Disput

Daten schützen!

Eine Aufgabe auch im Kreisverband

Von Karsten Neumann

Was macht ein Datenschutzbeauftragter nach dem Ausscheiden aus dem Amt? Karsten Neumann, bis 2010 Landesdatenschutzbeauftragter in Mecklenburg-Vorpommern, berät als externer Datenschutzbeauftragter Bundestagsfraktion und Landesverbände oder Landtagsfraktionen bei der Einhaltung der vielfältigen gesetzlichen Datenschutzbestimmungen, seit etwas mehr als einem Jahr auch als Datenschutzbeauftragter der Bundesgeschäftsstelle.

Datenschutz geht alle an: NSA und andere Geheimdienste speichern die Kommunikationsdaten von Millionen unverdächtigen Bürgerinnen und Bürgern weltweit - und die Antwort der Großen Koalition auf diesen systematischen Eingriff in verfassungsrechtliche Grundrechte auch der deutschen Bürgerinnen und Bürger ist die Wiedereinführung der Vorratsdatenspeicherung, um es den Geheimdiensten noch leichter zu machen. In diesen Zeiten scheint es nahezu absurd, sich überhaupt noch vor einem Missbrauch der Daten schützen zu wollen. Und doch ist es möglich und immer wichtiger! Und es fängt bei uns an: in der Basisgruppe, im Kreisverband und in den Landesverbänden. Dabei geht es nicht nur um die mehr oder weniger überzeugende Besetzung eines politischen Zukunftsthemas, sondern auch um die Einhaltung bestehender gesetzlicher Vorschriften. Denn das Bundesdatenschutzgesetz macht klare Vorgaben für die Zulässigkeit der Datenverarbeitung durch die Parteien.

Die Parteien sind sogenannte nicht-öffentliche Stellen, wie im Übrigen alle Unternehmen, für die im Wesentlichen die gleichen gesetzlichen Regelungen gelten. Damit ist auch für die Parteien jede Datenerhebung, -nutzung oder -speicherung verboten, es sei denn, ein Gesetz erlaubt es oder es liegt eine schriftliche Einwilligung vor.

Dieses einfache Prinzip stellte das Bundesverfassungsgericht bereits 1983 im sogenannten Volkszählungsurteil auf. Gemäß § 28 (9) BDSG dürfen »Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, … besondere Arten personenbezogener Daten erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten.«

Soweit, so unverständlich der Gesetzestext. Doch was heißt das konkret für die Partei?

Verantwortlich für die Einhaltung der Datenschutzvorschriften sind die jeweiligen Landesvorstände und - für die Datenverarbeitung durch die Bundesgeschäftsstelle - der Parteivorstand. Diese sogenannten verantwortlichen Stellen haben eine oder einen Datenschutzbeauftragten zu bestellen: Eine qualifizierte haupt- oder auch ehrenamtliche Mitarbeiterin des jeweiligen Verbandes übernimmt dieses Amt durch Beschluss des Vorstandes für eine unbegrenzte Zeit und übt dieses Amt in fachlicher Unabhängigkeit aus. Dafür braucht es eine Weiterbildung und Unterstützung. Die Datenschutzbeauftragte ist dabei für die interne Beratung und Kontrolle ebenso zuständig wie für die möglichen Beschwerden von Mitgliedern oder Außenstehenden oder für Anfragen der zuständigen Aufsichtsbehörden. Dies sind überall in Deutschland die Landesdatenschutzbeauftragten, außer in Bayern, wo es immer noch eine separate Aufsichtsbehörde in Ansbach gibt. Diese Aufsichtsbehörden kontrollieren oft auf Grund von Hinweisen, aber auch anlasslos die Einhaltung der Datenschutzvorschriften und können bei festgestellten Verstößen Bußgelder von bis zu 300.000 Euro verhängen.

Neben der Bestellung des Datenschutzbeauftragten wird die Führung eines Verfahrensverzeichnisses geprüft, in dem alle Datenverarbeitungsverfahren zu dokumentieren sind. Weiterhin prüfen die Aufsichtsbehörden, ob die Mitarbeiter auf die Einhaltung der Datenschutzvorschriften verpflichtet wurden - dies wird bei der Berufung der Mitgliederverwalter erledigt - und ob die Mitarbeiter auf die Einhaltung der Datenschutzvorschriften geschult wurden - dies ist Aufgabe der Datenschutzbeauftragten der Landesverbände.

Eine besondere Herausforderung entsteht immer dann, wenn Dienstleister in die Datenverarbeitung einbezogen werden. Wenn also zum Beispiel eine Druckerei Einladungen zum Neujahrsempfang nicht nur anonym druckt, sondern auch gleich die Adressen mit eindruckt, ist ein Datenverarbeitungsvertrag zu schließen und der Dienstleister durch den zuständigen Datenschutzbeauftragten des Landesverbandes zu prüfen. Dies gilt auch für die Betreuung der IT (Informationstechnik) durch Fremdfirmen, das Hosting von Internetseiten oder das Live-Streaming von Landesparteitagen. Den Dienstleistern kann man in der Regel leider nicht vertrauen - denn die Verantwortung trägt der Landesverband für Datenschutzverstöße, nicht der Dienstleister. Oft greifen Landes- und Kreisverbände oder Abgeordnete verständlicherweise zu kostenlosen oder den kostengünstigsten Angeboten. Diese entpuppen sich bei einer Prüfung allerdings genauso häufig als unzulässig oder politisch inakzeptabel - wenn dann zum Beispiel die Nutzerdaten in den USA gespeichert oder zu Werbezwecken an Dritte verkauft werden. Hier kann aus »kostenlos« schnell »teuer« werden.

Neben diesen organisatorischen Aufgaben sieht das Gesetz auch eine Reihe technischer Vorkehrungen zum Schutz der Mitgliederdaten vor: eine sichere IT-Infrastruktur, Schutz der Computer - auch der Papierakten - vor Diebstahl oder Beschädigung. Dabei beginnen diese Schutzmaßnahmen immer mit der Zutrittssicherung, also einer klaren Verantwortlichkeit in den Geschäftsstellen und abgeschlossenen Räumlichkeiten für die Verwaltung von Daten. Hier braucht es qualifizierte und unabhängige Beratung.

Aber nicht nur die Frage, wie die Daten verarbeitet werden, sondern vor allem auch, ob Daten verarbeitet werden dürfen, folgt klaren gesetzlichen Vorgaben.

Voraussetzung der Zulässigkeit des Erhebens, Verarbeitens und Nutzens von Daten der Mitglieder der Partei ist die Erforderlichkeit »für die Tätigkeit der Organisation«. Die Mitgliedschaft in einer Partei ist regelmäßig damit verbunden, an der Willensbildung durch aktive Mitarbeit, Meinungsaustausch, aber auch durch Abstimmungen und Wahlen teilzunehmen. Auch wenn dies keine Pflicht darstellt - im Sinne einer rechtlichen Verpflichtung -, so ist es doch die Pflicht der Partei, eine solche Beteiligung zumindest zu ermöglichen. Dafür ist die Kenntnis der Identität des Mitgliedes, seiner Eigenschaft als Mitglied und seiner Wohnanschrift notwendige Voraussetzung.

Unterhalb der Landesebene gliedert sich die Partei in Kreisverbände, Basisorganisationen, Ortsgruppen oder Zusammenschlüssen. Der datenschutzrechtliche Grundsatz der Erforderlichkeit begrenzt auch den berechtigten Empfängerkreis innerhalb der Partei auf diejenigen Personen, die in die Erfüllung der jeweiligen Aufgabe durch Funktion (Schatzmeister) oder Bestellung durch den Vorstand (Mitgliederverwalter) einbezogen sind. Diese werden besonders auf das Datengeheimnis verpflichtet und tragen eine hohe Verantwortung für die Sicherheit der Daten vor einem Missbrauch. Dazu gehört der Schutz von Kenn- und Passwörtern ebenso wie der Schutz der Rechentechnik vor Missbrauch und Diebstahl. Dies gilt auch bei der Übermittlung von Mitgliederdaten und der Nutzung von elektronischen Kommunikationsmitteln. Deshalb verbieten sich offene Verteiler - also E-Mail-Verteiler, bei denen alle Empfänger die Mail-Adressen der anderen Empfänger sehen können - von selbst. Ebenso sollte nicht nur die mobile Technik verschlüsselt sein.

Dauerthemen in der Beratung sind die Zulässigkeit von Auswertungen der Beitragszahlungen oder von Mandatsträgerbeiträgen. Hier folgen die Datenschutzregelungen der Satzung unserer Partei. Die Mitgliedschaft in der Partei endet durch Austritt, Ausschluss oder Tod, § 3 Bundessatzung. Daneben enthält § 3 (3) eine Ausschlussregelung bei sechsmonatigem Beitragsrückstand (»Bezahlt ein Mitglied sechs Monate keinen Beitrag, so gilt dies als Austritt aus der Partei …«). Damit ist es zur Erfüllung der satzungsmäßigen Pflicht des Kreisvorstandes erforderlich, dass dieser über eine sechsmonatige Nicht-Zahlung informiert wird, um die entsprechenden Maßnahmen zur Feststellung des Austritts oder zur Erfüllung der Beitragspflicht einleiten zu können. Eine entsprechende Regelung für einen vermeintlich zu geringen Beitrag gibt es jedoch in der Satzung nicht - somit ist eine entsprechende Beitragsdatenauswertung und Übermittlung der Beitragsdaten an die Basisorganisation unzulässig.