Welser Bürgerumfrage datenschutzkonform?
Ich wurde in den vergangenen Tagen immer wieder von Bekannten und Dritten gefragt, ob die Welser Bürgerumfrage aus meiner Sicht datenschutzkonform sei?
Meine erste Reaktion war „Ja, natürlich!“. Warum sollte eine anonym durchgeführte Bürgerumfrage denn nicht datenschutzschutzkonform sein? Immer mehr Fragende, führten jedoch zu immer mehr offenen Fragestellungen. Ich habe mich deshalb in den letzten Tagen intensiver und aus der Sicht eines Datenschutzbeauftragten mit der Zulässigkeit der Bürgerumfrage befasst.
Dabei bin ich auf interessante Informationen und Fragestellungen gestoßen, die ich den, an Datenschutz interessierten LeserInnen nicht vorenthalten möchte.
Sachverhalt zur Welser Bürgerumfrage
Ausgangspunkt ist die Welser Bürgerumfrage, welche in der Zeit vom 19. September bis 2. Oktober 2016 stattfand.
Teilnahmeberechtigt waren alle StaatsbürgerInnen und EU-BürgerInnen ab dem, spätestens am 2. Oktober, vollendeten 16. Lebensjahr. Die TeilnehmerInnen mussten mit Stichtag Donnerstag, 1. September, ihren Hauptwohnsitz in Wels haben.
Alle teilnahmeberechtigten BürgerInnen erhielten in den Wochen vor der Wahl einen namentlich adressierten Brief des Bürgermeisters der Stadt Wels. Darin enthalten ein 4-seitiger Informationsfolder zur Bürgerumfrage sowie ein Papierfragebogen mit 5 Fragestellungen zu verkehrs-, kultur- und bildungspolitischen Fragestellungen. Der am Briefkuvert aufgedruckten DVR-Nummer 0024724 waren die Daten des Auftraggebers der Datenanwendung, das Magistrat der Stadt Wels, zu entnehmen.
Die Teilnahme an der Befragung war durch die persönliche Abgabe des Papierfragebogens ua im Rathaus oder online unter www.wels.at/befragung möglich. Die Autorisierung zur Teilnahme an der Online-Befragung erfolgte durch einen, auf dem Papierfragebogen aufgedruckten Zugangsschlüssel. Dem Informationsfolder war zu entnehmen, dass der aufgedruckte Zugangsschlüssel zufällig vergeben worden sei und keine Rückschlüsse auf die Person zulassen würde. Insbesondere könne keinerlei Zusammenhang mit dem Namen und der Adresse der an der Befragung teilnehmenden Person hergestellt werden.
Von verschiedenen Seiten wurde im Vorfeld immer wieder auch darauf hingewiesen, dass im Statut der Stadt Wels für die Durchführung der Bürgerumfrage keine entsprechende gesetzliche Grundlage vorliegen würde.
Zulässigkeit der Datenverwendung
Verschiedene Dateneigenschaften und eigene Recherchen weisen darauf hin, dass die, für die Aussendung der Befragungsunterlagen verwendeten Daten mit hoher Wahrscheinlichkeit aus einem Melderegister stammen. Die mutmaßliche Verwendung von Meldedaten zur Durchführung einer Bürgerumfrage bedeutet aber aus der Sicht der Datenschutzbehörde (vormals Datenschutzkommission) unter gewissen Voraussetzungen eine Verletzung des Grundrechts auf Datenschutz.
Die Datenschutzbehörde stellte nämlich in einem ähnlich gelagerten Fall in Graz fest, dass die Verwendung von personenbezogenen Daten, wie Vor-, Familienname, Geburtsdatum und Anschrift aus dem lokalen Melderegister für Zwecke der Durchführung einer im Rahmen der Privatwirtschaftsverwaltung durchgeführten Meinungs- bzw Bürgerumfrage das Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten verletzt (GZ K121.879/0014-DSK/2012). Die Datenschutzbehörde begründet in den rechtlichen Schlußfolgerungen ausführlich, dass es sich bei der Durchführung einer Bürgerumfrage, die sich auf keine gesetzliche Grundlage stützt, nur um einen Akt der Privatwirtschaftsverwaltung und nicht um eine, dem Magistrat oder sonstigen Organ der Stadt gesetzlich übertragene Aufgabe handeln könne.
Die Verwendung von Meldedaten für die Durchführung einer privatwirtschaftlichen Meinungsumfrage zu politischen Themen ist somit nach Auffassung der Datenschutzbehörde nicht datenschutzkonform.
Auch für den Fall, dass die Daten nicht wie angenommen aus dem Melderegister sondern aus einer anderen Datenanwendung des Magistrats der Stadt Wels stammen, ist aufgrund der oben angeführten Entscheidung mit hoher Wahrscheinlichkeit davon auszugehen, dass für einen anderen Zweck ermittelte Daten nicht datenschutzkonform zur Durchführung einer Bürgerumfrage verwendet werden dürfen.
Anonymität bei der Online Umfrage
Auch die alternativ angebotene Möglichkeit zur Teilnahme an der Bürgerumfrage durch Ausfüllen eines Online-Fragebogens ist in Hinblick auf die versprochene Anonymität kritisch zu beurteilen.
Aus technischer Sicht garantiert der verwendete Zugangsschlüssel nämlich keine hundertprozentige Anonymität. Selbst wenn gewährleistet wäre, dass kein personenbezogener Rückschluss zwischen den Namens- und Adressdaten der Aussendung und dem Zugangsschlüssel gezogen werden kann, ist es technisch durchaus möglich, unter bestimmten Umständen einen personenbezogenen Zusammenhang zwischen dem verwendeten Zugangsschlüssel und den Antworten bei der Online-Befragung herzustellen.
Handelt es sich aber bei den ermittelten Daten aber nicht um indirekt personenbezogene („anonyme“) Daten, dann gilt wiederum das Datenschutzgesetz. Die Zulässigkeit der Datenverwendung ist somit zu prüfen. Im konkreten Fall sogar unter dem Gesichtspunkt der besonders schutzwürdigen Geheimhaltungsinteressen bei der Verwendung sensibler Daten. Sensible Daten sind Informationen die ua Auskunft zur politischen Meinung der Person geben.
Somit wäre auch hier zu prüfen, ob Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind. Das ist im konkreten Fall bei Organen der Satdt Wels anzunehmen. Im nächsten Schritt wäre zu klären, ob die besonders schutzwürdigen Geheimhaltungsinteressen der Betroffenen durch die Online Befragung verletzt werden bzw der damit verbundene Eingriff in das Grundrecht auf Geheimhaltung personenbezogener Daten mit dem gelindesten Mittel erfolgt.
Hier könnten Probleme für die Zulässigkeit der Datenanwendung auftreten, da meinen Beobachtungen zufolge bei der Teilnahme an der Online Befragung keine ausdrückliche und informierte Einholung der Betroffenen zur Verwendung der Daten eingeholt wurde. Wobei auch bei einer erfolgten Zustimmung ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirken würde. Dieses Widerufsrecht könnte aber durch den Betroffenen nur durch erforderliche Aufhebung der Anonymität wahrgenommen werden.
In diesem Zusammenhang ist zudem anzumerken, dass Datenanwendungen mit sensiblen Daten nicht nur der Meldepflicht unterliegen, sondern auch erst nach Prüfung durch die Datenschutzbehörde in Betrieb genommen werden dürfen.
Bürgerumfrage datenschutzkonform?
Wie man sieht, der Teufel steckt wie immer im Detail.
Folgt man der Entscheidung der Datenschutzbehörde im oben angeführten Fall, dann ist die Verwendung von Meldedaten für die Durchführung einer Bürgerumfrage nicht datenschutzkonform.
In Hinblick auf die Anonymität der Online Befragung ist kritisch zu hinterfragen, ob der Auftraggeber oder Dienstleister die Identität des Betroffenen mit rechtlich zulässigen Mitteln bestimmen kann. Ist das der Fall, dann wäre die Zulässigkeit der Datenanwendung zu prüfen und gegebenenfalls die Datenanwendung bei der Datenschutzbehörde zu melden und erst nach einer Vorabkontrolle in Betrieb zu nehmen gewesen.
Endgültige Klarheit hinsichtlich der Datenschutzkonformität der durchgeführten Bürgerumfrage brächte wohl nur eine Beschwerde an die Datenschutzbehörde.
—