Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXX: Datenschutzrechtliche Folgen im Fall des Mitarbeiterexzesses : aus der RDV 5/2024, Seite 286 bis 289
I. Sachverhalt
Der baden-württembergische Polizeibeamte P fragte ohne dienstlichen Bezug, jedoch unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahr-Bundesamtes die Halterdaten bezüglich des Kfz-Kennzeichens seiner privaten Zufallsbekanntschaft Z ab. Mit den so gewonnenen Informationen führte P anschließend eine sog. SARS-Anfrage bei der Bundesnetzagentur durch, bei welcher er neben den Personendaten der Geschädigten auch die dort hinterlegten Festnetz- und Mobilfunknummern erfragte. Ohne dienstliche Veranlassung oder Einwilligung von Z nimmt P schließlich aus rein privaten Motiven telefonischen Kontakt mit dieser auf.
Z ist empört, dass P seine dienstlichen Befugnisse derart „missbraucht“ und informiert die örtlich zuständige Aufsichtsbehörde, welche nach Art. 83 Abs. 5 DS‑GVO ein Bußgeld in Höhe von 1.400,– Euro gegen den Beamten persönlich verhängt. Bei der Bemessung des Bußgeldes berücksichtigt die Behörde insbes., dass es sich um einen Erstverstoß gehandelt hat und mit P nur eine Person betroffen war.
Das Ahndungsverbot aus § 28 LDSG BW, wonach die DS‑GVO-Sanktionen nicht gegenüber öffentlichen Stellen verhängt werden können, greife vorliegend nicht, da es sich weder um ein der Dienststelle zurechenbares Fehlverhalten handele noch der Betroffene im Hinblick auf die in Frage stehenden Handlungen als eigene öffentliche Stelle zu qualifizieren sei, so die Behörde.
Welche Erfolgsaussichten hat eine Klage von P gegen den Bußgeldbescheid? Die Zulässigkeit der Klage ist zu unterstellen, also das Vorliegen der Voraussetzungen einer Entscheidung durch das Gericht in der Rechtssache.
II. Musterlösung
- Allgemeines
Eine Klage gegen einen Verwaltungsakt wie den hier relevanten Bußgeldbescheid ist begründet, soweit der Verwaltungsakt rechtswidrig und der Kläger durch diesen in seinen Rechten verletzt ist (§ 113 Abs. 1 S. 1 Verwaltungsgerichtsordnung – VwGO). Da P Adressat des Bußgeldbescheids ist und ein rechtswidriger Verwaltungsakt den Adressaten stets in seinen Rechten verletzt, ist ausschlaggebend für die Erfolgsaussichten der Klage hier die formelle und materielle Rechtmäßigkeit bzw. -widrigkeit des erlassenen Bescheids. - Formelle Rechtmäßigkeit
Ein Verwaltungsakt ist formell rechtmäßig, wenn er von der zuständigen Behörde unter Einhaltung der relevanten Verfahrensvorschriften sowie der zu wahrenden Formerfordernisse erlassen wurde. In einer juristischen Klausur wird die formelle Rechtmäßigkeit des Bescheids grundsätzlich unterstellt, es sei denn, aus dem Sachverhalt ergeben sich konkrete Anhaltspunkte, dass bestimmte Verfahrensvorgaben nicht eingehalten wurden. Fraglich kann vorliegend allenfalls die sachliche Zuständigkeit der Datenschutzaufsichtsbehörde für den Sachverhalt sein, konkret, ob die Behörde auch Bußgeldbescheide gegenüber Privatpersonen verhängen darf und nicht nur gegenüber privaten Unternehmen bzw. öffentlich-rechtlichen Wettbewerbsunternehmen. Die örtliche Zuständigkeit der Behörde ist im Sachverhalt bereits vorgegeben.
Gem. § 40 Abs. 1 BDSG überwachen die nach Landesrecht zuständigen Behörden im Anwendungsbereich der DS‑GVO bei den „nicht öffentlichen Stellen“ die Anwendung der Vorschriften über den Datenschutz. Nicht öffentliche Stellen wiederum sind nach § 2 Abs. 4 S. 1 BDSG „natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts“. P ist eine natürliche Person i.S.v. § 2 Abs. 4 S. 1 BDSG und die Behörde ist damit nach § 40 Abs. 1 BDSG für die Überwachung zuständig, dass dieser nicht die Vorgaben der DS‑GVO verletzt. Gem. Art. 58 Abs. 2 lit. i) DS‑GVO sind für die Verhängung von Geldbußen nach Art. 83 DS‑GVO die Aufsichtsbehörden zuständig.
Die entscheidungsrelevante Frage, ob P tatsächlich „Verantwortlicher“ im Sinne der DS‑GVO ist und damit als Adressat eines Bußgeldes nach Art. 83 DS‑GVO in Betracht kommt, ist eine Frage der materiellen Zulässigkeit. Denn es geht um die Beurteilung der Frage, ob die Voraussetzungen der potenziellen Ermächtigungsgrundlage im konkreten Fall gegeben sind. Nach der Regelung in Art. 83 DS‑GVO können Bußgelder nur gegenüber Verantwortlichen bzw. Auftragsverarbeitern verhängt werden.
Ebenfalls erst Prüfungspunkt im Rahmen der materiellen Rechtmäßigkeit ist die Frage, ob sich P, weil er als Privatperson in Anspruch genommen wird, ggf. auf die sog. „Haushaltsausnahme“ (Art. 2 Abs. 2 lit. c) DS‑GVO) berufen kann. Die Frage des Eingreifens der Haushaltsausnahme ist eine solche der sachlichen Anwendbarkeit der DS‑GVO, die wiederum Voraussetzung dafür ist, dass die Behörde P einen Verstoß gegen ebendiese vorwerfen kann.
Die formelle Rechtmäßigkeit ist damit im Ergebnis zu bejahen. - Materielle Rechtmäßigkeit
Im Rahmen der Prüfung der materiellen Rechtmäßigkeit, die regelmäßig den Schwerpunkt der juristischen Klausur bildet, wird geprüft, ob der erlassene Bescheid inhaltlich korrekt ist. Entscheidend ist insofern, ob eine entsprechende Ermächtigungsgrundlage für den Bescheid existiert und deren Voraussetzungen gegeben sind. Zudem müsste die Behörde ermessensfehlerfrei und verhältnismäßig gehandelt haben.
Als Ermächtigungsgrundlage für den ergangenen Bescheid kommt vorliegend Art. 83 Abs. 5 DS‑GVO in Betracht, konkret Abs. 5 lit. a) der Bestimmung. Nach der genannten Regelung können Verstöße geahndet werden gegen „die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gem. den Artikeln 5, 6, 7 und 9“.
Damit Art. 83 Abs. 5 lit. a) DS‑GVO als Ermächtigungsgrundlage in Betracht kommt, müsste zunächst der Anwendungsbereich der DS‑GVO eröffnet sein und P die Voraussetzungen des genannten Bußgeldtatbestandes erfüllt haben.
a) Anwendbarkeit der DS‑GVO
Bezogen auf den räumlichen Anwendungsbereich der DS‑GVO (Art. 3) ergeben sich bzgl. des in Baden-Württemberg spielenden Sachverhalts keine Bedenken. Auch der sachliche Anwendungsbereich der DS‑GVO ist grundsätzlich gegeben. Nach Art. 2 Abs. 1 gilt die DS‑GVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Personalien bzw. Telefonnummern von Z sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS‑GVO. Die Informationen wurden über ZEVIS bzw. die Systeme einer weiteren Behörde erlangt, und das Abfragen von Daten stellt nach dem expliziten Wortlaut der Legaldefinition in Art. 4 Nr. 2 DS‑GVO einen Fall der Verarbeitung dar.
Zu beantworten bleibt allerdings noch die Frage, ob nicht zugunsten von P vorliegend die sog. Haushaltsausnahme nach Art. 2 Abs. 2 lit. c) DS‑GVO eingreift. Hiernach findet die DS‑GVO keine Anwendung auf die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“. Wenn das Haushaltsprivileg greift, wäre die DS‑GVO im vorliegenden Fall nicht anwendbar, und Art. 83 Abs. 5 DS‑GVO käme als Ermächtigungsgrundlage für den Bescheid der Aufsichtsbehörde nicht in Frage.
Für das Eingreifen der Haushaltsausnahme könnte sprechen, dass die Abfrage der Behördensysteme durch P nicht aus beruflichen, sondern aus persönlichen Motiven erfolgt ist. Als Ausnahmeregelung ist Art. 2 Abs. 2 lit. c) DS‑GVO jedoch eng auszulegen. Im vorliegenden Fall ist zu beachten, dass zwar die Abfrage durch P aus privaten Motiven erfolgte, die stattgefundene Datenverarbeitung sich aber nicht auf seine private Sphäre und die diesbezüglichen Möglichkeiten beschränkte. P hat für die Ermittlung der Kontaktdaten von Z auf dienstliche Recherchemöglichkeiten zurückgegriffen, die ihm als Polizeibeamten zur Verfügung standen. Das Haushaltsprivileg findet damit keine Anwendung, und der Anwendungsbereich der DS‑GVO ist eröffnet.
b) P als Verantwortlicher im Sinne der DS‑GVO?
Der vorliegend maßgebliche Art. 83 Abs. 5 lit. a) DS‑GVO knüpft an die Verletzung des Grundsatzes der Rechtmäßigkeit der Verarbeitung (Art. 5 Abs. 1 lit. a) DS‑GVO). Adressat dieses Grundsatzes ist nach Art. 5 Abs. 2 DS‑GVO ausschließlich der datenschutzrechtlich Verantwortliche. Der Auftragsverarbeiter (Art. 4 Nr. 8 und Art. 28 DS‑GVO) trägt keine Verantwortung für die Rechtmäßigkeit der Datenverarbeitung.
Ein Status von P als Auftragsverarbeiter scheidet aus, weil er im Hinblick auf die Datenverarbeitung nicht weisungsgebunden handelte, sondern eigenmächtig. Auch bei rein weisungsgebundener Tätigkeit wäre P nicht als Auftragsverarbeiter zu qualifizieren, sondern als unselbstständiger Teil der datenschutzrechtlich verantwortlichen Polizeibehörde anzusehen.
„Verantwortlicher“ im Sinne des Datenschutzrechts ist nach Art. 4 Nr. 7 DS‑GVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Zwar wird das Handeln der Organe und Mitarbeitenden von Unternehmen datenschutzrechtlich grundsätzlich dem Unternehmen als Verantwortlichen i.S.v. Art. 4 Nr. 7 DS‑GVO zugerechnet. Auch für Beschäftigte öffentlicher Stellen gilt das Funktionsträgerprinzip, wonach das Handeln von Bediensteten der öffentlichen Stelle grundsätzlich dieser zuzurechnen ist. Eine Ausnahme davon besteht jedoch bei sog. „Mitarbeiterexzessen“, also wenn die Handlungen der Beschäftigten nicht mehr als der behördlichen Tätigkeit zugehörig gewertet werden können. In solchen Fällen wird der Mitarbeiter selbst als datenschutzrechtlich Verantwortlicher angesehen. Dies gilt insbesondere, wenn Beschäftigte – wie hier P – aus privaten Motiven auf dienstliche Datenbestände zugreifen.
Im vorliegenden Fall liegt ein solcher Mitarbeiterexzess vor, da P die Daten von Z nicht im Rahmen seiner dienstlichen Tätigkeit, sondern aus rein privaten Motiven abgefragt hat. Entsprechend ist P hier als eigenständiger Verantwortlicher nach der DS‑GVO zu qualifizieren.
c) Weitere Rechtmäßigkeitsvoraussetzungen
P hat eigenmächtig als Verantwortlicher personenbezogene Daten ohne Rechtsgrundlage verarbeitet, indem er über dienstliche Systeme Abfragen zu privaten Zwecken getätigt hat. Dieses Verhalten erfolgte auch schuldhaft, da es vorsätzlich geschah. Bzgl. der Höhe des verhängten Bußgeldes steht der Behörde ein Ermessen zu, und es bestehen keine Anhaltspunkte, dass die Behörde dieses fehlerhaft ausgeübt hätte.
Ergebnis:
Der Bußgeldbescheid ist rechtmäßig. Eine Klage von P hätte daher keine Aussicht auf Erfolg.