Datenschutzverstöße durch „Mitarbeiterexzess“

Mitarbeiterexzess Datenbankabfrage

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

  • ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
  • oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner Entschließung vom 3.4.2019 (“ Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“) betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

In seinem 50. Tätigkeitsbericht ( Ziffer 6.3) schildert der Hessische Datenschutzbeauftragte mehrere Fälle des sog. Mitarbeiterexzesses, die dazu führten, dass Geldbußen direkt gegen die Beschäftigten des Verantwortlichen verhängt wurden. Dabei ging es beispielsweise um Sachverhalte im Zusammenhang mit der zweckwidrigen Datenverwendung aus den sogenannten „Corona-Listen“ in der Gastronomie oder in Corona-Testcentern durch die dortigen Mitarbeiter und um Verstöße durch hessische Polizeibedienstete.

Ein Polizeibeamter habe bspw. über einen längeren Zeitraum mehrere Personen aus seinem familiären Umfeld ohne dienstlichen Anlass in diversen polizeilichen und der Polizei zur Verfügung stehenden Systemen abgefragt. Die Verstöße habe die Behörde mit Geldbußen in Höhe von insgesamt 1.800,00 Euro geahndet. Diese Datenschutzverletzung hätte für den Täter auch eine strafrechtliche Dimension haben können, wenn das eingeleitete Ermittlungsverfahren wegen des Verdachts der Verletzung von Privatgeheimnissen (§ 203 StGB) zum Nachweis geführt hätte, dass die durch die Abfragen erlangten Daten an Dritte weitergegeben wurden.
Der Tätigkeitsbericht enthält zahlreiche ausgesuchte Fälle aus dem „Polizeialltag“, die unter den Begriff des Mitarbeiterexzesses subsumiert wurden.

Auch im Zusammenhang mit sog. der Verwendung der Kontaktnachverfolgungsdaten in der Corona-Phase ergaben sich Fälle des Mitarbeiterexzesses als Gäste zweckwidrig durch Zuhilfenahme der durch sie hinterlassenen Daten im Nachgang ihres Besuches kontaktiert wurden. Hier sah die Behörde einen einen Verstoß gegen den Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b) DS-GVO dar, der nach Art. 83 Abs. 5 lit. a) DS-GVO geahndet wurde.

(Foto: zinkevych – stock.adobe.com)

Letztes Update:20.06.22

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Personalprozesse datenschutzkonform organisieren

    Personalprozesse datenschutzkonform organisieren

    Seminar

    833.00 € Mehr erfahren
  • Recht auf Löschen

    Orientierungshilfe „Das Recht auf Löschung nach der DS-GVO“

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren
  • GPS-Tracking

    Zwecke für GPS-Tracking im Beschäftigungsverhältnis

    GPS-Tracking im Beschäftigtenverhältnis kann datenschutzrechtlich zulässig sein, soweit die Interessen des Arbeitgebers und das Persönlichkeitsrecht der Beschäftigten in einen angemessenen Ausgleich gebracht werden und es auf das erforderliche Maß beschränkt ist. In seinem 50. Tätigkeitsbericht geht der Hessische Datenschutzbeauftragte auf mögliche Zwecke eines GPS-Trackings ein und schildert anhand eines von der Behörde geprüften Falles, welches

    Mehr erfahren
  • Gastzugang Online-Handel

    GDD-Stellungnahme: Datenschutzkonformer Online-Handel mittels Gastzugang

    Die Gesellschaft für Datenschutz und  Datensicherheit (GDD) e.V. hat sich zum DSK‐Beschluss „Datenschutzkonformer Online‐Handel mittels Gastzugang“ im Rahmen einer detaillierten und differenzierten Stellungnahme geäußert.Anlasspunkt für die aktuelle Stellungnahme der GDD sind zum einen der am 24.03.2022 veröffentlichte DSK‐Beschluss „Datenschutzkonformer Online‐Handel mittels Gastzugang“ sowie zum anderen  die Berichterstattung durch die Tagespresse, dass es im Rahmen der DSK Bestrebungen gebe, den  Handel mit Adressen einzuschränken. Mit ihrer Stellungnahme möchte die GDD zu einem differenzierten und  sachlichen Diskurs über die Verarbeitung personenbezogener Daten zum Zwecke der Werbung und  des Adresshandels beitragen.   Anders als das BDSG a.F. enthalte die DS-GVO keinen spezifischen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten für Werbezwecke. Entscheidend seien damit die allgemeinen Erlaubnistatbestände, insbesondere Art. 6 Abs. 1 lit. f DS-GVO (sog. 

    Mehr erfahren