Verantwortlichkeiten bei Mitarbeiterexzess
Hintergrund und Details
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat klargestellt, dass datenschutzrechtliche Verstöße von Beschäftigten grundsätzlich dem Arbeitgeber zuzurechnen sind. Dieser gilt in der Regel als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO. Entsprechend sind Maßnahmen der Aufsichtsbehörde und etwaige Meldungen nach Art. 33 DS-GVO vom Arbeitgeber vorzunehmen; ebenso können Benachrichtigungspflichten gegenüber betroffenen Personen nach Art. 34 DS-GVO entstehen.
Eine Ausnahme liegt vor, wenn ein sogenannter Mitarbeiterexzess gegeben ist. Laut Definition der Datenschutzkonferenz handelt es sich dabei um Handlungen, die „bei verständiger Würdigung nicht dem Kreis der unternehmerischen Tätigkeit zugerechnet werden können“.
Nach Ansicht des ULD spricht insbesondere ein Mitarbeiterexzess vor, wenn dienstlich erlangte personenbezogene Daten ausschließlich für private Zwecke oder zugunsten Dritter verarbeitet werden und die Handlung nicht mehr der Zweckbestimmung der dienstlichen Aufgaben entspricht. Maßgeblich ist dabei eine objektive Betrachtung der Handlung, nicht die subjektive Motivation des Beschäftigten.
Indizien für einen Mitarbeiterexzess bestehen insbesondere dann, wenn der Beschäftigte bewusst gegen dienst- und arbeitsrechtliche Weisungen verstößt und die Datenverarbeitung betriebsfremd erfolgt.
Das Wichtigste in Kürze
- Grundsätzlich haftet der Arbeitgeber für Datenschutzverstöße seiner Beschäftigten.
- Eine Meldepflicht gegenüber der Aufsichtsbehörde besteht regelmäßig für den Arbeitgeber.
- Bei einem sogenannten Mitarbeiterexzess kann der Beschäftigte selbst als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO gelten.
- Entscheidend ist, ob die Verarbeitung noch dem dienstlichen Zweck zuzurechnen ist.
Handlungsempfehlung
Arbeitgeber sollten im Verdachtsfall sorgfältig prüfen, ob ein Mitarbeiterexzess vorliegt. Eine klare Abgrenzung ist entscheidend für die Bestimmung der datenschutzrechtlichen Verantwortlichkeit und für die Einhaltung etwaiger Meldepflichten gegenüber den Aufsichtsbehörden.
(Foto: Coloures-Pic – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.
Mehr erfahren -
Folge 91: KI-Kompetenz und KI-Kompetenzen
KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:
Mehr erfahren -
Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem
Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte
Mehr erfahren
