Wir erhielten kürzlich eine Nachfrage, ob Arbeitnehmer eine Vereinbarung unterschreiben müssen, nach der sie bei Verstößen gegen die DSGVO privat haften. Müssen jetzt auch die Arbeitnehmer Bußgelder der Aufsichtsbehörden fürchten?
Der Inhalt im Überblick
Fragen eines Arbeitnehmers
Wir erhielten diesen Kommentar eines Lesers:
„Ich bin in einer kleinen Firma in Teilzeit angestellt und mein Chef möchte, dass ich eine Datenschutzerklärung unterschreibe, in der ich (!) bei Verstößen mit bis zu 20 Mio. Euro hafte, ohne Aussicht auf Insolvenztilgung, einzige alternative Freiheitsstrafe. Auch wenn das -wie mein Chef sagt- alles nur rein theoretisch ist und nie eintreffen wird, hätte ich es ja doch unterschrieben. Ich finde das ziemlich übertrieben und frage mich, ob das so rechtens ist, wie mein Chef behauptet oder ob er sich vielleicht doch vertan hat?
Muss ich das wirklich unterschreiben? Muss ich mir jetzt wirklich selber kostenpflichtig einen Anwalt nehmen, um verbindliche Informationen dazu zu bekommen?“
Daher widmen wir uns dem Thema der Haftung von Arbeitnehmern bei Verstößen gegen das Datenschutzrecht.
Grundsätze der Arbeitnehmerhaftung
Innerhalb eines Arbeitsverhältnisses gelten besondere Haftungsgrundsätze. Diese wurden von der Rechtsprechung entwickelt, um den Besonderheiten im Arbeitsverhältnis Rechnung zu tragen. In Fällen betrieblich veranlasster Tätigkeiten wird die Haftung zwischen Arbeitgeber und Arbeitnehmer, im Rahmen des sog. innerbetrieblichen Schadensausgleichs, aufgeteilt.
Die jeweiligen Anteile werden dabei in Abhängigkeit vom Grad des Verschuldens des Arbeitnehmers, der den Schaden verursacht hat, gebildet. Dabei wird zwischen folgenden Verschuldensgraden unterschieden:
- Leichteste-/ leichte Fahrlässigkeit
Handelt der Arbeitnehmer nur leicht fahrlässig haftet er nicht. Dabei handelt es sich um Fälle von geringfügigen und leicht entschuldbaren Pflichtverstößen, die jedem Arbeitnehmer im Laufe seines Arbeitslebens passieren können. - Normale-/ mittlere Fahrlässigkeit
Handelt der Arbeitnehmer „normal“ fahrlässig wird der Schaden geteilt. Fahrlässig handelt, wer objektiv erforderliche Sorgfalt bei seiner Arbeitstätigkeit außeracht lässt. Dies sind Fälle, in denen der Arbeitnehmer einen Schaden hätte voraussehen müssen, aber nicht daran gedacht hat. Bei der Bildung der individuellen Haftungsquote sind die Gerichte frei. Allerdings wird die Haftung des Arbeitnehmers bei sehr hohen Schäden häufig in der Höhe auf ein Monatsgehalt begrenzt. - Grobe-/ gröbste Fahrlässigkeit
Handelt der Arbeitnehmer grob fahrlässig, haftet er grundsätzlich in vollem Umfang. Aber immer, wenn Juristen davon sprechen, dass etwas grundsätzlich „so“ ist, gibt es auch eine Ausnahme. Hier liegt die Ausnahme darin, dass die Gerichte bei sehr hohen Schäden die Haftung des Arbeitnehmers häufig in der Höhe auf drei Monatsgehälter begrenzen. Gleiches gilt auch bei gröbster Fahrlässigkeit, die vorliegt wenn die Pflichtverletzung zwar vorsätzlich begangen wird, der Schadenseintritt aber nur fahrlässig herbeigeführt wird. - Vorsatz
Nur wenn der Arbeitnehmer vorsätzlich handelt und auch den Schaden vorsätzlich verursacht, haftet er voll.
Und was gilt nun bei Bußgeldern aufgrund von Datenschutzverstößen für das Arbeitsverhältnis?
Nach Art. 83 DSGVO können Aufsichtsbehörden zwar Bußgelder verhängen, die auch bis 20.000.000 € betragen können (mehr dazu hier), der Adressat eines solchen Bußgeldes ist aber immer der (für die Datenverarbeitung) Verantwortliche – und das ist der Arbeitgeber.
Ein Arbeitnehmer haftet daher in Bezug auf ein Bußgeld nach Art. 83 DSGVO nur im Innenverhältnis und dafür gelten die oben genannten Grundsätze genauso. Das liegt daran, dass die Einhaltung der datenschutzrechtlichen Vorgaben, zu den Pflichten des Arbeitsverhältnisses gehören, die bei der täglichen Arbeit zu beachten sind.
Weitere Bußgeld- und Strafvorschriften
Daneben können den Arbeitnehmer aber Bußgelder nach § 43 BDSG treffen, dieser gilt jedoch nur für bestimmte Verstöße bei Abschluss von Verbraucherdarlehensverträgen.
Hinzu kommen die Strafvorschriften des § 42 BDSG, dieser sieht auch Geld oder Freiheitsstrafen vor. Damit die Voraussetzungen dafür erfüllt sind, müsste der datenschutzrechtliche Verstoß des Arbeitnehmers als solcher aber nicht nur vorsätzlich (wissentlich) sein, sondern auch gewerbsmäßig oder gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Verstöße gegen den Datenschutz können zudem auch nach anderen Gesetzen strafbar sein, z. B. nach
- § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen),
- § 201 StGB (Verletzung der Vertraulichkeit des Wortes) oder
- § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses).
Und wie ist es, wenn man etwas Abweichendes unterschreiben soll?
Das Bundesarbeitsgericht (BAG, 05.02.2004 – 8 AZR 91/03) hat dazu folgendes entschieden:
„Die Grundsätze über die Beschränkung der Haftung des Arbeitnehmers bei betrieblich veranlassten Tätigkeiten sind einseitig zwingendes Arbeitnehmerschutzrecht. Von ihnen kann weder einzel- noch kollektivvertraglich zu Lasten des Arbeitnehmers abgewichen werden.“
Wenn der Arbeitgeber also auf einen Arbeitnehmer zukommt und ihn bittet eine Regelung zu unterschreiben, die von den oben genannten Grundsätzen abweicht, ist diese nichtig. Auch wenn der Arbeitnehmer die Vereinbarung unterschreiben sollte, wird diese von einem Gericht nicht angewendet werden.
Tipp für Arbeitgeber
Falls Sie ihre Arbeitnehmer eine Verpflichtung auf das Datengeheimnis unterschreiben lassen (hier mehr dazu, ob eine solche Verpflichtung nach DSGVO erforderlich ist) achten Sie darauf, dass die oben genannten Grundsätze in der Verpflichtung Anklang finden, um die Arbeitnehmer nicht unnötig zu verschrecken. Denn nur so kann das normale Arbeitsleben auch mit der DSGVO weitergehen.
Danke für die Ausführungen. Interessant in diesem Zusammenhang wäre es noch, wie es sich mit dem Schadensersatz nach Art. 82 verhält. Mal angenommen, ein Mitarbeiter verliert einen USB Stick mit sensiblen Daten, die dann veröffentlicht werden. Der Arbeitgeber hat in einer Datenschutzschulung und in seinen IT-Richtlinien den Einsatz von USB Sticks untersagt. Einer der Geschädigten fordert nun Schadensersatz. Geht das auch über die verantwortliche Stelle oder direkt an den Mitarbeiter?
Viele Grüße, Alex
Auch ein Schadensersatzanspruch nach Art. 82 DSGVO richtet sich nur gegen den Verantwortlichen. Im Innenverhältnis gelten dann zwischen dem Arbeitgeber und Arbeitnehmer die o.g. Grundsätze der Arbeitnehmerhaftung. Welcher Verschuldensgrad in dem von Ihnen geschilderten Sachverhalt anzunehmen ist, ist eine Einzelfallentscheidung, bei der auch noch weitere Gesichtspunkte eine Rolle spielen dürfen.
Zunächst vielen Dank für die Ausführungen. Ich habe hierzu allerdings eine Nachfrage: Angenommen der Arbeitnehmer handelt „nur“ normal bis gröbst fahrlässig, seine Haftung wird also ggf. auf ein bis drei Monatsgehälter begrenzt. Gehe ich dann richtigerweise davon aus, dass der Verantwortliche den restlichen Bußgeldbetrag zu tragen hat, also vereinfacht gesagt, bis zu 20 Millionen minus drei Monatsgehälter?
Grundsätzlich haftet nach außen der Verantwortliche voll, da er ja auch das Risiko trägt. Wie die Betroffenen dann im Einzelfall im Innenverhältnis haften ist eine arbeitsrechtliche Fragestellung.
„Verstöße gegen den Datenschutz können zudem auch nach anderen Gesetzen strafbar sein, z. B. nach
– § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen),
– § 201 StGB (Verletzung der Vertraulichkeit des Wortes) oder
– § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses).“
hier wäre meiner Meinung nach auch noch der § 203 StGB zu nennen der eine nicht unerhebliche Gruppe der Arbeitnehmer/innen betrifft.
Mein Arbeitgeber hat in der Datenschutzerklärung einen Passus drin, der mich zu einer Haftung verpflichtet für unbeabsichtigte Verletzungen des Datenschutz. Wie sieht hier die rechtliche Bewertung aus? Soweit ich weiss kann ich nur für vorsätzliche und grob fahrlässig haften aber eben nicht für leicht fahrlässig oder sogar schuldloses Handeln, was aber durch den Passus „unbeabsichtigt“ konterkariert wird. Leider erlaubt mir mein Arbeitgeber kein Unterschreiben mit Streichung des Wortes, sondern besteht auf einer vollständigen Anerkennung . Ich arbeite in der IT Entwicklung und dort können sogar mit größter Sorgfalt solche unbeabsichtigten Verletzungen passieren.
Die Antwort auf Ihrer Frage können Sie dem Beitrag entnehmen („Und wie ist es, wenn man etwas Abweichendes unterschreiben soll?“).
Wie ist diese Passage zu werten: „Gesetzliche Folge von Verstößen gegen meine Vertraulichkeitsverpflichtung können auch Schadensersatzansprüche der Personen, auf die die Daten sich beziehen, gegen mich persönlich sein, für die ich unter Umständen unbeschränkt mit meinem gesamten Vermögen und ohne Möglichkeit einer Restschuldbefreiung in einem Insolvenzverfahren hafte. „
Ein Schadensersatzanspruch nach Art. 82 DSGVO richtet sich nur gegen den Verantwortlichen. Im Innenverhältnis gelten dann zwischen dem Arbeitgeber und Arbeitnehmer die o.g. Grundsätze der Arbeitnehmerhaftung. Daneben können eventuell auch zivilrechtliche Schadensersatzansprüche in Frage kommen, soweit der betroffenen Person durch den Datenschutzverstoß ein Schaden entstanden ist.
Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an einen spezialisierten Rechtsanwalt wenden.
Gesetzt den Fall, der Geschäftsführer fordert von mir als IT-Admin die Umsetzung einer Maßnahme, die ich für nicht DSGVO-konform halte. Ich würde dies nicht mit unserem Datenschutzbeauftragten kommunizieren, da ich den GF auf gut deutsch nicht „in die Pfanne hauen will“. Wie sieht es mit meiner Haftbarkeit in einem solchen Fall aus? Sollte ich in so einem Fall eine explizite schriftliche Arbeitsanweisung von Seiten der Geschäftsführung einfordern, aus der klar hervorgeht, dass ich für diese Maßnahme nicht verantwortlich zeichne?
Dazu habe ich verschiedene Anmerkungen:
1. Die Verantwortung trägt immer der Geschäftsführer, sofern Sie sich nicht explizit entgegen einer Dienstanweisung verhalten. Aus diesem Gesichtspunkt haben Sie wenig zu befürchten.
2. Ich würde trotzdem rein vorsorglich eine Dienstanweisung in einer nachweisbaren Form (schriftlich oder per Mail) bevorzugen.
3. Ich würde dringend empfehlen, den betrieblichen Datenschutzbeauftragten hinzuzuziehen. Das ist in keinster Weise ein „in die Pfanne“ hauen, vielmehr zeichnet das Sie als aufmerksamen und verantwortungsbewussten Arbeitnehmer aus. Nur wenn der DSB informiert ist über die Geschäftsabläufe, kann er unterstützend mitwirken – das hilft auch dem Geschäftsführer.
Hallo, angenommen der GF verlangt von mir Kaltakquise per E-Mail durchzuführen und die Daten der online gefundenen Personen im CRM zu speichern, inwiefern mache ich mich als Mitarbeiter dafür strafbar? Meines Wissens, sind solche E-Mails und die Datenspeicherung nur erlaubt, wenn die Person zugestimmt hat. Dies wäre in diesem Fall nicht vorhanden.
Grundsätzlich ist der Verantwortliche (also der Arbeitgeber) für die Verarbeitung personenbezogener Daten verantwortlich und auch für die Weisungen die er diesbezüglich erteilt. Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an einen spezialisierten Rechtsanwalt oder den Datenschutzbeauftragten Ihres Arbeitgebers wenden.
Hallo, zum ursprünglichen Kommentar kann ich nun immer nicht folgern ob „Muss ich das wirklich unterschreiben?“ nun beantwortet ist. Was wäre die Folge wenn man dies nicht unterschreibt oder darf man sich hier weigern? Oder ist dies sozusagen nur eine Information von sowieso geltendem Recht? Leider herrscht hier bei uns diesbezüglich maximale Verwirrung. Vor allem ein Passus der lautet „Gesetzliche Folge der Verstöße gegen meine Vertraulichkeitsverpflichtung können auch Schadensersatzansprüche der Personen, auf die sich Daten beziehen, gegen mich persönlich sein, für die ich unter Umständen unbeschränkt mit meinem gesamten Vermögen sowie ohne Möglichkeit einer Restschuldbefreiung in einem Insolvenzverfahren hafte.“ Ist dies rechtens beziehungsweise erlaubt in dieser Form?
Grundsätzlich sind die meisten Dokumente zur „Verpflichtung auf die Vertraulichkeit“ darauf beschränkt dem Beschäftigten die ohnehin geltenden datenschutzrechtlichen Gesetze vorzulegen und ihn/sie dafür zu sensibilisieren, damit bekannt ist welche Maßstäbe bei der täglichen Arbeit beachtet werden müssen.
Die Unterschrift dient dem Arbeitgeber in der Regel nur dazu diese Sensibilisierung auch gegenüber Dritten (wie Datenschutzaufsichtsbehörden) nachweisen zu können. Wir schrieben dazu auch hier: DSGVO: Ende der Verpflichtung auf das Datengeheimnis?.
Wie oben geschrieben ist eine Regelung, die von den oben genannten Grundsätzen abweicht, nichtig. Diese würde von einem Gericht nicht angewendet werden.
Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung vornehmen. Sie können sich dazu an einen Rechtsanwalt für Datenschutz oder Ihren Datenschutzbeauftragten wenden.