Gemäß Art. 4 Nr. 7 DS-GVO ist der Verantwortliche – meist der Arbeitgeber im Beschäftigungskontext – für die Festlegung der Zwecke und Mittel der Datenverarbeitung verantwortlich. Diese Verantwortung setzt klare Grenzen, doch in der Praxis kommt es immer wieder vor, dass Mitarbeitende eigenständig handeln, etwa durch unautorisierte Zugriffe auf personenbezogene Daten oder das Initiieren von Datenverarbeitungen ohne Zustimmung.
Der aktuelle Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) berichtet über konkrete Fälle solcher Exzesse. Diese Situationen werfen wichtige Fragen auf: Wann handelt ein Mitarbeiter außerhalb seiner Verantwortlichkeiten? Welche Konsequenzen ergeben sich daraus für den Arbeitgeber? Und wie lässt sich die Verantwortlichkeit datenschutzrechtlich wirksam steuern?
Leibold fasst zusammen, dass die Grenzen des Mitarbeiterexzesses klar definiert sein müssen. Arbeitgeber sollten durch geeignete technische und organisatorische Maßnahmen sowie Schulungen sicherstellen, dass Mitarbeitende ihre Befugnisse kennen und verantwortungsvoll mit personenbezogenen Daten umgehen. Zudem ist eine klare Dokumentation der Verantwortlichkeiten essenziell, um im Falle eines Datenschutzvorfalls rechtssicher reagieren zu können.
Der Beitrag schließt mit praktischen Empfehlungen: Unternehmen sollten präventiv Regelungen schaffen, um unbefugte Handlungen zu verhindern, und bei Verstößen konsequent reagieren. Nur so kann die datenschutzrechtliche Verantwortlichkeit im Beschäftigungskontext wirksam wahrgenommen werden – und das Risiko von Mitarbeiterexzessen minimiert werden.