In bestimmten Fällen kann auch der Arbeitnehmer Adressat einer aufsichtsbehördlichen Maßnahme, einschließlich von Bußgeldern sein. Dafür muss der Beschäftigte als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren sein.
In diesem Zusammenhang gibt es eine Entschließung der Datenschutzkonferenz (DSK) vom 3. April 2019 („Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) wonach bei sogenannten „Exzessen“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, das Unternehmen nicht haften soll.
In dem Tätigkeitsbericht 2021 des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit sind verschiedene Fälle des Fehlverhaltens von Beschäftigten genannt worden, deren Datenschutzverstöße von der Behörde mittels Festsetzung einer Geldbuße geahndet wurden:
1. Missbrauch von Gesundheitsdaten bei Wahl der Schwerbehindertenvertretung (Ziffer 3.8) :
In diesem Fall ging es um eine Mitarbeiterin einer Bundesbehörde, die sich sich eine Liste schwerbehinderter Menschen, die in der Dienststelle beschäftigt waren, für dienstfremde Zwecke verschaffte. Der TLfDI erließ nach Prüfung der Sach- und Rechtslage gegen die Mitarbeiterin einen Bußgeldbescheid nach Art. 83 Abs. 5 lit. a) DSGVO in Höhe von insgesamt 1.925 Euro.
2. Unberechtigte Abrufe von Patientendaten der Ex-Freundin (Ziffer 3.9)
In einem anderen Fall des Mitarbeiterexzesses hatte ein psychologischer Psychotherapeut, der in einem städtischen Krankenhaus tätig war, für dienstfremde Zwecke die Patientendaten (seine Ex-Freundin) in der elektronischen Patientenakte abgerufen. Die Abfragen erfolgte ohne Information an die Ex-Freundin und in zugriffsgesicherten IT-Systemen des städtischen Krankenhauses und unter Ausnutzung der beruflichen Stellung als psychologischer Psychotherapeut. Der TLfDI erließ gegenüber dem Therapeuten nach Art. 83 Abs. 5 lit. a) DSGVO einen rechtskräftigen Bußgeldbescheid mit einer Geldbuße in Höhe von 600 Euro.
