Startseite » Fachbeiträge » Konsequenzen bei unbefugter Datenverarbeitung

Konsequenzen bei unbefugter Datenverarbeitung

Dass bei der Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 und 2 DS-GVO) von den hiermit betrauten Mitarbeitern die gesetzlichen und internen Datenschutzvorgaben zu beachten sind, ist per se eine Selbstverständlichkeit. Gleichwohl ist eine hierauf gerichtete formelle Verpflichtung – z. T. auch aufgrund gesetzlicher Vorgaben – angezeigt. Hinzuweisen ist dabei auf die bei einem Verstoß u. a. drohenden arbeits-, haftungs- und strafrechtlichen Sanktionen.

3 Min. Lesezeit
Datenschutz
Foto: ©AdobeStock/VideoFlow

Professor Peter Gola beleuchtet in seinem aktuellen Beitrag die Folgen von unbefugter, eigenmächtiger Datenverarbeitung durch Beschäftigte. Dabei gibt er einen umfassenden Überblick von den Arbeitgeberpflichten über das Datengeheimnis bis hin zu arbeitsrechtlichen Maßnahmen sowie einem effektiven Datenschutzmanagement.

Vorbemerkung

Unbefugte Verarbeitungen von personenbezogenen Daten geschehen auch durch zu ihrem eigenen Vorteil handelnde Mitarbeiter. In diesem Fall macht sich der Beschäftigte unbefugt zum haftbaren Verantwortlichen (Art. 4 Nr. 7 DS-GVO). Konsequenz kann eine Strafe oder ein Bußgeld sein. Auch ein – vornehmlich immaterieller – Schadensersatz des Betroffenen kann fällig werden. Unbefugten Beschäftigten drohen arbeitsrechtliche Konsequenzen inklusive der Beendigung des Beschäftigungsverhältnisses.

Die allgemeinen Vorgaben

Der Arbeitgeber als Verantwortlicher

Dass der Arbeitgeber für die Gesetzmäßigkeit der Verarbeitung personenbezogener Daten durch die von ihm Beschäftigten einzustehen hat, macht die DS-GVO u. a. deutlich, indem sie ihn als hierfür nachweispflichtigen „Verantwortlichen“ (Art. 4 Abs. 2 Nr. 7 und Art. 5 Abs. 2 DS-GVO) deklariert. Demgemäß ist er verpflichtet, durch dem Gefährdungspotenzial entsprechende Maßnahmen unbefugte Verarbeitungen zu verhindern (Art. 5 Abs. 1 lit. f DS-GVO). Dazu sind konkrete Arbeitsanweisungen und die Kontrolle ihrer Einhaltung geboten. Dementsprechend ist die Kündigung eines Arbeitnehmers ggf. auch schon aufgrund von „Nachlässigkeiten“ in Sachen Datenschutz zulässig.

Das Datengeheimnis als Beschäftigtenpflicht

Dass bei der Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 und 2 DS-GVO) von den hiermit betrauten Mitarbeitern die gesetzlichen und internen Datenschutzvorgaben zu beachten sind, ist per se eine Selbstverständlichkeit. Gleichwohl ist eine hierauf gerichtete formelle Verpflichtung – z. T. auch aufgrund gesetzlicher Vorgaben (im öffentlichen Bereich: § 53 BDSG und Landesdatenschutzgesetze: z. B. § 35 LDSG-Rh.-Pf.) – angezeigt. Hinzuweisen ist dabei auf die bei einem Verstoß u. a. drohenden arbeits-, haftungs- und strafrechtlichen Sanktionen.

Auch wenn sich aus der DS-GVO wohl kein ausdrücklicher Unterlassungsanspruch gegen unbefugte Datenabflüsse ergibt, steht Art. 79 DS-GVO der Anwendung hierauf gerichteter sonstiger Normen (z. B. 1004 BGB) nicht entgegen.

Der im Eigeninteresse unbefugt handelnde Beschäftigte als Verantwortlicher (Mitarbeiterexzess)

Besonders gravierend sind natürlich die unbefugten Datennutzungen bzw. -entwendungen zwecks Eigennutzung durch den Beschäftigten. Verkauft der Mitarbeiter einer Bank Kundendaten an ein Konkurrenzunternehmen, so können sowohl der Arbeitgeber als auch die Betroffenen einen materiellen und die Betroffenen ggf. auch einen immateriellen Schaden erleiden, der gegenüber beiden Beteiligten geltend gemacht werden kann. Jedoch ist die für einen immateriellen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO erforderliche Eingriffsintensivität nach wie vor strittig.

In Betracht kommen kann auch eine gesamtschuldnerische Mithaftung des Unternehmens nach Art. 82 Abs. 2 DS-GVO, weil z. B. keine effektiven Sicherungsmaßnahmen eingerichtet waren. Verarbeiten Beschäftigte personenbezogene Daten, indem sie eigene Zwecke verfolgen und Handlungen vornehmen, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind, werden sie dadurch zu Verantwortlichen i. S. v. Art. Nr. 7 DS-GVO. Der Mitarbeiter haftet dann selbst nach Art. 82 DS-GVO. Bei einer unbefugten Mitnahme von Daten in ein neues Arbeitsverhältnis kann von den Aufsichtsbehörden gegen den neuen Arbeitgeber und den abgewanderten Mitarbeiter ein Bußgeld verhängt werden.

Auch wenn die für eigene Zwecke entfremdeten Daten nur rein private Interessen bzw. der Befriedung persönlicher Neugier dienen, steht Art. 2 Abs. 2 lit. c DS-GVO der Anwendung der DS-GVO nicht entgegen. Die hierfür geforderte bloße „persönlichen oder familiären Tätigkeit“ liegt nicht vor. Die DS-GVO soll nur dann nicht anwendbar sein, wenn die Tätigkeit gänzlich „ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird“. Dies ist bei einem „Mitarbeiterexzess“ regelmäßig nicht der Fall.

Eigenmächtiges Fehlverhalten von Mitarbeitern führt schließlich i. d. R. auch zu meldepflichtigen Verletzungen des Schutzes personenbezogener Daten gem. Art. 33 Abs. 1 DS-GVO. Konsequenterweise muss der durch einen „Mitarbeiterexzess“ zum Verantwortlichen gewordene Arbeitnehmer auch die weiteren Pflichten aus der DS-GVO erfüllen, die einen Verantwortlichen betreffen. Dazu gehört z. B. auch, dass er die Betroffenen nach Art. 14 DS-GVO über den Abruf bzw. Speicherung ihrer Daten informieren müsste.

Lesen Sie den vollständigen Beitrag aus der HR Performance 1/2024.

Andere interessante Fachbeiträge

Bewerber mit Behinderung im Rollstuhl

Datenschutz für (Schwer-)Behinderte bei der Bewerbung

Schwerbehinderte und ihnen gleichgestellte Bewerber erhalten unter der Vorgabe des § 2 Abs. 1 SGB IX über das allgemeine Benachteiligungsverbot des AGG hinaus zusätzlichen Schutz n...

Gute Atmosphäre im Büro

Atmosphäre schlägt Kultur

Arbeitsatmosphäre ist nicht gleich Arbeitsatmosphäre. Es ist die Frage zu klären, in welcher Atmosphäre man arbeiten möchte. Soll es beispielsweise eher eine Familienatmosphäre sei...

Prämie

Fünf Erfolgsfaktoren für die Umsetzung variabler Vergütungsmodelle mit motivierender Software

Richtig umgesetzt und softwaregestützt machen variable Vergütungskomponenten Unternehmen zu attraktiven Arbeitgebern. So lassen sich nicht nur die besten Talente gewinnen und motiv...