Norm
BDG 1979 §§43 Abs1 und 44 Abs1 iVm §91Schlagworte
Verstoß gegen DSGVO, Nichtbeachten von WeisungenText
Die Bundesdisziplinarbehörde hat nach am 31. August 2022 durchgeführter mündlicher Verhandlung, zu Recht erkannt:
Der Beamte, geb. 05.02.1963, ist schuldig folgende Dienstpflichtverletzungen gemäß § 91 BDG 1979 begangen zu haben:
Der Beamte hat
1. am 18.09.2020 ohne dienstliche Notwendigkeit per E-Mail insgesamt 14 Rechnungen samt dazugehörigen Leistungsnachweisen, in denen neben vertraulichen Daten über die erbrachten geschäftlichen Leistungen auch personenbezogene Daten (Name, private Adresse, private E-Mailadresse, Bankverbindung) des Lieferanten (Einzelunternehmer) der N.N., A.A. enthalten waren, entgegen den dienstlichen Anordnungen der N.N. Richtlinie Datenschutz („...Es ist jedem Mitarbeiter strikt untersagt, personenbezogene Daten, die ihm im Rahmen seines Dienstverhältnisses anvertraut worden sind, für private Zwecke zu nutzen oder sie Unbefugten zugänglich zu machen. „Die Weitergabe von personenbezogenen Daten an einen Dritten bedarf einer rechtlichen Grundlage. Diese kann sich auch aus einer gesetzlichen Verpflichtung, der Erfüllung einer vertraglichen Verpflichtung gegenüber dem Betroffenen, oder aus seiner Einwilligung ergeben. Vor der Weitergabe von Daten müssen angemessene Datenschutz- und Informationssicherheitsmaßnahmen gewährleistet sein. Andere Konzerngesellschaften sind im Sinne des Datenschutzes gesehen wie Dritte zu betrachten.”}, der N.N. (1.3. Vertrauliche Informationen, „...Bei vertraulichen Informationen gilt das Need-to-know-Prinzip: Der Kreis von Empfängern sollte möglichst klein gehalten werden und nur jene Mitarbeiter, die die vertrauliche Information aufgrund einer dienstlichen Notwendigkeit brauchen, dürfen Einsicht bzw. Zugriff erlangen. Jeweilige Zugriffsberechtigungen sind aktuell zu halten. Für das Weitergeben von vertraulichen Informationen an externe Empfänger sind eine dienstliche Notwendigkeit und eine vorherige Unterzeichnung einer Geheimhaltungsvereinbarung, auch Non Disclosure Agreement (NDA) genannt, notwendig.”) und der N.N. (4.2 Geschäftsnotwendigkeit - „Business Need“, „Need-To-Know Prinzip“ „Jeder Umgang mit geschützten Daten und Informationen, jeder Zugang, jede Speicherung, jede Weitergabe, jede Änderung und jede Entsorgung bzw. Löschung erfordert eine entsprechende Geschäftsnotwendigkeit sowie die Einhaltung der Grundsätze gemäß Datenschutzgrundverordnung (DSGVO). ...”)
an einen Angestellten der N.N., und somit an eine unternehmensfremde Person im Sinne der „N.N. Richtlinie Datenschutz”, sowie an einen Angestellten der N.N. geschickt und damit gegen §§ 1 Abs. 1 und 6 Abs. 1 und 2 Datenschutzgesetz (DSG) 1999 als auch gegen Bestimmungen von unternehmensinternen Richtlinien verstoßen, weshalb sein Dienstgeber gemäß § 33 Datenschutz-Grundverordnung (DSGVO) verpflichtet war, der Österreichischen Datenschutzbehörde eine Meldung von Verletzungen des Schutzes personenbezogener Daten zu übermitteln, sowie
2. am 18. September 2020 per E-Mail die vertraulichen geschäftlichen und personenbezogenen Daten desselben Lieferanten der N.N. entgegen den dienstlichen Anordnungen der N.N. Richtlinie Datenschutz („..Es ist jedem Mitarbeiter strikt untersagt, personenbezogene Daten, die ihm im Rahmen seines Dienstverhältnisses anvertraut worden sind, für private Zwecke zu nutzen oder sie Unbefugten zugänglich zu machen.”) an seine private E-Mailadresse geschickt und diese Daten für eigene Zwecke verwendet.
Der Beamte hat dadurch mit dem ihm unter Punkt 1 zum Vorwurf gemachten Verhalten schuldhaft gegen seine Dienstpflichten gemäß §§ 43 Abs. 1 und 44 Abs. 1 BDG 1979 und mit dem ihm unter Punkt 2 zum Vorwurf gemachten Verhalten schuldhaft gegen seine Dienstpflichten gemäß § 44 Abs. 1 BDG 1979 verstoßen und damit Dienstpflichtverletzungen gemäß § 91 BDG 1979 begangen.
Es wird daher über den Beamten gemäß § 126 Abs. 2 BDG 1979 iVm. § 92 Abs. 1 Z 2 BDG 1979
die Disziplinarstrafe der Geldbuße in der Höhe von € 700,00
(in Worten: Euro siebenhundert)
verhängt.
Hingegen wird der Beamte vom Vorwurf der Verletzung der N.N. im Sinne des Punktes 2 des Erkenntnisses des BVwG vom 23. Dezember 2021, GZ N.N., freigesprochen und das Disziplinarverfahren eingestellt.
Dem Beamten werden gemäß § 117 Abs. 2 BDG 1979 keine Verfahrenskosten vorgeschrieben, die eigenen Kosten hat er selbst zu tragen.
Begründung
I. Verwendete Abkürzungen
AS – Aktenseite
BDB – Bundesdisziplinarbehörde
BDG 1979 - Beamten-Dienstrechtsgesetz 1979
BVwG - Bundesverwaltungsgericht
DA – Disziplinaranwalt
DB – Disziplinarbeschuldigter
DSG – Datenschutzgesetz
DSGVO – Datenschutzgrundverordnung
EB - Einleitungsbeschluss
VPA - Vertrauenspersonenausschuss
II. Beweismittel
Die in der Folge dargestellten Beweismittel waren Gegenstand der Beweisaufnahme der mündlichen Verhandlungen am 31.08.2022 und sind für die Feststellung des dem Verfahren zugrundeliegenden Sachverhaltes zu würdigen:
? Übermittlung der Disziplinaranzeige gemäß § 110 Abs. 1 Z 2 BDG 1979 (AS 1 bis 5),
? Rückscheine DB (AS 7) und DA (AS 9),
? Disziplinaranzeige vom 11.Juni 2021 (AS 11),
? Mitteilung des VPA, dass der Beamte dienstrechtlich zur Verantwortung zu ziehen sei (AS 13 und 14),
? Arbeitsplatz des Beamten (AS 15),
? Email des B.B.(Leitung) vom 7. Mai 2021 betreffend Ausführungen zu den „N.N.“ (AS 17 bis 19),
? N.N. Information (AS 21 bis 50),
? Emails des B.B. (Leitung) vom 29. März 2021 und vom 31. März 2021 betreffend Bericht über die Untersuchung eines Dataleaks samt Anhängen (AS 51 bis 91),
? N.N. Richtlinie Datenschutz (AS 93 bis 103),
? Auszug aus N.N. Information (AS 105 und 107),
? Protokoll mit dem Beamten vom 30. März 2021 (AS 109 bis 111),
? Email des B.B. (Leitung) vom 29. März 2021 betreffend kurzer Überblick über die Untersuchung eines Dataleaks (AS 113),
? Email von C.C. an den Beamten vom 22. April 2021 (AS 115),
? Protokoll über die Einleitung vom 13.08.2021, (AS 119, 121),
? EB vom 16.08.2021, GZ 2021-0.445.527, samt RS (AS 123 bis 149),
? Vollmachtsbekanntgabe und Beschwerde gegen den EB (AS 151 bis 155),
? Beschwerde an Dienstbehörde und DA zur Kenntnis (AS 157),
? Aktenvorlage BVwG (AS 159),
? Erkenntnis des BVwG vom 23.12.2021, GZ N.N., (AS 101 bis 185),
? Erkenntnis des BVwG an Dienstbehörde und DA zur Kenntnis (AS187, 189),
? Aktenübermittlung vom BVwG an BDB vom 4.03.2022, eingelangt am 22.03.2022 (AS 191, 193),
? Ausschreibung mV am 31.08.2022 samt RS, AS 195 bis 205,
? Bruttomonatsbezug August 2022 und Dienstbeschreibung mit Mail vom 27.07.2022 (AS 207 bis 213),
? Dienstbeschreibung mit Fax vom 19.08.2022 (AS 209 bis 211),
? Verhandlungsschrift vom 31.08.2022 (AS 213 bis 235).
III. Sachverhaltsfeststellung
Unter Bezugnahme auf den Spruch dieser Entscheidung wurde nach dem in der mündlichen Verhandlung abgeführten Beweisverfahren nachstehender Sachverhalt vom Senat 24 der BDB als erwiesen festgestellt:
Der Beamte wurde mit 1. Juli 1995 in das öffentlich-rechtliche Dienstverhältnis aufgenommen und ist gemäß § 17 Abs. 1 und 1a des N.N. der N.N. auf die Dauer seines Dienststandes zur Dienstleistung zugewiesen. Der Beamte ist seit 1999 auf eine Planstelle mit der Wertigkeit XY ernannt. Auf seinem Arbeitsplatz nimmt der Beamte laut Angaben seines direkten Vorgesetzten folgende dienstliche Aufgaben bzw. Tätigkeiten wahr:
„Der Beamte ist verantwortlich für Auswertungen/Berichtswesen im „N.N.“ der N.N. und der N.N.
Er kümmert sich hier um interne Kundenanfragen von hauptsächlich Logistik- und Einkaufsmitarbeitern, um Auswertungen und Berichte zur Verfügung zu stellen. Hierbei macht er alles von Business Analyse, Integration von Daten aus Quellsystemen in unsere Data Warehouse / Business Intelligence Landschaft. Er erstellt Datenmodelle und Berichte und testet diese auf Korrektheit. Außerdem hilft er den internen Kunden, die Daten besser zu verstehen.“.
In der mündlichen Verhandlung am 31.08.2022 stellte der Beamte klar, dass er kein Controller sei, sondern seine Aufgaben im Reporting bestehen würden. Die Dienststelle heiße N.N.
Der Beamte ist nicht dienstfreigestellter Personalvertreter und gehört dem Personalvertretungsorgan „Vertrauenspersonenausschuss“ an. Der Vorsitzende des VPA hat am 10. Juni 2021 dem N.N. per E-Mail mitgeteilt, dass bei der Sitzung des VPA am 7. Juni 2021 mehrheitlich entschieden worden sei, dass der Beamte gemäß § 70 des N.N. dienstrechtlich zur Verantwortung zu ziehen sei.
Gegen den Beamten liegt bisher in disziplinarrechtlicher Hinsicht nichts vor.
Der Disziplinaranzeige vom 11. Juni 2021 liegt folgender Sachverhalt zugrunde:
Der Unternehmensbereich „N.N.“ wurde im März 2021 durch den Vorstand der N.N. beauftragt, ein offensichtliches „Dataleak“ betreffend die Geschäftsbeziehung mit einem Lieferanten (A.A.) zu untersuchen.
Die Untersuchung ergab, dass durch den Beamten am 18. September 2020 eine E-Mail mit dem Betreff „A.A.“ unverschlüsselt und ohne digitale Signatur, aber auch ohne entsprechenden „Business Need“, an zwei Personen, nämlich Herrn D.D. und Herrn E.E., die beide dienstfreigestellte Personalvertreter sind, gesendet wurde. Einer der beiden Empfänger der Mail, Herr E.E., ist kein Mitarbeiter des Unternehmens „N.N.“, sondern er ist Vorsitzender des Vertrauenspersonenausschusses der Holding-Firma „N.N.“.
Der genannten E-Mail waren zwei pdf-files angehängt und somit Bestandteil der Kommunikation.
Konkret wurden vom besagten Mitarbeiter über seine dienstliche N.N.-E-Mail-Adresse Daten der Geschäftsbeziehung mit dem Lieferanten A.A., wie Leistungsscheine (samt Themen der Rechtsberatung und dafür aufgewandte Stunden), Rechnungen, als auch Lieferantenkonditionen, etc. entgegen den geltenden Bestimmungen zum Umgang mit derart vertraulichen und auch datenschutzrechtlich-relevanten Daten, und ohne dienstliche bzw. geschäftliche Notwendigkeit an für den Empfang solcher Daten nicht berechtigte Personen gesendet, wobei einer der Empfänger der E-Mail, nämlich E.E. , seinen Arbeitsplatz nicht in der N.N. hat und daher gemäß Ziffer 5 der „N.N. Richtlinie Datenschutz“ als unternehmensfremde Person anzusehen ist.
Darüber hinaus wurden durch den Beamten am 18. September 2020 weitere Daten (mehrere pdf-Dateien), an denen der Lieferant A.A. ein berechtigtes Geheimhaltungsinteresse hat, von seiner dienstlichen E-Mail-Adresse an seine private E-Mail-Adresse unverschlüsselt und ohne digitale Signatur versendet.
In der mündlichen Verhandlung am 31.08.2022 führte der Beamte aus: „N.N.@icloud.com das ist eine E-Mail-Adresse. So wie N.N.@a1.at meine E-Mail-Adresse bei der N.N. ist, so ist die „icloud“ eine E-Mail-Adresse von Apple und kein Cloud Service. Also es ist nicht wie die Dropbox oder irgendwas in der Cloud oder one drive irgendwo in der Cloud, sondern es ist eine E-Mail-Adresse. Früher hat es bei Apple geheißen N.N.@me.com, das „me“ haben Sie aufgelassen und haben gesagt, das passt nicht zu uns. Unser Bild ist alles mit “i“ und wie gesagt iPhone, iMac, iPad, iPod, iCloud, das haben Sie alles umbenannt.“
27 pdf-files wurden (laut Erhebungen von Mitarbeitern) vom Beamten an dessen private E-Mail-Adresse geschickt.
Bei den vom Beamten an seine private E-Mail-Adresse gesendeten Daten handelt es sich um dieselben Daten (pdf-files – siehe Protokoll der mündlichen Verhandlung vom 31.08.2022), die er bereits am selben Tag an seine beiden Kollegen von der Personalvertretung geschickt hat, also wiederum um detaillierte Informationen in Bezug auf die Vertragsart, den Leistungswert und die im Zeitraum von 14 Monaten erbrachten Leistungen.
Die Vorgänge im Zusammenhang mit dem Versand der angeführten Mails durch den Beamten weist Non-Konformitäten mit bestehenden Vorgaben im Umgang mit vertraulichen bzw. datenschutzrechtlich-relevanten Daten auf:
Die betroffenen Daten sind auf Basis der aktuellen „N.N.“ der Kategorie „Vertraulich“ zuzurechnen. Für vertrauliche Daten gilt das „Need-to-know-Prinzip“, was bedeutet, dass nur jene Mitarbeiter, die die vertraulichen Informationen aufgrund einer dienstlichen Notwendigkeit brauchen, Einsicht bzw. Zugriff auf diese Daten erlangen dürfen.
Für das Weitergeben von vertraulichen Informationen an externe Empfänger sind eine dienstliche Notwendigkeit und eine vorherige Unterzeichnung einer Geheimhaltungsvereinbarung notwendig.
Der Transfer von vertraulichen Dokumenten per Mail muss außerdem mittels S/MIME-Signatur & Verschlüsselung erfolgen. Die genannten E-Mails wurden weder verschlüsselt noch digital signiert, wie beim Versand von vertraulichen Daten vorgeschrieben. Beherrscht der Empfänger keine E-Mail Verschlüsselung, so ist die vom Unternehmen bereitgestellte Datenaustauschplattform zu verwenden.
Mitarbeitern ist es strengstens untersagt, nicht öffentliche Firmendaten für private Zwecke zu nutzen oder sie Unbefugten zugänglich zu machen.
Zum Sachverhalt am 30. März 2021 durch Mitarbeiter des Bereiches „N.N.“ befragt, gab der Beamte an, sich an das am 18. September 2020 von ihm versandte E-Mail nicht erinnern zu können. Ein „Business Need“ oder ein konkreter dienstlicher Auftrag konnte vom Beamten weder für die Weitergabe dieser vertraulichen und datenschutzrechtlich-relevanten Daten an den externen Mail-Empfänger (AN) noch für den internen Mail-Empfänger (CC) genannt werden.
Ebenso konnte der Beamte zum Vorwurf, vertrauliche Lieferanten-Daten an seine private E-Mail-Adresse in der „iCloud“ gesendet zu haben, keinerlei Angaben machen, außer dass er sich an nichts erinnern könne (siehe beiliegende Niederschrift). Allerdings hat der Beamte zugegeben, dass ihm die firmeninternen Richtlinien „N.N.“ und „N.N.“ bekannt seien.
Dem Beamten wurde am 30. März 2021 im Zuge der Einvernahme ein Bescheid gemäß § 112 Abs. 1 BDG 1979 (vorläufige Suspendierung) ausgehändigt. Die vorläufige Suspendierung wurde jedoch mit Bescheid vom 12. April 2021 wieder aufgehoben.
Mit Anschreiben an die BDB vom 18. Juni 2021 wurde die Disziplinaranzeige vom 11. Juni 2021 samt Zustellnachweisen übermittelt.
Mit Beschluss vom 16. August 2021 wurde ein Einleitungsbeschluss von der BDB gefasst.
Gegen den EB wurde am 8. September 2021 Beschwerde vom Beamten erhoben.
Das BVwG hat mit Erkenntnis vom 23.12.2021, die Beschwerde mit der Maßgabe abgewiesen, dass die zugrunde gelegten Disziplinaranschuldigungen präziser gefasst wurden.
In der mündlichen Verhandlung am 31. August 2022 hat der Beamte ein Geständnis abgelegt.
IV. Rechtslage
Nachstehend angeführte Bestimmungen des Beamten-Dienstrechtsgesetzes 1979 bzw. Rechtsgrundlagen sind durch den gesetzten Sachverhalt berührt:
§ 43 Abs. 1 und Abs. 2 BDG 1979 lautet:
Allgemeine Dienstpflichten§ 44 Abs. 1 BDG 1979 lautet:
§ 1 Abs. 1 DSG lautet:
Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
§ 6 Abs. 1 und Abs. 2 DSG lautet:
Datengeheimnis
§ 6. (1) Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).
(2) Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten.
Art. 1 Abs. 1 der Datenschutz-Grundverordnung lautet:
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Folgende im Intranet kundgemachte Richtlinien (Erlässe/schriftliche Weisungen) sind auszugsweise anzuführen:
N.N. Richtlinie Datenschutz vom 25. Mai 2018
1 Zielsetzung der Richtlinie
Die Achtung des Privat- und Familienlebens und der Schutz der Grundrechte und Grundfreiheiten ist uns wichtig. Dies betrifft insbesondere unseren Umgang mit personenbezogenen Daten.
Kunden, Geschäftspartner und Mitarbeiter vertrauen darauf, dass wir mit ihren Daten sorgfältig umgehen. Dies beinhaltet die Ergreifung von geeigneten technischen und organisatorischen Maßnahmen, um personenbezogene Daten so zu speichern, dass diese für Dritte nicht zugänglich und vor Zerstörung oder Verlust geschützt sind. Es ist jedem Mitarbeiter strikt untersagt, personenbezogene Daten, die ihm im Rahmen seines Dienstverhältnisses anvertraut worden sind, für private Zwecke zu nutzen oder sie Unbefugten zugänglich zu machen.
3 Rechtmäßigkeit der Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:
? Der Betroffene hat seine Einwilligung erteilt.
? Die Verarbeitung der Daten ist für Zwecke vorvertraglicher Maßnahmen oder Vertragserfüllung erforderlich.
? Die Verarbeitung wird durch eine Rechtsvorschrift angeordnet oder erlaubt.
? Die Verarbeitung dient der Wahrung eines berechtigten Interesses, z.B. der Durchsetzung offener Forderungen. Dies gilt nicht, falls es einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen, insbesondere wenn es sich um ein Kind handelt. Dies ist für jede Verarbeitung zu prüfen. Im Zweifel ist der Datenschutzbeauftragte hierbei zu Rate zu ziehen.
Nur Mitarbeiter, die explizit mit der Erhebung, Verarbeitung oder Nutzung bestimmter personenbezogener Daten betraut wurden, sind hierzu im Rahmen der Erfüllung ihrer Aufgaben befugt.
Es ist jedem Mitarbeiter strikt untersagt, personenbezogene Daten für private Zwecke zu nutzen oder sie Unbefugten zugänglich zu machen.
5 Übermittlung personenbezogener Daten
Die Weitergabe von personenbezogenen Daten an einen Dritten bedarf einer rechtlichen Grundlage. Diese kann sich auch aus einer gesetzlichen Verpflichtung, der Erfüllung einer vertraglichen Verpflichtung gegenüber dem Betroffenen, oder aus seiner Einwilligung ergeben. Vor der Weitergabe von Daten müssen angemessene Datenschutz- und Informationssicherheitsmaßnahmen gewährleistet sein.
Andere Konzerngesellschaften sind im Sinne des Datenschutzes gesehen wie Dritte zu betrachten.
Die Übermittlung an staatliche Einrichtungen oder Behörden erfolgt ausschließlich aufgrund jeweils einschlägiger Rechtsvorschriften.
7 Weitere Prinzipien für die Verarbeitung personenbezogener Daten
Die nachfolgenden Prinzipien des Datenschutzes sind unverzichtbare Grundlage aller Datenanwendungen und Dienstleistungen in der N.N.:
Datengeheimnis (§ 6 Datenschutzgesetz 2018)
Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter müssen personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten, oder zugänglich gewordenen personenbezogenen Daten besteht.
Mitarbeiter dürfen personenbezogene Daten nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses einzuhalten.
Interne Richtlinien
Einschlägige interne Richtlinien, wie insbesondere die Bestimmungen der internen N.N., sind im Intranet für alle Mitarbeiter zugänglich und sind zu beachten.
Need-To-Know-Prinzip
Mitarbeiter dürfen den Zugriff auf personenbezogene Daten nur nach dem „Need-To-Know-Prinzip“ erhalten, d.h. ohne diesen Zugriff wäre die ordnungsgemäße Erledigung der ihnen übertragenen Aufgaben nicht durchführbar. Dies setzt eine präzise Festlegung von Aufgaben, Zuständigkeiten und dafür notwendige Berechtigungen voraus.
Richtlinien für das N.N. Informationssicherheitsmanagement
1.3. Vertrauliche Informationen
Alle Informationen, deren Weitergabe an unbefugte interne oder externe Empfänger zu einem Schaden für N.N. führen kann, gelten als vertraulich (z.B.: sensible Verträge, Einkaufskonditionen, …). Mitarbeiterdaten, die nicht intern sind, müssen ebenfalls als vertraulich eingestuft werden (Sozialversicherungsnummer, Passwörter, Bankverbindungsdaten, Geburtsdatum, Gehalt, Zeitnachweis, Familienstand, …). Sämtliche Daten von Kunden und Geschäftspartnern, die nicht intern sind, zählen ebenfalls zu vertraulichen Informationen (Vor- und Familienname, akademischer Grad, Adresse, Teilnehmernummer, E-Mail-Adresse, Bonität, Umsatz, Erlös, Sozialversicherungsnummer, Bankverbindungsdaten, Geburtsdaten, …), sowie personifizierte Verkehrsdaten (Gesprächsbeginn und –ende, aktive und passive Rufnummer, …). Einzelne technische Angaben und Spezifikationen (IP-Adressen, Konfigurationen, …). sind vertraulich, solange sie keine Gesamtübersicht der Infrastruktur ermöglichen.
Vertrauliche Informationen sind, soweit praktikabel, als solche gut sichtbar und ausdruckbar zu kennzeichnen.
Bei vertraulichen Informationen gilt das Need-to-know-Prinzip: Der Kreis von Empfängern sollte möglichst klein gehalten werden und nur jene Mitarbeiter, die die vertrauliche Information aufgrund einer dienstlichen Notwendigkeit brauchen, dürfen Einsicht bzw. Zugriff erlangen. Jeweilige Zugriffsberechtigungen sind aktuell zu halten. Für das Weitergeben von vertraulichen Informationen an externe Empfänger sind eine dienstliche Notwendigkeit und eine vorherige Unterzeichnung einer Geheimhaltungsvereinbarung, auch Non Disclosure Agreement (NDA) genannt, notwendig.
4.3.2 Softwarenutzung
Auf firmeneigenen Geräten darf nur für N.N. ordnungsgemäß lizenzierte Software eingesetzt werden. Diese Regelung gilt insbesondere auch für Rechner, für die lokale Administratorenrechte vergeben wurden. Es dürfen keine Änderungen an firmenmäßig installierter Software vorgenommen werden, welche die Sicherheit im Allgemeinen beeinträchtigen könnten. Bei Freeware ist darauf zu achten, dass die Lizenzbedingungen eine Firmennutzung erlauben. N.N. behält sich vor, die Nutzung bestimmter Software auf firmeneigenen Geräten einzuschränken und Sicherheitseinstellungen zwingend vorzuschreiben. Darunter fallen insbesondere Schutzmaßnahmen am Client, wie unter Kapitel 6.2. – „Schutzmaßnahmen am Client“ angeführt, sowie Nutzungseinschränkungen am Client, wie unter Kapitel 6.3 – „Lokale Administratorrechte“ angeführt.
Die dienstliche Nutzung von N.N. ist nur erlaubt, wenn die Nutzung der Services von N.N. freigegeben wurde.
Ein Antrag auf Aufnahme eines N.N. kann gestellt werden und muss u.a. durch N.N. und N.N. freigegeben werden.
4.5 E-Mails
Das Mailen ist Teil der dienstlichen Kommunikation und zählt zu den von Mitarbeitern für den Arbeitgeber zu erbringenden Leistungen. E-Mails sind nur an jene Personen zu senden, die diese notwendigerweise kennen müssen, um ihre Aufgaben effizient zu erledigen. Große Kreise von Empfängern, die eine Vielzahl von Personen mit unnötiger Information überfrachten und sie daher in ihrer Arbeit behindern, sind zu vermeiden. Das automatisierte Weiterleiten von E-Mails von dem und zu dem N.N. E-Mail-Account ist nicht erlaubt, weil dadurch die SPAM- und Virenerkennung erschwert wird.
Es erfolgt eine zentrale Speicherung der E-Mails auf dem Firmen-Mailserver. Sie werden automatisch nach 3 Jahren gelöscht. Jedem Mitarbeiter steht es frei, E-Mails, die er als wichtig erachtet, in einem persönlichen Online-Ordner für die Dauer von drei Jahren abzulegen. Darüber hinaus können unternehmenswichtige E-Mails in einer Online-Bereichsablage hinterlegt werden.
Das Speichern von E-Mails außerhalb des Firmen-Mailservers (z.B. auf PCs, auf externen Festplatten, auf USB-Sticks, auf privaten Geräten, …) ist nicht erlaubt. Davon ausgenommen ist das Speichern einzelner E-Mails auf zentralen Servern bei dienstlicher Notwendigkeit.
Die dienstliche Mailadresse darf unter keinen Umständen für die Authentifizierung bei privaten Accounts verwendet werden.
Es dürfen keine Rules zur automatisierten Weiterleitung an externe E-Mail Accounts eingerichtet werden.
4.7 Private Nutzung
Die private Nutzung von dienstlichem Equipment ist in geringem Umfang gestattet. Die private Verwendung des Equipments darf jedoch die dienstliche Nutzung in keiner Weise behindern und nicht zu mehr als lediglich geringfügigen Kosten für N.N. führen. N.N. haftet nicht für den etwaigen Verlust privater Daten auf dienstlichem Equipment.
Jedem Mitarbeiter ist es strengstens untersagt, nicht öffentliche Firmendaten für private Zwecke zu nutzen oder sie Unbefugten zugänglich zu machen.
Trotz der Möglichkeit der privaten Nutzung von dienstlichem Equipment wird nicht zwischen privaten und unternehmensinternen Daten unterschieden. Sämtliche Daten, die durch private Nutzung auf Firmen-Devices gespeichert werden, werden wie reguläre unternehmensinterne Daten behandelt und sind Eigentum der N.N.
Nach Ausscheiden des Mitarbeiters werden Daten, die auf dienstlichem Equipment gespeichert wurden, gelöscht.
Bei begründeten Anlassfällen dürfen, auch ohne Zustimmung des Mitarbeiters, jedoch im Beisein eines Arbeitnehmervertreters, Daten eingesehen werden.
11.3 Kostenfreie Cloud Services
Kostenfreie Cloud Services, mit denen in der Regel Verträge automatisch durch Nutzung zustande kommen, dürfen ebenfalls erst nach expliziter Freigabe genutzt werden und müssen den Change Prozess durchlaufen.
16.1 Schulungen
16.1.1 Verpflichtende Schulungen für alle Mitarbeiter
In regelmäßigen Intervallen, spätestens aber jedes Jahr, müssen Mitarbeiter verpflichtende Awareness-Schulungen absolvieren, um das Sicherheitsbewusstsein im gesamten N.N. Team zu festigen.
N.N. vom 13. November 2020
4.2 Geschäftsnotwendigkeit – „Business Need“, „Need-To-Know Prinzip“
Jeder Umgang mit geschützten Daten und Informationen, jeder Zugang, jede Speicherung, jede Weitergabe, jede Änderung und jede Entsorgung bzw. Löschung erfordert eine entsprechende Geschäftsnotwendigkeit sowie die Einhaltung der Grundsätze gemäß Datenschutzgrundverordnung (DSGVO). Liegt der Business Need dafür nicht mehr vor, fällt auch die entsprechende Berechtigung weg. Eingerichtete Berechtigungsprofile müssen entsprechend neuen Situationen angepasst werden, kurz: Kein Business Need – keine Erlaubnis für einen Datenzugriff. Ein Zugriff auf personenbezogene Daten darf nur nach dem Need-To-Know Prinzip erfolgen, d.h. ohne diesen Zugriff wäre eine ordnungsgemäße Erledigung der übertragenen Aufgaben nicht möglich
V. Rechtliche Würdigung
Gemäß § 43 Abs. 1 BDG 1979 hat der Beamte seine dienstlichen Aufgaben treu, gewissenhaft und engagiert aus eigenem zu erfüllen. Er muss also während der Ausübung seines Dienstes zunächst die Gesetze beachten (Beachtung der geltenden Rechtsordnung; VwGH 4.9.1990, 88/09/0013) und die ihm übertragenen Aufgaben ordentlich erledigen (treu und gewissenhaft), sowie alles unterlassen, was die Interessen des Dienstgebers schädigen könnte. Die „Beachtung der geltenden Rechtsordnung“ bedeutet darüber hinaus, dass der Beamte bei der Erfüllung der dienstlichen Aufgaben […] sich so zu verhalten hat, dass er nicht Gesetze verletzt. Er ist auch verpflichtet, die Bestimmungen des DSG einzuhalten und jegliche Verhaltensweisen, die einen der Tatbestände dieses Gesetzes zu erfüllen geeignet sind, zu unterlassen.
Aus dem oben dargestellten Sachverhalt ergibt sich, dass der Beamte aus ausschließlich privaten Gründen- jedenfalls sind für den Senat 24 der BDB keine dienstlichen Gründe erkennbar, zumal in der mündlichen Verhandlung am 31.08.2022 festgehalten wurde, dass der Beamte keine inhaltliche Prüfungsbefugnis hatte - rechtswidrig per E-Mail insgesamt 14 Rechnungen samt dazugehörigen Leistungsnachweisen an eine unternehmensfremde Person im Sinne der „N.N. Richtlinie Datenschutz“, sowie an einen Angestellten der N.N. übermittelte. Die N.N. war deshalb verpflichtet gemäß § 33 Datenschutz-Grundverordnung (DSGVO) der Österreichischen Datenschutzbehörde eine Meldung von Verletzungen des Schutzes personenbezogener Daten zu übermitteln. Bei pflichtgemäßer Beachtung der Rechtsordnung hätte der Beamte eine Versendung dieser E-Mails nicht durchführen dürfen.
Gemäß § 44 Abs. 1 BDG 1979 hat der Beamte die Weisungen seiner Vorgesetzten zu befolgen. Dies bedeutet, dass er die von seinem Dienstgeber, der N.N., verlautbarten Erlässe zu befolgen hat. Der Beamte hat schriftliche Weisungen, also Dienstanweisungen, in Form vom im Intranet verlautbarten Richtlinien nicht befolgt und somit dem Kernbereich seines engsten Pflichtenkreises zuwidergehandelt und ein disziplinär zu verfolgendes Verhalten gesetzt (VwGH 16.12.1997, 94/09/0034).
Beamte sind verpflichtet, ihre dienstlichen Aufgaben unter Beachtung der geltenden Rechtsordnung treu, gewissenhaft, engagiert und unparteiisch mit den ihm zur Verfügung stehenden Mitteln aus eigenem zu besorgen (§ 43. Abs. 1 BDG 1979) und haben dabei ihre Vorgesetzten zu unterstützen und ihre Weisungen, soweit verfassungsgesetzlich nicht anderes bestimmt ist, zu befolgen (§ 44 Abs. 1 BDG 1979).
Auf Grundlage der vorliegenden Beweismittel und nach durchgeführter mündlicher Verhandlung am 31.08.2022 ist es nach Ansicht des Senats 24 der BDB als erwiesen anzunehmen, dass der Beamte mit der Übermittlung von vertraulichen personenbezogenen Daten des Lieferanten A.A. ohne entsprechende dienstliche Notwendigkeit an einen betriebsfremden Personalvertreter und einen weiteren Personalvertreter der N.N. gegen die §§ 1 Abs. 1 und 6 Abs. 1 und 2 DSG verstoßen und damit seine Dienstpflichten gemäß § 43 Abs. 1 BDG 1979 schuldhaft verletzt hat. Zudem stehen die dem Beamten unter den Punkten 1 und 2 der im Spruch dieses Bescheides angeführten Tathandlungen im Widerspruch zu den entsprechend veröffentlichten und als generelle dienstliche Weisungen zu betrachtenden einschlägigen Richtlinien des Dienstgebers (N.N. Richtlinie Datenschutz vom 25. Mai 2018, N.N. und N.N. vom 13. November 2020), wodurch die Dienstpflichten gemäß § 44 Abs. 1 BDG 1979 schuldhaft verletzt wurden.
VI. Verschulden
Soweit dem Beamten in subjektiver Hinsicht ein schuldhaftes Verhalten zuzurechnen ist und der Verdacht der Dienstpflichtverletzung zu erheben ist, ist auf die gültige Rechtslage, nämlich das DSG, und die zitierten Richtlinien im Intranet zu verweisen.
Dem Beamten ist ein schuldhaftes Verhalten zuzurechnen, weil keine dienstliche Notwendigkeit für die Versendung der im Spruch angeführten E-Mails erkennbar ist. Vielmehr muss für die Versendung dieser E-Mails ein privates Interesse angenommen werden, weil diese Versendung nicht dem Aufgabenbereich des Beamten zuzuordnen ist.
Wie die Richtlinie Datenschutz unter anderem festhält, ist im Unternehmen eine verpflichtende Weiterbildung vorgesehen. Daher ist davon auszugehen, dass diese Verpflichtung auch für den Beamten zutrifft und man ihm daher zu Recht vorwerfen kann die allgemeinen Grundsätze der genannten Richtlinien und der Rechtsgrundlagen, auf denen diese Richtlinien fußen, missachtet zu haben.
Als Rechtslage zu beachten:
§ 91 BDG 1979: Der Beamte, der schuldhaft seine Dienstpflichten verletzt, ist nach diesem Abschnitt zur Verantwortung zu ziehen.
§ 5 Abs. 1 StGB: Vorsätzlich handelt, wer einen Sachverhalt verwirklichen will, der einem gesetzlichen Tatbild entspricht; dazu genügt es, dass der Täter diese Verwirklichung ernstlich für möglich hält und sich mit ihr abfindet.
§ 5 Abs. 2 StGB: Der Täter handelt absichtlich, wenn es ihm darauf ankommt, den Umstand oder Erfolg zu verwirklichen, für den das Gesetz absichtliches Handeln voraussetzt.
§ 5 Abs. 3 StGB: Der Täter handelt wissentlich, wenn er den Umstand oder Erfolg, für den das Gesetz Wissentlichkeit voraussetzt, nicht bloß für möglich hält, sondern sein Vorliegen oder Eintreten für gewiss hält.
Vorsatz bedeutet daher eine zielgerichtete, subjektive Einstellung des Täters auf deren Vorhandensein oder Nichtvorhandensein, nur aus seinem nach außen in Erscheinung tretendem Verhalten, unter Würdigung aller sonstigen Sachverhaltselemente, geschlossen werden kann.
Aus dem Gesamtbild der Tat des vom Beamten gesetzten Sachverhaltes ist nach Ansicht der BDB kein anderer Schluss zu ziehen als der, dass er bei den von ihm begangenen Dienstpflichtverletzungen schuldhaft und zwar mit direktem Vorsatz gehandelt hat. Eine dienstliche Notwendigkeit zur Weiterleitung der Emails war in der mündlichen Verhandlung am 31.08.2022 nicht zu Tage getreten. Es bleibt somit für den Senat 24 der BDB im gegenständlichen Verfahren für die Annahme eines nicht schuldhaften Verhaltens des Beamten kein Raum.
VII. Einstellung
Im Erkenntnis des BVwG vom 23.12.2021, GZ N.N., mit welchem der Spruch des Einleitungsbeschlusses des gegenständlichen Disziplinarverfahrens neu gefasst wurde, wird im Punkt 2 des Erkenntnisses auch der Vorwurf einer Dienstpflichtverletzung durch die Verletzung der N.N. erhoben. Aufgrund der in der mündlichen Verhandlung am 31.08.2022 erfolgten Klarstellungen erkennt die BDB diese Dienstpflichtverletzung nicht und war der Beamte von diesem Vorwurf freizusprechen und das Disziplinarverfahren einzustellen.
VIII. Strafbemessung
Rechtslage
§ 92 Abs. 1 BDG 1979 lautet:
Disziplinarstrafen4. die Entlassung.
§ 93 BDG 1979 lautet:
Strafbemessung§ 93. (1) Das Maß für die Höhe der Strafe ist die Schwere der Dienstpflichtverletzung. Dabei ist darauf Rücksicht zu nehmen, inwieweit die beabsichtigte Strafe erforderlich ist, um den Beamten von der Begehung weiterer Dienstpflichtverletzungen abzuhalten oder der Begehung von Dienstpflichtverletzungen durch andere Beamte entgegenzuwirken. Die nach dem Strafgesetzbuch für die Strafbemessung maßgebenden Gründe sind dem Sinne nach zu berücksichtigen; weiters ist auf die persönlichen Verhältnisse und die wirtschaftliche Leistungsfähigkeit des Beamten Bedacht zu nehmen.
§ 117 Abs. 2 lautet:
§ 117. (2) Wird über den Beamten von der Bundesdisziplinarbehörde eine Disziplinarstrafe verhängt, so ist im Erkenntnis auszusprechen, ob und inwieweit er mit Rücksicht auf den von ihm verursachten Verfahrensaufwand, seine persönlichen Verhältnisse und seine wirtschaftliche Leistungsfähigkeit die Kosten des Verfahrens zu ersetzen hat; dasselbe gilt, wenn im Schuldspruch von der Verhängung einer Disziplinarstrafe abgesehen wird. Die aus der Beiziehung eines Verteidigers erwachsenden Kosten hat in allen Fällen der Beamte zu tragen.
In Interpretation des § 93 BDG 1979 hat der VwGH unter VwGH Zl. 2013/09/0045 wörtlich ausgeführt: „Gemäß § 93 Abs. 1 erster Satz BDG 1979 ist die Schwere der Dienstpflichtverletzung als Maß für die Höhe der Strafe festgelegt. Dieser Maßstab richtet sich nach dem Ausmaß der Schuld im Sinne der Strafbemessungsschuld des Strafrechts. Für die Strafbemessung ist daher sowohl das objektive Gewicht der Tat maßgebend wie auch der Grad des Verschuldens (vgl. die ErläutRV zur Vorgängerbestimmung des § 93 BDG 1979 im BDG 1977, 500 Blg. Nr. 14 GP 83). Das objektive Gewicht der Tat (der Unrechtsgehalt) wird dabei in jedem konkreten Einzelfall - in Ermangelung eines typisierten Straftatbestandskatalogs im Sinne etwa des StGB – wesentlich durch die objektive Schwere der in jedem Einzelfall konkret festzustellenden Rechtsgutbeeinträchtigung bestimmt.“
Die zu beurteilenden Dienstpflichtverletzungen beziehen sich auf die Nichteinhaltung gesetzlicher Bestimmungen. Die BDB billigt dem Unrechtsgehalt der Tat ein nennenswertes Gewicht zu.
Wie bereits unter Punkt VI ausgeführt, hat der Beamte vorsätzliches Verhalten zu verantworten. Aus diesem Grund bewertet die BDB auch den Grad des Verschuldens als gewichtig, da sich der Beamte über die gebotenen Dienstpflichten, die ihm klar erkennbar sein mussten, hinweggesetzt hatte. Hinsichtlich der objektiven Schwere der Tat bzw. der Folgen der Tat ist auszuführen, dass diese jedenfalls nicht bloß geringfügig ist und auch nicht bloß unbedeutende Folgen nach sich gezogen hat. Die rechtskonforme Verwaltungsausübung von Bediensteten ist nach dem Selbstverständnis des Unternehmens N.N. eine unbedingte Voraussetzung der Dienstausübung. Somit ist aus Sicht der BDB aufgrund der Schwere der Tat (Verschuldensgrad und objektive Schwere) von den gemäß § 92 Abs. 1 BDG 1979 möglichen Disziplinarstrafen eine Geldbuße als schuld- und tatangemessen festzusetzen.
Bei der Ausmessung der Geldbuße sind die Aspekte der Generalprävention sowie der Spezialprävention gemäß § 93 Abs. 1 BDG zu beachten. Dabei ist darauf Rücksicht zu nehmen, inwieweit die beabsichtigte Strafe erforderlich ist, um der Begehung von Dienstpflichtverletzungen durch andere Beamte entgegenzuwirken. Diesem gesetzlichen Erfordernis ist durch die Höhe der Ausmessung der Geldbuße zu entsprechen und ein deutliches Signal zu setzen, dass das Verhalten der Beamtinnen und Beamten mit der Rechtsordnung im Einklang zu stehen hat.
Gemäß § 93 Abs. 1 BDG 1979 ist bei der Festsetzung der Disziplinarstrafe auch der Umstand zu berücksichtigen, inwieweit die beabsichtigte Strafe erforderlich ist, um den Beamten von der Begehung weiterer Dienstpflichtverletzungen abzuhalten. Im Hinblick auf die persönliche Verantwortung des Beamten konnte mit der Disziplinarstrafe der Geldbuße das Auslangen gefunden werden.
Auf die persönlichen und wirtschaftlichen Verhältnisse wurde Bedacht genommen, der Beamte hat keine Sorgepflichten.
Strafrahmen
Es ist darauf Rücksicht zu nehmen, inwieweit die beabsichtigte Strafe erforderlich ist, um Beamtinnen und Beamte von der Begehung weiterer Dienstpflichtverletzungen abzuhalten oder der Begehung von Dienstpflichtverletzungen entgegenzuwirken.
Wie vorne ausgeführt, ist die Disziplinarstrafe der Geldbuße aus generalpräventiven Gründen festzusetzen. Ein gelinderes Mittel als jenes der Geldbuße kann schon allein deshalb nicht verhängt werden, weil Disziplinarverfahren im Unternehmen nicht geheim bleiben.
Milderungs- und Erschwernisgründe
Das Geständnis des Beamten sowie die disziplinäre Unbescholtenheit wurden als Milderungsgründe herangezogen. Als erschwerend wurde der Umstand gesehen, dass mehr als ein Delikt verwirklicht wurde. Als schwereres Delikt hat die BDB die Verletzung des § 43 Abs. 1 BDG 1979 gesehen, die Verletzung des § 44 Abs. 1 BDG 1979 wird erschwerend gewertet.
Strafhöhe
Gemäß § 93 Absatz 1 BDG 1979 ist das Maß für die Höhe der Strafe nach der Schwere der Dienstpflichtverletzung zu bemessen. Die nach dem Strafgesetzbuch für die Strafbemessung maßgebenden Gründe sind dem Sinne nach zu berücksichtigen. Die Höhe der Disziplinarstrafe der Geldbuße kann gemäß § 92 Abs. 1 BDG 1979 bis zur Höhe eines Monatsbezuges festgesetzt werden.
Der Monatsbezug des Beamten und damit der Strafrahmen beträgt € 7.263,40.
Die festgesetzte Geldstrafe von € 700, -- findet in diesem Rahmen Deckung.
Die BDB erkennt die Ausmessung dieser Disziplinarstrafe unter Hinweis auf sämtliche dargelegten Erwägungen als der Schwere der Tat und der Schuld angemessen und ausgewogen.
Zuletzt aktualisiert am
22.03.2023
