Unverbindliche Anfragen bei der Datenschutzkommision

Ich habe an die österreichische Datenschutzkommission ein paar Fragen zur Umfrage-Causa geschickt. Da die Anfrage unverbindlich war, bekam ich eine unverbindliche Auskunft mit dem Hinweis:

Bitte beachten Sie, dass dies eine übliche Rechtsauskunft ist, wie sie jeder Bürgerin und je-

dem Bürger erteilt wird, und die nicht als Quellenangabe zitiert werden sollte. Falls Sie als

Medienmitarbeiter eine offizielle Stellungnahme zu aktuellen Fragen aus dem Tätigkeitsbe-

reich der Datenschutzkommission möchten, wenden Sie sich bitte direkt an das Geschäfts-

führende Mitglied.

Meine Fragen an die DSK berührten die Umfrage-Causa, die damals (Ende August 2012) noch nicht solange her war (Anfang August 2012).

Der vermutliche Tathergang

Der damalige Bundesvorstand itc krallte sich unter irgendeinem Vorwand Zugriff auf die Mitgliedsdaten und lockte durch Spamming alle Mitglieder der Piratenpartei auf eine Umfrage-Website mit völlig unklaren Datenschutzbestimmungen.

Die eigene beunruhigende küchenjuristische Deutung

Die Mitgliederliste mit ihre Namen, Postanschriften und E-Mail-Adressen ist heikles Material und darf nicht in fremde Hände kommen. Das erfordert genau Regeln, die bei der Piratenpartei zwar nirgends erklärt sind, die Itc aber trotzdem verletzt hat:

• Mitgliederdaten haben auf fremden Servern nichts zu suchen

• Ausschließlich vereidigte technisch-administrative Kräfte haben Zugriff auf die Mitgliederdaten

• Mit den Daten der Mitglieder dürfen nur drei Dinge gemacht werden: speichern, filtern und als Empfänger verwenden für Spam, der mit der Partei zu tun hat, d.h. von der Basis abgesegnet wurde.

Laut unverbindlicher Auskunft der Datenschutzkommission können Verstöße gegen das österreichische Datenschutzgesetz sehr geschmalzen geahndet werden:

Je nach den genauen Umständen könnte a) eine zulässige Datenverwendung oder b) eine

zivilrechtlich klagbare Verletzung des Rechts der betroffenen Personen auf Geheimhaltung

ihrer Daten (Abhilfe: Unterlassungsklage gemäß § 32 Abs. 1 DSG 2000) vorliegen, sowie

eventuell zusätzlich zu b) die Verwaltungsübertretung der Datenübermittlung unter Bruch des

Datengeheimnisses (§ 52 Abs. 1 Z 2 DSG 2000, Geldstrafe bis 25.000,-- Euro) oder im Ex-

tremfall das gerichtlich strafbare Vergehen der Datenverwendung in Gewinn- oder Schädi-

gungsabsicht (§ 51 DSG 2000, Freiheitsstrafe bis zu einem Jahr)

Aber wurden Datenschutzbestimmungen verletzt?

In der unverbindlichen Auskunft heißt es dazu:

Allgemein kann gesagt werden, dass die Verwendung von Daten für einen nicht bestim-

mungsgemäßen Zweck (durch faktische oder „virtuelle“ Übermittlung nach Zweckänderung,

§ 4 Z 12 des Datenschutzgesetzes 2000 – DSG 2000) wohl am ehesten dem entspricht, was

sie als „Datenmissbrauch“ umschreiben. Dazu müsste man wissen, für welchen Zweck oder

welche Zwecke die verwendeten Daten ermittelt und verarbeitet worden sind.

Diese Antwort ist höflich, aber vermutlich die Folge der Beichte "Wir wissen leider nicht, ob die Mitglieder überhaupt zu etwas ein Einverständnis gegeben haben". Eine telephonische Auskunft ergab, dass die Organisation eigentlich gar nicht so eine genaue Erklärung brauche wie "JA! Ich genehmige die Speicherung, Filterung und Spammung!" Das sei gewissermaßen eh klar, wenn man so eine Box anklickt, "implizit".

Damit sind wir beim nächsten Thema: was ergab die telephonischer Anfrage?

Die Telephonauskunft der Datenschutzkommission

Die Telephonauskunft wollte sich ebenfalls auf nichts einlassen, Das mit der Facebook-nahen Website (surveymonkey.com) mache eigentlich nichts, denn die Daten seien ja nicht in Bausch und Bogen bei surveymonkey.com gelandet.

Umfragen seien im Datenschutzgesetz ausdrücklich erlaubt, aber das falle unter "Kommunikation".

Die Umfrage habe mit der Partei zu tun, daher dürfe ein Organ sowas eigentlich machen.

Allerdings wunderte sich die Telephonauskunft über die Offenbarung, "die Organisation" sei eine Datenschutzpartei. Sie empfahl "bessere Vorkehrungen" "wegen der Optik".