Neues aus der Rechtsprechung : Personalausweis verlangen und Mitarbeiterexzess
Inzwischen sind viele „große“ Fragen zur Auslegung der Datenschutz-Grundverordnung (DS GVO) gerichtlich beantwortet worden. Vielfach stellen Gerichtsurteile deshalb eine bloße Wiederholung bekannter Auslegungen dar. Umso erfrischender ist es, wenn Urteile zu noch nicht beantworteten Fragen gefällt werden. Zwei solcher Urteile werden im Folgenden vorgestellt.
Urteil 1: Identifikation von Antragstellern bei Auskunftsersuchen
Auskunftsersuchen nach Art. 15 DS‑GVO waren recht häufig Gegenstand von Klagen. Auch der Europäische Gerichtshof (EuGH) hat sich mehrfach mit der Reichweite befasst. Bis zuletzt war jedoch nicht geklärt, welche Anforderungen an die Identifikation des um Auskunft Ersuchenden zu stellen sind.
Im Alltag treffen Auskunftsersuchen im Regelfall per E‑Mail ein. Teilweise enthält eine solche E‑Mail lediglich die E‑Mail-Adresse, Vor- und Nachnamen. Wenn keine Daten zu einer Person mit dem angegebenen Namen vorhanden sind, erübrigt sich eine weitere Identifikation.
Sind jedoch Daten zu einer Person mit dem angegebenen Namen vorhanden, stellt sich die Frage, ob der Antragsteller und die Person, deren Daten gespeichert sind, eine oder zwei verschiedene Personen sind. Diese Frage soll die Identifikation beantworten. Gelingt die Identifikation nicht, ist das Unternehmen berechtigt, die Auskunft zu verweigern (Art. 11 Abs. 2 DS‑GVO). Der Antragsteller hat weitere Daten zur Identifikation zur Verfügung zu stellen, wenn er sein Auskunftsbegehren weiterverfolgen will (Art. 11 Abs. 2 DS‑GVO). Der Antragsteller ist zur Mitwirkung verpflichtet.
Erteilt ein Unternehmen Auskunft an eine andere Person als an die, deren Daten verarbeitet werden, beispielsweise weil die Identifikation oberflächlich ausfiel, liegt grundsätzlich eine Verletzung des Schutzes personenbezogener Daten vor. Diese Verletzung kann nach Art. 33 DS‑GVO meldepflichtig gegenüber der Datenschutzaufsichtsbehörde und unter Umständen auch an die betroffene Person (Art. 34 DS‑GVO) sein. Schadensersatzansprüche nach Art. 82 DS‑GVO sind denkbar. Um solche negativen Folgen zu vermeiden, sind Unternehmen gut beraten, sehr sorgfältig zu identifizieren.
Das Verwaltungsgericht (VG) Frankfurt a. M. (Urteil vom 29.08.2024 – 5 K 1902/24.F) räumt Unternehmen einen Ermessenspielraum ein, welche Daten es zur Identifikation heranzieht. Dadurch werden Unternehmen in die Lage versetzt, die gespeicherten Daten zum Ausgangspunkt für eine Identifikation zu machen.
Aus Sicht des Gerichts reichen Name und E‑Mail-Adresse grundsätzlich nicht aus, um eine Person zu identifizieren. Das Gericht weist zu Recht darauf hin, dass eine Absender-E‑Mail-Adresse und der Anzeigename vom Absender frei wählbar sind.
Vielmehr muss das Unternehmen weitere Daten zur Identifikation heranziehen. Wie viele Daten herangezogen werden, hängt – so das Gericht – von den Risiken ab, die eine Offenbarung der Auskunft an einen Unbefugten für die betroffene Person bedeutet. Auf der anderen Seite darf ein Unternehmen das Ausüben des Auskunftsrechts nicht erschweren. Überzogene Anforderungen an eine Identifikation erschweren die Ausübung.
Das Anfordern einer Personalausweiskopie hat das Gericht als zulässige Identifikationsmaßnahmen angesehen, wenn die Gefahr, dass Daten an eine falsche Person herausgegeben werden, besonders groß erscheint. Unternehmen sollten ihre Prozesse zur Auskunftserteilung überprüfen,
- ob die zur Identifikation des Antragsteller abzuprüfenden Angaben ausreichend sind, um eine Herausgabe an die falsche Person mit hinreichender Wahrscheinlichkeit auszuschließen.
- dass die zur Identifikation des Antragsteller abgefragten Daten die Ausübung des Auskunftsrechts nicht unnötig erschweren.
Urteil 2: private Verarbeitung dienstlicher Daten
Das zweite Urteil beschäftigt sich mit der Frage, wer der Bußgeldadressat ist, wenn ein Beschäftigter dienstliche Daten für private Zwecke verarbeitet.
Der EuGH (Urteil vom 11.04.2024, Az. C-741/21) hat die Hürden für Unternehmen recht hoch gelegt, um sich bei einer rechtswidrigen Datenverarbeitung auf ein Fehlverhalten von Beschäftigten berufen zu können.[1]In der Konsequenz wird ein von Beschäftigten begangener Verstoß gegen die DS‑GVO grundsätzlich als Verstoß des Unternehmens gewertet. Bußgelder werden gegen das Unternehmen und nicht gegen die handelnden Beschäftigten verhängt.
Handeln Beschäftigte im Auftrag des Unternehmens, erscheint eine Haftung des Unternehmens naheliegend. Doch wie sieht es aus, wenn Beschäftigte für private Zwecke Daten des Unternehmens verwenden? Das Oberlandesgericht (OLG) Stuttgart (Beschluss vom 25.02.2025 – 2 ORbs 16 Ss 336/24) hatte über eine vergleichbare Konstellation zu urteilen. Ein Polizeibeamter hatte vorsätzlich Daten aus dem polizeilichen Informationssystem für private Zwecke abgefragt.
Aus Sicht des OLG Stuttgart verschob sich die Verantwortung für die Verarbeitung von der Behörde zum Beschäftigten, da die Abfrage zu privaten Zwecken erfolgte. Der Beschäftigte wurde zum Verantwortlichen i. S. d. Art. 4 Nr. 7 DS‑GVO. Das OLG folgt mit dieser Ansicht der Auffassung des Europäischen Datenschutzausschusses.
Bußgelder können gemäß Art. 83 DS‑GVO nur gegen Verantwortliche oder Auftragsverarbeiter, aber nicht gegen Beschäftigte verhängt werden. Deshalb kommt der Einstufung als Verantwortlicher besondere Bedeutung zu. Durch die Einstufung als Verantwortlicher sah das OLG das vom Amtsgericht Stuttgart verhängte Bußgeld von 1.500 Euro als zulässig an.
Das Urteil ist für Unternehmen insofern erfreulich, da es die Haftung für unzulässige Datenverarbeitungen, die durch Beschäftigte begangen werden, begrenzt. Für Verarbeitung im Unternehmensinteresse, gemäß internen Prozessen oder auf Weisung ist weiterhin das Unternehmen verantwortlich. Für Datenverarbeitungen zu privaten Zwecken steht jedoch der Beschäftigte selbst ein.
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH
[1] Ausführlich besprochen in LOHN+GEHALT 2/2025.