Was geschieht, wenn eine Führungskraft eigenmächtig und außerhalb ihrer arbeitsvertraglichen Befugnisse auf Mitarbeiterdaten zugreift? Diese Frage stand im Zentrum einer Entscheidung der belgischen Datenschutzaufsichtsbehörde. In der Mitteilung vom 01.04.2025 beschäftigt sich die Behörde mit der Verantwortlichkeit von Mitarbeitern bei Datenschutzverletzungen und die daraus für Unternehmen entstehenden Meldepflichten. Der Vorfall zeigt eindrücklich, welche datenschutzrechtlichen Konsequenzen sogenannte Mitarbeiterexzesse nach sich ziehen können und warum sich Verantwortliche bei der Beurteilung möglicher Meldepflichten nicht vorschnell in Sicherheit wiegen sollten.
Unbefugter Zugriff auf Gesundheitsdaten im Krankenhaus
In dem entschiedenen Fall sollte eine Mitarbeiterin in einem Krankenhaus gekündigt werden. Die Vorgesetzte hatte eigenmächtig Einsicht in die Krankenakte genommen. Sie gab an, dies getan zu haben, um einschätzen zu können, ob die Entlassung der Mitarbeiterin gesundheitlich zuzumuten sei. Eine ärztliche Weisung, eine arbeitsmedizinische Beurteilung oder eine datenschutzkonforme Rechtsgrundlage für diesen Zugriff sollen nicht vorgelegen haben. Die betroffene Mitarbeiterin reichte daraufhin Beschwerde bei der Datenschutzbehörde ein.
Mitarbeiterexzess oder dienstlicher Zugriff?
Der rechtliche Fokus lag zunächst auf der Frage, der Verantwortlichkeit von Mitarbeitern bei Datenschutzverletzungen. Konkret ging es darum, wer für die Datenverarbeitung verantwortlich war. Üblicherweise ist es das Krankenhaus oder dessen Träger als juristische Person, das über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, im Sinne von Art. 4 Nr. 7 Datenschutzgrundverordnung (DSGVO). Die Mitarbeiter tun dies in der Regel nicht eigenständig. Eine Ausnahme kann jedoch dann vorliegen, wenn ein Beschäftigter in eigener Entscheidung und bewusst entgegen interner Vorgaben handelt. Dann entscheidet er selbst über das ob und wie der Datenverarbeitung, womit es sich um einen sogenannten Mitarbeiterexzess handelt.
Entscheidung der belgischen Behörde
Die belgische Aufsichtsbehörde erkannte einen solchen Exzess an. Die Vorgesetzte habe sich über interne Regelungen hinweggesetzt und außerhalb ihrer Zuständigkeit gehandelt. Die Einsichtnahme sei zudem nicht während der regulären Arbeitszeit erfolgt. Aus Sicht der Behörde handelte es sich daher nicht mehr um eine dem Krankenhaus zurechenbare Datenverarbeitung. Verantwortlich sei stattdessen die Vorgesetzte.
Meldepflicht nach Art. 33 DSGVO
Art. 33 DSGVO verpflichtet Verantwortliche zudem zur Meldung, wenn eine Datenschutzverletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Diese muss in der Regel binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Anderenfalls ist eine Begründung für die Verzögerung beizufügen.
Das Krankenhaus habe hier kein voraussichtliches Risiko erkannt und deshalb keine Meldung vorgenommen. Die betroffene Person sei allerdings informiert worden, was aufgrund der fehlenden böswilligen Gesinnung der Vorgesetzten und dem auf eine Person beschränkten Betroffenenkreis ausreichend gewesen sei. Weiterhin sei ein Disziplinarverfahren eingeleitet worden.
Entscheidung der belgischen Behörde
Die Aufsichtsbehörde überzeugte das nicht. Insbesondere wegen der betroffenen Gesundheitsdaten und des unkontrollierten Zugriffs durch eine nicht autorisierte Person habe ein erhebliches Risiko bestanden. Auch könne das Krankenhaus nicht sicher über die Gründe des Zugriffs sein, weshalb ein Risiko nicht auszuschließen sei. Deshalb entschied die belgische Behörde laut ihrer Mitteilung, dass trotz der individuellen Verantwortlichkeit der Vorgesetzten, das Krankenhaus den Vorfall als Datenschutzverletzung an die Aufsichtsbehörde hätte melden müssen. Vom Verhängen von Sanktionen sah die Behörde allerdings trotzdem ab, da es insbesondere zum Zeitpunkt des Vorfalls noch wenig klare Vorgaben zur DSGVO-Meldepflicht geben hatte.
Konsequenzen für Unternehmen
Bedeutend ist an dem Fall für Unternehmen insbesondere die Tatsache, dass hier trotz fehlender Verantwortlichkeit für die Datenschutzverletzung die Pflicht für die Meldepflicht beim Krankenhaus liegen soll. Vor dem Hintergrund, dass sich die betroffenen Daten weiterhin im organisatorischen Einflussbereich des Krankenhauses befanden, kann die weiter bestehende Meldepflicht zum Schutz personenbezogener Daten aber weiter Sinn ergeben. Ziel ist es nämlich, dass Aufsichtsbehörden im Interesse der Betroffenen frühzeitig Maßnahmen zur Risikobegrenzung anstoßen können. Gleiches gilt zum Beispiel auch im Fall eines Hackerangriffs.
Fazit
Für die Praxis bedeutet die Entscheidung der belgischen Aufsichtsbehörde vor allem eines: Auch wenn ein Datenschutzverstoß nicht direkt durch das Unternehmen selbst verursacht wurde, sondern auf individuelle Exzesse von Mitarbeitenden zurückgeht, empfiehlt es sich weiterhin die Pflicht zur Meldung bei der zuständigen Aufsichtsbehörde zu wahren. Wer vorschnell auf eine Einzelfallverantwortung verweist, riskiert ein aufsichtsbehördliches Einschreiten und Bußgelder. Auch Disziplinarverfahren und nachträgliche Aufklärung können eine unterlassene Meldung nicht heilen, wenn die Risikobewertung im Ergebnis fehlerhaft war.
