Wer in einem Unternehmen arbeitet, hat in der Regel Zugang zu Kundendaten.
Es leuchtet ein, dass diese Daten nicht für private Zwecke genutzt werden dürfen. Doch was, wenn es trotzdem geschieht? Mit einer Geldstrafe dürften die wenigsten rechnen.
Ein kleines Beispiel
Einmal angenommen, jemand schuldet Ihnen Geld. Dieser Schuldner ist inzwischen umgezogen. Wohin? Das wissen Sie nicht. Sie vermuten, dass er ein Kunde Ihres Arbeitgebers sein könnte. Und siehe da: Ein Blick in die Kundendatenbank bestätigt es Ihnen. Mit nur einem Klick haben Sie seine neue Adresse ausfindig gemacht.
Obwohl Sie das sicher nie tun würden: Nehmen wir weiter an, Sie benutzen die neue Adresse des Schuldners, um ihn wegen des Geldes zu kontaktieren. Welche rechtlichen Folgen könnte dies haben?
Der Grundsatz der Zweckbindung ist verletzt
Es ist offensichtlich, dass in unserem Beispiel der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit dieses sie verwendet. Die Daten werden beispielsweise benötigt, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auch nur ahnen, dass ein Angestellter diese Daten für private Zwecke missbraucht. Denn dafür waren sie nicht gedacht. Mögliche Konsequenz: Der Kunde beschwert sich bei der Datenschutzaufsicht.
Geldbußen sind wahrscheinlich
Die Datenschutzaufsicht wird mit dem Fall betraut. Seitdem die DSGVO gilt, hat sie weitaus mehr Befugnisse als zuvor. Unter anderem kann sie Geldbußen verhängen – im Einzelfall sogar richtig hohe. Einige Hundert Euro können sehr schnell fällig werden. Natürlich auch dann, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.
Wer muss für den Datenmissbrauch geradestehen?
Interessant ist in diesem Zusammenhang die Frage, wer mit einer Geldbuße rechnen muss. Die beschäftigte Person, die die Daten missbraucht hat? Oder eher der Arbeitgeber, für den die Person tätig ist? Hier scheiden sich die Geister zwischen den Aufsichtsbehörden.
Unschöner „Mitarbeiterexzess“
Von einem „Mitarbeiterexzess“ sprechen die meisten Aufsichtsbehörden bei einem Fall wie diesem. Darunter versteht man nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar ziemlich juristisch an. Aber eigentlich ist klar, was damit gemeint ist.
Permanente Überwachung? Nein, danke!
Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Folglich kann der Arbeitgeber nicht alles verantworten, was ein Beschäftigter an seinem Arbeitsplatz treibt. Kümmert sich ein Angestellter dort um rein private Angelegenheiten, ist das keine Sache des Arbeitgebers. Dafür ist vielmehr der Beschäftigte selbst verantwortlich. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.
Der Beschäftigte gilt als Täter
Der Missbrauch von Daten für private Zwecke hat für den Übeltäter massive Konsequenzen zur Folge. Denn durch den Missbrauch wird er selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er auch selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen den Betroffenen persönlich ein Bußgeldverfahren einleiten. Und eine Geldbuße von mindestens 200 bis 300 Euro verhängen. Auch höhere Geldstrafen sind denkbar.
Geldbuße auch für Arbeitgeber?
Noch unangenehmer wird es für den Betroffenen, wenn die Aufsichtsbehörde den Vorfall nicht als „Mitarbeiterexzess“ behandelt. Dann richten sich die rechtlichen Folgen nämlich gegen das Unternehmen. Und wenn es nicht der Mitarbeiter ist, der für den Verstoß geradestehen muss, so ist es eben das Unternehmen.
In solchen Situationen lautet der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsichtsbehörde eine Geldbuße gegen den Arbeitgeber verhängen.
Fehlverhalten wird intern aufgeklärt
Logischerweise wird das betroffene Unternehmen das Fehlverhalten nicht einfach achselzuckend zur Kenntnis nehmen. Vielmehr wird es den Missstand intern aufklären, arbeitsrechtliche Konsequenzen mit inklusive. Daher gilt: Dienstliche Daten sind tabu für private Zwecke! Auch, wenn es um vermeintlich banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.
