Datenschutz im Arbeitsverhältnis: Wann Arbeitnehmer selbst für Datenverstöße haften können

Personenbezogene Daten spielen im Arbeitsverhältnis eine zentrale Rolle. In der Praxis werden sie regelmäßig durch Arbeitnehmer verarbeitet, die Zugriff auf betriebliche Systeme haben.

Grundsätzlich ist die Rechtslage klar: Verantwortlicher im Sinne der DS-GVO ist der Arbeitgeber. Arbeitnehmer handeln weisungsgebunden. Problematisch wird es, wenn Beschäftigte Daten nicht mehr zur Aufgabenerfüllung nutzen, sondern eigene Zwecke verfolgen.

Dann kann ein sogenannter Mitarbeiterexzess vorliegen – mit der Folge, dass der Arbeitnehmer ausnahmsweise selbst datenschutzrechtlich verantwortlich ist.

Grundsatz: Verantwortlich ist zunächst der Arbeitgeber

Im Beschäftigungsverhältnis ist regelmäßig der Arbeitgeber Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO. Er bestimmt Zwecke und Mittel der Datenverarbeitung.

Nach Art. 29 DS-GVO dürfen Arbeitnehmer personenbezogene Daten nur auf Weisung verarbeiten. Erfolgt der Zugriff im Rahmen der Tätigkeit, bleibt die Verantwortlichkeit beim Arbeitgeber – auch bei Fehlern oder Verstößen gegen interne Vorgaben.

Arbeitsvertragliche Pflicht zur Wahrung vertraulicher Daten

Die DS-GVO enthält keine allgemeine Pflicht für Arbeitnehmer zur Wahrung eines Datengeheimnisses. Dennoch sind Beschäftigte nicht frei im Umgang mit betrieblichen Daten.

Aus § 241 Abs. 2 BGB folgt eine Nebenpflicht zur Rücksichtnahme, die auch den Schutz vertraulicher Daten umfasst. Dazu gehören neben Unternehmensdaten auch personenbezogene Daten von Kollegen, Kunden oder Geschäftspartnern.

Für Arbeitgeber ist es daher wichtig, klare Regelungen zum Datenschutz zu treffen – etwa durch Arbeitsverträge, Richtlinien und konkrete Weisungen.

Der Mitarbeiterexzess: Wenn Arbeitnehmer eigene Zwecke verfolgen

Ein Mitarbeiterexzess liegt nicht bei jedem Datenschutzverstoß vor. Entscheidend ist, ob der Arbeitnehmer noch für betriebliche Zwecke handelt oder Daten bewusst für eigene Zwecke nutzt.

Kein Exzess liegt regelmäßig vor, wenn zwar gegen Weisungen verstoßen wird, aber weiterhin im Unternehmensinteresse gehandelt wird. Anders ist es, wenn Daten aus privaten oder sonstigen eigenständigen Gründen verwendet werden.

Typische Beispiele sind:

• Ein Arbeitnehmer nutzt Kundendaten für private Kontakte.
• Eine Mitarbeiterin greift aus Neugier auf sensible Daten zu.
• Ein Beschäftigter verbreitet interne Informationen außerhalb des vorgesehenen Rahmens.
• Ein Arbeitnehmer sammelt Daten von Kollegen zur Vorbereitung eigener Ansprüche.

In solchen Fällen kann der Arbeitnehmer selbst Verantwortlicher im Sinne der DS-GVO werden.

Nicht jeder weisungswidrige Datenzugriff führt automatisch zur Eigenverantwortung

Die Abgrenzung ist im Einzelfall schwierig. Entscheidend ist nicht allein, ob der Arbeitnehmer gegen eine Weisung verstoßen hat. Maßgeblich ist vielmehr, ob die Datenverarbeitung noch objektiv der betrieblichen Aufgabe zugeordnet werden kann.

Handelt der Arbeitnehmer zwar fehlerhaft oder entgegen einer internen Vorgabe, aber weiterhin zur Erfüllung seiner dienstlichen Aufgaben, spricht dies gegen einen echten Mitarbeiterexzess. Verwendet der Arbeitnehmer die Daten dagegen bewusst für eigene private oder eigenständige rechtliche Zwecke, kann eine eigene Verantwortlichkeit näherliegen.

Gerade diese Unterscheidung ist für Arbeitgeber und Arbeitnehmer von erheblicher Bedeutung. Denn sie entscheidet darüber, ob der Datenschutzverstoß allein dem Arbeitgeber zugerechnet wird oder ob der Arbeitnehmer selbst Adressat datenschutzrechtlicher Pflichten und Ansprüche werden kann.

Die Haushaltsausnahme hilft im beruflichen Kontext regelmäßig nicht

Arbeitnehmer können sich im beruflichen Umfeld regelmäßig nicht darauf berufen, dass es sich um eine ausschließlich persönliche oder familiäre Datenverarbeitung handelt.

Die sogenannte Haushaltsausnahme des Art. 2 Abs. 2 Buchst. c DS-GVO greift nur bei Datenverarbeitungen, die ausschließlich persönlichen oder familiären Tätigkeiten dienen. Im Arbeitsverhältnis besteht jedoch regelmäßig ein beruflicher Bezug. Das gilt insbesondere dann, wenn Beschäftigte berufliche Datenbestände, betriebliche Kommunikationsmittel oder interne Unterlagen verwenden.

Wer also im Zusammenhang mit dem Arbeitsverhältnis personenbezogene Daten von Kollegen, Vorgesetzten, Kunden oder Geschäftspartnern verarbeitet, bewegt sich grundsätzlich nicht im rein privaten Bereich.

Welche Rechtsgrundlage braucht der Arbeitnehmer?

Wird der Arbeitnehmer ausnahmsweise selbst Verantwortlicher, muss auch er die Vorgaben der DS-GVO einhalten. Die Verarbeitung personenbezogener Daten ist dann nur rechtmäßig, wenn sie auf eine tragfähige Rechtsgrundlage gestützt werden kann.

Eine Einwilligung wird in der Praxis häufig fehlen. Art. 6 Abs. 1 Buchst. b DS-GVO hilft regelmäßig nur, wenn die betroffene Person selbst Vertragspartei ist. Bei Daten von Arbeitskollegen oder sonstigen Dritten ist dies meist nicht der Fall.

In Betracht kommt daher häufig allein Art. 6 Abs. 1 Buchst. f DS-GVO. Danach kann eine Verarbeitung zulässig sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen.

Ein berechtigtes Interesse kann insbesondere in der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche liegen. Das ist für arbeitsgerichtliche Auseinandersetzungen von erheblicher Bedeutung. Ein Arbeitnehmer kann im Prozess gehalten sein, Tatsachen vorzutragen, die auch personenbezogene Daten von Kollegen betreffen. Das gilt etwa bei Fragen der Gleichbehandlung, der Sozialauswahl oder der Verteidigung gegen Ansprüche des Arbeitgebers.

Gleichzeitig bedeutet dies nicht, dass Arbeitnehmer personenbezogene Daten beliebig sammeln oder verwenden dürfen. Erforderlich bleibt stets eine Interessenabwägung. Die Verarbeitung muss notwendig sein und darf die Rechte der betroffenen Personen nicht unverhältnismäßig beeinträchtigen.

Datenschutz und arbeitsgerichtlicher Prozess

Praxisrelevant ist die Frage, ob Arbeitnehmer Daten anderer Beschäftigter zur Durchsetzung eigener Rechte nutzen dürfen.

Das Datenschutzrecht darf die Rechtsverfolgung nicht unmöglich machen. Im Prozess kann detaillierter Vortrag erforderlich sein, der auch personenbezogene Daten umfasst.

Gleichwohl gelten die Grundsätze der DS-GVO. Entscheidend ist, ob die konkrete Verarbeitung erforderlich und durch ein berechtigtes Interesse gedeckt ist.

Betroffenenrechte gegenüber dem Arbeitnehmer

Wird ein Arbeitnehmer selbst Verantwortlicher im Sinne der DS-GVO, treffen ihn auch die entsprechenden datenschutzrechtlichen Pflichten.

Betroffene Personen können dann grundsätzlich Auskunft nach Art. 15 DS-GVO verlangen. Dies kann etwa Kollegen, Vorgesetzte oder Kunden betreffen, deren personenbezogene Daten eigenmächtig verarbeitet wurden.

Hinzu kommen mögliche Löschungsansprüche sowie Informationspflichten. Der Arbeitnehmer kann also verpflichtet sein, darüber Auskunft zu geben, welche personenbezogenen Daten er verarbeitet, zu welchen Zwecken dies geschieht und auf welcher Rechtsgrundlage die Verarbeitung beruht.

Diese Pflichten bestehen unabhängig davon, ob die ursprüngliche Datenverarbeitung rechtmäßig war. Gerade hierin liegt ein erhebliches praktisches Risiko für Arbeitnehmer, die Daten eigenmächtig speichern, weitergeben oder für eigene Zwecke verwenden.

Schadensersatz und Sanktionen

Ist der Arbeitnehmer selbst Verantwortlicher und verstößt er gegen Vorschriften der DS-GVO, kommen auch Schadensersatzansprüche nach Art. 82 DS-GVO in Betracht. Der Ersatzanspruch kann materielle und immaterielle Schäden erfassen.

Daneben können Aufsichtsbehörden Sanktionen verhängen, wenn ein Arbeitnehmer als eigener Verantwortlicher einzuordnen ist und personenbezogene Daten ohne tragfähige Rechtsgrundlage verarbeitet.

Für Arbeitnehmer ist das Risiko damit nicht nur arbeitsrechtlicher Natur. Neben Abmahnung oder Kündigung können datenschutzrechtliche Auskunfts-, Löschungs- und Schadensersatzansprüche hinzutreten.

Bedeutung für Arbeitgeber

Für Arbeitgeber zeigt das Thema zweierlei.

Erstens bleibt der Arbeitgeber im Regelfall Verantwortlicher für die Verarbeitung personenbezogener Daten im Unternehmen. Er muss daher organisatorisch sicherstellen, dass Beschäftigte nur im zulässigen Rahmen auf personenbezogene Daten zugreifen und diese nur für betriebliche Zwecke verwenden.

Zweitens kann ein echter Mitarbeiterexzess dazu führen, dass die Verantwortlichkeit auf den Arbeitnehmer übergeht oder jedenfalls dessen eigene Haftung in Betracht kommt. Arbeitgeber sollten deshalb klare Weisungen, Zugriffskonzepte und Dokumentationsstrukturen schaffen.

Besonders wichtig ist, dass Mitarbeiter wissen, welche Daten sie abrufen dürfen, zu welchen Zwecken dies zulässig ist und welche Kommunikationswege im Umgang mit Kunden, Kollegen oder Dritten vorgesehen sind.

Fazit

Die Verarbeitung personenbezogener Daten durch Arbeitnehmer ist alltäglich, weshalb klare rechtliche Grenzen entscheidend sind. Grundsätzlich ist der Arbeitgeber verantwortlich, solange Beschäftigte im Rahmen ihrer Aufgaben handeln. Nutzen Arbeitnehmer Daten jedoch für eigene Zwecke, können sie selbst Verantwortliche im Sinne der DS-GVO werden.

Die Folgen reichen von Auskunfts- und Löschungsansprüchen über Schadensersatz bis hin zu aufsichtsbehördlichen Sanktionen und arbeitsrechtlichen Konsequenzen.

Entscheidend ist die Abgrenzung zwischen bloß weisungswidrigem Verhalten und einem echten Mitarbeiterexzess.

Für die Praxis gilt: Arbeitgeber sollten klare Regeln und Strukturen schaffen, während Arbeitnehmer Daten ausschließlich zweckgebunden verwenden dürfen. Gerade bei Unsicherheiten im Umgang mit personenbezogenen Daten oder bei bereits eingetretenen Datenschutzverstößen ist eine frühzeitige rechtliche Beratung sinnvoll. Die Kanzlei unterstützt sowohl Arbeitgeber als auch Arbeitnehmer dabei, Risiken richtig einzuordnen, rechtssichere Lösungen zu entwickeln und mögliche Haftungsfolgen zu vermeiden.