Datenschutz im Verein: Umgang mit Adressdaten
Mitteilungen Nr. 222 (3/2013), S. 13-15
Hinweis auf Adressmissbrauch
Es begann am 25. November 2013 um 17.44 Uhr: In einer Rundmail schrieb ein anonym auftretender Absender zahlreiche Mitglieder und SympathisantInnen der Humanistischen Union (HU) an. Unter dem Kürzel „Jürgen S.“ machte er auf ein kürzlich erschienenes Interview in der Zeitschrift MIZ aufmerksam, in dem der im Frühjahr aus der HU ausgetretene Peter Menne über die angebliche „religiöse Wende“ der HU wettert.
Gegen derlei Kritik oder Werbung ist prinzipiell nichts einzuwenden – wenn die EmpfängerInnen damit einverstanden und die Adressdaten legal verfügbar sind. Beides traf für zahlreiche EmpfängerInnen nicht zu. Jene wandten sich prompt an die HU-Bundesgeschäftsstelle und baten um eine Erklärung dafür, wie ihre Daten an „Jürgen S.“ gelangten. Die Zusammensetzung des (sichtbaren Teils des) Verteilers ließ schnell darauf schließen, dass ein großer Teil der Adressdaten aus dem Bestand der HU-Vereinsverwaltung stammt. Dafür gab es mehrere Indizien, u.a. enthielt die Liste zahlreiche Mitglieder/SympathisantInnen der HU, speziell aus dem südhessischen Bereich; ebenso deuten einzelne Adresskombinationen und externe Adressen darauf hin.
Nicht genug damit, dass hier offenbar HU-Adressdaten für fremde Zwecke missbraucht wurden. Der Absender hatte mit seiner Nachricht die Adressdaten auch veröffentlicht: 246 Mailadressen waren als offene Empfänger eingetragen, so dass zumindest diese Namen bzw. Mailadressen mutmaßlicher HU-Mitglieder für alle anderen einsehbar waren. Da nicht bekannt war, ob und wenn ja über welche weiteren personenbezogenen Daten der Absender ggf. verfügt, bemühte sich die HU-Geschäftsstelle gemeinsam mit dem Vorstand um eine rasche Aufklärung des Vorfalls.
Bemühungen um Aufklärung
Nach eingehender Prüfung der Empfängerliste konnten die HU-MitarbeiterInnen weitgehend ausschließen, dass die von „Jürgen S.“ genutzten Daten direkt aus der Geschäftsstelle entwendet wurden. Einerseits war die Adressliste im Vergleich zum Datenbestand der Geschäftsstelle nicht vollständig; andererseits enthielt sie Adressen (wie die der Bewegungsstiftung), die bei uns nicht erfasst sind. Ein „Datenleck“ in der Geschäftsstelle schied also aus.
Dennoch schalteten wir umgehend den Berliner Datenschutzbeauftragten ein, um ihn auf den Vorfall hinzuweisen und Hinweise zum weiteren Vorgehen zu erfragen.
Am 27.11. forderte der HU-Vorsitzende den Absender auf, keine weiteren Daten von HU-Mitgliedern gegenüber Dritten zu veröffentlichen; sich zur Herkunft der Adressdaten zu erklären und diese ggf. zu löschen. Darauf erfolgte keine Antwort an die HU, wohl aber gegenüber einem Adressaten, der sich direkt an den Absender gewandt hatte. „Jürgen S.“ erweckte in seiner Antwort vom 28.11.2013 – die er erneut an den ganzen, öffentlich einsehbaren Verteiler verschickte – den Eindruck, er habe die Adressdaten von einer Mitarbeiterin des Vereins erhalten.
Diese Behauptung ist falsch, wie die Prüfung der Bundesgeschäftsstelle ergab. Gerade die hessischen Adresseinträge auf der Liste, bei denen es sich z.T. um 2012 eingetretene Mitglieder handelte, wurden gemäß Art. 4 der HU-Datenschutzordnung in den letzten Jahren ausschließlich an den damals zuständigen Ortsverbandsvorsitzenden (Peter Menne) übermittelt. Zudem behauptete „Jürgen S.“, die Daten zu einem Zeitpunkt erhalten zu haben, an dem die genannte Mitarbeiterin noch gar nicht bei der HU beschäftigt war.
Spätestens durch diese falschen Behauptungen wurde eine zweite hinter den Rundmails stehende Absicht deutlich: die Glaubwürdigkeit der HU als Datenschutzorganisation infrage zu stellen. Hinzu kommt, das beide Nachrichten an MitarbeiterInnen der Bewegungsstiftung geschickt wurden. Jene Stiftung fördert die Arbeit der HU seit 2013. Vergleichbare Versuche, den Verein bzw. den Geschäftsführer bei unseren Geldgebern anzuschwärzen, gab es bereits Ende 2012 – damals aus dem Umfeld Peter Mennes.
Nach der gescheiterten Klärung mit „Jürgen S.“ und dem Zusammenstellen aller Informationen erstattete der HU-Vorsitzende, Werner Koep-Kerstin, Strafanzeige gegen Unbekannt wegen des Verdachts der missbräuchlichen Weitergabe und Verwendung personenbezogener Daten aus unserer Vereinsverwaltung (§ 44 Abs. 1 BDSG) bei der Berliner Polizei. Die Ermittlungsbehörde wurde zugleich gebeten, sich auf die Ermittlung der Identität zu beschränken und evtl. vorhandene TK-Verkehrsdaten nicht zu nutzen. Zudem meldete die HU den Vorfall beim Berliner sowie beim Hessischen Datenschutzbeauftragten. Den drei Behörden wurden alle vorhandenen Indizien auf die mutmaßliche Identität des Absenders sowie desjenigen (Ex-)Mitglieds genannt, das vermutlich „Jürgen S.“ die Daten zur Verfügung stellte. Der Hessische Datenschutzbeauftragte hat beide Personen zur Stellungnahme aufgefordert, die Ermittlungen der Polizei dauern an.
Konsequenzen
Was kann und sollte die HU aus diesem Vorfall lernen, wie lässt sich eine Wiederholung vermeiden? Zum einen wird die Geschäftsstelle noch stärker als bisher auf die Einhaltung unserer Datenschutzordnung achten. Für die Regionalgruppen heißt das konkret:
* Wir versenden die Adressdaten von Mitgliedern und Interessierten weiterhin ausschließlich an dafür zuständige Kontaktleute der Regionalgruppen. Der Versand erfolgt in Papierform oder bei elektronischen Daten ausschließlich verschlüsselt.
* Alle Personen, die solche Daten empfangen bzw. verarbeiten, müssen vorher gegenüber der Geschäftsstelle eine Verpflichtungserklärung gem. § 5 BDSG abgeben. Darin erklären sie, dass sie diese Daten nicht an Dritte weitergeben, nicht für vereinsfremde Zwecke nutzen und nach der Beendigung ihrer Tätigkeit für die HU die Daten unverzüglich löschen bzw. herausgeben.
* Die Bundesgeschäftsstelle wird von Mitgliedern, die ihre Funktion im Regionalverband beenden, künftig eine verbindliche Erklärung über die Löschung/Herausgabe zuvor erhaltener Adressdaten einfordern. (Eine entsprechende Aufforderung an Peter Menne erging am 27.2.2013 – bisher ohne Reaktion.)
Darüber hinaus hat die HU die Datenschutzbeauftragten um Tipps gebeten, wie durch geeignete organisatorische/technische Maßnahmen ein derartiger Missbrauch erschwert oder verhindert werden kann. Dazu gab es einen konkreten Vorschlag: Die Rundsendungen an Mitglieder könnten grundsätzlich über einen Mailinglistenserver versendet werden. Die zuständigen Mitglieder der Regionalgruppen hätten dann lediglich die (zeitweise) Berechtigung, Nachrichten an vorher bestimmte Adressatenkreise zu verschicken – aber keinen Komplettzugriff auf die Daten. Ob eine solche Lösung praktikabel und wünschenswert ist, sollten wir mit allen Aktiven in den Regionalgruppen, aber auch mit der gesamten Mitgliedschaft diskutieren. Auch andere Vorschläge zum Datenschutzmanagement in der HU sind natürlich herzlich willkommen.
Mitglieder, die ebenfalls zu den EmpfängerInnen der Rundmails von Jürgen S. gehörten, aber bisher keine Benachrichtigung der Bundesgeschäftsstelle hierüber erhalten haben (u.U. war ihre Adresse nicht sichtbar), können die Erklärungen und Informationen in der Geschäftsstelle abrufen.