Zurück zur Übersicht
04.05.2020

Datenabruf für private Zwecke

Beschäftigte von öffentlichen Stellen, die von dienstlichen Geräten personenbezogene Daten für private Zwecke abrufen, werden nicht zu Verantwortlichen.

Für die Datenschutzaufsichtbehörden gibt es verschiedenste Probleme, die die neue Rechtslage mit sich bringt, zu lösen. So wurde beispielsweise in Zusammenarbeit mit dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) die Zuständigkeit für Bußgeldverfahren gegen Mitarbeiter öffentlicher Stellen, die unzulässig Datenabrufe zu privaten Zwecken vornehmen, wie folgt geklärt:


Datenabrufe durch Mitarbeiter öffentlicher Stellen aus behördlichen Datenbanken – wie beispielsweise aus polizeilichen Rechnerchesystemen – sind nur dann erlaubt, wenn ein dienstlicher Anlass dafür besteht.


Kern des behandelten Problems ist die Frage, ob ein Mitarbeiter einer öffentlichen Stelle bei einem Datenabruf aus einem behördlichen Abfragesystem ohne dienstlichen Anlass, d. h. zu rein privaten Zwecken, selbst zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird – mit der Konsequenz der Anwendbarkeit des Art. 83 DSGVO – oder Teil der verantwortlichen öffentlichen Stelle bleibt, sodass die Bußgeldvorschrift des Art. 23 des Bayerischen Datenschutzgesetzes (BayDSG) anzuwenden ist. Wenn man der ersten Auffassung folgen würde, würde der behördliche Mitarbeiter den unzulässigen Datenabruf als nicht-öffentliche Stelle durchführen, sodass wir für die Ahndung des Verstoßes zuständig wären.

Nach übereinstimmender Ansicht der bayerischen Aufsichtsbehörden wird ein Mitarbeiter einer öffentlichen Stelle, der Datenabrufe zu rein privaten Zwecken vornimmt, nicht zum selbstständigen Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO, sondern bleibt Teil der verantwortlichen Behörde. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der einzelne Mitarbeiter einer öffentlichen Stelle entscheidet jedoch nicht selbst über die grundsätzlichen Zwecke und Mittel der Abfragesysteme, vielmehr verwendet er lediglich die ihm zur Verfügung gestellten Programme. Darüber hinaus regelt Art. 3 Abs. 2 BayDSG auf Grundlage der in Art. 4 Nr. 7 DSGVO enthaltenen Spezifizierungsklausel, dass Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO die für die Verarbeitung zuständige öffentliche Stelle ist.

Auch ein Vergleich mit den in der DSGVO enthaltenen Regelungen zum Auftragsverarbeiter stützt dieses Ergebnis: Ein Auftragsverarbeiter ist nicht berechtigt, Zwecke und Mittel der Datenverarbeitung zu bestimmen. In Fällen, in denen der Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, regelt Art. 28 Abs. 10 DSGVO, dass er für diese Verarbeitung als eigener Verantwortlicher im Sinne der DSGVO haftbar wird. Dies ist vergleichbar mit einem Behördenmitarbeiter, der seine Befugnisse überschreitet. Eine dem Art. 28 Abs. 10 DSGVO entsprechende Regelung zur eigenen Verantwortlichkeit von Behördenmitarbeitern bei Datenverarbeitungen zu privaten Zwecken fehlt jedoch, sodass davon auszugehen ist, dass der Gesetzgeber eine solche gerade nicht regeln wollte.


In der Konsequenz bedeutet dies, dass mangels Verantwortlichkeit des den Datenabruf tätigenden Mitarbeiters nicht die Verwirklichung einer Ordnungswidrigkeit nach Art. 83 DSGVO, sondern nur die Verwirklichung einer Ordnungswidrigkeit nach Art. 23 BayDSG in Betracht kommt.


Die Zuständigkeit für die Ahndung einer solchen Ordnungswidrigkeit nach Art. 23 BayDSG ergibt sich aus § 36 Abs. 2 OWiG in Verbindung mit der (Bayerischen) Zuständigkeitsverordnung (ZustV).

Im Bereich der Polizei sind nach § 91 Abs. 3 ZustV die dem Staatsministerium des Innern, für Sport und Integration unmittelbar nachgeordneten Polizeidienststellen für die Verfolgung der Ordnungswidrigkeit zuständig. Im Übrigen kommt meist § 87 Abs. 1 Satz 1 ZustV zur Anwendung, wonach diejenige Verwaltungsbehörde zuständig ist, der der Vollzug der Rechtsvorschrift obliegt, gegen die sich die Zuwiderhandlung richtet. Das ist diejenige öffentliche Stelle, in deren Bereich der Verstoß gegen Art. 23 BayDSG begangen wurde.

Dieses Ergebnis ist in Hinblick auf eine so mögliche Harmonisierung des disziplinarrechtlichen Vorgehens und der Verfolgung der Ordnungswidrigkeit aus Art. 23 BayDSG auch sachgerecht.

Quelle: BayLDA

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks