Eine Entscheidung (W287 2251990-1/8E) des Bundesverwaltungsgerichts (BVwG) vom April 2024 bestätigt: Wenn es um den Schutz personenbezogener Daten geht, muss bei der E-Mail-Kommunikation besonders sorgfältig vorgegangen werden. In diesem Fall entschied das Gericht (wie die Datenschutzbehörde im Jänner 2022), dass die Weiterleitung einer E-Mail von einer Hausverwaltung an ein externes Unternehmen gegen Datenschutzregeln verstößt. Diese Entscheidung rückt den Umgang mit personenbezogenen Daten im E-Mail-Verkehr erneut ins Rampenlicht.
Der Fall: Was ist passiert?
Eine Wohnungseigentümerin bemerkte Unstimmigkeiten in ihrer Betriebskostenabrechnung und wandte sich per E-Mail an ihre Hausverwaltung, um die Angelegenheit zu klären. Die Hausverwaltung leitete diese E-Mail jedoch an ein externes Hausbetreuungsunternehmen weiter. Dabei wurden nicht nur der Name und die E-Mail-Adresse der Eigentümerin, sondern auch alle Details der Beschwerde offengelegt.
Offenlegung vs. Geheimhaltung
Auch wenn der externe Empfänger bereits die Kontaktdaten der Eigentümerin kannte, stellte die Datenschutzbehörde fest, dass die Weiterleitung der E-Mail trotzdem problematisch war. Beim Inhalt der E-Mail in Kombi mit Name und E-Mail-Adresse handle es sich nämlich um ein personenbezogenes Datum, welches nicht für unberechtigte Dritte bestimmt war. Die übermittelten Daten ermöglichten es, die Identität der Eigentümerin nachzuvollziehen. Das verletzte ihr Recht auf Geheimhaltung, da sie ein Interesse daran hatte, dass ihre Identität geschützt wird.
Fehlende Rechtsgrundlage: War die Weiterleitung erlaubt?
Die Weiterleitung der E-Mail war zudem durch keine Rechtsgrundlage gedeckt. Die Eigentümerin hatte der Weiterleitung nicht ausdrücklich zugestimmt. Zudem lag kein Vertrag zwischen der Eigentümerin und der Hausverwaltung vor, der diese Weiterleitung rechtfertigen könnte, denn der Vertrag wurde nur zwischen der Eigentümergemeinschaft und der Hausverwaltung abgeschlossen. Die Hausverwaltung konnte sich auch nicht auf ein „berechtigtes Interesse“ berufen, da die vollständige Offenlegung der E-Mail für die Klärung der Fragen nicht notwendig war. Die Weiterleitung der Daten war daher nicht gem. Art. 6 DSGVO gerechtfertigt.
Ob die Datenschutzbehörde in diesem Fall eine Geldstrafe verhängt hat oder nur Änderungen in den Datenverarbeitungspraktiken gefordert hat, bleibt offen, da der ursprüngliche Bescheid der DSB nicht veröffentlicht wurde.
Alternative Lösungen: Hätte es anders gehen können?
Der Fall zeigt, dass die Fragen der Eigentümerin auch ohne die Offenlegung ihrer Identität beantwortet werden konnten, zumal es in diesem Fall bedeutungslos war, von wem die Fragen eingebracht wurden. Sie hätte die Angelegenheit direkt mit dem Hausbetreuungsunternehmen klären können, wenn sie das gewollt hätte. Stattdessen entschied sie sich dafür, anonym über die Hausverwaltung zu gehen. Durch die Weiterleitung der gesamten E-Mail hat die Hausverwaltung unnötig die Identität der Eigentümerin und ihre Unzufriedenheit mit der Betriebskostenabrechnung preisgegeben. Das hätte vermieden werden können, wenn die Hausverwaltung nur die relevanten Informationen weitergegeben hätte, ohne die personenbezogenen Daten der Eigentümerin.
MeineBerater-Tipp
Und wieder einmal heißt es: Beim Umgang mit personenbezogenen Daten ist Vorsicht geboten. Fragen Sie sich immer: Muss ich diese personenbezogenen Daten wirklich weitergeben? Kann ich das Problem auch ohne die Weitergabe lösen? Und wenn nicht, habe ich eine rechtliche Grundlage für die Datenweitergabe? Auch wichtig: Sind meine Mitarbeitenden gut geschult im Umgang mit personenbezogenen Daten? Der Datenschutz und die Wahrung der Anonymität sollten immer Priorität haben. Denken Sie daran: Sorgfalt im Umgang mit diesen Daten kann große Unannehmlichkeiten verhindern. Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an uns – wir sind für Sie da! 😊