Dass Mitarbeitende ohne bösartige Absicht, IT-Systeme nutzen, ohne dass diese durch die Geschäftsleitung explizit frei gegeben wurden, kommt häufiger vor, als Geschäftsführerinnen und Geschäftsführern als Verantwortlichen lieb sein kann. Das Risiko, dass Mitarbeitende in wohlmeinender Absicht, Schatten-IT Systeme nutzen, ist gerade mit der Verbreitung von öffentlich leicht zugänglichen KI Systemen wie ChatGPT, Gemini und Co. nochmals deutlich angestiegen. Wie leicht und schnell ist ein zu bewertender Servicevertrag in eines der öffentlich zugänglichen KI-Tools hoch geladen und analysiert, ohne dass grundlegende rechtliche Fragen des Datenschutzes und der KI-Verordnung geklärt sind. Schnell kommt es in solchen und ähnlichen Fällen zu nicht unerheblichen Verstößen gegen geltendes Recht und im schlimmsten Fall zu rechtlichen und finanziellen Folgen.
Wer ist der Verantwortliche im Sinne der DSGVO?
Dies regelt zunächst Art. 4 Abs. 7 DSGVO, verantwortlich ist „„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Das klingt zunächst einmal klarer, als es in Wirklichkeit ist. Was, wenn ein Mitarbeitender während der Arbeitszeit, mit dienstlichem Auftrag, nicht frei gegebene IT-Systeme ohne Kenntnis der Geschäftsleitung nutzt? Oder gar mit stillschweigender Billigung? Ist in diesem Fall die Geschäftsleitung als Verantwortlicher zu sehen, oder der Mitarbeitende, oder handelt es sich gar um eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO?
Die Beantwortung dieser Fragen ist keineswegs trivial und bedarf im Falle des Falles einer genauen Prüfung des Sachverhalts.
Wo beginnt und wo endet die Verantwortung der Geschäftsleitung?
Mit dieser Frage hat sich schon der Europäische Gerichtshof im Kontext eines derartigen Falles beschäftigen müssen. Zum Fall: Ein Rechtsanwalt war mehrfach in werblicher Absicht per Email von der Juris GmbH angeschrieben worden und hatte Widerspruch gegen die werbliche Nutzung seiner Emailadresse eingelegt. Entgegen klarer Vorgaben der Geschäftsleitung hatte ein Mitarbeitender dennoch diese Emailadresse in mindestens zwei Fällen für werbliche Anschreiben genutzt, unstreitig ein klarer Verstoß sowohl gegen die DSGVO, als auch das UWG.
Es kam, wie es abzusehen war. Der Anwalt ging vor Gericht und klagte auf Schadensersatz nach Art. 82 DSGVO. Das beklagte Unternehmen, die Juris GmbH verwies darauf, dass der Mitarbeitende entgegen eindeutiger Vorgaben eigenmächtig und ohne Kenntnis oder Zustimmung der Geschäftsleitung gehandelt hätte.
Das Verfahren ging vor Gericht, das wiederum dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Klärung vorlegte. 2024 erging das Urteil (Aktenzeichen C-741/21,) des EuGH, das sich ausführlich der Beantwortung der Frage widmete, welche Verantwortung die Geschäftsleitung in einem solchen Fall trägt. Die Kernaussagen des Gerichts lauten kurz zusammengefasst:
– Gemäß Art. 32 in Verbindung mit Art. 24 DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, die einen möglichen Rechtsverstoß durch eigenmächtig handelnde Mitarbeitende möglichst verhindern sollen.
– Der Verantwortliche kann sich nicht von der Haftung nach Art. 82 DSGVO befreien, indem er sich auf das eigenmächtige Handeln des Mitarbeitenden beruft.
– Da der Anspruch auf Schadensersatz nach Art. 82 DSGVO ein schuldhaftes Handeln voraussetzt, kann sich der Verantwortlich nur aus der Haftung befreien, wenn er zweifelsfrei nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist und kein Kausalzusammenhang zwischen dem Schadensereignis und dem Datenschutzverstoß besteht.
Unsere Empfehlung
Kommt es also in Ihrem Unternehmen zu einem Datenschutzverstoß empfehlen wir dringend, den Fall akribisch zu untersuchen und die damit zusammenhängenden Fragen nach der Verantwortlichkeit und einer möglichen Haftung des Verantwortlichen zu klären. Die Frist, für die Klärung ist denkbar kurz, die Meldung eines derartigen Falles nach Art. 33 DSGVO, beträgt nur 72 Stunden. Falls die Klärung innerhalb dieser Zeit nicht oder nicht vollständig erfolgen kann, ist eine Vorabmeldung zu erstellen und eine Folgemeldung nach erfolgter Klärung.
Ein meldepflichtiger Vorfall führt nicht automatisch zu einem Bußgeld oder einer Anordnung der Behörde. Wir empfehlen, in einem solchen Fall nicht nur den Sachverhalt zu schildern, sondern zugleich auch Abhilfemaßnahmen gegen eine Wiederholung einzubeziehen.
Gut gemeint ist nicht immer gut gemacht. Datenschutzverstöße aufgrund menschlichem Handeln können niemals gänzlich vermieden werden. Es kommt letztlich darauf an, wie der Verantwortliche und die Organisation insgesamt damit umgeht. Eine produktive Fehlerkultur, die auf Information setzt, kann helfen, das Risiko für den Verantwortlichen zu verringern. Gänzlich ausschließen, lässt es sich nicht.