Missbrauch von Daten für private Zwecke
Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht?
Daten dürfen nicht für private Zwecke verwendet werden
Mit einer Geldbuße dürften die wenigsten rechnen.
Nehmen wir einfach einmal an …
Angenommen, Sie haben von jemandem noch Geld zu bekommen. Leider ist Ihr Schuldner inzwischen umgezogen. Sie wissen nur nicht, wohin. Sie vermuten, dass er zu den Kunden Ihres Arbeitgebers gehören könnte. Und tatsächlich: Ein Blick in die Kundendatenbank bestätigt das. Mit einem Mausklick haben Sie seine neue Adresse gefunden.
Auch wenn Sie das sicher nie tun würden: Nehmen wir einmal an, Sie benutzen seine neue Adresse, um mit ihm wegen der Geldsache Verbindung aufzunehmen. Welche rechtlichen Folgen kann das haben?
Der Grundsatz der Zweckbindung ist verletzt
Es liegt auf der Hand, dass hier der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit das Unternehmen die Daten verwendet. Es braucht sie beispielsweise, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auf die Idee kommen, dass ein Mitarbeiter oder eine Mitarbeiterin diese Daten für irgendwelche privaten Zwecke „abzweigt“. Dafür waren sie nicht gedacht. Deshalb kann es gut sein, dass sich der Kunde bei der Datenschutzaufsicht beschwert.
Die Datenschutzaufsicht kann Geldbußen verhängen
Die Datenschutzaufsicht wird sich um den Fall kümmern. Seit die EU-DSGVO gilt, hat die Datenschutzaufsicht viel mehr Befugnisse als vorher. Unter anderem kann sie Geldbußen verhängen. Das kann im Einzelfall richtig teuer werden. Einige Hundert Euro sind sehr schnell fällig. Das gilt natürlich auch, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.
Wer muss mit einer Geldbuße rechnen?
Interessant ist dabei die Frage, wer für diesen Datenmissbrauch geradestehen muss. Ist es die beschäftigte Person, die die Daten missbraucht hat? Oder ist es der Arbeitgeber, für den sie tätig ist? Die Meinungen hierzu gehen zwischen den Aufsichtsbehörden auseinander.
Ein „Mitarbeiterexzess“ ist eine hässliche Sache
Die meisten Aufsichtsbehörden sprechen in einem solchen Fall von einem „Mitarbeiterexzess“. Gemeint sind damit nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar etwas juristisch an. Aber eigentlich ist ziemlich klar, was damit gemeint ist.
Ständige Überwachung soll nicht sein
Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Deshalb kann der Arbeitgeber nicht für alles verantwortlich sein, was ein Beschäftigter an seinem Arbeitsplatz treibt. Wenn der Beschäftigte sich dort um rein private Angelegenheiten kümmert, ist das keine Sache des Arbeitgebers. Dafür muss vielmehr der Beschäftigte selbst geradestehen. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.
Die Geldbuße dafür muss der Beschäftigte zahlen
Beim Missbrauch von Daten für private Zwecke hat das für den „Täter“ erhebliche Konsequenzen. Er wird durch diesen Missbrauch selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen ihn persönlich ein Bußgeldverfahren einleiten und eine Geldbuße verhängen. 200 oder 300 Euro Geldbuße sind in solchen Fällen die untere Grenze. Es kann auch teurer werden.
Eine Geldbuße für den Arbeitgeber ist keine schöne Alternative
Letztlich noch unangenehmer wird es für den Beschäftigten, wenn eine Aufsichtsbehörde den Vorgang nicht als „Mitarbeiterexzess“ behandelt. Auch dann hat er selbstverständlich rechtliche Folgen. Sie richten sich gegen das Unternehmen. Denn irgendjemand muss natürlich für den Verstoß geradestehen. Und wenn es nicht der Mitarbeiter ist, ist es eben das Unternehmen.
In solchen Fällen gilt der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsicht eine Geldbuße gegen das Unternehmen verhängen.
Der Arbeitgeber wird Konsequenzen ziehen
Selbstverständlich wird das Unternehmen dies nicht einfach schulterzuckend zur Kenntnis nehmen. Vielmehr wird es das Fehlverhalten intern aufklären, arbeitsrechtliche Konsequenzen eingeschlossen. Deshalb gilt: Finger weg von dienstlichen Daten für private Zwecke! Das gilt auch dann, wenn es um scheinbar banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.
Das könnte Sie auch interessieren:
- 09.11.2021: Private Aktivitäten und die EU-DSGVO