In Hessen stehen Kommunalwahlen an. In diesen Tagen stellen die Kommunen daher die Listen mit den Wahlvorschlägen der Kandidatinnen und Kandidaten auf und veröffentlichen diese gemäß den gesetzlichen Vorgaben in der Presse sowie in amtlichen Bekanntmachungen.
So weit, so routiniert. Und doch kann genau hier ein gravierender Datenschutzfehler entstehen.
Was ist passiert?
Bei einem unserer Kunden wurden im Rahmen der Veröffentlichung die Daten der Kandidatinnen inklusive vollständiger Wohnanschriften veröffentlicht. Eine betroffene Kandidatin beschwerte sich daraufhin bei der Gemeindeverwaltung – völlig zu Recht.
Denn die hessische Kommunalwahlordnung schreibt eindeutig vor, dass Adressdaten von Kandidatinnen und Kandidaten nicht veröffentlicht werden dürfen.
Ein klarer Datenschutzverstoß
Nach der Datenschutz-Grundverordnung ist die Veröffentlichung von Wohnanschriften ein vollwertiger Datenschutzverstoß. Entscheidend ist dabei nicht nur, dass personenbezogene Daten unzulässig veröffentlicht wurden, sondern auch die Frage:
Besteht dadurch ein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen?
Die DSGVO ist hier klar. Jede Verletzung des Schutzes personenbezogener Daten, aus der eine Gefahr für die Rechte und Freiheiten natürlicher Personen entstehen kann, ist meldepflichtig.
Und dieses Risiko lässt sich in diesem Fall nicht ausschließen. Kommunalpolitikerinnen und Kommunalpolitiker sind nicht selten Anfeindungen oder sogar Bedrohungen ausgesetzt. Selbst vermeintlich harmlose „Scherze“ wie Bestellungen unter falschem Namen können bereits eine erhebliche Belastung darstellen. Insgesamt kann man hier also ganz sicher von einer potenziellen Gefährdung der persönlichen Rechte und Freiheiten sprechen.
Wie konnte es dazu kommen?
Die Software, die in vielen (wahrscheinlich sogar allen) hessischen Kommunen eingesetzt wird, bietet grundsätzlich eine Option, mit der die Veröffentlichung von Adressdaten über eine Checkbox unterbunden werden kann.
Das Problem:
Diese Checkbox ist nicht standardmäßig aktiviert. Zudem erscheint kein Hinweis, wenn sie deaktiviert bleibt.
Natürlich sollte jede Sachbearbeiterin und jeder Sachbearbeiter die einschlägigen gesetzlichen Vorgaben kennen. Aber seien wir ehrlich: Man verlässt sich im Alltag auch darauf, dass Fachsoftware rechtssicher voreingestellt ist. Genauso, wie wir uns bei Buchhaltungssoftware darauf verlassen, dass steuerliche Grundregeln korrekt umgesetzt sind.
Datenschutz durch Technikgestaltung? Fraglich.
Genau hier wird es aus DSGVO-Sicht spannend. Die Verordnung fordert ausdrücklich „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“. Software muss von Haus aus so konzipiert sein, dass sie den bestmöglichen Datenschutz gewährleistet.
Ob diese Anforderungen hier erfüllt sind, darf zumindest kritisch hinterfragt werden.
Unser Vorgehen
Wir haben den Vorfall bei der zuständigen Datenschutzaufsichtsbehörde in Wiesbaden gemeldet. Gleichzeitig haben wir darum gebeten, das Verhalten der Software, die über den kommunalen IT-Dienstleister zentral bereitgestellt wird, genauer zu prüfen und gegebenenfalls Verbesserungen beim Hersteller anzustoßen.
Das eigentliche Problem: Die Veröffentlichung wirkt nach
Im konkreten Fall war der Schaden allerdings bereits eingetreten. Die Veröffentlichung war erfolgt. Auf der Internetseite der Gemeinde konnten die Angaben korrigiert werden, in der Presse jedoch nicht mehr.
Besonders problematisch ist zudem die Indexierung durch Suchmaschinen wie Google. Zwar werden Suchindizes regelmäßig aktualisiert, es kann jedoch Wochen oder Monate dauern, bis entsprechende Inhalte verschwinden. Ob sie jemals vollständig aus Webarchiven entfernt werden, ist ungewiss.
Für die betroffene Bewerberin ist das kein theoretisches Risiko, sondern ein reales und ernstzunehmendes Problem.
Was du jetzt tun solltest
Auch wenn bei euch die Wahlvorschläge bereits veröffentlicht sind:
Schau unbedingt noch einmal genau hin.
- Wurden Adressdaten veröffentlicht? Prüfe, ob Wohnanschriften von Kandidatinnen oder Kandidaten enthalten sind.
- Entspricht die Veröffentlichung der landesrechtlichen Wahlgesetzgebung? Vergleiche Inhalt und Umfang der Veröffentlichung mit den Vorgaben des jeweiligen Landesrechts.
- Sind die Einstellungen in der eingesetzten Software korrekt gesetzt? Kontrolliere insbesondere datenschutzrelevante Voreinstellungen und Optionen.
Bei einer kurzen stichprobenartigen Recherche habe ich festgestellt, dass die Veröffentlichung von Adressdaten kein Einzelfall ist. Das fehlende Häkchen in der Software ist vermutlich auch anderen Sachbearbeiterinnen und Sachbearbeitern durchgerutscht.
Wenn das bei euch der Fall ist, melde dich gerne. Dann schauen wir gemeinsam, wie mit dem Vorfall umzugehen ist und ob in eurem konkreten Fall ebenfalls eine Meldung an die Datenschutzaufsichtsbehörde erforderlich ist.
Und wenn du nicht aus Hessen kommst:
Ein Blick in eure jeweilige Wahlgesetzgebung und auf die Arbeitsweise eurer Fachsoftware lohnt sich trotzdem.
Wie immer freue ich mich auf Feedback und auf die Diskussion.
Noch Fragen? Einfach melden!
Du möchtest ein Feedback, ob Deine Wahlveröffentlichungen datenschutzrechtlich sauber sind oder bist Dir nicht sicher, wie du das datenschutzkonform umsetzen kannst?
Wir unterstützen dich gerne mit praxisnaher Beratung und konkreten Handlungsempfehlungen.
Schreib uns direkt – per E-Mail oder unkompliziert über WhatsApp Business!
