Verantwortlichkeiten bei Datenschutzverstößen von Beschäftigten
von Sebastian Treusch (Kommentare: 0)
Pflichten nach der DSGVO
Unternehmen streben an den Datenschutz zu wahren, um eine korrekte Verarbeitung von personenbezogenen Daten zu gewährleisten und Ihre Reputation gegenüber den Geschäftspartnern und Kunden zu stärken. Die gesetzeskonforme Umsetzung der Datenschutzvorgaben schafft Vertrauen; auch nach Innen gegenüber den Beschäftigten.
Dabei möchten Unternehmen Verstöße gegen den Datenschutz vermeiden, um keine Sanktionen und Bußgelder von den zuständigen Aufsichtsbehörden auferlegt zu bekommen. Dazu werden die Beschäftigten im Datenschutz geschult und für den richtigen Umgang mit personenbezogenen Daten sensibilisiert. Sollten Beschäftigte im Rahmen Ihrer Tätigkeit dennoch einen datenschutzrechtlichen Verstoß begehen, ist dieser grundsätzlich dem Arbeitgeber zuzurechnen. Dies hat zuletzt das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in seinem Tätigkeitsbericht für 2025 klargestellt. Der Arbeitgeber agiert dann als der für den Datenschutz Verantwortliche nach Artikel 4 Nr. 7 DSGVO.
„Hat die Handlung der Beschäftigten beispielsweise eine Verletzung des Schutzes personenbezogener Daten zur Folge, begründet diese Handlung für den Arbeitgeber eine Meldepflicht gegenüber der Aufsichtsbehörde nach Artikel 33 DSGVO und gegebenenfalls auch Benachrichtigungspflichten gegenüber den betroffenen Personen nach Artikel 34 DSGVO (ULD-43-Tätigkeitsbericht-2025, Seite 45)."
Mitarbeiterexzess
Eine Ausnahme stellt hierzu der sogenannte Mitarbeiterexzess dar. Hierbei begeht der Beschäftigte eine Handlung, für die er selbst der Verantwortlicher nach Artikel 4 Nr. 7 DSGVO sein kann. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden hat den Mitarbeiterexzesse wie folgt definiert:
„Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ (Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 03.04.2019)
Ergänzend zu dieser Begriffsdefinition hat das ULD in seinem aktuellen Tätigkeitsbericht die Anhaltspunkte für einen Mitarbeiterexzess näher erläutert. Dieser liegt demnach vor, wenn sich der Beschäftigte über die arbeitsrechtlichen Anweisungen des Arbeitgebers hinwegsetzt und eigenmächtig dienstlich erlangte Daten ausschließlich für private Zwecke oder für Zwecke eines Dritten verarbeitet. Dabei ist die Handlung des Beschäftigten objektiv zu betrachten. Die subjektive Motivation des Beschäftigten, die zu der Handlung geführt hat, ist nicht maßgeblich.
In Bezug auf die Haftung verhält sich die Frage nach der Verantwortung entsprechend. Dies hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden bereits im Jahr 2019 wie folgt bestimmt:
„Unternehmen haften im Rahmen von Artikel 83 DSGVO für schuldhafte Datenschutzverstöße Ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt.“ (Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 03.04.2019)
Beschluss des OLG Stuttgart
In seinem Beschluss vom 25.02.2025 (2 Orbs 16 Ss 336/24) hat sich das OLG Stuttgart mit einer unbefugten Datenbankabfrage durch einen Polizeibeamten befasst und dabei das Vorliegen eines Mitarbeiterexzesses bestätigt. Es gilt als die erste veröffentlichte Entscheidung eines deutschen Gerichts zu einem Mitarbeiterexzess.
Im besagten Fall hatte das Amtsgericht Stuttgart den Polizeibeamten zu einem Bußgeld von 1.500 € verurteilt. Dieser hatte von seinem Dienstrechner aus im polizeilichen Informationssystem „POLAS“ Daten eines damaligen Kollegen abgerufen. Der Kollege befand sich damals in Untersuchungshaft. Dem Beamten war bewusst, dass es für seine Systemabfrage, die er im Polizeirevier durchführte, keinen dienstlichen Anlass gab.
Die Entscheidung des Amtsgerichts wurde durch das OLG bestätigt. Dabei wurde zunächst vom OLG der Grundsatz erläutert, das Mitarbeitende ohne Leitungsfunktion bei der Verarbeitung personenbezogener Daten keine Verantwortlichen im Sinne der DSGVO sind. Dieser Grundsatz gilt hierbei allerdings nicht, da der Datenschutzverstoß bewusst aus dienstfremden Gründen erfolgte. Damit handelte der Polizeibeamte nicht betrieblich veranlasst und somit nicht als unterstellte Person. Die Handlung geschah in eigener Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung, so dass der Polizeibeamte als eigener Verantwortlicher agierte.
Bußgeldentscheid vom Landesbeauftragten Baden-Württemberg
Im Januar 2025 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ein Bußgeld gegen einen Polizeibeamten in Höhe von 3.500 € erlassen. Der Verstoß war dem Landesbeauftragten im Jahr 2024 bekannt geworden. Dabei hatte der Polizeibeamte ohne dienstlichen Anlass eine unrechtmäßige Abfrage im Melderegister mit den Daten einer Frau durchgeführt. Diese hatte er zuvor im Rahmen einer Verkehrskontrolle angetroffen. Der sanktionierte Polizeibeamte wollte in dem Register das Lichtbild der Frau einsehen bzw. abrufen. Die Datenbankabfrage geschah daher für private Zwecke. Es liegt somit ein Verstoß gegen die Artikel 5 und 6 der DSGVO vor, der nach Artikel 83 Abs. 5 a) DSGVO bußgeldbewährt ist.
Fazit
Datenschutzverstöße von Beschäftigten werden im Regelfall dem Arbeitgeber zugerechnet. Dieser hat dann als Verantwortlicher die Melde- und Benachrichtigungspflichten aus der DSGVO zu erfüllen und auch die Haftung zu übernehmen. Andes verhält es sich beim Vorliegen eines Mitarbeiterexzesses. Hierbei kann die Verantwortlichkeit auf den Beschäftigten übergehen, der den Verstoß begangen hat. Der Beschäftigte kann dann auch mit einem Bußgeld sanktioniert werden. Dies zeigen die beiden vorgenannten Entscheidungen des OLG Stuttgart sowie des Landesbeauftragten Baden-Württemberg auf.
Es gilt allerdings zu beachten, dass es bei der Bewertung von Mitarbeiterexzessen in der Fachliteratur keine einheitliche Haltung gibt. Auch die Datenschutzaufsichtsbehörden der jeweiligen Bundesländer vertreten hierzu bisher unterschiedliche Auffassungen.
Auf europäischer Ebene gilt es festzuhalten, dass sich der EuGH bislang nicht zum Mitarbeiterexzess geäußert hat. Der europäische Datenschutzausschuss (EDSA) führt in seinen Leitlinien aus, dass ein Beschäftigter, der personenbezogene Daten für eigene Zwecke verarbeitet, als Verantwortlicher gilt und alle sich daraus ergebende Pflichten in Bezug auf die Verarbeitung personenbezogener Daten zu übernehmen hat. Wobei aus den Leitlinien nicht klar hervorgeht, ob bereits der Datenabruf oder erst die nachfolgende zweckwidrige Weiterverarbeitung darunterfällt.
dacuro GmbH
Neben den technisch-organisatorischen Maßnahmen umfasst der Datenschutz weitere Themenschwerpunkte, die die dacuro GmbH mit ihren Kunden regelt. Hierunter fallen, neben den klassischen Verzeichnissen der Verarbeitungstätigkeit, alle weiteren Themen wie Pflichtinformationen, die Sensibilisierung und Schulung der Mitarbeiter oder auch die Prüfung Ihrer Webseite auf Datenschutzkonformität. Wir betreuen unterschiedliche Branchen vollumfänglich zum Datenschutz und stellen für diese den externen Datenschutzbeauftragten. Sollten Sie Fragen zum Thema haben oder sich nicht sicher sein, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten benötigen, sprechen Sie uns an.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben