Immer wieder kommt es vor, dass Mitarbeitende auf personenbezogene Daten innerhalb von Unternehmenssystemen zugreifen, ohne dass hierfür ein beruflicher Anlass besteht.
Was zunächst nach einem Einzelfall klingt, kann für Unternehmen schnell ernsthafte Konsequenzen haben: Was passiert, wenn Mitarbeitende eigenmächtig personenbezogene Daten abrufen oder gar weitergeben? Und wer haftet in einem solchen Fall: das Unternehmen oder die handelnde Person selbst?
Der Fall des „Mitarbeiterexzesses“
Die Datenschutz-Grundverordnung (DSGVO) geht grundsätzlich davon aus, dass Mitarbeitende personenbezogene Daten im Auftrag und unter der Kontrolle ihres Arbeitgebers bzw. ihrer Arbeitgeberin verarbeiten. Sie gelten datenschutzrechtlich als sogenannte „unterstellte Personen“ im Sinne des Art 29 DSGVO. Ihre Handlungen werden dem Verantwortlichen zugerechnet.
Anders verhält es sich jedoch, wenn Mitarbeitende ihre Befugnisse überschreiten und Daten zu privaten oder unternehmensfremden Zwecken verarbeiten, etwa, um das Kundenkonto des Nachbarn oder die Krankenakte einer Bekannten einzusehen. In solchen Fällen liegt ein sogenannter Mitarbeiterexzess vor. Die betroffene Person handelt dann nicht mehr „auf Weisung“ des Arbeitgebers, sondern bestimmt regelmäßig selbst über Zweck und Mittel der Datenverarbeitung. Sie wird damit selbst zur Verantwortlichen im Sinne des Art 4 Z 7 DSGVO.
Haftung und Verantwortung
Das hat erhebliche Folgen: Nach Art 82 DSGVO haften die Verantwortlichen für Schäden, die durch eine unrechtmäßige Datenverarbeitung entstehen. Im Fall eines Mitarbeiterexzesses bedeutet das, dass grundsätzlich der oder die Mitarbeitende selbst für etwaige Datenschutzverstöße haftet und nicht das Unternehmen.
Allerdings kann auch das Unternehmen in die Verantwortung geraten, etwa wenn organisatorische Schwächen, unzureichende Zugriffsrechte oder fehlende Schulungen den Verstoß begünstigt haben. Art 82 Abs 3 DSGVO ermöglicht in dieser Hinsicht eine Entlastung, sofern das Unternehmen nachweisen kann, dass es alle erforderlichen technischen und organisatorischen Maßnahmen ergriffen hat. Dokumentierte Schulungen, klare Berechtigungskonzepte und regelmäßige Kontrollen sind daher unerlässlich.
Meldepflichten bleiben bestehen
Auch wenn der Verstoß ausschließlich durch Mitarbeitende erfolgt, kann eine Meldepflicht nach Art 33 DSGVO bestehen. Ein unbefugter Zugriff gilt als Verletzung des Schutzes personenbezogener Daten und ist, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Person besteht, der Datenschutzbehörde zu melden. Besteht ein hohes Risiko, sind zusätzlich auch die Betroffenen zu informieren (Art 34 DSGVO).
Fazit für die Praxis
Ein Mitarbeiterexzess ist kein Kavaliersdelikt, sondern kann für alle Beteiligten schwerwiegende rechtliche und finanzielle Folgen haben. Unternehmen sollten daher besonderes Augenmerk auf klare Zugriffsregelungen, dokumentierte Schulungen und regelmäßige Sensibilisierungsmaßnahmen legen.
Mitarbeiterexzess im Datenschutzrecht | Wenn Mitarbeitende zu Verantwortlichen werden
