Datenschutzverstöße durch „Mitarbeiterexzess“

Mitarbeiterexzess Datenbankabfrage

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

  • ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
  • oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In seinem 50. Tätigkeitsbericht ( Ziffer 6.3) schildert der Hessische Datenschutzbeauftragte mehrere Fälle des sog. Mitarbeiterexzesses, die dazu führten, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt wurden. Dabei ging es beispielsweise um Sachverhalte im Zusammenhang mit der zweckwidrigen Datenverwendung aus den sogenannten „Corona-Listen“ in der Gastronomie oder in Corona-Testcentern durch die dortigen Mitarbeiter und um Verstöße durch hessische Polizeibedienstete.

Beispiel:

Ein Polizeibeamter habe über einen längeren Zeitraum mehrere Personen aus seinem familiären Umfeld ohne dienstlichen Anlass in diversen polizeilichen und der Polizei zur Verfügung stehenden Systemen abgefragt. Die Verstöße habe die Behörde mit Geldbußen in Höhe von insgesamt 1.800,00 Euro geahndet. Diese Datenschutzverletzung hätte für den Täter auch eine strafrechtliche Dimension haben können, wenn das eingeleitete Ermittlungsverfahren wegen des Verdachts der Verletzung von Privatgeheimnissen (§ 203 StGB) zum Nachweis geführt hätte, dass die durch die Abfragen erlangten Daten an Dritte weitergegeben wurden.
Der Tätigkeitsbericht enthält zahlreiche ausgesuchte Fälle aus dem „Polizeialltag“, die unter den Begriff des Mitarbeiterexzesses subsumiert wurden.

Auch im Zusammenhang mit sog. der Verwendung der Kontaktnachverfolgungsdaten in der Corona-Phase ergaben sich Fälle des Mitarbeiterexzesses als Gäste zweckwidrig durch Zuhilfenahme der durch sie hinterlassenen Daten im Nachgang ihres Besuches kontaktiert wurden. Hier sah die Behörde einen einen Verstoß gegen den Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b) DS-GVO dar, der nach Art. 83 Abs. 5 lit. a) DS-GVO geahndet wurde.

(Foto: zinkevych – stock.adobe.com)

Letztes Update:20.06.22

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Personalprozesse datenschutzkonform organisieren

    Personalprozesse datenschutzkonform organisieren

    Seminar

    833.00 € Mehr erfahren
  • Neue SCCerforderlich

    Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

    Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein

    Mehr erfahren
  • Kündigung auf Grund der Verletzung einer „Clean-Desk-Policy“

    Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme,

    Mehr erfahren
  • Identitätsdiebstahl Handesregister

    Handelsregister mit Datenschutzmängeln

    Seit dem 1. August 2022 sind über das Portal „Handelsregister.de“ sämtliche Einträge in den Handels-, Genossenschafts-, Partnerschafts- und Vereinsregistern ohne weitere Einschränkungen kostenfrei abrufbar. Das hat auf dem ersten Blick Vorteile in punkto Transparenz. Das Handelsregister handelt es sich um die zentrale Registerplattform des Bundes für Firmen in Deutschland. Der Umstand, dass die Abrufe aus

    Mehr erfahren