Personaldaten gehören nicht in Chatgruppen
Personaldaten dürfen nur durch Personen verarbeitet
werden, die dafür zuständig sind.
Der Arbeitsvertrag eines Mitarbeiters hat in einem Gruppenchat nichts zu suchen, selbst dann nicht, wenn er sofort wieder gelöscht wird.
Den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) erreichte die Beschwerde eines Beschäftigten eines Pflegezentrums. Er gab an, dass sein Arbeitsvertrag über einen Messengerdienst innerhalb eines Gruppenchats in dem Unternehmen veröffentlicht worden war. Der TLfDI wandte sich daraufhin an das Pflegeunternehmen. Der Verantwortliche räumte die Veröffentlichung der ersten Seite des Arbeitsvertrages des Beschwerdeführers im Gruppenchat ein, teilte aber mit, dass dieses Bild sofort wieder gelöscht worden sei.
Hierin sah der TLfDI einen datenschutzrechtlichen Verstoß. Personenbezogene Daten von Beschäftigten dürfen nach Art. 6 Abs. 1 Satz 1 Buchstabe b) Datenschutz-Grundverordnung (DS-GVO) nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung oder Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung ergebenen Rechte und Pflichten erforderlich ist. Eine solche Erforderlichkeit der Veröffentlichung der ersten Seite des Arbeitsvertrages gegenüber anderen Beschäftigten des Unternehmens wurde nicht gesehen. Es wurde davon ausgegangen, dass auch, wenn der Verantwortliche das Bild sofort wieder gelöscht hatte, die Einsicht durch Dritte stattgefunden hat, da der Beschwerdeführer von seinen Kollegen mittels Screenshot über die Veröffentlichung in der Chatgruppe informiert worden ist. Da der Verstoß bereits geschehen war, jedoch nicht mehr andauerte, sprach der TLfDI gegenüber dem Verantwortlichen eine Verwarnung aus.
Hiergegen legte der Verantwortliche Klage beim Verwaltungsgericht Weimar ein. Dieses wies die Klage ab, weil es die Entscheidung des TLfDI für rechtmäßig hielt. Das Verwaltungsgericht stellte einen Verstoß gegen Art. 5 Abs. 1 Satz 1 Buchstabe a) DS-GVO fest, weil es für die Übersendung des Fotos keine Rechtsgrundlage gegeben hatte. Das Foto sei Dritten zugänglich gemacht worden, ohne dass es hierzu eine gesetzliche Rechtfertigung gegeben hätte. Die Mitglieder der Gruppe waren gegenüber dem Beschwerdeführer Dritte im Sinne von Art. 4 Nr. 10 DS-GVO. Alle Personen oder Stellen, die nicht Verantwortlicher oder Auftragsverarbeiter sind und auch nicht zu den betroffenen Personen gehören, gelten als Dritte. Keine Dritten sind interne Personen, das heißt solche Bedienstete oder Organisationen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder eines Auftragsverarbeiters befugt sind, personenbezogene Daten des Betroffenen zu verarbeiten. Dies war aber im vorliegenden Fall gerade nicht gegeben.
Der Verantwortliche hatte zudem im Laufe des Gerichtsverfahrens angegeben, dass er nicht in seiner Funktion als Geschäftsführer Mitglied der Gruppe sei, sondern dort als Privatperson gehandelt habe. Diesen Vortrag fand das Gericht nicht überzeugend. Ein willentliches Handeln als Privatperson vermag die Verantwortlichkeit des Verantwortlichen nicht aushebeln. Außerdem hatte die Chatgruppe einen rein dienstlichen Charakter und diente ausschließlich dem Zweck, Arbeitsprozesse zu optimieren und intern zu organisieren. Daher war eindeutig klar, dass der Geschäftsführer der Verantwortlichen dort für den Pflegedienst handelte.
Das Gericht bestätigte außerdem die Auffassung, dass eine Verarbeitung in Form einer Offenlegung im Sinne des Art. 4 Nr. 2 siebte Variante DS-GVO vorgelegen hatte, da der Verantwortliche personenbezogene Daten anderen Stellen in der Weise zugänglich gemacht hat, dass diese Kenntnis vom Informationsgehalt der betreffenden Daten erlangen konnten. Auf die tatsächliche Kenntnisnahme der Gruppenmitglieder kam es deswegen nicht an.
Auch § 26 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG) rechtfertigte nach Auffassung des Gerichtes die Datenverarbeitung nicht. Die Offenlegung in der Gruppe war nicht erforderlich, was sich bereits aus dem Umstand ergeben habe, dass die Verantwortliche selbst mitgeteilt habe, dass es sich um ein schlichtes Versehen gehandelt hatte.
Das Gericht stellte auch fest, dass der TLfDI sein Ermessen fehlerfrei ausgeübt hat. Er habe lediglich eine Verwarnung ausgesprochen und keine Geldbuße verhängt, sodass sich die Maßnahme bereits aus objektiver Betrachtung heraus als mildestes Mittel gestaltet. Einen Anspruch auf Absehen vom behördlichen Einschreiten habe der Verantwortliche nicht gehabt. Das Verwaltungsgericht ließ die Berufung gegen seine Entscheidung nicht zu, weswegen sich die Verantwortliche/Klägerin mit einer Zulassungsbeschwerde an das Thüringer Oberverwaltungsgericht (OVG) wandte.
Nach § 124 der Verwaltungsgerichtsordnung ist eine Berufung dann zuzulassen, wenn ernstliche Zweifel an der Richtigkeit des Urteils bestehen, wenn die Rechtssache besondere tatsächliche oder rechtliche Schwierigkeiten aufweist oder wenn die Rechtssache grundsätzliche Bedeutung hat. Hiervon ging der Kläger aus. Das OVG hatte keine ernstlichen Zweifel an der Richtigkeit des Urteils des Verwaltungsgerichts Weimar und lehnte den Antrag auf Zulassung der Berufung ab. Der Verantwortliche hatte in der Begründung des Antrags nunmehr geleugnet, das Foto in den Gruppenchat gestellt zu haben und war der Auffassung, der Sachverhalt sei nicht richtig übermittelt worden. Hierzu legte das OVG dar, dass der Vortrag des Verantwortlichen, die Aufklärung der Umstände insbesondere im Hinblick auf die Herkunft des streitgegenständlichen Fotos durch den TLfDI sei nicht ordentlich erfolgt und der TLfDI habe damit den Mindeststandard für eine Ermittlungstätigkeit nicht genügt, die Richtigkeit des Urteils nicht berühre. Eine Aufklärungsrüge nach § 86 Abs. 1 Satz 1 Verwaltungsgerichtsordnung setze eine substantiierte Darlegung voraus, hinsichtlich welcher entscheidungserheblicher Umstände Aufklärungsbedarf bestanden hat, welche Aufklärungsmaßnahmen hierfür in Betracht gekommen wären und welche tatsächlichen Feststellungen, die zu einem für den Verantwortlichen günstigeren Ergebnis geführt hätten, voraussichtlich getroffen worden wären. Außerdem hatte der Verantwortliche im Verfahren vor dem Verwaltungsgericht – insbesondere auch in der mündlichen Verhandlung – diese Anhaltspunkte nicht dargelegt. Es wurde kein entsprechender Beweisantrag gestellt. Es reiche nicht, wenn der Verantwortliche pauschal fordere, dass entlastenden Hinweisen hätte nachgegangen werden müssen.
Nach der Entscheidung des Thüringer Oberverwaltungsgerichts ist die Verwarnung des TLfDI nunmehr rechtskräftig.
Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI).
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks