Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Datenschutzpanne im Unternehmen: Wann ein Datenschutzbeauftragter haftet

0 Beurteilungen
Datenschutz Haftung

Von Wolfram von Gagern,

Im Hinblick auf die Datenschutzpannen bei Telekom, Lidl, Deutsche Bahn & Co. haben Sie sich vielleicht gefragt, ob die jeweiligen Datenschutzbeauftragten irgendwie für das Geschehene zur Verantwortung gezogen werden können. Die rechtlichen Rahmenbedingungen zeigt ihnen der folgende Beispielfall.

Im Hinblick auf die Datenschutzpannen bei Telekom, Lidl, Deutsche Bahn & Co. haben Sie sich vielleicht gefragt, ob die jeweiligen Datenschutzbeauftragten irgendwie für das Geschehene zur Verantwortung gezogen werden können. Die rechtlichen Rahmenbedingungen zeigt ihnen der folgende Beispielsfall:

Beispielfall: Aufgrund einer Bespitzelungsaffäre, von der weder der betriebliche Datenschutzbeauftragte noch die Geschäftsleitung etwas wussten, kommt es zu einem gravierenden Vertrauensverlust bei den Kunden. Der Umsatz geht stark zurück. Die Geschäftsleitung möchte vom Datenschutzbeauftragten den Schaden ersetzt bekommen, weil dieser nach deren Ansicht seine Arbeit nicht richtig gemacht hat. Zu Recht?

Die Antwort: Nein, das Unternehmen ist beim Datenschutzbeauftragten an der falschen Adresse. Diesen trifft kein vorwerfbares Verhalten, weil er von den Vorgängen nichts wusste. Im Übrigen gilt im Hinblick auf das Thema Haftung des Datenschutzbeauftragten:

Haftung: Das Unternehmen trägt die Verantwortung nach dem BDSG

Aus dem Bundesdatenschutzgesetz (BDSG) lässt sich eine Verantwortlichkeit und damit Haftung des Datenschutzbeauftragten nicht herleiten. § 4g Abs. 1 Satz 1 BDSG spricht nur von der Hinwirkungspflicht. Es liegt nicht im Verantwortungsbereich des Datenschutzbeauftragten, die Vorschriften im Unternehmen durchzusetzen. Nichtsdestotrotz kann auch der betriebliche Datenschutzbeauftragte als Arbeitnehmer seine Arbeit schlecht machen, indem er nicht einmal auf die Einhaltung hinwirkt.

Haftung: Verletzung arbeitsvertraglicher Pflichten

Weil keine besonderen Anspruchsgrundlagen vorhanden sind, kommen im Arbeitsverhältnis die schuldrechtlichen Vorschriften des Bürgerlichen Gesetzbuches (BGB) zum Tragen. Von zentraler Bedeutung ist hier § 280 BGB in Verbindung mit dem jeweiligen Arbeitsvertrag. Aus § 280 Abs. 1 BGB ergibt sich daher für den Beispielfall, dass der Datenschutzbeauftragte als Schuldner grundsätzlich den Schaden des Unternehmens (Gläubiger) zu ersetzen hätte, wenn er eine arbeitsvertragliche Pflicht verletzt hätte. Zu den Pflichten eines Arbeitnehmers zählt es dabei nicht nur, die im Vertrag festgelegte Tätigkeit zu verrichten. Ihm kommt beispielsweise auch die Pflicht zu, Schaden vom Unternehmen fernzuhalten und auf bemerkte schädigende Handlungen hinzuweisen. Eine solche Pflichtverletzung wäre im Beispielsfall dann anzunehmen, wenn der Datenschutzbeauftragte weiß, dass hinter dem Rücken der Geschäftsführung Mitarbeiter bespitzelt werden, und er dennoch gegenüber der Geschäftsleitung schweigt.

Haftung: Verantwortlichkeit als Arbeitnehmer

Ferner ist erforderlich, dass der Arbeitnehmer die Pflichtverletzung zu vertreten hat (§ 280 Abs. 1 Satz 2 BGB). Unter dem so genannten Vertretenmüssen sind nach § 276 Abs. 1 BGB Vorsatz und Fahrlässigkeit zu verstehen. Stark vereinfacht ist Vorsatz dann gegeben, wenn es einem gerade darum geht, dass ein bestimmtes Ziel erreicht wird. Fahrlässigkeit gemäß § 276 Abs. 2 BGB hingegen liegt vor, wenn die im Geschäftsverkehr erforderliche Sorgfalt außer Acht gelassen wird. Von Vorsatz wäre im Beispielfall auszugehen, wenn der Datenschutzbeauftragte eigenmächtig die Bespitzelung der Mitarbeiter veranlasst hatte. Fahrlässig wäre es hingegen, wenn er Gerüchte nicht ernst nimmt.

Grundsätzliche Haftung ja, aber…

Ist die vorsätzliche oder fahrlässige Pflichtverletzung ursächlich dafür, dass es zum Schaden kommt, ist die Frage der Haftung beim Arbeitnehmer grundsätzlich zu bejahen. Allerdings kann die grundsätzliche Haftung des Arbeitnehmers eingeschränkt sein. Zu nennen ist hier ein eventuelles Mitverschulden (vgl. § 254 BGB) des Arbeitgebers. Typische Beispiele für Mitverschulden sind organisatorische Versäumnisse oder etwa die (zeitliche) Überforderung des Arbeitnehmers.

Haftung je nach Verschuldensgrad

Ist die grundsätzliche Schadensersatzpflicht gegeben, so muss das nicht bedeuten, dass der Arbeitnehmer den vollen Schaden tragen muss. Es kommt im Arbeitsrecht nämlich zu einer Schadensteilung, je nach Grad des arbeitnehmerseitigen Verschuldens. Nach den von den Arbeitsgerichten entwickelten Grundsätzen entfällt eine Schadensersatzpflicht bei leichter Fahrlässigkeit ganz. Schätzt der Datenschutzbeauftragte nicht mal im Ansatz belegbare Gerüchte fälschlicherweise als unbedeutend ein, könnte man leichte Fahrlässigkeit annehmen. Lässt er hingegen das unbeachtet, was jedem hätte einleuchten müssen, und wird die ihm zukommende Sorgfalt in ungewöhnlich hohem Maß verletzt, liegt grobe Fahrlässigkeit vor.

Bei solchen nicht entschuldbaren Pflichtverletzungen kann der Arbeitnehmer voll schadensersatzpflichtig werden. Im Beispiel wäre dies anzunehmen, wenn die Unternehmensleitung wider besseren Wissens nicht informiert wird. Handelt es sich nicht um leichte und nicht um grobe Fahrlässigkeit, spricht man von mittlerer Fahrlässigkeit. In einem solchen Fall wird die Schadensersatzpflicht zwischen Arbeitgeber und Arbeitnehmer geteilt. Bei dieser Quotelung müssen die Umstände des konkreten Einzelfalls berücksichtigt werden. So spielt es beispielsweise auch eine Rolle, ob das Unternehmen sich gegen ein entsprechendes Risiko versichert oder dies pflichtwidrig versäumt hat.

Stichwort Beweislast: Das sollten Sie beachten

Kommt es einmal hart auf hart, stellt sich schnell die Frage: Wer muss was beweisen? Grundsätzlich ergibt sich die Beweislast aus dem bereits erwähnten § 280 BGB, der das Thema Pflichtverletzungen regelt. Nach § 280 Abs. 1 Satz 2 müsste der Arbeitnehmer einen Schaden nur dann nicht tragen, wenn er für die Pflichtverletzung nichts kann. Dass er nichts dafür kann, müsste der Arbeitnehmer beweisen. Doch das ist meist nicht möglich. § 619a BGB enthält daher zugunsten der Arbeitnehmer eine so genannte Beweislastumkehr. Das bedeutet, der Arbeitgeber muss beweisen, dass die Anspruchsvoraussetzungen vorliegen, und nicht der Arbeitnehmer, dass er nicht zum Schadensersatz verpflichtet ist.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Einsatzfertige PowerPoint Präsentation zur Schulung Ihrer Mitarbeiter

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte