Übertragung der Haftung nach DSGVO auf den Arbeitnehmer?

Fachbeitrag

Wir erhielten kürzlich eine Nachfrage, ob Arbeitnehmer eine Vereinbarung unterschreiben müssen, nach der sie bei Verstößen gegen die DSGVO privat haften. Müssen jetzt auch die Arbeitnehmer Bußgelder der Aufsichtsbehörden fürchten?

Fragen eines Arbeitnehmers

Wir erhielten diesen Kommentar eines Lesers:

„Ich bin in einer kleinen Firma in Teilzeit angestellt und mein Chef möchte, dass ich eine Datenschutzerklärung unterschreibe, in der ich (!) bei Verstößen mit bis zu 20 Mio. Euro hafte, ohne Aussicht auf Insolvenztilgung, einzige alternative Freiheitsstrafe. Auch wenn das -wie mein Chef sagt- alles nur rein theoretisch ist und nie eintreffen wird, hätte ich es ja doch unterschrieben. Ich finde das ziemlich übertrieben und frage mich, ob das so rechtens ist, wie mein Chef behauptet oder ob er sich vielleicht doch vertan hat?

Muss ich das wirklich unterschreiben? Muss ich mir jetzt wirklich selber kostenpflichtig einen Anwalt nehmen, um verbindliche Informationen dazu zu bekommen?“

Daher widmen wir uns dem Thema der Haftung von Arbeitnehmern bei Verstößen gegen das Datenschutzrecht.

Grundsätze der Arbeitnehmerhaftung

Innerhalb eines Arbeitsverhältnisses gelten besondere Haftungsgrundsätze. Diese wurden von der Rechtsprechung entwickelt, um den Besonderheiten im Arbeitsverhältnis Rechnung zu tragen. In Fällen betrieblich veranlasster Tätigkeiten wird die Haftung zwischen Arbeitgeber und Arbeitnehmer, im Rahmen des sog. innerbetrieblichen Schadensausgleichs, aufgeteilt.

Die jeweiligen Anteile werden dabei in Abhängigkeit vom Grad des Verschuldens des Arbeitnehmers, der den Schaden verursacht hat, gebildet. Dabei wird zwischen folgenden Verschuldensgraden unterschieden:

  • Leichteste-/ leichte Fahrlässigkeit
    Handelt der Arbeitnehmer nur leicht fahrlässig haftet er nicht. Dabei handelt es sich um Fälle von geringfügigen und leicht entschuldbaren Pflichtverstößen, die jedem Arbeitnehmer im Laufe seines Arbeitslebens passieren können.
  • Normale-/ mittlere Fahrlässigkeit
    Handelt der Arbeitnehmer „normal“ fahrlässig wird der Schaden geteilt. Fahrlässig handelt, wer objektiv erforderliche Sorgfalt bei seiner Arbeitstätigkeit außeracht lässt. Dies sind Fälle, in denen der Arbeitnehmer einen Schaden hätte voraussehen müssen, aber nicht daran gedacht hat. Bei der Bildung der individuellen Haftungsquote sind die Gerichte frei. Allerdings wird die Haftung des Arbeitnehmers bei sehr hohen Schäden häufig in der Höhe auf ein Monatsgehalt begrenzt.
  • Grobe-/ gröbste Fahrlässigkeit
    Handelt der Arbeitnehmer grob fahrlässig, haftet er grundsätzlich in vollem Umfang. Aber immer, wenn Juristen davon sprechen, dass etwas grundsätzlich „so“ ist, gibt es auch eine Ausnahme. Hier liegt die Ausnahme darin, dass die Gerichte bei sehr hohen Schäden die Haftung des Arbeitnehmers häufig in der Höhe auf drei Monatsgehälter begrenzen. Gleiches gilt auch bei gröbster Fahrlässigkeit, die vorliegt wenn die Pflichtverletzung zwar vorsätzlich begangen wird, der Schadenseintritt aber nur fahrlässig herbeigeführt wird.
  • Vorsatz
    Nur wenn der Arbeitnehmer vorsätzlich handelt und auch den Schaden vorsätzlich verursacht, haftet er voll.

Und was gilt nun bei Bußgeldern aufgrund von Datenschutzverstößen für das Arbeitsverhältnis?

Nach Art. 83 DSGVO können Aufsichtsbehörden zwar Bußgelder verhängen, die auch bis 20.000.000 € betragen können (mehr dazu hier), der Adressat eines solchen Bußgeldes ist aber immer der (für die Datenverarbeitung) Verantwortliche – und das ist der Arbeitgeber.

Ein Arbeitnehmer haftet daher in Bezug auf ein Bußgeld nach Art. 83 DSGVO nur im Innenverhältnis und dafür gelten die oben genannten Grundsätze genauso. Das liegt daran, dass die Einhaltung der datenschutzrechtlichen Vorgaben, zu den Pflichten des Arbeitsverhältnisses gehören, die bei der täglichen Arbeit zu beachten sind.

Weitere Bußgeld- und Strafvorschriften

Daneben können den Arbeitnehmer aber Bußgelder nach § 43 BDSG treffen, dieser gilt jedoch nur für bestimmte Verstöße bei Abschluss von Verbraucherdarlehensverträgen.

Hinzu kommen die Strafvorschriften des § 42 BDSG, dieser sieht auch Geld oder Freiheitsstrafen vor. Damit die Voraussetzungen dafür erfüllt sind, müsste der datenschutzrechtliche Verstoß des Arbeitnehmers als solcher aber nicht nur vorsätzlich (wissentlich) sein, sondern auch gewerbsmäßig oder gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

Verstöße gegen den Datenschutz können zudem auch nach anderen Gesetzen strafbar sein, z. B. nach

  • § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen),
  • § 201 StGB (Verletzung der Vertraulichkeit des Wortes) oder
  • § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses).

Und wie ist es, wenn man etwas Abweichendes unterschreiben soll?

Das Bundesarbeitsgericht (BAG, 05.02.2004 – 8 AZR 91/03) hat dazu folgendes entschieden:

„Die Grundsätze über die Beschränkung der Haftung des Arbeitnehmers bei betrieblich veranlassten Tätigkeiten sind einseitig zwingendes Arbeitnehmerschutzrecht. Von ihnen kann weder einzel- noch kollektivvertraglich zu Lasten des Arbeitnehmers abgewichen werden.“

Wenn der Arbeitgeber also auf einen Arbeitnehmer zukommt und ihn bittet eine Regelung zu unterschreiben, die von den oben genannten Grundsätzen abweicht, ist diese nichtig. Auch wenn der Arbeitnehmer die Vereinbarung unterschreiben sollte, wird diese von einem Gericht nicht angewendet werden.

Tipp für Arbeitgeber

Falls Sie ihre Arbeitnehmer eine Verpflichtung auf das Datengeheimnis unterschreiben lassen (hier mehr dazu, ob eine solche Verpflichtung nach DSGVO erforderlich ist) achten Sie darauf, dass die oben genannten Grundsätze in der Verpflichtung Anklang finden, um die Arbeitnehmer nicht unnötig zu verschrecken. Denn nur so kann das normale Arbeitsleben auch mit der DSGVO weitergehen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Danke für die Ausführungen. Interessant in diesem Zusammenhang wäre es noch, wie es sich mit dem Schadensersatz nach Art. 82 verhält. Mal angenommen, ein Mitarbeiter verliert einen USB Stick mit sensiblen Daten, die dann veröffentlicht werden. Der Arbeitgeber hat in einer Datenschutzschulung und in seinen IT-Richtlinien den Einsatz von USB Sticks untersagt. Einer der Geschädigten fordert nun Schadensersatz. Geht das auch über die verantwortliche Stelle oder direkt an den Mitarbeiter?

    Viele Grüße, Alex

    • Auch ein Schadensersatzanspruch nach Art. 82 DSGVO richtet sich nur gegen den Verantwortlichen. Im Innenverhältnis gelten dann zwischen dem Arbeitgeber und Arbeitnehmer die o.g. Grundsätze der Arbeitnehmerhaftung. Welcher Verschuldensgrad in dem von Ihnen geschilderten Sachverhalt anzunehmen ist, ist eine Einzelfallentscheidung, bei der auch noch weitere Gesichtspunkte eine Rolle spielen dürfen.

  2. Zunächst vielen Dank für die Ausführungen. Ich habe hierzu allerdings eine Nachfrage: Angenommen der Arbeitnehmer handelt „nur“ normal bis gröbst fahrlässig, seine Haftung wird also ggf. auf ein bis drei Monatsgehälter begrenzt. Gehe ich dann richtigerweise davon aus, dass der Verantwortliche den restlichen Bußgeldbetrag zu tragen hat, also vereinfacht gesagt, bis zu 20 Millionen minus drei Monatsgehälter?

    • Grundsätzlich haftet nach außen der Verantwortliche voll, da er ja auch das Risiko trägt. Wie die Betroffenen dann im Einzelfall im Innenverhältnis haften ist eine arbeitsrechtliche Fragestellung.

  3. „Verstöße gegen den Datenschutz können zudem auch nach anderen Gesetzen strafbar sein, z. B. nach
    – § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen),
    – § 201 StGB (Verletzung der Vertraulichkeit des Wortes) oder
    – § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses).“

    hier wäre meiner Meinung nach auch noch der § 203 StGB zu nennen der eine nicht unerhebliche Gruppe der Arbeitnehmer/innen betrifft.

  4. Mein Arbeitgeber hat in der Datenschutzerklärung einen Passus drin, der mich zu einer Haftung verpflichtet für unbeabsichtigte Verletzungen des Datenschutz. Wie sieht hier die rechtliche Bewertung aus? Soweit ich weiss kann ich nur für vorsätzliche und grob fahrlässig haften aber eben nicht für leicht fahrlässig oder sogar schuldloses Handeln, was aber durch den Passus „unbeabsichtigt“ konterkariert wird. Leider erlaubt mir mein Arbeitgeber kein Unterschreiben mit Streichung des Wortes, sondern besteht auf einer vollständigen Anerkennung . Ich arbeite in der IT Entwicklung und dort können sogar mit größter Sorgfalt solche unbeabsichtigten Verletzungen passieren.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.