Dienstliche IT-Systeme gehören in vielen Bereichen zum Arbeitsalltag. Der Zugriff auf personenbezogene Daten ist dabei oft nur wenige Klicks entfernt. Ob bei der Polizei, im Gesundheitswesen oder in der Wirtschaft: Immer wieder zeigt sich, dass Beschäftigte Daten aus dem beruflichen Umfeld zu privaten Zwecken nutzen.
Was zunächst wie ein „Kavaliersdelikt“ klingt, kann datenschutzrechtlich weitreichende Folgen haben. Der sogenannte Mitarbeiterexzess rückt daher verstärkt in den Fokus von Gerichten und Aufsichtsbehörden.
Im Regelfall haftet die Organisation für Datenschutzverstöße
Verarbeiten Beschäftigte Daten im Rahmen ihrer Aufgaben, haftet in der Regel die Organisation. Die Datenschutz-Grundverordnung (DSGVO) erlaubt eine weite Zurechnung. Nach Ziffer 4.1.13 des Tätigkeitsberichts des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) für 2024 richten sich Maßnahmen der Aufsichtsbehörden meist gegen den Arbeitgeber als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO – außer es liegt ein sogenannter Mitarbeiterexzess vor (siehe https://ogy.de/eala).
