Auf einen Blick
Der Garante für den Schutz personenbezogener Daten hat eine Anordnung gegen die Autonome Region Sardinien erlassen. Die Region hat unrechtmäßig personenbezogene Daten bezüglich einer Disziplinarstrafe und Leistungsbeurteilungen einer Mitarbeiterin übermittelt. Die Daten wurden an nicht legitimierte interne Organisationseinheiten und eine andere Behörde weitergegeben, wodurch die Grundsätze der DSGVO verletzt wurden.
Hintergrund
Der Garante für den Schutz personenbezogener Daten hat am 28. Mai 2026 eine Anordnung gegen die Autonome Region Sardinien erlassen, infolge einer Beschwerde einer ehemaligen Mitarbeiterin (Frau XX). Die Beschwerdeführerin beklagte zwei Vorfälle mutmaßlicher Verstöße gegen die Datenschutzbestimmungen im Arbeitsumfeld.
Der erste Vorfall betrifft die Übermittlung eines Schreibens mit einer Disziplinarstrafe zu ihren Lasten durch die Direzione generale del personale e riforma. Dieses Schreiben wurde an interne Organisationseinheiten der Region (Direzione generale del lavoro, Direzione generale dei Servizi finanziari, Servizio Personale, Servizio previdenza und ein interner Dienst des Assessorato del Lavoro) gesendet, die nach Ansicht der Beschwerdeführerin keinen Zugang dazu hätten haben dürfen. Die Region begründete die Übermittlung mit der Erfüllung von Zuständigkeiten, räumte jedoch ein, dass ein Protokollführer das Schreiben aufgrund einer mehrdeutigen Adressformulierung irrtümlich weiteren Empfängern zugewiesen hatte.
Der zweite Vorfall betrifft die Übermittlung einer Antwort auf einen Antrag auf Aktenzugang (gemäß Gesetz Nr. 241/1990) durch die Direzione generale del turismo, artigianato e commercio. Neben der betroffenen Person wurde das Schreiben auch an die Verwaltung gesendet, bei der die Beschwerdeführerin kürzlich ihren Dienst aufgenommen hatte (bezeichnet als die XX). Diese Mitteilung machte der Letzteren die gesamte übermittelte Dokumentation, einschließlich der Leistungsbeurteilungsbögen der Beschwerdeführerin, bekannt.
Warum es wichtig ist
Diese Anordnung des Garante Privacy ist von grundlegender Bedeutung für alle Organisationen, insbesondere öffentliche Verwaltungen, die personenbezogene Daten verarbeiten. Sie unterstreicht die Notwendigkeit, die Grundsätze der Verordnung (EU) 2016/679 (DSGVO) strikt einzuhalten, wie die Zweckbindung, Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. b und f). Die Weitergabe sensibler Daten, wie Disziplinarstrafen oder Leistungsbeurteilungen, an unbefugte Personen, auch innerhalb derselben Organisation oder an andere öffentliche Verwaltungen, stellt einen schwerwiegenden Verstoß dar.
Der Fall zeigt, dass interne Verfahrensfehler, wie sie von einem Protokollführer aufgrund mehrdeutiger Adressen begangen wurden, den Verantwortlichen nicht von seiner Haftung befreien. Es ist entscheidend, granulare Zugriffskontrollen zu implementieren und sicherzustellen, dass jede Datenübermittlung durch eine gültige Rechtsgrundlage gerechtfertigt und für den Zweck unbedingt erforderlich ist. Der Vorfall unterstreicht zudem die Bedeutung eines äußerst vorsichtigen Umgangs mit Anträgen auf Aktenzugang, die zur Offenlegung personenbezogener Daten an Dritte führen können, wobei stets die Rechtmäßigkeit und Notwendigkeit der Kommunikation zu überprüfen ist.
Was zu tun ist
- Klare interne Verfahren für die Verwaltung und Übermittlung sensibler personenbezogener Daten (z. B. Disziplinarstrafen, Leistungsbeurteilungen) implementieren.
- Sicherstellen, dass Daten ausschließlich an rechtmäßige Empfänger und für spezifische, rechtmäßige Zwecke übermittelt werden, basierend auf dem 'Need-to-know'-Prinzip.
- Spezifische Schulungen für das Personal bereitstellen, das an der Protokollierung und Übermittlung von Dokumenten beteiligt ist, um die korrekte Identifizierung der Empfänger und die Einhaltung der Datenschutzbestimmungen zu gewährleisten.
- Interne Richtlinien und Funktionsdelegationen überprüfen und aktualisieren, um Verantwortlichkeiten und Zuständigkeiten bei der Verwaltung personenbezogener Daten zu klären.
Was zu vermeiden ist
- Vermeiden Sie die Übermittlung personenbezogener Daten an Einheiten oder Personen, die keine Rechtsgrundlage oder legitime Notwendigkeit für den Zugang haben.
- Keine generischen oder mehrdeutigen Formulierungen bei der Adressierung von Mitteilungen verwenden, die personenbezogene Daten enthalten, um das Personal nicht in die Irre zu führen.
- Vermeiden Sie die Weitergabe sensibler Mitarbeiterdaten (z. B. Disziplinarmaßnahmen, Beurteilungen) an neue Arbeitgeber ohne eine gültige Rechtsgrundlage oder die ausdrückliche Zustimmung der betroffenen Person.
Praktische Auswirkungen
Organisationen, insbesondere öffentliche Stellen, müssen robuste Daten-Governance-Rahmenwerke einführen, um unbefugte Offenlegungen personenbezogener Daten zu verhindern, sowohl intern als auch extern, auch im Rahmen der Bearbeitung von Anträgen auf Aktenzugang. Dieser Fall unterstreicht, dass interne Betriebsfehler, wie die eines Protokollführers, den Verantwortlichen nicht von seinen Pflichten gemäß der DSGVO entbinden.
Empfohlene Maßnahmen
- Flüsse sensibler personenbezogener Daten abbilden, Verantwortliche, Auftragsverarbeiter und spezifische Empfänger identifizieren.
- Zugriffskontrollmechanismen basierend auf dem 'Need-to-know'-Prinzip für alle Informationen, die personenbezogene Daten enthalten, implementieren.
- Regelmäßige Schulung aller Mitarbeiter, die personenbezogene Daten verarbeiten, über die Risiken unbefugter Offenlegung und die korrekten Bearbeitungsverfahren.
- Empfänger von Mitteilungen, die personenbezogene Daten enthalten, äußerst klar definieren und Mehrdeutigkeiten vermeiden.
Zu vermeidende Fehler
- Annehmen, dass die Übermittlung personenbezogener Daten innerhalb derselben Organisation oder zwischen öffentlichen Stellen immer rechtmäßig ist, ohne eine strenge Notwendigkeitsprüfung.
- Sich auf generische Adressen oder manuelle Verteilungsprozesse verlassen, die leicht zu Fehlzuordnungen führen können.
- Die Bedeutung der Grundsätze der Datenminimierung und Zweckbindung unterschätzen, auch im Kontext der öffentlichen Verwaltung.
- Unterlassen, die Rechtsgrundlagen für jede Weitergabe personenbezogener Daten, sowohl intern als auch extern, zu dokumentieren.
Fragen zur Selbsteinschätzung
- Haben wir schriftliche und klare Verfahren für die interne und externe Übermittlung sensibler Mitarbeiterdaten?
- Ist unser Personal, das für die Dokumentenverwaltung und Protokollierung zuständig ist, angemessen zum Datenschutz und zu korrekten Verfahren geschult?
- Sind die Funktionsdelegationen des Verantwortlichen und die damit verbundenen Verantwortlichkeiten intern klar definiert, kommuniziert und eingehalten?
- Haben wir technische und organisatorische Kontrollen implementiert, um sicherzustellen, dass nur autorisiertes Personal auf Dokumente zugreift, die Disziplinarstrafen oder Leistungsbeurteilungen enthalten?
Verweise
Nationales Recht: Regolamento (UE) 2016/679 (GDPR) · d.lgs. 30 giugno 2003, n. 196 (Codice Privacy) · art. 77 del Regolamento · l. n. 241/1990 · art. 15 del Regolamento del Garante n. 1/2000 · L.R. n. 27/2011 art. 4, comma 1, lett. d)
Zum Originalartikel auf garanteprivacy.it ↗
Lesen Sie auch
- Sanktion des Garante gegen Wind Tre wegen Data Breach durch Social Engineering 17 Jul 2026
- Der EDPB fordert eine Rechtsgrundlage für den Informationsaustausch zwischen Regulierungsbehörden 17 Jul 2026
- Der EDPB weist die belgische Aufsichtsbehörde an, eine Beschwerde zu Cookie-Bannern zu prüfen 14 Jul 2026
