+49 (0)2236 509 34 01
welcome@duratos.de

Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten

Nach Ansicht der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden haften Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten.
Eine Ausnahme stelle dar, wenn Mitarbeiter im Exzess, also für eigene Zwecke, gehandelt hätten.
Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unternehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besage, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung sei.
Erwägungsgrund 150 der DSGVO weist für die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Unternehmen verweist ebenfalls auf die AEUV hin.

Die DSK führt weiterhin aus, dass nach Rechtsprechung zum funktionalen Unternehmensbegriff Unternehmen für das Fehlverhalten ihrer Beschäftigten haften   „…ohne dass eine Kenntnis oder Anweisung der Geschäftsführung oder eine Verletzung der Aufsichtspflicht für die Zurechnung erforderlich sind…“
Sogenannte „Exzesse“ der Beschäftigten, die nicht der unternehmerischen Tätigkeit zugeordnet werden könnten, bildeten eine Ausnahme und seien nicht von der Haftung des Unternehmens erfasst.

Beispiele zu Fällen des Mitarbeiterexzesses finden sich beispielsweise im Tätigkeitsbericht der hessischen Aufsichtsbehörde ab S. 72 ( https://www.zaftda.de/tb-bundeslaender/hessen/landesdatenschutzbeauftragter-2/807-50-tb-lfd-hessen-2022-20-8296-vom-08-06-2022/file )
oder im Tätigkeitsbericht der Berliner Aufsichtsbehörde ab S. 138
(https://www.zaftda.de/tb-bundeslaender/berlin/802-tb-lfd-berlin-2021-ohne-drs-nr-vom-24-05-2022/file )


Quelle:  https://www.datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_Unternehmenshaftung.pdf

https://www.zaftda.de/tb-bundeslaender/hessen/landesdatenschutzbeauftragter-2/807-50-tb-lfd-hessen-2022-20-8296-vom-08-06-2022/file

https://www.zaftda.de/tb-bundeslaender/berlin/802-tb-lfd-berlin-2021-ohne-drs-nr-vom-24-05-2022/file

Mitgliedschaften