Dem ehemaligen Juso-Landesvorsitzenden, Leon Hahn (SPD), unterlief vergangenes Jahr ein folgenschwerer Fehler im Umgang mit personenbezogenen Daten: Um sich auf den sogenannten „Kleinen Landesparteitag“ am 28.04.2018 vorzubereiten und insbesondere die parteiinterne Stimmung zu einem eingebrachten Antrag abschätzen zu können, versandte Hahn eine Liste aller 168 Delegierten des Parteitages an zehn Vertraute. Die mithilfe der SPD-Mitgliedersoftware erstellte Liste enthielt Vor- und Nachnamen sowie Alter, Wohnort und den jeweiligen Orts- und Kreisverband, also ohne Frage personenbezogene Daten der Juso-Delegierten.
Als Hahns Vertraute, sowohl Juso-Landesvorstandsmitglieder als Nicht-Amtsträger, diese Listen auswerteten und darauf basierend politische Strategien für den Landesparteitag erarbeiteten, fand eine Verarbeitung von personenbezogenen Daten statt. Der Clou: Die Delegiertenliste war nur für die Organisation des Landesparteitages, nicht für parteiinterne Meinungsbildung bestimmt. Folglich verstieß Hahn mit der zweckentfremdeten Versendung der Delegiertenliste am 27.04.2018 gegen die damals – einen Monat vor Wirksamwerden der EU-DSGVO – geltende Fassung des BDSG. Auch bewirkte er mit dieser Verarbeitung einen klaren politischen Vorteil für sich und seine Vertrauten, immerhin war nicht davon auszugehen, dass sonstige Beteiligte in gleichem Umfang mit derart weitreichenden Informationen Strategien entwickeln konnten.
Das BDSG alter Fassung gab einen Bußgeldrahmen von bis zu 50.000 € vor. Allerdings wirkte Hahn freiwillig und frühzeitig an der Aufklärung des Sachverhalts mit, weswegen die Bußgeldstelle des Landesbeauftragten für den Datenschutz und die Informationssicherheit (LfDI) Baden-Württemberg ein relativ überschaubares Bußgeld in Höhe von 2.500 € verhängte. Förderlich war für Hahn auch, dass er ehrenamtlich als Juso-Landesvorsitzender aktiv war und die Daten nicht für erwerbstätige Zwecke missbraucht wurden. In letzteren Fällen ist, insbesondere seit Inkrafttreten der EU-DSGVO, stets mit höheren Bußgeldern zu rechnen. Ermittlungen bezüglich anderweiter Verstöße gegen datenschutzrechtliche Bestimmungen oder sogar Straftaten ergaben keine Gründe für weitere Sanktionierungen.
Schließlich bleibt mit den Worten von Dr. Brink des LfDI festzuhalten, dass „interne Parteiarbeit […] kein blinder Fleck für den Datenschutz sein “ist, mithin auch „parteiintern […] die Rechte und Pflichten des Datenschutzes zu beachten“ sind. Und sollte einem als Verantwortungsträger ein Fehler im Umgang mit Daten unterlaufen, kommt man – wie auch beim Steuerbetrug – mit einer frühzeitigen und freiwilligen Beteiligung an einer Aufklärung relativ kosteneffizient davon.