Grundsätzlich haften Unternehmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten. Es gibt jedoch Situationen, in denen auch einzelne Beschäftigte mit einem Bußgeld belegt werden bzw. einem Schadensersatzanspruch ausgesetzt sein können. Unter bestimmten Bedingungen können Arbeitgeber das Bußgeld oder den Schadensersatz auch (teilweise) von den Beschäftigten zurückfordern, die den Datenschutzverstoß begangen haben.
In diesem Blogbeitrag wird erläutert, in welchen Fällen Beschäftigte für Fehlverhalten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten persönlich haftbar gemacht werden können.
Beschäftigte im Exzess
Seit Inkrafttreten der DSGVO ist für viele Unternehmen die Sorge vor Bußgeldern ein wesentlicher Anreiz für Datenschutz-Compliance. Nach der DSGVO können Unternehmen für ein Fehlverhalten im Datenschutz mit Bußgeldern in Höhe von bis zu 20.000.000 Euro oder bis zu 4% des weltweiten Jahresumsatzes belegt werden. Darüber hinaus haben Personen, die durch Datenschutzverstöße Schäden erleiden, Anspruch auf Schadensersatz. Adressat dieser Sanktions-Regelungen ist in den meisten Fällen das Unternehmen bzw. die juristische Person, die personenbezogene Daten ihrer Kund:innen oder Beschäftigten verarbeitet.
Eine Situation, in der Beschäftigte für datenschutzrechtliches Fehlverhalten haftbar gemacht werden können, ist der sogenannte „Exzess“. Ein solcher Exzess liegt nach einer Entschließung der Datenschutzkonferenz vor, wenn Beschäftigte personenbezogene Daten in einer Weise verarbeiten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden kann. Das ist zum Beispiel der Fall, wenn Beschäftigte betriebliche Daten und Datenverarbeitungssysteme trotz eines ausdrücklichen Verbots für private Zwecke nutzen. Eine solche Nutzung kann nicht mehr dem Arbeitgeber als Verantwortlichen zugerechnet werden und der bzw. die Beschäftigte wird selbst zum Verantwortlichen nach der DSGVO.
Beispiele:
- Ein Polizeibeamter in Baden-Württemberg erhielt ein Bußgeld in Höhe von 1.400 Euro, weil er Datenbanken des Kraftfahrtbundesamtes und der Bundesnetzagentur, die ihm für seine dienstlichen Aufgaben zur Verfügung gestellt wurden, für die Abfrage von Daten einer Zufallsbekanntschaft nutzte.
- Ein Kellner nutzte die im Rahmen der Corona-Kontaktnachverfolgung erfassten Daten einer Restaurantbesucherin für eine private Kontaktaufnahme. Die zuständige Aufsichtsbehörde in Bremen verhängte ein Bußgeld gegen den Kellner (Link, S. 22 f.).
- Die Bremische Aufsichtsbehörde verhängte ebenfalls ein Bußgeld gegen einen Mitarbeiter eines Corona-Testzentrums, der eine Patientin nach einem Besuch über das soziale Netzwerk Instagram anschrieb (Link, S. 22 f.).
Doch Arbeitgeber sollten sich in solchen Fällen nicht zu sicher fühlen. Wenn das Fehlverhalten auch darauf zurückzuführen ist, dass der Arbeitgeber die Einhaltung des Datenschutzes nicht ausreichend kontrolliert hat oder keine angemessenen Sicherheitsvorkehrungen zur Verhinderung getroffen wurden, kann ihn eine Mitverantwortung treffen. Beim Schadensersatz tritt eine Haftungsbefreiung etwa nur dann ein, wenn nachgewiesen wird, dass in keinerlei Hinsicht eine Verantwortlichkeit für den Schaden bei den Betroffenen gegeben ist. Bezogen auf die Zugriffe auf polizeiliche Datenbanken bedeutet das z.B., dass die Datenabfrage zu protokollieren und zu kontrollieren ist.
Was sollten Unternehmen bei Exzessen tun?
Wenn Unternehmen feststellen, dass Beschäftigte ihre Befugnisse überschreiten und personenbezogene Daten für eigene Zwecke verarbeiten, sollten unbedingt die Vorschriften der DSGVO zu Datenpannen beachtet werden.
Denn auch die unbefugte Offenlegung oder der unbefugte Zugang zu personenbezogenen Daten stellt eine Datenpanne dar. Da Beschäftigte im Exzess ihre Befugnisse überschreiten und somit unbefugt handeln, liegt in diesem Fall zumeist eine Datenpanne vor. Die rechtliche Folge sind Melde- und Dokumentationspflichten. Wie Sie im Falle einer Datenpanne richtig reagieren und welche Fallstricke hier drohen können, können Sie in unserem Beitrag für einen Notfallplan bei Datenschutzpannen nachlesen.
Wie wichtig ein richtiger Umgang mit Exzessen ist, zeigt ein Fall aus Hamburg. Denn die Hamburgische Aufsichtsbehörde verwarnte die Hamburger Polizei, weil sie nicht gemeldet hatte, dass ein Beamter Daten eines unter Tatverdacht stehenden Kollegen über einen kommerziellen Messenger-Dienst verbreitete (Link, S. 22).
Innerbetrieblicher Schadensausgleich
Verstoßen Beschäftigte im Rahmen einer betrieblich veranlassten Tätigkeit gegen Datenschutzvorschriften, kann dies finanzielle Schäden für den Arbeitgeber z.B. durch ein Bußgeld oder einen Schadensersatzanspruch, zur Folge haben. Grundsätzlich besteht in solchen Fällen eine Haftung der oder des Beschäftigten gegenüber ihrem bzw. seinem Arbeitgeber. Nach dem arbeitsrechtlichen Grundsatz des innerbetrieblichen Schadensausgleichs kann die Haftung von Beschäftigten aber in ihrem Umfang beschränkt sein.
Der Umfang dessen, was der Arbeitgeber von Beschäftigten zurückverlangen kann, ist dabei vom Grad des Verschuldens der Beschäftigten abhängig.
- Leichte Fahrlässigkeit: Handeln Beschäftigte leicht fahrlässig, also unterlaufen ihnen gewöhnliche Fehler, müssen sie nicht für Schäden aufkommen. Dies kann z.B. der Fall sein, wenn ein Beschäftigter eine E-Mail mit unsensiblen Daten versehentlich an eine falsche Person sendet.
- Mittlere Fahrlässigkeit: Bei mittlerer Fahrlässigkeit haften Arbeitgeber und Beschäftigte anteilig. Mit welchem Anteil die beiden Parteien jeweils haften, hängt von verschiedenen Faktoren ab (z.B. Höhe des Schadens, Höhe des Gehalts, persönliche Umstände etc.).
- Grobe Fahrlässigkeit: Handeln Beschäftigte grob fahrlässig, haften sie grundsätzlich in vollem Umfang. Allerdings existiert hier in der Regel eine Haftungsobergrenze für die Beschäftigten, sodass ggf. Teile des Bußgelds weiterhin vom Arbeitgeber getragen werden müssen. Eine grobe Fahrlässigkeit könnte etwa dann vorliegen, wenn eine Patientenakte verlorengeht, weil eine Ärztin sie während eines Café-Besuchs unbeaufsichtigt offen liegen ließ.
Im Fall eines Exzesses ist für den Grundsatz des innerbetrieblichen Schadensausgleichs von vornherein kein Raum. Denn in diesem Fall handelt die oder der Beschäftige schon nicht mehr im Rahmen der betrieblich veranlassten Tätigkeit.
Ob die oder der Beschäftigte schuldhaft gehandelt hat und welcher Grad des Verschuldens vorliegt, ist immer eine Frage des Einzelfalls. Zudem ist zu beachten, dass bei dieser Konstellation das Bußgeld bzw. der Schadensersatz initial an den Arbeitgeber gerichtet ist und nach außen von diesem auch zunächst getragen werden muss.
Fazit
Unternehmen sollten die Gefahr von Exzessen ihrer Beschäftigten nicht auf die leichte Schulter nehmen und bereits im Vorfeld datenschutzrechtliche Vorgaben beachten und Maßnahmen ergreifen. Zum einen haben Unternehmen angemessene Vorkehrungen zu treffen, um derartige Fälle zu verhindern und die eigene Haftung durch sinnvolle Maßnahmen zu beschränken. Zum anderen sollten Unternehmen bei Bekanntwerden von Exzessen die Vorgaben zu Datenpannen beachten.
Auch die Möglichkeit des innerbetrieblichen Schadensausgleichs bietet aufgrund der Haftungsobergrenzen und der komplexen Bestimmung des Verschuldensgrads keine signifikante Erleichterung.
Simeon Boltjes, LL.M. ist Wirtschaftsjurist und Legal Consultant bei der Datenschutzkanzlei.