Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Praxisbericht
25. November 2019

Geldbußen nach der DSGVO auch gegen Beschäftigte?

DP+
Geldbußen nach der DSGVO auch gegen Beschäftigte?
Bild: iStock.com / id-work
0,00 (0)
Streit unter den Aufsichtsbehörden
Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

In Baden-Württemberg hat die Datenschutzaufsichtsbehörde diese Frage in einem konkreten Fall bejaht. Andere Aufsichtsbehörden halten sich damit zurück.

Hintergrund dafür ist ein rechtlicher Streit. Seine Folgen für die betriebliche Praxis sind erheblich.

Typische Fälle aus der Praxis

Wer in einem Unternehmen an seinem Arbeitsplatz auf personenbezogene Daten zugreifen kann, darf dies nur im Rahmen der Zweckbindung (Art. 5 Abs. 1 Buchst. b Datenschutz-Grundverordnung – DSGVO) tun, der diese Daten unterliegen.

Im Klartext: Die Verwendung für private Zwecke des Arbeitnehmers ist ausgeschlossen.

Ein solcher privater Zweck kann die bloße Neugier sein. Manchmal geht es aber auch um einen weitergehenden Missbrauch von Daten. Typische Beispiele:

  • Ein Bankmitarbeiter hat die Aufgabe, die Bonität von Kreditinteressenten zu prüfen. Hierzu kann er Auskünfte bei der SCHUFA einholen. Er vermietet privat eine Einliegerwohnung in seinem Haus. Um festzustellen, ob ein Mietinteressent voraussichtlich zahlungsfähig ist, führt er für diesen rein privaten Zweck eine SCHUFA-Abfrage durch.
  • Ein Mitarbeiter in einer Privatklinik greift aus reiner Neugier auf Daten eines prominenten Patienten zu. In die Behandlung des betreffenden Patienten ist er nicht eingebunden.

Ähnliche Konstellationen kommen in Behörden vor. Typische Beispiele:

  • Der Mitarbeiter einer Meldebehörde ruft auf Bitten eines Bekannten Daten über dessen frühere Freundin ab. Die gesetzlich geregelten Voraussetzungen für eine Melderegisterauskunft (siehe dazu § 44 und § 45 Bundesmeldegesetz) liegen nicht vor.
  • Ein Polizist greift auf das Zentrale Fahrzeugregister des Kraftfahrtbundesamts zu. Er stellt dort die Daten der Halterin eines Fahrzeugs fest. Grund dafür ist ein rein privates Interesse an der Frau. Er findet sie attraktiv und möchte daher ihren Namen und ihre Anschrift wissen.

Geldbuße gegen Polizisten aus Baden-Württemberg

Das zuletzt genannte Beispiel des Polizisten war für den Landesbeauftragten für den Datenschutz Baden-Württemberg Anlass, eine Geldbuße in Höhe von 1.400 € zu verhängen.

Die entsprechende Pressemitteilung trägt die zutreffende Überschrift „Mitarbeiter öffentlicher Stellen genießen keine ‚Immunität‘ bei illegaler Datenverarbeitung zu privaten Zwecken“ (siehe Pressemitteilung vom 18. Juni 2019).

Erstaunlicherweise scheint es gerade bei Polizeibeamten häufiger vorzukommen, dass sie dienstliche Datenbanken in unzulässiger Weise für private Abfragen nutzen.

Eine Umfrage des SPIEGEL bei den Aufsichtsbehörden für den Datenschutz soll mindestens 158 derartige Fälle ergeben haben. Und das, obwohl Beamten in solchen Fällen gravierende Konsequenzen drohen, von der Strafversetzung bis zur Gehaltskürzung über längere Zeit hinweg.

Arbeitsrechtliche Brisanz der Fälle

Stellt ein Unternehmen derartige Verhaltensweisen fest, wird es sie nicht auf sich beruhen lassen. Vielmehr stellt sich dann die Frage, ob es arbeitsrechtliche Konsequenzen zieht.

In Betracht kommt dabei eine Abmahnung. Je nach Schwere des Verstoßes und je nach Lage des Einzelfalls steht jedoch auch eine Kündigung zur Debatte, möglicherweise sogar in der Form einer fristlosen Kündigung.

Das gilt rein rechtlich völlig unabhängig von der Frage, ob die zuständige Aufsichtsbehörde für den Datenschutz eine Geldbuße gegen den Beschäftigten verhängen kann oder nicht.

Gleichwohl ist das im Zusammenhang mit einer möglichen Kündigung sehr wohl von Interesse. So kann ein Arbeitgeber für den Fall, dass der Arbeitnehmer die Kündigung nicht akzeptiert, möglicherweise mit einer Anzeige bei der Aufsichtsbehörde drohen.

Außerdem können Feststellungen zum Sachverhalt, die die Aufsichtsbehörde in einem Verfahren wegen einer Geldbuße trifft, dem Arbeitgeber in einem etwaigen Kündigungsschutzprozess Argumente liefern, die aus seiner Sicht sehr nützlich sind.

Für Beschäftigte im öffentlichen Dienst, die aufgrund eines Arbeitsvertrags tätig sind, gilt dies alles genauso.

ACHTUNG: Einem Beamten kann zwar nicht gekündigt werden. Es ist jedoch möglich, wegen eines Datenschutzverstoßes gegen ihn ein Disziplinarverfahren einzuleiten.

Auch in einem Disziplinarverfahren können Feststellungen zum Sachverhalt, die von der Aufsichtsbehörde für den Datenschutz stammen, von erheblicher Bedeutung sein.

Arbeitnehmer als eigener Verantwortlicher?

Art. 83 DSGVO sieht Geldbußen immer nur gegen Verantwortliche (siehe dazu die Begriffsdefinition in Art. 4 Nr. 7 DSGVO) oder Auftragsverarbeiter (siehe dazu die Definition in Art. 4 Nr. 8 DSGVO) vor, nicht dagegen gegen ihre Beschäftigten.

Das ergibt sich schon aus dem Wortlaut von Art. 83 Abs. 3 DSGVO, der ausdrücklich Verantwortliche und Auftragsverarbeiter erwähnt, aber nicht ihre Beschäftigten.

Ferner folgt es aus dem Gesamtzusammenhang, in dem Art. 83 DSGVO steht. Eine Geldbuße lässt sich nämlich zusätzlich oder anstelle von Maßnahmen der Aufsichtsbehörde gemäß Art. 58 DSGVO verhängen (so Art. 83 Abs. 2 Satz 1 DSGVO).

Derartige Maßnahmen wiederum richten sich eindeutig nur an die Verantwortlichen oder Auftragsverarbeiter selbst.

Grundregel: keine Haftung

Somit ist als Grundregel festzuhalten, dass Beschäftigte von Verantwortlichen oder Auftragsverarbeitern nicht Adressat einer Geldbuße im Sinn von Art. 83 DSGVO sein können.

Das gilt sowohl für Beschäftigte von öffentlichen Stellen als auch für Beschäftigte von nichtöffentlichen Stellen und ergibt sich unmittelbar aus Art. 83 DSGVO.

Mehr zum Hintergrund, warum Beschäftigte für Datenschutzverstöße im Normalfall nicht nach außen mit einer Geldbuße haften, lesen Sie im Beitrag „Inwieweit haften Mitarbeiter für Datenschutzverstöße?“ von Dr. Selk (Heft 08/2019, S. 1).

Die entscheidende Streitfrage: Ist in Ausnahmefällen doch eine Geldbuße möglich?

Manche ziehen aus diesen Überlegungen folgenden Schluss: Geldbußen gegen natürliche Personen sind nicht möglich, wenn sie Beschäftigte eines Verantwortlichen oder eines Auftragsverarbeiters sind und die Möglichkeiten des Datenzugriffs genutzt haben, die ihnen der Verantwortliche am Arbeitsplatz eingeräumt hat.

Argumente gegen die Einstufung als Verantwortlicher

Argument für diese Auffassung:

  • Verantwortlicher im Sinn der Datenschutz-Grundverordnung ist und bleibt auch in solchen Fällen allein der Arbeitgeber. Der Missbrauch von Zugriffsmöglichkeiten ändert nichts daran, dass der Arbeitgeber die Zwecke und Mittel der Verarbeitung festgelegt hat. Und nur wer dies tut, ist nach dem Maßstab von Art. 4 Nr. 7 DSGVO ein Verantwortlicher, gegen den sich eine Geldbuße verhängen lässt.
  • Ergänzend verweist diese Auffassung auf Art. 32 Abs. 4 DSGVO. Gemäß dieser Vorschrift muss der Verantwortliche (bzw. der Auftragsverarbeiter) Schritte unternehmen, um sicherzustellen, dass „ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben“, diese Daten nur auf Anweisung des Verantwortlichen verarbeiten.
  • Daraus soll zu folgern sein, dass „unterstellte Personen“ gerade nicht als Verantwortliche eingestuft werden dürfen.

Argumente für die Einstufung als Verantwortlicher

Die Gegenauffassung zieht aus den genannten Regelungen gerade den entgegengesetzten Schluss. Sie meint, dass eine Aufsichtsbehörde gegen einen Beschäftigten, der Zugriffsmöglichkeiten missbraucht, sehr wohl eine Geldbuße gemäß Art. 83 DSGVO verhängen kann.

Sie argumentiert wie folgt:

  • Gelingt es einem Beschäftigten, sich über die Anweisung des Verantwortlichen hinwegzusetzen, so kann dies zum einen bedeuten, dass die Anweisung und die damit verbundenen Vorkehrungen zu ihrer Durchsetzung unzureichend waren. Zugleich kann dies aber so zu werten sein, dass der Beschäftigte durch sein eigenmächtiges Handeln selbst zum Verantwortlichen geworden ist, er sich sozusagen die Stellung des Verantwortlichen angemaßt hat. Dann ist unter diesem Aspekt durchaus eine Geldbuße gegen ihn persönlich möglich.
  • Selbst zum Verantwortlichen wird ein Beschäftigter dann, wenn er über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (siehe die Begriffsdefinition des Verantwortlichen in Art. 4 Nr. 7 DSGVO) und dabei die entsprechende Entscheidung der Stelle, bei der er tätig ist, ignoriert.

Schlagwortartig lässt sich dies so zusammenfassen: Gegen einen Beschäftigten, der seine Pflichten als Beschäftigter verletzt und sich dadurch die Stellung eines Verantwortlichen anmaßt, kann eine Datenschutzaufsichtsbehörde konsequenterweise auch eine Geldbuße gemäß Art. 83 DSGVO verhängen.

Von dieser Auffassung ist ersichtlich die Aufsichtsbehörde Baden-Württemberg ausgegangen. Denn sonst hätte sie gegen den Polizisten, der sich privat für eine Autofahrerin interessierte, keine Geldbuße verhängen können.

Warum sind Geldbußen auch gegen Behördenmitarbeiter möglich?

Was die Verhängung von Geldbußen gegenüber Behörden betrifft, gibt die Datenschutz-Grundverordnung den Mitgliedstaaten besondere Spielräume für nationale Regelungen. Das führt zu der Frage, ob dies irgendwelche Auswirkungen auf die Verhängung von Geldbußen gegen Mitarbeiter von Behörden hat.

Im Ergebnis ist das nicht der Fall, und auch gegen Behördenbeschäftigte sind Geldbußen möglich, sofern sie sich zu eigenen Verantwortlichen machen. Der Weg zu diesem Ergebnis erfordert allerdings einige Überlegungen.

Art. 83 DSGVO enthält umfangreiche Vorschriften für die Verhängung von Geldbußen. Sie gelten wie die gesamte DSGVO vom Grundsatz her sowohl für öffentliche wie für nichtöffentliche Stellen.

Allerdings räumt Art. 83 Abs. 7 DSGVO der nationalen Gesetzgebung der Mitgliedstaaten in einem wichtigen Punkt die Möglichkeit ein, von Art. 83 DSGVO abzuweichen.

Er erlaubt es ihnen, Vorschriften dafür festzulegen, „ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“

In Erwägungsgrund 150 Satz 6 der DSGVO heißt es dazu: „Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können.“

Keine Geldbußen gegen Behörden & öffentliche Stellen, …

In Deutschland haben sowohl der Bund als auch alle Bundesländer Regelungen auf dieser Basis getroffen, die Geldbußen gegen Behörden und öffentliche Stellen ausschließen.

So heißt es im Bundesdatenschutzgesetz (§ 43 Abs. 3 BDSG): „Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.“

…, sofern sie nicht am Wettbewerb teilnehmen

Geldbußen gegen öffentliche Stellen, die am Wettbewerb teilnehmen, bleiben allerdings möglich. Denn sie gehören nicht zu den öffentlichen Stellen im Sinne von § 2 Abs. 1 BDSG, sondern sind in § 2 Abs. 5 BDSG gesondert geregelt.

Die entsprechende bayerische Regelung bringt in Art. 22 des Bayerischen Datenschutzgesetzes (BayDSG) diese Differenzierung von vornherein deutlicher zum Ausdruck: „Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 dürfen Geldbußen nach Art. 83 DSGVO nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen.“

Als Zwischenergebnis ist somit festzuhalten, dass jedenfalls gegen öffentliche Stellen, die am Wettbewerb teilnehmen, Geldbußen nach Art. 83 DSGVO möglich sind. Gegen öffentliche Stellen, bei denen dies nicht der Fall ist, sind sie dagegen ausgeschlossen.

Irrelevant für Frage nach Geldbußen gegen Beschäftigte

Damit stellt sich die Frage, was das für Beschäftigte von öffentlichen Stellen bedeutet, gleich ob diese Stellen am Wettbewerb teilnehmen oder nicht.

Die Antwort lautet: Letztlich gar nichts. Denn zu der Frage, ob und gegebenenfalls wann ein Mitarbeiter selbst als Verantwortlicher anzusehen ist, lässt sich daraus nichts ableiten.

Nur Definition der DSGVO zählt

Das entscheidet sich allein danach, ob der Mitarbeiter als Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO anzusehen ist. Die Voraussetzungen dafür gibt die Datenschutz-Grundverordnung dort selbst vor. Die Gesetzgeber der Mitgliedstaaten können daran nichts ändern.

Blick in die Zukunft: Was werden EDSA & EuGH sagen?

Im Augenblick besteht noch kein Überblick darüber, welche Aufsichtsbehörde in Deutschland welche der beiden geschilderten Auffassungen teilt.

Lediglich für Baden-Württemberg lässt sich aus dem „Polizisten-Fall“ der Schluss ziehen, dass die dortige Aufsichtsbehörde eine Geldbuße gegen Beschäftigte prinzipiell für möglich hält.

Abzuwarten bleibt, ob sich der Europäische Datenschutzausschuss (EDSA, Art. 68 DSGVO) mit der Frage befassen wird. Dazu bestünde aller Anlass, denn er hat die einheitliche Anwendung der Datenschutz-Grundverordnung sicherzustellen (Art. 70 Abs. 1 Satz 1 DSGVO).

Über kurz oder lang dürfte es anhand eines konkreten Bußgeldfalls jedoch ohnehin zu einem Vorlageverfahren beim Europäischen Gerichtshof (EuGH) kommen. Dann wird sich zeigen, wie das Gericht die Frage „Beschäftigter als eigener Verantwortlicher oder nicht“ entscheidet.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON .
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.