Wer haftet eigentlich wie, wenn der Mitarbeiter nicht datenschutzkonform handelt? Ist prinzipiell das Unternehmen in der Haftung oder trifft es den Mitarbeiter? Diese Haftungsfrage lässt sich bei einer differenzierten Betrachtung beantworten.
Nutzung der Daten fällt völlig aus dem Rahmen
Benutzt der Mitarbeiter die Daten widerrechtlich für eigene private Zwecke, dann fällt die Handlung des Beschäftigten so sehr aus dem Rahmen, dass er im Sinne des Datenschutzrechtes allein für sein Handeln als Verantwortlicher gerade zu stehen hat. Dies ist damit zu begründen, dass der Mitarbeiter die persönlichen Daten anderer so zweckentfremdet und ausufernd nutzt, dass ein sog. Mitarbeiterexzess gegeben ist.
Ein solcher liegt beispielsweise vor bei der:
- Nutzung von Telefonnummern zum Aufbau privater Kontakte
- Abfragen von Kontoinformationen zur Nutzung in einer privaten zivilrechtlichen Streitigkeit.
- Nutzung von polizeilichen Auskunftssystemen für die eigene private politische Vereinsarbeit.
Das Unternehmen haftet in diesem Fall folglich nicht. So sieht es auch die Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. April 2019. Aber die Ausnahme bestätigt die Regel: Hat die Geschäftsleitung von dem Verhalten des Mitarbeiters Kenntnis und duldet dieses, so sitzen beide im selben Boot und haften gemeinsam.
Mitarbeiter handelt innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform
Handelt ein Mitarbeiter innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform, wird dessen Handlung dem Unternehmen als Verantwortlicher im Sinne des Datenschutzrechtes zugerechnet. Dies bedeutet, dass das Unternehmen haftet. Ob das Unternehmen den Beschäftigen in Regress nehmen kann, wird im Einzelfall nach den Grundsätzen des sog. innerbetrieblichen Schadensausgleichs festzustellen sein. Der Grad der Haftung hängt vom Grad des Verschuldens des Beschäftigten ab. Bei einer fahrlässigen Datenschutzverletzung hat das Unternehmen in der Regel keinen Anspruch auf Ausgleich, da der Beschäftigte für das Unternehmen und in dessen Interesse gearbeitet hat.
Schadenersatz des Betroffenen
Derjenige, dessen persönliche Daten widerrechtlich verwendet wurden, hat gegen den Verantwortlichen einen Auskunftsanspruch und Schadenersatzanspruch.
Bußgeld durch die Behörde
Die Frage, ob der Mitarbeiter im Exzess oder das Unternehmen im Falle eines nicht exzessiven Datenschutzverstoßes eine Ordnungswidrigkeit begangen hat und hierfür haftet, ist derzeit in der Rechtsprechung und Literatur strittig. Die einen sind der Meinung, dass aus der Verordnungsbegründung (Erwägungsgründen) der DS-GVO der kartellrechtliche sog. funktionale Unternehmensbegriff anzuwenden ist. Die anderen sprechen sich gegen eine Anwendung dieses Begriffs aus. Der funktionale Unternehmensbegriff wird verwendet, um möglichst viele wirtschaftliche Gebilde in den Anwendungsbereich des Kartellrechts einzuordnen. Es geht also lediglich um die Feststellung, dass ein Zusammenschluss von Personen stattfindet und die wirtschaftliche Tätigkeit irgendwie funktioniert, egal welche Rechtsform er hat und wie er sich finanziert. Zusätzlich hierzu sieht die DS-GVO vor, dass grundsätzlich dem EU-Recht der Vorrang vor dem nationalen Recht der Mitgliedsstaaten hat.
Hierin liegt das Dilemma, denn die Anwendung des funktionalen Unternehmensbegriffs lässt sich mit dem deutschen und im Übrigen auch mit dem österreichischen Ordnungswidrigkeitenrecht nicht vereinbaren. Eine juristische Person, also das Unternehmen als GmbH, UG oder AG, kann nur eingeschränkt Täter im Sinne des Ordnungswidrigkeitengesetzes sein. Erforderlich ist, dass ein Fehlverhalten der vertretungsberechtigten Organe, in der Regel der Geschäftsführung, nachgewiesen wird.
So ist es auch nicht verwunderlich, dass der österreichische Verwaltungsgerichtshof im Jahr 2020 der vorrangigen Anwendung von EU-Recht eine Absage erteilt hat (ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229). In Deutschland ist die Rechtsprechung uneins. Das LG Bonn (Urteil v. 11.11.2020 – 29 OWi 1/20) hat eine unmittelbare Haftung angenommen. Das LG Berlin hat ebenso wie der ÖWwGH eine unmittelbare Haftung des Unternehmens verneint (LG Berlin, Beschluss vom 18.2.2021, Az. 526 OWi LG 212 Js-OWi 1/20 (1/20). Gegen den Beschluss des LG Berlin wurde Beschwerde eingelegt. Es bleibt abzuwarten, wie das Kammergericht Berlin entscheidet und ob es zu einer Vorlage zum EuGH kommt.
Fakt ist, dass es für Unternehmen derzeit keine Rechtssicherheit gibt, ob eine Haftung besteht oder nicht. Unklar sind auch die Maßstäbe für eine zurechenbare Verantwortlichkeit. Fakt ist auch, dass es gar nicht so weit hätte kommen dürfen. Es ist auch bei EU-Verordnungen ein Mindestmaß an sprachlicher Klarheit zu erwarten und nicht erklärbar, weshalb nicht direkt in der Verordnung eine eindeutige Regelung bezüglich der unmittelbaren Verbandshaftung von Unternehmen erfolgt ist.