Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) besteht für betroffene Personen die Möglichkeit, Schadensersatzansprüche wegen der Verletzung des Schutzes ihrer personenbezogenen Daten geltend zu machen. Daneben haben Aufsichtsbehörden die Möglichkeit, Bußgelder wegen Verstößen gegen die DSGVO zu verhängen. Durch die Eröffnung dieser Möglichkeiten in der DSGVO wollte der Gesetzgeber die Durchsetzung des Datenschutzrechts stärken. Regelmäßiger Empfänger solcher Schadensersatzansprüche oder Bußgelder ist das Unternehmen. Unter bestimmten Umständen können jedoch auch Arbeitnehmer zur Haftung herangezogen werden.
- Grundsätzlich haftet der Arbeitgeber als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für Datenschutzverstöße.
- Eine Haftung des Arbeitgebers entfällt nur dann, wenn der Arbeitnehmer in einem sog. „Mitarbeiterexzess“ handelt. Ein Mitarbeiterexzess liegt vor, wenn der Arbeitnehmer seinen arbeitsvertraglich definierten Aufgabenbereich überschreitet und objektiv betrachtet nicht mehr für seinen Arbeitgeber handelt.
- Nach der Ansicht des Bundesarbeitsgerichts (BAG) ist eine Haftung des Arbeitnehmers unter Umständen auch außerhalb eines Exzesses möglich.
Schadensersatz UND Bußgelder
Die DSGVO sieht in Art. 82 vor, dass jeder Person, die infolge eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet, ein Anspruch auf Schadensersatz gegen den Verantwortlichen zusteht. Zudem können im Falle von Verstößen gegen die DSGVO aufsichtsbehördliche Bußgelder drohen. Betroffener etwaiger Schadensersatzansprüche oder Bußgelder ist nach der DSGVO grundsätzlich der für die Datenverarbeitung Verantwortliche und/oder ggf. der Auftragsverarbeiter Verantwortlicher i.S.d. DSGVO.
Für eine Datenverarbeitung verantwortlich ist nach Art. 4 Nr. 7 DSGVO grundsätzlich jede „… natürliche oder juristische Person, … die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.“. In der Praxis ist dies meist das Unternehmen/Organisation. Nach dieser Definition in der DSGVO können allerdings auch einzelne Arbeitnehmer Verantwortliche i. S. d. DSGVO sein.
Grundsatz: Haftung des Arbeitgebers
Nach deutschem Recht haftet grundsätzlich derjenige für einen Schaden, der diesen zu vertreten hat (§ 276 BGB). Allerdings gilt dieses Prinzip der Eigenverantwortung im Rahmen eines Arbeitsverhältnisses nur eingeschränkt. Für Datenschutzverstöße im Rahmen einer Beschäftigung gilt insoweit nichts anderes. So ist in der Regel der Arbeitgeber Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, da er darüber entscheidet, welche Daten zu welchem Zweck erhoben und welche technischen und organisatorischen Maßnahmen in diesem Zusammenhang getroffen werden. Nur in Ausnahmefällen wird der Arbeitnehmer persönlich in Anspruch genommen.
Persönliche Haftung des Arbeitnehmers bei Exzess
Die Datenschutzkonferenz (DSK) als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden vertritt die Auffassung, dass grundsätzlich das Unternehmen für das Fehlverhalten seiner Angestellten haftet. Eine Haftung des Arbeitgebers soll nach Ansicht der DSK ausnahmsweise nur dann entfallen, wenn der Mitarbeiter in einem sogenannten „Exzess“ handelt. Ein solcher Mitarbeiterexzess liegt vor, wenn der Arbeitnehmer seinen arbeitsvertraglich definierten Aufgabenbereich überschreitet und objektiv betrachtet nicht mehr für seinen Arbeitgeber handelt, sodass sein Verhalten nicht mehr der unternehmerischen Tätigkeit zugeordnet werden kann. Verstößt der Arbeitnehmer auf diese Weise gegen Datenschutzrecht, ist er allein potenzieller Adressat von Schadensersatzansprüchen und Bußgeldern, da eine Zurechnung seines Handelns zulasten seines Arbeitgebers in einem solchen Fall entfällt. Klassisches Beispiel eines Mitarbeiterexzesses ist die Nutzung beruflich erlangter personenbezogener Daten zu privaten Zwecken. Beispielfall: Ein Mitarbeiter verschafft sich im Patientenverwaltungssystem die private Anschrift und Handy-Nummer um diesem Patienten privat nachzustellen (Stalking, §238 StGB).
Rechtsprechung des Bundesarbeitsgerichtes
Nach ständiger Rechtsprechung des Bundesarbeitsgerichts (BAG) kann der Arbeitnehmer unter Umständen auch außerhalb eines Exzesses z. B. bei fahrlässiger Verursachung eines Verstoßes zur Haftung herangezogen werden. Das BAG wendet in diesem Zusammenhang eine Differenzierung bzgl. der Verantwortlichkeit an, indem es das vorwerfbare Verhalten des Angestellten an Hand verschiedener Fahrlässigkeitsstufen beurteilt. Aus datenschutzrechtlicher Sicht sollte jedoch berücksichtigt werden, dass der DSGVO eine Abstufung der Fahrlässigkeit unbekannt ist und es für die Haftung für Datenschutzverstöße den Maßstab der DSGVO anzuwenden gilt.
Fazit
Auch den Arbeitnehmer treffen datenschutzrechtliche Sorgfaltspflichten. Daher kann auch dieser unter bestimmten Voraussetzungen zur Haftung wegen eines Datenschutzverstoßes herangezogen werden. Da bei Datenschutzverletzungen der eigenen Mitarbeiter auch das Unternehmen/Organisation regelmäßig in Anspruch genommen wird, sollten diese stets geeignete technische und organisatorische Maßnahmen treffen, z. B. in Form von Aufsichtsmaßnahmen, Einschränkung von Zugriffsrechten oder einer ordentlichen Protokollierung), um das Risiko von Datenschutzverletzungen durch die eigenen Arbeitnehmer zu minimieren und bestenfalls zu eliminieren. Zur Vermeidung von Fehlern beim Umgang mit personenbezogenen Daten ist es zudem ratsam, die eigenen Mitarbeiter für das Thema Datenschutz zu sensibilisieren und regelmäßig zu schulen. Denn für den Fall, dass das Unternehmen ausreichende Maßnahmen ergriffen hat, sieht die DSGVO in Art. 82 Abs. 3 eine Exkulpationsmöglichkeit vor.
Neueste Kommentare