Geldbußen gegen Mitarbeiter von Unternehmen sieht die DSGVO nicht vor. So liest man in der letzten Zeit häufig. Doch stimmt das überhaupt? Die ehrliche Antwort auf diese Frage lautet: Meist schon, aber keineswegs immer!
Datenschutzverstoß eines Mitarbeiters
Ein Mitarbeiter übermittelt Daten, obwohl die Datenschutz-Grundverordnung (DSGVO) das nicht zulässt. Der Grund: Er kennt sich mit den Vorschriften nicht richtig aus und hat sie falsch interpretiert. Eigentlich hätte ihm dies nicht passieren dürfen, denn er hat eine betriebsinterne Datenschutz-Schulung besucht. Aber wie es so geht: Gerade als diese Frage behandelt wurde, war er gedanklich woanders.
Das ist ein typischer Fall von Fahrlässigkeit. Dass er bloß fahrlässig gehandelt hat, würde dem Mitarbeiter für sich allein allerdings nichts helfen. Denn die Regelung zur Verhängung von Geldbußen in Art. 83 DSGVO kennt auch Geldbußen für fahrlässiges Handeln.
Unternehmen als Verantwortlicher
Dennoch kann die zuständige Aufsichtsbehörde für den Datenschutz gegen den Mitarbeiter persönlich keine Geldbuße verhängen. Das ist nur gegenüber „Verantwortlichen“ (und „Auftragsverarbeitern“) vorgesehen. Und Verantwortlicher im Sinn der DSGVO ist das Unternehmen, nicht der Mitarbeiter. Anders formuliert: Begeht ein Mitarbeiter im Rahmen seiner Tätigkeit einen Datenschutzverstoß, kann das durchaus eine Geldbuße nach sich ziehen. Diese Geldbuße wird allerdings gegen das Unternehmen verhängt, für das der Mitarbeiter gehandelt hat.
Arbeitsrechtliche Maßnahmen möglich
Arbeitsrechtliche Maßnahmen, insbesondere eine Abmahnung, kann das Unternehmen wegen des fahrlässigen Verhaltens ergreifen. Sie sind unabhängig von einer Geldbuße.
Verfolgung rein privater Interessen
Völlig anders ist das Ergebnis allerdings, wenn ein Mitarbeiter rein private Interessen verfolgt. Beispiel: Der Mitarbeiter hat die Möglichkeit, für dienstliche Zwecke Bonitätsabfragen zu machen. Er will eine Wohnung vermieten, die ihm privat gehört. Deshalb möchte er die finanzielle Situation eines Mietinteressenten ausloten. Dafür missbraucht er die Abfragemöglichkeit, die er am Arbeitsplatz hat. In diesem Fall wird der Mitarbeiter selbst zum Verantwortlichen im Sinn der DSGVO. Denn in diesem Fall bestimmt allein er den Zweck seiner Abfrage. Die Mittel, die ihm dienstlich zur Verfügung stehen, missbraucht er hierfür. Damit ist für diese Abfrage er selbst und nicht sein Arbeitgeber der Verantwortliche im Sinn der DSGVO. Die Folge: Die Aufsichtsbehörde für den Datenschutz kann gegen ihn persönlich eine Geldbuße verhängen.
Praxisfall aus Baden-Württemberg
Solche Fälle sind in der Praxis durchaus schon vorgekommen. Besonders stark beachtet wurde der Fall eines Polizisten in Baden-Württemberg. Er interessierte sich für eine Frau, die er in einem Auto gesehen hatte. Um ihren Namen zu erfahren, ermittelte er die Halterin des Autos. Dazu benutzte er Abrufmöglichkeiten, die er nur für dienstliche Zwecke verwenden durfte. Das brachte ihm eine Geldbuße der Datenschutzaufsicht ein und außerdem ein Disziplinarverfahren durch seinen Dienstherrn.
Relevant auch für Unternehmen
Für Mitarbeiter in Unternehmen würde bei einem vergleichbaren Fall dasselbe gelten wie für den Polizisten. Missbrauchen sie Abfragemöglichkeiten für rein private Zwecke, müssen sie die Folgen tragen. Dazu gehört auch, dass die Aufsichtsbehörde für den Datenschutz eine Geldbuße gegen sie verhängen kann.