IT Sicherheit Teil 9/3 Haftung des Datenschutzbeauftragten

Grundsätzlich gilt in einem Arbeitsverhältnis der Grundsatz der Haftungsprivilegierung des Arbeitnehmers. Eine Beschränkung der Arbeitnehmerhaftung gilt für alle Arbeiten, die durch den Betrieb veranlasst sind und aufgrund eines Arbeitsverhältnisses geleistet werden, auch wenn diese Arbeiten nicht gefahrgeneigt sind.

Der innerbetriebliche Schadensausgleich bestimmt den Umfang der Arbeitnehmerhaftung. Die Haftung des Datenschutzbeauftragten wird je nach Grad des Verschuldens eingeschränkt. Den Datenschutzbeauftragten für jede Unachtsamkeit in vollem Umfang haftbar machen zu können entspricht weder dem Willen des Gesetzgebers, noch den im deutschen Zivilrecht geltenden Grundsätzen von Treu und Glauben. Hinzu kommt, dass ein Arbeitgeber für alle Handlungen und Abläufe in seinem Betrieb ein gewisses Betriebsrisiko mit trägt. Er muss sich unter Umständen ein Organisationsverschulden anrechnen lassen.

Bei jeder Pflichtverletzung ist zwischen den verschiedenen Verschuldensgraden zu unterscheiden.

Die leichte Fahrlässigkeit ist die geringste Stufe eines Verschuldens. Leichte Fahrlässigkeit liegt meistens bei kurzzeitiger Unaufmerksamkeit oder kleinen Missgeschicken vor, unabhängig davon, zu was für einem Schaden diese führen. Oftmals kann schon aus der leichtesten Fahrlässigkeit ein Millionenschaden entstehen. Dieser Schaden spielt aber für die Bewertung des Verschuldens keine Rolle. Entscheidend ist lediglich das Verhalten des Arbeitnehmers, hier speziell des Datenschutzbeauftragten.

Beispiel:

Bei der Arbeit am Terminalserver stößt D versehentlich eine Blumenvase um. Das Blumenwasser läuft in das Gehäuse des Rechners und zerstört diesen komplett. Dazu fällt, aufgrund des Stromschlags, im gesamten Firmengebäude der Strom aus. Hierdurch gehen ein Großteil der betrieblichen Daten verloren. Es entsteht ein Schaden von 500.000 Euro.

Hier liegt, unabhängig von der Beträchtlichkeit des entstandenen Schadens, nur ein Fall von leichter Fahrlässigkeit vor. D hat nichts weiter getan, als versehentlich die Blumenvase umzustoßen. In einem Fall von leichter Fahrlässigkeit trifft den Arbeitnehmer keine Haftungsverpflichtung. Bei solch geringfügigen Pflichtverletzungen greift die Haftungsprivilegierung des Arbeitnehmers in vollem Umfang ein. D könnte hier nicht für den entstandenen Schaden haftbar gemacht werden.
Die mittlere Fahrlässigkeit wird umgangssprachlich auch „normale“ Fahrlässigkeit genannt. Ihre juristische Definition ist die „Außerachtlassung der im Verkehr erforderlichen Sorgfalt“. Die mittlere Fahrlässigkeit ist ein Verschuldensgrad, bei dem eine vollständige Befreiung von der Haftung abgelehnt wird. In welchem Maße der Arbeitnehmer für einen entstandenen Schaden zu haften hat, hängt von der Bewertung des Einzelfalls ab. Bei dieser Bewertung sind die gegebenen Gesamtumstände zu berücksichtigen.

Faktoren, die in diese Wertung einbezogen werden sind zum Beispiel die Stellung des Arbeitnehmers im Betrieb, die Lohnhöhe des Arbeitnehmers, Alter, Betriebszugehörigkeit, Verlässlichkeit, oder die Versicherungsmöglichkeit des Arbeitgebers. Nicht berücksichtigt werden darf aber zum Beispiel die Mitgliedschaft im Betriebsrat. Dies wäre ein Verstoß gegen § 78 BetrVG.

Liegt ein Fall von mittlerer Fahrlässigkeit vor, so müssen alle denkbaren, wertenden Faktoren einbezogen werden. Am Ende gelangt man so zu einer Quotenregelung. Das bedeutet, der entstandene Schaden wird zwischen Arbeitgeber und Arbeitnehmer aufgeteilt, je nachdem, in welchem Maße die wertenden Faktoren eingreifen.

Der Datenschutzbeauftragte, der in einem Betrieb eine vergleichsweise hohe Stellung hat und in der Regel auch in seiner Funktion als Fachkraft als leitender Angestellter bezahlt wird, hat weitaus weniger Möglichkeiten in den Vorzug einer Haftungsprivilegierung zu kommen als beispielsweise ein niedrigerer Angestellter, der nur weisungsgebunden handelt. Zur Veranschaulichung ein weiteres

Beispiel:

Arbeitgeber A beschäftigt in seinem Großbetrieb den Datenschutzbeauftragten D. D hat ein monatliches Nettoeinkommen von 3000 Euro. Aufgrund einer Unachtsamkeit unterlässt es D mehrmals, den Virenschutz des Unternehmens auf den neusten Stand zu bringen. Es kommt zum Virenbefall. Der dadurch entstandene Schaden wird auf 20 000 Euro beziffert.
Gleichzeitig hat es A jedoch, trotz mehrfacher Hinweise des D, unterlassen, für einen ausreichenden Versicherungsschutz im Falle eines Datenunfalls zu sorgen. Außerdem hat A dem D nicht ausreichend Hilfspersonal zur Ausführung seiner Arbeiten zur Verfügung gestellt.

Hier liegt ein mittleres Verschulden des D vor. Er hat die erforderliche Sorgfalt außer Acht gelassen, indem er pflichtwidrig den Virenschutz nicht aktualisiert hat. Aufgrund seiner Stellung als Datenschutzbeauftragter des Unternehmens kann er sich hier nicht vollständig exkulpieren. Dazu nimmt er eine zu verantwortungsvolle Position im Betrieb ein. Gleichzeitig liegt jedoch ein Organisationsverschulden des A vor, der nicht für geeignete Maßnahmen im Falle eines Schadens gesorgt hat. Persönliches Verschulden des D und Organisationsverschulden des A begegnen sich hier ungefähr auf gleicher Höhe. Dementsprechend hätten D und A jeweils die Hälfte des entstandenen Schadens zu tragen.

Grob fahrlässiges Handeln bedeutet, wenn jemand die im Verkehr erforderliche Sorgfalt nach Würdigung der Gesamtumstände in ungewöhnlich hohem Maße verletzt und außer Acht lässt. Dabei ist zu berücksichtigen, was der Schädigende nach seinen individuellen Fähigkeiten erkennen und erbringen konnte.

Bei grob fahrlässigem Handeln hat der Arbeitnehmer in der Regel für den vollen Schaden aufzukommen.

Beispiel:

Der sonst verantwortungsvolle Datenschutzbeauftragte D erscheint am Montagmorgen in stark alkoholisiertem Zustand zur Arbeit. Aufgrund seines „Pegels“ begeht er einen Fehler nach dem anderen. Arbeitgeber A fordert den D auf, nach Hause zu gehen. Dieser möchte jedoch nicht als schwach dastehen und verrichtet seinen „Dienst“ weiter.
Es kommt, wie es kommen muss. Aufgrund mehrerer alkoholbedingter Fehler stürzt das System ab. Es entsteht ein Schaden von 2000 Euro.
D hat ein monatliches Nettoeinkommen von 3000 Euro. A hat vorsorglich eine Versicherung für solche Fälle abgeschlossen.

Das Handeln des D ist in diesem Beispiel als grob fahrlässig einzustufen. Da er sonst ein verlässlicher und verantwortungsvoller Mitarbeiter ist, hätte er erkennen können, dass er aufgrund seiner Alkoholisierung nicht arbeitsfähig ist. Trotz der Aufforderung des A, nach Hause zu gehen, hat D weiter gearbeitet. Ein Organisationsverschulden des A liegt in diesem Fall nicht vor. Auch die Versicherung des A spielt in diesem Fall keine Rolle. Diese wird in Fällen arbeitnehmerseitiger, grober Fahrlässigkeit nicht für den Schaden aufkommen. Folglich muss D allein für den entstandenen Schaden haften.

Jedoch ist das Unternehmen, bzw. der Arbeitgeber längst nicht in allen Fällen arbeitnehmerseitiger Fahrlässigkeit von der Haftung befreit, auch wenn es sich um grobe Fahrlässigkeit handelt. Eine Quotenregelung zwischen Arbeitnehmer und Arbeitgeber ist auch in Fällen grober Fahrlässigkeit möglich, wenn zwischen Vergütung und Schaden ein grobes Missverhältnis steht. Der Arbeitnehmer darf nicht durch eine Schadensersatzforderung in den Ruin getrieben werden.

Beispiel:

Das Betanken eines LKW mit Benzin anstatt mit Diesel durch einen Berufsfahrer wurde als grob fahrlässig eingestuft. Es entstand hierdurch ein beträchtlicher Motorschaden.
Aufgrund seines, zu der Höhe des Schadens, vergleichsweise niedrigen Verdienstes wurden dem LKW-Fahrer hier nur zwei Drittel des Schadens auferlegt. Das restliche Drittel hatte der Arbeitgeber zu tragen.

Das Beispiel zeigt, dass, auch bei größerem Verschuldensmaß des Arbeitnehmers, der Arbeitgeber nicht von den Folgen des Verstoßes verschont bleibt. Hinzu kommt, dass vom BAG vorgeschlagen wurde, die Haftungsgrenze der Arbeitnehmerhaftung generell bei maximal drei Bruttomonatsgehältern festzulegen, unabhängig vom Grad der Fahrlässigkeit. Dieser Reformvorschlag wurde zwar bisher noch nicht umgesetzt, findet sich aber oft in der Rechtsprechung der Arbeitsgerichte wieder. Der restliche Schaden wird auf den Arbeitgeber, bzw. im günstigsten Falle auf dessen Versicherung abgewälzt. Es ist deshalb für jede Unternehmensleitung erhöhte Vorsicht und Vorsorge geboten.

Zu betonen ist auch, dass von den arbeitnehmerschützenden Vorschriften des innerbetrieblichen Schadensausgleichs nicht abgewichen werden kann, auch nicht durch einen Tarifvertrag. Dies haben BGH und BAG einvernehmlich festgelegt. „Die Grundsätze über die Beschränkung der Haftung des Arbeitnehmers bei betrieblich veranlassten Tätigkeiten sind einseitig zwingendes Arbeitnehmerschutzrecht. Von ihnen kann weder einzel- noch kollektivvertraglich zu Lasten des Arbeitnehmers abgewichen werden.

Vorsatz bedeutet das Wissen und Wollen des rechtswidrigen Erfolges, das heißt ein absichtliches, zielgerichtetes Handeln, jemandem einen Schaden zuzufügen. Handelt ein Arbeitnehmer, im konkreten Fall ein Datenschutzbeauftragter, vorsätzlich bezüglich der Herbeiführung eines Schadens, so ist er in vollem Umfang zur Haftung verpflichtet. Nur bei vorsätzlichem Handeln wird der Arbeitnehmer für den gesamten Schaden aufkommen müssen. Der Arbeitgeber ist in solchen Fällen von der Haftung befreit, unabhängig davon, in welcher Höhe der Schaden liegt. Dasselbe gilt auch, wenn der Arbeitnehmer die Möglichkeit einer schädigenden Handlung erkennt, diese aber bewusst billigend in Kauf nimmt.

Besonderheiten gelten beim innerbetrieblichen Schadensausgleich hinsichtlich der Beweislast. In den Fällen der normalen Haftung durch positive Vertragsverletzung wird ein Verschulden des Schädigenden, in diesen Fällen also des Arbeitnehmers, grundsätzlich vermutet. Trifft den Schädiger kein Verschulden, so muss er dies im Falle eines Rechtsstreits beweisen.

Beim innerbetrieblichen Schadensausgleich jedoch gilt eine so genannte Beweislastumkehr. Das bedeutet der Arbeitgeber muss im Falle eines Schadens darlegen und beweisen, dass der Arbeitnehmer den Schaden verschuldet hat. Die Nichterweislichkeit geht folglich zu Lasten des Arbeitgebers.

Links zu allen Beiträgen der Serie IT-Sicherheit

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: