Datenschutz und Neugier im Berufsleben

Der Mensch ist von Natur aus neugierig. Diese Neugier führte in der menschlichen Geschichte zu Innovationen, Entdeckungen, Eingebungen, Lehren, Aha-Erlebnissen, die u. a. globale Auswirkungen haben können. Genau diese Neugier wird uns auch weiterhin begleiten und fortlaufende Folgen jeglicher Art und verschiedenen Ausmaßes haben. Genau die private Neugier im Berufsleben ist u. U. jedoch ein Faktor, der Verantwortliche aufhorchen lassen sollte. Schließlich führt die ausgelebte Neugierde im Berufsleben nicht selten zu Datenschutzfragen oder gar Datenschutzvorfällen. Nun fragen Sie sich eventuell, was Datenschutz und Neugier im Berufsleben an tatsächlicher Relevanz für Sie als Verantwortlicher haben können. Wie verträgt sich diese Neugierde mit dem strengen Datenschutzrecht? Im Folgenden erfahren Sie mehr dazu.

Definition des Begriffes „Datenschutzvorfall“

Jeglicher unbefugter Zugang zu oder Zugriff auf personenbezogene Daten, die Veränderung, die unbefugte Offenlegung, der Verlust oder eine Nicht-Verfügbarkeit der Daten ist als Datenschutzvorfall (umgangssprachlich auch „Datenpanne“) zu werten (Art. 4 Nr. 12 DSGVO). Kurz: Verarbeitet jemand personenbezogene Daten ohne Befugnis, handelt es sich um einen Datenschutzvorfall und Datenschutzvorfälle sind in der Regel binnen 72 Stunden der Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes anzuzeigen. – In unserem Beitrag „Eine Datenpanne erkennen“ gehen wir näher auf dieses Thema ein. –

Datenschutzvorfall durch Neugier

Neugier führt dazu, dass ein Mensch mehr über eine Sache oder eine andere Person herausfinden möchte. Wie wir schon anfänglich feststellten, kann dies generell positiv sein. Wenn dies aber beispielsweise bedeutet, dass Beschäftigte auf personenbezogene Daten zugreifen, die sie zur Erledigung ihrer Aufgaben nicht benötigen und die für deren Zugriff nicht bestimmt sind, wird es problematisch. Solche problematischen Fälle können folgende sein:

1) Eine bei der Polizei beschäftigte Person recherchiert die Telefonnummer eines Zeugen, um diese Person privat zum Kennenlernen zu kontaktieren. Derartige Datenschutzverstöße haben neben dienstrechtlichen Konsequenzen auch zu Bußgeldbescheiden gegen die neugierigen Polizisten geführt.

2) Eine Person, die in einem Krankenhaus tätig ist, ruft in ihrer Pause Informationen auf, um herauszufinden, weshalb die Kollegin als Patientin operiert worden ist. Wenn der Arbeitgeber nicht durch ein Berechtigungskonzept diese überschießende Neugierde im Zaum hält, kann dies zu erheblichen Bußgeldern führen.

3) Die Reinigungskraft einer Rechtsanwältin liest sich die Einzelheiten zu Mandaten durch, die noch auf dem Schreibtisch liegen.

4) Die Mitarbeiterin eines Einwohnermeldeamtes recherchiert im Melderegister, ob ihr Ex-Partner mit einer neuen Partnerin zusammengezogen ist, um so Unterhaltszahlungen reduzieren zu können. Neben einer Strafanzeige hat ihr dies die fristlose Kündigung eingebracht (Az.: 10 Sa 192/16).

Unterschiedliche Szenarien, unterschiedliche Datenschutzvorfälle

Es gibt natürlich noch unzählige weitere durch Neugierde verursachte Szenarien, in denen die Neugier zu Datenschutzverstößen führt. Eins haben die oben genannten Beispiele aber gemeinsam: Es handelt sich um Datenschutzvorfälle, mit denen sich der Arbeitgeber in datenschutzrechtlicher, arbeitsvertraglicher und ggf. auch strafrechtlicher Hinsicht beschäftigen muss. In all diesen Fällen wurden personenbezogene Daten aus Gründen verarbeitet, die nicht der Erfüllung der täglichen Aufgaben dienen. Insofern wäre es anders gewesen, wenn die private Nummer des Zeugen durch die bei der Polizei angestellten Person genutzt wird, um beispielsweise weitere Einzelheiten zu einer Aussage einzuholen, um bei der Lösung eines Falles zu unterstützen. Wäre die Kollegin im Krankenhaus zuständig für die Kollegin als Patientin, um die Genesung zu unterstützen, muss sie die für die Behandlung relevanten Umstände kennen.

Folgen für den Verantwortlichen

Wenn ein Beschäftigter personenbezogene Daten, auf die er im Zuge des Beschäftigungsverhältnisses Zugriff hat, für private Zwecke verarbeitet, bedeutet dies nicht zwangsläufig Negativfolgen – wie ein Bußgeld der Datenschutzaufsichtsbehörde, eine Schadenersatzklage der betroffenen Person etc. – für den Verantwortlichen. Es könnte dann durchaus der Fall sein, dass der Beschäftigte selbst belangt werden kann (Regress durch den Arbeitgeber, fristlose Kündigung, Bußgeld, Strafverfahren). Um die Negativfolgen für sich aber abwenden zu können, muss der Verantwortliche als Arbeitgeber beweisen können, dass er explizit Schritte unternommen hat, um unbefugte Verarbeitungen personenbezogener Daten durch neugierige Beschäftigte zu unterbinden.

Mögliche Schritte

Solche möglichen Schritte können folgende sein:

1) Prüfung und entsprechende Anpassung von Zugangs- und Zugriffsberechtigungen (Stichwort: Berechtigungskonzept nach dem Need-To-Know-Prinzip).

2) Wegschließen von Dokumenten, wenn diese nicht in Gebrauch sind (beispielsweise bei Beendigung des Arbeitstages).

3) Protokollierung von Zugriffen – dies ist beispielsweise bei besonders sensiblen personenbezogenen Daten ohnehin eine gesetzliche Pflicht (§ 22 Abs. 2 BDSG).

4) Sensibilisierung der Beschäftigten zum Datenschutz – auch hierbei handelt es sich um eine gesetzliche Pflicht.

5) Erstellung von Richtlinien/Arbeitsanweisungen und explizite Kommunikation dieser im Unternehmen, der Einrichtung, der Praxis etc.

Fazit

Die soeben genannten technischen und organisatorischen Maßnahmen sind nur eine kleine Auswahl, möglicherweise aber auch ein paar der offensichtlichen Mittel, damit ein Verantwortlicher Datenschutzvorfälle dieser Art unterbinden bzw. die Folgen möglicherweise von sich abwenden kann. Ganz wichtig ist hierbei übrigens auch die Dokumentation und entsprechende Nachweise (siehe „Nachweispflicht eines Verantwortlichen“, Art. 5 Abs. 2 DSGVO), die ein Verantwortlicher erfüllen muss.

Gern unterstützen und beraten wir Sie dabei, um Risiken von etwaigen Bußgeldern, Schadenersatzansprüchen oder auch eine Schädigung des guten Rufes möglichst gut zu reduzieren. Kontaktieren Sie uns am besten heute noch für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.