Mitarbeiterexzesse sind in der Praxis nicht unüblich, jedoch gestaltet sich die rechtliche Einordnung oft als schwierig. Dies liegt daran, dass sich die Handlungen nicht selten im Graubereich zwischen privatem Fehlverhalten und dienstlichem Kontext bewegen und detaillierte Abgrenzungen in der datenschutzrechtlichen Bewertung notwendig machen.
In der Vergangenheit berichteten wir bereits über Fälle, bei denen Mitarbeitende betrieblich bereitgestellte Mittel ohne dienstlichen Anlass zu privaten Zwecken genutzt hatten und so zum „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO wurden. Zuletzt haben wir hier im Blog einen Fall des OLG Stuttgart geschildert, bei dem im Kern zu klären war, wann ein Mitarbeiter während der Arbeit, trotz der Nutzung von betrieblichen Mitteln, selbst verantwortlich wird. In diesem Fall wurde auch erstmals durch ein deutsches Gericht der Begriff „Mitarbeiterexzess“ ausdrücklich aufgegriffen.
Im heutigen Beitrag geht es um einen interessanten Fall des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), bei dem eine Mitarbeiterin private Mittel nutzte.
Videoaufnahme in Pflegeeinrichtung
In seinem Tätigkeitsbericht schildert der Landesbeauftragte einen Fall aus einer Pflegeeinrichtung, bei dem eine Mitarbeiterin während ihrer Nachtschicht mit ihrem privaten Mobiltelefon eine Videoaufnahme einer Patientin anfertigte. Besonders brisant war, dass laut dem Landesbeauftragten
„[…] die Patientin hilflos und desorientiert durch die Räumlichkeiten der Pflegeeinrichtung irrt, während die Mitarbeiterin des Unternehmens hörbar abfällige Bemerkungen macht und über die Patientin lacht.“ (S. 102)
Das Video wurde mit zwei Personen per WhatsApp geteilt. Die Pflegeeinrichtung meldete den Vorfall dem TLfDI, wobei die Mitarbeiterin im Rahmen einer Anhörung mitteilte, dass die Videoaufnahme angefertigt worden sei, um ihre Kollegen über den Gesundheitszustand und das Verhalten der betroffenen Patientin zu informieren.
Der Landesbeauftragte stellte fest, dass es sich bei der Anfertigung und Versendung der Videoaufnahme um eine Datenverarbeitung im Sinne der DSGVO handelt und der Anwendungsbereich der DSGVO eröffnet ist.
Die sog. „Haushaltsausnahme“ gemäß Art. 2 Abs 2 lit. c DSGVO greife im vorliegenden Fall nicht, auch wenn die Anfertigung und der Versand des Videos mit dem privaten Mobiltelefon erfolgte. Generell ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet, sofern eine Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt. Der Begriff „ausschließlich“ sei laut dem Landesbeauftragten jedoch eng auszulegen und erlaube gerade nicht die Vermischung privater und dienstlicher Tätigkeiten. Da die Videoaufnahme in Ausübung der beruflichen Tätigkeit aufgenommen wurde, greife die Ausnahme nicht.
Die Verantwortlichkeit für die Datenverarbeitung sah der TLfDI ganz klar bei der Mitarbeiterin selbst und nicht bei der Pflegeeinrichtung. Dies begründete der Landesdatenschutzbeauftragte zum einen damit, dass Foto- und Videoaufnahmen per Dienstanweisung untersagt waren. Zum anderen deuten die abfälligen Bemerkungen sowie das Gelächter der Mitarbeiterin auf rein private Motive für die Anfertigung der Videoaufnahme hin. Somit entschied laut TLfDI die Mitarbeiterin über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Patientin. Die Verarbeitung erfolgte zudem rechtswidrig, da keine Einwilligung der Patientin vorlag und wegen der Umstände auch kein berechtigtes Interesse für die Datenverarbeitung in Frage kam.
Aufgrund der Vorsätzlichkeit und der Eingriffsintensität – Ausnutzung der beruflichen Stellung, besonders geschützter Raum und Zustand der Patientin (desorientiert und hilflos) – erging eine Geldbuße im unteren vierstelligen Bereich gegen die Mitarbeiterin. Mildernd bei der Bemessung der Höhe der Geldbuße konnte einzig das Bedauern der Mitarbeiterin angeführt werden.
Fazit
Der Fall des TLfDI macht deutlich, dass die Haushaltsausnahme der DSGVO bei Mitarbeiterexzessen nicht greift, sofern privates Verhalten im dienstlichen Kontext erfolgt. Beschäftigte können in solchen Fällen selbst verantwortlich und mit Bußgeldern belegt werden. Auch wird klar, dass gerade in diesen besonders geschützten Bereichen, die konsequente Ahndung von Datenschutzverstößen wichtig ist. Unternehmen sollten präventiv klare Richtlinien und gezielte Schulungen der Mitarbeitenden durchführen, um Datenschutzverstöße durch Mitarbeitende wirksam zu verhindern.