Wer bezahlt, wenn der Mitarbeiter einen Datenschutzverstoß begeht?

DatenschutzrechtWer bezahlt, wenn der Mitarbeiter einen Datenschutzverstoß begeht?

Wer bezahlt, wenn der Mitarbeiter einen Datenschutzverstoß begeht? Wichtige Entscheidung zur Zurechenbarkeit eines Datenschutzverstoßes der Mitarbeiter und zur Höhe der Strafe

Am Donnerstag letzter Woche hat das Landgericht (LG) Bonn in seinem Urteil vom 12.11.2020 unter dem Aktenzeichen OWi 1/20 LG in zweierlei Hinsicht eine wichtige Entscheidung für die tägliche Datenschutzpraxis getroffen. Erstens hat es eine von den Aufsichtsbehörden verhängte Strafe von Euro 9,5 Mio auf Euro 900.000,- herunter gesetzt und zweitens bestätigt, dass Datenschutzverstöße, die von „einfachen“ Mitarbeitern, die im Rahmen ihrer Aufgaben einen Datenschutzverstoß begehen, dem Unternehmen zugerechnet werden können.

 

Hintergrund

Hier zum Hintergrund der Entscheidung einige Auszüge aus der Pressemitteilung des Gerichts:

 

„Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.“

 

Herabsetzung der Strafe

Das Gericht hat nun aber entschieden, dass das Verschulden des Telekommunikationsanbieters gering gewesen sei und es sich nicht um einen massenhaften Verstoß gehandelt habe, deswegen wurde die Strafe reduziert:

 

„Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.“

 

Man sollte sich dennoch im Kontext dieser Entscheidung klar machen, dass dieser einmalige Verstoß aus dem täglichen Arbeitsablauf weiterhin eine empfindliche Strafe darstellt und auch die Gerichte nicht zimperlich sind bei der Verhängung von Strafen wegen Verstößen gegen die DSGVO.

 

Rechtlicher Hintergrund zum Verstoß gegen die DSGVO

Der Bundesdatenschutzbeauftragte und letztlich auch das LG Bonn sahen in der Herausgabe der Daten einen grob fahrlässigen Verstoß gegen Art. 32 der DSGVO (Sicherheit der Verarbeitung).

Nach dieser Vorschrift ist ein Verantwortlicher für die Datenverarbeitung verpflichtet, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im übertragenen Sinne heißt das, dass das Unternehmen hätte sicher stellen müssen, dass die Herausgabe von personenbezogenen Daten nur an die berechtigte Person hätte erfolgen dürfen und zwar durch zB. Einsendung der Kopie des Personalausweises.

 

Handlungsempfehlung

Überprüfen Sie Ihre Abläufe und stellen Sie sicher, dass -speziell wenn Sie Kundenkonten für Ihre Geschäftspartner führen- zumindest eine dokumentierte Mitarbeiteranweisung besteht, wie man sich bei Anfragen von Kunden zur Herausgabe von personenbezogenen Daten zu verhalten hat. Es muss jedenfalls sicher gestellt sein, dass die Identität des Anrufers sicher gestellt ist. Ansonsten sollten nur schriftliche Anfragen beantwortet werden.

 

Frage der Zurechenbarkeit des Verstoßes eines Mitarbeiters

Im Hinblick auf das Verhältnis von DSGVO (Europarecht) und Ordnungswidrigkeitenrecht (OWiG Landesrecht) stellte sich den Bonner Richtern die entscheidende und bis jetzt offene und damit klärungsbedürftige Frage, ob der Datenschutzverstoß des Mitarbeiters dem Unternehmen überhaupt zugerechnet werden konnte, da die DSGVO keine Vorschriften zur Zurechnung eines Datenschutzverstoßes enthält. Andererseits findet nach § 41 Bundesdatenschutzgesetz (BDSG) das Gesetz über Ordnungswidrigkeiten (OWiG) jedoch auf DSGVO-Bußgelder mit wenigen Ausnahmen „entsprechend“ Anwendung.

Eine rechtliche Frage, die also bisher von Gerichten so noch nicht entschieden wurde. Denn das nationale Ordnungswidrigkeitenrecht lässt Bußgelder gegen Unternehmen aufgrund einer Zurechnung des Verhaltens der Mitarbeiter die im Rahmen ihrer Aufgaben einen Verstoß begehen, nur zu, wenn eine natürliche Person aus der Unternehmensleitung entweder selbst einen Verstoß begangen oder Aufsichtspflichten verletzt hat und das Handeln vorwerfbar ist, es sich also um Vorsatz oder Fahrlässigkeit handelt.

Allein weil ein Datenschutzverstoß festgestellt wurde, kann dieser nach dem OWiG noch nicht sanktioniert werden.

Es stellte sich also die Frage, ob die Richter die Zurechnungskriterien des OWiG strikt anwenden oder sich auf den Wortlaut der DSGVO berufen würden. Dazu wurde entschieden:

 

„Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.“

 

Verstöße der Mitarbeiter sind der Geschäftsleitung und dem Unternehmen zurechenbar!

Die Entscheidung des LG Bonn stellt nun erstmals klare, dass genüber juristischen Personen (Unternehmen) Geldbußen auch dann festgesetzt werden können, wenn die Ordnungswidrigkeit nicht von einem vertretungsberechtigten Organ oder einer sonstigen für die Leitung verantwortlichen Person begangen wurde.

Diese bereits seit Langem herrschende übereinstimmende Auffassung der Aufsichtsbehörden wurde nunmehr gerichtlich bestätigt. Danach wird die Regelung des § 30 OWiG (nationales Recht) durch den Anwendungsvorrang der DSGVO (europäisches Recht) verdrängt. Die Haftung für Mitarbeiterverschulden ergibt sich demnach aus der Anwendung des sog. funktionalen Unternehmensbegriffs des europäischen Primärrechts (Art. 101, 102 AEUV), auf den Erwägungsgrund 150 DSGVO klarstellend Bezug nimmt. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar Anweisung der Geschäftsführung oder auch nur eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich ist.

 

Handlungsempfehlung für die Praxis

Stellen Sie sicher, dass ihre Mitarbeiter ausreichend auf die Abläufe verpflichtet sind. Klare Vorgaben sind schriftlich zu erteilen und Verhaltensregeln im Hinblick auf den Schutz personenbezogener Daten von Mitarbeitern und Dritten (Kunden, Lieferanten etc.) müssen intern vorgegeben werden. Auch gehört eine dokumentierte Kontrolle der Einhaltung zur Aufsichtspflicht der Geschäftsleitung. Wichtig sind auch jährliche Schulungen der Mitarbeiter, die dokumentiert werden müssen.

Nur so kann es gelingen, im Rahmen eines -hoffentlich nicht eintretenden- Datenschutzverstoßes zu beweisen, dass die Mitarbeiter nicht nach den Anweisungen gehandelt haben und eine Strafe für das Unternehmen oder die Geschäftsleitung (bei einer Aufsichtspflichtverletzung) abgewendet werden kann.

Für Fragen stehe ich Ihnen jederzeit zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.