Heute möchten wir aufgrund der Relevanz für die Beratungspraxis näher auf einen Fall eingehen, über den wir bereits in einem englischsprachigen Beitrag berichteten. Die belgische Datenschutzaufsichtsbehörde hat sich kürzlich mit zwei häufig auftretenden Fragen beschäftigt (Entscheidung 64/2025 vom 01.04.2025, abrufbar hier): Wann ist ein Beschäftigter für sein Handeln selbst verantwortlich und wem obliegt in diesen Fällen die Meldepflicht bei Datenschutzverletzungen?
Was war passiert?
Eine Vorgesetzte in einem Krankenhaus hat ohne entsprechende Anweisung die Krankenakte einer Mitarbeiterin, die entlassen werden sollte, eingesehen. Als Motiv führte die Vorgesetzte an, dass sie überprüfen wollte, ob die Mitteilung der Entlassungsentscheidung negative Auswirkungen auf den Gesundheitszustand der Mitarbeiterin haben könnte. Gegen diese Einsichtnahme ging die betroffene Mitarbeiterin mit ihrer Beschwerde vor.
Verantwortlichkeit und Mitarbeiterexzess
Datenschutzrechtlich verantwortlich ist gemäß Art. 4 Nr. 7 DSGVO „[…] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“. In der Regel handelt es sich hierbei um die juristische Person, bei der der handelnde Beschäftigte tätig ist, da der Beschäftigte nicht selbst über das Ob und Wie von Datenverarbeitungen im dienstlichen Kontext entscheidet.
Der zitierte Wortlaut verdeutlicht indes, dass auch eine natürliche Person, z. B. der Beschäftigte selbst, als Verantwortlicher angesehen werden kann. Dies gilt vor allem, wenn der Beschäftigte entgegen organisatorischen Vorgaben oder Weisungen agiert und somit selbst über Zwecke und Mittel der Datenverarbeitung bestimmt. Hierbei handelt es sich jedoch um Ausnahmefälle, die als sog. Mitarbeiterexzesse bezeichnet werden.
In dem von der belgischen Aufsichtsbehörde entschiedenen Fall wurde ein solcher Mitarbeiterexzess angenommen, da die handelnde Vorgesetzte auf die Krankenakte der Betroffenen außerhalb der Arbeitszeiten zugegriffen hatte. Zudem sah die Behörde in dem Motiv der Vorgesetzten eine Überschreitung der ihr übertragenen dienstlichen Befugnisse und sprach ihr die Verantwortlichkeit für den unstreitig vorliegenden Datenschutzverstoß aufgrund der unbefugten Einsichtnahme in die personenbezogenen Daten zu.
Datenschutzverletzung und Meldepflicht
Des Weiteren beschäftigte sich die Behörde mit der Frage, ob der Arbeitgeber den Vorfall als Datenschutzverletzung bei der Aufsichtsbehörde hätte melden müssen. Eine solche Meldung ist nach Art. 33 DSGVO erforderlich, wenn eine Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt.
Der Arbeitgeber verzichtete im hiesigen Fall auf die Meldung mit der Begründung, dass kein wesentliches Risiko ersichtlich gewesen sei. Hierbei argumentierte er, dass sich der Verstoß nur auf eine Person beschränkt habe, die Vorgesetzte bei der Einsichtnahme keine bösen Absichten gehabt habe und zudem gegen sie ein Disziplinarverfahren eingeleitet worden sei. Ferner sei die Betroffene über den Vorfall informiert worden.
Dieser Ansicht folgte die belgische Aufsichtsbehörde nicht und ging aufgrund der betroffenen Gesundheitsdaten von einer Meldepflicht aus. Sie begründete dies insbesondere mit dem bereits eingetretenen Verlust der Kontrolle und der Vertraulichkeit über die Daten, die durch das Berufsgeheimnis geschützt sind. Ferner erklärte sie, dass der Arbeitgeber nicht sicher sein konnte, dass die Vorgesetzte den Zugriff nicht doch aus unbekannten Gründen vornahm.
Letztlich erhielt der Arbeitgeber für die unterbliebene Meldung keine Strafe, da dem Arbeitgeber unter Berücksichtigung des Kontextes, in dem er sich befand, kein Vorwurf gemacht werden konnte. Dies stützte sich insbesondere auf die Tatsache, dass es zum Zeitpunkt des Vorfalls wenig bis kaum offizielle Veröffentlichungen und Aussagen zur Meldepflicht bei Datenpannen gab. Gleichzeitig wurde jedoch betont, dass eine Meldepflicht bei erneuten ähnlichen Vorfällen bestünde.
Fazit
Spannend an der Entscheidung ist vor allem die Tatsache, dass die Verantwortlichkeiten für die Datenverarbeitung einerseits und andererseits die Verantwortlichkeit im Rahmen der Meldepflicht auseinanderfallen. Dies könnte man durchaus diskutieren, da die Pflichten aus der DSGVO – so auch die Meldepflicht bei Datenschutzverletzungen – den Verantwortlichen treffen. Es wirkt daher auf den ersten Blick widersprüchlich, die handelnde Vorgesetzte hinsichtlich der Datenverarbeitung für verantwortlich zu halten, dann aber die Meldepflicht bei dem (nicht verantwortlichen) Arbeitgeber zu sehen.
Auf den zweiten Blick und insbesondere vor dem Hintergrund eines umfassenden Schutzes der Rechte der betroffenen Personen ergibt die Entscheidung jedoch Sinn: Wie mein Kollege in dem oben verlinkten Blogbeitrag bereits zutreffend erläuterte, befanden sich die Daten immer noch im Kontrollbereich des Arbeitgebers. Zudem besteht bei Angriffen von Dritten, z. B. Hackerangriffen, regelmäßig auch eine Meldepflicht für das betroffene Unternehmen, auch wenn der Dritte in diesen Fällen als Verantwortlicher handelte. Der Grund hierfür ist, dass die Meldung von Datenschutzverletzungen vor allem dazu dient, dass die Aufsichtsbehörden darauf hinwirken können, dass durch geeignete Maßnahmen der drohende Schaden für die Betroffenen so gering wie möglich gehalten wird. Hierfür ist es unerheblich, ob die Datenschutzverletzung durch das Unternehmen selbst oder einen Dritten verursacht wurde.
Es besteht daher für Unternehmen und andere verantwortliche Stellen grundsätzlich ein Risiko, wenn sie auf die Meldung von Datenschutzverletzungen mit Verweis auf die Verantwortlichkeit Dritter verzichten.