Verwarnung wegen Mitarbeiterexzess

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

  • ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
  • oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner oben erwähnten  Entschließung vom 3.4.2019 betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

So hatte der LfDI Baden-Württemberg bspw. bereits 2019 gegen einen Polizeibeamten eine Geldbuße in Höhe von 1.400,- Euro verhängt. Dieser hatte dienstlich erlangte personenbezogener Daten zu privaten Zwecken verarbeitet. Es handelte sich dabei um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten DS-GVO und des neuen Landesdatenschutzgesetzes (LDSG).
Der Polizeibeamte hatte in diesem Fall ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten bezüglich des Kfz-Kennzeichens einer privaten Zufallsbekanntschaft abgefragt. Mit den so gewonnenen Personalien führte er im Anschluss eine so genannte SARS-Anfrage bei der Bundesnetzagentur durch, bei welcher er neben den Personendaten der Geschädigten auch die dort hinterlegten Festnetz- und Mobilfunknummern erfragte. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.

Die NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit, Bettina Gayk, schildert in ihrem ersten Bericht einen vergleichbaren Fall des sog. Mitarbeiterexzesses (Ziffer 10.13).

In einem der geschilderten Fälle hatte die betroffene Person eine Klinik für eine medizinische Behandlung aufgesucht. Insoweit lagen der Klinik unter anderem der Vor- und Nachname der betroffenen Person vor. Die zuständigen Ärzt:innen der Klinik hatten somit aufgrund des Behandlungsverhältnisses Kenntnis von diesen Informationen. Eine dieser Personen hat den Vor- und Nachnamen sodann genutzt, um die betroffene Person später im Sozialen Netzwerk Facebook zu suchen und auf privater Ebene zu kontaktieren.

In einem anderen Fall hatte die betroffene Person sich auf eine Arbeitsstelle beworben. Aus den Bewerbungsunterlagen ergab sich auch die private Mobilfunknummer. Es fand ein persönliches Vorstellungsgespräch statt; ein Beschäftigungsverhältnis ergab sich jedoch nicht. Eine Person, die bei dem potenziellen Arbeitgeber Zugriff auf die Bewerbungsunterlagen hatte, nutzte später die private Mobilfunknummer der betroffenen Person für eine Kontaktaufnahme über den Messenger WhatsApp. Auch diese Kontaktaufnahme geschah aus privater Motivation heraus.

In beiden Fällen wurde von der LDI NRW in Anbetracht der Gesamtumstände eine Verwarnung ausgesprochen. Diese richtete sich gegen die jeweils handelnde natürliche Person, die in diesen Fällen als datenschutzrechtlich Verantwortlicher einzuordnen war. Da die jeweiligen Daten nur zu beruflichen Zwecken hätten verarbeitet werden dürfen, lag die Nutzung zu rein privaten Zwecken nicht im Bereich der dienstlichen Befugnisse. Diese Datenverarbeitung war daher nicht dem jeweiligen Arbeitgeber zuzurechnen.

Keine Rechtsgrundlage und keine Ausnahmeregelung für private Datenverarbeitung
Für die dienstlich erlangen aber privat genutzten Daten konnte aus Sicht der LDI NRW weder eine Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO), noch eine Legitimierung aus einer sog. Interessenabwägung (Art. 6 Abs. 1 lit. f) DS-GVO) zu Felde geführt werden.
Vielmehr hätten die natürlichen Personen über die Zwecke und Mittel der Datenverarbeitung bestimmt und waren daher selbst Verantwortliche. Es lag nach Auffassung der LDI NRW auch keine Ausnahme vom Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) vor. Diese finde zwar gemäß ihres Art. 2 Abs. 2 lit. c) DS-GVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Dies soll nach Erwägungsgrund 18 Satz 1 DS-GVO der Fall sein, wenn die Verarbeitung ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Hier seien jedoch jeweils Daten genutzt worden, die den handelnden Personen gerade aufgrund deren beruflicher Tätigkeit bekanntgeworden bzw. verfügbar waren. Die Verwendung der Daten war daher zwar privat motiviert, stand aber zugleich in einem Bezug zur beruflichen Tätigkeit, so die LDI NRW in ihrem Bericht.

Gesamtschuldnerische Haftung
Ist der Beschäftigte im Rahmen eines Mitarbeiterexzess als eigener Verantwortlicher zu betrachten und ist er gegenüber der betroffenen Person schadensersatzpflichtig nach Art. 82 Abs. 1 DS-GVO, können und werden Betroffene ihre Ansprüche in der Regel auch gegen das Unternehmen richten. Das Unternehmen könnte gesamtschuldnerisch mithaften. Art. 82 Abs. 2 DS-GVO erweitert den Schuldnerkreis auf „jeden an einer Verarbeitung beteiligten Verantwortlichen“. Das Unternehmen als Verantwortlicher muss dabei nicht zwingend selbst die schädigende Handlung vorgenommen haben.
Muss der Arbeitgeber Schadensersatz nach Artikel 82 DS-GVO aufgrund eines Verstoßes eines seiner Beschäftigten leisten, so kann er im Anschluss ggf. den Arbeitnehmer unter Beachtung der oben genannten Grundsätze in Regress nehmen.
Das Unternehmen dürfte in den Fällen, in denen um die Frage geht, ob die Datenschutzverletzung das Ergebnis eines Organisationsversagens oder eines Mitarbeiterexzesses geht, präventiven Schutz gegen Bußgelder oder Schadensersatzansprüche dadurch erlangen können, in dem das Unternehmen ausreichende Datenschutz-Sensibilisierungsmaßnahmen für die Beschäftigten sowie klare Anweisungen/Richtlinien zum Umgang mit personenbezogenen Daten nachweisen kann. Bei entsprechender Schulung der Beschäftigten und verbindlichen und transparenten Anweisungen für den datenschutzkonformen Umgang (und idealerweise der Kontrolle der Anweisungen) wird sich ein Unternehmen sowohl gegen Bußgelder als auch gegen Verwarnungen der Aufsichtsbehörde wehren können und die Maßnahmen werden sich in der Regel entsprechend bei der Einordnung des Verschuldensgrades im Rahmen der internen Haftungsbegrenzung zwischen Arbeitgeber und Beschäftigten auswirken.

(Foto: Robert Kneschke – stock.adobe.com)


Letztes Update:12.09.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    696.15 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Datenschutzeinführung für Mitarbeiter und Führungskräfte

    Datenschutzeinführung für Mitarbeiter und Führungskräfte

    Daten/Download

    169.99 € Mehr erfahren
  • VW Kamerafahrt

    Millionen-Bußgeld wegen nicht datenschutzkonformer Forschungsfahrten

    Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Volkswagen Aktiengesellschaft eine Geldbuße nach Art. 83 Datenschutz-Grundverordnung (DS-GVO) in Höhe von 1,1 Millionen Euro festgesetzt. Nach Angabe der LfD Niedersachsen sind Ursache des Bußgelds mehrere Verstöße gegen datenschutzrechtliche Bestimmungen in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von

    Mehr erfahren
  • Wächter-Modus Tesla

    „Wächter-Modus“ von Tesla-Fahrzeugen in der Kritik

    Die Firma Tesla bewirbt ihre Fahrzeuge unter anderem damit, dass diese mehrere erweiterte Schutzfunktionen bieten, die einfach zu aktivieren sind. Über das Touchscreen des Fahrzeugs wird dem Fahrer bspw. Zugriff über „Fahrzeug“> „Sicherheit“ auf die einzelnen Funktionen gewährt, um sie einzuschalten.Eines dieser Funktionen ist der sog. „Wächter-Modus“, den Tesla auf seiner Webseite wie folgt beschreibt:„Der

    Mehr erfahren
  • Betroffenenrechte

    Handlungsoptionen und Erfolgsaussichten für Betroffene von Datenschutzverstößen

    Die Einführung der DS-GVO geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die

    Mehr erfahren