Konsequenzen bei unbefugter Datenverarbeitung
Dass bei der Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 und 2 DS-GVO) von den hiermit betrauten Mitarbeitern die gesetzlichen und internen Datenschutzvorgaben zu beachten sind, ist per se eine Selbstverständlichkeit. Gleichwohl ist eine hierauf gerichtete formelle Verpflichtung – z. T. auch aufgrund gesetzlicher Vorgaben – angezeigt. Hinzuweisen ist dabei auf die bei einem Verstoß u. a. drohenden arbeits-, haftungs- und strafrechtlichen Sanktionen.
Professor Peter Gola beleuchtet in seinem aktuellen Beitrag die Folgen von unbefugter, eigenmächtiger Datenverarbeitung durch Beschäftigte. Dabei gibt er einen umfassenden Überblick von den Arbeitgeberpflichten über das Datengeheimnis bis hin zu arbeitsrechtlichen Maßnahmen sowie einem effektiven Datenschutzmanagement.
Vorbemerkung
Unbefugte Verarbeitungen von personenbezogenen Daten geschehen auch durch zu ihrem eigenen Vorteil handelnde Mitarbeiter. In diesem Fall macht sich der Beschäftigte unbefugt zum haftbaren Verantwortlichen (Art. 4 Nr. 7 DS-GVO). Konsequenz kann eine Strafe oder ein Bußgeld sein. Auch ein – vornehmlich immaterieller – Schadensersatz des Betroffenen kann fällig werden. Unbefugten Beschäftigten drohen arbeitsrechtliche Konsequenzen inklusive der Beendigung des Beschäftigungsverhältnisses.
Die allgemeinen Vorgaben
Der Arbeitgeber als Verantwortlicher
Dass der Arbeitgeber für die Gesetzmäßigkeit der Verarbeitung personenbezogener Daten durch die von ihm Beschäftigten einzustehen hat, macht die DS-GVO u. a. deutlich, indem sie ihn als hierfür nachweispflichtigen „Verantwortlichen“ (Art. 4 Abs. 2 Nr. 7 und Art. 5 Abs. 2 DS-GVO) deklariert. Demgemäß ist er verpflichtet, durch dem Gefährdungspotenzial entsprechende Maßnahmen unbefugte Verarbeitungen zu verhindern (Art. 5 Abs. 1 lit. f DS-GVO). Dazu sind konkrete Arbeitsanweisungen und die Kontrolle ihrer Einhaltung geboten. Dementsprechend ist die Kündigung eines Arbeitnehmers ggf. auch schon aufgrund von „Nachlässigkeiten“ in Sachen Datenschutz zulässig.
Das Datengeheimnis als Beschäftigtenpflicht
Dass bei der Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 und 2 DS-GVO) von den hiermit betrauten Mitarbeitern die gesetzlichen und internen Datenschutzvorgaben zu beachten sind, ist per se eine Selbstverständlichkeit. Gleichwohl ist eine hierauf gerichtete formelle Verpflichtung – z. T. auch aufgrund gesetzlicher Vorgaben (im öffentlichen Bereich: § 53 BDSG und Landesdatenschutzgesetze: z. B. § 35 LDSG-Rh.-Pf.) – angezeigt. Hinzuweisen ist dabei auf die bei einem Verstoß u. a. drohenden arbeits-, haftungs- und strafrechtlichen Sanktionen.
Auch wenn sich aus der DS-GVO wohl kein ausdrücklicher Unterlassungsanspruch gegen unbefugte Datenabflüsse ergibt, steht Art. 79 DS-GVO der Anwendung hierauf gerichteter sonstiger Normen (z. B. 1004 BGB) nicht entgegen.
Der im Eigeninteresse unbefugt handelnde Beschäftigte als Verantwortlicher (Mitarbeiterexzess)
Besonders gravierend sind natürlich die unbefugten Datennutzungen bzw. -entwendungen zwecks Eigennutzung durch den Beschäftigten. Verkauft der Mitarbeiter einer Bank Kundendaten an ein Konkurrenzunternehmen, so können sowohl der Arbeitgeber als auch die Betroffenen einen materiellen und die Betroffenen ggf. auch einen immateriellen Schaden erleiden, der gegenüber beiden Beteiligten geltend gemacht werden kann. Jedoch ist die für einen immateriellen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO erforderliche Eingriffsintensivität nach wie vor strittig.
In Betracht kommen kann auch eine gesamtschuldnerische Mithaftung des Unternehmens nach Art. 82 Abs. 2 DS-GVO, weil z. B. keine effektiven Sicherungsmaßnahmen eingerichtet waren. Verarbeiten Beschäftigte personenbezogene Daten, indem sie eigene Zwecke verfolgen und Handlungen vornehmen, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind, werden sie dadurch zu Verantwortlichen i. S. v. Art. Nr. 7 DS-GVO. Der Mitarbeiter haftet dann selbst nach Art. 82 DS-GVO. Bei einer unbefugten Mitnahme von Daten in ein neues Arbeitsverhältnis kann von den Aufsichtsbehörden gegen den neuen Arbeitgeber und den abgewanderten Mitarbeiter ein Bußgeld verhängt werden.
Auch wenn die für eigene Zwecke entfremdeten Daten nur rein private Interessen bzw. der Befriedung persönlicher Neugier dienen, steht Art. 2 Abs. 2 lit. c DS-GVO der Anwendung der DS-GVO nicht entgegen. Die hierfür geforderte bloße „persönlichen oder familiären Tätigkeit“ liegt nicht vor. Die DS-GVO soll nur dann nicht anwendbar sein, wenn die Tätigkeit gänzlich „ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird“. Dies ist bei einem „Mitarbeiterexzess“ regelmäßig nicht der Fall.
Eigenmächtiges Fehlverhalten von Mitarbeitern führt schließlich i. d. R. auch zu meldepflichtigen Verletzungen des Schutzes personenbezogener Daten gem. Art. 33 Abs. 1 DS-GVO. Konsequenterweise muss der durch einen „Mitarbeiterexzess“ zum Verantwortlichen gewordene Arbeitnehmer auch die weiteren Pflichten aus der DS-GVO erfüllen, die einen Verantwortlichen betreffen. Dazu gehört z. B. auch, dass er die Betroffenen nach Art. 14 DS-GVO über den Abruf bzw. Speicherung ihrer Daten informieren müsste.
Lesen Sie den vollständigen Beitrag aus der HR Performance 1/2024.