Machen Mitarbeiter sich selbständig daran, Informationen zu recherchieren, die für ihre Arbeit und damit für Ihren Arbeitgeber von Nutzen sind, werden häufig datenschutzrechtliche Grenzen übersehen, bspw. bei der Ermittlung möglicher Schädiger des Arbeitgebers, Verknüpfungen und Verkettungen vorgenommen aus unterschiedlichen Datenbanken unterschiedlicher datenschutzrechtlich verantwortlicher Organisationen. In diesen Fällen bleibt der Dienstherr datenschutzrechtlich Verantwortlicher, da die von ihm gesetzte Entscheidungsvorbehalt hinsichtlich der Zwecke und Mittel der Datenverarbeitung unangetastet bleibt.
Auch „Privatexzesse“ sind jedoch möglich, etwa wenn Mitarbeiter aus Eigeninteresse – oder jedenfalls außerhalb des Geschäftsinteresses des Dienstherren – die dienstlich zur Verfügung gestellten Datenbanken und IT-Tools zur Personendatenverarbeitung nutzen – schon „Reinschauen“ genügt.
Für diese Fälle herrscht noch keine Rechtsklarheit. Die deutschen Datenschutzbehörden gehen teilweise, davon aus, dass der bewusst die Grenzen des Datenschutzes aus Eigeninteresse verlassene Mitarbeiter selbst als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO anzusehen ist, wohingegen der Arbeitgeber in Bezug auf derlei „Verarbeitungsexzesse“ weder allein noch gemeinsam mit dem Mitarbeiter Verantwortlicher (und als solcher in der Haftung) sein kann. Andere Behörden sehen den reinen Zugriff ohne Weiterverarbeitung noch nicht als ausreichend für einen Wechsel der Verantwortlichkeit und sind der Auffassung, dass der zweckwidrige Abruf erst ab dem Zeitpunkt zur Verantwortlichkeit führt, in dem die abgerufenen Daten mittels arbeitgeberfremder Ressourcen (wie insbesondere IT-Systemen) weiterverarbeitet werden.
Hat also bspw. eine Gemeinde die betroffene Person in ihrem Recht auf Geheimhaltung verletzt, indem Gemeindemitarbeiter aus privatem Interesse Informationen aus dem Melderegister abgefragt haben? Weitere Beispiele sind die eigenmächtige Verwendung von Kontaktdaten von Bewerbern durch Mitarbeiter der Personalstelle, von Patientenbehandlungsdaten in der Patientenaufnahme einer Klinik, oder von Besuchertelefonnummern am Empfang eines Hotels oder bei Buchungsanfragen an eine Gaststätte.
Unseres Erachtens kann der Arbeitgeber bzw. Dienstherr für derlei Exzesse, wenn sie für ihn nicht vorhersehbar sind, nicht haften. Denn zwar können die Mitarbeiter in diesen Fällen hinsichtlich der konkreten Zwecke und Mittel der Datenverarbeitung entscheiden, dürfen dies aber im Innenverhältnis nicht. Dieser Entscheidungsvorbehalt wird ausgeübt durch den Dienstherrn.
Mitarbeiter, die sich bspw. Zugriffe auf Daten verschaffen, zu denen sie nicht berechtigt sind, oder die Daten für andere Zwecke als für den Arbeitgeber verwenden, sind in Bezug auf die Datenverarbeitung durch den Arbeitgeber in diesen Fällen als Dritte anzusehen. In diesen Fällen wechselt die Verantwortlichkeit und der betreffende Mitarbeiter übernimmt die sich daraus ergebenden Konsequenzen wie Haftung, Bußen und ggfls. weitere Sanktionen (vgl. Art. 83 Abs. 5 DSGVO).
Denn auch die für dienstliche Zwecke bereitgestellten Mittel, wie bspw. IT-Systeme und Datenbanken, werden in die Entscheidung über die Verwendung zu dem privaten Zweck einbezogen und als Mittel zur Zweckerreichung umgewidmet, wodurch die Person, die private Zwecke verfolgt, sich dieses Mittel in ihrer Entscheidung über die bestimmungsgemäße Verwendung zu eigen macht. Der Arbeitgeber hat in dieser Konstellation weder den Zweck noch die Mittel bestimmt, weil die „Exzesstat“ gerade nicht für dienstliche Zwecke erfolgt. Daher ist der Arbeitgeber nicht Verantwortlicher, weder allein noch gemeinsam mit dem rechtswidrig handelnden Mitarbeiter.