Geldbußen gegen Mitarbeiter von Unternehmen sieht die EU-DSGVO nicht vor. So liest man in der letzten Zeit häufig. Doch stimmt das überhaupt? Die ehrliche Antwort auf diese Frage lautet: Meist schon, aber keineswegs immer!
Datenschutz-Verstoß eines Mitarbeiters
Ein Mitarbeiter übermittelt Daten, obwohl die Datenschutz-Grundverordnung (EU-DSGVO) das nicht zulässt. Der Grund: Er kennt sich mit den Vorschriften nicht richtig aus und hat sie falsch interpretiert. Eigentlich hätte ihm dies nicht passieren dürfen, denn er hat eine betriebsinterne Datenschutz-Schulung besucht. Aber wie es so geht: Gerade als diese Frage behandelt wurde, war er gedanklich woanders.
Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter? |
Das ist ein typischer Fall von Fahrlässigkeit. Dass er bloß fahrlässig gehandelt hat, würde dem Mitarbeiter für sich allein allerdings nichts helfen. Denn die Regelung zur Verhängung von Geldbußen in Art. 83 EU-DSGVO kennt auch Geldbußen für fahrlässiges Handeln.
Unternehmen als Verantwortlicher
Dennoch kann die zuständige Aufsichtsbehörde für den Datenschutz gegen den Mitarbeiter persönlich keine Geldbuße verhängen. Das ist nur gegenüber „Verantwortlichen“ (und „Auftragsverarbeitern“) vorgesehen. Und Verantwortlicher im Sinn der EU-DSGVO ist das Unternehmen, nicht der Mitarbeiter. Anders formuliert: Begeht ein Mitarbeiter im Rahmen seiner Tätigkeit einen Datenschutzverstoß, kann das durchaus eine Geldbuße nach sich ziehen. Diese Geldbuße wird allerdings gegen das Unternehmen verhängt, für das der Mitarbeiter gehandelt hat.
Arbeitsrechtliche Maßnahmen möglich
Arbeitsrechtliche Maßnahmen, insbesondere eine Abmahnung, kann das Unternehmen wegen des fahrlässigen Verhaltens ergreifen. Sie sind unabhängig von einer Geldbuße.
Verfolgung rein privater Interessen
Völlig anders ist das Ergebnis allerdings, wenn ein Mitarbeiter rein private Interessen verfolgt. Beispiel: Der Mitarbeiter hat die Möglichkeit, für dienstliche Zwecke Bonitätsabfragen zu machen. Er will eine Wohnung vermieten, die ihm privat gehört. Deshalb möchte er die finanzielle Situation eines Mietinteressenten ausloten. Dafür missbraucht er die Abfragemöglichkeit, die er am Arbeitsplatz hat. In diesem Fall wird der Mitarbeiter selbst zum Verantwortlichen im Sinn der EU-DSGVO. Denn in diesem Fall bestimmt allein er den Zweck seiner Abfrage. Die Mittel, die ihm dienstlich zur Verfügung stehen, missbraucht er hierfür. Damit ist für diese Abfrage er selbst und nicht sein Arbeitgeber der Verantwortliche im Sinn der EU-DSGVO. Die Folge: Die Aufsichtsbehörde für den Datenschutz kann gegen ihn persönlich eine Geldbuße verhängen.
Praxisfall aus Baden-Württemberg
Solche Fälle sind in der Praxis durchaus schon vorgekommen. Besonders stark beachtet wurde der Fall eines Polizisten in Baden-Württemberg. Er interessierte sich für eine Frau, die er in einem Auto gesehen hatte. Um ihren Namen zu erfahren, ermittelte er die Halterin des Autos. Dazu benutzte er Abrufmöglichkeiten, die er nur für dienstliche Zwecke verwenden durfte. Das brachte ihm eine Geldbuße der Datenschutzaufsicht ein und außerdem ein Disziplinarverfahren durch seinen Dienstherrn.
Relevant auch für Unternehmen
Für Mitarbeiter in Unternehmen würde bei einem vergleichbaren Fall dasselbe gelten wie für den Polizisten. Missbrauchen sie Abfragemöglichkeiten für rein private Zwecke, müssen sie die Folgen tragen. Dazu gehört auch, dass die Aufsichtsbehörde für den Datenschutz eine Geldbuße gegen sie verhängen kann.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele