Zurück zur Übersicht
03.01.2025

Unterschriftenliste im Internet

Datenschutzverletzung in kommunalen Informationssystemen – Lehren aus einem aktuellen Fall

Veröffentlichung einer Unterschriftenliste im Internet

Die Datenschutzgrundverordnung (DSGVO) setzt klare Grenzen für die Verarbeitung personenbezogener Daten. Ein aktueller Fall aus einer Verbandsgemeinde zeigt, wie schnell diese Grenzen überschritten werden können. Eine von 784 Personen unterzeichnete Unterschriftenliste gegen die Errichtung eines Industriegebiets wurde in einem Rats- und Bürgerinformationssystem veröffentlicht. Die Liste enthielt vollständige Namen, Geburtsdaten, Adressen und Unterschriften der Unterzeichnenden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) ahndete dies als Verstoß gegen die DSGVO und das Landesdatenschutzgesetz (LDSG).

Analyse des Falls

Die Veröffentlichung der Liste verstieß gegen mehrere Datenschutzprinzipien:

  1. Fehlende Rechtsgrundlage: Die Veröffentlichung personenbezogener Daten im Internet erfordert eine gesetzliche Ermächtigungsgrundlage. Diese fehlte hier, was gegen Art. 6 Abs. 1 DSGVO verstößt.
  2. Verletzung der Grundsätze der Datenminimierung und Zweckbindung: Nach Art. 5 Abs. 1 lit. c DSGVO dürfen nur die Daten verarbeitet werden, die für den Zweck erforderlich sind. Eine Veröffentlichung im Internet war unverhältnismäßig und nicht erforderlich.
  3. Missachtung des Schutzes sensibler Daten: Die Veröffentlichung von Adressen und Geburtsdaten birgt erhebliche Risiken für die betroffenen Personen, einschließlich Identitätsdiebstahl.

Die förmliche Beanstandung durch den LfDI basiert auf § 17 Abs. 1 LDSG in Verbindung mit den genannten Verstößen gegen die DSGVO.

Maßnahmen zur Vermeidung ähnlicher Vorfälle

Dieser Fall verdeutlicht, wie wichtig es ist, die datenschutzrechtlichen Anforderungen bei der Veröffentlichung personenbezogener Daten zu berücksichtigen. Folgende Maßnahmen sollten ergriffen werden:

  1. Prüfung der Rechtsgrundlage:
    • Vor jeder Veröffentlichung personenbezogener Daten ist zu prüfen, ob eine gesetzliche Ermächtigung oder eine Einwilligung der Betroffenen vorliegt.
    • Insbesondere bei Online-Veröffentlichungen ist ein strenger Maßstab anzulegen.
  2. Datenminimierung umsetzen:
    • Nur die unbedingt notwendigen Daten dürfen veröffentlicht werden. Sensible Daten wie Adressen oder Geburtsdaten sollten anonymisiert oder vollständig weggelassen werden.
  3. Risikobewertung durchführen:
    • Vor der Veröffentlichung ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen, wenn sensible Daten verarbeitet werden.
  4. Mitarbeiterschulungen:
    • Verantwortliche in Verwaltungen und öffentlichen Einrichtungen müssen regelmäßig geschult werden, um Datenschutzverstöße zu vermeiden.
  5. Datenschutzbeauftragte einbinden:
    • Datenschutzbeauftragte sollten in alle Projekte und Entscheidungen einbezogen werden, die mit der Verarbeitung personenbezogener Daten verbunden sind.

Rechtsprechung und relevante Fachbeiträge

Die Entscheidung des LfDI knüpft an die ständige Rechtsprechung zur DSGVO an. Besonders relevant ist das Urteil des EuGH vom 9. März 2023 (C-460/20), das die Bedeutung der Datenminimierung betont. Fachbeiträge empfehlen zudem, Bürgerinformationssysteme regelmäßig auf Datenschutzkonformität zu überprüfen. Der vorliegende Fall zeigt, dass Datenschutz keine Nebensache ist, sondern in allen Bereichen – insbesondere in der öffentlichen Verwaltung – konsequent beachtet werden muss. Klare Prozesse, Schulungen und eine gründliche Prüfung der Rechtsgrundlagen sind essenziell, um Datenschutzverletzungen zu vermeiden und das Vertrauen der Bürgerinnen und Bürger zu erhalten.

Fragen Sie sich, ob Ihre Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks