Können Mitarbeiter beim Datenschutzverstoß haften?

Einleitung

Immer häufiger stellen sich Unternehmen die Frage, ob Mitarbeiter persönlich haften, wenn sie eigenmächtig personenbezogene Daten verarbeiten. Grundsätzlich haften zunächst Unternehmen für Datenschutzverstöße, welche durch Mitarbeiter verschuldet werden. In diesem Beitrag erfahren Sie, unter welchen Umständen ein sogenannter „Mitarbeiterexzess“ vorliegt und wann Mitarbeiter selbst als Verantwortliche nach der DSGVO gelten könnten.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Was ist ein Mitarbeiterexzess?

Die Datenschutz-Grundverordnung (DSGVO) bestimmt grundsätzlich, dass Unternehmen oder Organisationen als Verantwortliche für die Verarbeitung personenbezogener Daten gelten. Beschäftigte handeln in der Regel nur im Auftrag ihres Arbeitgebers und sind daher nicht eigenständig verantwortlich.

Ein Mitarbeiterexzess liegt jedoch vor, wenn Beschäftigte personenbezogene Daten eigenmächtig, also ohne Anweisung des Arbeitgebers, zu privaten Zwecken oder aus anderen dienstfremden Motiven verarbeiten. Typische Fälle sind:

Mitarbeiter ruft personenbezogene Daten von Kunden aus betrieblichen Datenbanken für private Zwecke ab.
Beschäftigte nutzen dienstliche Daten, um eigene geschäftliche Interessen zu verfolgen.
Polizeibeamte fragen private Daten aus behördlichen Datenbanken ohne dienstlichen Grund ab.

Wann wird ein Mitarbeiter selbst zum Verantwortlichen im Datenschutz?

Ob Beschäftigte bei eigenmächtigen Handlungen selbst als Verantwortliche haften, hängt insbesondere davon ab, ob sie über die Zwecke („Wofür?“) und die Mittel („Wie?“) der Verarbeitung entscheiden. Die Behörden und Gerichte vertreten dabei unterschiedliche Auffassungen. Folgende Praxisbeispiele möchten wir hervorheben:

Bayern: Beschäftigte haften in der Regel nicht, wenn sie Daten lediglich zweckwidrig aus betrieblichen Systemen abrufen. Erst wenn sie arbeitgeberfremde Mittel einsetzen, haften sie selbst.
Baden-Württemberg, Hessen und NRW: Beschäftigte werden eigenständig verantwortlich, wenn sie personenbezogene Daten privat nutzen, und handeln damit außerhalb ihrer dienstlichen Aufgaben.
Niedersachsen und Hamburg: Beschäftigte gelten als eigenverantwortlich, wenn sie klar und vorsätzlich aus privaten Motiven handeln und dies nicht dienstlich genehmigt ist.
Europäischer Datenschutzausschuss (EDSA): Beschäftigte sind eigenverantwortlich, sobald sie die Datenverarbeitung für andere Zwecke nutzen, als vom Arbeitgeber vorgesehen.

Wichtige Gerichtsurteile

Die Rechtsprechung hat sich in den letzten Jahren intensiv mit der Frage beschäftigt, wann Beschäftigte bei Datenschutzverstößen eigenverantwortlich haften. Ein zentrales Urteil stammt vom Oberlandesgericht (OLG) Stuttgart. In einem Fall hatte ein Polizeibeamter ohne dienstlichen Anlass Daten aus dem polizeilichen Informationssystem „POLAS“ abgerufen, um Informationen über einen Kollegen zu erhalten. Das OLG entschied, dass der Beamte dabei eigenverantwortlich im Sinne des Art. 4 Nr. 7 DSGVO handelte, da er bewusst und willentlich außerhalb seiner dienstlichen Aufgaben agierte.

Das Gericht betonte, dass solche eigenmächtigen Handlungen nicht dem Verantwortungsbereich des Arbeitgebers zuzurechnen sind und der Beschäftigte somit selbst als Verantwortlicher haftet.

Auch das Verwaltungsgericht (VG) Mainz hat in einem Urteil klargestellt, dass ein Arbeitgeber nicht für Datenschutzverstöße haftet, wenn ein Beschäftigter eigenmächtig und ohne Weisung personenbezogene Daten verarbeitet. In dem Fall hatte ein Mitarbeiter Daten aus behördlichen Datenbanken für private Zwecke genutzt. Das VG stellte fest, dass der Beschäftigte durch sein Verhalten die Schwelle zum eigenständigen Verantwortlichen überschritten hatte.

Diese Urteile verdeutlichen, dass Beschäftigte bei vorsätzlichen oder grob fahrlässigen Datenschutzverstößen, die außerhalb ihrer dienstlichen Aufgaben liegen, persönlich haftbar gemacht werden können.

Unsicher im Datenschutz?

Erhalten Sie kostenfrei eBooks als Leitfäden für die Umsetzung in Ihrem Unternehmen. Spezifisch für Ihre Abteilung oder Branche.

Folgen für Mitarbeiter

Wenn Beschäftigte eigenmächtig personenbezogene Daten verarbeiten und dabei gegen die DSGVO verstoßen, können sie mit erheblichen Konsequenzen rechnen:

Bußgelder: Datenschutzaufsichtsbehörden können gegen Beschäftigte Bußgelder verhängen.
Schadensersatzansprüche: Betroffene Personen können nach Art. 82 DSGVO Schadensersatz verlangen, wenn ihnen durch den Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist.
Arbeitsrechtliche Konsequenzen: Je nach Schwere des Verstoßes drohen Abmahnungen, Versetzungen oder sogar fristlose Kündigungen. Ein vorsätzlicher Verstoß gegen Datenschutzbestimmungen kann das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig zerstören.
Strafrechtliche Folgen: In besonders schweren Fällen, etwa bei der unbefugten Weitergabe sensibler Daten, können strafrechtliche Ermittlungen eingeleitet werden.

Es ist wichtig zu betonen, dass die persönliche Haftung von Beschäftigten nicht nur theoretischer Natur ist, sondern in der Praxis bereits mehrfach zur Anwendung kam.

Empfehlungen für Arbeitgeber

Um Datenschutzverstöße durch Beschäftigte zu verhindern und das Risiko von Mitarbeiterexzessen zu minimieren, sollten Arbeitgeber proaktiv handeln:

Klare Richtlinien und Schulungen: Erarbeiten Sie verbindliche Datenschutzrichtlinien und schulen Sie Ihre Mitarbeiter regelmäßig. Sensibilisieren Sie Mitarbeiter für den verantwortungsvollen Umgang mit personenbezogenen Daten und machen Sie deutlich, welche Konsequenzen Verstöße haben können.
Technische und organisatorische Maßnahmen (TOMs): Implementieren Sie geeignete Sicherheitsmaßnahmen, wie z.  Zugriffsbeschränkungen, Protokollierungen und regelmäßige Überprüfungen von Datenverarbeitungsprozessen. Diese Maßnahmen helfen, unbefugte Zugriffe frühzeitig zu erkennen und zu verhindern.
Verantwortlichkeiten klar definieren: Stellen Sie sicher, dass die Zuständigkeiten für die Datenverarbeitung eindeutig geregelt sind. Jeder Mitarbeiter sollte wissen, welche Daten er verarbeiten darf und welche nicht.
Meldesysteme etablieren: Ermutigen Sie Ihre Mitarbeiter, Datenschutzverstöße oder -bedenken zu melden. Ein transparentes Meldesystem kann helfen, Probleme frühzeitig zu identifizieren und zu beheben.
Regelmäßige Audits und Kontrollen: Führen Sie regelmäßige Überprüfungen Ihrer Datenschutzmaßnahmen durch. So können Sie Schwachstellen identifizieren und gezielte Maßnahmen zur Verbesserung ergreifen.

Durch diese proaktiven Maßnahmen können Arbeitgeber nicht nur Datenschutzverstöße verhindern, sondern auch ihre eigene Haftung im Falle eines Mitarbeiterexzesses reduzieren.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy