Mitarbeiter öffentlicher Stellen genießen keine „Immunität“ bei illegaler Datenverarbeitung zu privaten Zwecken –

Wegen rechtswidriger Verarbeitung dienstlich erlangter personenbezogener Daten zu privaten Zwecken hat die Bußgeldstelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) mit Bescheid vom 09. Mai 2019 gegen einen Polizeibeamten eine Geldbuße in Höhe von 1.400,- Euro verhängt. Hierbei handelt es sich um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Landesdatenschutzgesetzes (LDSG).

Der Polizeibeamte fragte ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten bezüglich des Kfz-Kennzeichens einer privaten Zufallsbekanntschaft ab. Mit den so gewonnenen Personalien führte er im Anschluss eine so genannte SARS-Anfrage bei der Bundesnetzagentur durch, bei welcher er neben den Personendaten der Geschädigten auch die dort hinterlegten Festnetz- und Mobilfunknummern erfragte. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.

Durch die ZEVIS- und SARS-Anfrage zu privaten Zwecken und die Verwendung der so erlangten Mobilfunknummer zur privaten Kontaktaufnahme hat der Polizeibeamte personenbezogene Daten aus den Datenbanken des Kraftfahrbundesamtes bzw. der Bundesnetzagentur eigenmächtig zu gesetzesfremden Zwecken verarbeitet. Dieser Verstoß ist der Dienststelle des Polizeibeamten nicht zuzurechnen, da dieser die Handlung nicht in Ausübung seiner dienstlichen Tätigkeit, sondern zu ausschließlich privaten Zwecken beging. Das Ahndungsverbot des § 28 LDSG, wonach die Sanktionen der DSGVO nicht gegenüber öffentlichen Stellen verhängt werden können, greift vorliegend nicht, da es sich weder um ein der Dienststelle zurechenbares Fehlverhalten handelte noch der Betroffene bei den in Frage stehenden Handlungen als eigene öffentliche Stelle i.S.d. § 2 Abs. 1 oder Abs. 2 LDSG zu qualifizieren ist.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 5 DS-GVO war ein Bußgeld in Höhe von 1.400,- Euro angemessen. Bei der Bemessung war insbesondere dem Umstand Rechnung zu tragen, dass es sich um einen Erstverstoß handelte, bei dem nur eine Person betroffen war.

Das Bußgeld ist mittlerweile rechtskräftig.

LfDI Dr. Brink hierzu:

„Auch Mitarbeiter öffentlicher Stellen haben die geltenden Datenschutzregeln zu beachten. Der Landesgesetzgeber hat zwar öffentliche Stellen – anders als Privatunternehmen – bei Datenschutzverstößen von der Sanktionierung ausgenommen. Wenn Mitarbeiter öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden.“

Diese Pressemitteilung als PDF-Dokument aufrufen.