Mitarbeiterexzess: Videoüberwachung durch Kollegen
Manchmal kann ein datenschutzrechtliches Fehlverhalten dem Unternehmen oder Betrieb nicht vorgeworfen werden, nämlich dann, wenn Beschäftigte Daten zu eigenen privaten Zwecken und nicht zumindest in der Annahme, im Interesse des Arbeitgebers zu handeln, verarbeiten. Das kann z.B. dann der Fall sein, wenn Bankmitarbeiter:innen, die privat eine Wohnung vermieten, die Möglichkeit einer Bonitätsabfrage nutzen, um die Bonität eines möglichen Mieters abzufragen. Für solche Handlungen ist nicht mehr der Arbeitgeber verantwortlich, sondern die oder der Beschäftigte wird selbst zum Verantwortlichen und kann Adressat:in aufsichtsbehördlicher Maßnahmen werden.
Über eine andere Variante eines Mitarbeiterexzesses berichtet der LfDI Rheinland-Pfalz in seinem aktuellen Tätigkeitsbericht.
In einer Kommune installierte der Kassenverwalter eigenmächtig eine Überwachungskamera, um den Verdacht zu überprüfen, dass eine Kollegin durch Stornobuchungen Geld entwendete. Ohne die Behördenleitung zu informieren, erhärteten die Aufzeichnungen den Verdacht, und die Kollegin wurde fristlos entlassen.
Der LfDI stellte jedoch fest, dass der Kassenverwalter als datenschutzrechtlich Verantwortlicher agierte. Eine heimliche Videoüberwachung am Arbeitsplatz ist nur als letztes Mittel zulässig, wenn keine milderen Maßnahmen zur Aufklärung möglich sind. Hier hätte das Fehlverhalten der Kollegin möglicherweise auch durch Protokolldaten nachgewiesen werden können, was die Videoüberwachung fragwürdig macht. Zudem lag keine Einwilligung der Betroffenen vor, und die Zustimmung der übrigen Mitarbeitenden ist aufgrund des Abhängigkeitsverhältnisses nicht als freiwillig anzusehen.
Die entlassene Mitarbeiterin könnte die Kündigung vor Gericht anfechten und ein Verwertungsverbot der Aufnahmen fordern, da die Überwachung unverhältnismäßig war und von einer unbefugten Person initiiert wurde. Die endgültigen dienstlichen Konsequenzen überließ der LfDI der Behördenleitung.
(Foto: Rymden – stock.adobe.com)
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
