Geschäftsmodell -
„selbst herbeigeführter
Datenschutzverstoß“?

Bei einem Verstoß gegen die Vorschriften der Datenschutzgrundverordnung (DSGVO) können die Aufsichtsbehörden empfindliche Bußgelder verhängen. Daneben ist es einer natürlichen Person möglich, einen Schadensersatzanspruch geltend zu machen, wenn die Person von einem Verstoß gegen die DSGVO betroffen ist. Es ist daher für Unternehmen von immenser Bedeutung, dafür zu sorgen, dass die geeigneten technischen und organisatorischen Maßnahmen (sog. TOMs) ergriffen sind, um Verstöße gegen die Vorschriften der DSGVO zu vermeiden.

Doch was ist, wenn die betroffene Person selbst den Verstoß herbeigeführt hat und auf dieser Grundlage versucht, einen Schadensersatzanspruch durchzusetzen? Mit einem solchen Fall hatte sich das BAG in einer Entscheidung vom 20.06.2024 (Az. 8 AZR 253/20) zu beschäftigen.

 

Der Fall:

Der Medizinische Dienst der Krankenkassen Nordrhein (MDK) hat über einen eigenen Mitarbeiter im Auftrag von dessen Krankenkasse ein medizinisches Gutachten zur Beseitigung von Zweifeln an dessen Arbeitsunfähigkeit erstellt. Hierfür gab es eine „Organisationseinheit Spezialfall“, die unter Verwendung eines gesperrten Bereichs des IT-Systems des MDK gearbeitet haben. Es gab dabei entsprechende Vorgaben zur Einhaltung des Datenschutzes.

Der betroffene Mitarbeiter hielt diese Verarbeitung seiner Gesundheitsdaten durch seine eigenen Kollegen für rechtswidrig. Zudem hat er einen Kollegen aus der IT-Abteilung kontaktiert und gebeten, Fotos von dem Gutachten zu machen. Der Mitarbeiter war der Ansicht, dass seine Gesundheitsdaten rechtswidrig von seinem Arbeitgeber verarbeitet worden seien und forderte wegen des datenschutzrechtlichen Verstoßes eine Entschädigung in Höhe von 20.000,00 €.

Die Klage wurde in den Vorinstanzen abgelehnt. Auch der EuGH und das BAG entschieden gegen den Mitarbeiter. Der MDK hat die entsprechenden Vorgaben zur Einhaltung des Datenschutzes beachtet. Die Datenverarbeitung war somit rechtmäßig.

Der EuGH (Urteil vom 21.12.2023 – C-667/21) hatte im Rahmen einer Vorlage durch das BAG weiter präzisiert, dass der Verantwortliche bei einem Verstoß gegen die Vorschriften der DSGVO zu beweisen habe, dass ihn für den Verstoß keine Schuld trifft. Eine Berücksichtigung des Grads des Verschuldens erfolgt bei der Bemessung eines Schadensersatzanspruchs aber nicht.

Vorliegend ist der einzige Zugriff durch einen unberechtigten Mitarbeiter auf ausdrücklichen Wunsch und auf alleinige Initiative des Mitarbeiters erfolgt. Zugleich wurden durch den MDK sämtliche Vorgaben für die Datenverarbeitung eingehalten. Es bestand daher keine Schuld des MDK an dem durch den betroffenen Mitarbeiter begangenen Verstoß.

 

Fazit:

Die Entscheidung zeigt, dass die Haftung für einen Verstoß gegen die Vorschriften der DSGVO vom Vorliegen eines dem Verantwortlichen anzulastenden Verschuldens abhängt. Dieses Verschulden wird grundsätzlich vermutet, sodass sich der Verantwortliche durch Aufzeigen von entsprechenden TOMs von einer Haftung befreien kann. Steht aber bereits fest, dass die vom Datenschutzverstoß betroffene Person selbst den Verstoß herbeigeführt hat, und hat das Unternehmen sämtliche Vorschriften eingehalten, begründet dies keinen Anspruch gegen den Verantwortlichen, also das Unternehmen.

Es ist daher immer zu prüfen, wie es zu einem Datenschutzverstoß gekommen ist. Zudem sollten Arbeitgeber als Verantwortliche auf die Einhaltung hinreichender technisch organisatorischer Maßnahmen, sog. TOMs, achten, um sich im Zweifelsfall entlasten zu können. Zu den TOMs zählen auch die Belehrung und Schulung von Mitarbeitern zur Vermeidung von Verstößen gegen die DSGVO. Kommen Sie daher gerne auf uns zu, wenn Sie Ihr Unternehmen im Beschäftigtendatenschutz sicher aufstellen wollen.

Ansprechpartner

Dr. Tobias Wagner

Partner
Rechtsanwalt
Fachanwalt für IT-Recht

Jane Hohmann

Rechtsanwältin
Fachanwältin für Arbeitsrecht
zertifizierte Datenschutzbeauftragte