Wer denkt, Daten aus öffentlich zugänglichen Verzeichnissen dürften beliebig verwendet werden, der wird spätestens jetzt eines Besseren belehrt: Die Berliner Datenschutzbeauftragte hat die Deutsche Gesellschaft für Politikberatung verwarnt, weil diese Daten des öffentlichen Lobbyregisters des Bundestags dazu verwendete, personalisierte Werbe-E-Mails zu versenden. Ist Datenschutz für Lobbyisten gerechtfertigt? Oder hat nicht vielmehr Berlin ein Auge zugedrückt?
Der Inhalt im Überblick
Was war passiert?
Die Vorgeschichte ist schnell erzählt: Die Deutsche Gesellschaft für Politikberatung e.V. (degepol bzw. de’ge‘pol) hat Verbände und Vertreter – Lobbyisten – durch den Dienstleister onlineumfragen.com anschreiben lassen, um eine anonymisierte Gehaltsumfrage durchführen zu können. Woher die degepol die Kontaktdaten hatte? Nun, glücklicherweise existiert ein öffentliches Lobbyregister, das selbstverständlich nicht als solches bezeichnet wird. Der euphemistische Name dafür lautet „Öffentliche Liste über die beim Bundestag registrierten Verbände“. Die Verschleierungstaktik wirkt – oder haben Sie davon schon einmal gehört?
Tja, mit einem der Betroffenen war wohl nicht gut Kirschen essen: Dieser beschwerte sich bei der Berliner Datenschutzaufsichtsbehörde. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, erließ daraufhin eine Verwarnung gegenüber dem aus Politikberatern bestehenden Verein – unter Vorbehalt weiterer aufsichtsrechtlicher Mittel, insbesondere im Wiederholungsfall. Puh, Schwein gehabt!
So nicht! Aber wie dann?
Sehen wir uns doch einmal die Verstöße genauer an, die Frau Smoltczyk festgestellt hat:
Nr. 1: fehlendes berechtigtes Interesse
Die Berliner Aufsichtsbehörde bezweifelt zunächst, dass die degepol ein berechtigtes Interesse am Versand der E-Mails gehabt habe. Laut der degepol sei es jedoch nicht möglich gewesen, eine aussagekräftige Studie zur Höhe gezahlter Vergütungen in der Lobbybranche durchzuführen, ohne die aus der Liste gewonnenen Daten zu verwerten.
Nach Art. 6 Abs. 1 S. 1 lit. f DSGVO ist eine Verarbeitung nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Das Interesse der degepol an der Durchführung der Gehaltsumfrage ist nachvollziehbar – aber überwiegt dieses das Recht der betroffenen Personen, von einer unerwünschten Verarbeitung ihrer Daten verschont zu bleiben?
Mangels einer Pressemitteilung der Berliner Datenschutzbeauftragten lässt sich über die ausschlaggebenden Argumente nur spekulieren. So könnte eine Rolle gespielt haben, dass die Betroffenen nicht in den Erhalt der E-Mails eingewilligt haben. Ob und inwieweit § 7 Abs. 1, Abs. 2 Nr. 3 und Abs. 3 UWG berücksichtigt wurden, welche festlegen, wann Werbung eine unzumutbare Belästigung darstellt und wann nicht, ergibt sich weder aus dem verlinkten heise-Artikel, noch aus der Stellungnahme der degepol.
Nr. 2: Personalisierung
Ein weiterer Kritikpunkt sei laut Frau Smoltczyk darin zu sehen, dass degepol die Empfänger namentlich angesprochen hat. Ein Personenbezug sei nicht notwendig gewesen. An dieser Stelle ist darauf hinzuweisen, dass die E-Mail-Adressen keine Rückschlüsse auf Personen ermöglichten.
Der Verein sieht das laut seiner Stellungnahme ganz anders:
„Die Email [sic!] enthielt eine namentliche Anrede, da wir davon ausgingen, dass eine anonyme Ansprache nicht zu einer entsprechenden Beantwortung führt… Eine Einschränkung von Kommunikation in dieser Weise können wir nicht nachvollziehen, werden dies aber zukünftig beachten. Eine Umfrage über persönliche Themen nicht auch persönlich zu adressieren erscheint uns nicht der Praxis entsprechend.“
Ist da was dran? Nun, unpersönliche E-Mails wirken manchmal unseriös, das stimmt. Es kommt jedoch stets auf den Gesamteindruck an. Wenn die E-Mail – wie Millionen anderer E-Mails – mit „Sehr geehrte Damen und Herren“ beginnt, dürfte da niemand etwas dagegen einzuwenden haben.
Demzufolge ist Frau Smoltczyk zuzustimmen, die Verwendung des Namens und der Anrede der Person war unnötig. Nach Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten
„dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)“.
Für die Einladung zur genannten Umfrage ist es nicht notwendig, die Empfänger namentlich anzusprechen, insbesondere auch, weil davon auszugehen war, dass der Empfänger der E-Mail diese Umfrage in vielen Fällen gar nicht selbst ausfüllt, sondern an die zuständige Abteilung weiterleitet.
Nr. 3: Kein Hinweis auf die Quelle der Daten
Letztlich beinhalteten weder die E-Mails, noch die darin verlinkte Datenschutzerklärung eine Angabe der Quelle, aus der die personenbezogenen Daten erhoben wurden. Hierfür verwendet Frau Smoltczyk klare Worte: Spätestens mit der ersten Kontaktaufnahme hätte ein Hinweis erfolgen müssen.
Die degepol zeigt sich versöhnlich: Die Benennung der Verbändeliste als Quelle sei versehentlich unterblieben. Die Datenschutzerklärung wurde diesbezüglich tatsächlich aktualisiert.
Datenschutzrechtlich ist Frau Smoltczyk Recht zu geben. Art. 14 DSGVO regelt die Informationspflichten gegenüber dem Betroffenen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Interessant ist Art. 14 Abs. 3 lit b DSGVO:
„Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie…“
Hin- und hergerissen
Das Einschreiten der Berliner Datenschutzbeauftragten ruft durchaus zwiegespaltene Gefühle hervor:
- So ist es nachvollziehbar, ein bisschen Licht ins Dunkel des Lobbyismus-Sumpfes bringen zu wollen, weshalb dem also durch den Datenschutz Einhalt gebieten?
- Andererseits erscheint das Vorgehen Frau Smoltczyks bei nüchterner Betrachtung des Vorgefallenen zu zurückhaltend.
Zeit, diese Punkte näher zu betrachten:
Lobbyisten-Daten schützen?
Lobbyismus wird in der Gesellschaft größtenteils als negativ empfunden, lediglich die Lobbyisten selbst dürften sich als über alle Zweifel erhaben ansehen. Nichtsdestotrotz findet Lobbyarbeit, deren Ziel es ist, durch politische Einflussnahme eigene Interessen durchzusetzen, alltäglich statt.
Hierzu ist es gar nicht erst nötig, den Aluhut aufzusetzen, es reicht schon, einen Blick in das Lobbyregister des Bundestags zu werfen. Darin sind aktuell 2315 Institutionen verzeichnet, von A wie der Bundesvereinigung Deutscher Apothekerverbände, über L wie (Überraschung!) LobbyControl – Initiative für Transparenz und Demokratie bis Z wie dem Zweirad-Industrie-Verband ist für jeden Geschmack etwas dabei.
Das Interessante dabei ist: All diese Lobbyisten haben die Aufnahme in die Liste von sich aus beantragt. Klammheimliche Lobbyarbeit in dunklen, verrauchten Hinterzimmern ist Vergangenheit, der moderne Lobbyist zeigt sich transparent! Ganz im Sinne des Leitprinzips der Website abgeordnetenwatch.de, „Transparenz schafft Vertrauen“? Noch nicht ganz!
Wer seinen Namen als Vertreter einer Lobby-Institution freiwillig einem öffentlichen Register anvertraut, um seine Lobby-Tätigkeit nach außen zu verdeutlichen, dürfte dem nicht von Anfang an bewusst gewesen sein, dass jedermann Schabernack mit den veröffentlichten Daten treiben könnte? Nahm man das nicht zugunsten der eigenen Reputation als transparent auftretender Verband in Kauf? Durchaus berechtigte Fragen.
Datenschutz für alle!
Dennoch: Auch die DSGVO normiert in Art. 5 Abs. 1 lit. a DSGVO ein Transparenzerfordernis:
„Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)…“
Dieser Transparenzgedanke, neben all den anderen in der DSGVO geregelten Grundsätzen, wie der Rechtmäßigkeit der Verarbeitung, der Zweckbindung und der Datenminimierung, gilt auch im Rahmen einer Verarbeitung von Lobbyisten-Daten. Und zweifelsohne hat sich die Deutsche Gesellschaft für Politikberatung nicht daran gehalten – für die Betroffenen dürfte es ein Rätsel gewesen sein, woher der Versender die Daten hatte, warum man persönlich angesprochen wurde und weshalb man überhaupt Einladungen für Umfragen per E-Mail erhielt.
Daran ändert auch die Tatsache nichts, dass in der Liste Eingetragene häufiger Spam erhalten. Bei frei im Internet zugänglichen E-Mail-Adressen ist das kein Wunder. Das legitimiert jedoch noch lange nicht dazu, ungefragt E-Mails zu verschicken und selbst zum Spammer zu werden.
Keine Angst: Der Datenschutz zielt nicht darauf ab, Lobbyisten zu schützen. Hier geht es nicht darum, Lobbyisten bei ihrer Arbeit von nervigen E-Mails abzuhalten, sondern darum, den Missbrauch personenbezogener Daten natürlicher Personen aufzuhalten – egal, ob die Betroffenen als sympathisch empfunden werden oder nicht.
Berlin – arm, aber… schüchtern?
Die effektivste Waffe zur Verteidigung des Datenschutzes ist und bleibt das Bußgeld nach Art. 83 DSGVO, welches wie ein Damoklesschwert über den Köpfen der gegen die DSGVO Verstoßenden schwebt. Anstatt diese zu finanziellen Sanktionen führende Klinge zu zücken, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit nur mahnend den Zeigefinger erhoben.
Dass Berlin auch die Krallen ausfahren kann, zeigt das Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE vom letzten Herbst. Knapp 200.000 Euro Bußgeld wurde gegen die Delivery Hero SE angeordnet, welche ihrer Löschpflicht nicht nachgekommen, das Auskunftsrecht missachtet und unerwünschte Werbe-E-Mails versandt hatte. Weshalb es im Falle der degepol bloß bei einer Verwarnung blieb, lässt sich mangels Pressemitteilung der Berliner Datenschutzbeauftragten nicht aufklären.
Wie heißt es so schön: Vor Gericht und auf hoher See ist man in Gottes Hand? Der Satz müsste wohl um (Berliner) Datenschutzaufsichtsbehörden ergänzt werden.
Die Moral von der Geschicht‘…
…öffentliche Verzeichnisse zweckentfremdet man nicht. Unabhängig davon, wessen Daten in den Registern enthalten sind! Der Datenschutz differenziert nicht danach, ob die Tätigkeit des Dateninhabers gesellschaftlich hohes Ansehen genießt oder nicht – eine Ungleichbehandlung hätte unberechenbare Folgen.
Der Fall zeigt jedoch auch, dass es ebenso wenig vorhersehbar ist, wie Datenschutzaufsichtsbehörden entscheiden. Wer plant, öffentlich zugängliche Verzeichnisse oder Register gleich welcher Art zu nutzen, sollte sein Vorgehen stets hinterfragen – bevor es die Behörde tut.
Aus dem Artikel geht nicht so deutlich hervor, warum das so schlimm sein soll. Bei Deutsche Wohnen ging es um Gehaltsnachweisen von Mietern. Hier geht es um „Visitenkarten-Informationen“ im B2B-Bereich ([E-Mail gelöscht]). Wo liegt das Problem?
Der Vergleich mit dem Bußgeld gegen die Deutsche Wohnen SE wurde gezogen, um zu verdeutlichen, dass die Berliner Datenschutzaufsichtsbehörde in der Vergangenheit sehr hohe Bußgelder angeordnet hat. Natürlich sind der degepol-Fall und der Deutsche Wohnen SE-Fall hinsichtlich der datenschutzrelevanten Vorfälle nicht vergleichbar – darauf wollte die Verfasserin aber auch gar nicht hinaus. Wenn die Behörde einerseits rekordverdächtige Bußgelder anordnen kann und in anderen Fällen lediglich eine Verwarnung ausspricht, dann führt das zu Rätselraten: Woran hat es gelegen? Ist der Vorfall, der zu einer Verwarnung geführt hat, wirklich so unwesentlich, dass nicht zumindest ein geringes Bußgeld angeordnet wurde?
Die betroffenen Personen haben „aus dem Nichts heraus“ E-Mails mit der Aufforderung, an einer Gehaltsumfrage teilzunehmen, erhalten. Weder aus der E-Mail, noch aus der Datenschutzerklärung ergab sich, wie die degepol an die Kontaktdaten und den Namen der Betroffenen gelangte. Der unerwartete Erhalt unerwünschter E-Mails kann als störend empfunden werden, insbesondere, wenn man dann noch persönlich angesprochen wird. Gerade die persönliche Ansprache führt doch dazu, dass man sich fragt, woher kennt der Versender mich?
Bei Visitenkarten sieht die Situation anders aus: Diese gibt man freiwillig raus; wer vom Empfänger der Visitenkarte E-Mails erhält, weiß auch, woher derjenige die Daten hat. Selbstverständlich sind die üblicherweise auf Visitenkarten anzutreffenden personenbezogenen Daten nicht besonders sensibel – das ändert aber nichts am tatsächlich eingetretenen Überraschungseffekt und der seitens der Betroffenen empfundenen Störung.
Im Übrigen: Wie der Fall Delivery Hero SE zeigt, sind unerwünschte Werbe-E-Mails durchaus bußgeldrelevant (auch wenn dies dort nicht der alleinige Bußgeld-Grund war).
Der Cookie-Hinweis in englischer Sprache, verbunden mit einer untergejubelten Einwilligung auf der Website der degepol macht deutlich, dass hier kein Datenschutz-Unschuldslamm adressiert wurde. Die nicht erfüllte Transparenzpflicht ist ein Verstoß. Die nicht vorgenommene Interessenabwägung ebenfalls. Wer seit DSGVO noch meint, er könne wild Daten erheben (Liste der Lobbyisten) um damit noch weitere Daten (Umfrage über deren Gehälter) zu erschleichen, der sollte noch einmal eine intensivere Datenschutzschulung erfahren – ach ja, bei degepol gibt es ja trotz § 38 Abs.1 BDSG keinen DSB…bei der beabsichtigten zugrundeliegenden Aktivität liegt § 38 BDSG für mich als einschlägig auf der Hand. Degepol mit einer Verwarnung ohne Bußgeld davon-kommen-zu-lassen hat offenbar nicht die erforderliche Abschreckung erreicht.
Aber trotz alledem: Die Verwendung der veröffentlichten Liste auf die sich die Lobbyisten freiwillig haben eintragen lassen ist (mittels ordnungsgemäß durchgeführter Interessenabwägung) durchaus zulässig. Anders als die Verwendung personenbezogener Angaben in einem Website-Impressum, die ja aufgrund gesetzlicher Pflicht veröffentlicht werden, sind dies hier freiwillig öffentlich zugängig gemachte Daten – hier sollte die Fachwelt nicht voreilige Schlüsse aus der Verwarnung der Berliner Aufsichtsbehörde ziehen, dass deren Verwendung generell unzulässig wäre. Ich lese aus der Verwarnung „nur“ die Verletzung der Transparenzpflicht und der Dokumentationspflicht bzgl. einer Interessenabwägung: Nicht jedoch hinsichtlich der generellen Nutzbarkeit öffentlich verfügbarer Daten.