Verwarnung wegen Mitarbeiterexzess

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

  • ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
  • oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner oben erwähnten  Entschließung vom 3.4.2019 betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

So hatte der LfDI Baden-Württemberg bspw. bereits 2019 gegen einen Polizeibeamten eine Geldbuße in Höhe von 1.400,- Euro verhängt. Dieser hatte dienstlich erlangte personenbezogener Daten zu privaten Zwecken verarbeitet. Es handelte sich dabei um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten DS-GVO und des neuen Landesdatenschutzgesetzes (LDSG).
Der Polizeibeamte hatte in diesem Fall ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten bezüglich des Kfz-Kennzeichens einer privaten Zufallsbekanntschaft abgefragt. Mit den so gewonnenen Personalien führte er im Anschluss eine so genannte SARS-Anfrage bei der Bundesnetzagentur durch, bei welcher er neben den Personendaten der Geschädigten auch die dort hinterlegten Festnetz- und Mobilfunknummern erfragte. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.

Die NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit, Bettina Gayk, schildert in ihrem ersten Bericht einen vergleichbaren Fall des sog. Mitarbeiterexzesses (Ziffer 10.13).

In einem der geschilderten Fälle hatte die betroffene Person eine Klinik für eine medizinische Behandlung aufgesucht. Insoweit lagen der Klinik unter anderem der Vor- und Nachname der betroffenen Person vor. Die zuständigen Ärzt:innen der Klinik hatten somit aufgrund des Behandlungsverhältnisses Kenntnis von diesen Informationen. Eine dieser Personen hat den Vor- und Nachnamen sodann genutzt, um die betroffene Person später im Sozialen Netzwerk Facebook zu suchen und auf privater Ebene zu kontaktieren.

In einem anderen Fall hatte die betroffene Person sich auf eine Arbeitsstelle beworben. Aus den Bewerbungsunterlagen ergab sich auch die private Mobilfunknummer. Es fand ein persönliches Vorstellungsgespräch statt; ein Beschäftigungsverhältnis ergab sich jedoch nicht. Eine Person, die bei dem potenziellen Arbeitgeber Zugriff auf die Bewerbungsunterlagen hatte, nutzte später die private Mobilfunknummer der betroffenen Person für eine Kontaktaufnahme über den Messenger WhatsApp. Auch diese Kontaktaufnahme geschah aus privater Motivation heraus.

In beiden Fällen wurde von der LDI NRW in Anbetracht der Gesamtumstände eine Verwarnung ausgesprochen. Diese richtete sich gegen die jeweils handelnde natürliche Person, die in diesen Fällen als datenschutzrechtlich Verantwortlicher einzuordnen war. Da die jeweiligen Daten nur zu beruflichen Zwecken hätten verarbeitet werden dürfen, lag die Nutzung zu rein privaten Zwecken nicht im Bereich der dienstlichen Befugnisse. Diese Datenverarbeitung war daher nicht dem jeweiligen Arbeitgeber zuzurechnen.

Keine Rechtsgrundlage und keine Ausnahmeregelung für private Datenverarbeitung
Für die dienstlich erlangen aber privat genutzten Daten konnte aus Sicht der LDI NRW weder eine Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO), noch eine Legitimierung aus einer sog. Interessenabwägung (Art. 6 Abs. 1 lit. f) DS-GVO) zu Felde geführt werden.
Vielmehr hätten die natürlichen Personen über die Zwecke und Mittel der Datenverarbeitung bestimmt und waren daher selbst Verantwortliche. Es lag nach Auffassung der LDI NRW auch keine Ausnahme vom Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) vor. Diese finde zwar gemäß ihres Art. 2 Abs. 2 lit. c) DS-GVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Dies soll nach Erwägungsgrund 18 Satz 1 DS-GVO der Fall sein, wenn die Verarbeitung ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Hier seien jedoch jeweils Daten genutzt worden, die den handelnden Personen gerade aufgrund deren beruflicher Tätigkeit bekanntgeworden bzw. verfügbar waren. Die Verwendung der Daten war daher zwar privat motiviert, stand aber zugleich in einem Bezug zur beruflichen Tätigkeit, so die LDI NRW in ihrem Bericht.

Gesamtschuldnerische Haftung
Ist der Beschäftigte im Rahmen eines Mitarbeiterexzess als eigener Verantwortlicher zu betrachten und ist er gegenüber der betroffenen Person schadensersatzpflichtig nach Art. 82 Abs. 1 DS-GVO, können und werden Betroffene ihre Ansprüche in der Regel auch gegen das Unternehmen richten. Das Unternehmen könnte gesamtschuldnerisch mithaften. Art. 82 Abs. 2 DS-GVO erweitert den Schuldnerkreis auf „jeden an einer Verarbeitung beteiligten Verantwortlichen“. Das Unternehmen als Verantwortlicher muss dabei nicht zwingend selbst die schädigende Handlung vorgenommen haben.
Muss der Arbeitgeber Schadensersatz nach Artikel 82 DS-GVO aufgrund eines Verstoßes eines seiner Beschäftigten leisten, so kann er im Anschluss ggf. den Arbeitnehmer unter Beachtung der oben genannten Grundsätze in Regress nehmen.
Das Unternehmen dürfte in den Fällen, in denen um die Frage geht, ob die Datenschutzverletzung das Ergebnis eines Organisationsversagens oder eines Mitarbeiterexzesses geht, präventiven Schutz gegen Bußgelder oder Schadensersatzansprüche dadurch erlangen können, in dem das Unternehmen ausreichende Datenschutz-Sensibilisierungsmaßnahmen für die Beschäftigten sowie klare Anweisungen/Richtlinien zum Umgang mit personenbezogenen Daten nachweisen kann. Bei entsprechender Schulung der Beschäftigten und verbindlichen und transparenten Anweisungen für den datenschutzkonformen Umgang (und idealerweise der Kontrolle der Anweisungen) wird sich ein Unternehmen sowohl gegen Bußgelder als auch gegen Verwarnungen der Aufsichtsbehörde wehren können und die Maßnahmen werden sich in der Regel entsprechend bei der Einordnung des Verschuldensgrades im Rahmen der internen Haftungsbegrenzung zwischen Arbeitgeber und Beschäftigten auswirken.

(Foto: Robert Kneschke – stock.adobe.com)


Letztes Update:12.09.21

  • EU Datenstrategie

    Der DSB im Dickicht der Europäischen Datenstrategie

    Die EU-Datenstrategie ist eine umfassende Initiative der Europäischen Union, die darauf abzielt, den digitalen Binnenmarkt zu stärken und Europa weltweit wettbewerbsfähiger zu machen, indem die Nutzung von Daten gefördert und reguliert wird. Diese Strategie ist ein zentraler Bestandteil der digitalen Transformation Europas und umfasst verschiedene Maßnahmen und Gesetzgebungen, die den rechtlichen Rahmen für den Umgang

    Mehr erfahren
  • Folge 57: KI-Kompetenz Pflichten und Chancen für Unternehmen

    Am 12. Juli 2024 wird die KI-Verordnung im Amtsblatt der EU veröffentlicht und tritt am 1. August 2024 in Kraft. Was ist ein KI-System und was bedeutet es, dass es autonom agiert? Warum kann KI nicht denken und trotzdem sinnvoll in menschlicher Sprache antworten und Fragen stellen? Welche Nutzung von KI-Systemen ist gefahrlos möglich? Wo

    Mehr erfahren
  • Audit Messenger

    Standardisierte Prüfung von Messengern

    Der Europäische Datenschutzausschus (EDSA) hatte bereits auf den Vorschlag des BfDI die Umsetzung des Auskunfsrechts durch die für die Verarbeitung Verantwortlichen gemäß Art. 15 DS-GVO als Thema für seine dritte koordinierte Durchsetzungsmaßnahme in 2024 beschlossen. Die koordinierten Maßnahmen erfolgen auf Basis des Beschlusses des EDSA aus Oktober 2020, einen koordinierten Durchsetzungsrahmen (Coordinated Enforcement Framework –

    Mehr erfahren