Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

25. Februar 2021

Datenschutz-Verstöße: Verwendung dienstlicher Arbeitsmittel zu privaten Zwecken

Manche Beschäftigte haben umfangreich Zugang zu Datenbanken mit personenbezogenen Daten. Da ist die Verlockung groß, die Informationen auch privat zu nutzen.
Bild: iStock.com / MF3d
3,80 (5)
Wann haften Mitarbeitende für Datenschutz-Verstöße?
In den meisten Fällen wird der Arbeitgeber für Datenschutz-Verstöße seiner Beschäftigten haften. Doch es gibt auch Fälle, in denen Mitarbeiterinnen und Mitarbeiter höchstpersönlich „dran“ sind.

Damit Beschäftigte ihre dienstlichen Pflichten erfüllen können, stellt ihnen der Arbeitgeber in der Regel gewisse Arbeitsmittel zur Verfügung.

Was genau sind Arbeitsmittel?

Unter den Begriff der Arbeitsmittel fallen neben den offensichtlichen Geräten wie dem Arbeitscomputer, dem Diensttelefon und Büromaterialien auch elektronische Zugänge, etwa der Zugang zum Abruf von Datensätzen bei Behörden, der E-Mail-Zugang oder der Zugang zu Projektverwaltungssystemen.

Bekannte elektronische Zugänge sind z.B. Abfragemöglichkeiten beim Einwohnermeldeamt, beim Straf- oder Waffenregister.

Einigen öffentlichen Stellen sind die vorgenannten Anfragemöglichkeiten im Wege der Amtshilfe erleichtert eröffnet, während Privatpersonen bei der Anfrage einer erweiterten Melderegisterauskunft ein berechtigtes Interesse darlegen müssen.

Teilweise sind Auskünfte möglich, die einer Privatperson aufgrund einer Auskunftssperre vollends verwehrt bleiben.

Der Arbeitgeber regelt zumeist via Arbeitsvertrag oder interner Dienstvorschrift, ob die Beschäftigten dienstliche Arbeitsmittel zu privaten Zwecken nutzen dürfen. Ist die private Nutzung gestattet und begeht ein Beschäftigter hiermit einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), stellt sich die Frage der Verantwortlichkeit für den Verstoß.

Weite Haftung des Arbeitgebers als Verantwortlichem

Zunächst muss angenommen werden, dass der Arbeitgeber als derjenige, der seinen Mitarbeitern die Zugänge zur Verfügung stellt, der Verantwortliche nach Art. 4 Nr. 7 der DSGVO ist und ihn deshalb eine Haftung nach Art. 83 DSGVO trifft.

Grundsätzlich ist es hierbei, entgegen den nationalen Regelungen von §§ 30 und 130 Ordnungswidrigkeitengesetz (OWiG), unerheblich, ob der Verstoß durch eine Leitungsperson oder einen gesetzlichen Vertreter des Arbeitgebers herbeigeführt wird. Die Haftung erstreckt sich in Ausprägung des funktionalen Unternehmensbegriffs grundsätzlich auch auf die Beschäftigten in Positionen unter der Leitungsebene.

Das gilt unabhängig davon, ob der Arbeitgeber eine Aufsichtspflicht verletzt hat oder er Kenntnis vom Verstoß hatte.

Der Erwägungsgrund 150 zur DSGVO nimmt auf diese Regelung eindeutig Bezug. Bestätigt hat diese Auffassung auch das Landgericht Bonn in seiner Entscheidung vom 11. November 2020, Az. 29 OWi 1/20, zum Verstoß durch 1&1.

Wichtig
Der Arbeitgeber kann sich mit gewissen Maßnahmen exkulpieren, also von der Schuld befreien. Dafür muss er  seinen Mitarbeitenden arbeitsvertraglich die Nutzung der Arbeitsmittel zu privaten Zwecken untersagen, sie regelmäßig über den Datenschutz belehren und sie so sorgfältig auswählen, dass keine regelmäßige Kontrolle nötig ist, wenn Vorverhalten, Wissensstand und Stellung passen.

Hat der Arbeitgeber jedoch Kenntnis von der Handlung und duldet er dieses Verhalten, lässt sich eine gemeinsame Verantwortlichkeit des Mitarbeiters bzw. der Mitarbeiterin und des Arbeitgebers gemäß Art. 26 DSGVO annehmen.

Keine Haftung, wenn Mitarbeiter gegen Anweisungen und für private Zwecke handelt

Nach Auffassung der Datenschützer ist diese sehr weite Haftung des Arbeitgebers jedoch unbillig, wenn der Mitarbeiter gegen klare Unterweisungen des Arbeitgebers, ausschließlich zu privaten Zwecken und damit im sogenannten Exzess handelt.

Ein Exzess liegt gemäß der Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (mit Ausnahme von Bayern und Baden-Württemberg) vor, wenn sich die Handlung des Beschäftigten nicht mehr dem Kreis der jeweiligen unternehmerischen Tätigkeit zurechnen lässt.

Folglich liegt ein Exzess vor, wenn die Datenverarbeitung keiner dienstlichen Notwendigkeit unterliegt.

Mitarbeiter haftet persönlich

Die Verantwortlichkeit für einen Verstoß gegen die DSGVO verlagert sich auf den handelnden Mitarbeiter bzw. die handelnde Mitarbeiterin persönlich, wenn ein Exzess vorliegt. Er oder sie hat zwar die Mittel des Arbeitgebers für die Verarbeitung personenbezogener Daten benutzt, die Daten jedoch nicht zu dem Zweck verarbeitet, den der Arbeitgeber vorsieht.

Beispiel 1: Abfrage beim Einwohnermeldeamt für private Zwecke

Ein Beispiel ist eine Abfrage beim Einwohnermeldeamt zu einer dritten Person oder aber auch zur eigenen Person durch einen Polizisten oder eine Polizistin, ohne dass eine dienstliche Notwendigkeit vorliegt.

Eine dienstliche Notwendigkeit lässt sich ausschließlich dann bejahen, wenn der Polizeibeamte oder die Polizeibeamtin innerhalb seines oder ihres Ressorts und innerhalb zugewiesener Aufgaben die vorgenannte Abfrage tätigt, um z.B. die Anschrift eines Beschuldigten zu erfahren, nachdem dieser am bekannten Wohnort nicht angetroffen wurde.

Handelt der Polizeibeamte oder die Polizeibeamtin jedoch, ohne konkret mit einer Sache dienstlich betraut zu sein, die den angeforderten Datensatz betrifft, und ausschließlich im persönlichen Interesse, ist eine dienstliche Notwendigkeit der Abfrage klar zu verneinen.

Im vorgenannten Beispiel handelt es sich um eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO, die gemäß Art. 6 Abs. 1 DSGVO eine legitimierende Rechtsgrundlage benötigt. Somit stellt bereits der genannte Abruf und nicht erst die Erhebung der vom Einwohnermeldeamt übermittelten Daten eine Ordnungswidrigkeit dar.

Beispiel 2: Missbrauch von Kundendaten zu privaten Zwecken

Ein weiteres Beispiel ist die Aufnahme von Kundendaten, um einen Vertrag zu erfüllen. Sie erfolgt nach Art. 6 Abs. 1 Buchst. b DSGVO rechtmäßig. Doch dann nutzt ein Mitarbeiter die Telefonnummer zur rein privaten Kontaktaufnahme außerhalb des abzuwickelnden Vertragsverhältnisses, ohne Einwilligung der kontaktierten Person.

Die Datenverarbeitung würde eine Zweckänderung darstellen. Die Prüfung der Rechtmäßigkeit erfolgt anhand der strengen Anforderungen von Art. 6 Abs. 4 DSGVO. Die beschriebene Zweckänderung wäre hiernach unrechtmäßig und folglich ein Verstoß gegen die DSGVO. Eine solche Zweckänderung der verarbeiteten Daten unterfiele dem Exzess-Tatbestand. Denn es ist nicht möglich, die Handlung des Mitarbeiters oder der Mitarbeiterin zur unternehmerischen Tätigkeit des Unternehmens zu rechnen.

Wie werden Datenschutz-Verstöße geahndet?

Eine Ahndung der Ordnungswidrigkeit(en) kann sich nach den europarechtlichen Bestimmungen von Art. 83 DSGVO, nach Bundes- oder nach Landesrecht richten, je nachdem, welcher Anwendungsbereich eröffnet ist. Der Bußgeldrahmen ist nach den einschlägigen Rechtsgrundlagen unterschiedlich weit gesteckt.

  • Nach der DSGVO sind Bußgelder von bis zu 20 Mio. € möglich, wenn auch unwahrscheinlich. Denn der Verhältnismäßigkeitsgrundsatz muss in jedem Einzelfall gewahrt bleiben.
  • Nach den Landesrechten spannt sich der Rahmen in der Regel auf bis zu 25.000 € oder 50.000 €.

Um die Verhältnismäßigkeit der Bußgeldhöhe zu bestimmen, sind Faktoren wie Art und Schwere der Tat, vorsätzliches oder fahrlässiges Handeln, die Erwirkung eines wirtschaftlichen Vorteils oder etwa die Verwirklichung eines Schadens etc. zu berücksichtigen.

Das Einkommen der betroffenen Person dient der Ordnungswidrigkeiten-Stelle bei der Ermittlung der Ahndungsempfindlichkeit. Gleichermaßen muss die zuständige Stelle jedoch darauf achten, ähnliche Ordnungswidrigkeiten in etwa gleicher Höhe zu ahnden.

Praxis-Tipp
Beschäftigte sollten folglich genau überlegen, welche personenbezogenen Daten sie zu welchen Zwecken verarbeiten. Manchmal genügt es schon, dienstliche Informationen an Dritte weiterzuerzählen, um einen datenschutzrechtlichen Verstoß herbeizuführen.

Diese Auffassung mag auf den ersten Blick sehr streng wirken. Führt man sich gleichwohl vor Augen, welchen Wert personenbezogene Daten in der heutigen Gesellschaft haben, welche Risiken und Folgeschäden bei der Verletzung des Schutzniveaus personenbezogener Daten möglich sind, wird schnell deutlich, dass die grundrechtlich geschützten personenbezogenen Daten keinen geringeren Schutz verdient haben.

Nadine Belger

Nadine Belger
Verfasst von
Nadine Belger
Nadine Belger
Nadine Belger ist Referentin im Bereich Recht bei der Beauftragten für den Datenschutz und für das Recht auf Akteneinsicht im Land Brandenburg. Sie war zuvor als Rechtsanwältin tätig und kann daher sowohl den Blickwinkel der freien Wirtschaft als auch den der Aufsichtsbehörden auf den Datenschutz nachvollziehen.
2 Kommentare
8. April 2021 | 15:20
Jens
Mehr anzeigen Weniger anzeigen
    Antwort der Redaktion
    9. April 2021 | 6:44
    Die Redaktion (Antwortet auf Jens)
    Mehr anzeigen Weniger anzeigen
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.