Datenschutzverstöße durch „Mitarbeiterexzess“
Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.
Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:
- ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
- oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.
Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.
In seinem 50. Tätigkeitsbericht ( Ziffer 6.3) schildert der Hessische Datenschutzbeauftragte mehrere Fälle des sog. Mitarbeiterexzesses, die dazu führten, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt wurden. Dabei ging es beispielsweise um Sachverhalte im Zusammenhang mit der zweckwidrigen Datenverwendung aus den sogenannten „Corona-Listen“ in der Gastronomie oder in Corona-Testcentern durch die dortigen Mitarbeiter und um Verstöße durch hessische Polizeibedienstete.
Beispiel:
Ein Polizeibeamter habe über einen längeren Zeitraum mehrere Personen aus seinem familiären Umfeld ohne dienstlichen Anlass in diversen polizeilichen und der Polizei zur Verfügung stehenden Systemen abgefragt. Die Verstöße habe die Behörde mit Geldbußen in Höhe von insgesamt 1.800,00 Euro geahndet. Diese Datenschutzverletzung hätte für den Täter auch eine strafrechtliche Dimension haben können, wenn das eingeleitete Ermittlungsverfahren wegen des Verdachts der Verletzung von Privatgeheimnissen (§ 203 StGB) zum Nachweis geführt hätte, dass die durch die Abfragen erlangten Daten an Dritte weitergegeben wurden.
Der Tätigkeitsbericht enthält zahlreiche ausgesuchte Fälle aus dem „Polizeialltag“, die unter den Begriff des Mitarbeiterexzesses subsumiert wurden.
Auch im Zusammenhang mit sog. der Verwendung der Kontaktnachverfolgungsdaten in der Corona-Phase ergaben sich Fälle des Mitarbeiterexzesses als Gäste zweckwidrig durch Zuhilfenahme der durch sie hinterlassenen Daten im Nachgang ihres Besuches kontaktiert wurden. Hier sah die Behörde einen einen Verstoß gegen den Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b) DS-GVO dar, der nach Art. 83 Abs. 5 lit. a) DS-GVO geahndet wurde.
(Foto: zinkevych – stock.adobe.com)
Letztes Update:20.06.22
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
940,10 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 95: Ein „KI-Seepferdchen“ für alle – Befähigung und Schutz in der digitalen Welt
Das „KI-Seepferdchen“ wurde von der unabhängigen Expertenkommission „Kinder und Jugendschutz in der digitalen Welt“ im Juni 2026 als Maßnahme vorgeschlagen. Es geht darum, Kinder schon im Grundschulalter mit den Möglichkeiten und Risiken von KI in Form von Chatbots vertraut zu machen. Die Vermittlung von KI-Kompetenz ist eine Rechtspflicht auch für Schulen und Schulträger. Die Expertenkommission
Mehr erfahren -
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren




