Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

25. November 2019

Geldbußen nach der DSGVO auch gegen Beschäftigte?

DP+
Geldbußen nach der DSGVO auch gegen Beschäftigte?
Bild: iStock.com / id-work
0,00 (0)
Streit unter den Aufsichtsbehörden
Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

In Baden-Württemberg hat die Datenschutzaufsichtsbehörde diese Frage in einem konkreten Fall bejaht. Andere Aufsichtsbehörden halten sich damit zurück.

Hintergrund dafür ist ein rechtlicher Streit. Seine Folgen für die betriebliche Praxis sind erheblich.

Typische Fälle aus der Praxis

Wer in einem Unternehmen an seinem Arbeitsplatz auf personenbezogene Daten zugreifen kann, darf dies nur im Rahmen der Zweckbindung (Art. 5 Abs. 1 Buchst. b Datenschutz-Grundverordnung – DSGVO) tun, der diese Daten unterliegen.

Im Klartext: Die Verwendung für private Zwecke des Arbeitnehmers ist ausgeschlossen.

Ein solcher privater Zweck kann die bloße Neugier sein. Manchmal geht es aber auch um einen weitergehenden Missbrauch von Daten. Typische Beispiele:

  • Ein Bankmitarbeiter hat die Aufgabe, die Bonität von Kreditinteressenten zu prüfen. Hierzu kann er Auskünfte bei der SCHUFA einholen. Er vermietet privat eine Einliegerwohnung in seinem Haus. Um festzustellen, ob ein Mietinteressent voraussichtlich zahlungsfähig ist, führt er für diesen rein privaten Zweck eine SCHUFA-Abfrage durch.
  • Ein Mitarbeiter in einer Privatklinik greift aus reiner Neugier auf Daten eines prominenten Patienten zu. In die Behandlung des betreffenden Patienten ist er nicht eingebunden.

Ähnliche Konstellationen kommen in Behörden vor. Typische Beispiele:

  • Der Mitarbeiter einer Meldebehörde ruft auf Bitten eines Bekannten Daten über dessen frühere Freundin ab. Die gesetzlich geregelten Voraussetzungen für eine Melderegisterauskunft (siehe dazu § 44 und § 45 Bundesmeldegesetz) liegen nicht vor.
Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.