Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

 

Wer haftet eigentlich wie, wenn der Mitarbeiter nicht datenschutzkonform handelt? Ist prinzipiell das Unternehmen in der Haftung oder trifft es den Mitarbeiter? Diese Haftungsfrage lässt sich bei einer differenzierten Betrachtung beantworten.

Nutzung der Daten fällt völlig aus dem Rahmen

Benutzt der Mitarbeiter die Daten widerrechtlich für eigene private Zwecke, dann fällt die Handlung des Beschäftigten so sehr aus dem Rahmen, dass er im Sinne des Datenschutzrechtes allein für sein Handeln als Verantwortlicher gerade zu stehen hat. Dies ist damit zu begründen, dass der Mitarbeiter die persönlichen Daten anderer so zweckentfremdet und ausufernd nutzt, dass ein sog. Mitarbeiterexzess gegeben ist.

Ein solcher liegt beispielsweise vor bei der:

  • Nutzung von Telefonnummern zum Aufbau privater Kontakte
  • Abfragen von Kontoinformationen zur Nutzung in einer privaten zivilrechtlichen Streitigkeit.
  • Nutzung von polizeilichen Auskunftssystemen für die eigene private politische Vereinsarbeit.

Das Unternehmen haftet in diesem Fall folglich nicht. So sieht es auch die Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. April 2019. Aber die Ausnahme bestätigt die Regel: Hat die Geschäftsleitung von dem Verhalten des Mitarbeiters Kenntnis und duldet dieses, so sitzen beide im selben Boot und haften gemeinsam.

Mitarbeiter handelt innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform

Handelt ein Mitarbeiter innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform, wird dessen Handlung dem Unternehmen als Verantwortlicher im Sinne des Datenschutzrechtes zugerechnet. Dies bedeutet, dass das Unternehmen haftet. Ob das Unternehmen den Beschäftigen in Regress nehmen kann, wird im Einzelfall nach den Grundsätzen des sog. innerbetrieblichen Schadensausgleichs festzustellen sein. Der Grad der Haftung hängt vom Grad des Verschuldens des Beschäftigten ab. Bei einer fahrlässigen Datenschutzverletzung hat das Unternehmen in der Regel keinen Anspruch auf Ausgleich, da der Beschäftigte für das Unternehmen und in dessen Interesse gearbeitet hat.

Schadenersatz des Betroffenen

Derjenige, dessen persönliche Daten widerrechtlich verwendet wurden, hat gegen den Verantwortlichen einen Auskunftsanspruch und Schadenersatzanspruch.

Bußgeld durch die Behörde

Die Frage, ob der Mitarbeiter im Exzess oder das Unternehmen im Falle eines nicht exzessiven Datenschutzverstoßes eine Ordnungswidrigkeit begangen hat und hierfür haftet, ist derzeit in der Rechtsprechung und Literatur strittig. Die einen sind der Meinung, dass aus der Verordnungsbegründung (Erwägungsgründen) der DS-GVO der kartellrechtliche sog. funktionale Unternehmensbegriff anzuwenden ist. Die anderen sprechen sich gegen eine Anwendung dieses Begriffs aus. Der funktionale Unternehmensbegriff wird verwendet, um möglichst viele wirtschaftliche Gebilde in den Anwendungsbereich des Kartellrechts einzuordnen. Es geht also lediglich um die Feststellung, dass ein Zusammenschluss von Personen stattfindet und die wirtschaftliche Tätigkeit irgendwie funktioniert, egal welche Rechtsform er hat und wie er sich finanziert. Zusätzlich hierzu sieht die DS-GVO vor, dass grundsätzlich dem EU-Recht der Vorrang vor dem nationalen Recht der Mitgliedsstaaten hat.

Hierin liegt das Dilemma, denn die Anwendung des funktionalen Unternehmensbegriffs lässt sich mit dem deutschen und im Übrigen auch mit dem österreichischen Ordnungswidrigkeitenrecht nicht vereinbaren. Eine juristische Person, also das Unternehmen als GmbH, UG oder AG, kann nur eingeschränkt Täter im Sinne des Ordnungswidrigkeitengesetzes sein. Erforderlich ist, dass ein Fehlverhalten der vertretungsberechtigten Organe, in der Regel der Geschäftsführung, nachgewiesen wird.

So ist es auch nicht verwunderlich, dass der österreichische Verwaltungsgerichtshof im Jahr 2020 der vorrangigen Anwendung von EU-Recht eine Absage erteilt hat (ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229). In Deutschland ist die Rechtsprechung uneins. Das LG Bonn (Urteil v. 11.11.2020 – 29 OWi 1/20) hat eine unmittelbare Haftung angenommen. Das LG Berlin hat ebenso wie der ÖWwGH eine unmittelbare Haftung des Unternehmens verneint (LG Berlin, Beschluss vom 18.2.2021, Az. 526 OWi LG 212 Js-OWi 1/20 (1/20). Gegen den Beschluss des LG Berlin wurde Beschwerde eingelegt. Es bleibt abzuwarten, wie das Kammergericht Berlin entscheidet und ob es zu einer Vorlage zum EuGH kommt.

Fakt ist, dass es für Unternehmen derzeit keine Rechtssicherheit gibt, ob eine Haftung besteht oder nicht. Unklar sind auch die Maßstäbe für eine zurechenbare Verantwortlichkeit. Fakt ist auch, dass es gar nicht so weit hätte kommen dürfen. Es ist auch bei EU-Verordnungen ein Mindestmaß an sprachlicher Klarheit zu erwarten und nicht erklärbar, weshalb nicht direkt in der Verordnung eine eindeutige Regelung bezüglich der unmittelbaren Verbandshaftung von Unternehmen erfolgt ist.

 

 

 

 

 

 

Cookie Consent mit Real Cookie Banner