Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung! (Selbst bei öffentlich zugänglichen Daten!?)

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert, weil auch für öffentlich zugängliche Daten die Forderungen der DSGVO gelten und berücksichtigt werden müssen. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung!

Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung!

Wer denkt, Daten aus öffentlich zugänglichen Verzeichnissen dürften beliebig verwendet werden, der wird spätestens jetzt eines Besseren belehrt: Die Berliner Datenschutzbeauftragte hat die Deutsche Gesellschaft für Politikberatung verwarnt, weil diese Daten des öffentlichen Lobbyregisters des Bundestags dazu verwendete, personalisierte Werbe-E-Mails zu versenden. Ist Datenschutz für Lobbyisten gerechtfertigt? Oder hat nicht vielmehr Berlin ein Auge zugedrückt?

Was war passiert?

Die Vorgeschichte ist schnell erzählt: Die Deutsche Gesellschaft für Politikberatung e.V. (degepol bzw. de’ge‘pol) hat Verbände und Vertreter – Lobbyisten – durch den Dienstleister onlineumfragen.com anschreiben lassen, um eine anonymisierte Gehaltsumfrage durchführen zu können. Woher die degepol die Kontaktdaten hatte? Nun, glücklicherweise existiert ein öffentliches Lobbyregister, das selbstverständlich nicht als solches bezeichnet wird. Der euphemistische Name dafür lautet „Öffentliche Liste über die beim Bundestag registrierten Verbände“. Die Verschleierungstaktik wirkt – oder haben Sie davon schon einmal gehört?

Tja, mit einem der Betroffenen war wohl nicht gut Kirschen essen: Dieser beschwerte sich bei der Berliner Datenschutzaufsichtsbehörde. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, erließ daraufhin eine Verwarnung gegenüber dem aus Politikberatern bestehenden Verein – unter Vorbehalt weiterer aufsichtsrechtlicher Mittel, insbesondere im Wiederholungsfall. Puh, Schwein gehabt!

So nicht! Aber wie dann?

Sehen wir uns doch einmal die Verstöße genauer an, die Frau Smoltczyk festgestellt hat:

Nr. 1: fehlendes berechtigtes Interesse

Die Berliner Aufsichtsbehörde bezweifelt zunächst, dass die degepol ein berechtigtes Interesse am Versand der E-Mails gehabt habe. Laut der degepol sei es jedoch nicht möglich gewesen, eine aussagekräftige Studie zur Höhe gezahlter Vergütungen in der Lobbybranche durchzuführen, ohne die aus der Liste gewonnenen Daten zu verwerten.

Nach Art. 6 Abs. 1 S. 1 lit. f DSGVO ist eine Verarbeitung nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Das Interesse der degepol an der Durchführung der Gehaltsumfrage ist nachvollziehbar – aber überwiegt dieses das Recht der betroffenen Personen, von einer unerwünschten Verarbeitung ihrer Daten verschont zu bleiben?

Mangels einer Pressemitteilung der Berliner Datenschutzbeauftragten lässt sich über die ausschlaggebenden Argumente nur spekulieren. So könnte eine Rolle gespielt haben, dass die Betroffenen nicht in den Erhalt der E-Mails eingewilligt haben. Ob und inwieweit § 7 Abs. 1, Abs. 2 Nr. 3 und Abs. 3 UWG berücksichtigt wurden, welche festlegen, wann Werbung eine unzumutbare Belästigung darstellt und wann nicht, ergibt sich weder aus dem verlinkten heise-Artikel, noch aus der Stellungnahme der degepol.

Nr. 2: Personalisierung

Ein weiterer Kritikpunkt sei laut Frau Smoltczyk darin zu sehen, dass degepol die Empfänger namentlich angesprochen hat. Ein Personenbezug sei nicht notwendig gewesen. An dieser Stelle ist darauf hinzuweisen, dass die E-Mail-Adressen keine Rückschlüsse auf Personen ermöglichten.

Der Verein sieht das laut seiner Stellungnahme ganz anders:

„Die Email [sic!] enthielt eine namentliche Anrede, da wir davon ausgingen, dass eine anonyme Ansprache nicht zu einer entsprechenden Beantwortung führt… Eine Einschränkung von Kommunikation in dieser Weise können wir nicht nachvollziehen, werden dies aber zukünftig beachten. Eine Umfrage über persönliche Themen nicht auch persönlich zu adressieren erscheint uns nicht der Praxis entsprechend.“

Ist da was dran? Nun, unpersönliche E-Mails wirken manchmal unseriös, das stimmt. Es kommt jedoch stets auf den Gesamteindruck an. Wenn die E-Mail – wie Millionen anderer E-Mails – mit „Sehr geehrte Damen und Herren“ beginnt, dürfte da niemand etwas dagegen einzuwenden haben.

Demzufolge ist Frau Smoltczyk zuzustimmen, die Verwendung des Namens und der Anrede der Person war unnötig. Nach Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten

„dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)“.

Für die Einladung zur genannten Umfrage ist es nicht notwendig, die Empfänger namentlich anzusprechen, insbesondere auch, weil davon auszugehen war, dass der Empfänger der E-Mail diese Umfrage in vielen Fällen gar nicht selbst ausfüllt, sondern an die zuständige Abteilung weiterleitet.

Nr. 3: Kein Hinweis auf die Quelle der Daten

Letztlich beinhalteten weder die E-Mails, noch die darin verlinkte Datenschutzerklärung eine Angabe der Quelle, aus der die personenbezogenen Daten erhoben wurden. Hierfür verwendet Frau Smoltczyk klare Worte: Spätestens mit der ersten Kontaktaufnahme hätte ein Hinweis erfolgen müssen.

Die degepol zeigt sich versöhnlich: Die Benennung der Verbändeliste als Quelle sei versehentlich unterblieben. Die Datenschutzerklärung wurde diesbezüglich tatsächlich aktualisiert.

Datenschutzrechtlich ist Frau Smoltczyk Recht zu geben. Art. 14 DSGVO regelt die Informationspflichten gegenüber dem Betroffenen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Interessant ist Art. 14 Abs. 3 lit b DSGVO:

„Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie…“

Hin- und hergerissen

Das Einschreiten der Berliner Datenschutzbeauftragten ruft durchaus zwiegespaltene Gefühle hervor:

  • So ist es nachvollziehbar, ein bisschen Licht ins Dunkel des Lobbyismus-Sumpfes bringen zu wollen, weshalb dem also durch den Datenschutz Einhalt gebieten?
  • Andererseits erscheint das Vorgehen Frau Smoltczyks bei nüchterner Betrachtung des Vorgefallenen zu zurückhaltend.

Zeit, diese Punkte näher zu betrachten:

Lobbyisten-Daten schützen?

Lobbyismus wird in der Gesellschaft größtenteils als negativ empfunden, lediglich die Lobbyisten selbst dürften sich als über alle Zweifel erhaben ansehen. Nichtsdestotrotz findet Lobbyarbeit, deren Ziel es ist, durch politische Einflussnahme eigene Interessen durchzusetzen, alltäglich statt.

Hierzu ist es gar nicht erst nötig, den Aluhut aufzusetzen, es reicht schon, einen Blick in das Lobbyregister des Bundestags zu werfen. Darin sind aktuell 2315 Institutionen verzeichnet, von A wie der Bundesvereinigung Deutscher Apothekerverbände, über L wie (Überraschung!) LobbyControl – Initiative für Transparenz und Demokratie bis Z wie dem Zweirad-Industrie-Verband ist für jeden Geschmack etwas dabei.

Das Interessante dabei ist: All diese Lobbyisten haben die Aufnahme in die Liste von sich aus beantragt. Klammheimliche Lobbyarbeit in dunklen, verrauchten Hinterzimmern ist Vergangenheit, der moderne Lobbyist zeigt sich transparent! Ganz im Sinne des Leitprinzips der Website abgeordnetenwatch.de, „Transparenz schafft Vertrauen“? Noch nicht ganz!

Wer seinen Namen als Vertreter einer Lobby-Institution freiwillig einem öffentlichen Register anvertraut, um seine Lobby-Tätigkeit nach außen zu verdeutlichen, dürfte dem nicht von Anfang an bewusst gewesen sein, dass jedermann Schabernack mit den veröffentlichten Daten treiben könnte? Nahm man das nicht zugunsten der eigenen Reputation als transparent auftretender Verband in Kauf? Durchaus berechtigte Fragen.

Datenschutz für alle!

Dennoch: Auch die DSGVO normiert in Art. 5 Abs. 1 lit. a DSGVO ein Transparenzerfordernis:

„Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)…“

Dieser Transparenzgedanke, neben all den anderen in der DSGVO geregelten Grundsätzen, wie der Rechtmäßigkeit der Verarbeitung, der Zweckbindung und der Datenminimierung, gilt auch im Rahmen einer Verarbeitung von Lobbyisten-Daten. Und zweifelsohne hat sich die Deutsche Gesellschaft für Politikberatung nicht daran gehalten – für die Betroffenen dürfte es ein Rätsel gewesen sein, woher der Versender die Daten hatte, warum man persönlich angesprochen wurde und weshalb man überhaupt Einladungen für Umfragen per E-Mail erhielt.

Daran ändert auch die Tatsache nichts, dass in der Liste Eingetragene häufiger Spam erhalten. Bei frei im Internet zugänglichen E-Mail-Adressen ist das kein Wunder. Das legitimiert jedoch noch lange nicht dazu, ungefragt E-Mails zu verschicken und selbst zum Spammer zu werden.

Keine Angst: Der Datenschutz zielt nicht darauf ab, Lobbyisten zu schützen. Hier geht es nicht darum, Lobbyisten bei ihrer Arbeit von nervigen E-Mails abzuhalten, sondern darum, den Missbrauch personenbezogener Daten natürlicher Personen aufzuhalten – egal, ob die Betroffenen als sympathisch empfunden werden oder nicht.

Berlin – arm, aber… schüchtern?

Die effektivste Waffe zur Verteidigung des Datenschutzes ist und bleibt das Bußgeld nach Art. 83 DSGVO, welches wie ein Damoklesschwert über den Köpfen der gegen die DSGVO Verstoßenden schwebt. Anstatt diese zu finanziellen Sanktionen führende Klinge zu zücken, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit nur mahnend den Zeigefinger erhoben.

Dass Berlin auch die Krallen ausfahren kann, zeigt das Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE vom letzten Herbst. Knapp 200.000 Euro Bußgeld wurde gegen die Delivery Hero SE angeordnet, welche ihrer Löschpflicht nicht nachgekommen, das Auskunftsrecht missachtet und unerwünschte Werbe-E-Mails versandt hatte. Weshalb es im Falle der degepol bloß bei einer Verwarnung blieb, lässt sich mangels Pressemitteilung der Berliner Datenschutzbeauftragten nicht aufklären.

Wie heißt es so schön: Vor Gericht und auf hoher See ist man in Gottes Hand? Der Satz müsste wohl um (Berliner) Datenschutzaufsichtsbehörden ergänzt werden.

Die Moral von der Geschicht‘…

…öffentliche Verzeichnisse zweckentfremdet man nicht. Unabhängig davon, wessen Daten in den Registern enthalten sind! Der Datenschutz differenziert nicht danach, ob die Tätigkeit des Dateninhabers gesellschaftlich hohes Ansehen genießt oder nicht – eine Ungleichbehandlung hätte unberechenbare Folgen.

Der Fall zeigt jedoch auch, dass es ebenso wenig vorhersehbar ist, wie Datenschutzaufsichtsbehörden entscheiden. Wer plant, öffentlich zugängliche Verzeichnisse oder Register gleich welcher Art zu nutzen, sollte sein Vorgehen stets hinterfragen – bevor es die Behörde tut.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung!.