Wiederholt erhielt ich im zurückliegenden Thüringer Kommunalwahlkampf die Frage, ob es denn rechtens sei, wenn, wie in Erfurt, die Kandidatin der CDU offenbar im großen Stil Adressen bei der Stadtverwaltung anfordert, um potentielle Wähler anzuschreiben. Auch die Linken haben dies getan, wie heute der MDR meldet.

Adressweitergabe erlaubt, aber…

Ups, da war doch was? Datenschutz und so? In nicht ganz vier Wochen tritt die auf zwingend geltendem Europarecht basierende „Datenschutzgrundverordnung“ (DSGVO) in Kraft, die meines bescheidenen Erachtens öffentlichen Stellen oder Parteien so etwas nicht mehr einräumt. Europarecht bricht Bundesrecht. Aber das tritt wie gesagt erst noch in Kraft.

Für diesen Wahlkampf galt noch § 50 Abs 1 des Bundesmeldegesetzes, der diesen Adressenkauf tatsächlich erlaubt:

„Die Meldebehörde darf Parteien, Wählergruppen und anderen Trägern von Wahlvorschlägen im Zusammenhang mit Wahlen und Abstimmungen auf staatlicher und kommunaler Ebene in den sechs der Wahl oder Abstimmung vorangehenden Monaten Auskunft aus dem Melderegister über die in § 44 Absatz 1 Satz 1 bezeichneten Daten von Gruppen von Wahlberechtigten erteilen, soweit für deren Zusammensetzung das Lebensalter bestimmend ist. Die Geburtsdaten der Wahlberechtigten dürfen dabei nicht mitgeteilt werden.“

Dies bedeutet zweierlei:

1. Der Auskunftsanspruch ist auf einen Zeitraum von sechs Monaten vor dem Wahltermin begrenzt und
2. Es dürfen nur die absolut notwendigen Daten mitgeteilt werden, also Name und Adresse.

Geschlecht, Geburtsort und das Zuzugs- oder Wegzugsdatum werden wohl auch mitgeteilt. Dafür reicht m.E. aber die gesetzliche Grundlage nicht. Hier darf man das Einwohnermeldeamt durchaus gesetzlich unterweisen, dass es schon jetzt den Grundsatz der Datensparsamkeit zu beachten hat.

Löschanspruch

Unabhängig hiervon: § 50 Abs. 1 Bundesmeldegesetz hat noch einen 2. Satz, mit dem der Betroffene den Adressenkäufer ärgern kann:

“Die Person oder Stelle, der die Daten übermittelt werden, darf diese nur für die Werbung bei einer Wahl oder Abstimmung verwenden und hat sie spätestens einen Monat nach der Wahl oder Abstimmung zu löschen oder zu vernichten.”

Die Daten dürfen also nur für diese Wahl verwendet werden und müssen dann vollständig spätestens einen Monat nach der Wahl gelöscht werden. Ein berechtigtes Interesse, die Daten fürs nächste Mal zu behalten, gibt es nicht.

Ob die Parteien sich daran halten?

„Da gucken wir auch mal hin.” Eine Datenschutzprüfung würde sich bei so ziemlich allen Parteien lohnen.“,

ließ der oberste Thüringer Datenschützer Dr. Lutz Hasse schon verlauten. Wir dürfen ihn beim Wort nehmen.

Was tun?

Wer darauf nicht warten will, kann zweierlei tun:

1. Der Adressweitergabe ausdrücklich widersprechen. Die Landesbehörde stellt hierfür gar ein Formular zur Verfügung, das hier erhältlich ist. Wer dieses seinem Einwohnermeldeamt schickt, darf keine Wahlpost mehr bekommen.
2. Ab dem 25.5.2018 hat jeder, der automatisiert personenbezogene Daten verarbeitet, dem Betroffenen auf Antrag detailliert Information hierzu zu erteilen. Hierfür ist genau ein Monat Zeit.

Warum also nicht mal folgendes nette Schreiben versenden und sehen, was passiert?

Sehr geehrte Damen und Herren,

ich wende mich an Sie in Ihrer Eigenschaft als Verantwortlicher für den Datenschutz in Ihrem Unternehmen. Ich habe im Hinblick auf jüngste Veröffentlichungen zum Ankauf von Adressdaten Anlass, Sie um Zugang zu meinen personenbezogenen Daten gemäß Art. 15 der Datenschutz-Grundverordnung (DS-GVO) zu ersuchen.

Ich gehe davon aus, dass Ihnen bekannt ist, dass Sie meine Anfrage binnen Monatsfrist zu beantworten haben, Art. 12 Abs. 3 DS-GVO. Sollte diese Frist fruchtlos verstreichen, werde ich sie mit einer Beschwerde an Ihren Landesdatenschutzbeauftragten weiterreichen.

Insb. bitte ich mich zu folgenden Sachverhalten zu unterweisen:

1. Bitte stellen Sie mir eine Kopie meiner persönlichen Daten zur Verfügung, die Sie haben oder verarbeiten.
2. Bitte teilen Sie mir darüber hinaus mit,
3. welche Daten genau Sie von mir haben;
4. aus welchen Quellen diese stammen, insb. so Sie zusätzlich personenbezogene Daten über mich aus anderen Quelle als mir selbst erheben, mich über diese vollständig zu informieren, Art. 14 DS-GVO;
5. ob Sie meine persönlichen Daten auf externen Speichergeräten, CD, DVD etc. oder anderen Medien gesichert haben, wo sie gespeichert sind und wie diese gesichert sind,
6. ob diese sich in Datenbanken befinden und, wenn ja, in welchen,
7. in welchen Kategorien Sie meine persönlichen Daten verarbeiten,
8. wie lange Sie diese speichern und
9. in welchem Turnus welche Kategorie personenbezogener Daten zur Löschung vorgesehen ist.
10. Bitte unterrichten Sie mich darüber,
11. in welchen Ländern meine persönlichen Daten gespeichert sind oder von wo aus Sie darauf zugreifen können;
12. falls Sie Cloud-Dienste nutzen, in denen meine Daten gespeichert sein könnten, teilen Sie mir mit, in welchen Ländern sich die Server befinden und wo meine Daten in den letzten 12 Monaten gespeichert waren.
13. Bitte teilen Sie mir mit, inwiefern Sie in den vergangenen 12 Monaten meine Daten erhoben, gespeichert, verändert, übermittelt oder in sonstiger Weise genutzt haben.
14. Bitte übersenden Sie mir eine Liste aller Dritten an, denen Sie meine persönlichen Daten übermittelt haben oder, können Sie diese nicht mit Sicherheit identifizieren, übermittelt haben könnten. Erläutern Sie hierbei die Rechtsgrundlage, welche Sie ermächtigt, meine persönlichen Daten Dritten zu übermitteln und diese so in den Stand zu versetzen, meine persönlichen Daten zu erheben, zu speichern oder an weitere Externe zu übermitteln.
15. Bitte informieren Sie mich, ob Sie sub. 1. – 5. auf der Grundlage geeigneter technischer und organisatorischer Maßnahmen (TOM) i.S.d. Art. 32 DS-GVO veranlasst haben oder veranlassen werden, und überlassen mir bitte eine Kopie Ihrer diesbezüglichen Dokumentation.
16. Wenn Sie Entscheidungen über mich treffen, die auf einer automatisierten Verarbeitung i.S.d Art. 22 DS-GVO einschließlich Profilerstellung beruhen, erörtern Sie mir bitte den Entscheidungsprozess und die Algorithmen solcher automatisierter Entscheidungen sowie das Ergebnis und die Folgen derartiger Verarbeitungsprozesse einschließlich gewonnenen Erkenntnisse.
17. Bitte informieren Sie mich über die Maßnahmen, die Sie ergriffen haben, um meine persönlichen Daten vor Verlust oder Diebstahl zu schützen.
18. Schließlich ist für mich von Interesse, inwiefern meine persönlichen Daten in den letzten 12 Monaten versehentlich oder aufgrund einer Datenschutzverletzung von Ihrem Unternehmen veröffentlicht wurden und, falls ja,
19. berichten Sie mir bitte detailliert über das konkrete Vorkommnis, insb. Datum und Uhrzeit des Verstoßes und wann Sie dieses genau entdeckt haben,
20. wer für den Verstoß verantwortlich ist;
21. welche meiner persönlichen Daten konkret betroffen waren;
22. inwiefern mir ein materieller oder immaterieller Schaden infolge des Verstoßes entstanden ist oder noch droht;
23. welche Maßnahmen Sie bereits getroffen haben oder zu treffen gedenken, um künftig eine rechtswidrige Offenlegung meiner persönlichen Daten auszuschließen;
24. falls Sie es nicht wissen, aber auch nicht ausschließen können, ob ein solcher Verstoß stattgefunden hat, erläutern Sie mir bitte, welche Maßnahmen Sie unter Verwendung welcher TOM ergriffen haben, einen unbefugten Zugriff auf meine Daten auszuschließen oder zu mildern, ob Sie über eine Technologie verfügen, mit der Sie mit hinreichender Sicherheit wissen können, ob meine persönlichen Daten offengelegt wurden (IDS, Firewall, ISÆN, sonstige Securitytools) und ob Sie ein System zur Datensparsamkeit und –minimierung installiert haben, meine persönlichen Daten ggf. verschlüsseln, anonymisieren oder pseudonymisieren;
25. welche Maßnahmen Sie in Bezug auf Mitarbeiter oder externe Vertragspartner in Ihrem Haus ergriffen haben, um auszuschließen, dass diese personenbezogene Daten für Zwecke außerhalb Ihres Unternehmens auf externen Geräten speichern und/oder diese per E-Mail, mobile Messenger oder auf andere Weise weitergeben.

Ihrer fristgerechten Antwort sehe ich entgegen.

Mit freundlichen Grüßen

B. Sorgter-Bürger

(das Schreiben können Sie hier als pdf herunterladen).

Hinweis: Das neue Buch zum Datenschutzrecht von den Rechtsanwälten Christian Sitter und Christian Solmecke. Keine Schnörkel. Nur Fakten. Datenschutz, den man versteht. Und sofort umsetzen kann. Erhältlich hier: