Mitarbeiterexzess: Geldbußen gegen Beschäftigte

Patientenakte

Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat.

In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In seinem Tätigkeitsbericht 2021 schildert der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit verschiedene Fälle des Fehlverhaltens von Beschäftigten, deren Datenschutzverstöße von der Behörde mittels Festsetzung einer Geldbuße geahndet wurden. Damit dürfte das Verhalten der Beschäftigten als Fall des sog. Mitarbeiterexzesses zu bewerten sein, die dazu führen können, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt werden.

1. Missbrauch von Gesundheitsdaten bei Wahl der Schwerbehindertenvertretung (Ziffer 3.8) :
In diesem Fall geht es um eine Mitarbeiterin in einer Bundesbehörde, die sich sich eine Liste der schwerbehinderten Menschen, die in der Dienststelle beschäftigt waren, verschaffte. Es war festzustellen, dass die Mitarbeiterin dienstfremde Zwecke mit den Daten der schwerbehinderten Personen verfolgte und als eigene Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO handelte.

Der TLfDI erließ nach Prüfung der Sach- und Rechtslage gegen die Mitarbeiterin einen Bußgeldbescheid nach Art. 83 Abs. 5 lit. a) DS-GVO in Höhe von insgesamt 1.925 Euro. Durch das Erheben und Verwenden der auf der Liste schwerbehinderter Menschen der Bundesbehörde enthaltenen personenbezogenen Daten und das darauffolgende Rundschreiben an diese Personen habe die Mitarbeiterin besondere Kategorien personenbezogener Daten verarbeitet, ohne dass hierfür eine Rechtsgrundlage gegeben war.

2. Unberechtigte Abrufe von Patientendaten der Ex-Freundin (Ziffer 3.9)
In einem anderen Fall des Mitarbeiterexzesses hatte ein psychologischer Psychotherapeut, der in einem städtischen Krankenhaus tätig war, die Patientendaten (seine Ex-Freundin) in der elektronischen Patientenakte abgerufen. Im Ergebnis seiner Abwägungen stellte der TLfDI fest, dass der Ex-Freund mit seinem Verhalten, die als Verstöße gegen Art. 9 DS-GVO gewertet wurden, die Intimsphäre seiner Ex-Freundin verletzt habe. Der Grundrechtseingriff in das Persönlichkeitsrecht war hoch zu bewerten. Die Abfragen erfolgten ohne Information an die Ex-Freundin und in zugriffsgesicherten IT-Systemen des städtischen Krankenhauses und unter Ausnutzung der beruflichen Stellung als psychologischer Psychotherapeut.

Konsequenzen für den Ex-Freund:
Der TLfDI erließ gegenüber dem Therapeuten nach Art. 83 Abs. 5 lit. a) DS-GVO einen rechtskräftigen Bußgeldbescheid mit einer Geldbuße in Höhe von 600 Euro. Bei der Bemessung der Geldbuße wurden vorsätzliches Handeln sowie die Eingriffsintensität in das Persönlichkeitsrecht der Ex-Freundin verschärfend berücksichtigt .

Das Verhalten hatte nicht nur datenschutzrechtliche Konsequenzen. Zusätzlich musste nach § 49a Abs. 2 des Gesetzes über Ordnungswidrigkeiten in Verbindung mit § 14 Abs. 1 Nr. 4b) Einführungsgesetz zum Gerichtsverfassungsgesetz von Amts wegen die rechtskräftig verhängte Geldbuße an die zuständige Psychotherapeutenkammer gemeldet werden.

(Foto: tippapatt – stock.adobe.com)


Letztes Update:31.10.22

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren