Im Falle eines Datenschutzverstoßes kann die zuständige Aufsichtsbehörde ein Bußgeld gegen das verantwortliche Unternehmen verhängen. Aber auch Beschäftigte, die gegen Datenschutzbestimmungen verstoßen, müssen arbeitsrechtliche Konsequenzen fürchten.
Der Inhalt im Überblick
Arbeitnehmerhaftung für Datenschutzverstöße?
Grundsätzlich haftet das Unternehmen gegenüber Dritten für das Fehlverhalten seiner Beschäftigten. Auch ist das Unternehmen als verantwortliche Stelle zunächst Adressat des behördlichen Bußgeldes nach Art. 83 DSGVO. Doch kann dieses dann seine Mitarbeiter in Regress nehmen? Innerhalb eines Arbeitsverhältnisses gelten besondere Haftungsgrundsätze. Im Rahmen des sog. innerbetrieblichen Schadensausgleichs kann die Haftung zwischen Arbeitnehmer und Arbeitgeber aufgeteilt werden. Die jeweiligen Anteile richten sich nach dem Grad des Verschuldens also der Vorwerfbarkeit des Arbeitnehmerverhaltens. Hierbei wird unterschieden:
- Leichte Fahrlässigkeit: Der Arbeitnehmer haftet nicht.
- Mittlere Fahrlässigkeit: Die Haftung wird zwischen Arbeitgeber und Arbeitnehmer aufgeteilt.
- Grobe Fahrlässigkeit: Der Arbeitnehmer haftet grundsätzlich in voller Höhe.
- Vorsatz: Bei absichtlichem Handeln haftet der Arbeitnehmer in voller Höhe.
Um an dieser Stelle nicht unnötig Panik zu schüren: In der Regel bewegen sich Verstöße im Bereich der leichten Fahrlässigkeit. Eine persönliche Haftung der Beschäftigen ist daher in der Praxis eher die Ausnahme.
Achtung vor dem Mitarbeiterexzess
Es gibt jedoch Fälle, in denen das Unternehmen selbst nicht mehr Empfänger eines Bußgeldes sein kann. Begeht der Arbeitnehmer den Verstoß etwa außerhalb seiner dienstlichen oder arbeitsvertraglichen Pflichten und handelt daher objektiv nicht für seinen Arbeitgeber, sondern für sich selbst, spricht man von einem sogenannten Mitarbeiterexzess. In solch einem Fall kann der Arbeitgeber nicht mehr als datenschutzrechtlich Verantwortlicher angesehen werden. Das Lehrbuchbeispiel hierfür ist ein Polizeibeamter, der die hauseigenen Datenbanken nutzte, um Kontaktdaten einer privaten Bekanntschaft zu ermitteln und für sich selbst zu nutzen.
Ein Fehlverhalten kann arbeitsrechtliche Folgen haben
Gleichwohl können Verstöße gegen Datenschutzbestimmungen arbeitsrechtliche Konsequenzen wie Abmahnungen oder Kündigungen nach sich ziehen:
So hat das Landesarbeitsgericht Köln in einem Fall entschieden, dass das Lesen und Ausdrucken von offensichtlich an einen Kollegen gerichteten E-Mail sowie das Kopieren privater Chatverläufe eines Kollegen und deren Weitergabe an Dritte eine außerordentliche fristlose Kündigung rechtfertigen kann.
Bereits 2016 urteilte das Landesarbeitsgericht Berlin-Brandenburg, dass die massenhaften Abrufe von Meldedaten durch eine Mitarbeiterin eine außerordentliche Kündigung rechtfertigen, auch wenn sie nur einen kleinen Personenkreis betreffen und aus reiner Neugier erfolgt sind.
Wann eine Abmahnung oder Kündigung gerechtfertigt ist, wir aufgrund der Vielfalt denkbarer Verstöße von der Rechtsprechung nicht einheitlich beantwortet. Es ist daher stets im Einzelfall zu entscheiden, wie schwer der Verstoß das Vertrauensverhältnis beschädigt hat.
Vorsorge verhindert Datenschutzverstöße
Unternehmen sind verpflichtet, personenbezogene Daten ihrer Mitarbeiter und Kunden zu schützen und sicherzustellen, dass diese Daten nicht rechtswidrig verarbeitet werden. Verstöße können zu hohen Geldstrafen für das Unternehmen führen und persönliche Folgen für die Beschäftigten haben. Es ist daher wichtig, dass Beschäftigte sich der Risiken bewusst sind.
Als Unternehmen können Sie sich und ihre Beschäftigten vor Datenschutzverstößen schützen, indem folgende Maßnahmen ergriffen werden:
- Risiko- und Sicherheitsbewusstsein entwickeln:
Es ist wichtig, sich des Risikos bewusst zu sein, das mit der Verarbeitung von mitunter sensiblen, personenbezogenen Daten verbunden ist. Datenschutz sollte daher von der Unternehmensführung ernst genommen und vorgelebt werden. - Schulungen:
Unternehmen sollten regelmäßig Schulungen zum Thema Datenschutz und IT-Sicherheit anbieten. - IT-Sicherheit und Prozesse:
Bei der Verarbeitung sollte stets ein ganzheitlicher Blick auch bezüglich der technischen Sicherheit von Daten gewahrt werden. Richtlinien und fest definierte Prozesse unterstützen eine geordnete, nachweisbare Verarbeitung.
Indem frühzeitig Maßnahmen ergriffen werden, können Datenschutzverstöße am Arbeitsplatz vermieden und prozessuale Schwächen erkannt werden, bevor das Kind in den Brunnen gefallen ist. Bei der Umsetzung kann Sie der betriebliche Datenschutzbeauftragte tatkräftig unterstützen.
Hallo, Sie schreiben im Absatz „Mitarbeiterexzess“: In solch einem Fall kann der Arbeitgeber nicht mehr als datenschutzrechtlich Verantwortlicher angesehen werden. Ich kenne keine Vorschrift in der diese Verantwortung abgegeben wird. Sie vermischen hier Datenschutzrecht und Arbeitsrecht, so schreiben Sie richtiger Weise, dass ein Verstoß arbeitsrechtliche Folgen haben kann. Aber eben nur kann, nicht muss.