Geldbußen nach der DSGVO auch gegen Beschäftigte?

In Baden-Württemberg hat die Datenschutzaufsichtsbehörde diese Frage in einem konkreten Fall bejaht. Andere Aufsichtsbehörden halten sich damit zurück.

Hintergrund dafür ist ein rechtlicher Streit. Seine Folgen für die betriebliche Praxis sind erheblich.

Typische Fälle aus der Praxis

Wer in einem Unternehmen an seinem Arbeitsplatz auf personenbezogene Daten zugreifen kann, darf dies nur im Rahmen der Zweckbindung (Art. 5 Abs. 1 Buchst. b Datenschutz-Grundverordnung – DSGVO) tun, der diese Daten unterliegen.

Im Klartext: Die Verwendung für private Zwecke des Arbeitnehmers ist ausgeschlossen.

Ein solcher privater Zweck kann die bloße Neugier sein. Manchmal geht es aber auch um einen weitergehenden Missbrauch von Daten. Typische Beispiele:

• Ein Bankmitarbeiter hat die Aufgabe, die Bonität von Kreditinteressenten zu prüfen. Hierzu kann er Auskünfte bei der SCHUFA einholen. Er vermietet privat eine Einliegerwohnung in seinem Haus. Um festzustellen, ob ein Mietinteressent voraussichtlich zahlungsfähig ist, führt er für diesen rein privaten Zweck eine SCHUFA-Abfrage durch.
• Ein Mitarbeiter in einer Privatklinik greift aus reiner Neugier auf Daten eines prominenten Patienten zu. In die Behandlung des betreffenden Patienten ist er nicht eingebunden.

Ähnliche Konstellationen kommen in Behörden vor. Typische Beispiele:

• Der Mitarbeiter einer Meldebehörde ruft auf Bitten eines Bekannten Daten über dessen frühere Freundin ab. Die gesetzlich geregelten Voraussetzungen für eine Melderegisterauskunft (siehe dazu § 44 und § 45 Bundesmeldegesetz) liegen nicht vor.

…