Wer haftet bei Datenschutzverstößen durch Arbeitnehmer? Der Arbeitgeber oder möglicherweise doch der Arbeitnehmer selbst? Das ist eine zentrale Frage, die sowohl Arbeitnehmer als auch Arbeitgeber im Kontext der datenschutzrechtlichen Vorschriften beschäftigt. Denn bei einem Verstoß können hohe Summen an Bußgeldern durch Aufsichtsbehörden verhängt werden oder Schadensersatzansprüche durch Betroffene geltend gemacht werden. Diese Sanktionen sind zentrales Mittel, um die Durchsetzung des Datenschutzes zu verbessern. Adressat ist dabei der „Verantwortliche“ oder der Auftragsverarbeiter. Dies ist in der Regel der Arbeitgeber. Doch wie sieht es mit der persönlichen Haftung des Arbeitnehmers in Fällen eines Verstoßes aus?.
Haftung bei Datenschutzverstoß nach der DSGVO
Grundsätzlich sieht die DSGVO zwei Möglichkeiten bei Verstößen gegen die DSGVO vor. Zum einen die Verhängung eines Bußgeldes durch die Aufsichtsbehörden nach Art. 83 DSGVO und zum anderen einen Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO. Ausgangspunkt dafür ist der „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO. Danach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nur nach der Definition zu urteilen, könnten darunter sowohl Arbeitgeber als auch der einzelne Arbeitnehmer fallen. Jedoch kann im Ergebnis in der Regel nur der Arbeitgeber als „Verantwortlicher“ angesehen werden, da dieser im Normalfall darüber entscheidet, welche Daten erhoben werden, welchem unternehmerischen Zweck sie dienen und welche dafür notwendigen technischen und organisatorischen Maßnahmen erforderlich sind. Dies ergibt sich auch schon aus den rechtlichen Besonderheiten eines Arbeitsverhältnisses, in dem der Arbeitnehmer grundsätzlich den Weisungen des Arbeitgebers unterliegt und für diesen tätig wird.
Daraus kann geschlossen werden, dass in der Praxis der Arbeitgeber als „Verantwortlicher“ der Haftende ist, auch wenn vielleicht der Arbeitnehmer gegen datenschutzrechtliche Vorschriften verstoßen hat.
Das sieht auch die Datenschutzkonferenz (DSK) so. Nach Meinung der DSK sollen Unternehmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern kein Mitarbeiterexzess vorliegt. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs. Danach sollen Unternehmen für das Fehlverhalten sämtlicher Mitarbeiter haften. Ausgenommen seien solche Handlungen von Beschäftigten, die nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können, sogenannte „Exzesse“.
Ausnahme: Haftung des Arbeitnehmers beim sogenannten Mitarbeiterexzess
In bestimmten Fällen kann also auch der Arbeitnehmer der Haftende sein. Begeht der Arbeitnehmer nämlich einen datenschutzrechtlichen Verstoß in einem „Mitarbeiterexzess“, ist der Arbeitgeber von der Haftung ausgenommen und nicht mehr Adressat des Bußgeldes oder des Schadensersatzanspruchs, sondern alleine der jeweilige Arbeitnehmer. Der sogenannte „Mitarbeiterexzess“ betrifft die Fälle, in denen sich der Arbeitnehmer nicht mehr innerhalb seines arbeitsvertraglich vorgesehenen Aufgabenbereichs bewegt. In solchen Fällen kann eine Zurechnung des Verschuldens auf den Arbeitgeber als nicht sachgerecht empfunden werden, sodass dieser auch nicht mehr „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Dadurch wird der Mitarbeiter im Rahmen des „Mitarbeiterexzesses“ zum „Verantwortlichen“.
Klassische Anwendungsfälle des „Mitarbeiterexzesses“ sind Konstellationen, in denen beispielsweise auf berufliche Dateien zugegriffen wird, um diese erlangten Informationen dann für private Zwecke zu gebrauchen. Hier ist dann der Arbeitnehmer allein verantwortlich. Zwar stellt der Arbeitgeber die Mittel für den Zugriff auf die Informationen zur Verfügung, jedoch nicht für den Zweck, diese für den privaten Gebrauch zu verwenden.
Konsequenzen für den Arbeitnehmer
Wenn der Arbeitnehmer seine Zugriffsberechtigung überschreitet, indem er Dateien zu persönlichen Zwecken zweckentfremdet, verletzt er den Schutz personenbezogener Daten und verstößt damit gegen die DSGVO. Dieses eigenverantwortliche Fehlverhalten von Beschäftigten ist eine meldepflichtige Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO, die dann an die zuständige Aufsichtsbehörde weitergeleitet werden muss. Im Rahmen des „Mitarbeiterexzesses“ ist der Arbeitnehmer dann „Verantwortlicher“ gegenüber der betroffenen Person und macht sich ihr gegenüber nach Art. 82 Abs. 1 DSGVO schadensersatzpflichtig. Betroffene werden jedoch meist ihre Schadensersatzansprüche gegenüber dem Unternehmen an sich geltend machen und nicht gegen den einzelnen Arbeitnehmer.
Das Unternehmen könnte möglicherweise auch mitverantwortlich sein, wenn es gegebenenfalls keine effektiven Sicherungsmaßnahmen eingerichtet hat. Art. 82 Abs. 3 DSGVO sieht jedoch die Möglichkeit der Exkulpation vor. Demnach wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Absatz 2 befreit wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Jedoch wird es im Falle des „Mitarbeiterexzesses“ in der Regel darauf hinauslaufen, dass der Arbeitnehmer dann vollumfänglich in Regress genommen wird, da ein „Mitarbeiterexzess“ normalerweise vorsätzlich erfolgt.
Regress des Arbeitgebers beim Arbeitnehmer
Die derzeitige Rechtsprechung hat eine andere Haltung als die DSK, wenn kein „Mitarbeiterexzess“ vorliegt, aber dennoch ein Datenschutzverstoß durch den Arbeitnehmer erfolgt. Das Arbeitsverhältnis stellt aus rechtlicher Sicht ein Schuldverhältnis dar. Dadurch haben Arbeitnehmer und Arbeitgeber gegenseitige Rechte und Pflichten einzuhalten. Dabei treffen den Arbeitnehmer Nebenpflichten, wie der vertrauliche Umgang mit personenbezogenen Daten und das Einhalten datenschutzrechtlicher Vorschriften. Wenn der Arbeitnehmer jedoch gegen solche Vorschriften verstößt und infolgedessen gegen den Arbeitgeber als „Verantwortlicher“ ein Bußgeld verhängt wird oder dieser Schadensersatz leisten muss, könne der Arbeitgeber vom Arbeitnehmer Regress nehmen.
Grundsätze der Arbeitnehmerhaftung
Bei Berechnung des Umfangs der Arbeitnehmerhaftung nimmt das BAG grundsätzlich eine Differenzierung hinsichtlich der Verantwortlichkeit des Arbeitnehmers vor, um den besonderen Situationen des Arbeitsverhältnisses gerecht zu werden und den Arbeitnehmer nicht mit unverhältnismäßig hohen Summen zu belasten. Dabei geht das BAG so vor, dass es das vorwerfbare Verhalten des Arbeitnehmers anhand verschiedener Abstufungen des Grades der Fahrlässigkeit beurteilt.
Leichte Fahrlässigkeit
Ist dem Arbeitnehmer der Datenschutzverstoß nur leicht fahrlässig passiert, soll dieser nicht haften. Diese stellen leicht entschuldbare Pflichtverstöße dar, die jedem Arbeitnehmer beim Ausüben seiner Tätigkeit unterlaufen können. Der Arbeitgeber habe solche Verstöße hinzunehmen, da der Arbeitnehmer immerhin in „dessen Wirtschafts- und Interessenkreis für diesen“ tätig ist und kleine Fehler jedem Arbeitnehmer passieren können.
Mittlere Fahrlässigkeit
Wenn der Arbeitnehmer mit mittlerer Fahrlässigkeit einen Verstoß gegen datenschutzrechtliche Vorschriften begeht, ist eine anteilige Haftung vorgesehen. Mittlere Fahrlässigkeit liegt vor, wenn der Arbeitnehmer die objektiv erforderliche Sorgfalt außer Acht lässt. Das bedeutet, dass der Arbeitnehmer den Schaden hätte vorhersehen müssen, aber nicht sorgfältig genug war. Bei der Berechnung der Anteile sind die Umstände des Einzelfalls zu beachten. Dabei werden verschiedene Kriterien herangezogen, sodass sich der Umfang des Schadensersatzes beispielsweise an der Höhe des eingetretenen Schadens, dem Grad des Verschuldens und der Gefahrengeneigtheit der konkreten Tätigkeit, die Höhe des Lohns sowie Billigkeits- und Zumutbarkeitskriterien orientiert.
Grobe Fahrlässigkeit
Ist der Datenschutzverstoß des Arbeitnehmers grob fahrlässig verursacht worden, so soll er gegenüber dem Arbeitgeber vollumfänglich haften. Dabei ist jedoch zu beachten, dass es auch hier Haftungsobergrenzen gibt, die sich zum Beispiel am Gehalt des Arbeitnehmers orientieren können.
Übertragung auf die DSGVO
Fraglich ist jedoch, inwieweit sich diese Grundsätze hinsichtlich der datenschutzrechtlichen Besonderheiten auf die DSGVO übertragen lassen. Für die Haftung nach der DSGVO ist maßgeblich, dass ein Verstoß gegen die datenschutzrechtlichen Vorschriften vorliegt. Jedoch sind solche Abstufungen des Grades der Fahrlässigkeit, wie zuvor dargelegt, der DSGVO nicht bekannt. Das bedeutet, man müsste diese Haftungsgrundsätze auf ein System anwenden, das solche Abstufungen gar nicht vorsieht.
Wenn man die DSGVO näher betrachtet, findet sich in Art. 83 Abs. 2 DSGVO eine Berücksichtigung der Umstände des Einzelfalls für die Verhängung von Bußgeldern. Jedoch im Rahmen der Haftung und dem Recht auf Schadensersatz nach Art. 82 DSGVO. In Art. 82 Abs. 5 DSGVO ist zwar normiert, dass im Falle eines Schadensersatzes ein Ausgleich je nach Verschulden zwischen den Verantwortlichen oder Auftragsverarbeitern stattfinden soll. Jedoch entspricht dies gerade nicht dem vorliegenden Fall, da kein Mitarbeiterexzess vorliegt. Daher ist der Arbeitgeber der Verantwortliche und es liegt eben keine gemeinsame Verantwortlichkeit mit dem Arbeitnehmer vor.
Bedeutung für die Arbeitnehmer
Welche Bedeutung hat dies nun für die Arbeitnehmer? Wie dargestellt, stellt sich die Übertragung der Haftungsgrundsätze mit den Abstufungen des Grades der Fahrlässigkeit auf die DSGVO noch recht schwierig dar. Es bleibt abzuwarten, wann und wie Gerichte datenschutzrechtliche Fallbeispiele für mehr Rechtssicherheit und Vorhersehbarkeit entwickeln. Da die DSGVO als Adressat des Bußgeldes oder Schadensersatzes nur den „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO oder den Auftragsverarbeiter vorsieht, wird sich noch zeigen, inwiefern sich die Besonderheiten der DSGVO auswirken werden.
Ausblick
Es wird deutlich, dass noch immer Unklarheiten hinsichtlich der Haftung bestehen. Abzuwarten bleibt, wie die Rechtsprechung in Zukunft solche Konstellationen beurteilen und entscheiden wird. Insbesondere im Hinblick auf die Übertragbarkeit der Haftungsgrundsätze des BAG auf die Besonderheiten der DSGVO würden Fallbeispiele wesentlich zu mehr Rechtssicherheit beitragen. Fest steht jedoch, dass der Arbeitgeber im Grundsatz „Verantwortlicher“ und damit der richtige Adressat von Bußgeldern und Schadensersatzansprüchen ist. Eine Ausnahme davon ist das Vorliegen eines „Mitarbeiterexzess“, bei dem der Arbeitnehmer selbst als Verantwortlicher auftritt. Arbeitnehmer sollten also mit besonderer Vorsicht darauf achten die vom Arbeitgeber zur Verfügung gestellten Daten nicht für private Zwecke zu verwenden. Denn dann ist der Arbeitnehmer vollständig persönlich haftbar und läuft Gefahr sich eventuellen Schadensersatzansprüchen ausgesetzt zu sehen.
