Die Nutzung personenbezogener Daten in politischen Kampagnen Steigerung der Wirksamkeit und Schließen der Lücken
Die Bedeutung der Pflege der Datenhygiene und Beachtung der Bestimmungen bei politischen Kampagnen hat viele Aspekte. Vom Blickpunkt der demokratischen Institutionen betrachtet, ist sie, wie zuvor erörtert, eine Voraussetzung für gesunde Wahlprozesse. In einem Zeitalter der allgegenwärtigen Verbindung und des sofortigen wahllosen Austauschs von Daten können Ideen und Überzeugungen von Online- Filtern geformt werden und wird der öffentliche Raum zwangsläufig mit neuen Informations- und Kommunikationstechnologien überschwemmt. Deren fehlerhafte Funktion, die auf echte Fehler oder ein strukturell mangelhaftes System zurückzuführen sein kann, könnte die Fähigkeit von Personen, einen Konsens und Mittelweg auf eine friedliche und ausgewogene Weise zu finden, kompromittieren, wie kürzlich durch die Einmischung in Wahlprozesse in unterschiedlichen Teilen der Welt offensichtlich wurde. Vom Standpunkt der Datenverantwortlichen und, in diesem spezifischen Fall, der politischen Parteien und Politiker gesehen, stellt die präzise Beachtung der Regeln nicht nur eine gesetzliche Verpflichtung dar, sondern sollte sich als grundlegende Anforderung an die Darstellung der eigenen Person bzw. Partei gegenüber der Gesellschaft als ethische Person bzw. Partei erweisen, die Aufmerksamkeit, Vertrauen und damit die Stimme der Wähler verdient. Das trifft noch stärker zu, wenn man die jüngsten Fälle berücksichtigt, bei denen Datenverarbeitungstechniken auf politische Kampagnen angewandt wurden, zum Beispiel im Fall von CA und des Einsatzes von WhatsApp bei den Wahlen in Brasilien, und die das Problem in den Vordergrund und die Aufmerksamkeit der Wählerschaft auf dasselbe gelenkt haben. Die Nichtachtung der Privatsphäre von Menschen sowie ihres Rechts auf Datenschutz und Selbstbestimmung im Hinblick auf Informationen sollte sich für das Marketingimage und das öffentliche Image zunehmend als unentschuldbar herausstellen, insbesondere da sich eine zunehmende Anzahl von Menschen dieser Probleme bewusst wird. Kandidaten und politische Parteien sollten in Bezug auf die Verarbeitung von Daten für ihre Kampagnen bei Wahlprozessen Sorgfalt walten lassen und nach den besten aktuellen Praktiken suchen – nicht nur in ihrem eigenen Interesse, sondern auch im Interesse von betroffenen Personen und der Gesellschaft in ihrer Gesamtheit. Aufgrund der Natur dieser Prozesse wird es sich bei vielen der von ihnen behandelten personenbezogenen Daten, die entweder von ihnen direkt gesammelt oder mittels Analyse- und Profiling-Techniken erschlossen werden, um sensible Daten handeln – eine besondere Kategorie von Daten, die besonderen Schutz verdienen. Es ist nicht nur wichtig, die Beachtung von Rechten und Grundsätzen im Interesse der betroffenen Personen unter Beachtung des Rechtsstaatsprinzips zu garantieren, sondern es ist auch wesentlich, insbesondere in Bezug auf politische Kampagnen, bei denen das öffentliche Image einen zentralen Bestandteil darstellt, demonstrieren zu können, dass Privatsphäre und Datenschutz auf eine ethisch und rechtlich absolut einwandfreie Weise beachtet werden. Die Zunahme der Datenverstöße erreichte 2019 ihren Höhepunkt mit 5.183 Datenverstößen und 7,9 Milliarden offengelegten Datensätzen in den ersten neun Monaten des Jahres. Das bedeutet eine 33,3-prozentige Steigerung im Vergleich zu 2018. Falls dies eine Andeutung auf zukünftige Trends darstellt, sollte die Datensicherheit eines der Hauptbedenken bei allen Aktivitäten zur Verarbeitung personenbezogener Daten sein. Strafgelder für Datenverstöße können Dutzende Millionen US-Dollar ausmachen sowie die Aussetzung oder den Ausschluss von Vermögenswerten einschließen. Zur Verhinderung solcher Verluste muss der Verantwortliche die neuesten Sicherheitsstandards anwenden. Wichtige Schritte umfassen zum Beispiel die ordnungsgemäße Schulung aller an der Verarbeitung beteiligten Personen sowie die Verringerung der Anzahl von Personen mit Zugang zu personenbezogenen Daten. Eine aus mehreren Faktoren bestehende Zugangsberechtigung ist ebenfalls eine grundlegende Anforderung, da sie in der Lage ist, die Verwundbarkeit des Systems drastisch zu reduzieren. Weitere Schritte in Richtung auf eine gesteigerte Sicherheit sind die Verringerung der Anzahl von Geräten, auf denen die Daten gespeichert sind, und die Reduzierung der Datenübertragung zwischen Geräten. Verantwortliche können und sollten diese Schritte einleiten, vorzugsweise durch einen Chief Information Security Officer (CISO), bei dem es sich nicht um dieselbe Person wie den Datenschutzbeauftragten handeln sollte. Letzterer spielt eine führende Rolle bei der Gewährleistung, dass dieses gesamte System funktioniert. Er ist dafür verantwortlich, die Beachtung der Datenschutzgesetzgebung zu verfolgen. Das bedeutet, Informationen über die Stellen zu sammeln, an denen Daten verarbeitet werden, und sicherzustellen, dass dabei alle gesetzlichen Anforderungen erfüllt werden. Es bedeutet weiterhin, den Verantwortlichen auf der Grundlage der eigenen Beobachtungen in Bezug auf die Verbesserung der Compliance zu beraten, die Mitarbeiter im Hinblick auf Sicherheitsmaßnahmen und gute Praktiken zu schulen sowie als Verbindungsglied zwischen der Organisation, der Behörde und den betroffenen Personen zu fungieren. Außerdem sollte der Datenschutzbeauftragte unabhängig sein, was schwierig sein kann, wenn er intern angestellt ist. Beste Praxis besagt, dass der Datenschutzbeauftragte nicht dem Verantwortlichen unterstellt, sondern stattdessen direkt der höchsten Ebene der Entscheidungsfindung in der Leitungsstruktur gegenüber verantwortlich sein sollte. Zur Garantie seiner Unabhängigkeit sollte er weiterhin über die notwendigen Ressourcen (Mitarbeiter, Geräte und Finanzmittel) verfügen, um seine Pflichten ausüben zu können. Abschließend sollte er nicht in eine Position gebracht werden, in der ein Interessenkonflikt besteht, zum Beispiel indem er in IT- oder Personalabteilungen an den Datenverarbeitungsaktivitäten arbeitet oder gearbeitet hat, was hieße, dass er zur Selbstaufsicht gezwungen wäre.
Diese Probleme können durch die Anstellung eines externen Datenschutzbeauftragten vermieden werden. Selbst dann ist es jedoch wichtig, dass der Datenschutzbeauftragte den notwendigen Zugang und die notwendigen Ressourcen sowie die erforderlichen technischen Kenntnisse hat. Alle diese Punkte sind Bausteine einer Datenverarbeitungs- und -sicherheitsstrategie, die mit einer einfachen Bewertung des Datenflusses durch die Betriebsabläufe und der aktuellen diesbezüglichen Risiken beginnt. Zur Gewährleistung der Beachtung der DSGVO und folglich des LGPD (da beide sehr ähnliche Datenschutzgrade aufweisen), sollten sich politische Parteien und Kandidaten mit den aktuellen besten Managementpraktiken und -werkzeugen in Bezug auf Datenflüsse auskennen. Ein Verantwortlicher sollte in der Lage sein, die Flüsse personenbezogener Daten in seiner Kampagne aus der Vogelperspektive zu betrachten, vorzugsweise mithilfe einer Compliance-Tafel, die von allen beteiligten Verantwortlichen und Auftragsverarbeitern zu verwenden ist. Dieses zentralisierte Datenverwaltungssystem sollte außerdem die Kontaktangaben aufweisen und den Datenschutzbeauftragten in der Kampagnenstruktur sowie eine vollständige Zuordnung und Steuerung der verarbeiteten und übertragenen Daten und ihren zugehörigen rechtmäßigen Zweck zeigen. Weiterhin sind die Mitteilungspflichten des Verantwortlichen nach DSGVO und LGPD zu bedenken, einschließlich der (i) Identität und Kontaktangaben des Verantwortlichen und Datenschutzbeauftragten; (ii) der Identifizierung oder Kategorisierung der Empfänger der Daten; (iii) der Zielsetzungen der Verarbeitung sowie ihrer Rechtsgrundlage; (iv) der Dauer der Verarbeitung (v) sowie der Rechte der betroffenen Personen – insbesondere gegebenenfalls der Berichtigung und des Widerrufs der Einwilligung usw. Zusätzlich sollten Verantwortliche in der Lage sein, die Anträge betroffener Personen auf Zugang zu ihren Daten zeitgerecht zu bearbeiten. Diese Anträge stellen Fälle dar, in denen betroffene Personen Zugang zu ihren Daten, die Berichtigung derselben und manchmal auch deren Löschung verlangen könnten. Der Verantwortliche sollte außerdem Maßnahmen zur Pflege von „Brotkrumen zur digitalen Einwilligung“ einleiten, d. h. ein Verzeichnis der Zeitachse der Einwilligung oder bestimmter Einwilligungen für die Verarbeitung, die eine betroffene Person gegeben bzw. widerrufen hat. Abschließend sollten Genehmigung und Zugangskontrolle granular sein, was bedeutet, dass nur die unverzichtbaren Bearbeiter innerhalb der Kampagnenstruktur Zugang zu den entsprechenden Datengruppen haben sollten. Alle diese Aspekte der Beziehung zwischen dem Auftragsverarbeiter und der betroffenen Person sollten durch einfach zu verwendende Schnittstellen wie beispielsweise Apps und Formulare umgesetzt werden, sodass die betroffene Person ihre Rechte umfassend verstehen kann und der Verantwortliche in der Lage ist, Compliance nachzuweisen. All dies könnte sich nach erheblicher Arbeit anhören, und diese Einschätzung ist richtig. Glücklicherweise gibt es abgesehen von fähigen Fachleuten, die Unternehmen beim Aufbau von Compliance unterstützen können, zurzeit Werkzeuge zur Selbstbewertung bezüglich der DSGVO-Compliance, die sich leicht auf die Anforderungen des LGPD anpassen lassen sollten. Das britische Information Commissioner’s Office (ICO, die britische Datenschutzbehörde) bietet zum Beispiel zahlreiche spezifische Ressourcen einschließlich Compliance-Checklisten für Verantwortliche, Auftragsverarbeiter, Informationssicherheits-, Direktmarketing-, kleine und mittelständische Unternehmen usw. an. Ein weiteres unbezahlbares Werkzeug ist der Privacy Notice Code des ICO, der im Einzelnen behandelt, wie die auf Webseiten und in Apps anzutreffende Datenschutzerklärung (Privacy Notice), eines der am häufigsten für die Kommunikation zwischen dem Verantwortlichen und der betroffenen Person verwendeten Werkzeuge, zur Gewährleistung von Compliance strukturiert sein sollte. Ein kurzer Überblick über diese Werkzeuge zeigt, dass der wesentliche Punkt eines wirksamen Compliance-Programms für die Verarbeitung personenbezogener Daten darin besteht, die an einem Betriebsablauf beteiligten Prozesse zu kennen: das Was, Wo, Wann und Wie der Sammlung und Verarbeitung personenbezogener Daten. Dies sollte bei politischen Kampagnen nicht anders sein: Ein praktischer Ansatz ist notwendig, an dem Marketingfachleute, Designer, Rechtsexperten, Programmierer und ehrenamtliche Helfer beteiligt sind und daran arbeiten, wie betroffene Personen am besten gegen mögliche Verletzungen ihrer Rechte auf Privatsphäre und Datenschutz geschützt werden können. Diese Studie hat durch das Hervorheben spezifischer rechtlicher Leitfäden und konkreter Situationen gezeigt, dass Datenschutzbestimmungen vollständig auf politische Kampagnen anwendbar sind und die Fähigkeit haben, die Verringerung der instrumentalen Verwendung personenbezogener Daten zu unterstützen, während sie gleichzeitig die Auswirkungen des Einsatzes von Falschinformation und computergestützter Propaganda zum Zweck der politischen Manipulation vermeiden. Pragmatischer betrachtet sollten politische Kampagnen zumindest die folgenden Empfehlungen auf der Basis der Grundsätze und wichtigsten Leitfäden allgemeiner Datenschutzbestimmungen beachten, wobei stets der Blickwinkel von Gesetzmäßigkeit, Fairness, Transparenz und Verantwortlichkeit zu wahren ist:
Stellen Sie die relevanten Akteure fest: Welche Personen sind Verantwortliche und Auftragsverarbeiter und wer ist der Datenschutzbeauftragte (falls vorhanden)?
› Art. 5 LGPD; Art. 4 DSGVO. › Beispiel: Der Kandidat hat in einer bestimmten politischen Kampagne ein Marketingunternehmen zum Management seines öffentlichen Images angestellt. Alle Entscheidungen bezüglich der Sammlung und Verarbeitung von Daten werden vom Marketingdirektor getroffen. Der Direktor kann als Datenverantwortlicher charakterisiert werden, da er über die Zwecke der Verarbeitung entscheiden kann. Der Kandidat wäre ebenfalls ein Verantwortlicher, da er der Entscheidungsträger in letzter Instanz ist. Stellen Sie fest, wie die Daten gesammelt und verarbeitet werden, d. h. welchen Lebenszyklus die Daten im Organisationsfluss der Kampagne haben. › Maßnahme: Stellen Sie alle Datensammlungs- und -verarbeitungspunkte fest.
Stellen Sie fest, wie viel Zeit vergeht, bis ein einzelner Datenpunkt eliminiert wird. Identifizieren Sie die zur Datenspeicherung verwendeten Geräte bzw. Dienste. Identifizieren Sie, welche Drittparteien Zugang zu den Daten haben.
Stellen Sie fest, welche Daten auf welcher Rechtsgrundlage gesammelt und verarbeitet werden. Legen Sie sensible Daten fest und achten Sie besonders auf deren Rechtsgrundlagen.
› Art. 5, I, II; Art. 7, Art. 11 LGPD; Art. 4, Art. 9 DSGVO. › Maßnahme: Falls es Datenpunkte gibt, für die keine Rechtsgrundlage bestimmt werden kann, sollten diese eliminiert werden, da sie eine Bürde darstellen. Hierbei handelt es sich um grundlegende „Datenhygiene“.
Denken Sie daran, dass Datenminimierung eine gute allgemeine Regel (und ein Grundsatz) ist. Falls keine Notwendigkeit besteht, einen bestimmten Aspekt personenbezogener Daten zu sammeln, sehen Sie von seiner Erfassung ab. Wenn der Zweck der Sammlung erfüllt worden ist, löschen Sie die Daten.
› Art. 15, Art. 16 LGDP; Art. 5, Art. 25 DSGVO. › Maßnahme: Falls keine Notwendigkeit besteht, einen bestimmten Aspekt personenbezogener Daten zu sammeln, sehen Sie von seiner Sammlung ab. Wenn der Zweck der Sammlung erfüllt worden ist, löschen Sie die Daten. › Beispiel: Der Kandidat sammelt Daten von betroffenen Personen, um ihnen eine digitale Kopie des Regierungsplans zu schicken. Falls die Einwilligung strikt zur Verbreitung des besagten Materials gegeben wird:
1. braucht der Kandidat keine weiteren Daten als den Namen und die E-Mail-Adresse der betroffenen Person zu sammeln und sollte die Sammlung auf diese Angaben beschränken;
2. sollte der Kandidat die Daten nach dem Versand des Materials löschen, sofern keine angemessene anderweitige Erwartung auf sonstigen Rechtsgrundlagen bzw. mittels einer neuen spezifischen Einwilligung besteht.
Lassen Sie die gesamte Dokumentation zu Rechtsgrundlagen archivieren.
› Beispiel: Der Kandidat hat Daten gesammelt und verarbeitet, um eine Aufzeichnung einzelner Kampagnenspenden nach dem brasilianischen Wahlgesetz zu führen. Der Kandidat sollte eine Aufzeichnung solcher Betriebsabläufe mit Verweis auf die relevanten Gesetze und Rechtsgrundlagen führen, um auf eine mögliche Prüfung vorbereitet zu sein.
Erneuern Sie die bestehende Einwilligung in Übereinstimmung mit den aktuellsten Datenschutzbestimmungen.
› Maßnahme: Falls ein neuer Text für die Datenschutzerklärung vorliegt oder Daten betroffener Personen vor Einführung der DSGVO bzw. des LGPD gesammelt wurden, holen Sie eine neue Einwilligung ein oder benachrichtigen Sie die betroffenen Personen über die neue Datenschutzerklärung und Rechtsgrundlage. › Beispiel: Der Kandidat hat bereits eine Kontaktliste im Rahmen von öffentlichen Veranstaltungen und mithilfe eines Webseitenabonnementformulars vor Einführung der DSGVO bzw. des LGPD gesammelt. Er sollte allen Empfängern eine Bitte um Bestätigung ihrer Einwilligung zum Erhalt von politischer Kommunikation schicken. Die Mitteilung könnte zum Beispiel wie folgt lauten: „Wir aktualisieren unsere Datenschutzpraktiken im Einklang mit den jüngsten Datenschutzbestimmungen. Falls Sie unseren Inhalt weiterhin erhalten möchten, klicken Sie bitte auf die folgende Schaltfläche/erneuern Sie Ihr Abonnement bitte auf/[Fügen Sie eine Form der Bestätigung hinzu].“
Geben Sie Informationen an: Denken Sie an die verschiedenen Informationspflichten, die ein Verantwortlicher gegenüber der betroffenen Person hat. Die betroffene Person sollte in der Lage sein festzustellen, welche personenbezogenen Daten gesammelt werden, zu welchem Zweck, über welchen Zeitraum, wer Zugang zu ihnen hat, welcher Prozess zur Beantragung von Zugang zu den Daten verwendet wird, sowie zu ihrer Berichtigung, zur Beantragung ihrer Löschung oder ihrer Übertragung an einen anderen Verantwortlichen usw.
› Art. 9, Art. 18 LGPD; Art. 13, Art. 14 DSGVO. › Maßnahme: Falls die Einwilligung die Rechtsgrundlage darstellt, sollten alle relevanten Informationen im Rahmen der Einwilligungsabgabe bereitgestellt werden. Bei sonstigen Rechtsgrundlagen sollte die betroffene Person einfachen Zugang zu solchen Informationen mittels Antrag oder öffentlichem Zugang (z. B. auf einer Webseite) haben. Falls Daten durch sonstige Mittel, d. h. nicht direkt von der betroffenen Person, gesammelt werden (z. B. öffentlich verfügbare Daten), hat der Verantwortliche eine Reihe von Informationspflichten (siehe relevante DSGVO-Artikel).
Führen Sie eine Aufzeichnung der Verarbeitungsaktivitäten, insbesondere falls berechtigtes Interesse die Rechtsgrundlage darstellt (Art. 30 DSGVO; Art. 37 LGDP). Halten Sie gegebenenfalls eine DSFA bzw. ein LIA bereit.
› Art. 37 LGPD; Art. 30 DSGVO. › Maßnahme: Führen Sie ein Verzeichnis mit folgendem Mindestinhalt: 1. Zweck der Verarbeitung; 2. Beschreibung der Datenkategorien und betroffenen Personen; 3. externe Datenflüsse; 4. angewendete Sicherheitsmaßnahmen; 5. Namen und Kontaktdaten des Verantwortlichen; 6. vorgesehene Fristen für die Löschung jeder Datenkategorie. › Beispiel: Eine kleine Kampagne für eine lokale Wahl hat einen Organisationsfluss angewendet, um ein Verzeichnis von Datenverarbeitungsaktivitäten zu führen. Alle über betroffene Personen gesammelten Informationen werden in einer Tabelle mit Kategorien entsprechend der Datenquelle aufgezeichnet. Zum Beispiel werden Daten aus Abonnementformularen entsprechend der Vereinbarung zum Zeitpunkt der Einwilligung als einwilligungsbasierte Daten kategorisiert, enthalten den Namen und die E-Mail-Adresse, werden an den Newsletter- Dienst eines Dritten geschickt, auf einem mit Zwei-Faktor-Berechtigung geschützten, restriktierten Cloud Server gespeichert und auf unbestimmte Zeit aufbewahrt.
Teilen Sie den betroffenen Personen mit, wer ihr Datenschutzbeauftragter ist (falls zutreffend), und bieten Sie ihnen einen einfachen Kommunikationskanal für Anträge auf Zugang durch betroffene Personen.
› Art. 18 LGDP; Art. 12 DSGVO. › Beispiel: Eine Kampagne hat auf ihrer Webseite ein Kontaktformular mit direkter Verbindung zum Datenschutzbeauftragten eingerichtet. Es enthält außerdem spezifische Felder für Zugangsanträge von betroffenen Personen, die mit Vorrang bearbeitet werden. Vergewissern Sie sich, dass Sprache und Auslegung Ihrer Plattformen geeignet sind, das bestmögliche Verständnis für betroffene Personen zu gewährleisten. › Maßnahme: Verwenden Sie angemessene Typografie (Größe, Farbe, Kontrast, Schrift usw.), Sprache, Bildsymbole, Illustrationen und sonstige Mittel zur Gewährleistung des optimalen Verständnisses unter Berücksichtigung der spezifischen Fähigkeiten der Leser. › Beispiel: Eine Kampagne hat ein Team aus Rechtsfachleuten, Marketingfachleuten und Webdesignern angestellt, die gemeinsam an der Erstellung eines Datenschutzdokuments arbeiten werden, das nicht nur die geforderte Rechtssprache, sondern auch vereinfachten erklärenden Inhalt enthält, den Nichtjuristen verstehen können. Benachrichtigen Sie Nutzer über ihre Datenschutzrichtlinien und mögliche Aktualisierungen. › Maßnahme: Benachrichtigen Sie Personen über die Verarbeitung ihrer Daten, einschließlich Übertragungen an Dritte, unter Angabe dieser Dritten oder zumindest ihrer Kategorien und des Zeitraums der Verwahrung der Daten. › Maßnahme: Seien Sie möglichst spezifisch, da allgemeine Genehmigungen von keinem der beiden Gesetze anerkannt werden. › Beispiel: Eine Kampagne hat sich entschlossen, Google Analytics auf ihrer Webseite zu verwenden. Außerdem hat sie die Webseite unter Verwendung eines Webseitenbaukastens wie Wix oder Squarespace gebaut. Alle diese Plattformen sammeln Nutzerdaten, was den betroffenen Personen gegenüber erwähnt werden sollte.
Verwalten Sie den Inhalt: Falls die Einwilligung die Rechtsgrundlage darstellt, vergewissern Sie sich, dass sie unter angemessenen Bedingungen erteilt wird. Das erfordert einen multidisziplinären Ansatz von der Rechtsabteilung bis zu IT und Design, um sicherzustellen, dass die Einwilligung freiwillig erteilt wird sowie spezifisch, informiert und unmissverständlich ist.
› Maßnahme: Erbitten Sie ausdrücklich die Genehmigung zur Sammlung von Cookies und sonstigen identifizierenden Informationen (ausgenommen in Fällen, in denen eine andere angemessene Rechtsgrundlage für die Sammlung besteht). › Beispiel: Der Kandidat hat ein Abonnementformular für einen politischen Newsletter auf seiner Kampagnenwebseite und seine Webseite sammelt Cookies. Die Webseite hat ein vormarkiertes Kästchen, das die Einwilligung zum Erhalt des Newsletter anzeigt. Das wird nicht als gültige Einwilligung betrachtet, und das Kästchen sollte nicht vormarkiert sein. Außerdem weist die Webseite eine Cookie-Erklärung auf, die besagt, dass die „Einwilligung bei Verwendung dieser Webseite als gegeben betrachtet wird“. Das wird gleichfalls nicht als gültige Einwilligung betrachtet. Beste Praxis wäre eine informative Haftungsfreistellung, die dem Nutzer gestattet zu wählen, welche Arten von Cookies er zulassen möchte, und die erklärt, welche Cookies für das ordnungsgemäße Funktionieren der Webseite notwendig sind und welche die aktive Einwilligung des Nutzers erfordern, d. h. eine Handlung, die seine Einwilligung widerspiegelt.
Achten Sie besonders auf die Daten von Kindern und Daten einer besonderen Kategorie (sensible Daten), die strengeren Bestimmungen unterliegen.
› Art. 11, Art. 14 LGPD; Art. 8, Art. 9 DSGVO. › Maßnahme: Die Einwilligung sollte spezifisch und hervorgehoben sein und, im Fall von Kindern, von den Eltern oder gesetzlichen Vertretern gegeben werden. (Die DSGVO enthält altersspezifische Regelungen. Siehe den relevanten Artikel.)
Die Rechtsgrundlagen für die Verarbeitung sensibler Daten sind einschränkender (siehe relevante Artikel).
Beachten Sie die Datenübertragbarkeit: Vergewissern Sie sich, dass die Daten in einem Format vorliegen, welches ihre Übertragbarkeit gestattet. Hierbei handelt es sich um ein Recht der betroffenen Person sowohl im LGPD als auch in der DSGVO. Die betroffene Person sollte in der Lage sein, ihre Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“ (Art. 20 DSGVO).
› Art. 18 LGDP; Art. 20 DSGVO.
Definieren Sie die Pflichten des Auftragsverarbeiters: Alle von einem Verantwortlichen beauftragten oder ernannten Auftragsverarbeiter sollten einen Datenverarbeitungsvertrag haben, der ihre Verantwortlichkeiten, die Sicherheitsstandards und sonstige rechtliche Anforderungen festlegt.
› Art. 28 DSGVO. › Maßnahme: Setzen Sie einen Datenverarbeitungsvertrag auf, der die Verantwortlichkeiten und Sicherheitsstandards festlegt.
Stellen Sie sicher, dass Ihre Dienstanbieter Compliance gewährleisten sowie die Daten auf eine sichere Art und Weise verwalten und dass die Daten auf einem Server in einem Land gespeichert werden, das die aktuellsten Datenschutzbestimmungen beachtet.
› Maßnahme: Prüfen Sie, ob die von diesen Dritten gehandhabten Daten in Ländern mit einem äquivalenten Status hinsichtlich des Datenschutzes gespeichert werden. Die EU hat ein System zur Einstufung der Gesetzgebung von Ländern als äquivalent oder nicht äquivalent eingerichtet. › Maßnahme: Vergewissern Sie sich, dass Ihre Rechtsabteilung die Nutzungsbedingungen eines von Ihnen verwendeten Drittdienstes zur Verwaltung personenbezogener Daten sorgfältig studiert und ihre Compliance mit der DSGVO bzw. dem LGPD analysiert. › Beispiel: Die Kampagne entscheidet sich für eine Datensammlung mithilfe von Google Analytics sowie die Lieferung von Werbung mit der Werbeplattform von Facebook, das Senden von E-Mails über Mailchimp und das Management interner Datenflüsse mithilfe einer technischen Lösung aus Indien. Die Kampagne muss sich vergewissern, dass jeder einzelne der obigen Dienstanbieter die Datenschutzgesetze beachtet, da sie Zugang (wenn auch nur vorübergehend) zu den gesammelten und verarbeiteten personenbezogenen Daten haben werden. Im Fall der technischen Lösung aus Indien sollte die Kampagne bei einer Speicherung der Daten auf einem Server in Indien bestätigen, dass die EU Indiens Compliance mit der DSGVO anerkannt hat. (Im Dezember 2019 war das Land dabei, diesen Status anzustreben, hatte ihn jedoch noch nicht erreicht.)
Managen Sie Verletzungen des Schutzes: Ein Prozess zur Feststellung von Verletzungen des Schutzes und zur Benachrichtigung der Aufsichtsbehörde und betroffenen Personen über Verletzungen des Schutzes sollte vorhanden sein.
› Art. 48 LGPD; Art. 33 DSGVO. › Maßnahme: Sicherheitsverstöße müssen der nationalen Aufsichtsbehörde unverzüglich gemeldet werden (nach DSGVO innerhalb von 72 Stunden). Nur das LGPD schreibt die Benachrichtigung der betroffenen Personen vor, während eine solche Benachrichtigung in der DSGVO nur notwendig ist, wenn ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. › Beispiel: Die Kampagne hat eine Sicherheitsabteilung, die dafür zuständig ist, Fehler und Mängel im Design und in den Funktionen aller Datenverarbeitungsaktivitäten zu finden. Sie hat außerdem das gesamte relevante Personal dahingehend geschult, wie es auf eine Verletzung des Schutzes zu reagieren hat, einschließlich den an die Aufsichtsbehörde über entsprechende Kanäle zu meldenden Informationen und der Kommunikation mit der Öffentlichkeit. Managen Sie Sicherheitsrisiken: › Art. 46 LGPD; Art. 32 DSGVO. › Maßnahmen: Minimieren Sie die Übertragung von Daten zwischen Geräten. Verschlüsseln, pseudonymisieren oder anonymisieren Sie die Daten nach Möglichkeit. Richten Sie interne Sicherheitsleitlinien ein, schulen Sie die Teammitglieder zu Sicherheitsfragen, legen Sie vorgeschriebene Passwortsicherheitsrichtlinien fest und betreiben Sie eine aus mehreren Faktoren bestehende Berechtigungsprüfung. Führen Sie eine Risikobewertung der zur Sammlung, Verarbeitung und Speicherung der Daten verwendeten Infrastruktur durch. › Compliance als Prozess: Datenschutz hört nicht auf, wenn ein Verantwortlicher eine DSFA schreibt oder den betroffenen Personen Informationen über die Datenschutzrichtlinien der Organisation bereitstellt. Der Datenschutz sollte fortlaufend überwacht, geprüft, aktualisiert und an die Datenverarbeitungskontexte sowie die jüngsten technologischen Fortschritte angepasst werden. Diese obigen Punkte sind alle ausführbar und an Datenverantwortliche und Verarbeitungsabläufe gerichtet. Ein vollständiges Datenschutzparadigma kann jedoch nur durch die Beteiligung vieler Akteure erreicht werden. Dies bedeutet eine sorgfältige Regulierung und Führung durch nationale Aufsichtsbehörden, insbesondere im Fall von Brasilien, wo das Gesetz viele Punkte dem Ermessen der Datenschutzbehörde überließ, die über Sicherheitsstandards sowie Fälle, in denen eine DSFA notwendig ist, und besondere Bestimmungen für kleine und mittelständische Unternehmen usw. entscheiden wird. Es bedeutet außerdem eine aktive Anstrengung seitens der Judikative zur Abstimmung ihres Verständnisses an die Grundsätze und den Sinn des Gesetzes sowie zur Interpretation schwieriger Fälle und der Erfüllung dieser Grundsätze mit Leben unter Berücksichtigung des Schutzes der betroffenen Personen. Diese Anstrengungen, den Bestimmungen die nötige Substanz zu geben, haben in Europa bereits begonnen, und in Bezug auf politische Kampagnen ist es interessant, die rechtlichen Debatten zu beobachten, die unmittelbar nach dem Inkrafttreten der DSGVO bezüglich des Erwägungsgrunds Nr. 56 zur Verordnung entstanden sind. Der Erwägungsgrund lieferte eine Interpretation bezüglich der Verarbeitung personenbezogener Daten im Zusammenhang mit Wahlen. Dort lautet es wie folgt:
Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden.
Die darauffolgenden legislativen Anstrengungen in einigen Mitgliedstaaten unter Berücksichtigung des Erwägungsgrunds führten zu einer Diskussion über die Grenzen einer Verarbeitung in solchen Fällen. Spanien und Rumänien führten Grundlagen für die Verarbeitung personenbezogener Daten bei Wahlkampagnen in ihre nationale Gesetzgebung ein, die auf der Interpretation des öffentlichen Interesses gegründet sind. In Rumänien bedeutete das eine Ausnahme bezüglich der Einwilligung zur Verarbeitung personenbezogener Daten zu Wahlzwecken. Sie gestattete zum Beispiel der rumänischen Post den Abschluss eines Vertrags mit der Sozialdemokratischen Partei des Landes zur Lieferung von politischem Kampagnenmaterial an ausgewählte Populationen unter Verwendung der Daten der Post über ältere Rentner. Auf ähnliche Weise gestattete ein nationales Gesetz in Spanien politischen Parteien die Sammlung personenbezogener Daten aus öffentlich verfügbaren Quellen, wie beispielsweise sozialen Netzwerken, und ihre Verwendung zum Profiling von Wählern.
Die Bestimmung modifiziert das spanische Wahlgesetz durch die Hinzufügung von Artikel 58 bis, der besagt: Artikel 58 bis. Verwendung von technologischen Werkzeugen und personenbezogenen Daten bei Wahlaktivitäten.
1. Die Sammlung personenbezogener Daten in Bezug auf politische Einstellungen von Personen durch politische Parteien bei ihren Wahlaktivitäten muss durch öffentliches Interesse begründet sein und darf nur durchgeführt werden, wenn angemessene Garantien bestehen.
2. Politische Parteien, Koalitionen und Wahlgruppierungen dürfen personenbezogene Daten, die sie von Webseiten und sonstigen, öffentlich zugänglichen Quellen erhalten haben, zu Wahlkampfaktivitäten während des Wahlzeitraums verwenden.
3. Das Verschicken von Wahlpropaganda mithilfe von elektronischen Mitteln oder Nachrichtensystemen und die Verbreitung von Wahlpropaganda in sozialen Netzwerken oder auf äquivalenten Plattformen mittels Beauftragung Dritter wird nicht als kommerzielle Kommunikationsaktivität betrachtet.
4. Die oben erwähnten Werbeaktivitäten müssen ihre Wahlkampfnatur eindeutig klarstellen.
5. Der Empfänger muss über eine einfache und kostenlose Methode zur Ausübung seines Rechts auf Widerspruch verfügen.
In der Praxis könnten die Bestimmungen des spanischen Gesetzes als nachlässiger in Bezug auf den Schutz personenbezogener Daten interpretiert werden, in diesem Fall die besondere Datenkategorie politischer Einstellungen, die den spezifischen Gegenstand des Erwägungsgrunds darstellen. Erwägungsgrund 56 sollte als Spezifizierung von Artikel 9 der DSGVO interpretiert werden, die unter Punkt (2) g) die Verarbeitung behandelt, die „aus Gründen eines erheblichen öffentlichen Interesses erforderlich“ ist. Daher sollten sowohl die Darlegungen des Erwägungsgrunds als auch, insbesondere, der Artikel bei der Implementierung solcher Bestimmungen im nationalen Gesetz beachtet werden. Erwägungsgrund 56 verlangt, dass die Zusammenstellung solcher Daten zu politischen Einstellungen für „das Funktionieren des demokratischen Systems in einem Mitgliedstaat“ erforderlich und durch „geeignete Garantien“ abgedeckt ist. Artikel 9 (2) g) ist strenger und erwähnt die Notwendigkeit eines „erheblichen“ öffentlichen Interesses sowie eine Verarbeitung, die in angemessenem Verhältnis zu dem verfolgten Ziel steht, „den Wesensgehalt des Rechts auf Datenschutz“ wahrt und „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ vorsieht. Der Fehler des spanischen Gesetzes, der vom Obersten Gericht des Landes in einem Fall im März 2019 erkannt wurde, liegt darin, dass weder „angemessene und spezifische Maßnahmen“ vorgesehen waren noch ein „erhebliches öffentliches Interesse“ festgestellt worden war. In der Praxis ging das Gesetz das Risiko ein, eine willkürliche Verarbeitung sensibler Daten unter direkter Verletzung der DSGVO zu gestatten und die Bürger Praktiken auszusetzen, die den beim Skandal von Cambridge Analytica eingesetzten Praktiken ähnelten. Zu diesem Punkt und angesichts solcher Kontroversen bezüglich der Verwendung sensibler personenbezogener Daten bei Wahlkampagnen veröffentlichte der Europäische Datenschutzausschuss (EDSA) im März 2019 seine „Erklärung Nr. 2/2019 zur Verwendung personenbezogener Daten im Rahmen politischer Kampagnen“.
Die Erklärung liefert fünf konkrete Empfehlungen und Klarstellungen für die Mitgliedstaaten:
I. Personenbezogene Daten, aus denen politische Meinungen hervorgehen, stellen eine besondere Kategorie von Daten nach der Datenschutz-Grundverordnung (DSGVO) dar. Grundsätzlich ist die Verarbeitung solcher Daten verboten und unterliegt einer Reihe eng auszulegender Voraussetzungen, wie der ausdrücklichen, spezifischen, umfassend informierten und freiwillig erteilten Einwilligung der betroffenen Personen;
II. Personenbezogene Daten, die öffentlich gemacht oder von einzelnen Wählern geteilt wurden, auch wenn sie keine Daten darstellen, die politische Meinungen erkennen lassen, unterliegen nach wie vor dem EU-Datenschutzrecht. Beispielsweise kann die Verwendung personenbezogener Daten, die über soziale Medien erhoben werden, nicht durchgeführt werden, ohne dass die Verpflichtungen in Bezug auf Transparenz, Zweckbindung und Rechtmäßigkeit erfüllt werden;
III. Selbst wenn die Verarbeitung rechtmäßig ist, müssen Organisationen ihre anderen Pflichten nach der Datenschutz-Grundverordnung einhalten, einschließlich der Transparenz- und Informationspflichten. Die politischen Parteien und die Kandidaten müssen in der Lage sein, nachzuweisen, wie sie den Grundsätzen des Datenschutzes, insbesondere den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, Rechnung tragen;
IV. Ausschließlich automatisierte Entscheidungen einschließlich des Profilings, bei denen die Entscheidung die betroffene Person rechtlich oder in ähnlicher Weise erheblich beeinträchtigt, sind beschränkt. Der EDSA interpretiert die Beeinflussung der Wahlstimme einer Person als „rechtliche Beeinflussung“ der betroffenen Person;
V. Bei gezielter Ansprache sollten die Wähler angemessene Informationen erhalten, in denen erläutert wird, warum sie eine bestimmte Botschaft erhalten, wer dafür verantwortlich ist und wie sie ihre Rechte als betroffene Personen wahrnehmen können.
Mit diesen Empfehlungen bietet der EDSA den Gesetzgebern der Mitgliedstaaten eindeutige Leitlinien zur Interpretation von Artikel 9 (2) g) und Erwägungsgrund 56 in Bezug auf Wahlprozesse. Das ist wesentlich, da eine unvollständige Anwendung der von der Verordnung verlangten Garantien und Anforderungen zu Situationen führen könnte, die direkt gegen den Sinn des Gesetzes verstoßen, wie es in zuvor erwähnten Fällen geschah. In diesem Zusammenhang ist es interessant, die spanischen und rumänischen Fälle mit den von Italien und Frankreich verfolgten Ansätzen zu vergleichen. In Italien können nach Feststellung der Datenschutzbehörde des Landes im Jahr 2014 im Internet öffentlich verfügbare, personenbezogene Daten nicht zur politischen Kommunikation verwendet werden, mit Ausnahme von ursprünglich zu diesem Zweck veröffentlichten Daten. In Frankreich verlangt eine 2016 vorgenommene Aktualisierung der Empfehlungen zur politischen Kommunikation der französischen nationalen Datenschutzkommission (CNIL) aus dem Jahr 2012 die spezifische Einwilligung zur rechtmäßigen Sammlung und zum Profiling der personenbezogenen Daten von Wählern. Der Verantwortliche sollte immer daran denken, dass die Datenschutzgesetze um die betroffene Person und ihre Rechte herum ausgelegt sind und ein ermächtigendes System für Geschäftspraktiken und Innovationen um Daten schaffen, allerdings innerhalb der Grenzen von Privatsphäre und Datenschutz, bei denen es sich um tief in Persönlichkeitsrechten und menschlicher Würde verwurzelten Garantien handelt. Deshalb sollten Praktiken, wie beispielsweise das Kaufen von Listen von Datenmaklern und das willkürliche Profiling betroffener Personen, die in einem Szenario vor der Einführung von Datenschutzbestimmungen gängig waren und unter anderem zu Wahlzwecken eingesetzt wurden, unter diesem neuen Paradigma vermieden werden. Zusätzlich hat der Schutz personenbezogener Daten wie zuvor erwähnt eine direkte Auswirkung auf die Qualität von Wahlprozessen, da diese Daten eine notwendige Eingabegröße für Psychometrie und andere Techniken darstellen, die bei ihrer Anwendung auf politische Kampagnen eine echte Auswirkung auf Wahlergebnisse haben. In Europa und Brasilien werden sich die Behörden dieses Risikos zunehmend bewusst, was aus den Maßnahmen des EDSA zur Harmonisierung der nationalen Gesetzgebungen und einer ordnungsgemäßen Auslegung von Erwägungsgrund 56 hervorgeht. In Brasilien nahm das Oberste Wahlgericht vor Kurzem Bestimmungen in seinen letzten Gesetzesentwurf für die anstehenden Kommunalwahlen auf, die auf eine Einschränkung der Verbreitung von Falschinformationen abzielen, insbesondere über soziale Medien und digitale Anwendungen. Die Harmonisierung allgemeiner Datenschutzbestimmungen mit Wahlbeschlüssen sowie die Beachtung der Bestimmungen zur Informationsverarbeitung sollten als Priorität betrachtet werden mit der Gewalt, wirksame Mechanismen gegen die missbräuchliche Verwendung personenbezogener Daten während Wahlperioden sicherzustellen, die einen Beitrag zu einem fairen Wahlumfeld leisten.
Abschließende Betrachtungen
Die Kultur der „Hyperconnectivity“, in der wir leben, bringt trotz zahlloser und unbestrittener Vorteile für die Bürger auch signifikante Herausforderungen für demokratische Räume mit sich. In diesem Zusammenhang ist es wichtig, der neuen Art und Weise der Kampagnenführung in unserer modernen Datenwelt besondere Aufmerksamkeit zu schenken und geeignete und effiziente Bestimmungen zur Gewährleistung fairer Wahlen vorzuschlagen. Obwohl datengetriebene politische Kampagnen an und für sich kein neues Phänomen sind, stellen die verwendeten Werkzeuge, die Menge der zugänglichen Daten sowie die potenzielle Fähigkeit zur Beeinflussung von Wählern ein neues und herausforderndes Szenario für das Rechtsstaatsprinzip dar. In den vergangenen Jahren haben politische Parteien in allen Teilen der Welt stark in Online-Werbung investiert, die das Potenzial aufweist, mehr Menschen auf eine effiziente und zielgerichtete Weise zu erreichen. Jüngste Erfahrungen, wie im Fall von Cambridge Analytica und bei den letzten Wahlen in Brasilien, haben jedoch gezeigt, wie Strategien zur politischen Manipulation von Wählern durch Falschinformation, algorithmische Manipulation, verhaltensorientiertes Microtargeting und Social Bots in diesem Szenario weit verbreitet eingesetzt wurden. Zusätzlich basieren diese Strategien meistens auf der unbefugten bzw. unrechtmäßigen Verarbeitung personenbezogener Daten, wie es im Fall von Cambridge Analytica, bei der Wahlkampagne in Brasilien 2018 und in anderen Fällen beobachtet wurde. Mit den Worten von Colin Bennett und David Lyon:
Fragen zur legitimen Verarbeitung personenbezogener Daten über die Wählerschaft sind der Kern der Antwort auf jede dieser größeren Fragen. Die Durchführung von Wähleranalytik und das Microtargeting politischer Nachrichten, einschließlich der Lieferung sogenannter Fake News, hat eine direkte Beziehung zur programmierten Werbung und zu den unpersönlichen Algorithmen, die einzelne Bürger oft ohne deren Kenntnis und Einwilligung anvisieren. Jetzt treten bekannte Fragen zur Privatsphäre in dieser hitzigen internationalen Debatte über demokratische Praktiken zu Tage, und Aufsichtsbehörden, wie beispielsweise Datenschutzbehörden, finden sich im Mittelpunkt einer globalen Diskussion über die Zukunft der Demokratie. Demzufolge „sind Privatsphäre und Datenschutz in der Vergangenheit selten große politische Fragen gewesen. Das hat sich jetzt geändert.“
Daher kann ein Teil der möglichen missbräuchlichen Verwendungen und Risiken infolge von Missbrauch unter Berücksichtigung der Bedeutung der Verarbeitung personenbezogener Daten in diesem Kontext durch die Anwendung robuster gesetzlicher Rahmenwerke für die Regulierung personenbezogener Informationen gemindert werden. Als Beispiele gelten die DSGVO in Europa und das kürzlich verabschiedete brasilianische Datenschutzgesetz (LGPD), das bald in Kraft treten wird. Diese Studie hat durch das Hervorheben spezifischer rechtlicher Leitfäden und konkreter Situationen gezeigt, dass Datenschutzbestimmungen vollständig auf politische Kampagnen anwendbar sind und die Fähigkeit haben, die Verringerung der instrumentellen Verwendung personenbezogener Daten zu unterstützen, während sie gleichzeitig die Auswirkungen des Einsatzes von Falschinformation und computergestützter Propaganda zum Zweck der politischen Manipulation vermeiden. Deshalb kann ein Datenschutzansatz andere Anstrengungen, zum Beispiel durch die Privatwirtschaft, strategisch verstärken, und Falschinformationen bei Wahlkampagnen durch die Sanktionierung der rechtswidrigen Verarbeitung personalisierter Daten verringern helfen, wodurch er zu einem wirksamen und nützlichen Rechtsinstrument im vorliegenden Kontext wird. Einerseits besteht die Rolle öffentlicher Organe und Institutionen darin, mittels ihrer Beschlüsse und Sanktionen die Compliance mit den Richtlinien des LGPD und der DSGVO sowie deren Wirksamkeit zu verstärken. Andererseits haben die politischen Parteien die Pflicht zur Erfüllung gesetzlicher Anforderungen und tragen die volle Verantwortung für die Transparenz der Verarbeitung und den guten Glauben an die Verarbeitung der personenbezogenen Daten von Wählern. Die unbefugte bzw. rechtswidrige Verarbeitung personenbezogener Daten untergräbt zusammen mit Falschinformationstechniken und der unfairen Verwendung von Bots, Profilen, Deep Fakes und anderen Mitteln das Vertrauen der Wähler sowie die Integrität politischer Prozesse. Daher sollte es von Institutionen als Bedrohung der Demokratie betrachtet werden.
Zur einfacheren Lesbarkeit wurden die Referenzverweise entfernt.
Eduardo Magrani, Konrad Adenauer-Stiftung; 12.11.2020
https://www.kas.de/de/einzeltitel/-/content/das-hacken-der-waehlerschaft
https://creativecommons.org/licenses/by-sa/4.0/legalcode.de
Enisa.europa.eu; PM, BOW; 20.10.2020
https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020