Datenschutzverletzung in kommunalen Informationssystemen – Lehren aus einem aktuellen Fall
Veröffentlichung einer Unterschriftenliste im Internet
Die Datenschutzgrundverordnung (DSGVO) setzt klare Grenzen für die Verarbeitung personenbezogener Daten. Ein aktueller Fall aus einer Verbandsgemeinde zeigt, wie schnell diese Grenzen überschritten werden können. Eine von 784 Personen unterzeichnete Unterschriftenliste gegen die Errichtung eines Industriegebiets wurde in einem Rats- und Bürgerinformationssystem veröffentlicht. Die Liste enthielt vollständige Namen, Geburtsdaten, Adressen und Unterschriften der Unterzeichnenden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) ahndete dies als Verstoß gegen die DSGVO und das Landesdatenschutzgesetz (LDSG).
Analyse des Falls
Die Veröffentlichung der Liste verstieß gegen mehrere Datenschutzprinzipien:
- Fehlende Rechtsgrundlage: Die Veröffentlichung personenbezogener Daten im Internet erfordert eine gesetzliche Ermächtigungsgrundlage. Diese fehlte hier, was gegen Art. 6 Abs. 1 DSGVO verstößt.
- Verletzung der Grundsätze der Datenminimierung und Zweckbindung: Nach Art. 5 Abs. 1 lit. c DSGVO dürfen nur die Daten verarbeitet werden, die für den Zweck erforderlich sind. Eine Veröffentlichung im Internet war unverhältnismäßig und nicht erforderlich.
- Missachtung des Schutzes sensibler Daten: Die Veröffentlichung von Adressen und Geburtsdaten birgt erhebliche Risiken für die betroffenen Personen, einschließlich Identitätsdiebstahl.
Die förmliche Beanstandung durch den LfDI basiert auf § 17 Abs. 1 LDSG in Verbindung mit den genannten Verstößen gegen die DSGVO.
Maßnahmen zur Vermeidung ähnlicher Vorfälle
Dieser Fall verdeutlicht, wie wichtig es ist, die datenschutzrechtlichen Anforderungen bei der Veröffentlichung personenbezogener Daten zu berücksichtigen. Folgende Maßnahmen sollten ergriffen werden:
- Prüfung der Rechtsgrundlage:
- Vor jeder Veröffentlichung personenbezogener Daten ist zu prüfen, ob eine gesetzliche Ermächtigung oder eine Einwilligung der Betroffenen vorliegt.
- Insbesondere bei Online-Veröffentlichungen ist ein strenger Maßstab anzulegen.
- Datenminimierung umsetzen:
- Nur die unbedingt notwendigen Daten dürfen veröffentlicht werden. Sensible Daten wie Adressen oder Geburtsdaten sollten anonymisiert oder vollständig weggelassen werden.
- Risikobewertung durchführen:
- Vor der Veröffentlichung ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen, wenn sensible Daten verarbeitet werden.
- Mitarbeiterschulungen:
- Verantwortliche in Verwaltungen und öffentlichen Einrichtungen müssen regelmäßig geschult werden, um Datenschutzverstöße zu vermeiden.
- Datenschutzbeauftragte einbinden:
- Datenschutzbeauftragte sollten in alle Projekte und Entscheidungen einbezogen werden, die mit der Verarbeitung personenbezogener Daten verbunden sind.
Rechtsprechung und relevante Fachbeiträge
Die Entscheidung des LfDI knüpft an die ständige Rechtsprechung zur DSGVO an. Besonders relevant ist das Urteil des EuGH vom 9. März 2023 (C-460/20), das die Bedeutung der Datenminimierung betont. Fachbeiträge empfehlen zudem, Bürgerinformationssysteme regelmäßig auf Datenschutzkonformität zu überprüfen. Der vorliegende Fall zeigt, dass Datenschutz keine Nebensache ist, sondern in allen Bereichen – insbesondere in der öffentlichen Verwaltung – konsequent beachtet werden muss. Klare Prozesse, Schulungen und eine gründliche Prüfung der Rechtsgrundlagen sind essenziell, um Datenschutzverletzungen zu vermeiden und das Vertrauen der Bürgerinnen und Bürger zu erhalten.
Fragen Sie sich, ob Ihre Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks