Welche Pflichten haben Mitarbeiter im Hinblick auf den Datenschutz?

Für Mitarbeiter gilt im Hinblick auf den Datenschutz grundsätzlich die Weisungsgebundenheit gegenüber dem Arbeitgeber. Sie sind damit verpflichtet, Weisungen des Arbeitgebers zur Ausübung ihrer Arbeit und zur Einhaltung des Datenschutzes sorgsam zu folgen.

Kommt es zu einem Datenschutzverstoß, können Mitarbeiter, die diesen durch die Missachtung ihrer Pflichten verursacht haben, unter Umständen in Haftung genommen werden. Wurde der Datenschutzverstoß von einem Mitarbeiter nicht mehr im Rahmen der betrieblich veranlassten Tätigkeit begangen, kann er sogar alleinig dafür zur Verantwortung gezogen werden.

Im Folgenden beleuchten wir die unterschiedlichen Pflichten und Folgen für Mitarbeiter im Falle eines Datenschutzverstoßes.

Verantwortung für den Datenschutz trägt in der Regel das Unternehmen

Kommt es zu einem Datenschutzverstoß, auch „Datenpanne“ genannt, geht in der Regel das Unternehmen bzw. der Arbeitgeber in Grundhaftung unabhängig davon, ob die Pflichtverletzung eines Mitarbeiters dafür ursächlich war. Eine Ausnahme besteht dann, wenn ein Mitarbeiter personenbezogene Daten in einer Weise verarbeitet hat, die nicht mehr im Rahmen der betrieblichen Tätigkeit liegen. Mehr dazu erfahren Sie im nächsten Abschnitt.

Der Arbeitgeber ist allerdings in jedem Fall grundsätzlich dazu verpflichtet, dafür zu sorgen, dass personenbezogene Daten datenschutzkonform verarbeitet werden. Es müssen also angemessene technische und organisatorische Maßnahmen (TOMs) ergriffen werden. Im Rahmen dessen muss zum Beispiel sichergestellt sein, dass die Beschäftigten die nötigen Schulungen und Weisungen erhalten haben, um ihre Tätigkeit datenschutzkonform auszuüben.

Ein Beschäftigter ist dabei nicht dafür verantwortlich, zu bewerten, ob die Voraussetzungen und die erhaltenen Weisungen tatsächlich eine datenschutzkonforme Arbeit ermöglichen. Solange er seine Arbeit weisungsgemäß und sorgfältig ausübt, erfüllt er seine Pflichten und muss auch im Falle eines Datenschutzverstoßes in der Regel keine Konsequenzen fürchten.

Entsteht ein Datenschutzverstoß hingegen dadurch, dass einem Mitarbeiter ein Fehler im Rahmen seiner betrieblichen Arbeit unterlaufen ist, kann dieser abhängig vom Grad des Pflichtverstoßes im Rahmen eines innerbetrieblichen Schadensausgleichs in Haft genommen werden. Mehr dazu weiter unten.

Datenschutzverstöße außerhalb der betrieblichen Tätigkeit – der Exzess

Verarbeitet ein Mitarbeiter personenbezogene Daten trotz eines ausdrücklichen Verbots eigenmächtig außerhalb des Rahmens seiner betrieblichen Tätigkeit, kann ein sogenannter Exzess vorliegen. Ein Beispiel dafür ist, wenn ein Mitarbeiter die ihm anvertrauten personenbezogenen Daten etwa eines Kunden nutzt, um diesen privat zu kontaktieren.

Im Falle eines Exzesses kann der jeweilige Mitarbeiter ggf. alleinig und vollständig zur Verantwortung gezogen werden. Das gilt jedoch nicht, wenn das Fehlverhalten des Arbeitgebers auch aufgrund unzureichender Datenschutzmaßnahmen zustande gekommen ist. Wird beispielsweise der Zugriff auf personenbezogene Daten nicht ausreichend geschützt bzw. limitiert, kann auch hier das Unternehmen anteilig oder gar vollständig haften.

Unternehmen müssen daher ein effektives Datenschutz-Compliance-Sytem vorhalten, um bei Exzessen ihrer Mitarbeiter nicht zu haften.

Haftungsansprüche im Rahmen des innerbetrieblichen Schadensausgleiches

Geht ein Datenschutzverstoß auf den Fehler eines Mitarbeiters zurück, der jedoch im Rahmen seiner betrieblichen Tätigkeit passierte, haftet in der Regel der Arbeitgeber gegenüber den Geschädigten. Insbesondere muss dieser damit auch etwaig verhängte Bußgelder bezahlen. Allerdings kann der Arbeitgeber unter Umständen einen Haftungsanspruch im Rahmen eines innerbetrieblichen Schadensausgleiches gegen den verursachenden Mitarbeiter geltend machen.

Entscheidend dafür ist der Grad der Fahrlässigkeit des Fehlverhaltens, der immer im Einzelfall bewertet werden muss. Kleinere Unaufmerksamkeiten wie etwa das versehentliche Versenden einer E-Mail an die falsche Adresse begründen in der Regel keinen Haftungsanspruch.

Bei gröberem Fehlverhalten kann der Arbeitnehmer dagegen zumindest teilweise in Haftung genommen werden. In der Regel gibt es jedoch unabhängig vom Grad des Fehlverhaltens eine Obergrenze für Arbeitnehmer, sodass selbst bei einem sehr groben Fehlverhalten der Arbeitgeber weiterhin einen Teil der Kosten begleichen muss.

Unternehmen sind gefordert

Unternehmen müssen ihr Datenschutz-Management-System so sicher wie möglich aufstellen. Einerseits werden dadurch Datenschutzverstöße effektiv vermieden. Auf der anderen Seite steigen bei einem aufgetretenen Verstoß die Chancen, zumindest einen Teil der entstandenen Kosten auf den verursachenden Arbeitnehmer abzuwälzen.

Wichtig ist auch, vorzusorgen und sich bewusst zu machen, welche Pflichten sich für Unternehmen bei einem Datenschutzverstoß ergeben. Handelt das Unternehmen hier falsch, können etwaige Bußgelder noch höher ausfallen und damit gravierende Folgen für den gesamten Betrieb nach sich ziehen.

Wir unterstützen Unternehmen beim Erreichen bestmöglicher Compliance und sorgen dafür, dass im Falle eines Datenschutzverstoßes alle notwendigen Pflichten erfüllt werden. Wenden Sie sich gerne an uns, um sich bestmöglich abzusichern.