Haftung bei Datenschutzverstößen: Auch Mitarbeiter können zur Kasse gebeten werden

Bei Datenschutzverstößen heißt die landläufige lapidare Antwort auf die Haftungsfrage: Der Chef ist dran, also der Geschäftsführer in der GmbH sowie das Vorstandspersonal einer AG. Das stimmt so nur bedingt. Denn auch Mitarbeiter können haftbar gemacht und mit Bußgeldern belegt werden.

Datenschutz ist Chefsache. Prinzipiell müssen vor der DSGVO GmbH-Geschäftsführer und Vorstandsmitglieder von Aktiengesellschaften den Kopf hinhalten, wenn im Unternehmen schlampig mit Daten umgegangen wird. Das steht so im Artikel 4 der DSGVO: Adressat von Ansprüchen Dritter ist immer der Verantwortliche, sprich der Arbeitgeber, der die Datenverarbeitung in Auftrag gegeben hat. Kommt es zum nachweislichen Verstoß gegen das Datenschutzrecht, treten die Artikel 82 und gegebenenfalls Artikel 83 in Kraft. Artikel 83 DSGVO regelt die Möglichkeit von Aufsichtsbehörden, Bußgelder gegen Unternehmen zu verhängen. Artikel 82 wiederum regelt Schadenersatzansprüche von Betroffenen, die beispielsweise durch eine Datenschutzpanne in Mitleidenschaft gezogen werden.

Da nützt dem Chef oder dem Vorstand auch der Hinweis auf eigene Wissenslücken nichts. Genauso wenig schützt der Nachweis darüber vor Strafe, dass die Datenschutz-Problematik aus der Chefetage delegiert wurde. Chef und Vorstand müssen sich regelmäßig davon überzeugen, wie es um den Datenschutz in der Firma steht. Bester Ansprechpartner ist der interne oder externe Datenschutzbeauftragte, der alle relevanten Datenverarbeitungs-Prozesse und Speicher-Praktiken kennen muss, wenn er seinen Job erstnimmt. Zusätzlich gehört ein persönlicher Datenschutz-Check in die Chef-Terminkalender, am besten gut vorbereitet durch den Datenschutzbeauftragten. Denn seit Einführung der DSGVO haben sich die Bußgelder, die die Aufsichtsbehörden inzwischen verhängen, drastisch verteuert.

Mitarbeiter können auch haften

Ein Arbeitsverhältnis weist generell gegenseitige Pflichten und Rechte auf, so auch beim Thema Datenschutz. Dem Arbeitgeber obliegt die Sorgfaltspflicht, alle nötigen Schritte und Prozesse vorzunehmen, die den Datenschutz im Unternehmen sichern. Dazu gibt er den Arbeitnehmern klar verständliche Anweisungen und erlässt betriebsinterne Vorschriften. Verstößt der Arbeitnehmer vorsätzlich gegen diese Vorschriften, kann er vom Arbeitgeber im Falle eines Bußgelds oder eines Schadenersatzanspruchs mithaftend gemacht werden. Mitarbeiter können dann in Haftung genommen werden, wenn sie einen der drei Haftungsgrundsätze der Fahrlässigkeit erfüllen, den die DSGVO vorsieht:

• Leichteste Fahrlässigkeit
  Hierunter fallen Unachtsamkeiten oder Unklarheiten, die einen Fehler verursachen, den der Arbeitnehmer nicht in vollem Bewusstsein begeht. Bei solchen Vergehen ist er nicht haftbar zu machen.
• Mittlere Fahrlässigkeit
  Bei dieser Art Fahrlässigkeit verstößt der Arbeitnehmer wissentlich gegen geltende Vorschriften und billigt, dass ein folgenschwerer Fehler durch seinen unzureichenden Umgang mit Daten passieren kann. Zwar will er in diesem Fall keinen direkten Rechtsbruch begehen, um etwa das Unternehmen zu schädigen. Aber er vernachlässigt seine Sorgfaltspflicht und geht die Konsequenzen bewusst ein.
• Grobe Fahrlässigkeit
  Hierbei handelt es sich um einen Verstoß, den der Mitarbeiter in vollem Bewusstsein begeht, auch was die Konsequenzen angeht. Allerdings hat der Gesetzgeber für diesen Fall einen „Schutzschirm“ aufgespannt: Die Kosten, die dem Arbeitnehmer durch einen Bußgeldbescheid oder Schadenersatzansprüche aufgelastet werden können, müssen im Verhältnis zu seinem Monatsverdienst stehen und sollen drei Monatsentgelte nicht übersteigen. Lediglich bei nachweisbar vorsätzlichen Datenschutzverstößen haftet der Arbeitnehmer vollumfänglich.

Fazit: Der Grundsatz „Datenschutz ist reine Chefsache“ ist nicht zutreffend. Im Unternehmen sind alle gleichermaßen für den Datenschutz verantwortlich. Zu einer guten Unternehmenskultur gehört, dass Mitarbeiter um die Konsequenzen für alle Beteiligten wissen, die entstehen können, wenn es zu Datenschutzverstößen kommt. Dazu gehört ganz klar auch die Mitarbeiterhaftung. Dieser Punkt sollte also regelmäßig bei internen Schulungen zum Thema Datenschutz auf der Agenda stehen.