[Ddorf-Talk] Was mit X007 nicht stimmt #SMVGO

[Markus Wetzler <markusvonkrella AT piratenpartei-nrw.de>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Tach,

X007 soll einen Beschluss für die Geschäftsordnung der Ständigen
Mitgliederversammlung herbeiführen.

Ich habe mir die GO unter der Datenschutzlupe angesehen.

https://markusvonkrella.wordpress.com/2015/04/17/was-mit-x007-nicht-stimmt-lptnrw151/

Für die Klickfaulen:

Im Abschnitt § 5 Regelwerke heisst es unter Absatz 8:

„(8) Geheime Abstimmungen sind ausgeschlossen.“

Hallo? Geht gar nicht. Aus technischen Gründen, oder was? Mehr brauche
ich dazu wohl nicht zu sagen. Wenn also Modul 3 (siehe unten)
angenommen wird, was datenschutzrechtlich sehr bedenklich wäre, dann
müssen geheime Abstimmungen organisatorisch und technisch möglich
gemacht werden.

Im Abschnitt § 6 Nutzungsbedingungen, Datenschutzbestimmungen und
Speicherung von Abstimmungen  heisst es im  Modul 3:

Klarnamen-SMV
(1) Die Versammlungsmitglieder treten im System unter ihrem
bürgerlichen Name auf.
(2) Mitgliedern der Ständigen Mitgliederversammlung werden nach Login
Benutzernamen und Aktivitäten der anderen Mitglieder angezeigt.

Die politische Meinung ist ein besonders schützenswertes,
personenbezogenes Datum. Wenn dieses Modul am Wochenende beschlossen
werden würde, bekämen wir ein weiteres Mal mächtige Problem mit dem
Datenschutzbeauftragten. Und nicht nur mit den DSB der Piraten NRW und
der Piratenpartei Deutschland, sondern vor allem mit der
Aufsichtsbehörde und dem Landesdatenschutzbeauftragten des Landes NRW.

Siehe auch hierzu das Gutachten des Berliner DSB:

https://cloud.openmailbox.org/public.php?service=files&t=2951f480363a9e3701553ee94c44cba5

Dort heisst es unter anderem:

4. Denkbare Beschränkungen des Klarnamenprinzips
Das von Ihnen vorgelegte Konzept für ein Klarnamenprinzip ist zwar wie
oben dargestellt nicht datenschutzkonform, wir sind aber der
Auffassung, dass unter bestimmten Rahmenbedingungen ein beschränktes
Klarnamenprinzip denkbar erscheint. Hierzu möchten wir Ihnen die
folgenden Anregungen geben:

a) Es sollten nicht als Regel, sondern als Ausnahme Fallgruppen
gebildet werden, bei denen vom Grundsatz der pseudonymen
Datenverarbeitung abgewichen werden kann. In Frage kommt etwa, die
Klarnamenspflicht bei der Einbringung von Initiativen einzuführen.
Hier besteht etwa ein Interesse an der Kenntnis daran, ob die
Initiative von einer entsprechenden Lobby herrührt. Die
Klarnamenspflicht für bloße Stimmabgaben oder Delegationen der
Mitglieder sollte sich allerdings auf noch zu definierende
Ausnahmefälle beschränken. b) Mit der Einführung eines beschränkten
Klarnamenprinzips benötigen Sie ein Löschkonzept, durch welches die
Vorgaben des § 35 BDSG umgesetzt werden. c) Wir empfehlen Ihnen,
technische Vorkehrungen gegen Crawler zu ergreifen. d) Die
Datenverarbeitung im LQFB sollte für die Teilnehmer möglichst
transparent sein, wir könnten nach dem o. G. nicht empfehlen, die
Datenverarbeitung auf eine Einwilligung des Betroffenen zu stützen.“


Will heißen: so auf keinen Fall dem Modul 3 zustimmen!

Im gleichen Abschnitt soll auch über die Speicherdauer abgestimmt werden:

Modul 1: Speicherung 6 Monate
(3) Alle Daten sind sechs Monate nach Ende der Abstimmung oder nach
Ende der Akkreditierung dauerhaft in nicht rückverfolgbarer Weise von
den personenbezogenen Daten zu trennen.
Modul 2: Speicherung 12 Monate
(3) Alle Daten sind sechs Monate nach Ende der Abstimmung oder nach
Ende der Akkreditierung dauerhaft in nicht rückverfolgbarer Weise von
den personenbezogenen Daten zu trennen.

Hierüber sagt das Gutachten des Berliner DSB:
„3. Speicherfristen
Im geplanten LQFB soll das Mitgliederprofil mit dem Klarnamen
„spätestens zwölf Monate nach Beendigung der Teilnahme“ gelöscht und
der pseudonyme Teilnehmername durch eine zufällige Zeichenfolge
ersetzt werden. Gemäß Ziffer 4.3 der Datenschutzbestimmungen bleiben
die Inhaltsdaten (Initiativen, Anregungen, Abstimmungen) dagegen
grundsätzlich vorhanden und werden der Zeichenkette zugeordnet. Auf
diese Weise würden Abstimmungsergebnisse nicht nachträglich
rechnerisch verändert und bliebe die Nachvollziehbarkeit der
Meinungsbildung gewährleistet. Zuständige Gremien können nach Ziffer
4.3 jedoch entscheiden, dass eine Löschung der Inhaltsdaten gleichwohl
vorgenommen wird. Neben der Frage der Speicherung auch über das Ende
der LQFB-Nutzung bzw. der Parteimitgliedschaft hinaus (dazu a.) ist
auch an die Problematik langjähriger Nutzung zu denken (dazu b.).

a. Beendigung der LQFB-Nutzung / Parteiaustritt
Bei Beendigung der LQFB-Teilnahme sind die Angaben über politische
Ansichten nach § 35 Abs. 2 Satz 2 BDSG grundsätzlich zu löschen. Denn
selbst wenn eine ursprünglich zulässige Erhebung und Speicherung nach
§ 28 Abs. 9 oder §§ 4, 4a BDSG vorgelegen hätte, dürften
Löschungsgründe nach Nr. 3 bzw. Nr. 1 gegeben sein.“


Ich empfehle, die GO so nicht zu beschließen, sondern
1. geheime Abstimmungen möglich zu machen und 2. Modul 3
(Klarnamenpflicht) auf keinen Fall anzunehmen
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.17 (MingW32)

iQEcBAEBCgAGBQJVMLmbAAoJEBFQVsc0CC2j8noH/03U8erWh6YOCj+3FkhqpyxY
ZPXRPBeHpo32St4Hbz/owgrDdlfonu4TbzdxAJ3kfiCTaVM9hgd2nWb34wd9qFpc
PAKI1Qej2wpuCUoQETA0VcATm3WPE7lBtyA9gpKmASmF4u/n2r1/Ma+QYcRGUrVM
QXw4hfv92yRd7C5+TrUWNsoBpGolpfLHBPPVfsRAklyhHFRxumNHvzUwagnloRzd
BPL8rgaYoas8fY5tvyLaLt7/LYg28epWSvj9buoEyAPBRUezMBGIqIJtDvWnzG21
MzJmkE9JgQPQTY/vBbM/xbPpbYMnuNOWargjVN+Rx2YP3iv5VGB1utZACCsYY1Y=
=x3v+
-----END PGP SIGNATURE-----