1. Dezember 2023 Online-Petitionen: Wie steht es um den Datenschutz österreichischer Plattformen?

Mit wenigen Klicks politische Veränderung bewirken: Damit das gelingt, teilen Unterzeichnende von Online-Petitionen zahlreiche personenbezogene Daten. Doch was geschieht mit diesen?

Es gibt kaum einen Ort im Internet, wo Nutzerinnen und Nutzer so bereitwillig personenbezogene Daten teilen, wie Petitionsplattformen. Schließlich ist es für einen guten Zweck: von globalen Themen, wie dem Erreichen der Klimaziele, bis zu lokalen Anliegen, etwa der Umwandlung eines einstigen Militärareals in eine Naherholungszone.

All das können Nutzerinnen und Nutzer mit nur wenigen Klicks unterstützen. Kommen genug Unterschriften zusammen, führen solche Petitionen, zusammen mit medialem Druck und weiterem zivilgesellschaftlichen Engagement, oftmals zum gewünschten Erfolg.

Darum teilen wir Namen, E-Mail-Adresse und Geburtsdatum, manchmal auch Postanschrift, Telefonnummer und Social-Media-Accounts mit den Plattformbetreibern. In Verbindung mit den Petitionen, die wir unterschreiben, vermitteln diese Daten letztlich einen Eindruck von unseren sozialen und politischen Überzeugungen – eine besonders schützenswerte Kategorie personenbezogener Daten.

Die bekanntesten Plattformen für Petitionen in Österreich

Zu unterscheiden ist zwischen behördlichen Plattformen, zivilgesellschaftlichen Initiativen und Organisationen mit konkreter politischer Ausrichtung. Hier eine Übersicht der wichtigsten in Österreich genutzten Plattformen:

• mein #aufstehn: Die Petitionsplattform ist Teil der österreichischen NGO #aufstehn, die sich seit 2015 für politische Partizipation einsetzt und neben der Betreuung der Petitionsplattform auch Demonstrationen sowie Begegnungen zwischen Politik und Zivilbevölkerung organisiert. Dabei fühlt man sich progressiven demokratischen Werten verpflichtet.
• Petitionen und Bürgerinitiativen beim österreichischen Parlament: Während jede und jeder mit einer Bürgerinitiative eigene Themen setzen kann, werden Petitionen nur von Abgeordneten zum Nationalrat oder von Mitgliedern des Bundesrats eingebracht. Daraufhin können Bürgerinnen und Bürger diese elektronisch unterzeichnen. Beide Instrumente dienen dazu, dem Nationalrat zu signalisieren, dass der Öffentlichkeit ein bestimmtes Anliegen wichtig ist.
• openPetition: Die als gemeinnützige Privatinitiative gegründete Plattform versteht sich als politisch neutral und richtet sich vor allem an Bürgerinnen und Bürger in Deutschland, Österreich und der Schweiz. Im Juli 2022 zählte die Plattform 12 Millionen Nutzerinnen und Nutzer.
• Petitionsplattform der Stadt Wien: Nur wenige Großstädte in Europa betreiben eine eigene Petitionsplattform. In Wien kann jede Person über 16 und mit Hauptwohnsitz in der Bundeshauptstadt eine Petition einbringen. Sobald diese von 500 Wienerinnen und Wienern unterstützt wird, setzt sich der Petitionsausschuss des Gemeinderats mit ihr auseinander.
• Change.org: Mit 200 Millionen Nutzerinnen und Nutzern ist Change.org die größte Petitionsplattform weltweit und wird auch in Österreich häufig genutzt. Die Plattform unterstützt insbesondere Menschen, die eine eigene Petition mit gesellschaftlich relevanten Anliegen einreichen wollen.

Welche Daten werden bei Online-Petitionen erhoben?

Damit eine Online-Unterschrift gültig ist, wird auf seriösen Online-Petitionsplattformen neben einer E-Mail-Adresse zumeist auch die Postanschrift benötigt, um die Identität der oder des Unterzeichnenden hinreichend zu bestätigen. So lässt sich etwa verhindern, dass eine Person unter Verwendung mehrerer E-Mail-Adressen und verschiedener Namen ein und dieselbe Petition mehrfach unterschreibt. Wer eine Bürgerinitiative oder eine Petition im Nationalrat unterstützen möchte, muss deshalb neben einer E-Mail-Adresse auch Postleitzahl und Wohnort angeben.

Was machen die Betreiber mit den Daten?

Jede Plattform geht anders mit dem Thema Datenschutz um. Im Jahr 2015 wurde beispielsweise bekannt, dass Change.org, die weltweit größte Petitionsplattform, Millionen von persönlichen Daten ihrer Nutzerinnen und Nutzer für Werbezwecke an Dritte weitergab. Für die Plattform war der Datenhandel ein lukratives Geschäft: Zwischen 0,85 Euro und 1,50 Euro pro Datenprofil (Name und E-Mail-Adresse) ließ sich Change.org von seinen Kunden zahlen.

Mittlerweile gilt ein solches Vorgehen bei seriösen Plattformen als unvertretbar. Dennoch lohnt es sich, die jeweilige Datenschutzerklärung genau zu lesen, bevor man eine Petition unterstützt. Im Allgemeinen kann davon ausgegangen werden, dass europäische Plattformen, wie „mein #aufstehn“ oder openPetition, zurückhaltender mit personenbezogenen Daten der Unterzeichnenden umgehen als etwa Organisationen mit Sitz in den USA. Auch bei offiziellen behördlichen Plattformen besteht hinsichtlich der bewussten Weitergabe von Daten kein Grund zur Sorge.

Nicht ausgeschlossen sind hingegen Datenpannen, wie bei der deutschen Petitionsplattform Campact im Jahr 2019: Laut der Organisation hatte ein technischer Fehler dazu geführt, dass die personenbezogenen Daten aller Unterzeichnenden einer Petition vorübergehend ohne Passwort einsehbar waren.

Der Umgang mit personenbezogenen Daten ist durch die europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Dadurch sind auch internationale Unternehmen verpflichtet, sich an europäische Datenschutzstandards zu halten. Zum Beispiel muss jede Online-Petitionsplattform auf Anfrage angeben, in welcher Weise die Daten von Nutzerinnen und Nutzern verarbeitet werden.

Der Autor dieses Beitrags hat es ausprobiert und bei Change.org, wo er in der Vergangenheit mehrere Petitionen unterschrieben hatte, nachgefragt. Innerhalb eines Tages folgte die Auskunft in Form einer PDF-Datei, die sämtliche personenbezogenen Daten enthält, die bei Change.org vorliegen, sowie – und das ist brisanter – eine Liste jener Dienstleister, die möglicherweise diese Daten erhalten haben. Dabei handelt es sich um Datenverarbeiter, die Change.org bei der Bereitstellung verschiedener Services der Plattform unterstützen, darunter Salesforce Service Cloud, PayPal und Amazon Web Services.

Auf die Nachfrage, welche Berechtigungen die genannten Dienstleister für den Umgang mit diesen Daten hätten – ob die Datenschutzrichtlinie von Change.org also beispielsweise auch für Amazon Web Services gelte –, blieb Change.org bislang eine Antwort schuldig.