Wie Datenschutz?
Der simpelste Weg: gar keine sensiblen Daten speichern. Dieser Weg ist der Piratenpartei im Forum offen, bei Mitgliedern leider verschlossen. Die Partei muss ihre Mitglieder namentlich kennen und Kontaktdaten speichern -- schon alleine wegen der Mahnschreiben. Bei der Bewusstseinserweiterung der Basis könnte eine genaue Erklärung hilfreich sein, sowie ein Benimmhandbuch.
Inhaltsverzeichnis |
Handhabung der Forendaten
Das Forum sollte gar nicht erst nach Klarnamen fragen bei der Registrierung, d.h. die entsprechenden Felder gehören abgedreht. Die Luxus-Variante: das Forum fragt auch nicht nach einer E-Mail-Adresse. Es gibt viele Websites, die das so handhaben, von der vergleichsweise kleinen Encyclopedia Dramatica bis zum großen reddit. Dazu gehören aber auch Erklärungen:
- Die Piratenpartei wünscht allen ihren Sympathisanthen und Mitgliedern frohe Pseudonymität und gutes Socking
- Zu Mummenschanz und Heimlichtueerei wird ausdrücklich ermuntert
- Es ist verboten, Klarnamen im Forum oder sonstwo mit Pseudonymen zu verknüpfen (= Moderationsfall). Wer Listen irgendwo am Internet veröffentlicht, fliegt aus der Partei
- Es ist unhöflich, jemanden nach seinem Namen zu fragen, auch am Stammtisch
- Jeder soll sich gut überlegen, ob er sich namentlich outen will, z.B. im Wiki
- Bitte KEINE E-Mail-Adressen verwenden, die den Klarnamen enthalten.
- Google, Facebook und Amazon sind nicht deine Freunde, denn sie sind Feinde der Anonymität
- Für weitere solche Fragen, auch wenn sie nicht die Piratenpartei betreffen, sind wir jederzeit offen
Handhabung der Mitgliedsdaten
Datenschutz für eine Datei wirkt nicht weiter schwierig. Das schaffen sogar Arzthelferinnen mit Excel. Sie haben jeden Tag mit heiklen Daten zu tun, genauer gesagt, Gesundheitsdaten. Allerdings haben die Piraten viel schwierigere Bedinungen:
- Arztpraxishelferinnen unterliegen dem Arztgeheimnis und müssen somit beruflich vertrauenswürdig sein -- bei den Piraten haben schnell wechselnde Freiwillige mit den Daten zu tun und viele Vorstände gieren danach
- Die Patientenakten verlassen die Praxis nicht, weil sie nur lokal verarbeitet werden -- die Freiwilligen Mitgliedsbearbeiter sind über ganz Österreich verstreut und brauchen daher einen Server am Internet
- Ärzte veranstalten unter ihren Patienten keine Online-Umfragen
Diese Punkte verkomplizieren den Datenschutz.
Hier wären ein paar simple Vorschläge, die der Einhaltung der Gesetze wahrscheinlich wenigstens in die Nähe kommen:
- Auf Mitgliedsanträgen (online und offline) steht ungefähr: "JA! ICH genehmige hiermit die Speicherung, Filterung meiner persönlichen Daten und genehmige auch, dass sie mich Anspammen so lange es um die Partei geht!" (leider falsch: dort steht bloß "die Datenschutzbestimmungen werden eingehalten") Das hält ipitimp sogar für über dem Niveau des Datenschutzgesetzes, für eine Fleißaufgabe. Die augenblickliche Formulierung sei durchaus im Rahmen, weil sich ja jeder Anmelder denken kann, dass seine Daten bei der Partei mit Computern bearbeitet werden. Damit ist ipitimp der gleichen Ansicht wie die Telephonstimme von der Datenschutzkommission, die das selbe Wort wie ipitimp verwendete: "impliziert". Die Anmeldung lässt für jeden den zwingenden Schluss zu, dass seine Daten zu Spamming-Zwecken verwendet. Die Telephonstimme empfahl aber, diese Erklärung klarer zu machen, nachdem sie erfahren hatte, dass von einer Datenschutzpartei die Rede war. Update: Piratgizmo hat ein neues Mitgliedsformular mit so einer Erklärung verfasst. Darüber wurde bereits positiv abgestimmt. neues Formular, Abstimmung
- Mitgliederdaten landen nie bei externen Dienstleistern (leider falsch: wolf hat die E-Mail-Adressen der Salzburger Mitglieder auf Surveymonkey.com für Tokens hochgeladen)
- Mitgliederdaten landen nie im Ausland (leider falsch: im Augenblick sind die Daten auf "Piraten ohne Grenzen" in der Schweiz gespeichert. Dort läuft die Mitgliederverwaltung "Admidio") Das hält iptimp nicht nur für übertrieben, wenn das Ausland die Schweiz ist und (internationale) Piraten für den Betrieb sorgen. ipimp fügte höflicherweise nicht hinzu, dass die Daten bei den Piraten ohne Grenzen sehr wahrscheinlich in sichereren Händen sind als bei den hiesigen.
- Daten von Ex-Mitgliedern werden sofort gelöscht (leider falsch: immer wieder tauchen Klagen von Ex-Mitgliedern auf, dass sie nach Monaten noch Spam von der Piratenpartei erhalten)
- Es gibt einen Ombudsmann für innerparteilichen Datenschutz (leider falsch: der einzige, den dieses Thema interessiert, ist im Augenblick der Verfasser. Und der ist nichtmal Mitglied)
- Mitgliedsdaten werden ausschließlich verschlüsselt als Liste übermittelt (unbekannt, ob sich daran immer alle gehalten haben)
- Nur offizielle Organträger haben Zugriff auf die Mitgliederdaten, und zwar nur für die Zwecke, die in der Einverständniserklärung angegeben sind (leider falsch: offenbar kriegt die Daten jeder, der danach fragt) Hier sind wir beim schwierigsten Teil angekommen:
- Mitgliedsdaten müssen in Admidio eingegeben werden, dezentral in allen Landesorganisationen
- (Das setzt einen komplizierten Akkreditierungsprozess in Gang)
- Mitgliedsdaten werden dezentral verwendet, z.B. von einzelnen Landesvorständen
- Mitgliedsdaten müssen dezentral gelöscht werden
Im Idealfall funktioniert der Betrieb so: Der Landesvorstand vergewissert sich der Identität des Anmelders vor Ort, durch Blick auf einen Lichtbildausweis. Die Daten gibt er per https (verschlüsselt) in Admidio ein. So landen die Daten erstmal sicher in der Schweiz. Nur ein Offizieller per Landesorganisation hat Zugriff auf die LANDESDATEN -- was Admidio laut Prospekt unterstützt. Damit kann der oder die Landesoffizielle dann Mitglieder spammen, sogar per Post.
Gegen Unterwanderung durch eine unzuverlässige Mitglieder-Administratorin ist kein Kraut gewachsen, aber im Augenblick wäre sogar eine 100% zuverlässige Mitglieder-Administratorin nutzlos. Sie müsste jedem Vorstand, der das wünscht, eine Kopie der Mitgliederliste aushändigen, nachdem er oder sie einen Zettel unterschrieben hat. Das hat mit Datenschutz nichts zu tun.
Datenschutzbeauftragter
Der Datenschutzbeauftragte ist ein Ombudsmann, d.h. er vertritt die Betroffenen und achtet darauf, dass ihre Rechte gewahrt sind. Er ist ein Kontrollorgan für all jene, die Zugriff auf die Daten haben. Im Idealfall verfolgt der Datenschutzbeauftragte die Entwicklung der Rechtslage und die juristische Praxis. Anwälte wirken für diese Position am besten geeignet, aber das ist ein Laienurteil wie "Du kennst dich mit Computer aus? Kannst ma meinen Drucker richten?" Besser ist vielleicht jemand, dem Datenschutz am Herzen liegt und der oder die eine ähnliche Postion in einer anderen Organisation ausgeübt hat. Die Piraten brauchen hier das Rad nicht neu zu erfinden, das Amt des Datenschutzbeauftragten ist genau verstanden und regelmentiert, komplett mit Schulungen und Prüfungen: Datenschutzbeauftragter in Wikikpedia.
Benimmregeln
- Die Piraten Österreichs legen wert auf Anonymität, Pseudonymität und die Wahrung des Briefgeheimnisses.
- Die Piraten ermuntern ausdrücklich
zur Nutzung aller nur erdenklichen Mittel, um die eigene Identität zu verschleiern und das Engagement für die Bewegung zu vertuschen. Jede sollte sich gut überlegen, ob sie tatsächlich ihren richtigen Namen am Internet offenbaren will. Dafür gibt es - außer für Amtsträger - keinen vernünftigen Grund.
- Es ist schlechtes Benehmen, einen Piraten nach seinem echten Namen zu fragen. (In Forum oder Wiki: Moderationsfall.)
- Es ist unklug, für die Registrierung eines Foren-Nicks den echten Namen anzugeben oder eine E-Mail-Adresse anzgeben, die den Klarnamen offenbart.
- Es ist verboten, am Internet eine Verknüpfung zwischen Klarnamen und Pseudonymen herzustellen. (Im Forum oder Wiki: Moderationsfall.)
- Es ist verboten, aus dem Inhalt von privater Korrespondenz zu zitieren ohne Einverständnis des Absenders. (Im Forum oder Wiki: Moderationsfall.)
- Es ist unklug, am Internet seinen Klarnamen mit Piraten-Pseudonymen zu verknüpfen, z.B. auf einer Wiki User Page.
Zusammenfassung
Wie Datenschutz bei der Piratenpartei funktionieren soll, ist zu diesem Zeitpunkt noch unbekannt, aber so ließe es sich ermitteln:
- Datenschutzkommission anschreiben und fragen, wo man eine verbindliche Rechtsauskunft bekommt und wie viel das kostet
- Fragen an Datenschutzorganisationen wie Quintessenz oder ARGE Daten, wie es gemacht wird und wie sie selbst ihre heiklen Daten handhaben.