IckeT - Fotolia
Datenpanne durch Beschäftigte: Haftet die Geschäftsleitung?
Unternehmen haften auch für Datenschutzpannen, wenn diese durch weisungswidriges Verhalten von Beschäftigten verursacht wurden, so der EuGH. Unterweisungen reichen also nicht aus.
Der Datenschutz kennt den Begriff „Verantwortlicher“ und meint damit „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. In einem Unternehmen ist dies die Geschäftsleitung, sie ist damit die früher so genannte „verantwortliche Stelle“. Offensichtlich ist also nicht der oder die Datenschutzbeauftragte für den Datenschutz verantwortlich.
Aber wie weit geht die Verantwortung für den Datenschutz? Was ist zum Beispiel, wenn Beschäftigte eine Verletzung des Datenschutzes verursachen, indem sie sich nicht an Weisungen halten und ein Fehlverhalten begehen? Ist dann die Geschäftsleitung dafür nicht mehr verantwortlich? Der Europäische Gerichtshof (EuGH) hat sich dazu nun in einem Urteil geäußert.
Die Haftung für die Beschäftigten bleibt bestehen
In dem Urteil des EuGH in der Rechtssache C-741/21 findet sich unter den Punkten, die „für Recht erkannt“ wurden: „Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.“
Diese Entscheidung klingt vielleicht sperrig, aber sie ist entscheidend für das Verständnis, wer für was wann im Datenschutz verantwortlich ist. Artikel 82 der Datenschutz-Grundverordnung (DSGVO) regelt die „Haftung und das Recht auf Schadenersatz“. Artikel 29 DSGVO behandelt die „Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“.
Um das Urteil besser einordnen zu können, sollte man sich zuerst klar machen, dass Beschäftigte eines Verantwortlichen (eines Unternehmens) personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor.
Wenn nun aber die Beschäftigten sich nicht an die Weisung halten und dabei den Datenschutz verletzen, könnte man glauben, das Unternehmen sei aus der Verantwortung. Doch dem ist nicht so, wie das neue Urteil nochmals klarstellt.
Warum das Unternehmen und damit die Geschäftsleitung in der Verantwortung bleibt, findet man (natürlich) auch in der DSGVO.
Das Unternehmen muss nicht nur „unterweisen“
Die DSGVO fordert in Artikel 32, dass der Verantwortliche Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen (insbesondere seine Beschäftigten), die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
Dazu gehören natürlich die Unterweisung zum Datenschutz und die genauen Vorgaben, wie genau mit den Daten umgegangen werden darf. Aber das reicht nicht, es muss sichergestellt werden, dass dies auch so umgesetzt wird.
Das ist auch nicht verwunderlich, denn generell gilt, dass es „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ geben muss. Maßnahmen müssen also insbesondere auch auf ihre Wirksamkeit hin überprüft werden, auch die Unterweisungen und die anderen internen Vorgaben, die zu den organisatorischen Maßnahmen gerechnet werden.
Schulungen und Richtlinien überprüfen, nicht nur den Inhalt
Die Datenschutzaufsichtsbehörden haben in der Vergangenheit schon mehrfach darauf hingewiesen, dass eine einmalige Unterweisung nicht ausreicht, es muss also regelmäßig unterwiesen werden. Ebenso muss man prüfen, ob die Schulungen und die internen Richtlinien zum Datenschutz und zur Datenverarbeitung auch noch aktuell und stimmig sind.
Damit nicht genug, muss es auch Erfolgskontrollen geben, also eine Überprüfung, ob Unterweisung und Richtlinien auch umgesetzt werden. Wird dies nicht gemacht, kann ein Unternehmen auch nicht sagen, die Beschäftigten hätten sich nicht an die Vorgaben gehalten, es sei ein Fehlverhalten, man sei nicht für die Datenschutzpanne verantwortlich.
Verantwortliche bleiben verantwortlich
Der EuGH hatte vor wenigen Monaten schon einmal auf die Verantwortlichkeit eines Unternehmen für das Handeln seiner Beschäftigten hingewiesen. Der EuGH urteilte im Dezember 2023, dass eine Bußgeldverhängung gegen eine juristische Person als Verantwortliche unmittelbar erfolgen könne und es nicht der vorherigen Feststellung eines von einer identifizierten natürlichen Person begangenen Verstoßes bedürfe. Bei einer juristischen Person als Verantwortlichem werde keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person vorausgesetzt, um ein Bußgeld zu begründen.
Dies kommentierte damals die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer, so, dass der EuGH jetzt noch einmal unmissverständlich festgestellt habe, was bereits aus der DSGVO hervorgeht: Unternehmen haften in datenschutzrechtlicher Hinsicht für alle Beschäftigten.
Nun wurde mit dem neuen Urteil nochmals betont, dass dies auch bei Fehlverhalten der Beschäftigten gilt, wenn nicht kontrolliert wird, ob die Weisungen auch eingehalten werden.