Mitarbeiterexzess und Beschäftigtendatenschutz

Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat.
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In ihrem Tätigkeitsbericht 2021 schildert die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, Dagmar Hartge (Ziffer 4.5 Beschäftigtendaten auf Abwegen sowie 4.6 Bewerberdaten auf Abwegen) das Fehlverhalten von Beschäftigten, deren Datenschutzverstöße von der Behörde mittels Festsetzung einer Geldbuße in dreistelliger Höhe geahndet wurden. Damit dürfte das Verhalten der Beschäftigten als Fall des sog. Mitarbeiterexzesses zu bewerten sein, die dazu führen können, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt werden.
Der Hintergrund hier war wie folgt:
In einem der geahndeten Fälle hatte eine ehemalige Mitarbeiterin eines Unternehmens sich – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Nach Auffassung der Aufsichtsbehörde war die Handlung der ehemaligen Beschäftigten dem Unternehmen nicht zuzurechnen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche.

In einem anderen Fall leitete ein Angestellter von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren, an seine private E-Mail-Adresse weiter, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Dies wurde von seinem Arbeitgeber bemerkt und der Landesbeauftragten als Ordnungswidrigkeit angezeigt. Auch hier war die Aufsichtsbehörde in konsequenter Verfolgung ihrer Linie der Meinung, dass der Angestellte unbefugt gehandelt hat. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen.

Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

(Foto: metamorworks – stock.dobe.com)