. 16

[12]Https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf.

[13]Https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf.

[14] Ob die Rechtsprechung des BAG im Urteil vom 23.08.2018 – 2 AZR 133/18, wonach ein Arbeitgeber Bildmaterial einer Videoüberwachung nicht sofort habe auswerten müssen, sondern damit solange haben warten dürfen, bis er dafür einen berechtigten Anlass sah, Bestand haben kann, erscheint sehr zweifelhaft. Es wäre die Abschaffung des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 c DSGVO und der sich daraus ergebenen Löschverpflichtung durch die Hintertür.

[15] Im Jahr 2017 wurden dem BayLDA insgesamt 270 Datenpannen, im Jahr 2018 in den Monaten Januar bis April schon 150 und in den Monaten Mai bis August 2018 (d.h. bis zum 24.08.) insgesamt 1.876 Datenschutz-verletzungen gemeldet.

[16] … was bedeutet, dass Aufsichtsbehörden auch vermehrt (zu den wirklich relevanten Fragen) Anordnungen erlassen müssten.

[17] Die Aufsichtsbehörden diskutieren zur Zeit intensiv darüber, ob Beratung der Verantwortlichen (anders als nach § 38 Abs. 1 Satz 2 BDSGalt) nach der DS-GVO noch eine Pflichtaufgabe ist oder nur „fakultativ“ in Erfüllung „jeder sonstigen Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten“ nach Art. 57 Abs. 1 v DS-GVO geleistet werden kann.

[18] Der Bayerisches Landessportverband (BLSV) hat das in vorbildlicher Art und Weise für seine Mitglieder erarbeitet und (teilweise allerdings nur im internen Bereich) veröffentlicht, https://www.blsv.de/blsv/vereinsservice/vereinsberatung/datenschutz.html.