Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld “An…” versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Kammergericht: “Adresse der elektronischen Post” meint die Angabe der E-Mail-Anschrift – und nichts anderes

In einem Urteil vom 07.05.2013 (Az 5 U 32/12) hat das Kammergericht in einem Verfahren gegen die irische Fluggesellschaft Ryanair klare Worte zu der aus § 5 Abs. 1 Nr. 2 TMG folgenden (Impressums-)Pflicht für Telemediendiensteanbieter, zur Bereitstellung eine Möglichkeit zur direkten Kontaktaufnahme für Nutzer, gefunden.

Nach § 5 TMG haben die Anbieter geschäftsmäßig betriebener Telemedien gewisse Informationen für ihre Nutzer bereit zu halten, das sog. Impressum. Hierzu gehören auch „Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post“. Die Fluggesellschaft hatte auf ihrer deutschsprachigen Webseite zwar Kontaktinformationen bereitgehalten, jedoch nur eine Fax- und Telefonnummer, sowie ein Onlineformular, also eine Eingabemaske, mit fest definierten Vorgaben hinsichtlich eines bestimmten Themas und einer begrenzten Anzahl an einzugebenden Wörtern.
Continue reading

Datenpanne bei Facebook öffnet Schatten-Profile

Das am vergangenen Freitag bei Facebook bekanntgewordene „Datenleck“, von dem die Kontaktinformationen (E-Mail-Adresse und Telefonnummern) von bis zu 6 Millionen Facebook-Nutzern betroffenen waren, könnte größer sein, als dies zunächst den Anschein hatte.

Was war geschehen?
Wie Facebook am Freitag in einem offiziellen Statement bekannt gab, wurde vergangene Woche ein technischer Fehler in dem Download-Tool, welches es Nutzern ermöglicht, die über sie gespeicherte Daten (u.a. auch die bei Kontaktinformationen ihrer Facebook-Freunde) herunterzuladen, entdeckt. Dieser Fehler erlaubte es Nutzern nicht nur die auf Facebook von ihren Freunden freiwillig eingegebenen Kontaktinformationen herunterzuladen.
Continue reading

Thüringer Datenschützer: De-Mail als Gefahr für sensible Daten

Der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLfDI), Herr Dr. Hasse, äußert in einer aktuellen Pressemitteilung scharfe Kritik an der De-Mail und geplanten Gesetzesänderungen (BT-Drs. 17/11437), u. a. des § 30 und § 87 Abgabenordnung (AO) und § 67 Abs. 6 S. 2 Nr. 3 des SGB X.
Continue reading