Auf einen Blick
Der Garante Privacy hat die Gemeinde Ventasso mit 8.000 Euro Bußgeld belegt, weil sie online die Liste der Bewerber für einen für Menschen mit Behinderungen reservierten Wettbewerb veröffentlicht hat. Diese Veröffentlichung offenbarte Gesundheitsinformationen der Teilnehmer, was durch die DSGVO und das italienische Gesetz verboten ist. Die Gemeinde versuchte, die Verantwortung auf einen Gemeindeverbund abzuwälzen, aber der Garante stellte klar, dass der Arbeitgeber stets für die Daten seiner Mitarbeiter und Bewerber verantwortlich bleibt. Das Bußgeld wurde durch die Zusammenarbeit der Gemeinde und die Entfernung der Daten gemildert, weist jedoch darauf hin, dass alle Verwaltungen sehr vorsichtig sein müssen, was sie online veröffentlichen, insbesondere wenn es sich um sensible Daten handelt.
Was zu tun ist
- Wenn Ihr Unternehmen oder Ihre Einrichtung Wettbewerbe organisiert, prüfen Sie genau, welche Informationen Sie online veröffentlichen dürfen und welche nicht.
- Veröffentlichen Sie niemals Listen von Personen, die an Wettbewerben teilnehmen, die geschützten Kategorien vorbehalten sind oder auf irgendeine Weise darauf hindeuten könnten, dass es sich um sensible Daten (wie Gesundheitsdaten) handelt.
- Stellen Sie sicher, dass Ihr Personal in diesen Regeln geschult ist, insbesondere diejenigen, die Websites oder Auswahlverfahren verwalten.
- Überprüfen Sie alle Vereinbarungen mit externen Partnern, die Daten in Ihrem Auftrag verarbeiten, um sicherzustellen, dass Rollen und Verantwortlichkeiten klar und korrekt sind.
Was zu vermeiden ist
- Veröffentlichen Sie keine sensiblen Daten ohne ein Gesetz, das dies ausdrücklich und spezifisch vorsieht.
- Denken Sie nicht, dass durch die Delegation einer Funktion an eine andere Einrichtung auch die Verantwortung für den Datenschutz delegiert wird, wenn Sie der Arbeitgeber bleiben.
- Lassen Sie keine Informationen online, die sensible persönliche Details preisgeben, auch wenn der Link nicht mehr sofort sichtbar ist.
Hintergrund
Der Garante hat ein Untersuchungsverfahren nach einer Beschwerde und einer Meldung der nationalen Antikorruptionsbehörde (ANAC) eingeleitet. Die Überprüfungen ergaben, dass die Gemeinde Ventasso die Liste der zugelassenen Bewerber für ein Auswahlverfahren für eine Stelle als 'Verwaltungsmitarbeiter' online veröffentlicht hatte, die gemäß Gesetz Nr. 68/99 geschützten Kategorien vorbehalten war. Die Liste, die auf der Website der Gemeinde und anschließend über einen direkten Link abrufbar war, enthielt den Tag, die Uhrzeit und den Ort der Einberufung. Die Veröffentlichung dieser Liste offenbarte implizit die Zugehörigkeit der Bewerber (12 Personen) zu geschützten Kategorien und somit Gesundheitsdaten über einen beträchtlichen Zeitraum hinweg. Die Gemeinde führte die Verletzung auf organisatorische Mängel und eine komplexe Reorganisationsphase aufgrund der Fusion mit anderen Gemeinden zurück und behauptete zudem, dass der Bergkommunenverband der Appennin-Region Reggiano als ausschließlicher Verantwortlicher für die Datenverarbeitung bei den Wettbewerbsverfahren agierte.
Die Entscheidung
Der Garante stellte fest, dass die Verarbeitung personenbezogener Daten unter Verstoß gegen Art. 5, 6, 9 der Verordnung (EU) 2016/679 und Art. 2-ter und 2-septies, Absatz 8 des Codice Privacy, erfolgte. Die Online-Veröffentlichung der Liste der zugelassenen Bewerber für ein Verfahren, das geschützten Kategorien vorbehalten ist und somit gesundheitsbezogene Daten offenbart, erfolgte ohne eine geeignete Rechtsgrundlage und nicht im Einklang mit den Grundsätzen der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz und Datenminimierung. Der Garante wies die Verteidigung der Gemeinde bezüglich der angeblichen ausschließlichen Verantwortlichkeit des Bergkommunenverbands zurück und bekräftigte, dass die Verantwortlichkeit für die Verarbeitung von Personalangelegenheiten beim Arbeitgeber (der Gemeinde) verbleibt, während der Verband als Auftragsverarbeiter agierte. Obwohl die Gemeinde die Daten entfernt hatte, erachtete der Garante die Verarbeitung als rechtswidrig und verhängte, obwohl er keine weiteren Korrekturmaßnahmen zur Beendigung des Verhaltens anordnete, ein Bußgeld von 8.000 Euro, unter Berücksichtigung der mittleren Schwere des Verstoßes und mildernder Umstände wie der Zusammenarbeit, der Annahme von Korrekturmaßnahmen nach dem Verstoß und dem Fehlen früherer Verstöße.
Verletzte DSGVO-Artikel
| Artikel | Beschreibung | Relevanz |
|---|---|---|
|
5 par.1 lett.a GDPR |
Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz | die online-veröffentlichung der bewerberliste erfolgte ohne eine geeignete rechtsgrundlage, es fehlte an rechtmäßigkeit, verarbeitung nach treu und glauben und transparenz. |
|
5 par.1 lett.c GDPR |
Grundsatz der Datenminimierung | es wurden daten (die liste der bewerber für ein reserviertes auswahlverfahren) veröffentlicht, die für die zwecke der veröffentlichung nicht unbedingt erforderlich waren und sensible informationen preisgaben. |
|
6 GDPR |
Rechtmäßigkeit der Verarbeitung | die verarbeitung personenbezogener daten (verbreitung) erfolgte ohne eine gültige rechtsgrundlage. |
|
9 GDPR |
Verarbeitung besonderer Kategorien personenbezogener Daten | die veröffentlichung der bewerberliste für ein verfahren, das geschützten kategorien vorbehalten ist, implizierte die indirekte verbreitung gesundheitsbezogener daten, ohne dass eine der für die verarbeitung solcher daten vorgesehenen bedingungen erfüllt war. |
|
2-ter Codice Privacy |
Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch öffentliche Stellen | die öffentliche verwaltung (gemeinde) hat personenbezogene daten verbreitet, ohne dass die verarbeitung durch eine rechtsnorm oder, in den zulässigen fällen, eine verordnung vorgesehen war. |
|
2-septies par.8 Codice Privacy |
Verbot der Verbreitung von Gesundheitsdaten | die entscheidung stellt einen verstoß gegen das verbot der verbreitung von daten fest, die geeignet sind, den gesundheitszustand zu offenbaren, da die anmeldung zu einem verfahren, das geschützten kategorien vorbehalten ist, die zugehörigkeit zu einem zustand der behinderung oder einem anderen geschützten status impliziert. |
Sanktion
Der Garante hat der Gemeinde Ventasso die Zahlung eines Verwaltungsgeldes von 8.000 Euro wegen Verstoßes gegen Art. 5, 6 und 9 der Verordnung und Art. 2-ter und 2-septies, Absatz 8 des Codice Privacy, auferlegt. Das Bußgeld wurde unter Berücksichtigung der mittleren Schwere des Verstoßes (Verbreitung von Gesundheitsdaten von 12 Betroffenen über einen langen Zeitraum), der organisatorischen Schwierigkeiten und des Fehlers bemessen. Als mildernde Umstände wurden die schnelle Entfernung der Daten, die Annahme organisatorischer Korrekturmaßnahmen (Personalschulung, Richtlinien), die volle Zusammenarbeit mit der Behörde und das Fehlen früherer Verstöße berücksichtigt.
Fristen: innerhalb von 30 Tagen nach Zustellung dieser Entscheidung
Praktische Auswirkungen
Diese Entscheidung unterstreicht die extreme Aufmerksamkeit, die öffentliche Verwaltungen der Online-Veröffentlichung personenbezogener Daten widmen müssen, insbesondere wenn diese sensible Informationen wie den Gesundheitszustand oder die Zugehörigkeit zu geschützten Kategorien offenbaren können. Auch wenn ein Wettbewerb solchen Kategorien vorbehalten ist, bedeutet dies nicht, dass die Daten der Teilnehmer verbreitet werden dürfen. Die Entscheidung stellt klar, dass die Rolle des Verantwortlichen für die Datenverarbeitung nicht einfach durch formale Vereinbarungen übertragbar ist, sondern von den tatsächlich ausgeführten Tätigkeiten abhängt. Organisatorische Mängel sind keine gültige Rechtfertigung für den Verstoß. Es ist von grundlegender Bedeutung, für jede Veröffentlichung eine spezifische Rechtsgrundlage zu haben und die Grundsätze der Minimierung und Nichtverbreitung sensibler Daten, insbesondere im Rahmen von Auswahlverfahren, einzuhalten.
Verweise
EDPB-Leitlinien: Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR · Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR
Nationales Recht: D.Lgs. 196/2003 · L. 68/99 · L. 104/92 · D.Lgs. 267/2000 · D.Lgs. 33/2013 · D.Lgs. 165/2001 · D.L. 25/2025 · L. 69/2025 · D.P.R. 3/1957 · D.P.R. 487/1994 · L. 689/1981 · D.Lgs. 150/2011
Anmerkungen
Die Entscheidung bekräftigt nachdrücklich, dass die Rolle des Verantwortlichen für die Datenverarbeitung durch die konkrete Ausgestaltung der Tätigkeiten bestimmt wird und nicht durch formale Vereinbarungen verhandelbar ist, wenn diese die Realität nicht widerspiegeln. Sie betont die Bedeutung der Abwägung zwischen administrativer Transparenz und Datenschutz, insbesondere für geschützte Kategorien.
