Daten von Betreuten auf Abwegen
Die Weitergabe von personenbezogenen Daten betreuter Personen an unberechtigte Dritte über einen versehentlich genutzten E-Mail-Verteiler stellt eine unzulässige Übermittlung von personenbezogenen Daten dar, da keine Rechtsgrundlage die Verarbeitung rechtfertigt.
Den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) erreichte eine Beschwerde über einen Betreuungsverein, der personenbezogene Daten von betreuten Personen an mehrere unberechtigte Empfänger per E-Mail weitergeleitet hatte. Der TLfDI wandte sich daraufhin mit einem Auskunftsersuchen an den Verantwortlichen. Es konnte daraufhin festgestellt werden, dass unter anderem der Vor- und Nachname von betreuten Personen, Aktenzeichen des Betreuungsgerichts sowie Ort des Betreuungsgerichts und Rechnungsbeträge an insgesamt zehn unberechtigte Empfänger übermittelt wurden. Der Verantwortliche hatte hier aus Versehen eine Verteilerfunktion genutzt. Unmittelbar nach Bemerken des Fehlers hatte er die Empfänger über die fehlgeleitete E-Mail informiert und um Löschung dieser gebeten.
Trotz des unmittelbaren Feststellens des Fehlers liegt in diesem Fall eine Übermittlung von personenbezogenen Daten im Sinne des Art. 4 Nr. 2 Datenschutz-Grundverordnung (DSGVO) vor. Die Daten wurden den Empfängern so zugänglich gemacht, dass sie Kenntnis vom Informationsgehalt der betreffenden Daten erlangen können. Zudem handelt es sich bei den personenbezogenen Daten der Betreuten um, wenn auch mittelbar, besondere Kategorien personenbezogener Daten, da durch den Umstand, dass eine Betreuung für diese Person gegeben ist, Rückschlüsse auf deren geistigen beziehungsweise körperlichen Gesundheitszustand geschlossen werden können, Art. 9 Abs. 1 DSGVO.
Eine Verarbeitung muss auf rechtmäßige Weise erfolgen, das heißt, eine Rechtsgrundlage muss die vorgenommene Verarbeitung rechtfertigen. Im Rahmen der DSGVO sind hier die Rechtmäßigkeitstatbestände des Art. 6 Abs. 1 Satz 1 DSGVO zu prüfen. Eine Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchstabe a), 7 DSGVO lag seitens der betreuten Personen nicht vor. Auch auf Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO kann die erfolgte Verarbeitung nicht gestützt werden. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es fehlt bereits an einem berechtigten Interesse des Verantwortlichen, die personenbezogenen Daten der betreuten Personen an die falschen Personen zu übermitteln. Aus diesem Grund überwiegen bereits die Interessen der betroffenen Personen. Ferner handelt es sich bei den hier übermittelten Daten zumindest mittelbar um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO, was den Eingriff in die Rechte der betroffenen Personen verstärkt. Zudem ist die Verarbeitung von besonderen Kategorien personenbezogener Daten nur unter den Voraussetzungen des Art. 9 Abs. 2 Buchstabe a) bis j) DSGVO zulässig. Da keine Einwilligung der betreuten Personen in die Übermittlung vorlag und auch die sonstigen Voraussetzungen des Art. 9 Abs. 2 DSGVO nicht gegeben waren, lag insoweit auch keine rechtmäßige Übermittlung von besonderen Kategorien personenbezogener Daten vor.
Der verantwortliche Verein wurde seitens des TLfDI nach Art. 58 Abs. 2 Buchstabe b) DSGVO mittels kostenpflichtigen Bescheides verwarnt.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks