Datenschutz bei Unterschriftensammlungen

Wer Unterschriften für eine Volksinitiative oder ein Referendum sammelt, darf die erhalten Personendaten nur unter gewissen Voraussetzungen bearbeiten. So ist ihre Verwendung für den Versand eines Informationsschreibens o.Ä. nur zulässig, wenn die betroffene Person frei und ausdrücklich eingewilligt hat.

Die Abteilung für politische Rechte in der Bundeskanzlei bat uns im Berichtsjahr, die datenschutzrechtlichen Anforderungen zu erläutern, die gelten, wenn bei einer Unterschriftensammlung für eine Initiative oder ein Referendum erhobene Personendaten zu anderen Zwecken verwendet werden.

Bei einer solchen Unterschriftensammlung findet eine Bearbeitung von Personendaten statt, die dem Bundesgesetz über den Datenschutz (DSG) und seinen allgemeinen Grundsätzen unterliegt. Die bei der Ausübung der politischen Rechte gewonnenen Daten sind als besonders schützenswert im Sinne des DSG zu betrachten, da sie Angaben zu den politischen Meinungen oder Betätigungen der betroffenen Personen enthalten. Das DSG verlangt bei diesen Daten eine besonders strenge Anwendung der allgemeinen Datenschutzgrundsätze.

Die Unterstützung eines Referendums oder einer Volksinitiative beinhaltet eine Erhebung und Bearbeitung von Personendaten im Sinne des Gesetzes über die politischen Rechte, wobei dies im Wesentlichen die Prüfung der Gültigkeit der Unterschrift betrifft. Wenn eine Person mit ihrer Unterschrift ein Referendum oder eine Volksinitiative unterstützt, muss sie hingegen nicht mit der Verwendung ihrer Daten für den Versand von Informationen oder für Spendenkampagnen rechnen (Zweckbindungsprinzip). Eine solche Verwendung von Personendaten erfordert einen (neuen) Rechtfertigungsgrund, und zwar das Einverständnis der betroffenen Person, ein überwiegendes privates oder öffentliches Interesse oder ein Gesetz. Im vorliegenden Fall kommt nur die Zustimmung der Unterzeichner als Rechtfertigung infrage, wenn ihre Daten zu einem anderen Zweck als der Unterstützung der Initiative verwendet werden sollen.

Damit eine Einwilligung gültig ist, muss die betroffene Person ihren Willen frei und nach vorgängiger Information äussern (freie und aufgeklärte Einwilligung). Bei besonders schützenswerten Daten oder Persönlichkeitsprofilen muss die Zustimmung überdies ausdrücklich erfolgen. Die Verwendung der im Rahmen der Initiative gewonnenen Personendaten, die als besonders schützenswerte Daten zu erachten sind, zu anderen Zwecken erfordert demnach ein freies, aufgeklärtes und ausdrückliches Einverständnis.

In dem von der Bundeskanzlei konkret vorgelegten Fall befand sich auf dem Formular für die Unterschriftensammlung ein kleines Feld (rechts von der Unterschrift), das anzukreuzen war, falls der Unterzeichner die Verwendung seiner Daten für die Zusendung von Informationen nicht wünscht (Opt-out). Über diesem Feld stand in kleiner Schrift: «Schickt mir bitte keine weiteren Infos (ankreuzen)». Es stellte sich also insbesondere die Frage, ob ein fehlendes Kreuzchen unter dem Gesichtspunkt des DSG als gültiges Einverständnis zum Zusenden von Informationen angesehen werden konnte.

Unseres Erachtens entsprach die Art, in der die Zustimmung eingeholt wurde, nicht den Anforderungen des DSG. Zum einen waren die Informationen bezüglich der Verwendung dieser besonders schützenswerten Daten nicht ausreichend klar. Zum anderen kann das Fehlen eines angekreuzten Feldes hier nicht als Einwilligung gelten, da die Bearbeitung von besonders schützenswerten Daten ein ausdrückliches Einverständnis erfordert. Die neben Namen und Adresse angebrachte Unterschrift bezieht sich nur auf die Unterstützung der betreffenden Initiative oder des fraglichen Referendums und nicht auf eine andere Verwendung der Personendaten.

Zudem halten wir auch ein anzukreuzendes Opt-in-Feld vor der Unterschrift nicht für geeignet, um Missbrauchsrisiken zu vermeiden, da ein solches Feld leicht von einer Drittperson angekreuzt werden kann. Diese Variante ist somit weder sicher noch datenschutzkonform. Tatsächlich macht es der Sicherheitsgrundsatz erforderlich, dass Personendaten durch angemessene organisatorische und technische Massnahmen gegen jegliche unerlaubte Bearbeitung geschützt werden. In diesem Kontext raten wir den Initiativ- oder Referendumskomitees, ein Vorgehen zu wählen, das gewährleistet, dass die betroffenen Personen der Verwendung ihrer Daten frei, ausdrücklich und nach vorgängiger Information zugestimmt haben. Eine Möglichkeit wäre es, die Einwilligung auf einem separaten Blatt oder mittels einer weiteren Unterschrift einzuholen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/23--taetigkeitsbericht-2015-2016/datenschutz-bei-unterschriftensammlungen.html