Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle

Die Garante Privacy hat die Universität Bari abgemahnt, weil sie im Rahmen eines Antrags auf Akteneinsicht zu viele personenbezogene Daten eines Bürgers mit einer anderen Person geteilt hat

Garante per la protezione dei dati personali · IT · 28. Mai 2026

Vollständigen Beschluss lesen ↗

Auf einen Blick

Die Garante Privacy hat die Universität Bari abgemahnt, weil sie im Rahmen eines Antrags auf Akteneinsicht zu viele personenbezogene Daten eines Bürgers mit einer anderen Person geteilt hat. Obwohl die Identität des Antragstellers mitgeteilt werden durfte, hat die Universität auch die Adresse und die Telefonnummer versandt, Daten, die für das Verfahren nicht notwendig waren. Dies verstieß gegen die Datenschutzvorschriften, die vorschreiben, nur die unbedingt erforderlichen Informationen zu erheben und zu verwenden.

Was zu tun ist

  • Überprüfen Sie stets, welche personenbezogenen Daten Sie an Dritte weitergeben, auch im Rahmen administrativer Anfragen
  • Stellen Sie sicher, dass die Daten für den Zweck der Kommunikation wirklich notwendig sind
  • Schulen Sie Ihr Personal darin, wie Daten korrekt zu verwalten sind und welche Informationen unkenntlich zu machen sind

Was zu vermeiden ist

  • Versenden Sie keine Dokumente, die unwesentliche personenbezogene Daten an Dritte enthalten
  • Betrachten Sie eine generische Genehmigung nicht als Freibrief zur Weitergabe beliebiger Daten
  • Unterschätzen Sie nicht die Bedeutung der Datenminimierung

Hintergrund

Ein Bürger (Herr XX) reichte bei der Garante Privacy eine Beschwerde ein, in der er beanstandete, dass die Universität degli studi di Bari Aldo Moro nach einem von ihm gestellten Antrag auf allgemeinen Bürgerzugang dem Gegeninteressenten den vollständigen Antrag einschließlich überflüssiger personenbezogener Daten wie der Wohnadresse und der Mobiltelefonnummer des Beschwerdeführers übermittelt hatte. Die Universität verteidigte sich mit der Begründung, der Beschwerdeführer habe 'die Verarbeitung meiner personenbezogenen Daten für die mit dem Antrag verbundenen Zwecke' uneingeschränkt genehmigt und diese Genehmigung erlaube die vollständige Offenlegung des Antrags gegenüber dem Gegeninteressenten, wodurch der Beamte von der Interessensabwägung entbunden werde.

Die Entscheidung

Die Garante hat die Rechtswidrigkeit der von der Universität vorgenommenen Verarbeitung personenbezogener Daten festgestellt. Obwohl die sektorspezifische Gesetzgebung es dem Gegeninteressenten gestattet, die Identität des Antragstellers zu erfahren, erwiesen sich die zusätzlich vollständig übermittelten personenbezogenen Daten (Telefonnummer, Wohnadresse) als überflüssig und für den Zweck der Verarbeitung nicht erforderlich. Dies stellt einen Verstoß gegen die Grundsätze der 'Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz' (Art. 5 Abs. 1 lit. a) und der 'Datenminimierung' (Art. 5 Abs. 1 lit. c) der Verordnung dar. Die Garante wies die Verteidigung der Universität bezüglich der generischen Genehmigung des Beschwerdeführers zurück und betonte die Verantwortung der öffentlichen Verwaltung, die strenge Notwendigkeit der Übermittlung überflüssiger Daten abzuwägen. In Anbetracht dessen, dass der Verstoß nur eine betroffene Person betraf, die Universität gutgläubig gehandelt hat (irrtümliche Annahme der Genehmigung), interne Verfahren zur Sensibilisierung des Personals für die Minimierung eingeleitet und vollumfänglich kooperiert hat und keine früheren Verstöße vorliegen, qualifizierte die Garante das Verhalten als 'geringfügigen Verstoß'. Daher beschloss sie, die Universität degli studi di Bari Aldo Moro gemäß Art. 58 Abs. 2 lit. b) und Art. 83 Abs. 2 der Verordnung zu verwarnen und das Verhalten als rechtswidrig zu erklären. Es wurden keine weiteren Korrekturmaßnahmen ergriffen, da das Verhalten seine Wirkungen erschöpft hat.

Ratio decidendi Die zentrale rechtliche Begründung basiert auf der Verletzung der Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz und Datenminimierung (Art. 5 Abs. 1 lit. a) und c) der DSGVO). Die Garante hat festgestellt, dass, obwohl die Mitteilung der Identität des Antragstellers an den Gegeninteressenten im Rahmen des Bürgerzugangs rechtmäßig ist, die Übermittlung überflüssiger personenbezogener Daten (wie Telefonnummer und Adresse) gegen den Grundsatz der Datenminimierung verstößt, da solche Daten für den Zweck des Verwaltungsverfahrens nicht unbedingt erforderlich sind. Die generische Genehmigung zur Verarbeitung durch die betroffene Person entbindet die öffentliche Verwaltung nicht von der Pflicht zur Datenminimierung und einer angemessenen Abwägung der Notwendigkeit der übermittelten Daten.

Verletzte DSGVO-Artikel

ArtikelBeschreibungRelevanz
5 par.1 lett.a
DSGVO 		Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz die universität hat personenbezogene daten (adresse, telefonnummer) unrechtmäßig, nicht nach treu und glauben und intransparent verarbeitet, indem sie diese einem gegeninteressenten vollständig ohne eine angemessene rechtsgrundlage für diese vollständigkeit mitgeteilt hat.
5 par.1 lett.c
DSGVO 		Datenminimierung die dem gegeninteressenten übermittelten daten (adresse, telefonnummer) wurden als überflüssig und für den zweck des bürgerzugangsverfahrens nicht notwendig erachtet, was gegen den grundsatz der datenminimierung verstößt.

Sanktion

Die Garante hat die Universität degli studi di Bari Aldo Moro verwarnt, weil sie gegen die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz und Datenminimierung (Art. 5 Abs. 1 lit. a) und c) der Verordnung) verstoßen hat. Der Verstoß wurde als 'geringfügig' eingestuft, da er nur eine betroffene Person betraf, der Verantwortliche in irrtümlicher Annahme gehandelt hat, interne Korrekturverfahren eingeleitet und vollumfänglich kooperiert hat und keine relevanten früheren Verstöße vorlagen.

Praktische Auswirkungen

Diese Maßnahme unterstreicht die Bedeutung für öffentliche Verwaltungen, die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz und Datenminimierung streng anzuwenden, auch in regulierten Kontexten wie dem Bürgerzugang. Auch wenn eine betroffene Person eine generische Genehmigung zur Verarbeitung erteilt, obliegt es dem Verantwortlichen, in diesem Fall der öffentlichen Verwaltung, eine sorgfältige Abwägung der Notwendigkeit und Verhältnismäßigkeit der übermittelten Daten vorzunehmen, insbesondere gegenüber Dritten oder Gegeninteressenten. Die vermeintliche 'Autorisierung' entbindet nicht von der Minimierungspflicht. Es ist entscheidend, dass interne Verfahren klar sind und Mechanismen zur Unkenntlichmachung oder Trennung unwesentlicher Daten vorsehen. Die Zusammenarbeit mit der Behörde und die proaktive Einführung interner Korrekturmaßnahmen können die Schwere von Sanktionen mindern.

Zu vermeidende Fehler

  • Überflüssige oder nicht unbedingt notwendige personenbezogene Daten übermitteln
  • Sich auf generische Genehmigungen verlassen, um nicht-minimierte Verarbeitungen zu rechtfertigen
  • Die Abwägung der involvierten Interessen bei der Datenkommunikation unterlassen
  • Die Grundsätze der Minimierung, Rechtmäßigkeit und Transparenz auch in regulierten administrativen Kontexten ignorieren

Fragen zur Selbsteinschätzung

  • Haben wir klare Verfahren für die Bearbeitung von Zugangsanträgen (Bürgerzugang, Aktenzugang usw.)?
  • Ist unser Personal in Bezug auf die Grundsätze der Datenminimierung und Rechtmäßigkeit bei der Datenkommunikation geschult?
  • Können wir unnötige Daten identifizieren und unkenntlich machen, bevor sie an Dritte weitergegeben werden?
  • Sind wir sicher, den Gegeninteressenten nicht mehr Daten als nötig mitzuteilen?

Verweise

EDPB-Leitlinien: WP 253 · Endorsement 1/2018

Nationales Recht: d.lgs. 30 giugno 2003, n. 196 · Art. 2-ter del Codice · Art. 5 comma 5 del dlgs 14 marzo 2013 n. 33 · Art. 166 del Codice · Art. 168 del Codice · Art. 152 del Codice · Art. 10 del d.lgs. n. 150/2011