Auskunft zu Zugriffsmöglichkeiten aus Ratsinformationssystemen
Der Datenschutzbeauftragte einer sächsischen Gemeinde wandte sich mit dem folgenden Sachverhalt an die Datenschutzbehörde: Der Stadtrat hatte über eine vertrauliche Personalangelegenheit gemäß § 28 Abs. 4 SächsGemO zu befinden. Nach dieser Vorschrift muss der Gemeinderat im Einvernehmen mit dem Bürgermeister über diverse grundsätzliche Belange betreffend Gemeindebediensteter entscheiden, wie Ernennung, Einstellung, Entlassung und anderes.
In diesem Zusammenhang wurde eine vertrauliche Vorlage mit Personalbezug in das Ratsinformationssystem der Gemeinde eingestellt. Da die Angelegenheit allem Anschein nach auch von gewissem Lokalinteresse war, musste die Gemeinde alsbald feststellen, dass die Presse berichtete und auch auf Dokumente aus eben dieser Vorlage zitierte. Da die Vorlage nicht öffentlich zugänglich war, lag es sehr nahe, dass jemand aus dem Kreis der Zugriffsberechtigten diese Dokumente an die Presse weitergeleitetet hatte. Die Meldung einer Datenschutzpanne nach Art. 33 Datenschutz-Grundverordnung (DSGVO) wurde durch die Gemeinde auch entsprechend der gesetzlichen Vorgaben veranlasst.
Nun hat aber der oder die Betroffene, um deren Personalangelegenheit es bei der Vorlage ging, einen Auskunftsanspruch über die eigenen, bei der Gemeinde und ihrem Stadtrat verarbeiteten Daten gemäß Art. 15 DSGVO gestellt und wollte hierzu auch alle Personen benannt wissen, die ein Zugriffsrecht bzw. eine Zugriffsmöglichkeit auf die Vorlage im Ratsinformationssystem hatten. Gesetzlich normiert ist, dass der betroffenen Person im Rahmen der Auskunft nach Art. 15 DSGVO auch ein Anspruch auf Information über die Empfänger oder Kategorien von Empfängern zusteht, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen, Art. 15 Abs. 1 Buchst. c DSGVO. So bezog sich die an die Datenschutzbehörde gestellte Frage des Datenschutzbeauftragten der Gemeinde darauf, ob im Rahmen einer solchen Auskunft auch potenzielle Empfänger personenbezogener Daten zu benennen sind; sprich diejenigen, die zwar ein Zugriffsrecht auf die entsprechenden Dokumente hatten, es aber nicht bekannt ist, ob tatsächlich ihrerseits Zugriffe stattgefunden haben. In der Stellungnahme der Datenschutzaufsicht an den Datenschutzbeauftragten konnte die Frage verneint werden. Das Auskunftsrecht beschränkt sich auf die konkreten Empfänger von personenbezogenen Daten, umfasst jedoch nicht die potenziellen Empfänger bzw. Zugriffsrechte. Eine bloße Möglichkeit des Datenempfangs reicht nicht aus.
Im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO sind somit als Empfänger nach Art. 15 Abs. 1 Buchst. c DSGVO nur Stellen zu benennen, die die personenbezogenen Daten (in diesem Fall die fragliche Vorlage) auch tatsächlich erhalten haben. Es wurde der Gemeinde indes dringend geraten, den Vorfall der zuständigen Staatsanwaltschaft anzuzeigen. Denn das unbefugte Offenbaren von Personalangelegenheiten durch Gemeinderätinnen und -räte oder Gemeindebedienstete an die Presse und andere Stellen kann eine Straftat nach § 203 Abs. 2 Strafgesetzbuch (StGB) und § 22 Abs. 4 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) darstellen. Nach § 203 Abs. 2 StGB wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis offenbart, das ihm als Amtsträger anvertraut worden oder sonst bekannt geworden ist.
Nach § 22 Abs. 4 SächsDSDG wird bestraft, wer eine Ordnungswidrigkeit nach § 22 Abs. 1 SächsDSDG, hier die unbefugte Übermittlung von Personalinformationen an die Presse, in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wobei die Schädigung auch ideeller Art sein kann. Kurz gesagt: Wer Personalinformationen unbefugt an die Presse oder Dritte weiterleitet, um den betroffenen Personen oder der Stadt als Arbeitgeber etwa „eins auszuwischen“, macht sich strafbar. Die Datenverarbeitung durch die Staatsanwaltschaft der zum einen im Ratsinformationssystem und zweitens im Server protokollierten Zugriffe wäre zweckändernd nach § 4 Abs. 1 Nr. 3 SächsDSDG ohne Weiteres möglich. Theoretisch könnte auch die Gemeinde selbst – in ihrer Funktion als Ordnungsbehörde – eine Ordnungswidrigkeit, vorliegend die unbefugte Offenbarung von Personalinformationen nach § 22 Abs. 1 SächsDSDG selbst ermitteln und hierzu auch selbst zweckändernd Daten verarbeiten. Die Datenschutzbehörde hat indes die Ansicht, Fälle, in denen eine Straftat (und nicht bloße Ordnungswidrigkeit) im Raum steht, stets bei der Staatsanwaltschaft anzuzeigen und nicht eigenhändig durch die Behörde zu ermitteln.
Was ist zu tun? Die Vergabe von Zugriffsrechten in Informationssystemen sollte exakt geprüft und Zugriffe sollten zur Abschreckung von Missbräuchen und einer etwaigen Strafverfolgung protokolliert werden.
Quelle: SDTB
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks