Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden – DSK) hat mit Entschließung ihrer 97. Konferenz bekanntgegeben, dass ihrer Ansicht nach Unternehmen für Datenschutzverstöße ihrer Beschäftigten haften.
Für die Haftung soll es unerheblich sein, ob die Verantwortlichen von dem Datenverstoß Kenntnis hatten/hätten haben müssen und/oder ob eine Aufsichtsverletzung vorlag.
Zu beachten ist weiterhin, dass es eines Verschuldens des Beschäftigten ebenso wenig bedarf! So kann ein Bußgeld verhängt werden, auch wenn der Datenschutzverstoß weder fahrlässig noch vorsätzlich erfolgte. Ein Verschulden ist nur für den Schadensersatzanspruch nach Art. 82 DSGVO notwendig.
Die Haftung für den Datenschutzverstoß einer/s Beschäftigten ist lediglich für solche Handlungen von Beschäftigten ausgenommen, “die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“)”.
Nähere Informationen über die Entschließung der DSK finden Sie hier:
https://datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_Unternehmenshaftung.pdf
Was folgt daraus?
Unternehmen sollten daher sicherstellen, dass ihre Beschäftigten hinreichend über den Datenschutz informiert sind.
Dieses sollte jedenfalls durch eine Datenschutzrichtlinie erfolgen. Überlegt werden sollte auch, ob die Beschäftigten zusätzlich im Rahmen einer Schulung über die wesentlichen Inhalte der DSGVO informiert werden.
Gern erstelle ich für Sie eine Datenschutzrichtlinie und/oder schule Ihre Mitarbeiter vor Ort. Eine Schulung dauert in der Regel 1 bis 2 Stunden (je nach Mitarbeiterzahl und entsprechendem Frageaufkommen)