Übertragung der Haftung nach DSGVO auf den Arbeitnehmer?

Fachbeitrag

Wir erhielten kürzlich eine Nachfrage, ob Arbeitnehmer eine Vereinbarung unterschreiben müssen, nach der sie bei Verstößen gegen die DSGVO privat haften. Müssen jetzt auch die Arbeitnehmer Bußgelder der Aufsichtsbehörden fürchten?

Fragen eines Arbeitnehmers

Wir erhielten diesen Kommentar eines Lesers:

„Ich bin in einer kleinen Firma in Teilzeit angestellt und mein Chef möchte, dass ich eine Datenschutzerklärung unterschreibe, in der ich (!) bei Verstößen mit bis zu 20 Mio. Euro hafte, ohne Aussicht auf Insolvenztilgung, einzige alternative Freiheitsstrafe. Auch wenn das -wie mein Chef sagt- alles nur rein theoretisch ist und nie eintreffen wird, hätte ich es ja doch unterschrieben. Ich finde das ziemlich übertrieben und frage mich, ob das so rechtens ist, wie mein Chef behauptet oder ob er sich vielleicht doch vertan hat?

Muss ich das wirklich unterschreiben? Muss ich mir jetzt wirklich selber kostenpflichtig einen Anwalt nehmen, um verbindliche Informationen dazu zu bekommen?“

Daher widmen wir uns dem Thema der Haftung von Arbeitnehmern bei Verstößen gegen das Datenschutzrecht.

Grundsätze der Arbeitnehmerhaftung

Innerhalb eines Arbeitsverhältnisses gelten besondere Haftungsgrundsätze. Diese wurden von der Rechtsprechung entwickelt, um den Besonderheiten im Arbeitsverhältnis Rechnung zu tragen. In Fällen betrieblich veranlasster Tätigkeiten wird die Haftung zwischen Arbeitgeber und Arbeitnehmer, im Rahmen des sog. innerbetrieblichen Schadensausgleichs, aufgeteilt.

Die jeweiligen Anteile werden dabei in Abhängigkeit vom Grad des Verschuldens des Arbeitnehmers, der den Schaden verursacht hat, gebildet. Dabei wird zwischen folgenden Verschuldensgraden unterschieden:

  • Leichteste-/ leichte Fahrlässigkeit
    Handelt der Arbeitnehmer nur leicht fahrlässig haftet er nicht. Dabei handelt es sich um Fälle von geringfügigen und leicht entschuldbaren Pflichtverstößen, die jedem Arbeitnehmer im Laufe seines Arbeitslebens passieren können.
  • Normale-/ mittlere Fahrlässigkeit
    Handelt der Arbeitnehmer „normal“ fahrlässig wird der Schaden geteilt. Fahrlässig handelt, wer objektiv erforderliche Sorgfalt bei seiner Arbeitstätigkeit außeracht lässt. Dies sind Fälle, in denen der Arbeitnehmer einen Schaden hätte voraussehen müssen, aber nicht daran gedacht hat. Bei der Bildung der individuellen Haftungsquote sind die Gerichte frei. Allerdings wird die Haftung des Arbeitnehmers bei sehr hohen Schäden häufig in der Höhe auf ein Monatsgehalt begrenzt.
  • Grobe-/ gröbste Fahrlässigkeit
    Handelt der Arbeitnehmer grob fahrlässig, haftet er grundsätzlich in vollem Umfang. Aber immer, wenn Juristen davon sprechen, dass etwas grundsätzlich „so“ ist, gibt es auch eine Ausnahme. Hier liegt die Ausnahme darin, dass die Gerichte bei sehr hohen Schäden die Haftung des Arbeitnehmers häufig in der Höhe auf drei Monatsgehälter begrenzen. Gleiches gilt auch bei gröbster Fahrlässigkeit, die vorliegt wenn die Pflichtverletzung zwar vorsätzlich begangen wird, der Schadenseintritt aber nur fahrlässig herbeigeführt wird.
  • Vorsatz
    Nur wenn der Arbeitnehmer vorsätzlich handelt und auch den Schaden vorsätzlich verursacht, haftet er voll.

Und was gilt nun bei Bußgeldern aufgrund von Datenschutzverstößen für das Arbeitsverhältnis?

Nach Art. 83 DSGVO können Aufsichtsbehörden zwar Bußgelder verhängen, die auch bis 20.000.000 € betragen können (mehr dazu hier), der Adressat eines solchen Bußgeldes ist aber immer der (für die Datenverarbeitung) Verantwortliche – und das ist der Arbeitgeber.

Ein Arbeitnehmer haftet daher in Bezug auf ein Bußgeld nach Art. 83 DSGVO nur im Innenverhältnis und dafür gelten die oben genannten Grundsätze genauso. Das liegt daran, dass die Einhaltung der datenschutzrechtlichen Vorgaben, zu den Pflichten des Arbeitsverhältnisses gehören, die bei der täglichen Arbeit zu beachten sind.

Weitere Bußgeld- und Strafvorschriften

Daneben können den Arbeitnehmer aber Bußgelder nach § 43 BDSG treffen, dieser gilt jedoch nur für bestimmte Verstöße bei Abschluss von Verbraucherdarlehensverträgen.

Hinzu kommen die Strafvorschriften des § 42 BDSG, dieser sieht auch Geld oder Freiheitsstrafen vor. Damit die Voraussetzungen dafür erfüllt sind, müsste der datenschutzrechtliche Verstoß des Arbeitnehmers als solcher aber nicht nur vorsätzlich (wissentlich) sein, sondern auch gewerbsmäßig oder gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

Verstöße gegen den Datenschutz können zudem auch nach anderen Gesetzen strafbar sein, z. B. nach

  • § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen),
  • § 201 StGB (Verletzung der Vertraulichkeit des Wortes) oder
  • § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses).

Und wie ist es, wenn man etwas Abweichendes unterschreiben soll?

Das Bundesarbeitsgericht (BAG, 05.02.2004 – 8 AZR 91/03) hat dazu folgendes entschieden:

„Die Grundsätze über die Beschränkung der Haftung des Arbeitnehmers bei betrieblich veranlassten Tätigkeiten sind einseitig zwingendes Arbeitnehmerschutzrecht. Von ihnen kann weder einzel- noch kollektivvertraglich zu Lasten des Arbeitnehmers abgewichen werden.“

Wenn der Arbeitgeber also auf einen Arbeitnehmer zukommt und ihn bittet eine Regelung zu unterschreiben, die von den oben genannten Grundsätzen abweicht, ist diese nichtig. Auch wenn der Arbeitnehmer die Vereinbarung unterschreiben sollte, wird diese von einem Gericht nicht angewendet werden.

Tipp für Arbeitgeber

Falls Sie ihre Arbeitnehmer eine Verpflichtung auf das Datengeheimnis unterschreiben lassen (hier mehr dazu, ob eine solche Verpflichtung nach DSGVO erforderlich ist) achten Sie darauf, dass die oben genannten Grundsätze in der Verpflichtung Anklang finden, um die Arbeitnehmer nicht unnötig zu verschrecken. Denn nur so kann das normale Arbeitsleben auch mit der DSGVO weitergehen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.