Haftungsfragen im Datenschutz: Neben Unternehmen tragen auch Beschäftigte Verantwortung
Verstöße gegen die Datenschutzregeln können teuer werden. Datenschutzbehörden sind nicht kleinlich bei der Verhängung von Strafen. Umso bedeutsamer ist daher die Frage: Wer hat die Fehler gegen die Normen der DSGVO zu vertreten? Dies können Unternehmen, Organisationen oder Einzelpersonen sein, die personenbezogene Daten verarbeiten. Schmerzlich bekam dies nun eine Mitarbeiterin zu spüren, die wegen Verstößen gegen Datenschutzregeln entlassen wurde. „Unternehmen sollten gründlich und gewissenhaft auf die Einhaltung der gesetzten Bestimmungen achten. Außerdem gilt es, die eigene Belegschaft immer wieder für das Thema Datenschutz zu sensibilisieren und weiter zu qualifizieren. Im Ausnahmefall sind sogar Konsequenzen notwendig“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein. Wichtig ist, dass alle Akteure in einem Unternehmen die Datenschutzbestimmungen beachten, um Haftungsrisiken zu minimieren. Das Urteil des Landesarbeitsgerichts Sachsen gibt Hinweise für Arbeitgeber, um über Verfahrensstandards und Vorgaben klare Verantwortlichkeiten zu begründen.
Die Ausgangssituation: Die Entlassene war als Kreditsachbearbeiterin beschäftigt. Im Unternehmen galt eine umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy. Das Unternehmen regelte darin organisatorische Maßnahmen des Datenschutzes. Beispielsweise sah die Richtlinie vor, dass Beschäftigte vor allem beim Verlassen ihres Arbeitsplatzes bestimmte Maßnahmen ergreifen müssen. Dadurch sollten sensible Daten vor der Einsichtnahme unbefugter Dritter geschützt werden. Insbesondere sahen die Regelungen vor, dass Dokumente oder Datenträger mit vertraulichem Inhalt nicht offen am Arbeitsplatz liegen gelassen werden dürfen, sondern in eine Schublade, einen Schrank oder eine ähnliche Einrichtung gesperrt oder eingeschlossen werden müssen, wenn der Arbeitsplatz verlassen oder aus anderen Gründen nicht beaufsichtigt wird.
Der Verstoß: Die Mitarbeiterin hatte im Laufe ihres Arbeitsverhältnisses nachweislich mehrmals gegen die vorgegebenen Datenschutzrichtlinie verstoßen. Konkret: Sie schloss die Schublade ihres Schreibtisches nicht ab, obwohl darin sensible Kundendaten aufbewahrt wurden. Es folgten Erinnerungen, Abmahnungen und nach weiterem Fehlverhalten eine ordentliche Kündigung durch das Unternehmen. Hiergegen erhob die Arbeitnehmerin Kündigungsschutzklage. In der ersten Instanz wurde ihrer Klage stattgegeben. Das LAG Sachsen in Chemnitz entschied nun aber anders und wies die Klage ab. Die Kündigung sei rechtens.
Die Begründung des Gerichts: Das Verhalten der Mitarbeiterin stelle in Summe eine erhebliche Hauptpflichtverletzung dar, was den Betriebsablauf negativ beeinflusse.
Die Bewertung eines Datenschutzbeauftragten: „Die Kündigung war deshalb erfolgreich, weil das Unternehmen klare Richtlinien und Verfahrensstandards vorgegeben hat. Wäre das nicht der Fall gewesen, wäre a) die Klage der Arbeitnehmerin erfolgreich gewesen und b) die fortlaufenden Verstöße gegen den Umgang mit personenbezogenen Daten dem Arbeitgeber angelastet worden“, hebt der erfahrene Datenschutzbeauftragte Dr. Jörn Voßbein die Bedeutung von unternehmensinternen Vorgaben und Dienstanweisungen hervor.
Rechtlicher Hintergrund: Gemäß § 276 BGB haftet grundsätzlich derjenige für den Schaden, der diesen zu vertreten hat. Eingeschränkt gilt dieses Prinzip in einem Arbeitsverhältnis, somit auch für Datenschutzverstöße im Rahmen einer Beschäftigung.
Empfehlenswerte Maßnahmen: Datenschutz-Fachmann Dr. Voßbein empfiehlt daher, Regelungen schriftlich zu fixieren und diese in Form einer Dienstanweisung oder Unternehmensrichtlinie den Beschäftigten gegenüber zu verdeutlichen, um hohe Strafzahlungen, die bis zu 20 Millionen Euro oder 4 Prozent der Umsatzsumme umfassen können, zu vermeiden. „Noch wichtiger ist aber hierbei auch eine praxisnahe Sensibilisierung der Beschäftigten, damit diese die Hintergründe der Vorgaben verstehen. Denn Niemand hat Interesse daran, Abmahnungen oder Kündigungen auszusprechen,“ so Dr. Jörn Voßbein, der als Geschäftsführer eines mittelständischen Unternehmens auf eine vertrauensvolle Zusammenarbeit von Beschäftigten und Geschäftsführung setzt.
