Seit Inkrafttreten der DSGVO drohen Unternehmen bei Datenschutzverstößen Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes. Geschädigte Personen haben zudem Anspruch auf Schadensersatz. Üblicherweise haftet das Unternehmen, doch in Fällen von einem „Exzess“ können auch Beschäftigte selbst zur Verantwortung gezogen werden.
Was ist ein Exzess?
Ein Exzess liegt vor, wenn Beschäftigte personenbezogene Daten in einer Weise verarbeiten, die nicht ihrer unternehmerischen Tätigkeit zugerechnet werden kann. Beispielsweise, wenn sie betriebliche Daten für private Zwecke nutzen. In solchen Fällen werden Beschäftigte selbst zu Verantwortlichen nach der DSGVO.
Einige Beispiele:
- Ein Kellner in Bremen nutzte Kontaktdaten von Restaurantbesuchern für private Zwecke. Gegen ihn wurde von der zuständigen Aufsichtsbehörde ein Bußgeld verhängt.
- Ein Mitarbeiter eines Corona-Testzentrums schrieb eine Patientin über WhatsApp an. Auch gegen ihn wurde ein Bußgeld von der zuständigen Behörde verhängt.
- Ein Polizeibeamter in Baden-Württemberg nutzte Datenbanken für private Abfragen und erhielt ein Bußgeld von 1.400 Euro.
Die Haftung des Arbeitgebers
Auch Arbeitgeber können bei Exzessen haftbar gemacht werden, wenn sie die Einhaltung des Datenschutzes nicht ausreichend kontrolliert haben. Beispielsweise müssen Zugriffe auf polizeiliche Datenbanken protokolliert und kontrolliert werden.
Unternehmen sollten daher bei Entdeckung von Exzessen die DSGVO-Vorschriften zu Datenpannen beachten, da eine unbefugte Datenverarbeitung als Datenpanne gilt und Melde- und Dokumentationspflichten auslöst.
Der innerbetriebliche Schadensausgleich
Verursachen Beschäftigte durch Verstöße finanzielle Schäden, kann der Beschäftigungsgeber sie haftbar machen. Die Haftung hängt vom Grad des Verschuldens ab:
- Leichte Fahrlässigkeit: Keine Haftung.
- Mittlere Fahrlässigkeit: Anteilige Haftung.
- Grobe Fahrlässigkeit: Volle Haftung, aber meist mit Obergrenze.
Im Fall eines Exzesses greift der innerbetriebliche Schadensausgleich aber nicht, da der Beschäftigte nicht im Rahmen seiner dienstlichen Tätigkeit handelt.
Unternehmen sollten daher präventive Maßnahmen gegen Exzesse ergreifen und bei deren Eintritt sofort handeln, um die eigene Haftung zu minimieren. Der innerbetriebliche Schadensausgleich bietet dabei nur begrenzt Schutz.