häufig geht es im Datenschutz um Fälle, in denen Unternehmen die Daten ihrer Kunden oder ihrer Beschäftigten unbefugt verwenden. Tatsächlich kann es auch dazu kommen, dass Beschäftigte die Daten von Kunden und vom Unternehmen unbefugt verwenden, und zwar für private Zwecke.
Verantwortlich ist ein Unternehmen nur für die selbst veranlasste Datenverarbeitung!
Zunächst einmal spielt die Definition des Verantwortlichen in Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) eine wesentliche Rolle. Danach ist derjenige als Verantwortlicher anzusehen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Daher gilt: Generell ist Ihr Unternehmen für diejenigen Verarbeitungen als Verantwortlicher anzusehen, die es selbst veranlasst und bei denen es beispielsweise darüber entschieden hat, bei wem welche personenbezogenen Daten für welchen Zweck verarbeitet werden sollen. Nun ist der Mitarbeiter zwar Arbeitnehmer Ihres Unternehmens. Allerdings ist er durch sein Handeln selbst zum Verantwortlichen geworden. Schließlich hat er darüber entschieden, sich personenbezogene Daten zu beschaffen, sprich zu erheben und für seine Zwecke zu verarbeiten.
In diesem Zusammenhang hat er in vielerlei Hinsicht gegen die DS-GVO verstoßen. So z. B. fehlte es an einer Rechtsgrundlage für die Verarbeitung für eigene Zwecke (Art. 6 Abs. 1 DS-GVO) und auch an der nötigen Transparenz (Art. 12 ff. DS-GVO) gegenüber den Betroffenen, bei denen er eigentlich hätte direkt die Daten erheben müssen.
Daneben hätte er in seiner Rolle als Arbeitnehmer des Unternehmens auch nicht eigenmächtig handeln dürfen. Für eine Übermittlung der betreffenden Kundendaten an sich selbst als Organisator einer Bürgerinitiative gab es weder die Zustimmung des Unternehmens noch eine Rechtsgrundlage aus der DS-GVO. Auch über eine eventuell zulässige Zweckänderung im Sinne von Art. 6 Abs. 4 DS-GVO hätte der Mitarbeiter nicht eigenmächtig entscheiden dürfen.
Hier spricht man von einem Mitarbeiterexzess, weil dieser sich über geltende Regeln hinweggesetzt und eigenmächtig über Zwecke und Mittel bezüglich der betreffenden personenbezogenen Daten entschieden hat.
Wenn die Datenschutzaufsichtsbehörde von der Sache erfährt, hat sie mehrere Handlungsmöglichkeiten (Art. 58 Abs. 2 DS-GVO). Neben einer Ermahnung kommt beispielsweise auch ein Bußgeld in Betracht. Adressat dürfte hier in der Regel derjenige sein, dem der Datenschutzverstoß zuzurechnen ist und der diesen zu verantworten hat. Das ist hier der Mitarbeiter.
Wie man aus arbeitsrechtlicher Sicht mit der Sache umgeht, kann von vielen Faktoren abhängen. Allerdings dürfte der Verstoß zumindest für eine arbeitsrechtliche Abmahnung ausreichen. Schließlich wird mit dem eigenmächtigen Vorgehen nicht nur gegen den Arbeitsvertrag verstoßen. Es liegt auch ein Verstoß gegen Rücksichtnahmepflichten vor.
Solche Datenschutzvorfälle sind längst zu einer traurigen Realität geworden.