Wer für einen Schaden verantwortlich ist, muss auch die Folgen tragen. Das betrifft auch die Konsequenzen, die sich aus einem datenschutzrechtlichen Verstoß ergeben. Kann der mutmaßlich Verantwortliche nachweisen, dass er den Schaden nicht verursacht hat, entfällt die Haftung gemäß Art. 82 Abs. 3 DSGVO. Wenn ein Arbeitnehmer während der Arbeitszeit einen datenschutzrechtlichen Verstoß verursacht, ist der Arbeitgeber in der Regel der Verantwortliche (zu speziellen Ausnahmen siehe hier und hier).
Mögliche durch einen Arbeitnehmer begangene Verstöße können z. B. sein: Öffnen eines erkennbar schadhaften E-Mail-Anhangs, eine nicht erkannte Phishingattacke, der fehlende Abschluss von Verträgen zur Auftragsverarbeitung, die Entsorgung von sensiblen Dokumenten im normalen Müll, anstatt im Schredder oder der Datenschutztonne etc.
Wie kann aber ein Arbeitgeber darlegen, dass er nicht für den Schaden verantwortlich ist, den seine Arbeitnehmer verursacht haben? Schließlich besagt Art. 82 Abs. 3 DSGVO, dass der Verantwortliche „von der Haftung gemäß Absatz 2 befreit [wird], wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Die DSGVO regelt in den Artt. 29 und 32 Abs. 4 DSGVO, dass Arbeitnehmer personenbezogene Daten nur aufgrund einer Weisung des Verantwortlichen (des Arbeitgebers) verarbeiten dürfen und dieser Vorkehrungen einrichten muss, um diesen Prozess sicherzustellen.
Da liegt es nahe, dass der Arbeitgeber diverse Anweisungen, Arbeitsrichtlinien und Verhaltensweisen anordnet, um sich so seiner Verantwortung zur Einhaltung der datenschutzrechtlichen Grundsätze zu entziehen. Verschwiegenheitserklärungen, Verpflichtungen auf das Datengeheimnis oder die schlichte schriftliche Anordnung, dass das geltende Datenschutzrecht anzuwenden ist, finden sich in der Regel in den Unterlagen für neue Mitarbeiter. Ist es damit für den Arbeitgeber schon getan und kann er jetzt schon darlegen, nicht mehr für ein Fehlverhalten des Mitarbeiters verantwortlich zu sein, weil er klar die Regeln vorgegeben hat? Reichen diese Maßnahmen aber aus, damit der Arbeitgeber nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreit wird?
Rechtsprechung des EuGH
Der EUGH hat sich in einer viel diskutierten Entscheidung (EuGH, Urteil vom 11.4.2024 – C-741/21) nicht nur dazu geäußert, dass ein Datenschutzverstoß für sich genommen noch nicht ausreicht, um einen „immateriellen Schaden“ zu begründen (kein Schadensersatz ohne konkreten Schaden), sondern auch zu den Voraussetzungen Stellung bezogen, nach denen sich ein Arbeitgeber das datenschutzwidrige Verhalten eines Arbeitnehmers nicht mehr zurechnen lassen muss.
Konkret geht es um die Frage, ab wann der Arbeitgeber nicht mehr verantwortlich ist, wenn eine ihm unterstellte Person einen Verstoß begangen hat.
Der EuGH führt aus, dass Mitarbeiter grds. nur Daten auf Grundlage einer Weisung des Verantwortlichen verarbeiten dürfen, Art. 29 DSGVO. Aus Art. 32 Abs. 4 DSGVO wird zudem geschlossen, dass es die Pflicht des Arbeitgebers ist, die Umsetzung seiner Weisung zu kontrollieren. Es reicht nicht aus, nur die entsprechenden Anweisungen zu geben, um sich der Haftung zu entziehen und auf das Fehlverhalten der Angestellten zu verweisen. Ein bloßes Berufen auf Fahrlässigkeit oder das Fehlverhalten des Angestellten reiche für eine Befreiung nicht aus. Unzureichend ist es, dass es eine Weisung zu einem datenschuztkonformen Umgang mit den personenbezogenen Daten gab und die betroffene Person dieser nicht nachkam.
Damit ist ein pauschales Verpflichten mit diversen Anweisungen, Richtlinien etc. für sich noch nicht geeignet, dem Haftungsrisiko zu entgehen.
Der EuGH hatte bereits 2023 geurteilt, dass eine Haftungsbefreiung dann möglich sei, wenn u. a. die technischen und organisatorischen Maßnahmen umgesetzt wurden (EuGH, Urteil vom 14.12.2023 – C-340/21, Besprechung siehe hier), da „ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren“ (Rn. 39 des Urteils). Zu diesen organisatorischen Maßnahmen gehört nicht nur eine der Zeit angemessene Technik, sondern auch nach Art. 32 Abs. 4 DSGVO die Sicherstellung des Verantwortlichen, dass die Datenverarbeitung nur auf eine Anweisung hin geschieht. Allein eine Weisung an den Arbeitnehmer reicht aber auch hier nicht aus (z. B. Weisung zur regelmäßigen Durchführung von Softwareupdates oder eine Passwort Policy einzuhalten). Vielmehr muss der Verantwortliche auch sicherstellen, dass die Weisungen richtig umgesetzt werden. Die Haftungsfreistellung des Arbeitgebers wird also nicht nur durch datenschutzkonforme Weisungen erreicht, sondern zusätzlich durch die Kontrolle einer erfolgreichen Umsetzung.
Möchte ein Arbeitgeber das von seinen Angestellten ausgehenden Haftungsrisiko minimieren, muss er also zumindest folgende Maßnahmen kumulativ umsetzen:
- Aktuelle und der Zeit entsprechende technische und organisatorische Maßnahmen nach Art. 32 DSGVO und Schulung der Mitarbeiter
- Dem Datenschutz entsprechende Arbeitsanweisungen bezüglich einer Datenverarbeitung (dazu gehören laut EuGH auch die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO wie das „need to know Prinzip“ (mehr dazu hier), Zweckbindung der Datenverarbeitung, Datenminimierungsgrundsatz, Verarbeitung von inhaltlich „richtigen“ Daten etc.)
- Die Möglichkeit des Nachweises, dass im konkreten Fall ein Missbrauch der datenschutzkonformen Anweisungen stattfand. Dieser Nachweis kann durch aktuelle Anweisungen, Schulungen und z. B. Stichproben oder Kontrollen (z. B. fingierte Phishingmails zu Trainings- und Nachweiszwecken) erbracht werden
Ebenfalls in diese Richtung der Haftungsbefreiung des Arbeitgebers geht die kurz vorher ergangene Entscheidung des LAG Baden-Württemberg vom 05.03.2024, 15 Sa 45/23. Ein Arbeitnehmer hat rechtswidrig seinen Arbeitskollegen anstatt der fehleranfälligen Maschinen gefilmt (eine Absicht wurde bestritten). Hier lehnte das Gericht eine Haftung des Arbeitgebers unter anderem deswegen ab, weil der Arbeitnehmer vorher über seine datenschutzrechtlichen Pflichten informiert wurde. Das LAG führt dazu aus:
„Insoweit durfte sie darauf vertrauen, dass ein Mitarbeiter, an dessen Intelligenz und normalem Verhalten im Vorfeld keine Zweifel entstanden waren und der zuvor nicht einschlägig auffällig gewesen war, selbst wissen würde, dass er von anderen Menschen nicht ohne deren Einwilligung Videoaufnahmen am Arbeitsplatz anfertigen durfte. Denn Letzteres ist Allgemeinwissen, das bei jedem durchschnittlichen erwachsenen Menschen, erst recht bei jedem durchschnittlichen Teilnehmer am Arbeitsleben, unterstellt werden kann. Ein Arbeitgeber muss nicht davon ausgehen, dass seine Arbeitnehmer dies nicht wissen. Erst recht musste die Beklagte bei Herrn E. nicht mit einer diesbezüglichen Unwissenheit rechnen, nachdem er erst etwa zwei Jahre zuvor eine Verpflichtung zur Wahrung des Datenschutzes unterschrieben hatte“ (Landesarbeitsgericht Baden-Württemberg, Urteil vom 05.03.2024 Rn. 58.).