AW: Der maschinenlesbare Verbandsausweis des DAFV
Das Werk druckt die UID und in der Geschäftsstelle sitze ein Geschäftsführer bzw Praktikant und schreibt in ne exceltabelle "kartenuid 10 = Kochtopf"
Nix mit deinen daten im werk.
Die datenschutzrechtlich relevante Frage ist doch, in welcher Weise die UID elektronisch verarbeitet wird und wer dazu in der Lage ist, die UID mit der Identität zu verknüpfen.
IT-technisch betrachtet handelt es sich hierbei um ein sog. Pseudonymisierungs-Verfahren.
Nehmen wir mal hypothetisch folgenden Fall an: Die Karte wird seitens der Verbände dazu verwendet, an Verbandsmitglieder vergünstigte Tageskarten auszugeben (Preisfrage: Wer zahlt eigentlich die Kartenleser und die entsprechende Software?). Irgendwo wird zentral gespeichert, mit welcher Verbands-Karte welche Tageskarte erworben wurde. Gelangt jetzt die Stelle, wo das zentral gespeichert wird, in den Besitz der Zuordnung der Identitäten zu den UIDs, ist die Anonymisierung dauerhaft kompromittiert und man kann z.B. Bewegungsprofile der Person anfertigen.
Die Fragen sind also:
Wo wird die UID in Verbindung mit welchen Daten gespeichert?
In Verbindung mit welchen IT-technischen Prozessen soll die UID verwendet werden? Irgendwelche Ziel-Prozesse muss es hier ja geben, sonst brauch man keine UIDs ausgeben.
Auf welche Weise wird die Zuordnung der UIDs zu den Identitäten (Besitzer) gesichert?
Ich bin gespannt, wann es dazu mal verbindliche Aussagen gibt. Ich fürchte aber, dass die Leute, die verbandsseitig an diesen Konzepten arbeiten, überhaupt keine Ahnung von der datenschutzrechtlichen und IT-technischen Komplexität haben, in die sie hier ggf. reinlaufen.