Im Rahmen ihres aktuellen Tätigkeitsbericht geht die Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) auf zwei Konstellationen ein, in denen Beschäftigte seitens der Datenschutzaufsichtsbehörde mit einem Bußgeld sanktioniert wurden, nachdem sie personenbezogene Daten, welche sie zur Ausübung ihrer dienstlichen bzw. betrieblichen Tätigkeit erlangt, zu eigenen (privaten) Zwecken und somit außerhalb ihrer vorgesehenen Tätigkeit und Weisung seitens des Arbeitgebers bzw. Dienstherren verarbeitet haben. Beide Fälle wurden mit einer Geldbuße in dreistelliger Höhe geahndet. Diese Konstellationen klingt vertraut, hatte doch der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) laut Pressemitteilung vor rund drei Jahren einen Bußgeldbescheid in Höhe von 1.400 EUR gegen einen Polizeibeamten verhängt, der dienstlich erlangte personenbezogene Daten zu privaten Zwecken verarbeitet hatte. Mit der Betrachtung und rechtlichen Einordnungen dieser und vergleichbarer Fälle beschäftigt sich der nachfolgende Beitrag.
WAS WAR PASSIERT?
Der erste Fall ereignete sich laut LDA Brandenburg wie folgt: „Eine ehemalige Mitarbeiterin eines Unternehmens hatte – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kolleginnen und Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streitigkeiten über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden.Die Handlung der ehemaligen Beschäftigten war dem Unternehmen nicht zuzurechnen. Ihre dienstliche Tätigkeit bestand u. a. in der Erfassung und Aufbereitung der Arbeitszeitkonten inklusive der Urlaubs- und Krankentage sowie der Erstellung von Salden für erbrachte Arbeitsleistungen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.“
Den zweiten Fall schildert die LDA Brandenburg folgendermaßen: „Ein Angestellter hatte sich von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren an seine private E-Mail-Adresse weitergeleitet, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Die Angestellte handelte in diesem Fall unbefugt. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen. Der Beschäftigte konnte sich hier auf keine Rechtsgrundlage für die Übersendung der Unterlagen und mithin für die Verarbeitung der gegenständlichen personenbezogenen Daten berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Artikel 6 Abs. 1 Satz 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) geht zu ihren Gunsten aus. Selbst wenn das Interesse des Angestellten an den Bewerbungsunterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen jedenfalls die Interessen, Grundrechte und Grundfreiheiten der Bewerberinnen und Bewerber. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den Arbeitgeber des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Verwendung ihrer personenbezogenen Daten durch den Angestellten zum Zweck der Anregung bei der Gestaltung eigener Bewerbungen stellte keinen rechtfertigenden Grund dar, in das Grundrecht auf Informationelle Selbstbestimmung einzugreifen. Die Übersendung der Bewerbungsunterlagen stellt somit eine unbefugte Verarbeitung personenbezogener Daten dar.“
WIE WIRD EIN EINZELNER BESCHÄFTIGTER EIN DATENSCHUTZRECHTLICH VERANTWORTLICHER?
Nach Art. 4 Nr. 7 der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Allein aus dem Wortlaut (natürliche oder juristische Person) wird klar, dass es sich bei dem datenschutzrechtlichen Verantwortlichen um eine Organisation, aber auch um eine Einzelperson handeln kann. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer oder ein einzelner Beschäftigter), die als Verantwortlicher im Sinne der DS-GVO fungiert.
Bei der konkreten Bewertung ist im Ausgang in den Fällen der Verarbeitung personenbezogener Daten durch Organisationen auch darauf abzustellen, dass die Verarbeitung nicht durch die jeweilige Organisation selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden. Dieses Handeln der Beschäftigten ist in aller Regel der jeweiligen Organisation zuzurechnen. Dies gilt jedenfalls dann, wenn die Verarbeitung personenbezogener Daten für die durch die jeweilige Organisation festgelegten Zwecke und in Ausübung der innerorganisatorischen Tätigkeit der Beschäftigten, mithin nach Weisung und unter Kontrolle der Organisation, erfolgt. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als datenschutzrechtlich Verantwortlicher anzusehen.
Diese Auffassung wird ebenfalls in den Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0 getragen: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird.“ Der EDSA führt jedoch weiter aus: „Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“
WELCHE SANKTIONEN DROHEN?
In Konsequenz des oben Gesagten trifft in erster Linie die jeweilige Stelle die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Beschäftigte. Verarbeiten nun die Beschäftigten die personenbezogenen Daten Betroffener eigenverantwortlich, sind diese ihrerseits nunmehr Adressaten von Haftungsansprüchen und aufsichtsbehördlichen Maßnahmen und Sanktionen. Zunächst sei hier der offensichtliche Anknüpfungspunkt herangezogen: die Bußgeldsanktionierung gemäß Art. 83 DS-GVO. Diese richtet sich sehr wohl auch gegen natürliche Personen als datenschutzrechtlich Verantwortliche. Dies gilt selbst für Beschäftigte öffentlicher Stellen. Wie der LfDI in der eingangs genannten Pressemitteilung hervorhebt, haben die Landesgesetzgeber zwar öffentliche Stellen – anders als Privatunternehmen – mitunter bei Datenschutzverstößen von der Sanktionierung ausgenommen (vgl. z.B. § 19 Abs. 3 Sächsisches Datenschutzdurchführungsgesetz). Wenn Beschäftigte öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden. Darüber hinaus kommen durch auch Ansprüche betroffener Personen wie bspw. die Geltendmachung eines Anspruchs auf Schadenersatz nach Art. 82 DS-GVO in Betracht.
FAZIT
Bei der Verarbeitung personenbezogener Daten durch Organisation – gleich welcher Rechtsnatur – wird zuvorderst darauf abzustellen sein, dass sich die jeweiligen Organisationen für die in ihrem Zuständigkeitsbereich erfolgenden Verarbeitungen personenbezogener Daten verantwortlich zeichnen. Dies wird zumindest deshalb anzunehmen sein, weil die Festlegung der Zwecke und Mittel der Verarbeitung durch die Organisationen erfolgt. Die innerhalb der Organisation tätigen Beschäftigten führen die Verarbeitungsprozesse entsprechend nach Weisung und Befugnissen der verantwortlichen Organisationen aus. Überschreiten Beschäftigte aber diese Befugnisse liegt eine eigenständige Verantwortlichkeit nahe. Es ist jedoch allerdings Aufgabe der Organisationen für die Einhaltung der Befugnisse und Weisungen durch angemessene technische und organisatorische Maßnahmen zu sorgen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.