5 Jahre Datenschutzbeauftragter – Ein Bericht in eigener Sache
Es hat bestimmt niemand bemerkt, aber vor fünf Jahren habe ich nach einer Herz-und-Nieren-Bewerbung meine Bestellungsurkunde als Datenschutzbeauftragter der Piratenpartei Deutschland erhalten.
Ich haben diesen Auftrag gerne angenommen, so wie ich auch Aufträge anderer Kunden annehme, wenn auch pro bono. Unschön war dann so eine Art Nachschau, von Personalausweis über Zertifikat bis hin zur Vorlage eines Führungszeugnisses. Man sollte mal nachfragen, wer diese Unterlagen außer mir in der Piratenpartei beigebracht hat. Teilweise lässt man Leute an unsere intimsten Daten, von denen man noch mal weiß, wie sie heißen und wo sie wohnen. Nur für den Fall dass.
Was ich nicht wissen konnte, waren die erheblichen Widerstände, die auf einen DSB warten, wenn er eine Organisation, die sich selbst als Datenschutzpartei bezeichnet, zum tatsächlichen Datenschutz führen will.
Datenschutz hat natürlich mit viel Dokumentation zu tun. Letztlich macht die so einmal erstellte Dokumentation es überhaupt erst möglich zu prüfen, ob alle Dinge in Ordnung sind. Das ist ein stetiger Prozess: plan-do-check-act. Und dann geht es wieder von vorne los. Über diesen Qualitätssicherungsmechanismus verbessert sich das System kontinuierlich und ist heute überall Standard.
Auch Schulungen und die Verpflichtungen auf das Datengeheimnis gehören dazu. Die Betroffenen vertrauen uns ihre Daten an und haben darauf einen Anspruch, dass man nicht nur die gesetzlichen Bestimmungen beachtet, sondern auch ihr persönliches und unabdingbares Grundrecht auf informationelle Selbstbestimmung.
Bei der Übernahme hatte kaum ein Landesverband ein DSB, es gab selbstgestrickte Datenschutzverpflichtungen und Belehrungen gab es ohnehin nicht. Ein hartes Stück Arbeit lag vor mir.
Ich hätte erwartet, dass es eine Selbstverständlichkeit wäre, dass ein DSB erfährt, wer für was zuständig ist und verantwortlich an den Systemen arbeitet. Weit gefehlt, bis heute.
Welche Widerstände es gab, konnte ich bereits kurz nach meiner Bestellung feststellen. Im Dezember 2011 versuchte ich ein Audit des Rechenzentrums durchzuführen, wo vermeintlich alle unsere Server stehen. Erst in der letzten Minute erhielt ich die „Erlaubnis“ – ich benötige keine Erlaubnis, ich habe das gesetzlich verbriefte Recht.
Bei dem an diesem Wochenende ebenfalls stattfindenden Bundesparteitag in Offenbach hegte ich zusätzlich den Wunsch, den Datenschutz und die Datensicherheit der Akkreditierung zu prüfen.
Beide Ereignisse waren für mich wirklich unlustig und fanden in einer aufgeheizten, aggressiven Atmosphäre statt. Das sollte sich auch 2012 fortsetzen.
Eigentlich hat niemand der bisherigen Bundesvorstände jemals Datenschutz verstanden oder war kooperativ. Insbesondere Generalsekretäre sind eine besondere Spezies. Da kann man noch an so vielen Fortbildungen teilnehmen oder Zertifikate erwerben, es ist egal, sie wissen alles besser. Sie können es mangels Sachkenntnis nicht begründen, aber sie und ihre Mitarbeiter wissen es besser.
2013 war es dann soweit, Kraft seiner Wassersuppe schrieb ein Generalsekretär eine fristlose Kündigung, Sicherlich nicht ohne Rückdeckung des Restvorstandes. Und es wurden fleißig Gerüchte gestreut. Dummerweise kann sich ja ein DSB nicht so richtig gegen öffentliches Geschwätz wehren, er ist ja zur gesetzlichen Verschwiegenheit verpflichtet – was natürlich auch die Schwätzer wissen. Völlig klar, dass der Antrag auf Entbindung von der Schweigepflicht abgelehnt wurde.
Eilens wurde eine Person bestellt, die gar keine Zertifizierung hatte (der Mann hatte nur an einem Kurs teilgenommen und leider keine Abschluss bekommen). Tja Pech, wenn man da mal einer nachfragt und es auffliegt. Aber diese Person hat ja auch anderweitig genügend Schaden z.B. auf Parteitagen angerichtet.
Danach wurde ein „Azubi“ von mir eingestellt, der sich tatsächlich im Datenschutz auskennt und sich zwischenzeitlich weiterqualifiziert hat. Immerhin etwas, aber leider am Sachstand „Null-Info-DSB“ hat das nicht wirklich etwas geändert.
Es folgte eine lange Zeit der gerichtlichen Klärung der fristlosen Kündigung, insbesondere durch die Trickkiste eines angeblichen „Anwaltes“, der im Auftrag des zuständigen BuVo-Mitgliedes die Fristen bis auf das Äußerste gedehnt hat. Gut, man muss das sportlich sehen, aber unbegründete eine Widerklage des zuständigen BuVo-Mitgliedes (das uns bis 2016 begleitete) war dann doch der Gipfel – schräger geht es nicht.
Im November 2014 war dann alles wieder auf Anfang und ich konnte meiner Tätigkeit auch wieder offiziell nachkommen. Zur Glättung der Wogen ist mir das Konstrukt des stellvertretenden DSB eingefallen und funktioniert bis heute ganz gut.
2015 war geprägt von einer Unmenge an Datenschutzfällen und Funkstille. Dieses OTRS oder Redmine muss ein unglaublich großer Datenfriedhof sein. Zum BPT in Würzburg versprach man mir von der Versammlungsleitung einen Redeslot und natürlich wurde dieser „vergessen“. Ach-was-oh.
Zum Ende des Jahres habe ich mit meinem Stellvertreter erstmalig ein Audit der Bundesgeschäftsstelle durchgeführt. Das Ergebnis war niederschmetternd und ich habe mich entschieden, es unter Verschluss zu halten, bis gewisse Dinge verändert wurden, um keine Angriffsziele zu veröffentlichen. Eine Reaktion auf diesen Bericht gab es nicht.
2016 fing mit einem intensiven Gespräch mit der Aufsichtsbehörde an und es gab erstmalig (!) eine gemeinsame Sitzung mit dem BuVo. Auf die Erledigung des „Dringend-Katalogs“ warte ich noch heute. Erstmalig (bestärkt durch einen vorliegenden TO-Änderungsantrag) durfte ich auf einem Bundespartei (Lampertheim) mal ein paar Worte zum Thema Datenschutz zu den Anwesenden sprechen. Die Stille im Saal interpretiere ich als eine Art Zustimmung. Beachtung für die Rede gab es jedenfalls genug, ein stiller Erfolg.
Neben dem Alltagskram habe ich dann das Datenschutzhandbuch entwickelt, ohne dass es eine Reaktion des Vorstandes gab.
Zwischenzeitlich habe ich tatsächlich drei „Klagen“ vor dem Bundesschiedsgericht gegen den Bundesvorstand geführt, die deswegen wichtig waren, weil der Datenschutz und die Datensparsamkeit zumindest meiner Meinung nach nicht beachtet werden.
Abgesehen von der Aufregung hat offensichtlich niemand begriffen, welcher Inhalt entschieden werden sollte. Das Bundesschiedsgericht hat sich geschickt über Formalia aus der Affäre gezogen, ohne sich selbst wenigstens zum Schein an die Formalia zu halten. Das fällt natürlich leicht wenn man keine Berufungsinstanz zu fürchten hat, weil diese gesetzeswidrig gar nicht eingerichtet ist.
Gut, dann muss das eben ein ordentliches Gericht entscheiden, denn hier stehen veritable Interessen der Mitglieder auf dem Spiel. Dafür führt man dann gerne einen solchen Kampf. Zum Hohn kamen dann Geburtstagsgrüße bei den Mitgliedern an, die der Verwendung ihrer Daten für diesen Zweck überhaupt nicht eingewilligt haben. Aber was schert uns denn dieses komische BDSG.
Beim folgenden Wahlparteitag in Wolfenbüttel wurde nicht nur (endlich) ein neues Generalsekretariat gewählt, sondern mir das Mikrofon beim Vortrag meines Tätigkeitsberichtes abgedreht.
Auch soll ich dort eine Vorabkontrolle im Streit abgebrochen haben; welche Vorabkontrolle soll denn da stattgefunden haben? Lächerliches aus einem Netzwerk.
Mal sehen wie es weitergeht. Es gibt Hoffnung auf Besserung. Obwohl, da kommt ja die EU Datenschutzgrundverordnung mit fiesen Aufgaben auf uns zu. Der Jubel, dass angeblich kein DSB mehr nötig sei und die DSV und Belehrung weggefallen wäre, hat bei mir zu einem Schmunzeln geführt. Ich hoffe, diese Besserwisser lassen sich endlich mal ausbilden.
Ich hoffe ferner, dass diese Partei mal zu dem wird, was sie vorgibt zu sein: eine Datenschutzpartei.