Mitarbeiterexzess: Grenzen der datenschutzrechtlichen Verantwortlichkeit im Beschäftigungskontext

Ein Büroangestellter greift ohne Autorisierung auf vertrauliche Dokumente am Computer zu – symbolisch für datenschutzrechtliche Verstöße durch Mitarbeitende.
Dr. Kevin Leibold, LL. M., Rechtsanwalt bei Seitz Rechtsanwälte Steuerberater PartG mbB in Köln, beleuchtet in seinem aktuellen Beitrag das Phänomen des sogenannten „Mitarbeiterexzesses“ – also Situationen, in denen Beschäftigte eigenmächtig und ohne entsprechende Berechtigung datenschutzrelevante Entscheidungen treffen oder Verarbeitungen initiieren.

Gemäß Art. 4 Nr. 7 DS-GVO ist der Verantwortliche – meist der Arbeitgeber im Beschäftigungskontext – für die Festlegung der Zwecke und Mittel der Datenverarbeitung verantwortlich. Diese Verantwortung setzt klare Grenzen, doch in der Praxis kommt es immer wieder vor, dass Mitarbeitende eigenständig handeln, etwa durch unautorisierte Zugriffe auf personenbezogene Daten oder das Initiieren von Datenverarbeitungen ohne Zustimmung.

Der aktuelle Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) berichtet über konkrete Fälle solcher Exzesse. Diese Situationen werfen wichtige Fragen auf: Wann handelt ein Mitarbeiter außerhalb seiner Verantwortlichkeiten? Welche Konsequenzen ergeben sich daraus für den Arbeitgeber? Und wie lässt sich die Verantwortlichkeit datenschutzrechtlich wirksam steuern?

Leibold fasst zusammen, dass die Grenzen des Mitarbeiterexzesses klar definiert sein müssen. Arbeitgeber sollten durch geeignete technische und organisatorische Maßnahmen sowie Schulungen sicherstellen, dass Mitarbeitende ihre Befugnisse kennen und verantwortungsvoll mit personenbezogenen Daten umgehen. Zudem ist eine klare Dokumentation der Verantwortlichkeiten essenziell, um im Falle eines Datenschutzvorfalls rechtssicher reagieren zu können.

Der Beitrag schließt mit praktischen Empfehlungen: Unternehmen sollten präventiv Regelungen schaffen, um unbefugte Handlungen zu verhindern, und bei Verstößen konsequent reagieren. Nur so kann die datenschutzrechtliche Verantwortlichkeit im Beschäftigungskontext wirksam wahrgenommen werden – und das Risiko von Mitarbeiterexzessen minimiert werden.

Create your account

WordPress Cookie Hinweis von Real Cookie Banner