Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil Vorlagen
28. April 2025

Der „Mitarbeiter-Exzess“

Viele Aufsichtsbehörden berichten aktuell über den sogenannten „Mitarbeiter-Exzess“ – den Missbrauch beruflicher Daten durch Beschäftigte zu privaten Zwecken.
Bild: Nuthawut Somsuk / iStock / Getty Images Plus
5,00 (2)
drucken
Inhalte in diesem Beitrag
Thema bei allen Aufsichtsbehörden
Erstaunlich oft missbrauchen Beschäftigte berufliche Daten für rein private Zwecke. Fast alle Tätigkeitsberichte von Aufsichtsbehörden, die in der letzten Zeit erschienen sind, befassen sich mit diesem Phänomen. Oft geht es dabei um sensible Daten. Einige Aufsichtsbehörden haben deutliche Bußgelder verhängt oder gar die Staatsanwaltschaft eingeschaltet.

➧ Krankenhäuser sind besonders oft betroffen

So unterschiedlich die Fälle im Detail liegen – öffentliche wie private Krankenhäuser scheinen eine Umgebung zu sein, die besonders zum Datenmissbrauch einlädt:

  • In der Behandlungsakte einer Patientin war ihre Telefonnummer notiert. Ein Arzt verwendete sie dazu, um mit der Frau per WhatsApp aus rein privaten Motiven in Kontakt zu treten. Die Frau fiel aus allen Wolken, denn sie hatte ihm nie ein entsprechendes Interesse signalisiert (Tätigkeitsbericht Bremen 2024, S. 15/16).
  • Eine „in einem Krankenhaus in Hamburg beschäftigte Person“ veröffentlichte Informationen zu Erkrankungen und Diagnosen von Patientinnen und Patienten samt deren Namen „in einem chinesischen sozialen Netzwerk“ und machte dabei „herabsetzende, auf die Diagnosen bezogene Angaben“ (Tätigkeitsbericht Hamburg 2024, S. 32/33).
  • Eine Frau wurde in dem Krankenhaus behandelt, in dem sie beschäftigt ist. Fünf ihrer Kolleginnen und Kollegen riefen während ihres stationären Aufenthalts ihre Patientenakte im elektronischen Krankenhausinformationssystem auf. Dies geschah „nur aus Neugier, … um sich über den Krankheitsverlauf während ihres stationären Aufenthalts zu informieren“ (Tätigkeitsbericht Brandenburg 2023, S. 56/57).

Die Aufsichtsbehörde Brandenburg fasst ihre Erfahrungen so zusammen: „Generell ist festzuhalten, dass im Berichtszeitraum auffällig viele Fälle von sogenannten Mitarbeiterexzessen in Krankenhäusern gemeldet und von uns bearbeitet wurden.“ (Tätigkeitsbericht Brandenburg 2023, S. 57)

➧ Bei der Polizei sieht es ähnlich aus

Manche haben schon die Vermutung geäußert, dass Polizistinnen und Polizisten der Datenschutz ziemlich egal ist, wenn es ihnen um private Zwecke geht. Wahrscheinlich ist die Häufung entsprechender Vorfälle im Polizeibereich jedoch eher ein Beleg dafür, dass dort effektive interne Kontrollen stattfinden. Das fördert dann Fälle wie diese zutage:

  • Bei einer Verkehrskontrolle gab eine Studentin ihre Telefonnummer als Kontaktmöglichkeit an. Die Rufnummer wurde im „polizeilichen Vorgangsbearbeitungssystem“ notiert. Ein Polizeibeamter nutzte sie, um mit der Studentin privat Kontakt aufzunehmen. Sie hatte daran allerdings keinerlei Interesse. Stattdessen zeigte sie den Polizisten an (Tätigkeitsbericht Baden-Württemberg 2024, S. 155).
  • Fast schon listig ging ein Polizist in Brandenburg vor: Als er eine Strafanzeige einer Frau aufnahm, gab er ihr seine private Handynummer. Er bat sie darum, ihm darüber weiteres Beweismaterial zukommen zu lassen und versprach, dieses Material dann entsprechend weiterzuleiten. Die Frau dachte sich offensichtlich nichts und schrieb ihn zu diesem Zweck über einen Messengerdienst an. Als Reaktion darauf bat sie der Polizist, sie solle sich an seinem freien Tag bei ihm melden und dekorierte diese Nachricht mit vier Rosen-Emojis (Tätigkeitsbericht Brandenburg 2023, S. 58/59).
  • Eine Polizeibeamtin wollte weiterhin ein Auge auf ihren Ex-Ehemann haben. Deshalb nahm sie aus rein privaten Motiven 50 Abfragen über ihn in polizeilichen Informationssystemen vor (Tätigkeitsbericht Bremen 2024, S. 16/17).

➧ Trau, aber schau, wem – ein fragwürdiges Motiv

Private Neugier kommt aber auch in anderen Lebensbereichen als Krankenhäusern und der Polizei vor. Dies zeigt der Fall einer Sachbearbeiterin, die bei einer Agentur für Arbeit tätig war. Nach einem Dating mit einem Mann wollte sie auf Nummer sicher gehen, ob er ihr auch in allen Dingen die Wahrheit gesagt hatte. Bei einer Recherche in den internen Informationssystemen erfuhr sie interessante Dinge. Unter anderem fand sie heraus, dass der Mann jünger war als er behauptet hatte. Auch konnte sie Einblick in seine Krankenakte nehmen.

Beim nächsten Treffen konfrontierte sie ihn offen mit dem, was sie herausgefunden hatte. Der Mann reagierte mit einer Strafanzeige bei der Polizei (Tätigkeitsbericht Baden-Württemberg 2024, S. 155/156).

➧ Wer ist für was verantwortlich?

In Fällen der geschilderten Art stellt sich immer die Frage, ob die einzelne Beschäftigte oder der einzelne Beschäftigte als Verantwortlicher (Art. 4 Nr. 7 DSGVO) im Sinne des Datenschutzrechts anzusehen ist oder trotz des Datenmissbrauchs der Arbeitgeber der Verantwortliche bleibt. Die Antwort auf diese Frage hat für die betroffenen Personen ausgesprochen handfeste Konsequenzen. Das zeigt sich etwa, wenn sie Schadensersatz nach Art. 82 DSGVO fordern wollen.

Einen solchen Anspruch haben sie stets nur gegenüber dem Verantwortlichen. Und dann ist es in keiner Weise gleichgültig, ob sich der Anspruch gegen einen Beschäftigten richtet, der möglicherweise wegen des Datenschutzverstoßes gerade seinen Arbeitsplatz verloren hat oder aber gegen seinen (möglicherweise Ex-)Arbeitgeber, der problemlos zahlungsfähig ist.

➧ So definiert sich ein „Mitarbeiter-Exzess“

Falls Beschäftigte Dinge tun, „die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können“, gehen die meisten Aufsichtsbehörden von einem „Mitarbeiter-Exzess“ aus (so die Definition der Datenschutzkonferenz in ihrer Entschließung anlässlich der 97. Konferenz vom 3.4.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_Unternehmenshaftung.pdf ). Mit anderen Worten: Sie gehen davon aus, dass einem Arbeitgeber eine solche eigenmächtige Grenzüberschreitung nicht zuzurechnen ist.

➧ So sehen es die meisten Aufsichtsbehörden

Dies hat zur Folge, dass der Arbeitgeber insoweit nicht als „Verantwortlicher“ anzusehen ist. „Verantwortlich“ sind vielmehr die Beschäftigten selbst, die ihre Möglichkeiten am Arbeitsplatz für private Zwecke missbraucht haben. Etwaige Ansprüche nach der DSGVO richten sich daher gegen sie, nicht gegen ihren Arbeitgeber. Freilich ist dabei im Einzelfall immer genau zu prüfen, ob nicht doch noch eine gewisse Rest-Verantwortung auch beim Arbeitgeber verbleibt (ausführlich dazu Tätigkeitsbericht Schleswig-Holstein 2024, S. 45/46).

➧ In Bayern ticken die Uhren anders

Die beiden bayerischen Aufsichtsbehörden (Bayerischer Landesbeauftragter für den Datenschutz, zuständig für öffentliche Stellen und Bayerisches Landesamt für Datenschutzaufsicht, zuständig für private Stellen) behandeln Fälle von Mitarbeiter-Exzessen traditionell anders. Sie gehen davon aus, dass auch in solchen Fällen weiterhin der Arbeitgeber als Verantwortlicher (Art. 4 Nr. 7 DSGVO) im Sinne des Datenschutzrechts anzusehen ist (so schon Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2019, S. 72).

➧ Missbrauch gibt keine Entscheidungsbefugnis

Das Hauptargument der beiden bayerischen Aufsichtsbehörden: Der Missbrauch von Möglichkeiten zur Datenverarbeitung, die Beschäftigten ausschließlich für Zwecke des Arbeitgebers eingeräumt wurden, führt nicht dazu, dass der Beschäftigte „über die Zwecke und mit der Verarbeitung von personenbezogenen Daten entscheidet“. Das wäre aber die Voraussetzung dafür, dass solche Beschäftigte selbst zu Verantwortlichen im Sinne des Datenschutzrechts werden (siehe Art. 4 Nr. 7 DSGVO).

➧ Sanktionen erfolgen in jedem Fall

In allen geschilderten Fällen ist den jeweiligen Beschäftigten ein Verstoß gegen die DSGVO vorzuwerfen. Denn wer dienstliche Daten für private Zwecke missbraucht, verletzt dadurch das Prinzip der Zweckbindung (Art. 5 Abs. 1 Buchstabe b DSGVO). Das hat in jedem Fall Konsequenzen für die Beschäftigten selbst. Allerdings ergeben sich diese Konsequenzen aus unterschiedlichen Rechtsgrundlagen – je nachdem, ob man mit der Mehrheit der Aufsichtsbehörden die missbräuchlich handelnden Beschäftigten als Verantwortliche im Sinne des Datenschutzrechts ansieht oder nicht:

  • Geht man mit der Mehrheit der Aufsichtsbehörden davon aus, dass sie als Verantwortliche anzusehen sind, ist der Weg zu einer Geldbuße gemäß Art. 83 DSGVO eröffnet.
  • Vertritt man die „bayerische Auffassung“, ist eine Geldbuße auf dieser Rechtsgrundlage zwar nicht möglich. Denn sie kann nur gegen einen Verantwortlichen im Sinne des Datenschutzrechts verhängt werden. Allerdings gibt es neben Art. 83 DSGVO auch noch weitere, ergänzende Sanktionsregelungen des Datenschutzrechts. Art. 84 DSGVO fordert die Mitgliedstaaten regelrecht dazu auf, für solche zusätzlichen Sanktionen zu sorgen.

➧ Gerade Bayern gewährt keinen Rabatt

Wer die Hoffnung haben sollte, dadurch in Bayern billiger wegzukommen, sollte sich deshalb nicht zu früh freuen. Denn für unbefugte Datenabrufe sieht die ergänzende Sanktionsregelung des Art. 23 Bayerisches Datenschutzgesetz (BayDSG) unter bestimmten Voraussetzungen sogar die Möglichkeit einer Freiheitsstrafe von bis zu zwei Jahren vor (siehe Art. 23 Abs.2 Satz 1 BayDSG). Das kommt etwa dann in Betracht, wenn ein Datenabruf die Absicht verfolgt, einen anderen zu schädigen. Bei Art. 83 DSGVO geht es dagegen „nur“ um Geldbußen.

➧ Dreistellige Geldbußen scheinen die Regel

Sehr sparsam sind die Aufsichtsbehörden mit genauen Angaben dazu, welche Sanktionen sie verhängt haben. Häufig ist die Rede davon, dass Beträge „in dreistelliger Höhe“ festgesetzt wurden. Dies war etwa der Fall bei den fünf Krankenhausbeschäftigten, die sich für die Krankenakte ihrer Kollegin interessierten (Tätigkeitsbericht Brandenburg 2023, S. 58). Der Polizeibeamte, der Rosen-Emojis versandte, fing sogar eine Geldbuße „im oberen dreistelligen Bereich“ ein (Tätigkeitsbericht Brandenburg 2023, S. 59).

➧ Es kann aber auch teurer werden

In besonders schweren Fällen kommt es sogar zu Strafverfahren. Im Fall der Veröffentlichung von Patientendaten in einem „chinesischen Sozialnetzwerk“ sah die Datenschutzaufsicht Hamburg Anhaltspunkte für eine Straftat nach § 42 BDSG, weil die Daten wohl in der Absicht veröffentlicht wurden, andere zu schädigen. Die Datenschutzaufsicht gab den Vorgang deshalb an die Staatsanwaltschaft ab. Nun wird sich zeigen, ob es zu einer Verurteilung kommt und wie weit dabei das Gericht den Strafrahmen ausschöpft, der eine Freiheitsstrafe von bis zu zwei Jahren ermöglicht (Tätigkeitsbericht Hamburg 2024, S. 33).

➧ Arbeitsrechtliche Sanktionen kommen obendrauf

Klar dürfte sein, dass so gut wie kein Arbeitgeber Fälle der geschilderten Art einfach auf sich beruhen lässt. Eine Abmahnung ist im allgemeinen die Mindestreaktion. Fristlose Kündigungen kommen vor.

Bei Beamtinnen und Beamten ist ein zusätzliches Disziplinarverfahren die Regel. Befristete Gehaltskürzungen sind dabei eine häufige Sanktion. Und dass es mit der erhofften nächsten Beförderung in solchen Fällen oft nichts wird oder nur mit großer Verzögerung, ist allen im öffentlichen Dienst klar.

➧ Hier finden Sie alle Quellen

Wer selbst im Original nachlesen will, findet alle erwähnten Tätigkeitsberichte unter https://datenschutzarchiv.org/organisationen . Bitte dort einfach das jeweilige Bundesland anklicken.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
IT-Sicherheit
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
02. Mai 2025

Spionage auf mobilen Geräten? Diese Checkliste zeigt, wie Sie sich schützen

Downloads
Checklisten IT-Sicherheit
24. April 2025
DP+
Ein Self-Service-Portal lässt sich nur sicher betreiben, wenn die Identität und Berechtigung der Anfragenden nachgewiesen ist. Deshalb sollten Self-Service und Mehr-Faktor-Authentifizierung Hand in Hand gehen.
Bild: iStock.com/AndreyPopov

Warum Self-Service selbst ein Risiko sein kann

Ratgeber
Checklisten IT-Sicherheit
16. April 2025
DP+

Effizienz trotz Fachkräftemangel – mit der Checkliste für sicheren IT-Self-Service

Downloads
Checklisten IT-Sicherheit
24. März 2025
DP+
Risikobasierte Schulungen als Gefahr für den Datenschutz
Bild: iStock.com/gorodenkoff

Risikobasierte Schulungen als Gefahr für den Datenschutz

Ratgeber
IT-Sicherheit
24. März 2025
DP+

Sicherheit im Fokus: Ihre Checkliste für Datenschutz bei Online-Schulungen

Downloads
Checklisten IT-Sicherheit
weitere Beiträge laden

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.