Conrad S. Conrad
Der Mitarbeiterexzess – Ursachen und Folgen
Sowohl die Aufsichtsbehörden als auch die Gerichte haben sich zunehmend mit der rechtlichen Einordnung von eigenwilligen Handlungen von Beschäftigten zu befassen. Wenn einzelne Mitarbeiter entgegen verbindlichen Anweisungen bzw. Richtlinien des Arbeitgebers aus persönlichen Gründen Einsicht auf Systeme wie z.B. das Krankenhausinformationssystem oder Akten nehmen, drängt sich der sog. Mitarbeiterexzess auf. Spätestens dann wäre zu prüfen, ob dieser Zugriff, womöglich aus reiner Neugier eine Datenschutzverletzung begründet – und welche Konsequenzen dies haben könnte. Vor allem aber stellt sich die Frage: Wer ist hierfür verantwortlich im Sinne des Datenschutzrechts?
I. Ursachen
Die Gründe für den – unbefugten – Zugriff auf diese personenbezogenen Daten wie z.B. ein medizinischen Befund, eine Strafakte oder ein Adressdatensatz zu einer Bestellung im Mitarbeitershop können vielfältig sein. Die Motive können vom Wunsch der Kontaktaufnahme zur freundlichen Zeugin, der eigenmächtigen Recherche zu eingegangenen Bewerbungen, der Ausforschung (ehemaliger) Lebenspartner bis hin zur bloßen Neugier reichen. Aber auch ein vermeintlich betriebsbedingtes Interesse an dem Gesundheitszustand des seit längerem abwesenden Kollegen oder der unaufgeforderten „Unterstützung“ der Kollegen bei ihrer Arbeit werden in diesem Zusammenhang häufig genannt. Und auch die Vorfälle, in denen Mitarbeiter mit Hilfe des eigenen Smartphones (heimlich) Fotos/Videos von Patienten anfertigen und diese in Chatgruppen oder auf dem eigenen social Media Kanal als Teil der Selbstdarstellung oder zur mutmaßlichen „Aufklärung von Missständen“ veröffentlichen, nehmen offenbar seit Jahren zu (vgl. HmbBfDI, 33. Tätigkeitsbericht 2024, S. 32f). Teilweise wurde sogar in den Medien über diese Ereignisse negativ berichtet. Das Unrechtbewusstsein ist trotzdem nicht immer vorhanden.
II. Rechtliche Einschätzung
Der unbefugte Zugriff auf personenbezogene Daten durch die bewusste, zweckwidrige Datenabfrage könnte eine Datenschutzverletzung gem. Art. 33 Abs. 1 DSGVO (Datenpanne) begründen und somit die Meldung des entsprechenden Vorfalls nebst den ergriffenen oder noch zu ergreifenden Abhilfemaßnahmen veranlassen. Dies liegt auch an der dem zugrunde liegenden Definition, die sehr weit gefasst ist: Denn die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DSGVO). Wenn die Verletzung des Schutzes personenbezogener Daten durch die Handlung der Beschäftigten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, was z.B. bei der Einsicht und Weitergabe von sensiblen Daten wie Gesundheitsdaten aus der Personal- oder Krankenakte anzunehmen ist, müsste die betroffene Person grundsätzlich nach Art. 34 Abs. 1 DSGVO hiervon benachrichtigt werden. Auch das erfordert eine Aufklärung des Tathergangs, um alle betroffenen Personen zu identifizieren und letztlich über den Vorfall in angemessener Weise zu informieren.
1. Das „need to know“-Prinzip
Gerade die Situation des „unbefugten Zugangs“ als eine Art der Überschreitung der eigenen Befugnisse stellt Unternehmen und öffentliche Stellen bei der Prüfung und Bewertung des Vorgangs vor große Schwierigkeiten. Wenn die handelnden Personen auf Grund ihrer zugewiesenen technischen Zugriffsrechte oder ihrer Aufgabe de facto auf diese Datenbanken oder Unterlagen zugreifen dürften, da sie möglicherweise in diesem Geschäftsbereich im Krankenhaus, des Vertriebs oder der Personalabteilung arbeiten, und auch keine besonderen Schutzvorkehrungen getroffen worden sind, ist die rechtliche Bewertung für alle Akteure nicht immer leicht nachvollziehbar. Auch die Argumentation zum Verstoß gegen das oftmals genannte „need to know“-Prinzip lässt sich eher durch technische Maßnahmen bekräftigen als durch mündliche oder allgemeingültige Prinzipien. Durch interne Protokollierung von Zugriffen auf automatisierte Verarbeitungssysteme (siehe § 76 BDSG) und angemessene Rollenkonzepte kann hier die Technik behilflich sein. Auch die Mandantentrennung in Systemen, der Verzicht auf interne Foren und engmaschige Freigabeprozesse nach dem 4-Augen-Prinzip verringern das Risiko eines unbefugten Zugriffs.
Rechtlich noch umstrittener sind die Fälle, in denen die Personen auf Grund ihrer Funktion z.B. im Vertrieb oder der Personalabteilung grundsätzlich diese Daten einsehen könnten, dann aber möglicherweise im Einzelfall die Daten der Kollegen nicht eingesehen oder für andere Zwecke genutzt werden dürfen. Bestellt die Kollegin beispielsweise im eigenen Mitarbeitershop eine Ware und gibt hierbei die private Wohnadresse für die Rechnungsstellung oder den Versand an, dürfte der im Vertrieb/Verkauf hierfür tätige Kollege aber nicht diese private Adresse für andere Zwecke als der Durchführung der Bestellung nutzen, also nicht die Person privat kontaktieren oder am Wohnort aufsuchen. Auch die Laborwerte der Kollegin, die sich im eigenen Krankenhaus behandeln lässt, sollten nicht aus purem Interesse eingesehen werden. Im Übrigen ist auch die von der Zeugin angegebene Telefonnummer nur für etwaige dienstlich relevante Rückfragen gedacht, nicht aber zum Flirtversuch via privatem Handy.
Die Beweisbarkeit der Überschreitung der Befugnisse durch die weisungswidrige Handlung in der konkreten Situation kann sich dann aus internen Regelungen oder Dienstanweisungen ergeben, selbst wenn dies nicht technisch konsequent sichergestellt sein mag. Sofern alle Beschäftigten im Krankenhaus an den diversen Arbeitsplätzen auf der Station einen Vollzugriff auf das Krankenhausinformationssystem haben, möglicherweise nicht einmal individuell zugewiesene Benutzerkonten existieren, erfordert es klare, verbindliche Regeln: Nur als an der Behandlung beteiligte Person darf in die jeweilige Krankenakte Einsicht genommen – und auch erst Recht nicht grundlos nach Namen oder Daten anderer Personen gesucht werden. Ähnlich verhält es sich in der öffentlichen Verwaltung oder in der Justiz bei der Fallbearbeitung.
Etwas eindeutiger sind hingegen die Vorgänge zu beurteilen, in denen die handelnde Person aus eigennützigen Gründen mit dem eigenen Smartphone entsprechende Fotos oder Videos anfertigt und veröffentlicht, insbesondere bei dem Verbot der Nutzung privater Geräte am Arbeitsplatz bzw. im Rahmen der beruflichen Tätigkeit. Auf diese Datenverarbeitung hätte der Arbeitgeber oder Dienstherr schon mangels technischer Zugriffs- und Kontrollmöglichkeiten gar keinen Einfluss, so dass diese Verarbeitung eindeutig nicht in der Sphäre des Arbeitgebers bzw. Dienstherren erfolgt.
2. Verantwortlichkeit(en)?
Im Rahmen der Prüfung der Datenschutzverletzung und der sich daraus ergebenden Folgen ist vorrangig die Verantwortlichkeit für dieses streitgegenständliche Handeln festzustellen. Denn die Pflichten für die Meldung bzw. Benachrichtigung gem. Art. 33 Abs. 1 bzw. 34 Abs. 1 DSGVO treffen schon eindeutig nach dem Wortlaut der Norm nur den Verantwortlichen, nicht jedoch den Auftragsverarbeiter oder einen Dritten.
Nach der hinlänglich bekannten Definition ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Und bei dieser Zuordnung besteht beim sog. Mitarbeiterexzess die Besonderheit, dass diese folgenreiche Handlung nicht dem Arbeitgeber bzw. dem Dienstherren zugeordnet werden soll, sondern dieser Beschäftigte durch das eigenmächtige, zweckwidrige Handeln selbst zum „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO wird. Dann würden ihn pro forma alle Pflichten aus der DSGVO, insbesondere auch zur Meldung des Datenschutzvorfalls (Art. 33 Abs. 1 DSGVO) sowie zur etwaigen Benachrichtigung (Art. 34 Abs. 1 DSGVO) treffen.
Das ULD stellt hierzu im aktuellen Tätigkeitsbericht fest: „Vor diesem Hintergrund bestehen aus Sicht des ULD Anhaltspunkte für einen Mitarbeiterexzess, wenn sich der Beschäftigte über die dienst- und arbeitsrechtlichen Anweisungen des Arbeitgebers hinwegsetzt und eigenmächtig dienstlich erlangte Daten ausschließlich für eigene private Zwecke oder für Zwecke eines Dritten und damit betriebsfremd verarbeitet. In diesem Fall ist nicht der Arbeitgeber Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, sondern der betreffende Beschäftigte.“ (ULD, 43. Tätigkeitsbericht 2025, S. 45f).
Gleichzeitig wird diese Person dann auch zum etwaigen Adressaten eines Bußgeldverfahrens der Aufsichtsbehörden oder Schadensersatzanforderungen von betroffenen Personen (Art. 82 DSGVO). In jüngster Zeit wurde diese Rechtsauffassung von den Gerichten (Sorber/Knoepffler, DSB 2026, 33-34 (BGH, Beschl. v. 7.10.2025 – VI ZR 297/24) sowie OLG Stuttgart, Beschl. v. 25.2.2025 – ORbs 16 Ss 336/24) wie auch den Aufsichtsbehörden mehrfach bestätigt. Im aktuellen Tätigkeitsbericht der Hamburger Datenschutz-Aufsichtsbehörde wurde hierzu im Hinblick auf das Verhalten zweier Beschäftigter in einem Krankenhaus festgestellt: „Beide Beschäftigten waren nicht an der medizinischen Behandlung des Kollegen beteiligt. Sie hatten keinen beruflichen Anlass, die Gesundheitsdaten ihres Kollegen einzusehen. Ihr Handeln lag außerhalb ihrer dienstlichen Aufgaben und diente eigenen Zwecken. Beschäftigte, die außerhalb ihrer beruflichen Aufgaben und Befugnisse personenbezogene Daten für eigene Zwecke verarbeiten, gelten als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. In diesen Fällen tragen nicht die Arbeitgeber:innen, sondern die jeweils handelnden Mitarbeiter:innen selbst die datenschutzrechtliche Verantwortung und können Adressat:innen eines Bußgeldbescheids werden. Auf die berufsfremden Motive der Beschäftigten für die Einsichtnahme, wie etwa Neugier oder auch Empathie, kommt es insoweit nicht an.“ (HmbBfDI, 34. Tätigkeitsbericht 2025, S. 156 f.). Aber auch Abfragen aus „Neugier“ innerhalb der Polizei und bei anderen Behörden veranlassen die Aufsichtsbehörden häufig zur Einleitung eines Bußgeldverfahrens gegen diese handelnden Personen, wie z.B. „Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden wurden insgesamt sechs Bußgelder verhängt, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hatten.“ (HmbBfDI, Pressemitteilung v. 30.9.2025) sowie: „Der Landesbeauftragte hat gegen einen Polizeibeamten ein Bußgeld in Höhe von 3.500 Euro Bußgeld erlassen, weil er ohne dienstlichen Anlass eine unrechtmäßige Abfrage im Melderegister mit den Daten einer zuvor im Rahmen einer Verkehrskontrolle angetroffenen Frau durchführte.“ (LfDI Baden-Württemberg, Pressemitteilung v. 7.3.2025).
3. Keine Haushaltsausnahme
Denn wenn der Beschäftigte eigenmächtig agiert oder sein privates Smartphone für die Datenverarbeitung im dienstlichen Kontext nutzt, gilt – konsequenterweise – auch der Anwendungsbereich der DSGVO. Die Person kann sich dann nicht auf die sog. Haushaltsausnahme aus der DSGVO im Sinne von Art. 2 Abs. 2 lit. c DSGVO berufen, da hier keine entsprechende Verarbeitung von personenbezogenen „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ vorliegt, sondern durch den beruflichen Kontext und im Falle der Veröffentlichung der Infos gegenüber Freunden/Bekannten ebenso auch dieser Ausnahmecharakter durchbrochen wird.
III. Folgen
Mitunter können diese Vorfälle für die Unternehmen oder öffentlichen Stellen insofern folgenreich sein, als das durch negative Medienberichterstattung bereits ein Imageschaden oder gar ein Vertrauensverlust in den Rechtsstaat droht. Des Weiteren könnten sich diese Stellen nach Bekanntwerden des Vorfalls mit Rückfragen von anderen Beschäftigten, aber auch Kunden und Patienten sowie oftmals damit einhergehenden rechtlichen Auseinandersetzungen konfrontiert sehen.
Obgleich die Rechtsprechung (OLG Stuttgart, Beschluss vom 25.2.2025 – ORbs 16 Ss 336/24; siehe auch Sorber/Knoepffler, DSB 2026, 33 (BGH, Beschl. v. 7.10.2025 – VI ZR 297/24)) und ebenso die Ansichten aus den Aufsichtsbehörden mittlerweile das Bild des Mitarbeiterexzesses ausprägen, sind nicht alle Fragen geklärt: Liegt trotz der Annahme des Mitarbeiterexzesses und somit der Handlung des Mitarbeiters als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO gleichwohl auch ein Verstoß gegen die vom Arbeitgeber bzw. Dienstherren ohnehin zu treffenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO vor? Mit anderen Worten: Steht auch selbst dann weiterhin ein Verstoß aufseiten des Arbeitgebers bzw. Dienstherren im Raume, welcher dann wiederum in einer vorgelagerten Situation eine Verantwortlichkeit nach Art. 24, Art. 32 DSGVO hervorruft? Müsste dann also der Arbeitgeber oder Dienstherr auch eine „eigene“ Datenschutzverletzung gem. Art. 33 Abs. 1 DSGVO melden?
Ein solches Resultat könnte sich theoretisch dann ergeben, wenn es an internen, verbindlichen Regelungen zur Nutzung von den Arbeitsmitteln, der Zugriffe auf die Systeme oder allgemein dem datenschutzkonformen Umgang mit personenbezogenen Daten bei der Arbeit wie auch an etwaigen Datenschutzschulungen fehlt. Und auch bei schlecht konfigurierten Systemen oder fehlenden Benutzer- und Rollenkonzepten wäre es denkbar, auch gleichzeitig einen Verstoß aufseiten des Unternehmens oder der öffentlichen Stelle in Erwägung zu ziehen. Diese unklare und vom Einzelfall abhängige Rechtslage führt zu den taktischen Überlegungen, selbst bei der Annahme eines Mitarbeiterexzesses als Unternehmen oder öffentliche Stelle gleichwohl eine eigene Meldung des Datenschutzvorfalls nach Art. 33 Abs. 1 DSGVO bei der zuständigen Aufsichtsbehörde abzugeben. Im Rahmen dieser Meldung könnte (aus haftungsrechtlichen Gründen?) zumindest klargestellt werden, dass sich die meldende Stelle nicht als Verantwortlicher betrachtet und nur pro forma – vorsorglich – auf den Vorfall hinweist. Hiermit könnte einerseits das funktionierende, interne Datenschutzmanagement bestätigt werden, andererseits aber auch aus Gründen der Transparenz die getroffenen Abhilfemaßnahmen und etwaige Verbesserungen bzw. eine erneute Sensibilisierung aller Beschäftigter skizziert werden. Ferner wäre dann jedenfalls die „Meldefrist“ gewahrt, falls sich im Nachgang der Sachverhalt doch anders darstellt. Auch unterstreicht dieser Schritt womöglich die klare Abgrenzung zum Mitarbeiterexzess. Natürlich sind solche Erwägungen vom Grundgedanken geprägt, im Zweifel eher die Meldung einer Datenschutzverletzung abzugeben als derartige Vorgänge zu verheimlichen oder verspätet nachzuholen.
Die gegenteilige Auffassung, also die restriktive „Melde-Politik“ könnte mit dem Verweis auf den eindeutigen Wortlaut der Vorschriften (Art. 33, 34 DSGVO) und der Rolle des handelnden Beschäftigten als Verantwortlicher nach Art. 4 Nr. 7 DSGVO wie auch mitunter einer seitens des Arbeitgebers nicht nachweisbaren, oder kaum gravierenden Datenschutzverletzung untermauert werden. Folgt man der derzeitigen Ansicht des ULD, wäre bei einem objektiv zweckwidrigen Handeln des Beschäftigten der Mitarbeiterexzess gegeben und von der Meldung durch den Arbeitgeber/Dienstherren offenbar abzusehen (ULD, 43. Tätigkeitsbericht 2025, S. 46). Ferner lassen sich auch generell die profanen Überlegungen nicht von der Hand weisen: Jede Meldung ist mit Arbeit verbunden – und man wolle ja auch nicht die Pferde wild machen. Nicht zuletzt wäre die Aufklärungsarbeit ohnehin sehr komplex und risikobehaftet.
Dem lässt sich aber wiederum entgegenhalten: Unternehmen sollten grundsätzlich auch dann eine Datenschutzverletzung gem. Art. 33 Abs. 1 DSGVO melden und die weiteren, damit einhergehenden Aufgaben erfüllen, wenn sich z.B. trotz angemessener Sicherheitsvorkehrungen im Unternehmen ein externer Hacker (als Verantwortlicher) einen Zugriff auf die Daten des Unternehmens verschaffen konnte und dabei Daten vernichtet werden oder abfließen. Aus Gründen der Transparenz und nach dem Grundkonzept der DSGVO wäre also auch in solchen, nicht unüblichen Situationen eine entsprechende Meldung vorzunehmen, unabhängig von der Zuweisung der Verantwortlichkeit für die konkrete Handlung. Das wiederum ergibt sich auch grundsätzlich aus den Beispielsfällen des EDSA (Leitlinien 01/2021, S. 8 ff.).
Doch auch für den handelnden Beschäftigten könnte das Verhalten negative Konsequenzen haben, wie das Einleiten eines Bußgeldverfahrens oder Schadensersatzanforderungen. Daneben drohen den Personen bei Vorfällen im Gesundheitswesen oder in anderen speziellen Berufsgruppen auch strafrechtliche Konsequenzen nach § 203 StGB (Verletzung von Privatgeheimnissen).
IV. Fazit und Empfehlungen
Zunächst sollten Unternehmen und öffentliche Stellen solch möglichen Datenschutzverstößen der Beschäftigten durch hinreichende Datenschutzschulungen und klare Richtlinien/Regelungen vorbeugen. Daher ist die schriftliche Verpflichtungserklärung auf Einhaltung des Datenschutzrechts (ggf. auch parallel zu einer allgemeinen Verschwiegenheitserklärung) längst ein fester Bestandteil im Onboarding. Auf die internen, verbindlichen Regelungen zum Umgang mit den Arbeitsmitteln wie auch den Systemen/Unterlagen sollte regelmäßig hingewiesen werden. Zugriffsregelungen gehören zum Stand der Technik. Nunmehr sollten Unternehmen auch Social Media Guidelines oder Verhaltensregelungen für die sozialen Netzwerke bzw. den Business Plattformen verabschieden. Auch ein klares „Handyverbot“ im Krankenhaus oder in sonstigen sensiblen Bereichen dürfte hier die Rechtslage verschärfen. All dieses wäre unter Umständen auch zu kontrollieren. Gleichwohl lässt sich nicht jedes, durch subjektive Motive getragenes Handeln der Beschäftigten verhindern. Diesbezüglich kann nur für ausreichende Awareness gesorgt werden.
Sollte es dennoch zu Datenschutzverletzungen durch die Mitarbeiter kommen, indem sie sich klar über die Anweisungen und internen Regelungen (und/oder technische Schutzvorkehrungen) hinweggesetzt haben und objektiv zweckwidrig agierten, lässt sich der Mitarbeiterexzess mittlerweile gut begründen. Dann sollten sich die Unternehmen und Dienstherren gleichwohl im Rahmen ihres Datenschutzmanagements und aus Aspekten der Awareness mit der Frage der Meldung der Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO sowie der etwaigen Benachrichtigung der betroffenen Person nach Art. 34 Abs. 1 DSGVO auseinandersetzen. In jedem Fall aber sollte der Vorgang intern entsprechend umfassend aufgeklärt und dokumentiert werden. Es bietet sich dann auch eine gute Gelegenheit, die eigenen Prozesse und Richtlinien/Unterlagen ggf. anzupassen und somit insgesamt etwas nachzuschärfen.
| Autor: | Conrad S. Conrad ist Senior Berater Datenschutz bei der datenschutz Nord GmbH am Standort Hamburg. |  |