Mitarbeiterexzess: Geldbußen gegen Beschäftigte

Patientenakte

Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat.

In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In seinem Tätigkeitsbericht 2021 schildert der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit verschiedene Fälle des Fehlverhaltens von Beschäftigten, deren Datenschutzverstöße von der Behörde mittels Festsetzung einer Geldbuße geahndet wurden. Damit dürfte das Verhalten der Beschäftigten als Fall des sog. Mitarbeiterexzesses zu bewerten sein, die dazu führen können, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt werden.

1. Missbrauch von Gesundheitsdaten bei Wahl der Schwerbehindertenvertretung (Ziffer 3.8) :
In diesem Fall geht es um eine Mitarbeiterin in einer Bundesbehörde, die sich sich eine Liste der schwerbehinderten Menschen, die in der Dienststelle beschäftigt waren, verschaffte. Es war festzustellen, dass die Mitarbeiterin dienstfremde Zwecke mit den Daten der schwerbehinderten Personen verfolgte und als eigene Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO handelte.

Der TLfDI erließ nach Prüfung der Sach- und Rechtslage gegen die Mitarbeiterin einen Bußgeldbescheid nach Art. 83 Abs. 5 lit. a) DS-GVO in Höhe von insgesamt 1.925 Euro. Durch das Erheben und Verwenden der auf der Liste schwerbehinderter Menschen der Bundesbehörde enthaltenen personenbezogenen Daten und das darauffolgende Rundschreiben an diese Personen habe die Mitarbeiterin besondere Kategorien personenbezogener Daten verarbeitet, ohne dass hierfür eine Rechtsgrundlage gegeben war.

2. Unberechtigte Abrufe von Patientendaten der Ex-Freundin (Ziffer 3.9)
In einem anderen Fall des Mitarbeiterexzesses hatte ein psychologischer Psychotherapeut, der in einem städtischen Krankenhaus tätig war, die Patientendaten (seine Ex-Freundin) in der elektronischen Patientenakte abgerufen. Im Ergebnis seiner Abwägungen stellte der TLfDI fest, dass der Ex-Freund mit seinem Verhalten, die als Verstöße gegen Art. 9 DS-GVO gewertet wurden, die Intimsphäre seiner Ex-Freundin verletzt habe. Der Grundrechtseingriff in das Persönlichkeitsrecht war hoch zu bewerten. Die Abfragen erfolgten ohne Information an die Ex-Freundin und in zugriffsgesicherten IT-Systemen des städtischen Krankenhauses und unter Ausnutzung der beruflichen Stellung als psychologischer Psychotherapeut.

Konsequenzen für den Ex-Freund:
Der TLfDI erließ gegenüber dem Therapeuten nach Art. 83 Abs. 5 lit. a) DS-GVO einen rechtskräftigen Bußgeldbescheid mit einer Geldbuße in Höhe von 600 Euro. Bei der Bemessung der Geldbuße wurden vorsätzliches Handeln sowie die Eingriffsintensität in das Persönlichkeitsrecht der Ex-Freundin verschärfend berücksichtigt .

Das Verhalten hatte nicht nur datenschutzrechtliche Konsequenzen. Zusätzlich musste nach § 49a Abs. 2 des Gesetzes über Ordnungswidrigkeiten in Verbindung mit § 14 Abs. 1 Nr. 4b) Einführungsgesetz zum Gerichtsverfassungsgesetz von Amts wegen die rechtskräftig verhängte Geldbuße an die zuständige Psychotherapeutenkammer gemeldet werden.

(Foto: tippapatt – stock.adobe.com)


Letztes Update:31.10.22

  • Informationen zur KI

    Bildung und Sensibilisierung zum Thema KI

    Das Bayerische Landesamt für Datenschutzaufsicht (bayLDA) möchte mit seinem neuen Informationsangebot zu Datenschutz und Künstliche Intelligenz seinem Sensibilisierungsauftrag in diesem Bereich gerecht werden. Dank der leicht und vielfältig nutzbaren Sprachmodelle wie „ChatGPT“ durchdringt das Thema „Künstliche Intelligenz“ immer mehr den Alltag von Bürgern, Schülern, Beschäftigten und durchdringt auch Arbeitprozesse von Organisationen. Der Zugang zu leistungsfähigen

    Mehr erfahren
  • Best Practice Chatbots

    BSI veröffentlicht Leitfaden zur sicheren Nutzung von KI-Systemen

    Nicht nur in den Deutschland werden neben den vielen Vorteilen von KI-Systemen, auch die mit der Entwicklung und Anwendung von KI-Systemen verbundenen Risiken gesehen. Mit Blick darauf, den identifizierten Gefahren und möglichen Bedrohungen verfügbaren Gegenmaßnahmen entgegen setzen zu können, hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinen Partnerbehörden aus Australien, Israel,

    Mehr erfahren
  • Personenbeziehbarkeit

    Aktueller Stand: Wann sind natürliche Personen identifizierbar?

    Man sollte meinen, dass es gerade zu dieser Frage, die ja nun den Anwendungsbereich des Datenschutzrechts eröffnet, zwischenzeitlich „gesicherte Erkenntnisse“ gibt. Wenn jedoch der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) die neueste Ausgabe seiner sog. „Aktuellen Kurzinformationen (AKI)“ dieser Frage widmet, darf davon ausgegangen werden, dass es genau zu dieser Frage immer noch keine klaren

    Mehr erfahren