Unternehmen haften für die Datenschutzverstöße ihrer Mitarbeiter – so die DSK

Die Datenschutzkonferenz (DSK) hat in ihren Entschließungen eine neue zur Unternehmenshaftung veröffentlicht. In dieser schlägt diese vor, dass Unternehmen für die Datenschutzverstöße ihrer MitarbeiterInnen haften sollen. Ich habe mir diese Entschließung einmal genauer angeschaut:

Unternehmen haften für ihre MitarbeiterInnen – DSK

Laut der DSK haften Unternehmen für Datenschutzverstöße ihrer MitarbeiterInnen aus Art. 83 Datenschutz-Grundverordnung (DS-GVO).

Die DSK begründet dies über Anwendung den sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Zu dem europäischen Primärrecht zählt die AEUV. 

Die DSK zieht sich den Begriff aus dem Vertrag über die Arbeitsweise der EU (AEUV)

Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV). In diesem wird ein Unternehmen als jede wirtschaftlichen Einheit unabhängig von ihrer Rechtsform und Art der Finanzierung genannt, so die DSK. (Art. 101 ff. AEUV)

Dies setzt die DSK in Verbindung mit der DSGVO und dessen Erwägungsgrund 150:
(150)
Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Das Kohärenzverfahren kann auch genutzt werden, um eine kohärente Anwendung von Geldbußen zu fördern. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die Aufsichtsbehörden bereits Geldbußen verhängt oder eine Verwarnung erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe dieser Verordnung verhängen.” (Hervorhebung durch die Reaktion rakoellner)

Der Erwägungsgrund verweist, wie oben sichtbar auf das Primärrecht hin, so dass gegen diese Unternehmen Geldbußen bei Datenschutzverstößen verhängt werden dürfen. Dies kombiniert der Entschließungsantrag mit der Rechtsprechung, dass Unternehmen für das Fehlverhalten sämtlicher Beschäftigte haften. Hier verkennt die DSK aber auch, dass es gegenläufte Urteile und die Exkulpation von Unternehmen gegenüber ihren Beschäftigten gibt.

Eine Kenntnis der Geschäftsführung von dem konkreten Verstoß sei für die Zuordnung zum Unternehmen nicht erforderlich. Die Handlungen von Beschäftigten würden bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können sind ausgenommen. Hier zu zählen Exzesse, also ein abnormales Überschreiten.  

Die alten nationalen Haftungsregeln würden bisher nicht europarechtskonform der neuen Rechtslage angepasst. Unzutreffend verweist § 41 Abs. 1 des neuen Bundesdatenschutzgesetzes (BDSG) auf zurechnungseinschränkende Regelungen im OWiG. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben bereits im Rahmen des Gesetzgebungsverfahrens zum neuen Bundesdatenschutzgesetz darauf aufmerksam gemacht, dass diese Bestimmungen den Vorgaben der DS-GVO zur Verantwortlichkeit für Datenschutzverstöße widersprechen.

Die DSK begrüßt insoweit, dass der Koalitionsvertrag vorsieht, das Sanktionsrecht für Unternehmen generell im deutschen Recht so zu ändern, dass „die von Fehlverhalten von Mitarbeiterinnen und Mitarbeitern profitierenden Unternehmen stärker sanktioniert werden“. Diese gebotene Modernisierung des deutschen Unternehmenssanktionsrechts entspräche dann auch dem europäischen Kartellrecht und dem etablierten internationalen Standard.

Die DSK fordert den Bundesgesetzgeber daher nochmals auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO) und zur Umsetzung der Richtlinie (EU) 2016/680 die §§ 30, 130 OWiG

Dagegen:
Bayern und Baden-Württemberg

 

Einschätzung des Papers der DSK

Das Paper der DSK ist keine rechtverbindliche Grundlage. Es ist lediglich als eine Entschlussfassung der Landesdatenschützer zu sehen. Ob sich diese Meinung im Zweifel durch die Gerichte bestätigen lässt, steht auf einem anderen Blatt. Es stellt auch in diesem Fall eine Interpretation der DSGVO da, zu der sich auch Gegenargumente finden lassen, dass das Unternehmen sich z.B. auch exkulpieren kann, nach den heutigen Prinzipien des Zivilrechts, die sich auf den Datenschutz anwenden lassen. Hierzu zählt zum Beispiel die sorgfältige Auswahl des Mitarbeiters, der bisher immer sorgfältig und akkurat gearbeitet hat.

Ganz außer Acht gelassen darf die Entschließung jedoch nicht. Sie sollten das Thema mit ihrem Datenschutzbeauftragten und Rechtsbeistand besprechen.

via

https://www.datenschutz.rlp.de/fileadmin/lfdi/Konferenzdokumente/Datenschutz/DSK/Entschliessungen/097_Entschliessung_Unternehmenshaftung.pdf