DSGVO-Verwarnung: Daten in öffentlichem Register sind nicht vogelfrei
Die Berliner Datenschutzbeauftragte hat die Deutsche Gesellschaft für Politikberatung verwarnt, da diese das Bundestags-Lobbyregister missbraucht habe.
(Bild: Motortion Films/Shutterstock.com)
Daten aus öffentlichen Verzeichnissen dürfen nicht für x-beliebige Zwecke wie den Versand personalisierter Werbemails verwendet werden. Dies hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, jetzt klargestellt und die Deutsche Gesellschaft für Politikberatung (degepol) wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) verwarnt. Die degepol hatte wiederholt Verbände und deren Vertreter, die ins öffentliche Lobbyregister des Bundestags eingetragen sind, anschreiben lassen und zur Teilnahme etwa an Umfragen aufgefordert.
Für den Versand der Aufrufe habe die degepol aus der öffentlichen Liste über die beim Bundestag registrierten Verbände Daten extrahiert und in einer Excel-Tabelle E-Mail, Vorname, Nachname, Anrede, Funktion sowie den Namen der Organisation gespeichert, hat die Aufsichtsbehörde in einem heise online vorliegenden Schreiben auf Beschwerde eines Betroffenen hin festgestellt. Diese Informationen habe der Verband von Politikberatern an den Dienstleister onlineumfragen.com weitergegeben, der den Link zu der Umfrage dann "an alle in der Liste genannten Personen" verschickte.
"Die entsprechenden E-Mails waren durch namentliche Anrede personalisiert", stellt Smoltczyk fest. Zudem habe der Betroffene wenige Wochen später ein elektronisches Erinnerungsschreiben erhalten. Eine Information, wo der Verein die Daten erhoben hat, sei beide Male nicht enthalten gewesen.
DSGVO-Verstoß
Smoltczyk kommt zu dem Ergebnis, dass es zweifelhaft sei, ob der Verein ein berechtigtes Interesse an dem Versand gehabt habe. Dieser habe darauf verwiesen, dass es nicht möglich gewesen wäre, "eine aussagekräftige Studie" zur Höhe gezahlter Vergütungen in der Lobbybranche "ohne die Verwertung der Daten" durchführen zu können. Jedenfalls wäre es nicht nötig gewesen, den Namen des angeschriebenen Empfängers zu verarbeiten. Die zugehörige E-Mail-Adresse habe keinen Personenbezug enthalten, der Name hätte daher auch nicht für den Zweck der Umfrage erhoben werden dürfen.
Einen weiteren Verstoß gegen die DSGVO sieht Smoltczyk in der fehlenden Angabe der Quelle, aus der die persönlichen Daten erhoben wurden. Eine solche hätte "spätestens mit der ersten Kontaktaufnahme" erfolgen müssen. Auch in der verlinkten Datenschutzerklärung des Vereins sei nichts zum Bezug von Informationen aus Drittquellen zu finden gewesen. Neben der Verwarnung hat sich die Behörde "weitere aufsichtsrechtliche Mittel" insbesondere für einen Wiederholungsfall vorbehalten.
Lobbyregister
Im Lobbyregister des Parlaments sind derzeit 2315 Institutionen verzeichnet, die von der Bundesvereinigung Deutscher Apothekerverbände bis zum Zweirad-Industrie-Verband reichen. Es handelt sich laut Bundestag um ein Verzeichnis von Organisationen, "die eine Aufnahme von sich aus beantragt haben" und ihre Tätigkeiten damit transparent machen wollen. Die Abgeordneten konnten sich bislang nicht dazu durchringen, ein verbindliches Lobbyverzeichnis einzuführen, in dem etwa auch Unternehmensvertreter aufgeführt werden. In der vergangenen Legislaturperiode hatte allein die CDU/CSU-Fraktion 757 Hausausweise an 333 Verbände, Firmen und Organisationen bewilligt, wie aus einer von Abgeordnetenwatch veröffentlichten Liste hervorgeht.
Wer sich in das freiwillige Verbänderegister eintragen lässt, muss bisher immer wieder mit Spam rechnen. Ein Geschäftsführer der Organisation "Pixelhelper International" versandte nach Informationen von heise online anhand der darin enthaltenen Daten etwa jüngst das fragwürdige Angebot, das eigene Facebook- oder Twitter-Profilbild durch die Aufnahme einer frei wählbaren "Lichtprojektion auf den Bundestag" ersetzen zu können. Für eine "Spende von 2000 Euro für Menschenrechte und Entwicklungshilfe in Afrika bekommen Sie von uns 3 pressetaugliche Fotos" der Aktion, heißt es in dem Schreiben. Das Geld werde genutzt, um eine "Dosenbrot-Bäckerei" in Marokko beziehungsweise Mauretanien zu bauen.
Die Bundestagsverwaltung hat auf eine Anfrage von heise online zur Einschätzung einschlägiger Fälle, darüber erfolgte Beschwerden und Möglichkeiten für einen besseren Datenschutz bislang nicht geantwortet.
(olb)
