Ich würde es auch so machen: nochmal weniger durch die Blume sagen, dass das nicht ok ist, selbst wenn man ohne böse Absichten da was liest, aber der Chef ist da rigoros und wenn das iRd regelemäßigen Reportings rauskommt, dann könnts enge für die ach so tolle und liebe Kollegin werden und man möchte sie aber nicht als Kollegin verlieren (wenn dem dann so ist!).
Und als guten Chef stelle ich mir dann jemanden vor, der nicht gleich grundlos kündigt, sondern erst einmal den betroffenen AN oder ANin anhört. Dann kann man noch immer entscheiden, was man macht. Kommt dann ein "Tut mir wahnsinnig Leid, kommt nicht mehr vor.", kann man ermahnen oder aufgrund des Datenschutzverstoßes abmahnen und wenn so ein Verstoß nochmal vorkommt: "Und Tschüss!". Nur ein schlechter Chef kündigt gleich ohne Weiteres IMHO!
Und warum sollte die neue Kollegin oder alle anderen evtl. kein Bußgeld bezahlen müssen? Ich verstehe das anders.
Hier in Bayern heißts:
"Art. 23
Ordnungswidrigkeiten, Strafvorschrift
(zu Art. 84 DSGVO)
(1) Mit Geldbuße bis zu dreißigtausend Euro kann belegt werden, wer personenbezogene Daten, die durch eine öffentliche Stelle im Sinne des Art. 1 Abs. 1, 2 oder Abs. 4 verarbeitet werden und nicht offenkundig sind,
1.
unbefugt
a)
speichert, verändert oder übermittelt,
b)
zum Abruf mittels automatisierten Verfahrens bereithält oder
c)
abruft oder sich oder einem anderen aus Dateien verschafft oder
2.
durch unrichtige Angaben erschleicht."
Wenn ein Arbeitnehmer eigenmächtig und unbefugt Daten aufruft, ist er doch Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Oder?
Und dann richten sich Bußgelder nach Art. 83 DSGVO und Ansprüche bzgl. Schadensersatz nach Art. 82 DSGVO. Oder?