Kategorie: Allgemein

In eigener Sache

Weil es Irritationen gibt, hier die Sachlage:

Dies ist die Homepage des Bundesbeauftragten für Datenschutz der Piratenpartei Deutschland, bestellt seit dem 10.09.2011.

Um die Unabhängigkeit des DSB zu bewahren, wird diese Seite nicht von der Piratenpartei Deutschland gehostet.

Erreichbar ist der DSB wie folgt:

Bundesbeauftragter für Datenschutz der Piratenpartei Deutschland (BDSB)
Sebastian Krone
Am Bürohochhaus 2-4
D-14478 Potsdam
Tel. 0331-281 298 200
Fax. 0331-281 298 202
E-Mail: bundesbeauftragter@piraten-dsb.de
Twitter: @BDSBPiraten
PGP-Key: 0xD40B9358

Mitarbeit im Bereich Datenschutz ist erwünscht und der BDSB nimmt gerne Anregungen entgegen.

Die Übergangsfrist für die EU-DSGVO ist abgelaufen

Fast jeder wird es bemerkt haben: Die zweijährige Übergangsfrist für die EU-DSGVO ist abgelaufen.

Obwohl ausreichende Informations- und Schuldungsmöglichkeiten zur Verfügungen gestanden haben, gibt ein große Verwirrung.

Aufgrund der diversen Nachfragen kläre ich auf der Seite https://www.piraten-dsb.de/dsgvo/ nach und nach darüber auf, was zu beachten wäre.

Klar ist allerdings auch, dass der größte Anteil der „Veränderungen” ein alter Hut sind, man sich aber einfach nicht darum gekümmert hat. Das BDSG-alt existiert deutlich länger als die Piratenpartei Deutschland und die Verantwortlichen sind und waren in der Pflicht. 😀

5 Jahre DSB – ein Rückblick mit Schmerzen

5 Jahre Datenschutzbeauftragter – Ein Bericht in eigener Sache

Es hat bestimmt niemand bemerkt, aber vor fünf Jahren habe ich nach einer Herz-und-Nieren-Bewerbung meine Bestellungsurkunde als Datenschutzbeauftragter der Piratenpartei Deutschland erhalten.

Ich haben diesen Auftrag gerne angenommen, so wie ich auch Aufträge anderer Kunden annehme, wenn auch pro bono. Unschön war dann so eine Art Nachschau, von Personalausweis über Zertifikat bis hin zur Vorlage eines Führungszeugnisses. Man sollte mal nachfragen, wer diese Unterlagen außer mir in der Piratenpartei beigebracht hat. Teilweise lässt man Leute an unsere intimsten Daten, von denen man noch mal weiß, wie sie heißen und wo sie wohnen. Nur für den Fall dass.

Was ich nicht wissen konnte, waren die erheblichen Widerstände, die auf einen DSB warten, wenn er eine Organisation, die sich selbst als Datenschutzpartei bezeichnet, zum tatsächlichen Datenschutz führen will.
Datenschutz hat natürlich mit viel Dokumentation zu tun. Letztlich macht die so einmal erstellte Dokumentation es überhaupt erst möglich zu prüfen, ob alle Dinge in Ordnung sind. Das ist ein stetiger Prozess: plan-do-check-act. Und dann geht es wieder von vorne los. Über diesen Qualitätssicherungsmechanismus verbessert sich das System kontinuierlich und ist heute überall Standard.

Auch Schulungen und die Verpflichtungen auf das Datengeheimnis gehören dazu. Die Betroffenen vertrauen uns ihre Daten an und haben darauf einen Anspruch, dass man nicht nur die gesetzlichen Bestimmungen beachtet, sondern auch ihr persönliches und unabdingbares Grundrecht auf informationelle Selbstbestimmung.

Bei der Übernahme hatte kaum ein Landesverband ein DSB, es gab selbstgestrickte Datenschutzverpflichtungen und Belehrungen gab es ohnehin nicht. Ein hartes Stück Arbeit lag vor mir.

Ich hätte erwartet, dass es eine Selbstverständlichkeit wäre, dass ein DSB erfährt, wer für was zuständig ist und verantwortlich an den Systemen arbeitet. Weit gefehlt, bis heute.

Welche Widerstände es gab, konnte ich bereits kurz nach meiner Bestellung feststellen. Im Dezember 2011 versuchte ich ein Audit des Rechenzentrums durchzuführen, wo vermeintlich alle unsere Server stehen. Erst in der letzten Minute erhielt ich die „Erlaubnis“ – ich benötige keine Erlaubnis, ich habe das gesetzlich verbriefte Recht.
Bei dem an diesem Wochenende ebenfalls stattfindenden Bundesparteitag in Offenbach hegte ich zusätzlich den Wunsch, den Datenschutz und die Datensicherheit der Akkreditierung zu prüfen.
Beide Ereignisse waren für mich wirklich unlustig und fanden in einer aufgeheizten, aggressiven Atmosphäre statt. Das sollte sich auch 2012 fortsetzen.

Eigentlich hat niemand der bisherigen Bundesvorstände jemals Datenschutz verstanden oder war kooperativ. Insbesondere Generalsekretäre sind eine besondere Spezies. Da kann man noch an so vielen Fortbildungen teilnehmen oder Zertifikate erwerben, es ist egal, sie wissen alles besser. Sie können es mangels Sachkenntnis nicht begründen, aber sie und ihre Mitarbeiter wissen es besser.

2013 war es dann soweit, Kraft seiner Wassersuppe schrieb ein Generalsekretär eine fristlose Kündigung, Sicherlich nicht ohne Rückdeckung des Restvorstandes. Und es wurden fleißig Gerüchte gestreut. Dummerweise kann sich ja ein DSB nicht so richtig gegen öffentliches Geschwätz wehren, er ist ja zur gesetzlichen Verschwiegenheit verpflichtet – was natürlich auch die Schwätzer wissen. Völlig klar, dass der Antrag auf Entbindung von der Schweigepflicht abgelehnt wurde.

Eilens wurde eine Person bestellt, die gar keine Zertifizierung hatte (der Mann hatte nur an einem Kurs teilgenommen und leider keine Abschluss bekommen). Tja Pech, wenn man da mal einer nachfragt und es auffliegt. Aber diese Person hat ja auch anderweitig genügend Schaden z.B. auf Parteitagen angerichtet.
Danach wurde ein „Azubi“ von mir eingestellt, der sich tatsächlich im Datenschutz auskennt und sich zwischenzeitlich weiterqualifiziert hat. Immerhin etwas, aber leider am Sachstand „Null-Info-DSB“ hat das nicht wirklich etwas geändert.

Es folgte eine lange Zeit der gerichtlichen Klärung der fristlosen Kündigung, insbesondere durch die Trickkiste eines angeblichen „Anwaltes“, der im Auftrag des zuständigen BuVo-Mitgliedes die Fristen bis auf das Äußerste gedehnt hat. Gut, man muss das sportlich sehen, aber unbegründete eine Widerklage des zuständigen BuVo-Mitgliedes (das uns bis 2016 begleitete) war dann doch der Gipfel – schräger geht es nicht.

Im November 2014 war dann alles wieder auf Anfang und ich konnte meiner Tätigkeit auch wieder offiziell nachkommen. Zur Glättung der Wogen ist mir das Konstrukt des stellvertretenden DSB eingefallen und funktioniert bis heute ganz gut.

2015 war geprägt von einer Unmenge an Datenschutzfällen und Funkstille. Dieses OTRS oder Redmine muss ein unglaublich großer Datenfriedhof sein. Zum BPT in Würzburg versprach man mir von der Versammlungsleitung einen Redeslot und natürlich wurde dieser „vergessen“. Ach-was-oh.

Zum Ende des Jahres habe ich mit meinem Stellvertreter erstmalig ein Audit der Bundesgeschäftsstelle durchgeführt. Das Ergebnis war niederschmetternd und ich habe mich entschieden, es unter Verschluss zu halten, bis gewisse Dinge verändert wurden, um keine Angriffsziele zu veröffentlichen. Eine Reaktion auf diesen Bericht gab es nicht.

2016 fing mit einem intensiven Gespräch mit der Aufsichtsbehörde an und es gab erstmalig (!) eine gemeinsame Sitzung mit dem BuVo. Auf die Erledigung des „Dringend-Katalogs“ warte ich noch heute. Erstmalig (bestärkt durch einen vorliegenden TO-Änderungsantrag) durfte ich auf einem Bundespartei (Lampertheim) mal ein paar Worte zum Thema Datenschutz zu den Anwesenden sprechen. Die Stille im Saal interpretiere ich als eine Art Zustimmung. Beachtung für die Rede gab es jedenfalls genug, ein stiller Erfolg.

Neben dem Alltagskram habe ich dann das Datenschutzhandbuch entwickelt, ohne dass es eine Reaktion des Vorstandes gab.

Zwischenzeitlich habe ich tatsächlich drei „Klagen“ vor dem Bundesschiedsgericht gegen den Bundesvorstand geführt, die deswegen wichtig waren, weil der Datenschutz und die Datensparsamkeit zumindest meiner Meinung nach nicht beachtet werden.
Abgesehen von der Aufregung hat offensichtlich niemand begriffen, welcher Inhalt entschieden werden sollte. Das Bundesschiedsgericht hat sich geschickt über Formalia aus der Affäre gezogen, ohne sich selbst wenigstens zum Schein an die Formalia zu halten. Das fällt natürlich leicht wenn man keine Berufungsinstanz zu fürchten hat, weil diese gesetzeswidrig gar nicht eingerichtet ist.

Gut, dann muss das eben ein ordentliches Gericht entscheiden, denn hier stehen veritable Interessen der Mitglieder auf dem Spiel. Dafür führt man dann gerne einen solchen Kampf. Zum Hohn kamen dann Geburtstagsgrüße bei den Mitgliedern an, die der Verwendung ihrer Daten für diesen Zweck überhaupt nicht eingewilligt haben. Aber was schert uns denn dieses komische BDSG.

Beim folgenden Wahlparteitag in Wolfenbüttel wurde nicht nur (endlich) ein neues Generalsekretariat gewählt, sondern mir das Mikrofon beim Vortrag meines Tätigkeitsberichtes abgedreht.
Auch soll ich dort eine Vorabkontrolle im Streit abgebrochen haben; welche Vorabkontrolle soll denn da stattgefunden haben? Lächerliches aus einem Netzwerk.

Mal sehen wie es weitergeht. Es gibt Hoffnung auf Besserung. Obwohl, da kommt ja die EU Datenschutzgrundverordnung mit fiesen Aufgaben auf uns zu. Der Jubel, dass angeblich kein DSB mehr nötig sei und die DSV und Belehrung weggefallen wäre, hat bei mir zu einem Schmunzeln geführt. Ich hoffe, diese Besserwisser lassen sich endlich mal ausbilden.

Ich hoffe ferner, dass diese Partei mal zu dem wird, was sie vorgibt zu sein: eine Datenschutzpartei.

 

Treffen der Datenschutzbeauftragten in der Piratenpartei

Nach 2012 gibt es endlich wieder ein internes Treffen der Datenschutzbeauftragten in der Piratenpartei.

2013 und 2014 gab es viel Unruhe in der Bestellung von Datenschutzbeauftragten und der Aufbau der eigenen Datenschutzorganisation war zum Erliegen gekommen.

Das ursprünglich für 2015 geplante Treffen musste daher verschoben werden und findet nun am 28./29.05.2016 in Biedershausen (Rheinland-Pfalz) statt.

Das Treffen dient der Fortbildung und dem Hinwirken auf einen gemeinsamen Datenschutzstandard in der Piratenpartei.

Auch die Information zur neuen EU-Datenschutzgrund-VO stehen im Fokus und das neue Datenschutzhandbuch der Piratenpartei, sowie die Planung für den Aufbau einer zertifizierten Schulungsinstanz der Piratenpartei werden vorgestellt.

Stellungnahme zur Zulässigkeit einer Umfrage bezüglich Anträge an den Bundesparteitag

Anläßlich des Bundesparteitages 2016.1 hat der Bundesvorstand ein Antragsumfrage an die Mitglieder versandt. Hierzu habe ich eine Stellungnahme verfasst:

Der Versand eines Newsletters ist gesetzlich in § 7 Abs.3 UWG und § 4 BDSG geregelt. Das UWG scheidet hier aus, da hier kein Marktteilnehmer unzumutbar belästigt wird.

Nach § 4 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn dies eine Rechtsvorschrift erlaubt bzw. wenn der/die Betroffene eingewilligt hat. Eine Einwilligung kann jederzeit widerrufen werden.

Der Einwilligungsvorbehalt dürfte insbesondere bei einer politischen Partei seine Grenzen in der notwendigen Kontaktaufnahme mit einem Parteimitglied finden. Somit bedarf es der Einwilligung nicht, wenn z.B. zu einer Versammlung eingeladen wird, Beitragsrechnungen verschickt werden oder sonstige organisatorische Belange dies erfordern.

Bietet man die Mitglied ausdrücklich an, z.B. einen Newsletter abzubestellen und wird trotzdem ein Newsletter versandt, wäre dies grundsätzlich eine unzulässige Verarbeitung und Nutzung personenbezogener Daten.

Das Problem besteht nun in der Einordnung einer Umfrage, die dem Mitglied die Teilhabe an der politischen Willensbildung einer Partei eröffnet, die nach Art. 21 GG einen entsprechenden Auftrag hat.

Aus Artikel 21 GG und § 4 der Bundessatzung lässt sich eine Mitwirkungspflicht herleiten („Jeder Pirat hat das Recht und die Pflicht, im Rahmen dieser Satzung und der Satzung seines Landesverbandes die Zwecke der Piratenpartei Deutschland zu fördern und sich an der politischen und organisatorischen Arbeit der Piratenpartei Deutschland zu beteiligen“). Daher kann ein Mitglied grundsätzlich keine Einladung zur Teilnahme an einer Umfrage zu Parteitagsanträgen verweigern.

In der Umfrage-Mail selbst werden folgende Optionen angeboten:

„Umfragen und Aktionsmails werden in der Regel nur an Mitglieder verschickt, die diesem Versand nicht widersprochen haben („Opt-Out“). Der Newsletter wird nur an Mitglieder verschickt, die diesem Versand *explizit* zugestimmt haben („Opt-In“).

Deine persönlichen Einstellungen hierzu kannst du unter … bearbeiten. Wenn Du also weiterhin diese oben genannten Informationen bekommen möchtest, kannst Du die Einstellungen für Dich anpassen. Einfach auf den Link klicken und das Gewünschte ankreuzen.“

Da die (überflüssige) Option „Umfrage Opt-Out “ ausdrücklich angeboten wird, muss man sich der Versender zunächst daran halten.

Allerdings ist diese Option nur ein freiwilliges Angebot oder mit anderen Worten, es bedarf aus o.a. Gründen keiner expliziten Einwilligung im Sinne des BDSG, soweit hier lediglich die Möglichkeit zur Teilnahme an einer Abstimmung zu Parteitagsanträgen oder dergleichen gewährt wird.

Fazit:

  1. Einer Einwilligung des Mitgliedes im Sinne des BDSG bedurfte es für diesen Fall der Versendung nicht. Daher ist die Widerspruchsmöglichkeit irreführend.
  1. Das daraus entstandene Dilemma kann nur durch eine entsprechende Information an die Mitglieder aufgelöst werden (in Zukunft…)
  2. Inwieweit eine solche Umfrage geboten ist, habe ich nicht zu bewerten.

Stellungnahme_Umfrage_Anträge

Stellungnahme des neuen DSB des LV Berlin zur SMV

Um einen Betrieb der SMVB zu gewährleisten, müssen zwingend folgende Voraussetzungen erfüllt sein:

Es muss ein Verfahrensverzeichnis erstellt werden. Diese Rechtspflicht ist notwendig, um ein Okay von der Datenschutzbehörde zu erhalten.

Vorher muss die Vorabkontrolle durchgeführt werden. Ohne diese (Wiederinbetriebnahme) ist eine SMVB nicht zu betreiben. Dies kann auch durch einen Beschluss der LMVB nicht umgangen oder geändert werden (im Hinblick auf die vielen SMVB-Anträge).

Wenn dies abgeschlossen ist, werde ich ein Audit der gesamten SMVB erstellen, und damit alle Funktionen, die Speicherorte und den Server auditieren.

Damit werden wir Betriebssicherheit erreichen.

Anschließend werde ich mit allen Unterlagen beim LDI vorsprechen, was in einer Betriebserlaubnis resultiert, die auch für andere Landesverbände belastbar ist.

Abweichungen von diesen Fahrplan werden gemäß des heutigen Datenschutzgesetztes nicht möglich sein.

Da der Zweck der SMVB nicht ist, als Archiv oder Ort des politischen Gedächtnisses zu dienen, sind darin gespeicherte Daten und Diskussionen ebenso wie verworfenen Anträge nach kurzer Zeit zu löschen.

Ohne Wenn und Aber.

Thomas Marc Göbel

Datenschutzbeauftragter
Piratenpartei Berlin

Treffen der DSBs in der Piratenpartei

Nach langer Terminsuche trafen sich am 25.04.2015 die Datenschutzbeauftragten der Piratenpartei zu einer Onlinekonferenz. Abzuarbeiten war eine höchst umfangreiche Tagesordnung, denn seit Ende 2013 waren sehr viele Projekte liegengeblieben und eine Koordination weitgehend ausgefallen. Acht von 17 Gliederungen waren anwesend, teilweise in Personalunion. Der Bundesvorstand war verhindert (angekündigt).

Es wurde eine Bestandsaufnahme vorgenommen und die bisherigen Erfahrungen ausgetauscht. Dabei ergaben sich erhebliche Unterschiede in der Zusammenarbeit mit den jeweiligen Vorständen und der zur Verfügung gestellt Budgets.

Außerdem stellt der Arbeitsaufwand der ehrenamtlich arbeitenden Datenschutzbeauftragten für diese eine außerordentlich hohe Belastung dar. Die Gewinnung von weiteren Mitarbeitern gestaltet sich ebenfalls als schwierig.

Dazu kommt eine Vakanz bei einigen Landesverbänden auch aufgrund der „Konfliktposition“ geschuldeten Arbeitsklimas. Nur wenige Menschen tun sich das an, zumal die Erfahrungen der DSBs, die diese Tätigkeit beruflich – also gegen Entgelt – ausüben, in der Regel positiv ist. Die Piratenpartei stellt da ein Umfeld dar, in der es zunehmend schwer fällt, Motivation zu finden.

Viele Konflikte entstehen zudem aufgrund politischer Instrumentalisierung.

Vereinbart wurden eine erhebliche Verbesserung des Informationsaustausches und die Wiederaufnahme regelmäßiger Treffen.

Interessant war zudem die Meinung zumindest einer Aufsichtsbehörde, dass die Aufgaben durch einen Landes-DSB allein ohne Mitarbeiter nicht gesetzeskonform ausgeführt werden kann.

Die Anzahl der zu bearbeitenden Datenschutzverstöße hat sich leider deutlich erhöht, so dass ein besonders prägnantes Problem sogar Eingang in den Jahresbericht der Aufsichtsbehörde Berlin fand.

Die wichtigen TOPs Audits, Datensicherheitsbeauftragte, Umsetzung der „Technisch Organisatorischen Maßnahmen“ und einheitlicher Sicherheitsrichtlinien musste nach über 3 ½ Stunden auf die folgenden Sitzungen vertagt werden.

Es wurden die Einsetzung von Fachteams angeregt, die sich speziellen Großprojekten wie Ständige Mitgliederverwaltung und Basisentscheid konzentriert widmen sollen, sofern dies die Personallage zulässt.

Insgesamt fand die Sitzung in einer sehr angenehmen, konstruktiven und kollegialen Atmosphäre statt.

hase_400x400