Verwarnung wegen Mitarbeiterexzess

Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung ist.

Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten:

  • ohne dass eine Kenntnis oder Anweisung der Geschäftsführung
  • oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind.

Ausnahme: Beschäftigter geriert sich als Verantwortlicher (Mitarbeiterexzess)
In bestimmen Fällen kann aber auch der Arbeitnehmer unmittelbar Adressat einer aufsichtsbehördlichen (Sanktions-)Maßnahme sein. Dafür muss der Beschäftigte „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO zu qualifizieren sein. Die DSK hat in seiner oben erwähnten  Entschließung vom 3.4.2019 betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.

So hatte der LfDI Baden-Württemberg bspw. bereits 2019 gegen einen Polizeibeamten eine Geldbuße in Höhe von 1.400,- Euro verhängt. Dieser hatte dienstlich erlangte personenbezogener Daten zu privaten Zwecken verarbeitet. Es handelte sich dabei um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten DS-GVO und des neuen Landesdatenschutzgesetzes (LDSG).
Der Polizeibeamte hatte in diesem Fall ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten bezüglich des Kfz-Kennzeichens einer privaten Zufallsbekanntschaft abgefragt. Mit den so gewonnenen Personalien führte er im Anschluss eine so genannte SARS-Anfrage bei der Bundesnetzagentur durch, bei welcher er neben den Personendaten der Geschädigten auch die dort hinterlegten Festnetz- und Mobilfunknummern erfragte. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.

Die NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit, Bettina Gayk, schildert in ihrem ersten Bericht einen vergleichbaren Fall des sog. Mitarbeiterexzesses (Ziffer 10.13).

In einem der geschilderten Fälle hatte die betroffene Person eine Klinik für eine medizinische Behandlung aufgesucht. Insoweit lagen der Klinik unter anderem der Vor- und Nachname der betroffenen Person vor. Die zuständigen Ärzt:innen der Klinik hatten somit aufgrund des Behandlungsverhältnisses Kenntnis von diesen Informationen. Eine dieser Personen hat den Vor- und Nachnamen sodann genutzt, um die betroffene Person später im Sozialen Netzwerk Facebook zu suchen und auf privater Ebene zu kontaktieren.

In einem anderen Fall hatte die betroffene Person sich auf eine Arbeitsstelle beworben. Aus den Bewerbungsunterlagen ergab sich auch die private Mobilfunknummer. Es fand ein persönliches Vorstellungsgespräch statt; ein Beschäftigungsverhältnis ergab sich jedoch nicht. Eine Person, die bei dem potenziellen Arbeitgeber Zugriff auf die Bewerbungsunterlagen hatte, nutzte später die private Mobilfunknummer der betroffenen Person für eine Kontaktaufnahme über den Messenger WhatsApp. Auch diese Kontaktaufnahme geschah aus privater Motivation heraus.

In beiden Fällen wurde von der LDI NRW in Anbetracht der Gesamtumstände eine Verwarnung ausgesprochen. Diese richtete sich gegen die jeweils handelnde natürliche Person, die in diesen Fällen als datenschutzrechtlich Verantwortlicher einzuordnen war. Da die jeweiligen Daten nur zu beruflichen Zwecken hätten verarbeitet werden dürfen, lag die Nutzung zu rein privaten Zwecken nicht im Bereich der dienstlichen Befugnisse. Diese Datenverarbeitung war daher nicht dem jeweiligen Arbeitgeber zuzurechnen.

Keine Rechtsgrundlage und keine Ausnahmeregelung für private Datenverarbeitung
Für die dienstlich erlangen aber privat genutzten Daten konnte aus Sicht der LDI NRW weder eine Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO), noch eine Legitimierung aus einer sog. Interessenabwägung (Art. 6 Abs. 1 lit. f) DS-GVO) zu Felde geführt werden.
Vielmehr hätten die natürlichen Personen über die Zwecke und Mittel der Datenverarbeitung bestimmt und waren daher selbst Verantwortliche. Es lag nach Auffassung der LDI NRW auch keine Ausnahme vom Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) vor. Diese finde zwar gemäß ihres Art. 2 Abs. 2 lit. c) DS-GVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Dies soll nach Erwägungsgrund 18 Satz 1 DS-GVO der Fall sein, wenn die Verarbeitung ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Hier seien jedoch jeweils Daten genutzt worden, die den handelnden Personen gerade aufgrund deren beruflicher Tätigkeit bekanntgeworden bzw. verfügbar waren. Die Verwendung der Daten war daher zwar privat motiviert, stand aber zugleich in einem Bezug zur beruflichen Tätigkeit, so die LDI NRW in ihrem Bericht.

Gesamtschuldnerische Haftung
Ist der Beschäftigte im Rahmen eines Mitarbeiterexzess als eigener Verantwortlicher zu betrachten und ist er gegenüber der betroffenen Person schadensersatzpflichtig nach Art. 82 Abs. 1 DS-GVO, können und werden Betroffene ihre Ansprüche in der Regel auch gegen das Unternehmen richten. Das Unternehmen könnte gesamtschuldnerisch mithaften. Art. 82 Abs. 2 DS-GVO erweitert den Schuldnerkreis auf „jeden an einer Verarbeitung beteiligten Verantwortlichen“. Das Unternehmen als Verantwortlicher muss dabei nicht zwingend selbst die schädigende Handlung vorgenommen haben.
Muss der Arbeitgeber Schadensersatz nach Artikel 82 DS-GVO aufgrund eines Verstoßes eines seiner Beschäftigten leisten, so kann er im Anschluss ggf. den Arbeitnehmer unter Beachtung der oben genannten Grundsätze in Regress nehmen.
Das Unternehmen dürfte in den Fällen, in denen um die Frage geht, ob die Datenschutzverletzung das Ergebnis eines Organisationsversagens oder eines Mitarbeiterexzesses geht, präventiven Schutz gegen Bußgelder oder Schadensersatzansprüche dadurch erlangen können, in dem das Unternehmen ausreichende Datenschutz-Sensibilisierungsmaßnahmen für die Beschäftigten sowie klare Anweisungen/Richtlinien zum Umgang mit personenbezogenen Daten nachweisen kann. Bei entsprechender Schulung der Beschäftigten und verbindlichen und transparenten Anweisungen für den datenschutzkonformen Umgang (und idealerweise der Kontrolle der Anweisungen) wird sich ein Unternehmen sowohl gegen Bußgelder als auch gegen Verwarnungen der Aufsichtsbehörde wehren können und die Maßnahmen werden sich in der Regel entsprechend bei der Einordnung des Verschuldensgrades im Rahmen der internen Haftungsbegrenzung zwischen Arbeitgeber und Beschäftigten auswirken.

(Foto: Robert Kneschke – stock.adobe.com)


Letztes Update:12.09.21

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren