- People
- Expertise
Der 10.000 Stunden-Unterschied
Ihr entscheidender Vorteil: Viele gunnercooke-Anwälte haben selbst in der Wirtschaft gearbeitet und wissen genau, wie sich rechtliche Entscheidungen auf das Organisationsganze auswirken, wie man professionell mit Budgets arbeitet, und wie man konkurrierende Interessen ausbalanciert.
Vielleicht kennen Sie die Marke der „10.000 Stunden“ – jene Schwelle, ab der jemand als echte Expertin oder echter Experte gilt.
Bei uns ist das Standard: Jeder Partner verfügt über weit mehr als 10.000 Stunden anwaltlicher Praxis. Bei gunnercooke arbeiten Sie ausschließlich mit erfahrenen Rechtsexperten zusammen.
- Our Approach
- Consulting
- News & Insights
- Join Us
- Get in Touch
Das Wichtigste in Kürze:
- Ein Datenschutzverstoß durch Mitarbeiter führt nicht automatisch zu einem persönlichen DSGVO-Bußgeld; behördliche Maßnahmen richten sich in der Regel in erster Linie gegen das Unternehmen als Verantwortlichen.
- Meist stehen arbeitsrechtliche Maßnahmen im Vordergrund: Gespräch, Nachschulung, Abmahnung oder – in schweren Fällen – Kündigung.
- Persönliche Haftung kommt vor allem bei grober Fahrlässigkeit oder Vorsatz in Betracht. Für Unternehmen ist der Vorfall zugleich ein Prüfstein für Schulungen, Zugriffsrechte, Meldewege und technische Schutzmaßnahmen.
Ein Datenschutzverstoß durch einen Mitarbeiter führt nicht automatisch zu einem persönlichen DSGVO-Bußgeld. Behördliche Maßnahmen richten sich in der Regel in erster Linie gegen das Unternehmen als datenschutzrechtlich Verantwortlichen oder Auftragsverarbeiter.
Ob ein Mitarbeiter persönlich haftet, hängt vor allem davon ab, ob er fahrlässig, grob fahrlässig oder vorsätzlich gehandelt hat. Für Unternehmen ist der Vorfall damit nicht nur eine Personalfrage, sondern auch ein Prüfstein für die eigene Datenschutzorganisation.
Welche Folgen drohen Mitarbeitern bei Datenschutzverstößen?
Mitarbeitern drohen je nach Schwere des Datenschutzverstoßes arbeitsrechtliche Maßnahmen – von einem klärenden Gespräch über eine Abmahnung bis hin zur Kündigung. Entscheidend ist, ob es sich um ein einmaliges Versehen, einen wiederholten Pflichtverstoß oder vorsätzliches Verhalten handelt. Bei der Bewertung des Verhaltens ist außerdem zu berücksichtigen, ob der Mitarbeiter datenschutzrechtlich geschult wurde und ob klare Arbeitsanweisungen für den konkreten Fall bestanden.
Ein Datenschutzverstoß liegt vor, wenn personenbezogene Daten unzulässig verarbeitet, offengelegt, gelöscht, verändert oder nicht ausreichend geschützt werden. Typische Beispiele sind eine E-Mail an den falschen Empfänger, ein offener E-Mail-Verteiler, der unbefugte Zugriff auf Personalakten, die Weitergabe von Kundendaten oder der Export von Daten vor einem Arbeitgeberwechsel. Je nach Schwere des Verstoßes sind insbesondere folgende Maßnahmen möglich:
- klärendes Gespräch oder Ermahnung,
- Nachschulung,
- Abmahnung,
- Einschränkung von Zugriffsrechten oder Versetzung,
- ordentliche Kündigung,
- außerordentliche fristlose Kündigung.
Ein einmaliges Versehen rechtfertigt regelmäßig keine Kündigung. Entscheidend sind die Umstände des Einzelfalls: War der Mitarbeiter geschult? Gab es klare Arbeitsanweisungen? Welche Daten waren betroffen? Wurde der Vorfall sofort gemeldet? Wurde vorsätzlich gehandelt?
Beispiele:
- Eine Abmahnung kann etwa in Betracht kommen, wenn ein Mitarbeiter trotz Schulung und klarer interner Vorgaben wiederholt personenbezogene Daten an falsche Empfänger versendet oder den Vorfall nicht meldet.
- Eine Kündigung kann im Einzelfall insbesondere gerechtfertigt sein, wenn ein Mitarbeiter Kundendaten bewusst exportiert, Personalakten aus Neugier einsieht oder vertrauliche Daten für private Zwecke nutzt beziehungsweise an Dritte weitergibt.
Unternehmen sollten deshalb nicht vorschnell reagieren. Eine Abmahnung oder Kündigung setzt voraus, dass der Sachverhalt zunächst sorgfältig aufgeklärt wurde und dem Mitarbeiter ein konkreter Pflichtverstoß vorgeworfen werden kann.
Wann haften Mitarbeiter für Schäden persönlich?
Im Arbeitsverhältnis gelten besondere Grundsätze der Arbeitnehmerhaftung. Ein Datenschutzverstoß bedeutet daher nicht automatisch, dass der Mitarbeiter für alle Folgen persönlich einstehen muss.
Für die persönliche Haftung kommt es daher nicht allein darauf an, dass ein Mitarbeiter einen Datenschutzverstoß verursacht hat. Maßgeblich sind vielmehr der entstandene Schaden, die konkrete Pflichtverletzung und der Verschuldensgrad des Mitarbeiters, also insbesondere Fahrlässigkeit oder Vorsatz.
- Leichte Fahrlässigkeit: Bei einfachen Versehen kommt eine persönliche Haftung regelmäßig nicht in Betracht. Das betrifft Fehler, die trotz grundsätzlich sorgfältiger Arbeitsweise im Arbeitsalltag passieren können.
- Normale Fahrlässigkeit: Bei normaler Fahrlässigkeit ist eine Schadensteilung möglich. Dabei kommt es auf den Einzelfall an, etwa auf die Schadenshöhe, das Risiko der Tätigkeit, die Stellung des Mitarbeiters und die Organisation des Unternehmens.
- Grobe Fahrlässigkeit: Bei grober Fahrlässigkeit kann eine weitergehende Haftung in Betracht kommen. Grob fahrlässig handelt etwa, wer naheliegende Sorgfaltspflichten in besonders schwerem Maße verletzt, klar Datenschutzvorgaben ignoriert oder sensible Daten ungeschützt auf privaten Geräten speichert.
- Vorsatz: Bei vorsätzlichem Handeln haftet der Mitarbeiter regelmäßig umfassend. Vorsatz liegt insbesondere nahe, wenn Daten bewusst exportiert, verkauft, für private Zwecke genutzt oder gezielt an Dritte weitergegeben werden.
Wichtig für Unternehmen: Ein DSGVO-Bußgeld gegen das Unternehmen kann nicht ohne Weiteres auf den Mitarbeiter abgewälzt werden. Entscheidend bleiben Pflichtverletzung, Verschulden, Schaden und Zurechnung im konkreten Fall.
Von Datenschutzverletzungen betroffene Personen haben nach Art. 82 DSGVO einen unmittelbaren Anspruch auf Schadensersatz gegen das Unternehmen als datenschutzrechtlich Verantwortlichen. Das Unternehmen kann sich von der Haftung nur befreien, wenn es nachweist, dass es den Schaden nicht zu vertreten hat. Muss das Unternehmen Schadensersatz leisten, kann es im Innenverhältnis nach allgemeinen zivilrechtlichen Grundsätzen Rückgriff gegen den verantwortlichen Mitarbeiter nehmen – allerdings begrenzt durch die oben dargestellten Grundsätze der Arbeitnehmerhaftung.
Drohen Mitarbeitern Bußgelder oder strafrechtliche Folgen?
DSGVO-Bußgelder richten sich in der Praxis meist gegen das Unternehmen als Verantwortlichen oder Auftragsverarbeiter. Mitarbeiter erhalten daher bei einem betrieblichen Datenschutzverstoß meist kein persönliches Bußgeld. Persönliche Risiken können aber entstehen, wenn Mitarbeiter außerhalb ihrer Aufgaben handeln, interne Vorgaben bewusst missachten oder personenbezogene Daten für eigene Zwecke nutzen. Die DSGVO enthält in Art. 83 den allgemeinen Bußgeldrahmen für Datenschutzverstöße.
Für Mitarbeiter sind vor allem zwei Ebenen zu unterscheiden:
- Bußgeldrisiken: Art. 83 DSGVO sieht zwei Bußgeldrahmen vor: Bei weniger schwerwiegenden Verstößen – etwa gegen Pflichten von Auftragsverarbeitern, Zertifizierungsstellen oder Überwachungsbehörden –drohen nach Art. 83 Abs. 4 DSGVO-Bußgelder von bis zu 10 Mio. EUR bzw. 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens. Bei besonders schwerwiegenden Verstößen, insbesondere gegen die Grundprinzipien der Verarbeitung, die Rechte der betroffenen Personen oder die Voraussetzungen für internationale Datentransfers, können nach Art. 83 Abs. 5 DSGVO Bußgelder von bis zu 20 Mio. EUR bzw. 4 % des weltweiten Jahresumsatzes verhängt werden – dabei ist jeweils der höhere der beiden Beträge maßgeblich.
- Strafrechtliche Risiken: Strafrechtliche Folgen kommen vor allem bei vorsätzlichem und qualifiziertem Datenmissbrauch in Betracht. Nicht jeder Datenschutzverstoß ist strafbar. Im Arbeitsalltag handelt es sich häufig um fahrlässige Fehler, die zwar datenschutzrechtlich und arbeitsrechtlich relevant sein können, aber nicht ohne Weiteres strafrechtliche Folgen haben. § 42 BDSG erfasst insbesondere bestimmte Fälle, in denen personenbezogene Daten unbefugt übermittelt, zugänglich gemacht oder auf andere Weise verarbeitet werden und zusätzliche Voraussetzungen wie Gewerbsmäßigkeit, Entgeltlichkeit oder Bereicherungs- bzw. Schädigungsabsicht vorliegen.
Was müssen Unternehmen nach einem Datenschutzverstoß tun?
Ein Datenschutzverstoß durch Mitarbeiter muss datenschutzrechtlich, arbeitsrechtlich und organisatorisch aufgearbeitet werden. Unternehmen sollten insbesondere folgende Schritte prüfen:
- Schaden begrenzen: Falsch versendete Informationen zurückrufen, Empfänger zur Löschung auffordern, ggf. Zugriffe sperren und weitere Datenabflüsse verhindern.
- Sachverhalt klären und dokumentieren: Was ist passiert? Wann wurde der Vorfall bekannt? Welche Daten sind betroffen? Welche Personen können betroffen sein? Welche Sofortmaßnahmen wurden ergriffen?
- Meldepflicht prüfen: Nach Art. 33 DSGVO muss eine Verletzung des Schutzes personenbezogener Daten grundsätzlich unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden, wenn ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Bei hohem Risiko kann zusätzlich eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erforderlich sein.
- Arbeitsrechtliche Maßnahmen prüfen: Erst nach sorgfältiger Sachverhaltsaufklärung sollte entschieden werden, ob ein Gespräch, eine Nachschulung, eine Abmahnung oder eine Kündigung angemessen ist.
- Organisationsmängel beheben: Das Unternehmen sollte prüfen, ob fehlende Schulungen, unklare Vorgaben, zu weitgehende Zugriffsrechte, fehlende Meldewege oder unzureichende technische Schutzmaßnahmen zum Vorfall beigetragen haben.
Lässt sich nachweisen, dass organisatorische Schwächen den Verstoß begünstigt haben, steigt das Risiko, dass Aufsichtsbehörden nicht nur den konkreten Fehler, sondern die Datenschutzorganisation des Unternehmens insgesamt prüfen.
FAQ
Droht einem Mitarbeiter bei einem Datenschutzverstoß ein DSGVO-Bußgeld?
In der Regel nicht. DSGVO-Bußgelder richten sich meist gegen das Unternehmen. Persönliche Risiken können aber entstehen, wenn Mitarbeiter vorsätzlich gegen Datenschutzvorgaben verstoßen, außerhalb ihrer Aufgaben handeln oder Daten für eigene Zwecke nutzen. Zu den konkreten Bußgeldrahmen nach Art. 83 DSGVO und strafrechtlichen Risiken nach § 42 BDSG siehe den Abschnitt „Drohen Mitarbeitern Bußgelder oder strafrechtliche Folgen?” oben.
Kann ein Datenschutzverstoß zur Kündigung führen?
Ja, bei hinreichend schwerem oder wiederholtem Verstoß. Bei einfachen Versehen sind zunächst mildere Maßnahmen geboten. Die maßgeblichen Kriterien und die Abstufung möglicher Maßnahmen sind im Abschnitt „Welche Folgen drohen Mitarbeitern?” dargestellt.
Muss der Mitarbeiter Schadensersatz zahlen?
Das hängt u.a. vom Verschulden ab. Bei einfachen Versehen haftet der Mitarbeiter regelmäßig nicht. Bei mittlerer Fahrlässigkeit kann eine Schadensteilung in Betracht kommen. Bei grober Fahrlässigkeit oder Vorsatz ist eine weitergehende Haftung möglich. Zu beachten ist außerdem, dass nach Art. 82 DSGVO zunächst das Unternehmen gegenüber betroffenen Personen auf Schadensersatz haftet und erst im Innenverhältnis Rückgriff gegen den verantwortlichen Mitarbeiter nehmen kann.
Muss das Unternehmen jeden Datenschutzverstoß melden?
Nein. Eine Meldung ist erforderlich, wenn der Vorfall voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Die Prüfung muss aber unverzüglich erfolgen, weil die DSGVO grundsätzlich eine 72-Stunden-Frist vorsieht.
Möchten Sie mehr über dieses Thema erfahren oder Vadim und unser Datenschutz-Team direkt erreichen? Klicken Sie hier oder füllen Sie unser Kontaktfomular aus.
