Für manche Beschäftigte scheint der Job nur eine unangenehme Werbeunterbrechung ihrer eigenen Social-Media-Karriere zu sein. Wenn dann Kundenakten als Requisite für private Posts herhalten, mutiert der Kollege rechtlich zum eigenständigen Verantwortlichen. Das wird teuer – und zwar nicht nur für den Influencer im Exzess, sondern im Zweifel auch für den Arbeitgeber.
Wenn Beschäftigte unbefugt zu „eigenen“ Verantwortlichen werden
In der Beratungspraxis häufen sich Fälle, in denen die Grenze zwischen beruflicher Aufgabe und privater Neugier verschwimmt. Ob es das „Stöbern“ in Kundendaten aus privatem Interesse ist oder die Veröffentlichung von Arbeitsplatz-Schnappschüssen auf Social Media – für Unternehmen/ Vereine entstehen hieraus massive Haftungsrisiken
Klassischer Mitarbeiterdatenschutz schützt primär die Daten der Beschäftigten gegenüber dem Arbeitgeber. Im Falle des Exzesses dreht sich die Perspektive jedoch um: Es geht um den Schutz der Unternehmensdaten (Kunden-, Bürger- oder Patientendaten) vor dem Missbrauch durch das eigene Personal.
Haftung: Vom Erfüllungsgehilfen zum eigenständigen Verantwortlichen
Normalerweise werden Handlungen von Beschäftigten dem Unternehmen zugerechnet, da sie als Teil der wirtschaftlichen Einheit agieren. Sobald ein Mitarbeiter jedoch zu rein privaten Zwecken handelt, die objektiv nichts mehr mit seinen Aufgaben zu tun haben, „schwingt“ er sich zum eigenständigen Verantwortlichen auf.
Der EDPB (Leitlinien 07/2020) stellt klar: Mitarbeiter, die unbefugt für eigene Zwecke auf Daten zugreifen, sind als „Dritte“ in Bezug auf die Verarbeitung des Arbeitgebers zu betrachten. Sie übernehmen damit persönlich alle Pflichten und Konsequenzen der DSGVO – inklusive der Gefahr direkter Bußgelder
Der Social-Media-Faktor und der Irrtum der „Privatheit“
Gerade bei jüngeren Beschäftigten beobachte ich den Trend, personenbezogene Daten aus dem Arbeitsumfeld (z. B. Namensschilder, Lieferlisten oder Patientenakten im Hintergrund) auf privaten Kanälen zu teilen. Hier greift ein gefährlicher Irrglaube: Die sogenannte „Haushaltsausnahme“ (Art. 2 Abs. 2 lit. c DSGVO/ § 2 Abs. 4 DSG-EKD) für rein persönliche Tätigkeiten gilt hier nicht. Wer beruflich anvertraute Daten für private Posts nutzt, stellt einen Bezug zum Berufskontext her und unterliegt damit voll den strengen Sanktionen des Datenschutzrechts.
Das Risiko für Geschäftsführer: Auch wenn der Mitarbeiter im Exzess handelt, kann das Unternehmen gesamtschuldnerisch mithaften, wenn es keine effektiven Sicherungsmaßnahmen (wie Zugriffskontrollen oder regelmäßige Schulungen) nachweisen kann. Zudem stellt ein solcher unbefugter Zugriff in der Regel eine meldepflichtige Datenpanne dar, die innerhalb von 72 Stunden an die Behörde kommuniziert werden muss
Rechtsprechung im Überblick
Die Gerichte haben zuletzt präzisiert, wie weit die Auskunftsrechte der Betroffenen gehen:
- EuGH (C-579/21): Betroffene haben grundsätzlich kein Recht auf Auskunft über die Identität von Mitarbeitern, die rechtmäßig unter Aufsicht und im Einklang mit Weisungen gehandelt haben. Ein Anspruch auf die Identität der Beschäftigten besteht nur dann ausnahmsweise, wenn diese Information unerlässlich ist, um der betroffenen Person die wirksame Wahrnehmung ihrer Rechte aus der DSGVO zu ermöglichen
- LG Baden-Baden (Urt. v. 24.08.2023): Hier greift die entscheidende Ausnahme für den Mitarbeiterexzess: Handeln Beschäftigte ohne entsprechende Weisung zu privaten Zwecken, ist ihr Interesse an Anonymität gegenüber den Betroffenen nicht schutzwürdig. In diesem Fall muss das Unternehmen die Namen der beteiligten Mitarbeiter nennen, damit die betroffene Person Ansprüche wie Löschung oder Schadensersatz effektiv durchsetzen kann.seine Rechte (z. B. auf Löschung oder Schadensersatz) effektiv durchsetzen kann.
Handlungsempfehlung
Um das Haftungsrisiko zu minimieren und im Ernstfall exkulpationsfähig zu sein, sollten Unternehmen/ Vereine folgende Maßnahmen umsetzen:
- Verbindliche Richtlinien (Social Media & Kamera): Erstellen Sie klare Arbeitsanweisungen, die private Foto- und Videoaufnahmen sowie die Veröffentlichung von arbeitsbezogenen Inhalten (z. B. Schnappschüsse vom Schreibtisch mit Kundendaten) auf privaten Social-Media-Kanälen explizit untersagen.
- Technische Zugriffsbeschränkungen (Need-to-Know): Setzen Sie das Prinzip der Datenminimierung technisch um, indem Beschäftigte nur auf die Daten zugreifen können, die für ihre konkrete Aufgabenerfüllung zwingend erforderlich sind. Eine weitreichende Autorisierung ohne präventive Sicherungsmaßnahmen erhöht das Haftungsrisiko des Unternehmens bei Missbrauch.
- Endgeräte-Policies (BYOD): Regeln Sie die Nutzung privater Endgeräte strikt und führen Sie bei Verstößen konsequente Eskalationsverfahren durch, bis hin zur Untersagung des Mitführens privater Smartphones am Arbeitsplatz.
- Gezielte Sensibilisierung: Schulen Sie Mitarbeiter regelmäßig und dokumentieren Sie diese Schulungen als Nachweis für Ihre Aufsichtspflicht. Weisen Sie dabei explizit auf die persönliche Bußgeldhaftung der Mitarbeiter hin, falls diese zu privaten Zwecken als „eigene“ Verantwortliche agieren
- Data Breach Check: Prüfen Sie bei Entdeckung eines unbefugten internen Zugriffs sofort die Meldepflicht nach Art. 33 DSGVO (§ 32 DSG-EKD), da dies rechtlich eine unbefugte Offenlegung gegenüber einem Dritten darstellt
