Datenschutzverstöße durch „Mitarbeiterexzess“

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

• ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
• oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In seinem 50. Tätigkeitsbericht ( Ziffer 6.3) schildert der Hessische Datenschutzbeauftragte mehrere Fälle des sog. Mitarbeiterexzesses, die dazu führten, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt wurden. Dabei ging es beispielsweise um Sachverhalte im Zusammenhang mit der zweckwidrigen Datenverwendung aus den sogenannten „Corona-Listen“ in der Gastronomie oder in Corona-Testcentern durch die dortigen Mitarbeiter und um Verstöße durch hessische Polizeibedienstete.

Beispiel:

Ein Polizeibeamter habe über einen längeren Zeitraum mehrere Personen aus seinem familiären Umfeld ohne dienstlichen Anlass in diversen polizeilichen und der Polizei zur Verfügung stehenden Systemen abgefragt. Die Verstöße habe die Behörde mit Geldbußen in Höhe von insgesamt 1.800,00 Euro geahndet. Diese Datenschutzverletzung hätte für den Täter auch eine strafrechtliche Dimension haben können, wenn das eingeleitete Ermittlungsverfahren wegen des Verdachts der Verletzung von Privatgeheimnissen (§ 203 StGB) zum Nachweis geführt hätte, dass die durch die Abfragen erlangten Daten an Dritte weitergegeben wurden.
Der Tätigkeitsbericht enthält zahlreiche ausgesuchte Fälle aus dem „Polizeialltag“, die unter den Begriff des Mitarbeiterexzesses subsumiert wurden.

Auch im Zusammenhang mit sog. der Verwendung der Kontaktnachverfolgungsdaten in der Corona-Phase ergaben sich Fälle des Mitarbeiterexzesses als Gäste zweckwidrig durch Zuhilfenahme der durch sie hinterlassenen Daten im Nachgang ihres Besuches kontaktiert wurden. Hier sah die Behörde einen einen Verstoß gegen den Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b) DS-GVO dar, der nach Art. 83 Abs. 5 lit. a) DS-GVO geahndet wurde.

(Foto: zinkevych – stock.adobe.com)