Was ist ein „Mitarbeiter-Exzess“?
Riskiere ich eine persönliche Geldbuße durch die Datenschutzaufsicht, wenn ich an meinem Arbeitsplatz gegen den Datenschutz verstoße?
Bild: Mitarbeiter/Datenweitergabe
Die Antwort lautet: Nur wenn Ihnen ein „Mitarbeiter-Exzess“ vorzuwerfen ist. Was ist damit gemeint? Und wie vermeide ich so etwas?
Beschäftigte haben
bestimmte Vorgaben einzuhalten
Beschäftigte müssen sich an die Vorgaben ihres Arbeitgebers
halten. So sind die Spielregeln bei einem Arbeitsverhältnis. Dass sie
eingehalten werden, hat auch für den Datenschutz große Bedeutung. Denn wegen
ihrer Verantwortung für den Datenschutz muss die Unternehmensleitung zu jedem
Zeitpunkt sicherstellen, dass die Vorgaben des Datenschutzes beachtet werden.
Nur Beschäftigte können
den Datenschutz „vor Ort“ umsetzen
Papier ist bekanntlich geduldig. Der wesentliche Kern, der
hinter diesem Sprichwort steckt, gilt auch im „papierlosen Büro“: Auch kluge
und richtige Vorgaben bewirken nur dann etwas, wenn sie tatsächlich beachtet
werden. Das gilt besonders bei der Verarbeitung von Daten. Dabei kommt es auf
alle Beschäftigten an. Sie – und nicht die Unternehmensleitung - haben die
Daten von Kunden, Lieferanten und Kollegen unmittelbar in ihren Händen.
Die Unternehmensleitung
ist im Alltag weit weg
Natürlich ist eine Unternehmensleitung verpflichtet, die
Einhaltung von Vorgaben durch Stichproben zu überprüfen. Im Alltag muss und
kann sie sich jedoch darauf verlassen, dass ihre Beschäftigten korrekt handeln.
Natürlich kommen auch einmal Fehler vor. Im Ernstfall muss die Leitungsebene
die Dinge dann nach außen „glatt ziehen“. Im Alltag darf sie jedoch auf ihre
Beschäftigten vertrauen.
Manchmal laufen
Beschäftigte aus dem Ruder
Es kann allerdings vorkommen, dass sich ein Beschäftigter
nicht an die Vorgaben hält. Das wäre etwa der Fall, wenn er auf eigene
Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten
abfragt. Dieses Beispiel stammt aus einem Verfahren vor dem Europäischen
Gerichtshof (EuGH). Wer Daten von Kunden ohne betrieblichen Anlass am
Arbeitsplatz aufruft, verstößt bewusst gegen Vorgaben des Arbeitgebers.
Es gibt typische
Beispiele für Fehlverhalten von Beschäftigten
Bei Beschäftigten mit Kontakt zu Endkunden kommt es immer
wieder zum Missbrauch von Kommunikationsdaten. Beispiel: Ein Kundenberater nutzt
Daten einer Kundin, um sie aus privaten Motiven zu kontaktieren. Auch bei einem
Wechsel der Stelle geraten manche in Versuchung. Beispiel: Jemand nimmt aus
eigener Initiative Kundendaten zu seinem neuen Arbeitgeber mit, um sie dort mit
„guten Kontakten"in ein günstiges Licht zu setzen.
Vorsätzliche
Regelverstöße sind als „Exzess“ zu werten
Für solche bewussten Verstöße von Beschäftigten gegen
Vorgaben des Datenschutzes hat sich die Bezeichnung „Mitarbeiter-Exzess“
eingebürgert. Sie wirkt drastisch, bringt aber gut zum Ausdruck, um was es
geht. Ein Exzess ist eine Verhaltensweise, die Regeln bewusst ignoriert.
Verantwortung dafür trifft einen selbst, nicht den Arbeitgeber.
Ein solcher Exzess
verlagert die Verantwortung
Verantwortlicher im Sinne des Datenschutzrechts ist nicht ein
einzelner Beschäftigter, sondern das Unternehmen, für das er tätig ist. Dies
gilt allerdings nur unter einer wichtigen Voraussetzung: Beschäftigte müssen
die personenbezogenen Daten unter der Aufsicht des Verantwortlichen (also des
Unternehmens) und im Einklang mit seinen Weisungen verarbeiten. Dies heißt
umgekehrt: Wenn Beschäftigte bewusst gegen Weisungen verstoßen, werden sie
selbst zum Verantwortlichen im Sinn des Datenschutzrechts. Ihr Arbeitgeber ist
ab diesem Punkt „außen vor“.
Die Verantwortung
tragen Beschäftigte dann selbst
Wer sich selbst zum „Herr der Daten“ macht und dienstliche
Daten für private Zwecke verwendet, handelt außerhalb seines
Arbeitsverhältnisses. Die Vorgaben des Datenschutzes muss er dann selbst erfüllen.
Zu ihnen gehört etwa die ordnungsgemäße Information der betroffenen Personen
über die Verarbeitung. Eine Geldbuße für Verstöße gegen den Datenschutz
verhängt die Datenschutzaufsicht dann gegen den Beschäftigten persönlich.
Die Verantwortung der Unternehmensleitung
endet dagegen
In Unternehmen müssen Mechanismen vorhanden sein, um Verstöße
durch Stichproben aufzudecken. Mehr allerdings auch nicht. Alles andere würde
auf eine Totalüberwachung am Arbeitsplatz hinauslaufen. Und die ist aus gutem
Grund untersagt. Sofern Stichproben stattfinden, liegt ein Missbrauch von Daten
für private Zwecke außerhalb der Verantwortung des Unternehmens.
Ein simpler Rat
vermeidet Ärger
Für Daten am Arbeitsplatz gilt: Keine Verwendung der Daten
für private Zwecke! Wer sich daran hält, erspart sich unnötigen Stress und
Ärger.
Benötigen Sie dennoch Hilfe? Kein Problem!
Das könnte Sie auch interessieren:
- 01.03.2022: Missbrauch von Daten für private Zwecke