Im deutschen Recht gilt grundsätzlich, dass derjenige, der einen Schaden zu vertreten hat, auch den entstandenen Schaden ersetzen muss (§ 276 BGB). Jeder ist also für sein eigenes Verhalten verantwortlich, egal ob in der Freizeit oder im Beruf. Das Bürgerliche Gesetzbuch (BGB) differenziert prinzipiell nicht nach dem Ort oder der Zeit, sondern, wenn überhaupt, nach dem Grad der persönlichen Pflichtverletzung.
Grundsätzliches zur Haftung des Arbeitnehmers
Dieses Prinzip, dass an die Eigenverantwortung eines jeden Menschen appelliert, wird aber dann regelmäßig hinterfragt, wenn die Folgen so gravierend sind, dass ein starres Festhalten an dem oben genannten Grundprinzip nicht mehr vertretbar erscheint. Soll der Fließbandarbeiter wirklich für den gesamten Schaden aufkommen, wenn durch sein Fehlverhalten die Produktion stillsteht? Kann man von einem Fluglotsen verlangen, dass er finanziell für die Folgen seines Fehlers geradestehen muss? Diese, zugegebenermaßen extremen Beispiele, sollen das zu lösende Dilemma verständlich machen.
Wie sieht es aus, wenn der Arbeitnehmer gegen die DSGVO verstoßen hat?
Haftung nach der DSGVO
Die DSGVO sieht bei Datenschutzverletzungen sowohl die Möglichkeit der Verhängung eines Bußgeldes durch die Aufsichtsbehörde als auch einen Schadensersatzanspruch des Betroffenen (Art. 82, 83 DSGVO) vor. Die zentrale Rolle nach der DSGVO spielt dabei der „Verantwortliche“. Dies ist nach Art. 4 Nr.7 DSGVO eine „natürliche oder juristische Person…die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Nach dieser Definition kommen als Verantwortlicher sowohl Arbeitgeber als auch einzelne Arbeitnehmer in Betracht. Für eine datenschutzrechtliche Verantwortlichkeit des Arbeitnehmers bleibt aber im Ergebnis kein Raum, da normalerweise der Arbeitgeber darüber entscheidet, welche Daten erhoben werden, welchem unternehmerischen Zweck sie dienen und welche dafür notwendigen technischen und organisatorischen Maßnahmen erforderlich sind. Grundsätzlich lässt sich also feststellen, dass in der Praxis der Haftende der Arbeitgeber ist, da er „Verantwortlicher“ nach der DSGVO ist, auch wenn der Arbeitnehmer den Verstoß begangen hat. Diese Auffassung ist auch die der Datenschutzkonferenz (DSK) als Vereinigung der deutschen Datenschutzaufsichtsbehörden. Das Unternehmen soll voll für das Fehlverhalten seiner Arbeitnehmer haften, außer der Mitarbeiter handelt in einem sog. „Mitarbeiterexzess“. Diese Meinung der DSK entfaltet allerdings keine Rechtskraft und gibt lediglich einen Hinweis, wer Empfänger eines möglichen Bußgeldes sein kann, das die jeweilige zuständige Aufsichtsbehörde erlässt. Über die Rechtmäßigkeit einer Maßnahme oder eines Schadensersatzes entscheidet aber in letzter Instanz das Bundesarbeitsgericht (BAG). Und das ist zumindest bei dem oben genannten „Mitarbeiterexzess“ einer Meinung mit der Datenschutzkonferenz.
Der sogenannte Mitarbeiterexzess
Begeht der Mitarbeiter den datenschutzrechtlichen Verstoß in einem „Mitarbeiterexzess“, ist der Arbeitgeber nicht mehr in der Haftung und auch nicht mehr potentieller Empfänger eines Bußgeldes, sondern nur der handelnde Arbeitnehmer. Diese Situation betrifft Fälle, in denen der Arbeitnehmer sich außerhalb seines arbeitsvertraglich vorgesehenen Aufgabenbereichs aufhält und objektiv betrachtet nicht mehr „für seinen Arbeitgeber tätig ist“. Eine Zurechnung seines Handelns zu Lasten des Arbeitgebers ist sachlich nicht mehr zu vertreten, da sie nicht dem unternehmerischen Tätigkeitsbereich zuzuordnen sei. Demzufolge kann der Arbeitgeber auch nicht mehr „Verantwortlicher“ i. S. d. DSGVO sein und läuft damit nicht Gefahr, bußgeld- oder schadensersatzpflichtig zu sein. Stattdessen ist jetzt der Arbeitnehmer der „Verantwortliche“ und sieht sich dem o. g. Risiko ausgesetzt.
Ein geradezu schon klassisches Beispiel ist die private Nutzung von beruflich erlangten Kontaktinformationen. So hat ein Polizeibeamter in Baden-Württemberg die polizeilichen Datenbanken genutzt, um die Kontaktdaten einer privaten Bekanntschaft zu ermitteln. Gegen ihn hat der LfDI (Landesbeauftragte für Datenschutz und Informationsfreiheit) Baden-Württemberg ein Bußgeld i.H.v. 1.400,- EUR verhängt (wir berichteten). Der LfDI kam zu dem Ergebnis, dass dieses Handeln nicht mehr der Polizeibehörde zugerechnet werden kann. Ähnlich gelagert und beispielhaft ist auch ein Fall in Hamburg, bei dem Restaurantmitarbeiter versucht haben, über die Corona bedingten Anwesenheitslisten in Restaurants, private Kontakte zu herzustellen.
Aber ist die DSGVO überhaupt anwendbar, wenn nur rein private Interessen verfolgt werden? Immerhin sieht Art. 2 Abs. 2 lit. c der DSGVO vor, dass die Vorschriften nicht anzuwenden seien, wenn natürliche Personen rein private oder familiäre Interessen verfolgen. Die Fachliteratur und die zur Auslegung der DSGVO vorhandenen Erwägungsründe konkretisieren den Begriff der „persönlichen oder familiären Tätigkeit“. Es sei nicht nur auf den Zweck der Handlung abzustellen, sondern auf den Gesamtkontext der datenbezogenen Verarbeitung. Die DSGVO soll nur dann in diesen Fällen nicht anwendbar sein, wenn die Tätigkeit gänzlich „ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird“. Dies ist bei einem „Mitarbeiterexzess“ regelmäßig zu verneinen.
Weitere Ansprüche gegen den Arbeitnehmer beim Mitarbeiterexzess
Konsequenterweise muss der durch einen „Mitarbeiterexzess“ zum Verantwortlichen gewordene Arbeitnehmer auch die weiteren überraschenden Pflichten aus der DSGVO erfüllen, die nur den Verantwortlichen betreffen. Dazu gehört z. B. auch, dass er die Betroffenen nach Art. 14 DSGVO über den Abruf ihrer Daten informiert. Um das Führen eines Verarbeitungsverzeichnisses wird er noch herumkommen, wenn er die Daten nur gelegentlich verwendet, Art. 30 Abs. 5 DSGVO. Anders sieht es aber bei den Auskunftsansprüchen Betroffener aus. Hier drohen bußgeldbewehrte Pflichtverletzungen des Mitarbeiters.
Regress des Arbeitgebers beim Arbeitnehmer nach derzeitiger Rechtsprechung
Anders als die DSK (siehe oben), sieht es das Bundesarbeitsgericht (BAG), wenn kein „Mitarbeiterexzess“ vorliegt, aber der Arbeitnehmer dennoch einen datenschutzrechtlichen Verstoß begangen hat. Das Arbeitsverhältnis ist rechtlich betrachtet ein Schuldverhältnis mit gegenseitigen Rechten und Pflichten. Auch den Arbeitnehmer treffen Sorgfaltspflichten gegenüber dem Arbeitgeber, z. B. das Einhalten von datenschutzrechtlichen Vorschriften. Verstößt der Arbeitnehmer dagegen und erhält der Arbeitgeber aufgrund seiner „Verantwortlichkeit“ ein Bußgeld (weil eben kein „Mitarbeiterexzess“ vorliegt“) oder muss Schadensersatz leisten, kann der Arbeitgeber im Innenverhältnis zum Arbeitnehmer Regress nehmen.
Nach Meinung des BAG kann der Arbeitnehmer auch dann schadensersatzpflichtig sein, wenn er nur fahrlässig den Verstoß begangen hat. Um aber auch den besonderen Situationen wie denen des o. g. Fluglotsen gerecht zu werden, wendet das BAG eine Differenzierung bzgl. der Verantwortlichkeit an, indem es das vorwerfbare Verhalten des Angestellten anhand verschiedener Stufen der Fahrlässigkeit beurteilt.
- Verursacht der Arbeitnehmer den Datenschutzverstoß nur leicht fahrlässig, haftet dieser Arbeitnehmer nicht. Dabei handelt es sich um leicht entschuldbare Pflichtverstöße, die grds. jedem Arbeitnehmer im Laufe seines Arbeitslebens passieren können. Dass im normalen Arbeitsalltag Fehler passieren können, die aber die Schwelle der leichten Fahrlässigkeit nicht überschreiten, habe der Arbeitgeber hinzunehmen, da der Arbeitnehmer „in dessen Wirtschafts- und Interessenskreis für Ihn“ tätig ist.
- Bei einer mittleren Fährlässigkeit soll grundsätzlich eine anteilige Haftung vorliegen. Die mittlere oder „normale“ Fahrlässigkeit liegt vor, wenn der Arbeitnehmer die objektiv erforderliche Sorgfalt außeracht lässt. Dies sind Fälle, wenn der Arbeitnehmer einen Schaden hätte voraussehen müssen, aber nicht sorgfältig genug gehandelt hat. Die genaue Aufteilung ist eine Einzelfallabwägung kann aber anhand von verschiedenen Kriterien konkretisiert werden: Der Umfang des Schadensersatzes orientiert sich u.a. an der Höhe des Schadens, dem Grad des konkreten Verschuldens und der Gefahrengeneigtheit der Tätigkeit, der Höhe des Arbeitslohns, Versicherbarkeit der Tätigkeit und an Billigkeits- und Zumutbarkeitskriterien (z. B. Unterhaltsverpflichtungen des Arbeitnehmers und eine betriebliche Organisation des Arbeitgebers, die Fehler u. U. begünstigt).
- Bei einer groben Fahrlässigkeit haftet der Arbeitnehmer voll gegenüber seinem Arbeitgeber. Jedoch auch hier gibt es sozialadäquate Haftungsobergrenzen (vgl. BAG URTEIL vom 15.11.2001 8 AZR 95/01), die sich an dem Gehalt des Arbeitnehmers orientieren können (ein in der Rechtsprechung vereinzelnd zu findender Wert sind ca. 3 Bruttomonatsgehälter). Ein Beispiel für eine Quotelung ist etwa: Ein Aushilfsfahrer tankte Benzin anstatt Diesel. Dieses Verhalten wurde als grob fahrlässig eingestuft. Dem LKW-Fahrer wurden zwei Drittel des Schadens auferlegt. Das restliche Drittel hat der Arbeitgeber zu tragen (LAG Rheinland-Pfalz, Urteil vom 29. Dezember 2003, Az.: 7 Sa 631/03).
Das BAG führt das praktische Arbeitsrecht damit zu den am Anfang genannten Grundprinzipien des deutschen Rechts zurück, nach denen Verschulden in fast allen Bereichen ein Maßstab für persönliche Haftung ist. Dennoch gibt es hier einige datenschutzrechtliche Besonderheiten zu beachten, die sich noch nicht in einer gefestigten Rechtsprechung wiederfinden:
Maßstab der Haftung ist ein Verstoß gegen die DSGVO. Eine Abstufung der verschiedenen Fahrlässigkeitsformen ist ihr aber gänzlich unbekannt. Bei der Übertragung der oben dargestellten Haftungsgrundsätze der Fahrlässigkeit müssen diese Grundsätze auf ein System angewendet werden, das solche Abstufungen gar nicht kennt. Eine normierte Berücksichtigung der Umstände sieht die DSGVO nur bei der Höhe eines Bußgeldes vor, Art. 83 Abs. 2 DSGVO, nicht aber bei Entstehung eines Anspruches auf Schadensersatz, Art. 82 DSGVO. Zwar spricht Art. 82 Abs. 5 DSGVO von einem Ausgleich nach Maßstäben des Verschuldens, wenn es mehrere Verantwortliche gibt. Genau diesen Fall gibt es hier aber nicht, da außer beim o. g. „Mitarbeiterexzess“ der Arbeitgeber der Verantwortliche ist und eben keine gemeinsame Verantwortlichkeit zusammen mit dem Arbeitnehmer existiert. Es obliegt den Arbeitsgerichten, entsprechende datenschutzrechtliche Fallbeispiele zu entwickeln und somit für mehr Rechtssicherheit und Vorhersehbarkeit zu sorgen.
Müssen Arbeitnehmer jetzt befürchten, dass sie zukünftig vermehrt durch Ihren Arbeitgeber in Regress genommen werden? Auch hier wird sich erst in Zukunft herausstellen, wie sich die Besonderheiten der DSGVO auswirken werden. Denn der Adressat eines Bußgeldes oder Schadensersatzes ist nur der „Verantwortliche“ i. S. d. Art. 4 Abs. 1 Nr.7 DSGVO oder ein sog. Auftragsverarbeiter. Zwar kann es auch mehrere Verantwortliche geben, aber von Beteiligten außerhalb der „Verantwortlichen“ ist nirgendwo etwas zu lesen. Das bedeutet nicht zwangsläufig, dass damit der Arbeitnehmer nicht haftbar gemacht werden kann, da die Rechtsgrundlage für dessen Haftung primär im BGB zu finden ist, nicht in der DSGVO. Dennoch kann dieser Umstand bei der Aufteilung eines Schadens zwischen dem Arbeitnehmer und dem Arbeitgeber ggf. zugunsten des Arbeitnehmers ausgelegt werden. Bei der Ermittlung des Mitverschuldensanteils des Arbeitgebers kommt es darauf an, in welchem Umfang der Arbeitgeber seine Verpflichtung als Verantwortlicher für den Datenschutz nachgekommen ist. Je weniger der Arbeitgeber diebsbezüglich unternommen hat (z. B. durch Schulungen, Ernennung eines Datenschutzbeauftragten, Umsetzung von technisch-organisatorischen Maßnahmen etc.), desto geringer wird dem Arbeitnehmer ein Mitverschulden angelastet werden können. Darum ist es sogar bei einem grob fahrlässigen Verhalten möglich, dass der Arbeitnehmer auch nur anteilig haftet.
Arbeitsvertragliche Klauseln zu Lasten des Arbeitnehmers
Kann der Arbeitgeber bei dieser insgesamt dann doch noch recht unsicheren Rechtslage sich nicht einfach von einem neuen Arbeitnehmer abweichende Regelungen unterschreiben lassen, die von den oben genannten Regeln zu dessen Lasten abweichen? Gerade neue Mitarbeiter werden ggf. im Zweifel eine für sie schlechtere Regelung unterschreiben, nur um den Job auch zu bekommen. Hier hat das BAG 2004 folgendes entschieden (BAG, 05.02.2004-8 AZR 91/03) und die Beschränkung der Haftung des Arbeitnehmers noch einmal gestärkt: „Die Grundsätze über die Beschränkung der Haftung des Arbeitnehmers bei betrieblich veranlassten Tätigkeiten sind einseitig zwingendes Arbeitnehmerschutzrecht. Von ihnen kann weder einzel- noch kollektivvertraglich zu Lasten des Arbeitnehmers abgewichen werden.“
Fazit
Auch der Arbeitnehmer kann nicht das ganze Risiko seiner Tätigkeit auf den Arbeitgeber abwälzen. Ihn treffen Sorgfaltspflichten, deren Nichteinhaltung ein finanzielles Risiko bürgen. Andersherum ist es aber genauso. Auch der Arbeitgeber muss sich so organisieren, dass das Risiko von Fehlern seiner Angestellten auf ein Minimum reduziert wird und kann nicht ohne weiteres im Innenverhältnis Regress bei seinem Arbeitnehmer nehmen. Eine diesen wichtigen Fall gefestigte Rechtsprechung hat sich erst vier Jahre nach in Kraft treten der DSGVO noch nicht gebildet. Umso wichtiger ist es, ein Arbeitsumfeld zu organisieren, das entsprechende Fehler vermeidet und Mitarbeiter entsprechend sensibilisiert.
29. August 2022 @ 13:07
Sehr ausführlicher und gut strukturierter Artikel. Wie verhält sich die Sachlage, wenn ich von meinem Arbeitgeber gezwungen werde gegen die DSGVO zu verstoßen und wie kann ich mich als Arbeitnehmer gegen eine Strafe absichern?
2. September 2022 @ 15:52
Guten Tag und vielen Dank für Ihren Kommentar.
Ihre Frage betrifft einen Sachverhalt, der juristisch mehrfach für die Beteiligten relevant sein kann. Zu der datenschutzrechtlichen Frage werden auch Probleme aus dem Zivilrecht (Arbeitsrecht, Schadensersatz und ggf. Schmerzensgeld), als auch dem Strafrecht angesprochen.
Letztendlich wird für alle relevanten Aspekte, insbesondere für den Datenschutz, eine Frage entscheidend sein, nämlich wer der „Verantwortliche“ in diesem Sachverhalt ist. Nach Art. 4 Nr. 7 DSGVO ist derjenige der Verantwortliche, der über „die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es spricht in Ihrem Sachverhalt viel dafür, dass es der Arbeitgeber ist, der über den Zweck und hier insbesondere über die Mittel entscheidet. Eine Wertung, ob die Zwecke und Mittel legal oder rechtswidrig sind, findet zumindest im Wortlaut der DSGVO nicht statt. Auch das Direktionsrecht des Arbeitgebers (§106 GewO) unterscheidet zunächst nicht nach einem allgemeinen „rechtlichen dürfen“, was ein Hinweis auf die alleinige Verantwortlichkeit des Arbeitgebers sein kann. Vielmehr besteht ein Ermessensspielraum des Arbeitgebers, „soweit diese Arbeitsbedingungen nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften festgelegt sind.“ Überschreiten die Anweisungen des Arbeitgebers aber dessen Direktionsrecht, weil z.B. ein Verstoß gegen die DSGVO durch den Arbeitnehmer die Folge ist, liegt noch nicht die Situation des „Mitarbeiterexzesses“ vor, weil der Arbeitnehmer „formal“ noch immer auf Weisung des Arbeitgebers handelt.
Schützen könnte sich der Arbeitnehmer aber z.B. dennoch dadurch, dass er die problematischen Weisungen anspricht und gesamten Vorgang inkl. Reaktionen dokumentiert. Nachfragen beim Datenschutzbeauftragten helfen, um Klarheiten zu schaffen.
14. September 2022 @ 11:28
Vielen lieben Dank für Ihre ausführliche Antwort. Das hat mir bereits sehr weitergeholfen und ich kann nun von hier aus weiter vorgehen.
1. August 2022 @ 12:59
Schöner Artikel, danke für den Überblick.
5. August 2022 @ 14:35
Herzlichen Dank für für Ihre Rückmeldung.
Vieleicht werden wir auch bald vom EuGH erstmalig eine Aussage zu diesem Thema hören. In Österreich hatte vor Kurzem das dortige Bundesverwaltungsgericht einen Fall des Mitarbeiterexzesses zu entscheiden (W258 2238615-1/16E). Da der Beschwerdeführer bereits Revision eingelegt hat, könnte das Verfahren ausgesetzt und dem EuGH zur Vorabentscheidung vorgelegt werden.