Datenschutz-Verstöße: Verwendung dienstlicher Arbeitsmittel zu privaten Zwecken

Damit Beschäftigte ihre dienstlichen Pflichten erfüllen können, stellt ihnen der Arbeitgeber in der Regel gewisse Arbeitsmittel zur Verfügung.

Was genau sind Arbeitsmittel?

Unter den Begriff der Arbeitsmittel fallen neben den offensichtlichen Geräten wie dem Arbeitscomputer, dem Diensttelefon und Büromaterialien auch elektronische Zugänge, etwa der Zugang zum Abruf von Datensätzen bei Behörden, der E-Mail-Zugang oder der Zugang zu Projektverwaltungssystemen.

Bekannte elektronische Zugänge sind z.B. Abfragemöglichkeiten beim Einwohnermeldeamt, beim Straf- oder Waffenregister.

Einigen öffentlichen Stellen sind die vorgenannten Anfragemöglichkeiten im Wege der Amtshilfe erleichtert eröffnet, während Privatpersonen bei der Anfrage einer erweiterten Melderegisterauskunft ein berechtigtes Interesse darlegen müssen.

Teilweise sind Auskünfte möglich, die einer Privatperson aufgrund einer Auskunftssperre vollends verwehrt bleiben.

Der Arbeitgeber regelt zumeist via Arbeitsvertrag oder interner Dienstvorschrift, ob die Beschäftigten dienstliche Arbeitsmittel zu privaten Zwecken nutzen dürfen. Ist die private Nutzung gestattet und begeht ein Beschäftigter hiermit einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), stellt sich die Frage der Verantwortlichkeit für den Verstoß.

Weite Haftung des Arbeitgebers als Verantwortlichem

Zunächst muss angenommen werden, dass der Arbeitgeber als derjenige, der seinen Mitarbeitern die Zugänge zur Verfügung stellt, der Verantwortliche nach Art. 4 Nr. 7 der DSGVO ist und ihn deshalb eine Haftung nach Art. 83 DSGVO trifft.

Grundsätzlich ist es hierbei, entgegen den nationalen Regelungen von §§ 30 und 130 Ordnungswidrigkeitengesetz (OWiG), unerheblich, ob der Verstoß durch eine Leitungsperson oder einen gesetzlichen Vertreter des Arbeitgebers herbeigeführt wird. Die Haftung erstreckt sich in Ausprägung des funktionalen Unternehmensbegriffs grundsätzlich auch auf die Beschäftigten in Positionen unter der Leitungsebene.

Das gilt unabhängig davon, ob der Arbeitgeber eine Aufsichtspflicht verletzt hat oder er Kenntnis vom Verstoß hatte.

Der Erwägungsgrund 150 zur DSGVO nimmt auf diese Regelung eindeutig Bezug. Bestätigt hat diese Auffassung auch das Landgericht Bonn in seiner Entscheidung vom 11. November 2020, Az. 29 OWi 1/20, zum Verstoß durch 1&1.

Keine Haftung, wenn Mitarbeiter gegen Anweisungen und für private Zwecke handelt

Nach Auffassung der Datenschützer ist diese sehr weite Haftung des Arbeitgebers jedoch unbillig, wenn der Mitarbeiter gegen klare Unterweisungen des Arbeitgebers, ausschließlich zu privaten Zwecken und damit im sogenannten Exzess handelt.

Ein Exzess liegt gemäß der Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (mit Ausnahme von Bayern und Baden-Württemberg) vor, wenn sich die Handlung des Beschäftigten nicht mehr dem Kreis der jeweiligen unternehmerischen Tätigkeit zurechnen lässt.

Folglich liegt ein Exzess vor, wenn die Datenverarbeitung keiner dienstlichen Notwendigkeit unterliegt.

Mitarbeiter haftet persönlich

Die Verantwortlichkeit für einen Verstoß gegen die DSGVO verlagert sich auf den handelnden Mitarbeiter bzw. die handelnde Mitarbeiterin persönlich, wenn ein Exzess vorliegt. Er oder sie hat zwar die Mittel des Arbeitgebers für die Verarbeitung personenbezogener Daten benutzt, die Daten jedoch nicht zu dem Zweck verarbeitet, den der Arbeitgeber vorsieht.

Beispiel 1: Abfrage beim Einwohnermeldeamt für private Zwecke

Ein Beispiel ist eine Abfrage beim Einwohnermeldeamt zu einer dritten Person oder aber auch zur eigenen Person durch einen Polizisten oder eine Polizistin, ohne dass eine dienstliche Notwendigkeit vorliegt.

Eine dienstliche Notwendigkeit lässt sich ausschließlich dann bejahen, wenn der Polizeibeamte oder die Polizeibeamtin innerhalb seines oder ihres Ressorts und innerhalb zugewiesener Aufgaben die vorgenannte Abfrage tätigt, um z.B. die Anschrift eines Beschuldigten zu erfahren, nachdem dieser am bekannten Wohnort nicht angetroffen wurde.

Handelt der Polizeibeamte oder die Polizeibeamtin jedoch, ohne konkret mit einer Sache dienstlich betraut zu sein, die den angeforderten Datensatz betrifft, und ausschließlich im persönlichen Interesse, ist eine dienstliche Notwendigkeit der Abfrage klar zu verneinen.

Im vorgenannten Beispiel handelt es sich um eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO, die gemäß Art. 6 Abs. 1 DSGVO eine legitimierende Rechtsgrundlage benötigt. Somit stellt bereits der genannte Abruf und nicht erst die Erhebung der vom Einwohnermeldeamt übermittelten Daten eine Ordnungswidrigkeit dar.

Beispiel 2: Missbrauch von Kundendaten zu privaten Zwecken

Ein weiteres Beispiel ist die Aufnahme von Kundendaten, um einen Vertrag zu erfüllen. Sie erfolgt nach Art. 6 Abs. 1 Buchst. b DSGVO rechtmäßig. Doch dann nutzt ein Mitarbeiter die Telefonnummer zur rein privaten Kontaktaufnahme außerhalb des abzuwickelnden Vertragsverhältnisses, ohne Einwilligung der kontaktierten Person.

Die Datenverarbeitung würde eine Zweckänderung darstellen. Die Prüfung der Rechtmäßigkeit erfolgt anhand der strengen Anforderungen von Art. 6 Abs. 4 DSGVO. Die beschriebene Zweckänderung wäre hiernach unrechtmäßig und folglich ein Verstoß gegen die DSGVO. Eine solche Zweckänderung der verarbeiteten Daten unterfiele dem Exzess-Tatbestand. Denn es ist nicht möglich, die Handlung des Mitarbeiters oder der Mitarbeiterin zur unternehmerischen Tätigkeit des Unternehmens zu rechnen.

Wie werden Datenschutz-Verstöße geahndet?

Eine Ahndung der Ordnungswidrigkeit(en) kann sich nach den europarechtlichen Bestimmungen von Art. 83 DSGVO, nach Bundes- oder nach Landesrecht richten, je nachdem, welcher Anwendungsbereich eröffnet ist. Der Bußgeldrahmen ist nach den einschlägigen Rechtsgrundlagen unterschiedlich weit gesteckt.

• Nach der DSGVO sind Bußgelder von bis zu 20 Mio. € möglich, wenn auch unwahrscheinlich. Denn der Verhältnismäßigkeitsgrundsatz muss in jedem Einzelfall gewahrt bleiben.
• Nach den Landesrechten spannt sich der Rahmen in der Regel auf bis zu 25.000 € oder 50.000 €.

Um die Verhältnismäßigkeit der Bußgeldhöhe zu bestimmen, sind Faktoren wie Art und Schwere der Tat, vorsätzliches oder fahrlässiges Handeln, die Erwirkung eines wirtschaftlichen Vorteils oder etwa die Verwirklichung eines Schadens etc. zu berücksichtigen.

Das Einkommen der betroffenen Person dient der Ordnungswidrigkeiten-Stelle bei der Ermittlung der Ahndungsempfindlichkeit. Gleichermaßen muss die zuständige Stelle jedoch darauf achten, ähnliche Ordnungswidrigkeiten in etwa gleicher Höhe zu ahnden.

Nadine Belger