Verantwortlichkeiten bei Mitarbeiterexzess
Hintergrund und Details
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat klargestellt, dass datenschutzrechtliche Verstöße von Beschäftigten grundsätzlich dem Arbeitgeber zuzurechnen sind. Dieser gilt in der Regel als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO. Entsprechend sind Maßnahmen der Aufsichtsbehörde und etwaige Meldungen nach Art. 33 DS-GVO vom Arbeitgeber vorzunehmen; ebenso können Benachrichtigungspflichten gegenüber betroffenen Personen nach Art. 34 DS-GVO entstehen.
Eine Ausnahme liegt vor, wenn ein sogenannter Mitarbeiterexzess gegeben ist. Laut Definition der Datenschutzkonferenz handelt es sich dabei um Handlungen, die „bei verständiger Würdigung nicht dem Kreis der unternehmerischen Tätigkeit zugerechnet werden können“.
Nach Ansicht des ULD spricht insbesondere ein Mitarbeiterexzess vor, wenn dienstlich erlangte personenbezogene Daten ausschließlich für private Zwecke oder zugunsten Dritter verarbeitet werden und die Handlung nicht mehr der Zweckbestimmung der dienstlichen Aufgaben entspricht. Maßgeblich ist dabei eine objektive Betrachtung der Handlung, nicht die subjektive Motivation des Beschäftigten.
Indizien für einen Mitarbeiterexzess bestehen insbesondere dann, wenn der Beschäftigte bewusst gegen dienst- und arbeitsrechtliche Weisungen verstößt und die Datenverarbeitung betriebsfremd erfolgt.
Das Wichtigste in Kürze
- Grundsätzlich haftet der Arbeitgeber für Datenschutzverstöße seiner Beschäftigten.
- Eine Meldepflicht gegenüber der Aufsichtsbehörde besteht regelmäßig für den Arbeitgeber.
- Bei einem sogenannten Mitarbeiterexzess kann der Beschäftigte selbst als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO gelten.
- Entscheidend ist, ob die Verarbeitung noch dem dienstlichen Zweck zuzurechnen ist.
Handlungsempfehlung
Arbeitgeber sollten im Verdachtsfall sorgfältig prüfen, ob ein Mitarbeiterexzess vorliegt. Eine klare Abgrenzung ist entscheidend für die Bestimmung der datenschutzrechtlichen Verantwortlichkeit und für die Einhaltung etwaiger Meldepflichten gegenüber den Aufsichtsbehörden.
(Foto: Coloures-Pic – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
