Verwarnung wegen Mitarbeiterexzess

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

  • ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
  • oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner oben erwähnten  Entschließung vom 3.4.2019 betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

So hatte der LfDI Baden-Württemberg bspw. bereits 2019 gegen einen Polizeibeamten eine Geldbuße in Höhe von 1.400,- Euro verhängt. Dieser hatte dienstlich erlangte personenbezogener Daten zu privaten Zwecken verarbeitet. Es handelte sich dabei um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten DS-GVO und des neuen Landesdatenschutzgesetzes (LDSG).
Der Polizeibeamte hatte in diesem Fall ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten bezüglich des Kfz-Kennzeichens einer privaten Zufallsbekanntschaft abgefragt. Mit den so gewonnenen Personalien führte er im Anschluss eine so genannte SARS-Anfrage bei der Bundesnetzagentur durch, bei welcher er neben den Personendaten der Geschädigten auch die dort hinterlegten Festnetz- und Mobilfunknummern erfragte. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.

Die NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit, Bettina Gayk, schildert in ihrem ersten Bericht einen vergleichbaren Fall des sog. Mitarbeiterexzesses (Ziffer 10.13).

In einem der geschilderten Fälle hatte die betroffene Person eine Klinik für eine medizinische Behandlung aufgesucht. Insoweit lagen der Klinik unter anderem der Vor- und Nachname der betroffenen Person vor. Die zuständigen Ärzt:innen der Klinik hatten somit aufgrund des Behandlungsverhältnisses Kenntnis von diesen Informationen. Eine dieser Personen hat den Vor- und Nachnamen sodann genutzt, um die betroffene Person später im Sozialen Netzwerk Facebook zu suchen und auf privater Ebene zu kontaktieren.

In einem anderen Fall hatte die betroffene Person sich auf eine Arbeitsstelle beworben. Aus den Bewerbungsunterlagen ergab sich auch die private Mobilfunknummer. Es fand ein persönliches Vorstellungsgespräch statt; ein Beschäftigungsverhältnis ergab sich jedoch nicht. Eine Person, die bei dem potenziellen Arbeitgeber Zugriff auf die Bewerbungsunterlagen hatte, nutzte später die private Mobilfunknummer der betroffenen Person für eine Kontaktaufnahme über den Messenger WhatsApp. Auch diese Kontaktaufnahme geschah aus privater Motivation heraus.

In beiden Fällen wurde von der LDI NRW in Anbetracht der Gesamtumstände eine Verwarnung ausgesprochen. Diese richtete sich gegen die jeweils handelnde natürliche Person, die in diesen Fällen als datenschutzrechtlich Verantwortlicher einzuordnen war. Da die jeweiligen Daten nur zu beruflichen Zwecken hätten verarbeitet werden dürfen, lag die Nutzung zu rein privaten Zwecken nicht im Bereich der dienstlichen Befugnisse. Diese Datenverarbeitung war daher nicht dem jeweiligen Arbeitgeber zuzurechnen.

Keine Rechtsgrundlage und keine Ausnahmeregelung für private Datenverarbeitung
Für die dienstlich erlangen aber privat genutzten Daten konnte aus Sicht der LDI NRW weder eine Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO), noch eine Legitimierung aus einer sog. Interessenabwägung (Art. 6 Abs. 1 lit. f) DS-GVO) zu Felde geführt werden.
Vielmehr hätten die natürlichen Personen über die Zwecke und Mittel der Datenverarbeitung bestimmt und waren daher selbst Verantwortliche. Es lag nach Auffassung der LDI NRW auch keine Ausnahme vom Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) vor. Diese finde zwar gemäß ihres Art. 2 Abs. 2 lit. c) DS-GVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Dies soll nach Erwägungsgrund 18 Satz 1 DS-GVO der Fall sein, wenn die Verarbeitung ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Hier seien jedoch jeweils Daten genutzt worden, die den handelnden Personen gerade aufgrund deren beruflicher Tätigkeit bekanntgeworden bzw. verfügbar waren. Die Verwendung der Daten war daher zwar privat motiviert, stand aber zugleich in einem Bezug zur beruflichen Tätigkeit, so die LDI NRW in ihrem Bericht.

Gesamtschuldnerische Haftung
Ist der Beschäftigte im Rahmen eines Mitarbeiterexzess als eigener Verantwortlicher zu betrachten und ist er gegenüber der betroffenen Person schadensersatzpflichtig nach Art. 82 Abs. 1 DS-GVO, können und werden Betroffene ihre Ansprüche in der Regel auch gegen das Unternehmen richten. Das Unternehmen könnte gesamtschuldnerisch mithaften. Art. 82 Abs. 2 DS-GVO erweitert den Schuldnerkreis auf „jeden an einer Verarbeitung beteiligten Verantwortlichen“. Das Unternehmen als Verantwortlicher muss dabei nicht zwingend selbst die schädigende Handlung vorgenommen haben.
Muss der Arbeitgeber Schadensersatz nach Artikel 82 DS-GVO aufgrund eines Verstoßes eines seiner Beschäftigten leisten, so kann er im Anschluss ggf. den Arbeitnehmer unter Beachtung der oben genannten Grundsätze in Regress nehmen.
Das Unternehmen dürfte in den Fällen, in denen um die Frage geht, ob die Datenschutzverletzung das Ergebnis eines Organisationsversagens oder eines Mitarbeiterexzesses geht, präventiven Schutz gegen Bußgelder oder Schadensersatzansprüche dadurch erlangen können, in dem das Unternehmen ausreichende Datenschutz-Sensibilisierungsmaßnahmen für die Beschäftigten sowie klare Anweisungen/Richtlinien zum Umgang mit personenbezogenen Daten nachweisen kann. Bei entsprechender Schulung der Beschäftigten und verbindlichen und transparenten Anweisungen für den datenschutzkonformen Umgang (und idealerweise der Kontrolle der Anweisungen) wird sich ein Unternehmen sowohl gegen Bußgelder als auch gegen Verwarnungen der Aufsichtsbehörde wehren können und die Maßnahmen werden sich in der Regel entsprechend bei der Einordnung des Verschuldensgrades im Rahmen der internen Haftungsbegrenzung zwischen Arbeitgeber und Beschäftigten auswirken.

(Foto: Robert Kneschke – stock.adobe.com)


Letztes Update:12.09.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2021-10-06, 08:00 | Stuttgart

    2022-05-12, 08:00 | Frankfurt/M.

    696.15 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Datenschutzeinführung für Mitarbeiter und Führungskräfte

    Datenschutzeinführung für Mitarbeiter und Führungskräfte

    Daten/Download

    169.99 € Mehr erfahren
  • Fax

    Nutzung von Fax-Diensten bei sensiblen Daten unzulässig

    Seit der offiziellen Einführung des Faxdienstes in Deutschland durch die damalige Deutsche Bundespost sind mehr als 40 Jahre vergangen. Der Faxdienst wird in Deutschland damit fast genauso lange genutzt, wie es Videotext (Teletext) gibt. Beide Dienste erfreuen sich in Deutschland eines Nutzerkreises in Millionenhöhe. Geht es nach dem Willen der deutschen Datenschutz-Aufsichtsbehörden geht es einem

    Mehr erfahren
  • Impfstatus

    Impfstatus: Abfrage durch Arbeitgeber

    Der Bundestag hat am Dienstag, 7. September 2021 einstimmig dem von den Koalitionsfraktionen initiierten 30-Milliarden-Euro-Aufbaufonds für die vom Juli-Hochwasser betroffenen Gebiete zugestimmt. Der angenommene Gesetzentwurf, mit dem auch das Infektionsschutzgesetz mit Blick auf die Corona-Pandemie geändert wurde, beinhaltet eine Verpflichtung, bei der Einreise über einen Test-, Impf- oder Genesungsnachweis zu verfügen. Ferner ist in bestimmten Einrichtungen eine Auskunftspflicht der Mitarbeiter

    Mehr erfahren
  • Patientenakte

    „Zwei-Schrank-Modell“ bei Praxisübergabe kann „outgesourced“ werden

    Das Patientengeheimnis ist Grundlage für die Vertrauensbeziehung zwischen Patientin bzw. Patient und Arzt. Gibt ein Arzt seine Praxis auf oder beendet ein Betriebsarzt seine Tätigkeit für einen Betrieb, so stellt sich die Frage, ob und unter welchen Voraussetzungen die vorhandenen Patientenakten vom Nachfolger übernommen werden dürfen (vgl. Allgemeine Informationen zum Thema Patientenkartei bei Praxisbeendigung und

    Mehr erfahren