Hallo,
an einer Berliner Landesbehörde hat ein Tarifbeschäftigter per E-Mail Im Landesnetz eine Fachaufsichtsbeschwerde an die zuständige Fachaufsichtsbehörde in der Senatsverwaltung gestellt. Als Anlage lagen dieser Beschwerde sensible Daten bei.
Sind dadurch Rechte aus Datenschutz verletzt worden?
Es stellt sich die Frage, ob die Fachaufsichtsbehörde ein datenschutzrechtlicher Dritter im Sinne des Art. 4 Nr. 10 DSGVO ist.
Freundlicher Gruß,
Henrik
Das kommt ja drauf an, ob die sensiblen Daten als “Beweis” oder Teil der Beschwerde zu sehen sind oder ob diese überhaupt nichts damit zu tun haben.
Die Mitarbeiter der Fachaufsichtsbehörde müssen ja prinzipiell als Berufsgeheimnisträger gelten, falls ich mich da nicht irre und stillschweigen über die sensiblen Daten halten, worauf der Beschwerdeführer sich in dem Moment wohl verlassen hat. Oder ging die E-Mail an eine Verteileradresse auf die mehr Personen als die betraute Fachaufsichtsbehörde Zugriff hatte?
Die E-Mail ging direkt an die für die Bearbeitung von Fachaufsichtbeschwerden gegen diese Behörde zuständige Sachbearbeiterin. Die Zuständigkeit ergab sich aus der Zuständigkeit, welche bei Outlook hinterlegt ist. Die sensiblen Daten dienten als Beweis um die Anzahl der bearbeiteten Akten nachzuweisen.
Der Begriff sensible Daten ist nicht technisch gemeint. Es waren keine Daten nach Art. 9 DSGVO.
Ob die Fachaufsichtsbehörde jetzt Dritter oder Empfänger ist spielt aus der datenschutzrechtlichen Sicht keine besondere Rolle. Am Ende muss die Datenverarbeitung auf die eine oder andere Weise rechtfertigt sein und da es nunmal die gesetzliche Aufgabe einer Fachaufsicht ist, sich auch mit entsprechenden Beschwerden zu beschäftigen und dabei die Einreichung von (nach objektiven Maßstäben als sachdienlich erwartbare) Anlagen in direktem Zusammenhang damit steht, ist diese Datenverarbeitung mit hoher Wahrscheinlichkeit datenschutzrechtlich unproblematisch. Man kann sich über die genaue Grundlage streiten, ob es Art. 6 Abs. 1 lit. f) DSGVO oder ein ganz besonderer Fall der Anwendung von Art. 6 Abs. 1 lit. e) DSGVO auf Einzelpersonen ist, aber irgendeine Rechtfertigung wird dabei schon zutreffen.
Ich habe es so verstanden, dass wenn es kein datenschutzrechtlicher Dritter ist keine Verarbeitung vorliegt und die Daten quasi in der Einheit verbleiben. Die Fachaussichtsbehörde hat ja uneingeschränktes Zugriffsrecht auf die Daten der untergeordneten Behörde.
Also ich habe jetzt noch einmal in die Kommentierung dazu geschaut und man weiß offenbar nichts so richtig mit Art. 4 Nr. 9 S. 2 anzufangen, zumindest hinsichtlich der Handhabung. Gilt sowohl für jetzt als auch für die Vorgängerregelung aus der Richtlinie. Wahrscheinlich ist es so zu verstehen - und das würde zu meinen vorherigen Ausführungen passen - dass die Regelung eine Aufhebung der Doppeltür ist. Die abgebende / kontrollierte Behörde also keine Rechtfertigung für die Offenlegung braucht. In keinem Szenario kann ich mir vorstellen, dass aus der Regelung hervorgehen soll, dass die ermittelnde bzw. Aufsichtsbehörde keine eigene datenschutzrechtliche Rechtfertigung für die (teilweise aufgedrängte) Datenerhebung braucht. Steht ja letztlich auch so im letzten Halbsatz: “die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.”
Am Ende ist es glaube ich für deine Fragestellung wohl nicht entscheidend, weil der von den genannte Tarifbeschäftigte ist ja ohnehin nicht von dieser Privilegierung (wie auch immer sie zu verstehen ist) erfasst, weil er als Einzelperson, die außerhalb des Auftrags des Verantwortlichen handelt, getrennt zu betrachten ist. Sein Handeln ist aber (mit sehr großer Wahrscheinlichkeit) dennoch datenschutzrechtlich rechtfertigt, so denn materiell eine Sachlage vorlag, bei der man vernünftigterweise davon ausgehen kann, dass diese Unterlagen für eine Beschwerde hilfreich sind.
Interessant könnte da die Konstellation sein, wenn er die Aufsicht als internes Druckmittel missbraucht und gar kein eigenes Anliegen hat. Dann könnte er ggf. den Rahmen einer vernünftigten Erwartung verlassen haben. Hier könnte sich also die Prüfung lohnen, ob er eigene Beschwer hatte oder nur einen allgemeinen Missstand anzeigte.
Für den Fall dass er nur einen allgemeinen Missstand anzeigte, wäre er sicher nicht mehr über die “typischerweise notwendigen” Datenverarbeitungen für eine Beschwerdebearbeitung rechtfertigt. Dann müsste man noch prüfen, ob er vielleicht irrigerweise annahm, er stellte gar keine formale Beschwerde, sondern hole nur auf dem kurzen Dienstweg Informationen von der übergeordneten Stelle über die eigenen Verfahren ein. Dann könnte er doch noch vom Auftrag seiner Behörde gedeckt sein (und damit von der Privilegierung profitieren) bzw. diesen nur fahrlässig verlassen haben, was ihm nicht anzulasten wäre.