Wer haftet bei einem DSGVO-Verstoß durch Angestellte – der Arbeitnehmer selbst oder doch der Arbeitgeber?
Die DSGVO sieht in Art. 82 bei Datenschutzverstößen einen Schadenersatzanspruch wegen materiellen oder immateriellen Schäden vor. Zudem können Aufsichtsbehörden bei nennenswerten Verstößen gegen die DSGVO Bußgelder verhängen. Liesen Sie hier, gegen wen die nennenswertesten Bußgelder im Jahr 2020 verhängt wurden und hier, wie MKM Sie bei der Vermeidung von Bußgeldern unterstützt.
Bußgelder sind ein zentrales Mittel, um die Durchsetzung des Datenschutzrechts zu verbessern. Adressat eines solchen Bußgeldes und eines Schadenersatzanspruches ist der für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter. Dies ist in der Regel das Unternehmen als Arbeitgeber.
Wann haftet der Arbeitgeber bei DSGVO-Verstößen?
Nach der Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Diese Haftung ergibt sich aus der Anwendung des sog. funktionalen Unternehmensbegriffs des europäischen Primärrechts (Art. 101, 102 AEUV – Vertrag über die Arbeitsweise der Europäischen Union).
Erwägungsgrund 150 der DSGVO nimmt für die Verhängung von Bußgeldern wegen Datenschutzverstößen gegen Unternehmen klarstellend darauf Bezug. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:
- ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
- oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.
Wann haftet der Arbeitnehmer selbst bei DSGVO-Verstößen?
Verarbeiten Beschäftigte jedoch personenbezogene Daten, indem sie eigene Zwecke verfolgen und Handlungen vornehmen, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind, werden sie dadurch zu Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO. Aufsichtsbehörden können dann auch gegen sie ein Bußgeld verhängen. Das Unternehmen ist für diese Abrufe nicht datenschutzrechtlich verantwortlich, sofern es sie nicht billigt oder duldet.
Klassische Anwendungsfälle des Mitarbeiterexzesses sind Konstellationen, in denen auf berufliche Dateien zugegriffen wird, um die somit erlangten Informationen zu privaten Zwecken zu nutzen. So hat ein Polizeibeamter in Baden-Württemberg die polizeilichen Datenbanken genutzt, um eine Zufallsbekanntschaft zu ermitteln. Gegen ihn hat der LfDI (Landesbeauftragte für Datenschutz und Informationsfreiheit) Baden-Württemberg ein Bußgeld i.H.v. 1.400,- EUR verhängt. Mehr dazu finden Sie hier. Der LfDI kam zu dem Ergebnis, dass dieses Handeln nicht mehr der Polizeibehörde zugerechnet werden kann. Vielmehr hat der Polizeibeamte selbst den Zweck der Verarbeitung festgelegt.
Als Exzess ist auch das Handeln einer Mitarbeiterin eines Kreditinstitutes einzustufen, die Kontoinformationen zu eigenen Familienmitglieder abgerufen hat, um diese für zivilrechtliche Streitigkeiten zu nutzen. Der Vorgang ist durch die Auswertung von Protokollen aufgefallen. Die Folge war ein Bußgeld der zuständigen Datenschutzbehörde gegen die Mitarbeiterin.
Was droht den Angestellten bei einem solchen Fehlverhalten?
Eigenmächtiges Fehlverhalten von Mitarbeitern führen i.d.R. zu meldepflichtigen Verletzungen des Schutzes personenbezogener Daten gem. Art. 33 Abs. 1 DSGVO. Eine solche Verletzung liegt bei unbefugter Offenlegung bzw. unbefugtem Zugang zu personenbezogenen Daten vor. Der Mitarbeiter darf nur auf Daten zugreifen, soweit er sie für seine Aufgabenerfüllung benötigt. Auch ist der vertrauliche Umgang mit personenbezogenen Daten eine Nebenpflicht zum Arbeitsvertrag. Beim Aufrufen einer Datei zu persönlichen Zwecken überschreitet der Mitarbeiter seine Zugriffsberechtigung und begeht somit eine Verletzung des Schutzes personenbezogener Daten und somit einen DSGVO-Verstoß. Darüber sind dann je nach Höhe des Risikos für die betroffenen Personen in der Regel die zuständige Datenschutzbehörde und ggf. die Betroffenen zu informieren.
Wird ein Mitarbeiter im Exzess eigener Verantwortlicher, ist er gegenüber der betroffenen Person schadensersatzpflichtig nach Art. 82 Abs. 1 DSGVO. Betroffene werden ihre Ansprüche jedoch meist auch gegen das Unternehmen richten. Das Unternehmen könnte gesamtschuldnerisch mithaften. Art. 82 Abs. 2 DSGVO erweitert den Schuldnerkreis auf „jeden an einer Verarbeitung beteiligten Verantwortlichen“. Das Unternehmen als Verantwortlicher muss dabei nicht zwingend selbst die schädigende Handlung vorgenommen haben.
Das Unternehmen kann jedoch mitverantwortlich werden, weil es z.B. keine effektiven Sicherungsmaßnahmen eingerichtet hat, wie etwa eine effektive Aufsicht und Protokollierung. Soweit das Unternehmen derartige Anforderungen erfüllt hat, besteht die Möglichkeit der Exkulpation nach Art. 82 Abs. 3 DSGVO. Darüber hinaus kann der Beschäftigte für seine Exzesshandlung oftmals in Regress genommen werden. Dieser wird in der Regel vollumfänglich möglich sein, da ein Mitarbeiterexzess in der Regel mit Vorsatz erfolgt.
Autorin: Rosemarie Popa