Mitarbeiterexzess: Geldbußen gegen Beschäftigte

Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat.

In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In seinem Tätigkeitsbericht 2021 schildert der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit verschiedene Fälle des Fehlverhaltens von Beschäftigten, deren Datenschutzverstöße von der Behörde mittels Festsetzung einer Geldbuße geahndet wurden. Damit dürfte das Verhalten der Beschäftigten als Fall des sog. Mitarbeiterexzesses zu bewerten sein, die dazu führen können, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt werden.

1. Missbrauch von Gesundheitsdaten bei Wahl der Schwerbehindertenvertretung (Ziffer 3.8) :
In diesem Fall geht es um eine Mitarbeiterin in einer Bundesbehörde, die sich sich eine Liste der schwerbehinderten Menschen, die in der Dienststelle beschäftigt waren, verschaffte. Es war festzustellen, dass die Mitarbeiterin dienstfremde Zwecke mit den Daten der schwerbehinderten Personen verfolgte und als eigene Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO handelte.

Der TLfDI erließ nach Prüfung der Sach- und Rechtslage gegen die Mitarbeiterin einen Bußgeldbescheid nach Art. 83 Abs. 5 lit. a) DS-GVO in Höhe von insgesamt 1.925 Euro. Durch das Erheben und Verwenden der auf der Liste schwerbehinderter Menschen der Bundesbehörde enthaltenen personenbezogenen Daten und das darauffolgende Rundschreiben an diese Personen habe die Mitarbeiterin besondere Kategorien personenbezogener Daten verarbeitet, ohne dass hierfür eine Rechtsgrundlage gegeben war.

2. Unberechtigte Abrufe von Patientendaten der Ex-Freundin (Ziffer 3.9)
In einem anderen Fall des Mitarbeiterexzesses hatte ein psychologischer Psychotherapeut, der in einem städtischen Krankenhaus tätig war, die Patientendaten (seine Ex-Freundin) in der elektronischen Patientenakte abgerufen. Im Ergebnis seiner Abwägungen stellte der TLfDI fest, dass der Ex-Freund mit seinem Verhalten, die als Verstöße gegen Art. 9 DS-GVO gewertet wurden, die Intimsphäre seiner Ex-Freundin verletzt habe. Der Grundrechtseingriff in das Persönlichkeitsrecht war hoch zu bewerten. Die Abfragen erfolgten ohne Information an die Ex-Freundin und in zugriffsgesicherten IT-Systemen des städtischen Krankenhauses und unter Ausnutzung der beruflichen Stellung als psychologischer Psychotherapeut.

Konsequenzen für den Ex-Freund:
Der TLfDI erließ gegenüber dem Therapeuten nach Art. 83 Abs. 5 lit. a) DS-GVO einen rechtskräftigen Bußgeldbescheid mit einer Geldbuße in Höhe von 600 Euro. Bei der Bemessung der Geldbuße wurden vorsätzliches Handeln sowie die Eingriffsintensität in das Persönlichkeitsrecht der Ex-Freundin verschärfend berücksichtigt .

Das Verhalten hatte nicht nur datenschutzrechtliche Konsequenzen. Zusätzlich musste nach § 49a Abs. 2 des Gesetzes über Ordnungswidrigkeiten in Verbindung mit § 14 Abs. 1 Nr. 4b) Einführungsgesetz zum Gerichtsverfassungsgesetz von Amts wegen die rechtskräftig verhängte Geldbuße an die zuständige Psychotherapeutenkammer gemeldet werden.

(Foto: tippapatt – stock.adobe.com)