Regelmäßig ist in den Nachrichten von neuen Rekord-Bußgeldern gegen Unternehmen aufgrund von Verstößen gegen die Datenschutzgrundverordnung („DSGVO“) die Rede. Erst im Dezember verhängte der Bundesdatenschutzbeauftragte ein Millionenbußgeld gegen das Telekommunikationsunternehmen 1&1.
Hintergrund dessen war, dass Mitarbeiter an der Telefon-Hotline personenbezogene Daten von Kunden an Anrufer weitergegeben hatten, ohne deren Identität ausreichend zu überprüfen.
Zeit, sich also einmal genauer anzuschauen, ob auch Beschäftigte persönlich für Datenschutzverstöße im Rahmen der beruflichen Tätigkeit haften.
Um es vorweg zu nehmen. Keine Panik! Eine persönliche Haftung des Mitarbeiters bleibt die Ausnahme. Und auch die Höhe der Haftung wird sich im Rahmen halten. Doch der Reihe nach:
Wer haftet im Rahmen der DSGVO?
Die DSGVO sieht bei datenschutzrechtlichen Verstößen die Möglichkeit vor, dass die zuständige Aufsichtsbehörde ein Bußgeld nach Artikel 83 DSGVO verhängt. Daneben können betroffene Personen auch einen Schadensersatzanspruch nach Artikel 82 DSGVO geltend machen.
Für einen Schadensersatzanspruch oder ein Bußgeld genügt dabei ein Verstoß gegen die Verordnung selbst oder gegen nationale Rechtsvorschriften im Datenschutzrecht.
Adressat solcher Ansprüche ist zunächst der Verantwortliche, also der Arbeitgeber, für den die Daten verarbeitet werden. Kommt es daher zu einem Datenschutzverstoß und verlangt der betroffene Dritte Schadensersatz nach Artikel 82 DSGVO, so muss er sich zunächst gegen den Arbeitgeber als Verantwortlichen im Sinne von Artikel 4 Nr. 7 DSGVO wenden. Direkt gegen den Mitarbeiter kann der Betroffene also nicht ohne weiteres Vorgehen.
Nichts anderes ergibt sich im Zusammenhang mit einem Bußgeld nach Artikel 83 DSGVO.
Wann haftet der Arbeitnehmer?
Grundsätzlich ist daher festzuhalten, dass für Datenschutzverstöße im Rahmen des Arbeitsverhältnisses erst einmal der Arbeitgeber für Schadensersatzansprüche oder Bußgelder herangezogen wird.
Dennoch können auch Arbeitnehmer im Innenverhältnis mit dem Arbeitgeber für Verstöße haften. Das Arbeitsverhältnis ist aus rechtlicher Sicht ein Schuldverhältnis mit gegenseitigen Rechten und Pflichten. Den Arbeitnehmer treffen dabei Sorgfaltspflichten. Insoweit hat er auch die Einhaltung datenschutzrechtlicher Vorgaben zu beachten. Verstößt der Arbeitnehmer nun gegen die datenschutzrechtlichen Vorgaben und verursacht dadurch einen Schaden beim Arbeitgeber, beispielsweise durch eine Bußgeld- oder Schadensersatzzahlung, so kann auch der Arbeitnehmer dem Arbeitgeber gegenüber im Innenverhältnis haften.
Die Rechtsprechung hat hierzu besondere Haftungsgrundsätze entwickelt. Damit wird der Umfang der Arbeitnehmerhaftung bestimmt. Je nach Verschuldensgrad wird die Haftung des Arbeitnehmers eingeschränkt.
- Bei leichtester Fahrlässigkeit haftet der Arbeitnehmer nicht. Dabei handelt es sich um geringfügige Verstöße, die jedem Arbeitnehmer im Laufe der Zeit passieren können.
- Bei mittlerer Fahrlässigkeit haftet der Arbeitnehmer anteilig. Der genaue Umfang der Haftung richtet sich nach Billigkeits- und Zumutbarkeitsgesichtspunkten. Dabei werden etwa die Höhe des Schadens, der Grad des Verschuldens, die Gefahrgeneigtheit der Arbeit, die Höhe des Arbeitsentgelts, die Versicherbarkeit des Risikos, aber ggf. auch persönliche Umstände berücksichtig.
- Bei grober Fahrlässigkeit haftet der Arbeitnehmer grundsätzlich voll. Eine Haftungseinschränkung ist jedoch möglich, wenn der Verdienst des Arbeitnehmers in einem deutlichen Missverhältnis zum Schadensrisiko der Tätigkeit steht. Als Haftungsobergrenze werden dabei regelmäßig drei Bruttomonatsgehälter vorgeschlagen.
- Nur bei Vorsatz, wenn der Arbeitnehmer als vorsätzlich handelt und den Schaden auch vorsätzlich verursacht, haftet er vollumfänglich.
Haftet der Arbeitnehmer also nie unmittelbar?
Auch der Arbeitnehmer kann unmittelbar haften und auch ein Bußgeld erhalten, wenn er der „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO ist. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einer Entschließung vom 3.4.2019 betont, dass sogenannte „Exzesse“ der Beschäftigten, die bei verständiger Würdigung nicht der unternehmerischen Tätigkeit zugeordnet werden können, nicht von der Haftung des Unternehmens erfasst sind.
Verfolgt der Mitarbeiter demnach eigene Zwecke und wird so zum datenschutzrechtlichen Verantwortlichen nach Art. 4 Nr. 7 DSGVO, so droht dem Mitarbeiter bei Datenschutzverstößen ein Bußgeld der Aufsichtsbehörde und/oder ein Schadensersatzanspruch der Betroffenen.
Und was kann der Arbeitgeber machen?
Muss der Arbeitgeber Schadensersatz nach Artikel 82 DSGVO aufgrund eines Verstoßes eines seiner Beschäftigten leisten, so kann er im Anschluss ggf. den Arbeitnehmer unter Beachtung der oben genannten Grundsätze in Regress nehmen.
Auf ein Organisationsverschulden des Arbeitgebers kommt es für den Haftungsumfang des Unternehmens im Außenverhältnis zwar nicht an, doch bietet sich ein präventiver Schutz gegen Bußgelder und Schadensersatzansprüche, wenn Mitarbeiter für das Thema „Datenschutz“ sensibilisiert werden. Führen Sie daher Mitarbeiterschulungen durch und geben Sie klare Anweisungen zum Umgang mit personenbezogenen Daten. Wurden die Mitarbeiter entsprechend geschult und angewiesen, wirkt sich dies zudem entsprechend bei der Einordnung des Verschuldensgrades im Rahmen der internen Haftungsbegrenzung zwischen Arbeitgeber und Beschäftigten aus.
Fazit
Es gibt keinen Grund, um in Panik zu verfallen. Dennoch sollten Arbeitnehmer im Hinterkopf behalten, dass eigene Datenschutzverstöße haftungsrechtliche (Bußgelder, Schadensersatzansprüche) und weitere arbeitsrechtliche Konsequenzen (Abmahnung, Kündigung) nach sich ziehen können. Der Datenschutz sollte daher weder von Arbeitgebern noch von Arbeitnehmern „auf die leichte Schulter genommen werden“.