Die Datenschutzkonferenz (DSK) hat auf ihrer 97. Konferenz am 03.04.2019 eine neue Entschließung getroffen. Diese betrifft die Haftung von Unternehmen für Datenschutzverstöße ihrer Beschäftigten und geht zulasten der Unternehmen.

Was entschied die DSK?

Die DSK bezieht sich auf Art. 83 DSGVO, der allgemeine Bedingungen für die Verhängung von Geldbußen vorgibt und meint, dass Unternehmen für die Datenschutzverstöße ihrer Angestellten haften. Und dies soll unabhängig davon gelten, ob das Unternehmen etwas von den Verstößen wusste oder nicht. Und auch unabhängig davon, ob ein Mitarbeiter fahrlässig, vorsätzlich oder sogar unverschuldet handelte.

Das leitet die DSK aus dem funktionalen Unternehmensbegriff des europäischen Primärrechts ab, genauer gesagt aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV). Dieser Unternehmensbegriff sieht Unternehmen als wirtschaftliche Einheit an und lässt Unternehmer für das Fehlverhalten sämtlicher Beschäftigten haften. Ausgenommen sind nur „Exzesse“, also Handlungen, die einem Unternehmen „bei verständiger Würdigung“ nicht zuzurechnen sind.

Die DSK sieht unsere deutschen Haftungsregeln als nicht europarechtskonfrom an. § 41 Abs. 1 BDSG verweist auf das Ordnungswidrigkeitengesetz (OwiG), welche aber der DSGVO widersprechen.

Welche Konsequenzen leitet die DSK daraus ab?

Die DSK sieht es als notwendig an, dass das deutsche Recht an das europäische angepasst wird. Das Fehlverhalten von Angestellten muss ihrer Meinung nach auf das Unternehmen zurückfallen. Dazu müssten die momentanen Gesetze entsprechend geändert werden. Konkret spricht die DSK den Entwurf des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DSGVO) und zur Umsetzung der Richtlinie (EU) 2016/680 an und fordert den Bundesgesetzgeber dazu auf, §§ 30 und 130 OWiG vom Anwendungsbereich auszunehmen.

Welche Bedeutung hat die Entschließung der DSK?

Die Entschließung der DSK ist keine rechtsverbindliche Entscheidung, der Folge geleistet werden muss, sondern stellt vielmehr nur die Meinung der DSK dar. Wie die Gerichte und der Gesetzgeber in Zukunft darüber entscheiden werden, ist offen. Jedenfalls könnte man die rechtliche Lage bezüglich der Haftung von Arbeitgebern auch anders werten und Ihnen durchaus eine Exkulpationsmöglichkeit bei der sorgfältigen Auswahl eines geeigneten und zuverlässigen Mitarbeiters zusprechen.

Worauf sollten Unternehmen achten?

Unternehmen sollten, wie schon seit einem Jahr, darauf achten, dass sie die Vorgaben der DSGVO einhalten. Dies gilt umso mehr, wenn Unternehmen für jeden Fehler ihrer Beschäftigten haften. Und je mehr Beschäftigte das Unternehmen zählt, desto höher ist das Risiko. Es sollten geeignete Maßnahmen wie Schulungen der Beschäftigten und das Zurate ziehen eines Datenschutzbeauftragten oder spezialisierten Anwalts getroffen werden.