Eine Frage darf bei keinem Datenschutz-Seminar mit Bildungsträgern fehlen: Wie ist das eigentlich mit Teilnehmer*innen-Listen – dürfen die noch geführt und verteilt werden? Solche Listen sind praktisch – vor der Veranstaltung, um Fahrgemeinschaften zu organisieren, währenddessen, um sich die Namen zu merken, und hinterher, um in Kontakt zu bleiben. Leider sieht man es vielen personenbezogenen Daten nicht an, wie schutzbedürftig sie sind.
Einen besonders drastischen Fall hat die Diözesandatenschutzbeauftragte für die Südwest-Bistümer in ihrem letzten Bericht geschildert, bei dem gut gemeinter Datenaustausch ziemlich problematisch wurde. Dabei wäre es eigentlich recht einfach und unbürokratisch möglich, die Vorteile einer Teilnehmer*innen-Liste mit einem angemessenen Datenschutzniveau zu verbinden.
Was ist eigentlich das Problem?
Im Tätigkeitsbericht für das Jahr 2019 schildert die Südwest-DDSB den Fall einer Frau, die sich zu einem Seminar angemeldet hatte, sogar mit dem ausdrücklichen Hinweis, dass ihre Adresse nicht weitergegeben werden dürfe. »Aufgrund von Morddrohungen ihres Ex-Mannes musste sie bereits auf Anraten der Polizei den Wohnort wechseln«, heißt es im Bericht – und prompt geht es schief, der Seminaranbieter verschickt die Adressliste für Fahrgemeinschaften an alle Teilnehmenden. »Ein an sich sinnvoller Gedanke. Nicht jedoch in diesem Fall, bei dem der Seminarort ausgerechnet auch noch in der Nähe des Wohnorts des Ex-Mannes lag.«
Solche Szenarien, bei denen in den meisten Fällen harmlose Daten plötzlich nicht mehr harmlos sind, gibt es viele – Fälle von häuslicher Gewalt, übergriffigen Familien, Religionsgemeinschaften und Arbeitgeber*innen lassen sich viele bilden. Vielleicht will die betroffene Person einfach nur die Sphären trennen, ist hier geoutet und da nicht, will politische Einstellungen nicht offenbaren, kein Risiko eingehen, dass aus einer Fortbildung auf einen geplanten Stellenwechsel geschlossen werden kann, das Engagement in Gewerkschaft oder Mitarbeitervertretung möglichst diskret halten. Vielleicht hat die betroffene Person einfach keine Lust auf Vernetzung oder noch einen WhatsApp- oder E-Mail-Kontakt, der lustige Bilder ans ganz Adressbuch forwarded. Alles Fälle, in denen es gute Gründe gibt, das Risiko nicht eingehen zu wollen, dass die Daten absichtlich oder versehentlich offengelegt werden (sei’s durch Vergessen im Zug, sei’s durch E-Mail-Fehlläufer) oder eine Kontaktierung über einen Weg stattfindet, auf den auch die Partei zugreifen kann, vor der man sich schützen will.
Ob das objektiv gute oder schlechte Gründe, realistische oder übertriebene Ängste und damit schützenswerte oder nicht schützenswerte Daten sind, hat der Seminaranbieter nicht zu beurteilen. Das liegt in der informationellen Selbstbestimmung des Betroffenen – und hier hat die verantwortliche Stelle die Bringschuld, nicht die betroffene Person. Die Datenweitergabe muss opt-in, nicht opt-out sein.
[Ergänzung, 22. Mai 2021]Auf einen ersten Beschluss zu offen ausliegenden Teilnahmelisten (es geht im konkreten Fall um Corona-Rückverfolgbarkeit in einem Gericht) macht der Wochenrückblick des BvD aufmerksam. Der Sächsische Verfassungsgerichtshof kam zu folgendem Schluss: »Die Erhebung der personenbezogenen Daten mittels einer – zumindest für nachfolgende Besucher – einsehbaren Liste verstieß offenkundig gegen den Grundsatz der Vertraulichkeit gemäß Art. 5 Abs. 1 Buchst. f DSGVO und stellte daher eine unzulässige Verarbeitung dar, weil sie unbefugten Dritten Zugang zu den Daten ermöglichte«.[/Ergänzung]
Was geht – und wie?
Die richtige Rechtsgrundlage
Die hochgradig subjektiven Gründe deuten schon darauf hin: Zur Abwechslung dürfte hier wirklich einmal die Einwilligung die beste Rechtsgrundlage sein. Sicher lassen sich auch Fälle konstruieren, in denen eine Interessensabwägung reichen würde (bei einer wissenschaftlichen Konferenz eine Liste ausschließlich mit Name und Institutsadresse dürfte zum Beispiel unproblematisch sein – aber schon bei E-Mail-Adressen und Telefondurchwahlen ist nicht sicher, ob die vielbeschäftigte Professorin wirklich die zur Anmeldung verwendete an alle rausgeben will oder lieber doch nur die vom Vorzimmer – und ob es das Vorzimmer oder die Person direkt ist, sieht man Durchwahlen nicht an). Bei Vereinen dürfte gelegentlich die Rechtsgrundlage Vertrag greifen (wenn die Satzung eine Anwesenheitsliste bei Gremienprotokollen vorsieht, dann aber in der Regel nur Namen und nur im Rahmen des Protokolls).
Eh klar: Für die Einwilligung gelten die üblichen Kriterien – freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich, mit Hinweis auf das Widerrufsrecht und nachweisbar.
Vor der Veranstaltung
Eine gute Prozessgestaltung wird schon im Vorfeld berücksichtigen, welche Datenweitergaben an andere Teilnehmende gewünscht wird – Mindeststandard sollte die Abfrage in der Anmeldung sein, ob eine Weitergabe klar benannter Daten an andere Teilnehmende unter den geschilderten Bedingungen gewünscht ist, noch besser wäre die Abfrage, ob von den für die Anmeldung nötigen abweichende Daten weitergegeben werden sollen – ob die private Handy- oder Festnetznummer als privater und schützenswerter angesehen wird, variiert von Person zu Person. Denkbar wäre auch eine Formulierung, in der in der Einwilligung das Nichtzutreffende gestrichen werden kann. (Hier geht es um Listen für andere Teilnehmende – nicht um andere Datenweitergaben, die in der Regel vertraglich gerechtfertigt sind, wie die von Adressdaten an Versanddienstleister, Teilnahmedaten an Fördermittelgeber – für solche Weitergaben braucht es in der Regel keine Einwilligung.)
Während der Veranstaltung
Soll die Datenweitergabe erst während oder nach der Veranstaltung stattfinden, kann die Einwilligung auch während der Veranstaltung eingeholt werden, wenn etwa beim Check-in oder bei der Anwesenheitskontrolle abgehakt wird, ob man auf der Liste erscheinen möchte. Die Variante, die Teilnehmer*innen-Liste auszulegen oder herumgehen zu lassen zur Prüfung und Unterschrift, ist üblich, aber nicht optimal – dadurch bekommen andere schon Einblick in die Listen. Leider ist alles andere als eine Liste (solange sie nicht abgedeckt oder die relevanten Daten der jeweiligen Person vorgelesen werden) deutlich papieraufwendiger. (Leider ist das wenig einsichtig, solange Fördermittelgeber kaum eine andere Möglichkeit lassen, als auf solchen Listen die Teilnahme zu dokumentieren. Kritik an ähnlichen oft staatlichen Verfahren, die den Datenschutz nicht im Blick haben, hat der DBJR bereits im Bundestag vorgebracht.)
[Ergänzung, 25. Mai 2021]TOMs für Listen waren auch Thema im aktuellen Tätigkeitsbericht des BayLfD – dort wird unter der Überschrift »besserer Schutz von Unterschriften bei Eintragungslisten für Volksbegehren« darauf hingewiesen, dass bei diesen Formularen im Vordruck folgender Hinweis steht: »Aus Datenschutzgründen werden bereits geleistete Eintragungen abgedeckt«.[/Ergänzung]
Eine zu unterschreibende Liste für die Anwesenheitskontrolle kann unproblematisch sein, wenn sie nur ohnehin allen bekannte Daten wie Namen enthält. Sollen dabei gleichzeitig noch andere Daten erhoben werden, lohnt es sich zu prüfen, ob die wirklich personenbezogen sein müssen – Daten zu Essenswünschen (die sogar mit besonderen Kategorien wie Gesundheit und Religion zusammenhängen können) oder auch Statistiken zur Seminar-Zusammensetzung, etwa zum Migrationshintergrund der Teilnehmenden (das möchten manche Fördermittelgeber wissen) können entkoppelt von der namentlichen Liste auf demselben Blatt per anonymer Strichliste erhoben werden.
Die einfachste Möglichkeit für Vernetzung (die bei kleineren Veranstaltungen wie Seminaren praktikabel ist) ist Selbstorganisation: Zettel rumgehen lassen, alle schreiben die Kontaktdaten darauf, die sie teilen wollen, Kopierer zur Verfügung stellen oder eine*n Teilnehmer*in mit der Verteilung betrauen, fertig. So ist oft nicht einmal die Zuständigkeit des Datenschutzrechts eröffnet, und wenn, stellt sich die Frage, ob die Veranstalterin überhaupt noch datenschutzrechtlich Verantwortliche ist, mindestens aber liegen gute Gründe vor, hier in einer Interessensabwägung zum Schluss zu kommen, dass die Verarbeitung von freiwillig für genau diesen Zweck zur Verfügung gestellten Daten für die Betroffenen zumutbar ist.
[Ergänzung, 3. August 2021]Eine Alternative zu offenen Listen sind gerade für die Corona-Kontaktdatennachverfolgung bei Veranstaltungen einzelne Formulare, die in eine verschlossene Urne eingeworfen werden. Die Idee ist, erst gar nicht auf die Daten zurückgreifen zu müssen, wenn das nicht aufgrund eines Infektionsfalls nötig ist. Die kirchlichen Datenschutzgerichte hatten einen solchen Fall zu entscheiden: Dort ging es darum, ob der leitende Pfarrer die eingeworfenen Formulare auf Richtigkeit kontrollieren darf. Die überraschende Entscheidung, die auch in zweiter Instanz Bestand hatte: Er darf nicht nur, grundsätzlich muss er das auch – um den Grundsatz der Richtigkeit sicherzustellen. Für die Praxis bei der Gestaltung von Teilnehmendenlisten – vor allem wenn außerhalb von Pandemie-Zeiten keine Kontaktdatennachverfolgung mehr stattfindet – hat das wohl keine großen Auswirkungen.[/Ergänzung]
Fazit
Wer geübte und oft als sozialadäquat empfundene Praktikten wie die Teilnehmer*innen-Liste problematisiert, macht sich selten Freund*innen. Die Beispiele, wie schnell scheinbar harmlose Daten doch problematisch werden können, zeigen aber, dass es sich lohnt, darüber nachzudenken – aus Respekt vor den Menschen, deren Daten man anvertraut bekommt. Schon mit einer Einwilligung und einem zusätzlichen Textfeld vorab lässt sich viel machen – und mit einer selbstorganisierten Vernetzung der Teilnehmenden dürfte oft nur wenig Komfort verlorengehen.
Weiterführende Links
- Landesbeauftragter für den Datenschutz Sachsen-Anhalt: Hinweise zu Teilnehmerlisten
- Teilnehmerlisten im Kontext des BDSG und Datenschutz bei Veranstaltungen – noch auf dem Stand des alten BDSG, aber im Grundsatz immer noch treffend.
- Datenschutz: Was Lehrende zum Umgang mit personenbezogenen Daten in der digitalen Welt wissen müssen