a) Ein Petent, der nicht gleichzeitig Angehöriger der Bundeswehr ist, wandte sich mit folgendem Sachverhalt
an mich: Er habe sich bei der Bundeswehr als freiwilliger Helfer für den Einsatz im Rahmen der Ebola-Epidemie beworben, weil er aus den Medien erfahren habe, die Bundesministerin der Verteidigung hätte
in ihrem Geschäftsbereich einen Aufruf für freiwillige Helfer als Tagesbefehl erlassen. Dieser Tagebefehl
galt allerdings nur für Bundeswehrangehörige. Freiwillige Zivilisten, die sich trotzdem gemeldet hatten,
wurden per E-Mail dem Deutschen Roten Kreuz (DRK) gemeldet. Damit sind personenbezogene Daten
mehrerer hundert Freiwilliger übermittelt worden. Erst danach sind die zivilen Freiwilligen über die Weiterleitung ihrer Daten unterrichtet worden.
Auf meine Nachfrage räumte das BMVg ein, für diese Übermittlung habe keine Rechtsgrundlage bestanden. Auch sei eine die Übermittlung alternativ legitimierende Einwilligung von den Freiwilligen nicht eingeholt worden.
Das BMVg hat daraufhin die Löschung der Daten des Petenten veranlasst und das Verfahren unverzüglich
umgestellt. Freiwillige wurden seither gebeten, sich mit ihrer Bewerbung direkt an das DRK zu wenden.
Eine Beanstandung dieses Datenschutzverstoßes habe ich daher nicht für notwendig erachtet.
b) In einer weiteren Eingabe ging es um den Umgang mit einer Beschwerde an den Wehrbeauftragten des
Deutschen Bundestages. Im Rahmen der Beschwerdebearbeitung hat das BMVg seine Antwort nicht nur an
den Wehrbeauftragten, sondern auch an fünf Organisationsbriefkästen verschiedener Dienststellen versandt.
Wie das Ministerium eingeräumt hat, sei die Weiterleitung der Stellungnahme an so viele Empfänger nicht
erforderlich und auch unter dem Gesichtspunkt des Informationsflusses nicht zu rechtfertigen gewesen. Zudem hätte sich der Verfasser der E-Mail vor Absendung bei den empfangenden Dienststellen rückversichern
müssen, ob dort alle Personen mit Zugriff auf den Organisationsbriefkasten zur Kenntnisnahme der in der
Stellungnahme enthaltenen personenbezogenen Daten des Petenten berechtigt gewesen seien. Dies ist jedoch unterblieben. Insofern konnte das BMVg nicht ausschließen, dass auch unberechtigte Personen Zugriff
auf die Stellungnahme und damit auf Daten des Petenten gehabt hatten.
Das Ministerium hat nachweisen können, dass es grundsätzlich die erforderlichen organisatorischen Maßnahmen getroffen hat, um einen korrekten Umgang mit E-Mails zu gewährleisten und fehlerhafte Übermittlungen auszuschließen. Es handelte sich im vorliegenden Fall um eine fehlerhafte Einzelentscheidung. Daher habe ich auch in diesem Fall von einer Beanstandung abgesehen.
c) Ein Soldat informierte mich über einen weiteren Sachverhalt, in dem personenbezogene Daten unbefugt per
E-Mail versendet und damit Dritten zugänglich gemacht worden sind.
Er hatte vor dem Verwaltungsgericht ein Urteil gegen das Bundesamt für das Personalmanagement der
Bundeswehr (BAPersBw) erstritten, mit dem ihm entstandene Nachteile wegen einer zu späten Beförderung
ausgeglichen werden sollten.
Das BAPersBw berichtete anschließend der Fachaufsicht im BMVg über den Ausgang des Klageverfahrens
und übersandte eine Kopie des vollständigen Urteils mit den personenbezogenen Daten des Petenten, da
Rechtsmittel zu prüfen waren und das Verfahren zur Umsetzung des Urteils zugunsten des Soldaten festzulegen war. Darüber hinaus kam dem Fall eine grundsätzliche Bedeutung im Hinblick auf die Anwendung
des Beförderungserlasses zu. Da diese Übermittlung des Urteils zum Zweck der Personalführung
und -bearbeitung erfolgt ist, hatte ich hiergegen keine Bedenken.
Datenschutzrechtlich problematisch war allerdings, dass das BMVg das Urteil - weiterhin nicht anonymisiert - zur allgemeinen Information über die Anwendung des Beförderungserlasses an mehrere Dienststellen
weiterversandt hatte. In diesem Fall war die Übermittlung der Angaben des Petenten im Urteil des Verwal-
BfDI 26. Tätigkeitsbericht 2015-2016
– 159 –