Benutzer:Validom/BPT-Einladungen
Zu dem Einladungsversand für den Bundesparteitag 2010.2 wurde ich von einem Piraten gefragt, wie denn dort Daten verarbeitet werden. Auch wenn nur ein Pirat gefragt hat möchte ich das soweit transparent machen.
Ich habe die Einladungen im Auftrag vom BuVo verschickt.
Dazu hat mir der BuVo einen Extrakt aus CiviCRM (unserer Mitgliederdatenbank )zur Verfügung gestellt. Vorname, Email, Mitgliedsnummer wurden in das Umfragesystem des LV Bayern eingespielt.
Dazu wurde im System ein zufälliger Schlüssel (20-Stellig) erstellt. Klickt man auf den Link in der Einladung, identifiziert einen das System damit. Klickt man auf Absenden auf der Webseite, speichert das System dann die Bestätigung und die (freiwillige) Angabe ob man zum BPT kommt oder nicht.
Bevor dann die Briefe an alle raus gehen die nicht bestätigt haben, ziehe ich die Daten dann aus dem System ab und schicke Sie dem BuVo zurück. Anhand der Mitgliedsnummer wird dann vom BuVo erkannt, an welche Anschriften noch Briefe geschickt werden müssen. Gleichzeitig werden die Daten im Umfragesystem gelöscht.
Die Daten werden allesamt immer verschlüsselt übermittelt (pgp), zu dem System habe nur ich und berechtigte Admins zugriff. (allesamt haben Datenschutzerklärungen abgegeben). Veröffentlicht werden die Daten, bis auf die reine Anzahl der Bestätigungen und die reine Anzahl der Piraten, die angegeben haben kommen zu wollen, nie. Für eventuelle Beschwerden muss sich der BuVo aber die Ergebnisse aus dem Umfragesystem noch ein paar Monate aufheben, jedenfalls so lange bis die Klagefrist vor dem BSG abgelaufen ist ;-)
Grundlage dieser Vorgehensweise ist $9b Abs. 2 Satz 6 und 7 der Bundessatzung.
Fragen? ;) ValiDOM 12:28, 30. Sep. 2010 (CEST)
Inhaltsverzeichnis
- 1 Legitimation und Rechtsgrundlage der Datenübermittlung und Datennutzung
- 1.1 Wie hat der Bundesvorstand dich denn dazu legitimiert, diese Daten zu verschicken? Wo findet man den entsprechenden Beschluss mit der Beauftragung?
- 1.2 Auf welcher Rechtsgrundlage hat der Bundesvorstand dir die Daten übermittelt? Eine Einwilligung der Betroffenen lag ja nicht vor.
- 1.3 Auf welcher Rechtsgrundlage hast du die Daten genutzt? Die Paragraphen der Bundessatzung gelten ja für dich nicht, wenn du als Privatperson handelst.
- 1.4 Hast du eine Datenschutzerklärung unterschrieben und hast du die Daten im Anschluss wieder gelöscht?
Legitimation und Rechtsgrundlage der Datenübermittlung und Datennutzung
Danke für die Darstellung des technischen Ablaufes. Folgende Fragen sind aber noch offen:
Wie hat der Bundesvorstand dich denn dazu legitimiert, diese Daten zu verschicken? Wo findet man den entsprechenden Beschluss mit der Beauftragung?
- Das musst Du den BuVo fragen, ich habe nur den Auftrag (von Wolfgang und Christoph) erhalten. Falls man mir vorwerfen sollte, ich hätte prüfen müssen, ob denn diese Beauftragung rechtmäßig geschah: nö, muss ich nicht ;)
- Hier ist auch der BuVO gefragt. Deine Antwort reicht jedenfalls nicht aus. Wieso verwendest du so viele personenbezogene Daten ohne Rechtsgrundlage? Eine Behauptung von "Wolfgang" oder "Christoph" (Ist hier Christopher gemeint?) reicht jedenfalls nicht aus. Es ist selbstverständlich auch deine Pflicht, zu prüfen, ob du die Daten überhaupt verwenden darfst. Schließlich hast du dich hier mit der illegalen Verwendung möglicherweise strafbar gemacht und nicht der Bundesvorstand (der evtl. auch, wenn er dir die Daten ohne Rechtsgrundlage übermittelt hat).
- Ich bin *ausführende Person*, nur wenn meine Handlung (offensichtlich) eine Straftat darstellt darf ich das nicht. Datenschutzvergehen sind übrigens regelmäßig Ordnungswidrigkeiten, nur mal so nebenbei ;) Wenn der BuVo (als Organ) mich aber beauftragt das zu tun - und hier sind im Außenverhältnis Wolfgang und Christopher aufgetreten - dann muss ich nicht zuletzt nach Treu und Glauben annehmen, dass der Auftrag rechtmäßig erteilt wurde.
- Du bist nur ausführende Person, wenn es einen Auftrag gibt. Das war ja die Ausgangsfrage: Wo findet man den entsprechenden Beschluss? Wolfgang und Christopher sind Privatpersonen, die dir keine Weisungen geben können und auch keine Aufträge verteilen können. Das kann nur der Bundesvorstand (und zwar als Gremium). Es gibt also vermutlich keinen Beschluss?
- Siehe weiter unten. Ein Auftrag braucht nicht unbedingt einen Beschluss. ValiDOM
- Du bist nur ausführende Person, wenn es einen Auftrag gibt. Das war ja die Ausgangsfrage: Wo findet man den entsprechenden Beschluss? Wolfgang und Christopher sind Privatpersonen, die dir keine Weisungen geben können und auch keine Aufträge verteilen können. Das kann nur der Bundesvorstand (und zwar als Gremium). Es gibt also vermutlich keinen Beschluss?
- Ich bin *ausführende Person*, nur wenn meine Handlung (offensichtlich) eine Straftat darstellt darf ich das nicht. Datenschutzvergehen sind übrigens regelmäßig Ordnungswidrigkeiten, nur mal so nebenbei ;) Wenn der BuVo (als Organ) mich aber beauftragt das zu tun - und hier sind im Außenverhältnis Wolfgang und Christopher aufgetreten - dann muss ich nicht zuletzt nach Treu und Glauben annehmen, dass der Auftrag rechtmäßig erteilt wurde.
- Hier ist auch der BuVO gefragt. Deine Antwort reicht jedenfalls nicht aus. Wieso verwendest du so viele personenbezogene Daten ohne Rechtsgrundlage? Eine Behauptung von "Wolfgang" oder "Christoph" (Ist hier Christopher gemeint?) reicht jedenfalls nicht aus. Es ist selbstverständlich auch deine Pflicht, zu prüfen, ob du die Daten überhaupt verwenden darfst. Schließlich hast du dich hier mit der illegalen Verwendung möglicherweise strafbar gemacht und nicht der Bundesvorstand (der evtl. auch, wenn er dir die Daten ohne Rechtsgrundlage übermittelt hat).
- Das musst Du den BuVo fragen, ich habe nur den Auftrag (von Wolfgang und Christoph) erhalten. Falls man mir vorwerfen sollte, ich hätte prüfen müssen, ob denn diese Beauftragung rechtmäßig geschah: nö, muss ich nicht ;)
Auf welcher Rechtsgrundlage hat der Bundesvorstand dir die Daten übermittelt? Eine Einwilligung der Betroffenen lag ja nicht vor.
- Eine Einwilligung der Betroffenen ist auch nicht nötig. Im Normalfall solltest Du beim Eintritt in die Partei eingewilligt haben, dass Deine Daten zu parteiinternen Zwecken verwendet werden dürfen. Eine Einladung zu einem Bundesparteitag zu verschicken ist einer der Kernaufgaben der Partei bzw. des Vorstands. Versteh mich bitte nicht falsch: ich bin einer der größten (pro!) Datenschutzkämpfer in der Partei, war lange im AK Vorrat aktiv. Aber ohne Verwendung der Daten wäre ein (satzungsgemäßer) Einladungsversand nicht möglich.
- Du bist aber nicht die Partei. Du darfst die Daten eigentlich gar nicht erhalten ohne Rechtsgrundlage (und wenn es keine offizielle Beauftragung gibt, fehlt sowohl für die Übermittelung als auch für die Verarbeitung durch dich die Rechtsgrundlage). Wer hat dir die Mitgliederdaten übermittelt?
- Die "Rechtsgrundlage" ist die Berechtigung des Bundesvorstands die Daten zu verarbeiten und diese Verarbeitung zu delegieren. Evtl. darf ich Dich auch daran erinnern das Datenschutzrecht KEIN positives Recht ist sondern ein (aus gutem Grund) einschränkendes. Übermittelt wurde im Auftrag von Wolfgang.
- Eine Rechtsgrundlage für dich besteht nur, wenn du einen Auftrag ausübst. Dazu braucht es einen Beschluss, wo ist der zu finden? (Deine Aussage zum Datenschutz als einschränkendes Recht ist richtig, aber das Gesetz sagt eindeutig, dass du Daten nur verwenden darfst, wenn du eine Rechtsgrundlage oder Einwilligung hast. Letzteres hast du ja auf keinen Fall. Ersteres wohl nach aktuellem Kenntnisstand auch nicht).
- Siehe weiter unten. Ein Auftrag braucht nicht unbedingt einen Beschluss. ValiDOM
- Eine Rechtsgrundlage für dich besteht nur, wenn du einen Auftrag ausübst. Dazu braucht es einen Beschluss, wo ist der zu finden? (Deine Aussage zum Datenschutz als einschränkendes Recht ist richtig, aber das Gesetz sagt eindeutig, dass du Daten nur verwenden darfst, wenn du eine Rechtsgrundlage oder Einwilligung hast. Letzteres hast du ja auf keinen Fall. Ersteres wohl nach aktuellem Kenntnisstand auch nicht).
- Die "Rechtsgrundlage" ist die Berechtigung des Bundesvorstands die Daten zu verarbeiten und diese Verarbeitung zu delegieren. Evtl. darf ich Dich auch daran erinnern das Datenschutzrecht KEIN positives Recht ist sondern ein (aus gutem Grund) einschränkendes. Übermittelt wurde im Auftrag von Wolfgang.
- Du bist aber nicht die Partei. Du darfst die Daten eigentlich gar nicht erhalten ohne Rechtsgrundlage (und wenn es keine offizielle Beauftragung gibt, fehlt sowohl für die Übermittelung als auch für die Verarbeitung durch dich die Rechtsgrundlage). Wer hat dir die Mitgliederdaten übermittelt?
- Eine Einwilligung der Betroffenen ist auch nicht nötig. Im Normalfall solltest Du beim Eintritt in die Partei eingewilligt haben, dass Deine Daten zu parteiinternen Zwecken verwendet werden dürfen. Eine Einladung zu einem Bundesparteitag zu verschicken ist einer der Kernaufgaben der Partei bzw. des Vorstands. Versteh mich bitte nicht falsch: ich bin einer der größten (pro!) Datenschutzkämpfer in der Partei, war lange im AK Vorrat aktiv. Aber ohne Verwendung der Daten wäre ein (satzungsgemäßer) Einladungsversand nicht möglich.
Auf welcher Rechtsgrundlage hast du die Daten genutzt? Die Paragraphen der Bundessatzung gelten ja für dich nicht, wenn du als Privatperson handelst.
- Im Grunde habe ich nur den Auftrag des Bundesvorstands erfüllt (damit als meine Grundlage) im Rahmen der Datenschutzerklärung, die ich an den Bundesverband abgegeben habe.
- Es gibt keinen Auftrag, wenn es keinen Beschluss gibt. Also zurück zur anfänglichen Frage: Wo ist der Beschluss zu finden? Gibt es keinen, hat sowohl der Bundesvorstand ohne Rechtsgrundlage die Daten übermittelt als auch du ohne Rechtsgrundlage (und damit illegal) diese verwendet.
- Vorstandsmitglieder können lt. der GO des BuVo in ihren Bereichen autonom handeln. Also auch Aufträge im Rahmen ihrer Handlungskompetenz erteilen, erst recht wenn z.B. Wolfgang mit dem Versand der Einladungen (innerhalb des BuVo) beauftragt wird. Es braucht also für einen Auftrag keinen Organ-Beschluss.
- Das ist wohl die schlechteste Ausrede ever... Aber: Wie hat Wolfang dir den Auftrag denn erteilt? Kannst du das zur Transparenz bitte dokumentieren?
- Ausrede? Nope, das beantwortet alle Deine letzten Fragen oben. Ein Auftrag braucht keinen Beschluss, es reicht wenn er von einem BuVo-Mitglied erteilt wird. Sauberer wärs natürlich, da geb ich Dir recht. (im übrigen muss dieses BuVo-Mitglied dann im BuVo-Innenverhältnis dafür sorgen, dass es das auch darf. Im Außenverhältnis vertritt dieses Mitglied den gesamten BuVo). Der Auftrag wurde per email erteilt (verschlüsselt und signiert). Da es eine email war die persönlich an mich gerichtet ist, kann ich die nicht veröffentlichen - gebe aber Wolfgang und Christopher die Genehmigung das zu tun (weil es so nur noch an denen hängt). ValiDOM
- Und? Wann gibt es hier die entsprechende Transparenz? Es wird doch sonst immer alles geleakt aus dem Bundesvorstand.
- Ausrede? Nope, das beantwortet alle Deine letzten Fragen oben. Ein Auftrag braucht keinen Beschluss, es reicht wenn er von einem BuVo-Mitglied erteilt wird. Sauberer wärs natürlich, da geb ich Dir recht. (im übrigen muss dieses BuVo-Mitglied dann im BuVo-Innenverhältnis dafür sorgen, dass es das auch darf. Im Außenverhältnis vertritt dieses Mitglied den gesamten BuVo). Der Auftrag wurde per email erteilt (verschlüsselt und signiert). Da es eine email war die persönlich an mich gerichtet ist, kann ich die nicht veröffentlichen - gebe aber Wolfgang und Christopher die Genehmigung das zu tun (weil es so nur noch an denen hängt). ValiDOM
- Das ist wohl die schlechteste Ausrede ever... Aber: Wie hat Wolfang dir den Auftrag denn erteilt? Kannst du das zur Transparenz bitte dokumentieren?
- Vorstandsmitglieder können lt. der GO des BuVo in ihren Bereichen autonom handeln. Also auch Aufträge im Rahmen ihrer Handlungskompetenz erteilen, erst recht wenn z.B. Wolfgang mit dem Versand der Einladungen (innerhalb des BuVo) beauftragt wird. Es braucht also für einen Auftrag keinen Organ-Beschluss.
- Es gibt keinen Auftrag, wenn es keinen Beschluss gibt. Also zurück zur anfänglichen Frage: Wo ist der Beschluss zu finden? Gibt es keinen, hat sowohl der Bundesvorstand ohne Rechtsgrundlage die Daten übermittelt als auch du ohne Rechtsgrundlage (und damit illegal) diese verwendet.
- Im Grunde habe ich nur den Auftrag des Bundesvorstands erfüllt (damit als meine Grundlage) im Rahmen der Datenschutzerklärung, die ich an den Bundesverband abgegeben habe.
Hast du eine Datenschutzerklärung unterschrieben und hast du die Daten im Anschluss wieder gelöscht?
- Eine Datenschutzerklärung von mir liegt der Bundesgeschäftsstelle vor. Die meisten Daten sind schon gelöscht, solche die evtl. bei einer Anfechtung vor dem BPT benötigt werden würden werden von mir 4 Wochen nach dem BPT gelöscht. (Klagefrist vor dem BPT). In der Zwischenzeit sind die Daten verschlüsselt und unzugänglich für Dritte gespeichert. ValiDOM 16:45, 25. Okt. 2010 (CEST)
- Okay, danke für den Update.
- Eine Datenschutzerklärung von mir liegt der Bundesgeschäftsstelle vor. Die meisten Daten sind schon gelöscht, solche die evtl. bei einer Anfechtung vor dem BPT benötigt werden würden werden von mir 4 Wochen nach dem BPT gelöscht. (Klagefrist vor dem BPT). In der Zwischenzeit sind die Daten verschlüsselt und unzugänglich für Dritte gespeichert. ValiDOM 16:45, 25. Okt. 2010 (CEST)