Geldbußen gegen Beschäftigte öffentlicher Stellen beim Missbrauch von dienstlichen Daten für private Zwecke?

11 Bewertungen

Dass Beschäftigte öffentlicher Stellen Daten, auf die sie für dienstliche Zwecke zugreifen können, nicht für private Zwecke verwenden dürfen, liegt schon angesichts des Grundsatzes der Zweckbindung auf der Hand. Kann gegen sie persönlich eine Geldbuße nach Art. 83 DSGVO verhängt werden, wenn sie das trotzdem tun? Welche anderen Sanktionen, auch solche strafrechtlicher Art, kommen in Betracht?

1. Um welche Fallkonstellationen geht es?

Auch bei öffentlichen Stellen kommt es vor, dass Beschäftigte Daten, auf die sie für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden. Oft geht es dabei um Daten, die in dienstlich verfügbaren Datenbanken gespeichert sind. Die Fachliteratur bezeichnet solche Konstellationen teils plakativ als „Mitarbeiterexzess“ (so etwa Ambrock, ZD 2020, 492). Auch die allgemeinere Bezeichnung „Exzess“ findet sich (so etwa LfDI BW 35. TB für 2019, S. 41). Diese Begriffe bringen den Aspekt, dass der Beschäftigte mit einem solchen Zugriff seine dienstlichen Befugnisse überschreitet, anschaulich zum Ausdruck.

Bei einem Blick in die Tätigkeitsberichte der Aufsichtsbehörden entsteht der Eindruck, als käme ein solcher Missbrauch für private Zwecke am häufigsten im Polizeibereich vor, während von anderen Behörden oder öffentlichen Stellen in diesem Zusammenhang deutlich seltener die Rede ist. Diese Wahrnehmung dürfte indessen nicht die Realität widerspiegeln. Denn zum einen gehört der Umgang mit Auskunfts- und Informationssystemen bei der Polizei weit mehr zum dienstlichen Alltag als bei anderen öffentlichen Stellen und zum anderen verfolgen Polizeidienststellen ein datenschutzrechtliches Fehlverhalten ihrer Bediensteten besonders konsequent (zu beiden Aspekten siehe 21. TB Sachsen für 2020, S. 151/152).

Ergänzend ist noch darauf hinzuweisen, dass ein entsprechendes Fehlverhalten von Polizeibediensteten in der Öffentlichkeit besonders stark wahrgenommen wird, weil es bei ihnen in einem besonders deutlichen Spannungsverhältnis zu den dienstlichen Aufgaben steht. Zu vermuten ist somit, dass bei öffentlichen Stellen außerhalb des Polizeibereichs keineswegs weniger Verstöße vorkommen, sondern dass dort schlicht das Dunkelfeld größer ist.

Besonders starke Beachtung hat in der Öffentlichkeit der Fall eines Polizeibeamten aus Baden-Württemberg gefunden, der unberechtigte Zugriffe auf zwei Datenbanken kumulierte, um einen rein privaten Zweck zu verfolgen. Um Verbindung zu einer Frau aufnehmen zu können, die er zufällig kennengelernt hatte, fragte er unter Verwendung seiner dienstlichen Benutzerkennung mit Hilfe des KfZ-Kennzeichens zunächst die Halterdaten des PKWs ab, den sie benutzte. Über die Halterdaten bekam er dann durch eine Abfrage bei der Bundesnetzagentur die Telefonnummer der Frau. Anschließend kontaktierte er sie telefonisch (Schilderung des Falles siehe LfDI BW 35. TB für 2019, S. 41).

Relativ häufig wird auch von Fällen in Kliniken berichtet, bei denen Klinikbedienstete für rein private Zwecke auf Daten von Patienten zugreifen. Auch hier besteht der Hintergrund oft darin, dass mithilfe der Daten eine private Kontaktaufnahme erfolgen soll. So hat in Nordrhein-Westfalen ein Mitglied des ärztlichen Personals einer Klinik aus Behandlungsunterlagen den Vor- und Nachnamen einer behandelten Person entnommen und sie dann mithilfe dieser Angaben in Facebook gesucht und kontaktiert (siehe LDI NRW 26. TB für 2020, S. 143). Nicht selten scheint der Einblick in Daten der Befriedigung einer bloßen Neugier zu dienen. Ein gutes Beispiel hierfür bildet ein vom Landgericht Flensburg entschiedener Fall, in dem der Chefarzt der internistischen Abteilung einer Klinik wegen eines Herzinfarkts in der kardiologischen Abteilung derselben Klinik behandelt wurde. Während seines Klinikaufenthalts gab es etwa 150 Zugriffe auf die ihn betreffenden Daten in der elektronischen Behandlungsakte durch klinikeigenes Personal. Wegen vier dieser Zugriffe forderte er Schadensersatz vom Träger der Klinik, was allerdings bereits an der Verjährung etwaiger entsprechender Ansprüche scheiterte (LG Flensburg, Urteil vom 19.11.2021 – 3 O 227/19).

Zugriffe für private Zwecke auf Daten, die in Papierunterlagen enthalten sind, werden seltener berichtet. Dies dürfte nicht darauf beruhen, dass sie seltener vorkämen als unberechtigte Zugriffe auf elektronische Systeme. Vielmehr ist zu vermuten, dass unberechtigte Zugriffe auf Daten in Papierunterlagen seltener erkannt werden. Beispiel aus der Praxis: Jemand hatte sich auf eine Arbeitsstelle beworben. Die Bewerbungsunterlagen enthielten die private Mobilfunknummer. Ein Beschäftigter der Personalabteilung nutzte die Mobilfunknummer für eine rein privat motivierte Kontaktaufnahme mithilfe von WhatsApp (siehe LDI NRW 26. TB für 2020, S. 143/144).

Der vorliegende Newsletter fokussiert sich ausschließlich auf Fälle, die bei öffentlichen Stellen vorkommen. Insbesondere die Beispiele aus dem Klinikbereich und dem Personalwesen zeigen, dass entsprechende Verstöße auch in Privatunternehmen vorkommen können, sei es bei Kliniken in privater Trägerschaft oder bei privaten Arbeitgebern. Dabei sind jedoch zum Teil rechtliche Überlegungen zu berücksichtigen, die für öffentliche Stellen keine Bedeutung haben.

2. Ist in solchen Konstellationen eine Geldbuße gemäß Art. 83 DSGVO gegen die öffentliche Stelle denkbar, bei welcher der Beschäftigte tätig ist?

Das ist im Ergebnis nur möglich, wenn und soweit die öffentliche Stelle am Wettbewerb teilnimmt. Dies hat folgenden Hintergrund (für weitere Einzelheiten siehe BayLfD, Aktuelle Kurz-Information 17: Geldbußen nach Art. 83 DSGVO gegen bayerische öffentliche Stellen, abrufbar unter https://www.datenschutz-bayern.de/datenschutzreform2018/aki17.html):

Die Regelungen des Art. 83 DSGVO für die Verhängung von Geldbußen gelten vom Grundsatz her sowohl für öffentliche wie für nicht-öffentliche Stellen. Allerdings räumt Art. 83 Abs. 7 DSGVO den nationalen Gesetzgebern der Mitgliedstaaten die Möglichkeit ein, Regelungen dafür zu treffen, „ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“ Erwägungsgrund 150 Satz 6 zur DSGVO beschreibt den großen Spielraum, der den nationalen Gesetzgebern damit eingeräumt ist: „Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können.“

In Deutschland haben sowohl der Bund als auch alle Bundesländer die Möglichkeit genutzt, eine Verhängung von Geldbußen gemäß Art. 83 DSGVO gegen Behörden und öffentliche Stellen vom Grundsatz her auszuschließen. Für Bayern relevant ist die Regelung des Art. 22 BayDSG. Sie legt fest: „Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 dürfen Geldbußen nach Art. 83 DSGVO nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen.“

Gegen die öffentliche Stelle selbst ist in Fällen der hier interessierenden Art eine Geldbuße nach Art. 83 DSGVO somit von vornherein nur denkbar, wenn sie am Wettbewerb teilnimmt. Sollte dies nicht der Fall sein, kommt jedenfalls gegen sie eine derartige Geldbuße nicht in Betracht. Ob dann gleichwohl eine Geldbuße gegen den Beschäftigten möglich ist, bedarf noch gesonderter Erörterung. Letzteres würde voraussetzen, dass der Beschäftigte als Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO anzusehen ist.

Sollte die öffentliche Stelle dagegen am Wettbewerb teilnehmen, ist eine Geldbuße gegen sie in Fällen der hier interessierenden Art vom Grundsatz her denkbar. Dann wird allerdings die Frage relevant, ob ihr der Datenschutzverstoß des Beschäftigten zugerechnet werden kann oder nicht. Dies würde voraussetzen, dass auch im Hinblick auf den von ihr nicht gebilligten Datenschutzverstoß durch den Beschäftigten die öffentliche Stelle als Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO anzusehen ist.

3. Wer ist bei einem „Mitarbeiterexzess“ Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO, der Beschäftigte selbst oder die öffentliche Stelle, bei der er tätig ist?

Diese Kernfrage entscheidet darüber, gegen wen in Fällen des „Mitarbeiterexzesses“ eine Geldbuße möglich ist:

  • Sollte der Beschäftigte aufgrund der Überschreitung seiner dienstlichen Befugnisse selbst Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO sein, wäre er der Adressat einer etwaigen Geldbuße. Er wäre dann insoweit als eine eigenständige nicht-öffentliche Stelle anzusehen, die für ihr Handeln selbst verantwortlich ist.

  • Sollte er dagegen trotz der Überschreitung seiner dienstlichen Befugnisse weiterhin als Teil der öffentlichen Stelle handeln, bei der er tätig ist, bliebe diese öffentliche Stelle auch im Hinblick auf das unzulässige und von ihr nicht gebilligte Handeln des Beschäftigten Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO.

Die Frage ist umstritten. Die beiden bayerischen Aufsichtsbehörden (Bayer. Landesamt für Datenschutzaufsicht – BayLDA – und Bayer. Landesbeauftragter für den Datenschutz – BayLfD –) gehen übereinstimmend davon aus, dass ein Beschäftigter nicht zum Verantwortlichen im Sinn von Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, für private Zwecke verwendet. Sie halten deshalb die Verhängung einer Geldbuße nach Art. 83 DSGVO gegen einen Beschäftigten persönlich für rechtlich ausgeschlossen. Für sie sind dabei vor allem folgende Argumente ausschlaggebend (siehe BayLDA, TB 2019, S. 72, abrufbar unter https://www.lda.bayern.de/media/baylda_report_09.pdf):

  • Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO ist nur, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Abzustellen ist dabei auf die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme. Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht. Er verwendet vielmehr lediglich die ihm zur Verfügung gestellten Programme für außerdienstliche, private Zwecke.

  • Für Bayern kommt hinzu, dass Art. 3 Abs. 2 BayDSG auf der Grundlage der in Art. 4 Nr. 7 DSGVO enthaltenen Spezifizierungsmöglichkeit ausdrücklich festlegt, dass Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinn der DSGVO die für die Verarbeitung zuständige öffentliche Stelle ist (also nicht ein Beschäftigter dieser Stelle).

  • Ferner spricht auch der Vergleich mit den Regelungen zur Auftragsverarbeitung in der DSGVO für dieses Ergebnis. Diese Regelungen legen fest, dass ein Auftragsverarbeiter nicht berechtigt ist, Zwecke und Mittel der Datenverarbeitung zu bestimmen. Für den Fall, dass er in rechtswidriger Weise seine Befugnisse überschreitet, ordnet Art. 28 Abs. 10 DSGVO ausdrücklich an, dass er insoweit als eigener Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO anzusehen ist. Eine entsprechende Regelung zur eigenen Verantwortlichkeit von Behördenbeschäftigten bei Datenverarbeitung für private Zwecke enthält die DSGVO indessen nicht. Deshalb ist davon auszugehen, dass sie eine solche eigene Verantwortlichkeit von Beschäftigten auch nicht festlegen wollte.

Diese Auffassung wird von einigen anderen Aufsichtsbehörden nicht geteilt. Die Landesbeauftragten von Baden-Württemberg und Nordrhein-Westfalen (siehe LfDI BW 35. TB für 2019, S. 41 und LDI NRW 26. TB für 2020, S. 143/144) sehen in Fällen des „Mitarbeiterexzesses“ den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen im Sinn von Art. 4 Nr. 7 DSGVO an. Nach ihrer Auffassung ist somit die Verhängung einer Geldbuße gemäß Art. 83 DSGVO gegen den Beschäftigten persönlich in solchen Fällen möglich. Dabei stützen sie sich auf folgende Argumentation:

  • Ein Beschäftigter handelt in solchen Fällen als Privatperson außerhalb seiner dienstlichen Befugnisse.

  • Sein Handeln ist deshalb der öffentlichen Stelle, bei der er tätig ist, nicht zuzurechnen. Vielmehr ist er für dieses Handeln selbst verantwortlich.

  • Durch sein Handeln hat er die Zwecke und Mittel der Datenverarbeitung selbst bestimmt und ist deshalb als Privatperson Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO.

Im Augenblick besteht somit innerhalb Deutschlands keine einheitliche Praxis der Aufsichtsbehörden. Eine Entscheidung des Europäischen Gerichtshofs, die die Frage verbindlich klären würde, liegt bisher nicht vor und ist auch nicht absehbar. Auch der Europäische Datenschutzausschuss hat sich zu der Frage bisher nicht geäußert. Für Bayern ist somit bis auf weiteres von der oben dargestellten Auffassung der beiden bayerischen Aufsichtsbehörden auszugehen.

4. Welche sonstigen Sanktionen sind bei einem „Mitarbeiterexzess“ möglich?

Nach Auffassung der beiden bayerischen Aufsichtsbehörden ist gegen Beschäftigte öffentlicher Stellen beim Missbrauch von dienstlichen Daten für private Zwecke zwar keine Verhängung einer Geldbuße gemäß Art. 83 DSGVO möglich. Dies schließt jedoch eine Ahndung auf der Basis anderer Regelungen nicht aus.

Von genereller Bedeutung ist insoweit die Möglichkeit einer Geldbuße gemäß Art. 23 Abs. 1 Nr. 1 Buchst. c BayDSG. Gemäß dieser Ordnungswidrigkeiten-Vorschrift kann unter anderem der mit einer Geldbuße von bis zu 30.000 € belegt werden, der personenbezogene Daten, die für eine öffentliche Stelle im Sinn des Art. 1 Abs. 1, 2 oder 4 BayDSG verarbeitet werden und nicht offenkundig sind, abruft, oder sich oder einem anderen aus Dateien verschafft. Nach § 87 Abs. 1 der Zuständigkeitsverordnung obliegt die Verhängung der Geldbuße der Stelle, auf deren Daten der Beschäftigte datenschutzwidrig zugegriffen hat. Damit ist die Ahndung von „Mitarbeiterexzessen“ durch die Beschäftigungsstelle sowohl disziplinarrechtlich als auch im Rahmen eines Bußgeldverfahrens denkbar. Die außerhalb Bayerns vertretene Anwendung des Art. 83 DSGVO führt dagegen zu einer Ahndungszuständigkeit der Datenschutzaufsichtsbehörden (Art. 58 Abs. 2 Buchst. i DSGVO).

Sollte ein Beschäftigter bei der Verwendung von dienstlichen Daten für private Zwecke eine Schädigungsabsicht verfolgen, kommt die Erfüllung des Straftatbestandes des Art. 23 Abs. 2 BayDSG in Betracht. Auf der Grundlage dieser Regelung hat das Bayer. Oberste Landesgericht die Verurteilung eines Mitarbeiters einer Meldebehörde zu 90 Tagessätzen bestätigt. Der Beschäftigte hatte aus dem Melderegister die Anschrift einer Person abgerufen und sie privat an eine andere Person weitergegeben. Dies geschah in dem Bewusstsein, dass die andere Person die Anschrift möglicherweise dazu verwenden würde, um „vor Ort“ eine Streitigkeit mit Gewalt auszutragen. Den Weg über eine offizielle Melderegisterauskunft gemäß § 44 BMG vermieden die Beteiligten offensichtlich schon deshalb, damit die Datenweitergabe nicht dokumentiert werden würde. Der Beschluss des BayObLG vom 26. 10. 2021 (202 StRR 126/21) ist abrufbar unter https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-36406?hl=true.

Die bundesrechtlichen Strafvorschriften des § 203 Abs. 2 StGB (Verletzung von Privatgeheimnissen durch Amtsträger usw.) sowie des § 353 b StGB (Verletzung des Dienstgeheimnisses und einer besonderen Geheimhaltungspflicht) spielen beim „Mitarbeiterexzess“ dann keine Rolle, wenn der Beschäftigte die dienstlichen Daten nur für sich zur Kenntnis nimmt, ohne sie weiterzugeben. Sollte der dagegen die Daten „offenbaren“, also an einen Dritten weitergeben, können auch sie erfüllt sein.

Im Ergebnis ist somit unabhängig vom Streit über die Auslegung des Art. 83 DSGVO in jedem Fall sichergestellt, dass die unberechtigte Verwendung von dienstlichen Daten für private Zwecke durch Beschäftigte einer öffentlichen Stelle effektiv geahndet werden kann.


Dr. Eugen Ehmann
Mitautor  DATENSCHUTZ IN BAYERN

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 57,99 €
Online-Produkt
Weitere Artikel zu folgenden Schlagworten:
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
0 Kommentare zu diesem Beitrag
banner-datenschutz.png
rehm_e-line_banner_355x355_L1_Var1.jpg

Wählen Sie unter 14 kostenlosen Newslettern!

Mit den rehm Newslettern zu vielen Fachbereichen sind Sie immer auf dem Laufenden.

Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag – Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

Rechtliches

Partner der



Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung