Rechtzeitig zu Beginn des EU-Wahlkampfes macht der Europäische Datenschutzausschuss (EDSA) in einem Statement deutlich, dass die Verwendung personenbezogener Daten strengen Regeln unterliegt und veröffentlicht die fünf wichtigsten Punkte, die es zu respektieren gilt.
Der Umgang mit Wählern sei Teil des demokratischen Prozesses, so der EDSA. Er erlaube die Erstellung von politischen Programmen und ermögliche es den Bürgern, Einfluss auf die Politik zu nehmen. Politische Parteien, Koalitionen und Kandidaten verließen sich zunehmend auf personenbezogene Daten und ausgefeilte Profiling-Techniken, um Wähler und Meinungsführer gezielt anzusprechen. In der Praxis erhielten somit Einzelpersonen hoch personalisierte Nachrichten und Informationen, insbesondere über Social-Media-Plattformen, basierend auf persönlichen Interessen, Lebensgewohnheiten und Werten. Die Ausweitung dieser Datenverarbeitungstechniken zu politischen Zwecken berge nicht nur Gefahren für die Rechte auf Privatsphäre und Datenschutz, sondern auch für die Integrität der Demokratie, so die EDSA weiter. Das habe der Fall „Cambridge Analytica“ deutlich gemacht.
Das EDPB weist in seinem Statement auch darauf hin, dass neben politischen Parteien und Kandidaten auch andere Akteure an der Verarbeitung personenbezogener Daten für politische Zwecke beteiligt sein können: soziale Medien, Interessengruppen, Datenhändler, Analyseunternehmen, Werbenetzwerke. Diese Akteure können eine wichtige Rolle im Wahlprozess spielen, deren Compliance unterliege der Überprüfung durch unabhängige Datenschutzbehörden.
Folgende fünf Punkte müssten politische Parteien berücksichtigen, wenn sie personenbezogene Daten im Rahmen von Wahlen verarbeiten:
1.
Personenbezogene Daten, die politische Meinungen offenlegen, sind eine besondere Kategorie von Daten im Rahmen der DSGVO (Anm.: „sensible Daten“). Die Verarbeitung solcher Daten ist grundsätzlich untersagt und unterliegt strengen Bedingungen, wie explizite, spezifische, vollständig
informierte und freiwillige Einwilligung der Personen.
2.
Personenbezogene Daten, die von einzelnen Wählern veröffentlicht oder anderweitig zur Verfügung gestellt wurden, unterliegen, auch wenn sie keine politische Meinungen offenlegen, dem Datenschutzgesetz der EU. So können etwa personenbezogene Daten, die über soziale Medien erhoben
wurden, nicht verwendet werden, ohne die Verpflichtungen hinsichtlich Transparenz, Zweckbestimmung und Rechtmäßigkeit zu erfüllen.
3.
Selbst wenn die Verarbeitung rechtmäßig ist, müssen Organisationen ihre anderen Pflichten gemäß der DSGVO beachten, einschließlich der Verpflichtung zur Transparenz und Information gegenüber den Betroffenen, ob Daten direkt oder indirekt abgerufen werden. Politische Parteien und Kandidaten müssen nachweisen, wie sie die Datenschutzgrundsätze befolgt haben, insbesondere die Grundsätze der Gesetzmäßigkeit, der Fairness und der Transparenz.
4.
Automatisierte Entscheidungsfindungen einschließlich Profiling sind Einschränkungen unterworfen. Profiling im Zusammenhang mit gezielten Kampagnennachrichten ist grundsätzlich nur mit gültiger ausdrücklicher Zustimmung der betroffenen Person rechtmäßig.
5.
Im Falle von Targeting sollten den Wählern angemessene Informationen bereitgestellt werden, aus denen hervorgeht, warum sie eine bestimmte Nachricht erhalten, wer dafür verantwortlich ist und wie sie ihre Betroffenenrechte ausüben können. Darüber hinaus stellt der Europäische Datenausschuss fest, dass nach dem Recht einiger Mitgliedstaaten ein Transparenzgebot hinsichtlich politischer Werbeausgaben besteht.
Zum Schluss weist der Ausschuss noch einmal darauf hin, dass die Einhaltung der Datenschutzbestimmungen, auch im Zusammenhang mit Wahlen und politischen Kampagnen, für den Schutz der Demokratie unerlässlich sei. Sie sei auch ein Mittel, um das Vertrauen der Bürger in die Integrität von Wahlen aufrechtzuerhalten. Vor den bevorstehenden Wahlen seien die Datenschutzbehörden verpflichtet, die Einhaltung der Vorschriften zu überwachen und gegebenenfalls durchzusetzen. Die Datenschutzbehörden würden ihre Befugnisse, wie sie in der DSGVO vorgesehen sind, in vollem Umfang nutzen.
Hier geht es zum Original-Statement des EDSA (englisch).