Konsolidierter Datenschutzbericht 2016/2017

Tätigkeit in Zahlen und Stichworten

Nackte Zahlen

Hauptthemen

• Erstellung, Überarbeitung und Optimierung Verfahrensverzeichnis
• Umsetzung der EU-DSGVO (seit Juli 2016)
• Funktionsübertragung Bund und Kreise
• Umgang mit Informationspflichten und Auskunftsersuchen
• Erstellung Nutzungsbedingungen
• Umstellung E-Maildienste und Mailinglisten
• Umstellung Mahnverfahren
• Umgang mit Unterstützerunterschriftsformularen
• Optimierungen bezüglich OTRS und Redmine
• ADVs mit Dienstleistern
• Vernetzung mit DSBs bundesweit
• (Vernetzung mit) DSBs auf Kreis-Ebene
• Sicherer Austausch von Daten LV -> KV

Fragestellungen aus den Kreisverbänden

• Umgang mit Überweisungen
• Daten von Einwohnermeldeämtern
• ML-Moderation
• Telefonische Ansprache von Mitgliedern

Datenschutzvorfälle (Landesverband und Kreisverbände)

• Offenlegung Ticket Redmine (OM)
• Fehlerhafte Zuordnung in OTRS
• Unterbliebene Korrektur eines Datensatzes
• Unverschlüsselter Versand von personenbezogenen Daten
• Unverschlüsselter Versand von besonderen personenbezogenen Daten
• Bekanntmachung einer OM auf einer ML

Bericht im Detail

Am 11.04.2016 wurde ich Datenschutzbeauftragter der Piratenpartei in Hessen. Nach Anfrage aus der Basis und Bitten des Vorstands habe ich eingewilligt, den Vertrag zu veröffentlichen.

Aller Anfang...

Obgleich ich nicht der erste beauftragte DSB im Landesverband war, war weder ein Verfahrensverzeichnis noch sonst eine Dokumentation meines Vorgängers auffindbar. Wir – das meint im Folgenden immer den Landesvorstand als verantwortliche Stelle und die Hessen-IT als eines der maßgeblichen, ausführenden Organisationseinheiten - fingen also gemeinsam bei null an. Glücklicherweise waren besonders in der Hessen-IT als auch im Vorstand sowohl Kenntnisse über den Datenschutz als auch der Wille vorhanden, im Sinne des Datenschutzes zu handeln, so dass sich im späteren Verlauf herausstellte, dass es im Wesentlichen die Dokumentationspflichten waren, die vernachlässigt worden sind.

Als erstes haben wir die Aufstellung der IT-Infrastruktur aktualisiert und daraufhin erste Optimierungen vornehmen können. Ebenso begannen wir umgehend damit die Verfahren aufzunehmen. Noch in 2016 konnte dieses Unterfangen weitestgehend abgeschlossen werden, so dass man sich auf die Optimierung sowohl der Dokumentation wie auch der einzelnen Verfahren konzentrieren konnte. Dieser ständige Prozess läuft bis heute.

Eine sicherlich eher unübliche Aufgabe für einen DSB habe ich übernommen, als es darum ging, alte Server bei einem nicht weiter verwendeten Hoster abzuholen und die Festplatten sicher zu löschen, um sie anschließend dem LV wieder zu überstellen. Diese Anekdote steht sinnbildlich dafür, dass von allen Seiten auf den Verweis auf „Zuständigkeiten“ verzichtet worden ist, wenn es der Sache dienlich war.

Zusammenarbeit

In diesem Zusammenhang möchte ich besonders betonen, dass zu jeder Zeit die Zusammenarbeit mit Vorstand und IT offen und vertrauensvoll war. Soweit ich es beurteilen kann, ist jeder kleinste Verdacht eines möglichen Datenschutzvorfalls aktiv an mich herangetragen worden und konnte entweder ausgeräumt, oder sachgerecht bearbeitet werden. Von meiner Seite aus habe ich davon abgesehen, Schuldzuweisungen wegen Versäumnisse der Vergangenheit zu machen. Im Gegenzug wurde über Versäumnisse offen gesprochen, so dass sie zügig ausgeräumt werden konnten.

Vorfälle

Trotzdem sind bei mir in den vergangenen 20 Monaten 11 Hinweise auf potentielle Datenschutzverstöße den Landesverband oder die Kreisverbände betreffend eingegangen, von denen sich in Summe sechs als in unterschiedlichen Schweregraden zutreffend herausstellten.

Die sicherlich größte Aufmerksamkeit hat dabei die versehentliche Veröffentlichung eines Tickets in Redmine nach sich gezogen, die eine Ordnungsmaßnahme beinhaltete. Es verschaffte mir den ersten offiziellen Kontakt mit der Datenschutzaufsichtsbehörde. Gleichwohl der Fehler nicht mehr ungeschehen gemacht werden konnte, waren die Reaktionen durch den Vorstand zeitlich unverzüglich und faktisch richtig. Einen Versuch der Vertuschung oder auch nur des Herunterspielens hat es nicht gegeben.

Leider immer wieder beschäftigte mich der unverschlüsselte Versand personenbezogener Daten beziehungsweise das Fehlen der verschlüsselten Annahmemöglichkeit in untergeordneten Gebietsverbänden. Hierauf werde ich in Zukunft immer wieder einen Fokus setzen und Vorstände der Kreisverbände daraufhin testen.

Einen Fall habe ich als Datenschutzvorfall aufgenommen, obwohl er streng genommen keiner ist, aber leicht einer hätte werden können. Gleichzeitig zeigt er die Wichtigkeit von Verschlüsselung. Ein Ticket wurde von einer berechtigten Queue versehentlich in eine unberechtigte Queue verschoben. Das Ticket beinhaltete personenbezogene Daten. Da es jedoch verschlüsselt war, konnte es von dem neuen Empfänger nicht gelesen werden.

In diesem Zusammenhang möchte ich noch einmal die Aufmerksamkeit darauf lenken, wie wichtig Hinweise zu möglichen Datenschutzverstößen, oder Vorschläge für einen besseren Umgang mit personenbezogenen Daten sind. Nicht nur aus Überzeugung sondern auch per Gesetz bin ich dazu verpflichtet, jeden Hinweis solange vertraulich zu behandeln, bis ich von dieser Vertraulichkeit durch den Hinweisenden entbunden werde. Erleichternd kommt hinzu, dass noch in keinem einzigen Fall der Versuch einer verantwortlichen Stelle unternommen worden ist, diese Vertraulichkeit zu unterlaufen oder zu brechen. Als Piraten kämpfen wir für den Schutz von Whistleblowern; in Bezug auf den Datenschutz haben wir ihn nach meiner Einschätzung auf Landesebene verwirklicht.

Weitere Themen

Neben dem Verfahrensverzeichnis war ein großes Thema die Erstellung und Umsetzung der Nutzungsbedingungen und die damit verbunden Änderungen bei E-Mails, Mailinglisten und anderen Diensten. Ein weiteres, leider bislang noch nicht abgeschlossenes Kapitel nahm die Funktionsübertragung mit dem Bund ein. Zwar konnte zunächst eine Übereinkunft mit dem Bundesvorstand erreicht werden mit dem Segen des Justiziariats, jedoch zog der damalige Bundesvorstand kurz darauf sein Einverständnis zurück und es kam nicht zur Vertragsunterzeichnung. Wir werden dieses Thema auch mit dem nun neu gewählten Bundesvorstand besprechen. Erste Hinweise geben Anlass zur Hoffnung, dass dieser Bundesvorstand dem Datenschutz einen angemessenen Stellenwert geben könnte.

Die größte Herausforderung - nicht nur für uns - ist ebenfalls noch nicht abgeschlossen und hat 5 Buchstaben:

Die Umsetzung der Europäischen Datenschutzgrundverordnung thematisieren wir seit Juli 2016, also bereits weit vor Verabschiedung von DS-AnpUG und der damit einhergehenden Novellierung des BDSGs. Dies wird uns auch weiterhin begleiten, bis am 25.05.2018 Vollzug zu vermelden ist. Bis zu diesem Datum sind auch die Unterlagen und Schulungsinhalte für die Datenschutzunterweisungen zu überarbeiten. Letzte werden alle erneuert werden müssen. Hier spielt die Zusammenarbeit mit dem Bundes-DSB und jenen aller weiteren Gebietsverbände eine herausragende Rolle.

Herausforderungen

Leider hat diese Zusammenarbeit noch nicht den Stand, den ich mir dafür wünschen würde. Obgleich es 2016 gute Ansätze gab, näher zusammen zu rücken und für einen besseren Informations- und Erfahrungsaustausch zu sorgen, sind die Bemühungen in der Folge doch weitestgehend im Sande verlaufen.

Was uns nicht nur bei der Zusammenarbeit der DSBs, sondern in sämtlichen Bereichen immer wieder zu schaffen macht, sind mangelnde zeitliche, wie auch personelle Ressourcen. Insbesondere im Wahlkampf, nach dem ernüchternden Ergebnis der Bundestagswahl und aktuell im Vorfeld zur Neuwahl des Landesvorstands hat sich das Engagement vieler Beteiligter zum einen deutlich verschoben, was nachvollziehbar und verständlich ist. Zuweilen waren aber auch Ermüdungserscheinungen spürbar.

Es wird für alle Beteiligten, ob nun Landesvorstand, Kreisvorstand, Beauftragter oder Mitglied eine Herausforderung sein, neben der politischen und alltäglichen organisatorischen Arbeit die bisherigen Anstrengungen im Datenschutz nicht zu vernachlässigen gerade in Hinblick auf die DSGVO. Hierzu gehört auch, dass die Kreisverbände dem Thema mehr Aufmerksamkeit widmen.

Ausblick

Die erforderlichen Umstellungen die durch die DSGVO, das novellierte BDSG und weiterer Gesetze notwendig werden, wird sicherlich den größten Raum im kommenden halben Jahr einnehmen. Ebenso werden wir kontinuierlich weiter am Verfahrensverzeichnis zu arbeiten haben, insbesondere um Prozesse weiter zu optimieren. In diesem Zusammenhang wird uns das Thema Datenschutzfolgenabschätzung beschäftigen. Auch werden wir uns teilweise erneut um Verträge zur Auftragsverarbeitung kümmern müssen und sei es lediglich, um sie den geänderten Anforderungen der DSGVO anzupassen.

Unser vMB soll auf Bundesebene als Provisorium eingeführt werden, auch haben vereinzelt Landesverbände Interesse bekundet. Hier möchte ich unterstützend tätig werden.

Lücken in der sicheren Kommunikation müssen geschlossen und der Datenschutz allgemein in den Kreisverbänden verbessert werden. Leider haben erst wenige Kreisvorstände Bemühungen gezeigt, die durch den Landesverband eröffnete Unterstützung zur Bestellung eines DSBs als Grundlage zu nehmen, ihrer Bestellpflicht nachzukommen. Dass diese besteht, hatte ich an anderer Stelle bereits ausgeführt.

Ich möchte meinen Teil dazu beitragen, dass die Zusammenarbeit aller DSBs auf allen Ebenen verbessert wird, um das Datenschutzniveau für die Gesamtpartei und damit auch der Organisationsstrukturen in Hessen auf ein (noch) höheres Level zu heben.

Danksagungen

Alle Anstrengungen der Vergangenheit wären in der Form nicht möglich gewesen, wenn sich nicht zum einen der Landesvorstand 2016 entschieden hätte, die Maxime des Ehrenamts für den Datenschutzbeauftragten aufzugeben und hierfür von den Mitgliedern auf breiter Basis Unterstützung erhalten hätte. Dafür möchte ich der Mitgliederversammlung meinen Dank aussprechen. Ebenfalls möchte ich mich bei denjenigen ausdrücklich bedanken, die durch ihre Hinweise, ihre Umsicht und ihre Zusammenarbeit geholfen haben, den Datenschutz in der Piratenpartei Hessen zu verbessern.

Meinen besonderen Dank möchte ich jedoch insbesondere zwei Menschen zukommen lassen, ohne deren unermüdliche Arbeit mein Wirken nicht annähernd die Früchte hätte tragen können, die wir erreicht haben: