Riskiere ich eine persönliche Geldbuße durch die Datenschutzaufsicht, wenn ich an meinem Arbeitsplatz gegen den Datenschutz verstoße? Die Antwort lautet: Nur wenn Ihnen ein „Mitarbeiter-Exzess“ vorzuwerfen ist. Was ist damit gemeint? Und wie vermeide ich so etwas?
Beschäftigte haben bestimmte Vorgaben einzuhalten
Beschäftigte müssen sich an die Vorgaben ihres Arbeitgebers halten. So sind die Spielregeln bei einem Arbeitsver-hältnis. Dass sie eingehalten werden, hat auch für den Datenschutz große Bedeutung. Denn wegen ihrer Verantwortung für den Datenschutz muss die Unternehmensleitung zu jedem Zeitpunkt sicherstellen, dass die Vorgaben des Datenschutzes beachtet werden.
Nur Beschäftigte können den Datenschutz „vor Ort“ umsetzen
Papier ist bekanntlich geduldig. Der wesentliche Kern, der hinter diesem Sprichwort steckt, gilt auch im „papierlosen Büro“: Auch kluge und richtige Vorgaben bewirken nur dann etwas, wenn sie tatsächlich beachtet werden. Das gilt besonders bei der Verarbeitung von Daten. Dabei kommt es auf alle Beschäftigten an. Sie – und nicht die Unternehmensleitung – haben die Daten von Kunden, Lieferanten und Kollegen unmittelbar in ihren Händen.
Die Unternehmensleitung ist im Alltag weit weg
Natürlich ist eine Unternehmensleitung verpflichtet, die Einhaltung von Vorgaben durch Stichproben zu überprüfen. Im Alltag muss und kann sie sich jedoch darauf verlassen, dass ihre Beschäftigten korrekt handeln. Natürlich kommen auch einmal Fehler vor. Im Ernstfall muss die Leitungsebene die Dinge dann nach außen „glatt ziehen“. Im Alltag darf sie jedoch auf ihre Beschäftigten vertrauen.
Manchmal laufen Beschäftigte aus dem Ruder
Es kann allerdings vorkommen, dass sich ein Beschäftigter nicht an die Vorgaben hält. Das wäre etwa der Fall, wenn er auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt. Dieses Beispiel stammt aus einem Verfahren vor dem Europäischen Gerichtshof (EuGH). Wer Daten von Kunden ohne betrieblichen Anlass am Arbeitsplatz aufruft, verstößt bewusst gegen Vorgaben des Arbeitgebers.
Es gibt typische Beispiele für Fehlverhalten von Beschäftigten
Bei Beschäftigten mit Kontakt zu Endkunden kommt es immer wieder zum Missbrauch von Kommunikationsdaten. Beispiel: Ein Kundenberater nutzt Daten einer Kundin, um sie aus privaten Motiven zu kontaktieren. Auch bei einem Wechsel der Stelle geraten manche in Versuchung. Beispiel: Jemand nimmt aus eigener Initiative Kundendaten zu seinem neuen Arbeitgeber mit, um sie dort mit „guten Kontakten“ in ein günstiges Licht zu setzen.
Vorsätzliche Regelverstöße sind als „Exzess“ zu werten
Für solche bewussten Verstöße von Beschäftigten gegen Vorgaben des Datenschutzes hat sich die Bezeichnung „Mitarbeiter-Exzess“ eingebürgert. Sie wirkt drastisch, bringt aber gut zum Ausdruck, um was es geht. Ein Exzess ist eine Verhaltensweise, die Regeln bewusst ignoriert. Verantwortung dafür trifft einen selbst, nicht den Arbeitgeber.
Ein solcher Exzess verlagert die Verantwortung
Verantwortlicher im Sinne des Datenschutzrechts ist nicht ein einzelner Beschäftigter, sondern das Unternehmen, für das er tätig ist. Dies gilt allerdings nur unter einer wichtigen Voraussetzung: Beschäftigte müssen die personenbezogenen Daten unter der Aufsicht des Verantwortlichen (also des Unternehmens) und im Einklang mit seinen Weisungen verarbeiten. Dies heißt umgekehrt: Wenn Beschäftigte bewusst gegen Weisungen verstoßen, werden sie selbst zum Verantwortlichen im Sinn des Datenschutzrechts. Ihr Arbeitgeber ist ab diesem Punkt „außen vor“.
Die Verantwortung tragen Beschäftigte dann selbst
Wer sich selbst zum „Herr der Daten“ macht und dienstliche Daten für private Zwecke verwendet, handelt außerhalb seines Arbeitsverhältnisses. Die Vorgaben des Datenschutzes muss er dann selbst erfüllen. Zu ihnen gehört etwa die ordnungsgemäße Information der betroffenen Personen über die Verarbeitung. Eine Geldbuße für Verstöße gegen den Datenschutz verhängt die Datenschutzaufsicht dann gegen den Beschäftigten persönlich.
Die Verantwortung der Unternehmensleitung endet dagegen
In Unternehmen müssen Mechanismen vorhanden sein, um Verstöße durch Stichproben aufzudecken. Mehr allerdings auch nicht. Alles andere würde auf eine Totalüberwachung am Arbeitsplatz hinauslaufen. Und die ist aus gutem Grund untersagt. Sofern Stichproben stattfinden, liegt ein Missbrauch von Daten für private Zwecke außerhalb der Verantwortung des Unternehmens.
Ein simpler Rat vermeidet Ärger
Für Daten am Arbeitsplatz gilt: Keine Verwendung der Daten für private Zwecke! Wer sich daran hält, erspart sich unnötigen Stress und Ärger.