Mitarbeiterexzess: Persönliche Haftung bei Datenschutzverstößen

Greifen Mitarbeitende ohne berechtigten Anlass auf personenbezogene Daten zu, spricht man von einem sogenannten Mitarbeiterexzess. In diesen Fällen handeln sie nicht mehr im Auftrag des Unternehmens, sondern eigenverantwortlich im Sinne des Art. 4 Nr. 7 DSGVO. Sie werden damit selbst zu Verantwortlichen und können nach Art. 82 DSGVO für entstandene Schäden haftbar gemacht werden. Das Unternehmen kann sich nur entlasten, wenn es nachweislich alle erforderlichen technischen und organisatorischen Maßnahmen umgesetzt hat.

Dazu zählen dokumentierte Schulungen, klare Berechtigungskonzepte und regelmäßige Kontrollen. Auch wenn der Verstoß allein durch eine Mitarbeiterin oder einen Mitarbeiter erfolgt, bleibt eine Meldepflicht nach Art. 33 und 34 DSGVO bestehen. Ein unbefugter Zugriff gilt stets als Datenschutzverletzung und ist bei Risiko für Betroffene zu melden. Unternehmen sollten daher präventiv handeln und ihre Beschäftigten regelmäßig sensibilisieren.