DSGVO-Bußgeld gegen Beamten und somit auch gegen Arbeitnehmer?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat erstmals ein Bußgeld gegen einen Polizeibeamten verhängt. Und dieses Bußgeld zeigt, dass auch Arbeitnehmer für DSGVO-Verstöße mit einem Bußgeld sanktioniert werden können.

Sachverhalt

Ein Polizeibeamter hatte über seine dienstliche Benutzerkennung eine Halterabfrage beim Kraftfahrbundesamt und anschließend eine Anfrage bei der Bundesnetzagentur getätigt, um an die Handynummer einer privaten Zufallsbekannten zu kommen. Diese verwendete er dann, um sie zu kontaktieren.

Bußgeld der Aufsichtsbehörde

Die Aufsichtsbehörde verhängte gegen den Polizisten ein Bußgeld in Höhe von 1.400 € wegen Verstoßes gegen die DSGVO. Die Entscheidung ist aus zwei Gründen interessant: Normalerweise ist Adressat eines DSGVO-Bußgeldes immer der Arbeitgeber, nicht der Arbeitnehmer. Und öffentliche Stellen in Deutschland müssen sich zwar an das Datenschutzrecht halten, erhalten aber kein Bußgeld, da aufgrund gesetzlicher Regelungen (in Baden-Württemberg: § 28 LDSG) ein solches ausgeschlossen ist. Man möchte also nicht, dass öffentliche Stellen Bußgelder zahlen, die dann sozusagen von der linken in die rechte Tasche des Staates wandern.

Bußgeld für den Arbeitnehmer

Warum erhielt der Polizist das Bußgeld? Die meisten Menschen denken, ein Bußgeld treffe den Arbeitgeber, nicht den Arbeitnehmer. Dies ist grundsätzlich auch richtig, wenn ein Arbeitnehmer einen Datenschutzverstoß begeht im Rahmen der Datenverarbeitung des Arbeitgebers. In diesem Fall ist der Arbeitgeber grundsätzlich der Verantwortliche, den das Bußgeld trifft. In dem hiesigen Bußgeldfall hat der Arbeitnehmer allerdings einen eigenen Zweck verfolgt, nämlich die Datenabfragen getätigt, um die Telefonnummer seiner privaten Bekanntschaft herauszubekommen. Er hat nicht für den Arbeitgeber gehandelt. Er wurde damit selber datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nummer 7 DSGVO. Dieser lautet:

„Verantwortlicher” [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;“

Der Polizist hat einen eigenen Zweck verfolgt und wurde damit zum Verantwortlichen. Da es keine persönliche bzw. familiäre Tätigkeit des Polizisten war, sondern er seine dienstliche Kennung verwendete, fiel die Handlung auch nicht unter die Haushaltsausnahme des Art. 2 Abs. 2 lit. c) DSGVO.

Zu der eigenen Verantwortlichkeit und der Haushaltsausnahme schweigt die Presseerklärung des LfDI allerdings.

Bußgeld gegen die öffentliche Stelle

Es handelte somit sich auch nicht um ein Bußgeld zulasten einer öffentlichen Stelle, sondern um ein Bußgeld zulasten einer nicht-öffentlichen Stelle, sodass § 28 LDSG, das Verbot von DSGVO-Bußgeldern zulasten des Staates, auch keine Anwendung fand.

Konsequenz

Das Urteil zeigt: Auch Arbeitnehmer können DSGVO-Bußgelder erhalten, wenn sie eine Datenverarbeitung vornehmen, bei der sie über Mittel und Zweck der Datenverarbeitung entscheiden und damit zum Verantwortlichen werden. Wenige Arbeitnehmer werden so weitreichende Abfragebefugnisse haben wie der Polizist. Aber auch diese sind von einer Überschreitung ihrer Kompetenzen nicht gefeit: Allein die Verwendung eine Telefonnummer aus dem ERP-Programm zu privaten Zwecken würde denselben Tatbestand erfüllen. Oder aber die Weitergabe einer Telefonnummer eines Bewerbers für einen Bekannten, der ebenso einen solchen Bewerber sucht. Gut gemeint kann also gefährlich werden.

Duty-Free-Shop und die Boardkarte

Wer in einem Duty-Free-Shop einkauft, muss seine Boardkarte vorzeigen; diese wird dann gescannt. Ein Datenschützer, der in den Urlaub fliegen will, hat dann ein Problem: Er sucht nach der Rechtsgrundlage für die Datenverarbeitung.

Die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) scheidet aus: Es ist für den Kauf einer Zahnbürste nicht erforderlich, Flugdaten zu erfassen.

In Betracht kämen noch die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Solche sind aber nicht ersichtlich und müssten ohnehin von dem Shopbetreiber gegenüber dem Käufer dargelegt und eine Interessenabwägung vorgenommen werden. Es müsste also gemäß Art. 13 DSGVO informiert und auf das Widerspruchsrecht (Art. 21 DSGVO) hingewiesen werden.

Auch eine Einwilligung, die ja immer freiwillig sein muss, liegt nicht vor. Dies sieht man daran, wenn man die Boardkarte nicht zeigt: Man bekommt dann keine Zahnbürste.

Es ist aber einfacher: Rechtsgrundlage ist die rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO). Im Duty-Free-Shop kommt man ggf. in den Genuss von umsatzsteuer- und/oder zollfreier Waren. Diese sind abhängig vom Reiseziel. Die Duty-Free-Shop-Betreiber sind verpflichtet, gegenüber den Finanzämtern bestimmte Nachweispflichten zu erfüllen.

Was allerdings auffällt: Eine Information über die Datenverarbeitung nach Art. 13 DSGVO erfolgt nicht. Eine Erklärung könnte darin liegen, dass nach Angaben des Flughafenverbandes ADV keine personenbezogenen Daten verarbeitet werden sollen. Dann wäre eine Information nach Art. 13 DSGVO auch nicht erforderlich. Dies geht rechtlich aber nur, wenn der Personenbezug komplett aufgehoben wird, also keine Zuordnung zu der konkreten Person möglich ist (Art. 4 Nr. 1 DSGVO). Nach der weiten Definition des Personenbezugs dürfte also niemand mehr mit wahrscheinlichen Mitteln den Personenbezug herstellen können. Wenn nur für eine Millisekunde aufgrund des Scans der Boardkarte ein Personenbezug vorhanden war, ist auch nach einer etwaigen Anonymisierung eine Information nach Art. 13 DSGVO erforderlich. Es wäre also spannend, sich einmal den genauen Datensatz anzuschauen, der beim Scannen der Karte erfasst und gespeichert wird.