In einer grundlegenden Entscheidung hat der EUGH im April 2024 geklärt, unter welchen Voraussetzungen sich Arbeitgeber von den Datenschutzverstößen ihrer Mitarbeiter im Sinne des Art. 82 Abs. 3 DSGVO exkulpieren können, um nicht auf Schadensersatz zu haften. Die gesamte Entscheidung kann nachgelesen werden unter: LINK

Zusammenfassend können aus dieser Entscheidung folgende Grundsätze herausgearbeitet werden:

1. Arbeitgeber haften grundsätzlich für Datenschutzverstöße ihrer Arbeitnehmer

Nach Art. 82 Abs. 1 DSGVO haften Verantwortliche für Schäden durch Datenschutzverstöße.  Arbeitnehmer gelten als „unterstellte Personen“, weshalb ihre Verstöße dem Arbeitgeber zugerechnet werden.

2. Eingeschränkte Möglichkeit zur Haftungsbefreiung (Art. 82 Abs. 3 DSGVO)

Arbeitgeber können sich nicht einfach mit dem Argument exkulpieren, dass Mitarbeiter fahrlässig oder weisungswidrig gehandelt haben.  Eine Befreiung ist nur möglich, wenn der Arbeitgeber nachweisen kann, dass es keinen Kausalzusammenhang zwischen seinem eigenen Handeln oder Unterlassen und dem entstandenen Schaden gibt.

3. Pflichten des Arbeitgebers zur Vermeidung von Verstößen

• Weisungsgebundenheit sicherstellen: Arbeitnehmer dürfen personenbezogene Daten nur auf Anweisung verarbeiten (Art. 29, 32 Abs. 4 DSGVO).
• Technische und organisatorische Maßnahmen (TOMs) umsetzen: Arbeitgeber müssen angemessene Sicherheitsvorkehrungen treffen, um Verstöße zu verhindern (Art. 5, 24, 32 DSGVO).
• Regelmäßige Schulungen und Kontrollen durchführen: Mitarbeiter müssen in Datenschutzfragen aufgeklärt und ihre Einhaltung der Vorgaben überprüft werden.
• Schnelles Eingreifen bei Verstößen: Arbeitgeber müssen Prozesse zur Erkennung und Sanktionierung von Datenschutzverstößen implementieren.

4. Exkulpation ist nicht ausgeschlossen, aber schwer nachzuweisen

Eine Haftungsbefreiung ist möglich, wenn der Arbeitgeber nachweisen kann, dass er alle zumutbaren Maßnahmen getroffen hat (z. B. Schulungen, Kontrolle der Weisungen, Sicherheitsmaßnahmen).
Bei vorsätzlichem Fehlverhalten eines Mitarbeiters (z. B. absichtliche Datenweitergabe oder Cyberangriffe) kann eine Haftungsbefreiung wahrscheinlicher sein.

5. Praktische Auswirkungen für Unternehmen

Unternehmen müssen ein nachweisbares Datenschutzmanagement etablieren. Regelmäßige Mitarbeiterkontrollen und Schulungen sind essenziell, um sich überhaupt auf Art. 82 Abs. 3 DSGVO berufen zu können. Arbeitgeber sollten Datenschutzverstöße von Arbeitnehmern dokumentieren und geeignete Maßnahmen zur Risikominimierung treffen.

Fazit

Der EuGH setzt enge Grenzen für die Haftungsbefreiung von Arbeitgebern bei Datenschutzverstößen durch Arbeitnehmer. Unternehmen müssen aktiv Präventions- und Kontrollmaßnahmen ergreifen, um im Schadensfall eine Exkulpation zu ermöglichen. Eine bloße Berufung auf „Fehlverhalten des Mitarbeiters“ reicht nicht aus.