Das Bundesverwaltungsgericht (BVwG) hatte die irrtümliche Weitergabe einer öffentlich zugänglichen E-Mail-Adresse zu beurteilen. Es sprach aus, dass allgemein verfügbare Daten nicht generell vom Recht auf Geheimhaltung ausgenommen sind. Im konkreten Fall sei die Verarbeitung nicht für einen rechtmäßigen Zweck erfolgt, weshalb das Recht auf Geheimhaltung verletzt worden sei.
Eine Mitarbeiterin eines Krankenanstaltsträgers übermittelte per E-Mail eine PDF‑Datei an eine Patientin (die Adressatin der E-Mail) und unter einem irrtümlich auch an einen zweiten Patienten (im Folgenden: Beschwerdeführer). Durch diesen Fehler erhielt der Beschwerdeführer also eine Datei, die die adressierte Patientin betraf, und dieser Patientin wurde die E‑Mail‑Adresse des Beschwerdeführers bekannt. Nach Entdecken des Fehlers wurden beide Personen sogleich informiert.
Der Beschwerdeführer beschwerte sich in der Folge bei der Datenschutzbehörde (DSB) gegen die (irrtümliche) Offenlegung seiner E-Mail-Adresse an die andere Patientin. Diese erhob gegen die irrtümliche Übermittlung ihrer Daten an den Beschwerdeführer keine Beschwerde.
Der Krankenanstaltsträger war der Ansicht, dass keine Datenschutzverletzung vorliege, weil es sich bei der E-Mail-Adresse des Beschwerdeführers um eine Unternehmensadresse handle, die dieser selbst im Internet veröffentlicht habe. Die DSB gab dem Beschwerdeführer jedoch recht und stellte fest, dass er in seinem Recht auf Geheimhaltung der ihn betreffenden personenbezogenen Daten verletzt worden war. Dagegen erhob der Krankenanstaltsträger Beschwerde an das BVwG.
Das BVwG bestätigte die Entscheidung der DSB.
Es stellte zunächst fest, dass die E-Mail-Adresse des Beschwerdeführers irrtümlich einer anderen Person offengelegt worden war, der sie zuvor nicht bekannt war. Die E-Mail-Adresse laute auf office@... und diene der Geschäftsanbahnung im Baugewerbe. Es handle sich zweifelsfrei um personenbezogene Daten, da die E-Mail-Adresse durch den Nachnamen des Beschwerdeführers personalisiert sei und mit geringem Aufwand (Internetrecherche) eine Identifizierbarkeit der betroffenen Person gegeben sei.
Das BVwG führte aus, dass § 1 Abs. 1 Datenschutzgesetz (DSG) die Verletzung eines schutzwürdigen Geheimhaltungsinteresses bei "allgemein verfügbaren Daten" ausdrücklich ausschließt. Bei der E-Mail-Adresse des Beschwerdeführers – die dieser auf der eigenen Homepage bzw. auf diversen Unternehmensplattformen im Internet öffentlich zugänglich gemacht habe – handle es sich um allgemein verfügbare Daten. Die generelle Annahme, dass bei zulässigerweise veröffentlichten Daten keine schutzwürdigen Geheimhaltungsinteressen verletzt werden, sei jedoch mit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) nicht vereinbar.
Dies bedeute, dass nicht alle Daten, die veröffentlicht werden oder öffentlich zugänglich sind, von einem Verantwortlichen für beliebige eigene Zwecke verwendet werden dürfen.
Es sei klar ersichtlich, dass der Beschwerdeführer seine E-Mail-Adresse zur geschäftlichen Kontaktaufnahme bezüglich seines – nach ihm benannten – Unternehmens veröffentlicht habe. Für eine solche Kontaktaufnahme wäre ein legitimer Zweck bezüglich einer Datenverarbeitung gegeben. Die Veröffentlichung der E-Mail-Adresse auf der Unternehmenswebsite legitimiere hingegen nicht zur Verarbeitung zum Zweck der Übermittlung an fremde Dritte im Zusammenhang mit ärztlichen Befunden beziehungsweise Kontakten mit medizinischen Einrichtungen. Dies stehe auch im Einklang mit dem Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b DSGVO, wonach Daten nur für festgelegte Zwecke erhoben werden dürfen.
Aber selbst wenn ein legitimer Verarbeitungszweck vorgelegen hätte, wäre eine Verletzung des Rechts auf Geheimhaltung zu prüfen: Es liege nämlich keine bloße Reproduktion von allgemein zugänglichen Daten ohne Generierung neuer Informationen vor. Durch den Zusammenhang der Übermittlung der Daten durch einen Krankenanstaltsträger sei vielmehr eine neue Information hinzugefügt worden, beispielsweise dass der Beschwerdeführer schon einmal in Kontakt mit der Krankenanstalt – mutmaßlich als Patient – gestanden haben könnte. Wenn auf solche Weise „neue“ Daten entstehen, sei die Zulässigkeit ihrer Verwendung nach den datenschutzrechtlichen Bestimmungen zu prüfen.
Aufgrund der unmittelbaren Anwendbarkeit der DSGVO sei eine unionsrechtskonforme Interpretation des § 1 DSG geboten. Zur Auslegung seien die Bestimmungen der Art. 5 und 6 DSGVO heranzuziehen (da im konkreten Fall weder besondere Kategorien von Daten im Sinne des Art. 9 DSGVO noch strafrechtsbezogene Daten gemäß Art. 10 DSGVO vorgelegen hätten).
Im vorliegenden Fall habe es sich beim Verschicken der E-Mail, die nicht für den Beschwerdeführer bestimmt war, um einen menschlichen Fehler gehandelt. Somit könne der erfolgte Eingriff in das Grundrecht auf Datenschutz durch keine der in § 1 Abs. 2 DSG genannten Möglichkeiten gerechtfertigt werden, spiegelbildlich sei ein zutreffender Verarbeitungstatbestand des Art. 6 DSGVO nicht zu erblicken.
Vgl. zu diesem Verfahren den Volltext der Entscheidung.