Datenschutz : Haftung: Freibrief für Beschäftigte?

Diese und ähnliche Fehler stellen selbst einen Verstoß gegen Datenschutzrecht dar oder öffnen Verstößen Tür und Tor (Ausführen einer Schadsoftware).

Wenn Dritte den Schaden verursacht haben, das Unternehmen jedoch keine risikoangemessenen Sicherheitsmaßnahmen umgesetzt hatte, haftet das Unternehmen für den verursachten Schaden (Europäischer Gerichtshof (EuGH), Urteil vom 14.12.2023, Az. C340/21).

Verstöße gegen die Datenschutz- Grundverordnung (DS‑GVO) sind bußgeldbewehrt und können Schadensersatzansprüche auslösen. Der EuGH hat entschieden, dass es für ein Verhängen eines Bußgeldes durch die Datenschutzaufsichtsbehörde gegen das Unternehmen ausreicht, dass das Unternehmen als Organisation fahrlässig oder vorsätzlich gegen die DS‑GVO verstoßen hat (Urteil vom 05.12.2023, Az. C807/21). Wer im Unternehmen die Handlung begangen hat, davon wusste oder hätte wissen müssen, ist unerheblich.

Im Unterschied zum Bußgeld kommt es beim Schadensersatz nicht darauf an, ob die Handlung fahrlässig oder vorsätzlich erfolgte. Um sich als Unternehmen gegen eine Schadensersatzforderung zu wehren, liegt der Gedanken nahe, auf ein Fehlverhalten der Beschäftigten zu verweisen. Aus Sicht des EuGH würde ein pauschales Verweisen den Schadensersatzanspruch aushöhlen. Deshalb hat er entschieden, dass Unternehmen sich Schadensersatzansprüchen nicht pauschal entziehen können, indem sie auf ein Fehlverhalten von Beschäftigten verweisen (Urteil vom 11.04.2024, Az. C-741/21). Wenn ein Unternehmen jedoch ausreichende interne Vorkehrungen getroffen hatte, die sicherstellen sollen, dass alle Beschäftigten im Rahmen der DS‑GVO handeln, wäre es nicht mehr für den Schaden haftbar zu machen.

Was sollte ein Unternehmen folglich umsetzen, um nicht grundsätzlich für die Fehler von Beschäftigten zu haften?

Klassifikation der Verstöße

Die deutsche Rechtsprechung beschäftigt sich schon lange mit den unterschiedlichen Formen des Fehlverhaltens von Beschäftigten. Handelt der Beschäftigte nicht betrieblich veranlasst (sogenannter Mitarbeiterexzess), beispielsweise indem er dienstliche Daten für private Zwecke nutzt, haftet das Unternehmen nicht. In diesem Fall kann der Beschäftigte selbst Adressat von Bußgeldern und Schadensersatzforderungen werden. So verhängte die hessische Datenschutzaufsichtsbehörde gegen Polizisten, die zu privaten Zwecken Daten aus polizeilichen Informationssystemen abgerufen hatten, Bußgelder (HBDI (2021): 50. Tätigkeitsbericht, S. 73 f.).

Bei vorsätzlichen Verletzungshandlungen kommt es auf die Kenntnisse und Reaktion des Unternehmens an. Liegen dem Unternehmen Anzeichen für eine vorsätzliche Verletzungshandlung vor, ist es zur Vermeidung der eigenen Haftung gehalten, entsprechend zu kontrollieren und das missbräuchliche Verhalten zu sanktionieren. Andernfalls ist von einem Verstoß seitens des Unternehmens gegen seine Pflicht, die Einhaltung der DS‑GVO sicherzustellen (Art. 24 Abs. 1 DS‑GVO), auszugehen. Es besteht folglich die Pflicht, einzuschreiten.

Eine Form des Einschreitens kann – je nach Schwere des Verstoßes gegen die DS‑GVO – auch die fristlose Kündigung sein. Das Oberlandesgericht (OLG) München hat die fristlose Kündigung eines Vorstandes wegen neunfacher Weiterleitung geschäftlicher E‑Mails an seine private E‑Mail-Adresse für rechtmäßig befunden (Urteil vom 31.07.2024, Az. 7 U 351/23 e).

Handelt ein Beschäftigter betrieblich veranlasst, d. h. im Rahmen der ihm übertragenen Aufgaben, haftet grundsätzlich das Unternehmen. Diese Fallkonstellation kommt im Alltag am häufigsten vor. Die Frage, was ein Unternehmen tun kann oder sollte, um seine Haftungsrisiken zu reduzieren, verdient deshalb eine nähere Betrachtung.

Prävention durch Weisungen

Durch die in Art. 29 DS‑GVO normierte Pflicht von Beschäftigten, weisungsgebunden zu handeln, wird eine Verknüpfung zwischen den Handlungen der Beschäftigten und der Verantwortung des Unternehmens für diese Handlungen hergestellt. Weisungsgebundenes Handeln setzt voraus, dass das Unternehmen Weisungen erteilt. Ohne Weisungen dürfen Beschäftigte keine personenbezogenen Daten verarbeiten. Beschäftigte dürfen gerade nicht fehlende Weisungen durch eigene Vorstellungen ersetzen.

Mit Blick auf die Verpflichtung, jede Weisung nachweisen zu können, sind Weisungen zu dokumentieren. Als Weisung lassen sich beispielsweise vertragliche Verpflichtungen, Richtlinien, Arbeitsanweisungen, Prozessbeschreibungen und elektronische Workflows auffassen. Weisungen umfassen insbesondere, welche Daten zu welchen Zwecken und durch welche Beschäftigten verarbeitet werden sollen.

Ein Fehlen dokumentierter Weisungen stellt regelmäßig einen Verstoß gegen Art. 24 Abs. 1 DS‑GVO dar, d.h. die Haftung des Unternehmens ist eröffnet.

Bei der Abfassung der Weisungen ist zu beachten, dass diese vollumfänglich den datenschutzrechtlichen Anforderungen genügen müssen. Die Berliner Datenschutzaufsichtsbehörde stufte eine Prozessgestaltung, die gegen datenschutzrechtliche Vorgaben verstößt, als vorsätzlichen Verstoß ein (BlnBDI (2023): Jahresbericht 2023, S. 29). Ein vorsätzlicher Verstoß wirkt bußgelderhöhend.

Zu welchen Zwecken personenbezogene Daten verarbeitet werden, muss in den Datenschutzinformationen gemäß Art. 13 und 14 DS‑GVO beschrieben sein. Insofern dürfen Beschäftigte personenbezogene Daten ausschließlich für die in den jeweiligen Datenschutzinformationen niedergelegten Zwecken verarbeiten. Verarbeiten Beschäftigte personenbezogene Daten zu anderen als in der Datenschutzinformation genannten Zwecken, hilft die Datenschutzinformation gegenüber der Datenschutzaufsichtsbehörde und Gerichten darzulegen, dass die Verarbeitung nicht zu betrieblichen Zwecken erfolgte, somit ein Mitarbeiterexzess vorliegt.

Prävention durch Qualifikation

Weisungen allein reichen nicht aus. Fehlt es den Beschäftigten an der erforderlichen Qualifikation, liegt regelmäßig ein Auswahlverschulden des Unternehmens vor. Qualifikation umfasst fachliche Kenntnisse, Kenntnisse, wie die Aufgabe konkret durchzuführen ist, und Kenntnisse des Datenschutzrechts.

Die Beweislast, dass die Kenntnisse des Beschäftigten ausreichend waren, liegt beim Unternehmen. Es empfiehlt sich, im Rahmen der Einarbeitung zu dokumentieren, dass dem neuen Beschäftigten alle für seine Tätigkeit erforderlichen Kenntnisse vermittelt wurden. Um die Wirksamkeit von Schulungen darlegen zu können, sollten diese regelmäßig wiederholt werden.

In der Wahl der Mittel zum Schulen ist das Unternehmen frei. Denkbar sind interne oder externe Fortbildungen, aber auch klassische Unterweisungen am Arbeitsplatz sowie Awareness- Maßnahmen wie z.B. Phishing-Simulationen.

Um sich exkulpieren zu können, bedarf es eines Nachweises, dass ein Beschäftigter über die erforderlichen Kenntnisse verfügte, um die Unzulässigkeit seiner Handlung zu erkennen.

Prävention durch Kontrollen

Der bekannte Spruch „Vertrauen ist gut, Kontrolle ist besser“ beschreibt treffend das Verständnis des Gesetzgebers. Er normiert die Pflicht, sowohl technische und organisatorische Maßnahmen zur Einhaltung der DS‑GVO als auch Sicherheitsmaßnahmen zu überprüfen (Artt. 24. Abs. 1 und 32 Abs. 1 lit. d) DS‑GVO). Weiterhin ist das Unternehmen verpflichtet, sicherzustellen, dass sich die Beschäftigten an die Weisungen halten (Art. 32 Abs. 4 DS‑GVO).

Folglich bedarf es Kontrollen, ob Daten ausschließlich im Rahmen der Weisungen verarbeitet werden. Zu denkbaren Kontrollen zählen beispielsweise

• Überprüfung, dass für alle Newsletter- Empfänger eine Einwilligung vorliegt,
• durchgeführte Datenlöschungen,
• richtiger Umgang mit Phishing-E‑Mails,
• ob jeder Datenexport aus einer Datenbank betrieblich erforderlich war.

Die Pflicht zur Kontrolle darf nicht als Freibrief verstanden werden. Da bei Kontrollen, ob sich Beschäftigte an erteilte Weisungen halten, regelmäßig auch personenbezogene Daten verarbeitet werden, sind die bekannten Zulässigkeitsvoraussetzungen einzuhalten:

1. Im Regelfall muss die Kontrolle erforderlich für die Erfüllung des Arbeitsvertrags sein oder durch eine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f) DS‑GVO erlaubt werden.
2. Die dazu verarbeiteten Daten müssen für den Kontrollzweck erforderlich sein und es dürfen keine milderen Mittel existieren.
3. Weiterhin darf kein unzulässiger Überwachungsdruck erzeugt werden.

Es empfiehlt sich, Kontrollen sorgfältig zu planen und ihre datenschutzrechtliche Zulässigkeit zu dokumentieren.

Fazit und Handlungsbedarf

Verstöße gegen die DS‑GVO sind bußgeldbewehrt und können Schadensersatzansprüche auslösen. Fehler oder auch Fehlverhalten von Beschäftigten können zu einem Verstoß gegen die DS‑GVO führen, für den das Unternehmen einstehen muss. Ein bloßes Berufen auf die Erteilung von Weisungen und auf ein anschließendes weisungswidriges Verhalten der Beschäftigten reicht nicht aus, um der Haftung zu entgehen.

Vielmehr muss ein Unternehmen nachweisen,

• dass die Beschäftigten über die erforderliche Qualifikation verfügen,
• die Weisungen erteilt und bekannt sind sowie
• die Einhaltung der Weisungen kontrolliert wird.

Gelingt der Nachweis, haftet das Unternehmen nicht für durch Beschäftigte begangene Verstöße gegen die DS‑GVO. Andernfalls ist es grundsätzlich schadensersatzpflichtig und befindet sich in einem Bußgeldrisiko.

Es empfiehlt sich, zu prüfen, ob die Beschäftigten nachweisbar über die erforderlichen Qualifikationen verfügen, die erforderlichen Weisungen dokumentiert und bekannt sind, alle Zwecke in den jeweiligen Datenschutzinformationen aufgeführt sind sowie ein datenschutzrechtlich zulässiges Kontrollkonzept erstellt und umgesetzt wird.