DSGVO-konformes Wählen

Inhalt

• Was ist DSGVO-konformes Wählen?
• Wichtige DSGVO-Prinzipien für Wahlen
• Personenbezogene Daten beim Online-Wählen
• Rechtsgrundlage für die Verarbeitung von Wählerinformationen
• Datenminimierung bei Wahlen
• Zustimmung und Informationsrechte der Wähler
• Vereinbarungen zur Datenverarbeitung
• Datenaufbewahrung und -archivierung
• Grenzüberschreitende Datentransfers
• Technische und organisatorische Maßnahmen
• Datenschutz-Folgenabschätzungen

DSGVO-konformes Wählen bezieht sich auf die Durchführung von Online-Wahlen in voller Übereinstimmung mit der Datenschutz-Grundverordnung der Europäischen Union. Das bedeutet, die personenbezogenen Daten der Wähler während des gesamten Wahlzyklus zu schützen – von der Registrierung über die Abstimmung bis zur Veröffentlichung der Ergebnisse und der Löschung der Daten – und gleichzeitig die Wahlgeheimhaltung und Integrität der Wahl zu wahren.

Was ist DSGVO-konformes Wählen?

Die Datenschutz-Grundverordnung (DSGVO) legt strenge Anforderungen fest, wie personenbezogene Daten gesammelt, verarbeitet und gespeichert werden. Online-Wahlsysteme verarbeiten sensible personenbezogene Daten einschließlich der Identitäten der Wähler, E-Mail-Adressen und Wahlberechtigungsstatus. Die DSGVO-Konformität stellt sicher, dass diese Daten rechtmäßig, transparent und nur für die Zwecke der Durchführung der Wahl verarbeitet werden.

Wichtige DSGVO-Prinzipien für Wahlen

Mehrere grundlegende DSGVO-Prinzipien gelten direkt für das Online-Wählen:

• Rechtmäßigkeit und Transparenz: Wähler müssen darüber informiert werden, wie ihre Daten verwendet werden
• Zweckbindung: Für die Wahl erfasste Daten dürfen nicht für andere Zwecke verwendet werden
• Datenminimierung: Es sollten nur Daten erfasst werden, die für die Wahl unbedingt erforderlich sind
• Richtigkeit: Wählerlisten müssen aktuell gehalten werden
• Speicherbegrenzung: Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden
• Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen müssen die Wählerdaten schützen

Personenbezogene Daten beim Online-Wählen

Online-Wahlen umfassen mehrere Kategorien personenbezogener Daten:

• Wählerspezifische Daten: Namen, E-Mail-Adressen, Mitgliedsnummern
• Authentifizierungsdaten: Passwörter, Telefonnummern für Zwei-Faktor-Authentifizierung
• Berechtigungsdaten: Mitgliedsstatus, Wahlbezirk, Wahlgewicht
• Technische Daten: IP-Adressen, Browserinformationen, Zugriffzeitstempel
• Wahldaten: Die tatsächlichen Stimmzetteloptionen (die strikt von den Identitätsdaten getrennt sein müssen)

Rechtsgrundlage für die Verarbeitung von Wählerinformationen

Organisationen müssen gemäß Artikel 6 der DSGVO eine gültige Rechtsgrundlage für die Verarbeitung von Wählerdaten identifizieren. Gängige Rechtsgrundlagen umfassen das berechtigte Interesse der Organisation an der Durchführung demokratischer Wahlen, die vertragliche Verpflichtung, wenn Wahlen in den Satzungen der Organisation vorgeschrieben sind, und die Zustimmung, wenn Wähler der Datenverarbeitung ausdrücklich zustimmen.

Datenminimierung bei Wahlen

Das Prinzip der Datenminimierung erfordert, dass Organisationen nur die personenbezogenen Daten erfassen, die für die Durchführung der Wahl unbedingt notwendig sind. Wahlplattformen sollten vermeiden, unnötige demografische Informationen zu erfassen, die Sammlung von Metadaten begrenzen und sicherstellen, dass Wählerregistrierungsprozesse nur wesentliche Informationen anfordern.

Zustimmung und Informationsrechte der Wähler

Unter der DSGVO haben Wähler spezifische Rechte in Bezug auf ihre personenbezogenen Daten:

• Recht auf Information: Wähler müssen darüber informiert werden, welche Daten erfasst werden und warum
• Recht auf Zugang: Wähler können Kopien ihrer personenbezogenen Daten anfordern
• Recht auf Berichtigung: Wähler können ungenaue Daten korrigieren
• Recht auf Löschung: Wähler können die Löschung ihrer Daten nach der Wahl beantragen
• Widerspruchsrecht: Wähler können bestimmten Arten der Datenverarbeitung widersprechen

Organisationen müssen klare Datenschutzhinweise und Mechanismen zur Ausübung dieser Rechte bereitstellen.

Vereinbarungen zur Datenverarbeitung

Wenn eine Organisation eine Drittanbieter-Wahlplattform nutzt, ist gemäß Artikel 28 der DSGVO eine Datenverarbeitungsvereinbarung erforderlich. Diese Vereinbarung definiert den Umfang und Zweck der Datenverarbeitung, die Sicherheitsmaßnahmen, die der Auftragsverarbeiter implementieren muss, die Verwaltung von Unterauftragsverarbeitern, Verfahren zur Benachrichtigung über Datenschutzverletzungen und Verpflichtungen zur Datenlöschung nach der Wahl.

Datenaufbewahrung und -archivierung

Wahldaten müssen nur so lange aufbewahrt werden, wie es notwendig und gesetzlich vorgeschrieben ist. Organisationen sollten klare Datenaufbewahrungsrichtlinien definieren, die festlegen, wie lange Wählerdaten gespeichert werden, wann und wie Daten sicher gelöscht werden, welche Daten zur Einhaltung gesetzlicher Bestimmungen archiviert werden müssen und wie archivierte Daten geschützt werden.

Grenzüberschreitende Datentransfers

Für Organisationen mit internationaler Mitgliedschaft gelten die DSGVO-Regeln zu grenzüberschreitenden Datentransfers. Wählerdaten, die außerhalb des Europäischen Wirtschaftsraums übertragen werden, müssen durch Angemessenheitsentscheidungen, Standardvertragsklauseln oder andere genehmigte Übertragungsmechanismen geschützt werden. Die Speicherung von Wahldaten innerhalb der EU vereinfacht die Einhaltung der Vorschriften erheblich.

Technische und organisatorische Maßnahmen

Die DSGVO erfordert "angemessene technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Für das Online-Wählen beinhaltet dies die Ende-zu-Ende-Verschlüsselung der Stimmzettel, Zugangskontrollen und Authentifizierung für Administratoren, regelmäßige Sicherheitsaudits und Penetrationstests, Verfahren zur Reaktion auf Vorfälle und zur Benachrichtigung bei Datenschutzverletzungen sowie Schulungen des Personals zu den Datenschutzpflichten.

Datenschutz-Folgenabschätzungen

Für Wahlen, die eine groß angelegte Verarbeitung personenbezogener Daten oder sensible Entscheidungen beinhalten, kann eine Datenschutz-Folgenabschätzung (DPIA) gemäß Artikel 35 der DSGVO erforderlich sein. Eine DPIA bewertet Risiken für die Privatsphäre der Wähler und identifiziert Maßnahmen zu deren Minderung, was das Engagement der Organisation zur Einhaltung des Datenschutzes demonstriert.