Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

29. Juli 2019

Inwieweit haften Mitarbeiter für Datenschutzverstöße?

DP+
Inwieweit haften Mitarbeiter für Datenschutzverstöße?
Bild: iStock.com / Kemter
0,00 (0)
Geldbußen & andere Sanktionen
Die deutschen Datenschutzbehörden haben mittlerweile erste Geldbußen verhängt. Für viele Unternehmen stellt sich nun die Frage unmittelbar, ob auch die Mitarbeiter für Datenschutzverstöße haften.

Der folgende Beitrag gibt einen Überblick über die wichtigsten Fragen zur Mitarbeiterhaftung. Die Haftung des Unternehmensinhabers oder Geschäftsführers ist hier nicht Gegenstand. Dazu lesen Sie mehr hier.

Wichtige Unterscheidung: Außen- und Innenhaftung

Rechtlich ist zwischen zwei Arten der Haftung zu unterscheiden:

  • Bei der „Außenhaftung“ geht es um eine Haftung gegenüber Dritten wie den Betroffenen oder gegenüber staatlichen Stellen wie der Datenschutzbehörde, die eine Geldbuße verhängt.
  • Die „Innenhaftung“ betrifft das Verhältnis Mitarbeiter – Arbeitgeber.

1. Außenhaftung: Haftet der Mitarbeiter auf Geldbußen?

Die Datenschutz-Grundverordnung (DSGVO) ist als europäische Verordnung das vorrangige Recht im Datenschutz: Nach Art. 83 Abs. 4 bis 6 DSGVO steht es einer Aufsichtsbehörde für den Datenschutz zu, Geldbußen zu verhängen.

Adressat der Norm sind aber nicht die Mitarbeiter eines Unternehmens, sondern vielmehr der Verantwortliche bzw. Auftragsverarbeiter (Art. 83 Abs. 2 Buchst. c DSGVO), also das jeweilige Unternehmen bzw. aus Mitarbeitersicht der Arbeitgeber.

Es gilt also der Grundsatz: Keine originären Bußgeldtatbestände für Arbeitnehmer in der DSGVO!

Gibt es Sonderregelungen im neuen BDSG?

Im neuen Bundesdatenschutzgesetz (BDSG) findet sich in § 43 eine Bußgeldnorm.

Auf den ersten Blick scheint es, als ob der deutsche Gesetzgeber in § 43 BDSG eine zusätzliche Bußgeldvorschrift geschaffen hätte, die vom Wortlaut her nicht auf Verantwortliche / Auftragsverarbeiter beschränkt ist, sondern weiter geht.

Dies ist jedoch nicht der Fall: § 43 BD…

Dr. Robert Selk
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Robert Selk
Dr. Robert Selk
Dr. Robert Selk, LL.M., ist Rechtsanwalt und Fachanwalt für IT-Recht in München und dort Partner der Rechtsanwaltskanzlei SSH. Er betreut das Referat IT-Recht, Datenschutz und gewerblicher Rechtschutz. Herr Dr. Selk promovierte im Bereich Datenschutz und Internet und ist seit vielen Jahren als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig sowie Mitgründer und Gesellschafter der TSC Toedt, Dr. Selk & Coll GmbH.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.