In den vergangenen drei Jahren gingen bei der Landesbeauftragten für Datenschutz und Informationsfreiheit vermehrt Beschwerden zur Problematik der Ausnutzung einer beruflichen Stellung zur Erhebung personenbezogener Daten und anschließenden Kontaktaufnahme zu den ausschließlich weiblichen betroffenen Personen ohne oder sogar gegen ihren Willen ein. Wegen der damit verbundenen Verstöße gegen Artikel 6 Absatz 1 Datenschutzgrundverordnung (DSGVO) verhängten wir in diesen Fällen Geldbußen gegen natürliche Personen. Bei der Zumessung der jeweiligen Geldbußen berücksichtigten wir jeweils die Ausnutzung der beruflichen Stellung sanktionserhöhend.
Eine Beschwerdeführerin hatte berichtet, dass sie nach einem Restaurantbesuch, im Zuge dessen sie nach der Corona-Verordnung dazu verpflichtet gewesen war, ihre Kontaktdaten inklusive privater Mobilfunknummer, in eine Kontaktverfolgungsliste einzutragen, am nächsten Tag von einem sie am Vortag bedienenden Kellner des Restaurants per Messenger kontaktiert worden war. In einem anderen Fall berichtete eine Beschwerdeführerin, dass sie von einem Mitarbeiter eines Corona-Testzentrums am auf ihre Testung folgenden Tag via Instagram angeschrieben worden war. Der betreffende Mitarbeiter hatte den Namen und Nachnamen der Betroffenen aus dem Patient:innendatensystem entnommen und die Betroffene mittels dieser Daten in dem sozialen Netzwerk Instagram ausfindig gemacht.
Beide Fälle charakterisieren sich dadurch, dass die Verantwortlichen personenbezogene Daten der Betroffenen dem ursprünglich für die Zugriffsberechtigung ursächlichen Kontext entrissen und diese zu eigennützigen Zwecken verwendeten. Die Restaurantbesucherin war aufgrund der Vorgaben der damals geltenden Corona-Verordnung zur Offenlegung ihrer Kontaktdaten verpflichtet. Auch die Patientinnen, die einen Corona-Test durchführen lassen wollten, mussten ihre personenbezogenen Daten zwecks Vertragsdurchführung mitteilen.
Die Mitarbeiter nutzen ihre berufliche Stellung als Kellner und Mitarbeiter eines Testzentrums, um an die persönlichen Daten der Beschwerdeführerinnen zu gelangen und diese für eigene Zwecke zu verwenden. Dies stellt einen so genannten Mitarbeiter:innenexzess dar, bei dem das eigennützige Handeln der Beschäftigten nicht den jeweiligen Arbeitgeber:innen zugerechnet wird. Die ihre berufliche Stellung zu privaten Zwecken ausnutzenden Beschäftigten müssen deshalb selbst als Verantwortliche im Sinne des Artikel 4 Nummer 7 DSGVO für die durch sie begangenen Datenschutzverletzungen einstehen.
Quelle: LfDI der Freien Hansestadt Bremen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks