Auf einen Blick
Der Garante Privacy hat klargestellt, dass öffentliche Verwaltungen Anfragen zum „zivilen Zugang“ (der es jedem ermöglicht, öffentliche Dokumente und Daten anzufordern) mit großer Sorgfalt behandeln müssen, insbesondere wenn die Daten Informationen betreffen, die bereits durch spezifische Gesetze geregelt sind. Wenn bereits ein Gesetz existiert, das genau festlegt, welche Daten von wem eingesehen werden dürfen (wie bei Taxi- und NCC-Genehmigungen), hat dieses Gesetz Vorrang. Dies bedeutet, dass nicht mehr Informationen als die streng durch das spezifische Gesetz vorgesehenen offengelegt werden dürfen, um die Privatsphäre der Personen zu schützen, selbst wenn es sich um Daten handelt, die mit ihrer beruflichen Tätigkeit verbunden sind (wie im Fall von Einzelunternehmen).
Was zu tun ist
- Wenn Ihr Unternehmen eine öffentliche Verwaltung ist, prüfen Sie immer, ob es spezifische Gesetze gibt, die den Zugang zu bestimmten Daten regeln, bevor Sie auf Anfragen zum zivilen Zugang antworten.
- Beachten Sie, dass die Daten von Einzelunternehmen oft personenbezogene Daten sind und als solche geschützt werden müssen.
- Geben Sie keine Daten über das hinaus weiter, was unbedingt erforderlich oder durch spezifische Gesetze und die DSGVO gestattet ist.
Was zu vermeiden ist
- Gehen Sie nicht davon aus, dass die beruflichen Daten einer natürlichen Person (z.B. der Inhaber eines Einzelunternehmens) keine personenbezogenen Daten sind.
- Geben Sie keine Daten weiter, wenn ein Sondergesetz deren Verbreitung einschränkt, selbst wenn die Anfrage auf zivilen Zugang legitim ist.
- Unterschätzen Sie nicht das Risiko, dass Daten, die durch zivilen Zugang öffentlich gemacht werden, missbräuchlich oder für andere Zwecke als die ursprünglichen Erhebungszwecke verwendet werden könnten.
Hintergrund
Ein Unternehmen hat beim Comune di Brescia eine Anfrage auf allgemeinen zivilen Zugang gestellt, um die vollständige Liste der aktiven NCC-Genehmigungen zu erhalten, einschließlich Identifikationsdaten des Titels, Ausstellungsdatum, Firmenname/Rechtsform (oder Vor- und Nachname), Rechtsnatur, Hauptsitz und/oder Betriebsstätte, PEC-Adresse und andere professionelle Kontaktdaten. Das Unternehmen gab an, dass die Anfrage der Analyse der aktuellen Genehmigungsstruktur im Bereich des nicht-liniengebundenen öffentlichen Verkehrs diente. Die Gemeinde gab der Anfrage teilweise statt und ließ den Firmennamen/die Rechtsform sowie die Kontaktdaten der Inhaber weg, da sie diese als personenbezogene Daten betrachtete. Das Unternehmen reichte einen Antrag auf Überprüfung ein und beklagte die mangelnde Begründung der Auslassungen und die Nichtanwendbarkeit des Schutzes personenbezogener Daten auf juristische Personen. Der Verantwortliche für Korruptionsprävention und Transparenz der Comune di Brescia hat daraufhin die Stellungnahme des Garante eingeholt.
Die Entscheidung
Der Garante hat der Beschränkung des Zugangs durch die Gemeinde zugestimmt. Er stellte klar, dass Informationen über juristische Personen zwar nicht in die Definition personenbezogener Daten fallen, solche jedoch, die sich auf Unternehmen oder Einzelunternehmen beziehen, personenbezogene Daten darstellen können, wenn sie die Identifizierung einer natürlichen Person ermöglichen. Der Garante betonte, dass Daten, die durch zivilen Zugang erlangt werden, öffentlich werden und ihre weitere Verarbeitung die Vorschriften zum Schutz personenbezogener Daten einhalten muss. Er verwies auf die Existenz des Elektronischen Registers für NCC-Taxis (RENT) und des zugehörigen Ministerialdekrets Nr. 203/2024, das die Zugangsmodalitäten und -grenzen für solche Daten spezifisch regelt. Aus diesem Grund muss der zivile Zugang zu den von der anfragenden Gesellschaft gewünschten Informationen gemäß Art. 5-bis, Absatz 3, des Gesetzesdekrets Nr. 33/2013 ausgeschlossen werden, da eine Spezialvorschrift den Zugang an spezifische Bedingungen und Grenzen knüpft. Der Garante bemerkte ferner, dass eine eventuell breitere Offenlegung das vom nationalen Gesetzgeber für das RENT und die damit verbundenen Sicherheitsmaßnahmen (Art. 32 DSGVO) vorgesehene Kenntnisnahmeregime verändern würde, indem sie eine unbefugte Duplizierung von Informationen und die Anforderung von Daten ermöglichen würde, die nicht einmal in der Spezialvorschrift vorgesehen sind, mit dem Risiko von „missbräuchlichen Verwendungen“ und inkompatiblen Verarbeitungen (Art. 6, Absatz 4, DSGVO). Schließlich wies er das Argument des Unternehmens zurück, dass die beruflichen Daten von Einzelunternehmen einen wesentlich geringeren Schutz der Vertraulichkeit genießen würden.
Sanktion
[object Object]
Praktische Auswirkungen
Öffentliche Verwaltungen müssen bei der Bearbeitung von Anfragen auf allgemeinen zivilen Zugang größte Sorgfalt walten lassen, insbesondere wenn die angeforderten Daten bereits Gegenstand einer spezifischen sektorbezogenen Gesetzgebung sind, die den Zugang regelt (lex specialis). In solchen Fällen hat die Spezialvorschrift Vorrang, und der Zugang muss auf das darin Vorgesehene beschränkt werden, auch wenn die Anfrage auf zivilen Zugang umfassender ist. Es ist entscheidend zu erkennen, dass Daten über Einzelunternehmen, auch wenn sie eine berufliche Tätigkeit betreffen, personenbezogene Daten darstellen, wenn sie eine natürliche Person identifizieren, und daher im Einklang mit der DSGVO verarbeitet werden müssen. Die Offenlegung durch zivilen Zugang impliziert eine verstärkte „Öffentlichkeit“ der Daten, wodurch die Bewertung des potenziellen konkreten Nachteils für die Betroffenen und die strikte Anwendung der Grundsätze der Datenminimierung und Zweckbindung von entscheidender Bedeutung sind, um missbräuchliche Verwendungen oder nachfolgende inkompatible Verarbeitungen zu vermeiden.
Zu vermeidende Fehler
- Keinen allgemeinen zivilen Zugang zu Daten gewähren, die speziellen Zugangsregelungen unterliegen, die Grenzen und Bedingungen vorsehen;
- Berufliche Daten von Einzelunternehmen nicht mit denen juristischer Personen für Zwecke des Schutzes personenbezogener Daten gleichsetzen;
- Die Auswirkungen der durch den zivilen Zugang entstehenden 'Öffentlichkeit' auf den Schutz personenbezogener Daten der Betroffenen nicht unterschätzen;
- Die Bewertung eines potenziellen konkreten Nachteils für den Schutz personenbezogener Daten, insbesondere für PEC, Adressen und persönliche Kontaktdaten, nicht unterlassen.
Fragen zur Selbsteinschätzung
- Gibt es eine spezifische Vorschrift (Sondergesetz), die den Zugang zu diesen Daten bereits regelt?
- Identifizieren die angeforderten Daten, auch wenn sie beruflich sind, eine natürliche Person (z.B. Inhaber eines Einzelunternehmens)?
- Ist der Zweck des zivilen Zugangs mit den Grundsätzen der Datenminimierung und Zweckbindung der DSGVO vereinbar?
- Welche sind die tatsächlichen Vertraulichkeitserwartungen der Betroffenen bezüglich dieser Daten, sobald sie öffentlich gemacht werden?
- Bestehen Risiken einer missbräuchlichen Wiederverwendung oder weiteren inkompatiblen Verarbeitung der Daten, wenn sie durch zivilen Zugang öffentlich gemacht werden?
Verweise
Nationales Recht: D.Lgs. 30/6/2003, n. 196 (Codice in materia di protezione dei dati personali) · D.Lgs. n. 33 del 14/3/2013 (Riordino della disciplina sull’accesso civico) · L. n. 21 del 15/1/1992 (Legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea) · D.L. n. 135 del 14/12/2018 (Art. 10-bis, comma 3, sul Registro Elettronico NCC Taxi) · Decreto Ministeriale n. 203 del 2/7/2024 (Regolamento del RENT)
Anmerkungen
Die Maßnahme ist eine präventive Stellungnahme des Garante zu einem Überprüfungsantrag einer Gemeinde bezüglich einer Anfrage auf zivilen Zugang, keine Sanktionsmaßnahme. Sie klärt die Interaktion zwischen dem allgemeinen zivilen Zugang und speziellen Vorschriften, die den Zugang zu spezifischen Datensätzen regeln, insbesondere dem Elektronischen Register für NCC-Taxis (RENT).
