Die meisten offiziellen Instrumente direkter Demokratie in Thüringen sind derzeit daran geknüpft, personenbezogene Daten zu sammeln. Sowohl beim Bürgerantrag als auch beim Bürgerbegehren, dass in einem Bürgerentscheid münden kann, müssen die Unterschriften zur Unterstützung gesammelt werden und damit nachprüfbar ist, dass hinter diesen Unterschriften auch reale Menschen stehen, müssen Daten wie die Adresse erfasst werden. Dazu arbeiten viele Bürgerinitiativen mit Newslettern und Mailinglisten um Unterstützer auf dem aktuellen Stand zu halten und Arbeiten zu koordinieren.
Die Arbeit, um diese Instrumente direkter Demokratie zu nutzen, war auch bisher schon nicht einfach, denn Unterschriften sammeln ist keine leichte Aufgabe. Durch die DSGVO sind nun nochmal sehr viele neue Pflichten dazu gekommen, mit denen die Arbeit nochmal schwerer wird. Eine Bürgerinitiative als weitgehend freies Bündnis scheint dabei derzeit von der neuen Datenschutzgrundverordnung nicht direkt erfasst zu werden und daher ist es nicht ganz einfach zu sagen, welche Pflichten genau für die Organisatoren einzuhalten sind. Ich habe daher beim Thüringer Beauftragen für den Datenschutz nachgefragt, welche Regelungen gelten und was zukünftig zu beachten ist.
Mein Schreiben im Original
Sehr geehrter Herr Hasse,
in Thüringen gibt es viele offizielle und inoffizielle Instrumente direkter Demokratie und eine ganze Zahl an Bürgerinitiativen und Bürgerbündnissen kämpft im Freistaat für unterschiedliche Belange. Gibt es bereits Handreichungen, wie solche Formen der direkten Demokratie zukünftig datenschutzkonform zu organisieren sind?
Falls nicht, würde ich mich freuen, wenn Sie mir die folgenden Fragen beantworten können:
- Fallen Bürgerinitiativen o.ä. unter die Regelungen des DSGVO und falls ja, wie werden diese dort rechtlich eingestuft (Privatperson oder Verein)?
- Wie sind Unterschriftensammlungen zukünftig zu gestalten, wenn die Daten absehbar auch automatisiert beispielsweise in den Ratsinformationssystemen verarbeitet werden sollen?
- Muss bei Unterschriftensammlungen die Einwilligung jedes Unterschreibenden explizit eingeholt werden oder gibt es andere Regelungen auf welche die Speicherung dieser Daten gestützt werden kann?
- Wie kann die Übergabe von gesammelten Unterschriften und Daten an eine dritte Stelle (Gemeinde) datenschutzkonform geregelt werden.
- Ist für diese Übergabe eventuell ein Auftragsdatenverarbeitungsvertrag notwendig?
- Benötigen Bürgerinitiativen zukünftig einen Datenschutzbeauftragten und muss dieser gemeldet werden?
- Ist bei Bürgerinitiativen ein Verfahrensverzeichnis zu führen und falls ja, wie sollte dieses gestaltet sein?
- Ist die politische Meinung, die über Instrumente der direkten Demokratie abgefragt wird, als besonders sensibles Datum einzustufen und ist daher eine Datenschutz-Folgeabschätzung durchzuführen?
Vielen Dank für ihre Bemühungen,
Bastian Ebert
Sobald die Anworten eingetroffen sind, werde ich sie hier mit veröffentlichen.
Update: Jens Kubiziel hat mir seine Hinweise zum Umgang von BI u.ä. im Hinblick auf die DSGVO geschickt und da die Kommentare derzeit geschlossen sind, veröffentliche ich sie hier direkt als Update im Artikel:
Ich versuche mal, meine Sicht der Dinge hier niederzuschreiben und bin gespannt, wie das TLfDI antworten wird.
Soweit ich sehe, greift keine der Ausnahmen in Art. 2 Abs. 2 DS-GVO. Damit „fielen BI unter die Regelungen“.
In erster Näherung müssen die Bürgerinnen und Bürger über die Datenverarbeitung informiert werden. Das heißt, bei Abgabe der Unterschrift sollten diese eine Information, ähnlich zu den Datenschutzerklärungen auf Webseiten, erhalten. Details stehen in Art. 13 DS-GVO.
Je nach der Basis der Unterschriftensammlung wird das vermutlich unterschiedlich sein. Wenn ich das richtig sehe, dürfte man sich in vielen Fällen auf das ThürBVVG und damit eine rechtliche Verpflichtung im Sinne der DS-GVO berufen können.
Aus meiner Sicht ist kein AV-Vertrag nötig, da die Behörde die Daten ja nicht im Auftrag der BI verarbeitet, sondern eher auf Grund einer
gesetzlichen Verpflichtung. Auch wird die BI kaum der Behörde Anweisungen bzgl. der Verarbeitung geben können.
Ob BIs einen DSB oder ein VV brauchen, wird vom Einzelfall abhängen.
Ich glaube nicht, dass in den meisten Fällen eine DSFA notwendig wird. Denn aus meiner Sicht ist eine Unterschriftsliste keine „umfangreiche Verarbeitung“.
Wie schon geschrieben, bin ich sehr gespannt, wie die offizielle Meinung dazu aussehen wird. 😉