Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO vom BayLfD: Eine praxisrelevante Betrachtung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat kürzlich eine wertvolle Orientierungshilfe zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO veröffentlicht. Diese befasst sich unter anderem mit der Verantwortlichkeit in Fällen des sogenannten Mitarbeiterexzesses – Situationen, in denen Beschäftigte dienstlich zugängliche Daten für private Zwecke nutzen.
Die „bayerische Auffassung“ zur Verantwortlichkeit
Überraschend ist die in der Orientierungshilfe dargestellte „bayerische Auffassung“, wonach der Arbeitgeber oder Dienstherr verantwortlich bleibt, auch wenn ein Beschäftigter Daten zweckwidrig verwendet. Die beiden bayerischen Aufsichtsbehörden – der BayLfD und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) – vertreten die Ansicht, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er dienstliche Daten für private Zwecke nutzt.
Die Konsequenzen dieser Auffassung sind bedeutend für die Praxis:
- Einzelverantwortlichkeit der öffentlichen Stelle: Auch bei zweckwidrigem Datenabruf bleibt die öffentliche Stelle gem. Art. 4 Nr. 7 DSGVO verantwortlich, und der Datenschutzverstoß des Beschäftigten wird der Stelle zugerechnet.
- Sanktionen: Der rechtswidrige Abruf dienstlich zugänglicher Daten zu privaten Zwecken kann gem. Art. 83 DSGVO zu einer Geldbuße gegen die verantwortliche Stelle führen.
Begründung der Auffassung
Der BayLfD begründet diese Sichtweise damit, dass Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung entscheidet. Ein Beschäftigter, der dienstliche Daten für private Zwecke missbraucht, entscheidet jedoch nicht über die grundsätzlichen Zwecke und Mittel der Abfragesysteme, sondern nutzt lediglich vorhandene Systeme für private Zwecke.
Ein weiteres Argument ist das Fehlen einer vergleichbaren Regelung wie in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter in Art. 29 DSGVO in Bezug auf Beschäftigte. Nur wenn ein Beschäftigter Daten mit arbeitgeberfremden Ressourcen weiterverarbeitet, greift Art. 4 Nr. 7 DSGVO.
Abweichende Ansichten
Der BayLfD räumt ein, dass diese Auffassung nicht von allen Aufsichtsbehörden geteilt wird. Beispielsweise sehen die Datenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten als Verantwortlichen an, wenn er dienstliche Daten für private Zwecke verwendet. Auch das österreichische Bundesverwaltungsgericht und der Europäische Datenschutzausschuss vertreten eine abweichende Ansicht.
Bewertung und Fazit
Die Argumentation des BayLfD, dass der Mitarbeiter nicht verantwortlich sei, da er nicht über die Mittel der Verarbeitung entscheide, ist diskutabel. Wenn ein Mitarbeiter beispielsweise eine CRM-Software für private Zwecke nutzt, bestimmt er in diesem Moment auch über den Einsatz des Mittels „CRM-Software“.
Zusammengefasst könnte man überspitzt formulieren: Solange Mitarbeiter in Bayern dienstliche Systeme für private Zwecke missbrauchen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber muss jedoch mit möglichen Sanktionen rechnen. Diese Orientierungshilfe bietet daher wertvolle Hinweise für die Praxis, auch wenn sie nicht unumstritten ist und je nach Region unterschiedlich interpretiert werden kann.
Links/Hinweise
BayLfD – Orientierungshilfe zur gemeinsamen Verantwortlichkeit