IT Sicherheit Teil 9/2 Haftung des Datenschutzbeauftragten

4.6.3 Innerbetrieblicher Schadensausgleich

Dies bedeutet jedoch nicht, dass ein Datenschutzbeauftragter von persönlicher Haftung vollkommen befreit ist. Zwar werden sich die Forderungen der Betroffenen, schon aufgrund der in der Regel größeren Solvenz, gegen das Unternehmen richten, es besteht jedoch für den Arbeitgeber die Möglichkeit, gegen den Datenschutzbeauftragten vorzugehen. Bei der Haftung für Schäden, die der Datenschutzbeauftragte als Arbeitnehmer in Ausführung betrieblicher Verrichtungen dem Arbeitgeber zugefügt hat, ist ein innerbetrieblicher Schadensausgleich durchzuführen.

Der betriebliche Datenschutzbeauftragte ist in seiner Funktion als solcher nur dem Inhaber des Unternehmens, dem Vorstand, dem Geschäftsführer oder dem sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter unterstellt. Hieraus ergibt sich ein hierarchisch hohe Stellung im Unternehmen, vergleichbar mit der Stellung eines leitenden Angestellten oder gar höher. Mit dieser Stellung gehen jedoch auch ein anspruchsvoller Aufgabenbereich und eine entsprechend hohe Verantwortung einher.
Die Aufgaben eines betrieblichen Datenschutzbeauftragten ergeben sich aus dem BDSG. In den meisten Fällen wird in einem Arbeitsvertrag auf diese Vorschriften noch einmal gesondert verwiesen.

Kernpunkte dieses Aufgabenbereichs sind:

- Überwachung der betrieblichen Datenverarbeitung auf Ordnungsmäßigkeit und Verlässlichkeit
- Die Schaffung von Transparenz innerhalb der Datenverarbeitung im Unternehmen
- Die Schulung der Mitarbeiter in Angelegenheiten des Datenschutzes
- Die Wahrung des Datengeheimnisses
- Die Verpflichtung des Personals auf das Datengeheimnis
- Die Beratung der Geschäftsleitung über datenschutzrechtliche Maßnahmen
- Die Beratung des Personals beim Umgang mit empfindlichen Daten.
- Die Sicherstellung des betrieblichen Datenschutzes
- Die Ergreifung von geeigneten Maßnahmen im Falle eines Datenunfalls, insbesondere die Wahrung der Rechte von Betroffenen.

Verletzt der Datenschutzbeauftragte eine oder mehrere dieser Pflichten aus seinem Arbeitsvertrag, so kann er seinem Arbeitgeber gegenüber haftbar gemacht werden in Form eines sog. Innerbetrieblicher Schadensausgleiches. Hierbei ist grundsätzlich zwischen Nichterfüllung und Schlechterfüllung der vertraglichen Pflichten zu unterscheiden.

Nichterfüllung bedeutet die Nichtwahrnehmung der Pflichten aus dem Arbeitsvertrag und somit auch die des BDSG. Bei einem bestellten betrieblichen Datenschutzbeauftragten wäre ein solcher Fall mit Arbeitsverweigerung zu vergleichen. Erfüllt der Datenschutzbeauftragte seine vertraglichen Pflichten überhaupt nicht, so wird der Arbeitgeber grundsätzlich zunächst von der Lohnzahlung befreit. Dennoch besteht das Arbeitsverhältnis als solches weiter.

Bei der Wahl der zu ergreifenden Maßnahme ist grundsätzlich auf das Maß der Nichterfüllung abzustellen. Erfüllt der Datenschutzbeauftragte beispielsweise eine Woche lang seine Pflichten nicht, so kann der Arbeitgeber für diese Woche zum einen von der Lohnzahlung befreit werden, zum anderen kann er dem angestellten Datenschutzbeauftragten eine Abmahnung aussprechen.

Häufen sich die Fälle der Nichterfüllung seiner Aufgaben, oder erfüllt der Datenschutzbeauftragte diese über einen längeren Zeitraum nicht, oder nur sehr ansatzweise, so kann hieraus ein außerordentliches Kündigungsrecht des Arbeitgebers entstehen. Konkret bedeutet das, der Arbeitgeber kann die sofortige, fristlose Kündigung aussprechen. In solcherlei Fällen wird der Arbeitgeber in der Regel auch nicht zur Zahlung einer Abfindung verpflichtet. Allerdings ist zu beachten, dass eine außerordentliche, arbeitgeberseitige Kündigung, in Anbetracht der sehr arbeitnehmerfreundlichen Rechtsprechung der Arbeitsgerichte, nur in wesentlich eingeschränktem Maße möglich ist. Nur in Fällen, in denen es dem Arbeitgeber absolut unzumutbar scheint, den Datenschutzbeauftragten in seinem Betrieb weiter zu beschäftigen, soll ihm ein solches Kündigungsrecht zustehen. In den meisten Fällen jedoch wird der Arbeitgeber zuerst gegen den untätigen Datenschutzbeauftragten auf Erfüllung seiner vertraglichen Pflichten klagen müssen. Aber auch eine solche „Erfüllungsklage“ kann mit hohen Kosten verbunden sein. Ist während der Untätigkeit des Datenschutzbeauftragten ein Schaden entstanden, so kann er dazu verpflichtet werden, diesen zu ersetzen. Auch hat er im Falle eines Unterliegens vor Gericht die Prozesskosten zu tragen.

Das Recht zum Ausspruch der ordentlichen, arbeitgeberseitigen Kündigung bleibt hiervon natürlich unberührt. Jedoch muss der Arbeitgeber beachten, dass, in Fällen der ordentlichen Kündigung, ein Arbeitnehmer in der Regel Kündigungsschutzklage einlegen wird, um eine Abfindung zu erstreiten, gerade wenn es sich um einen leitenden Angestellten, wie etwa den Datenschutzbeauftragten eines Unternehmens handelt.

Von der Nichterfüllung der im Arbeitsvertrag vereinbarten Pflichten ist die Schlechterfüllung abzugrenzen.

Der Arbeitsvertrag zwischen dem Arbeitgeber und dem Datenschutzbeauftragten ist ein Schuldverhältnis im Sinne von § 241 I BGB. Beide Seiten sind dazu berechtigt, von der jeweils anderen Seite die vereinbarte Vertragsleistung zu fordern. Im Falle eines Datenschutzbeauftragten sind dies in der Regel nicht allein die Aufbringung von Arbeitszeit und Arbeitskraft, sondern die Stellung als Datenschutzbeauftragter eines Unternehmens ist an konkrete Ergebnisse und Erfolge geknüpft. Er ist für die Gewährleistung von Datenschutz verantwortlich.

Eine Schlechterfüllung der vertraglich vereinbarten Leistungen liegt dann vor, wenn Mängel an der Hauptpflicht oder auch an einer vertraglichen Nebenpflicht auftreten. Wird der Datenschutzbeauftragte zwar auf seinem Gebiet tätig, fehlen jedoch konkrete Erfolge, so kann dies als Schlechterfüllung angesehen werden.

Beispiel:

Arbeitgeber A stellt in seinem Betrieb mit 50 Mitarbeitern den Datenschutzbeauftragten D ein. Dieser erscheint jeden Tag pünktlich und nimmt seine Arbeit auf. Über einen Zeitraum von drei Monaten ist es D jedoch nicht gelungen, alle Arbeitsplatzrechner gewissenhaft zu kontrollieren und personenbezogene Daten ausreichend zu sichern. Es kommt zum Datenunfall. Der Arbeitgeber A wird vom Geschädigten auf Ersatz des entstandenen Schadens verklagt.

Hier liegt ein Fall der Schlechterfüllung der im Arbeitsvertrag vereinbarten Hauptpflichten vor. An die Anstellung des D waren konkrete Erwartungen und Erfolge geknüpft, nämlich die Gewährung von Datenschutz. Diese wurden nicht vertragsgemäß erbracht, obwohl es dem D in einem Zeitraum von drei Monaten möglich gewesen wäre, die notwendigen Maßnahmen und Kontrollen auf allen Arbeitsplatzrechnern durchzuführen.

Jedoch nicht nur die Verletzung von vertraglichen Hauptpflichten kann zur Feststellung der Schlechterfüllung führen. § 241 Abs. 2 BGB schreibt vor, dass die Vertragspartner zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichtet sind. Eine Verletzung so genannter „Nebenpflichten“ kann ebenfalls eine Schlechterfüllung bedeuten. Der Begriff der „Nebenpflichten“ kann weit aufgefasst werden. Die Beurteilung hängt jeweils vom konkreten Einzelfall ab.

Beispiel:

Der Datenschutzbeauftragte D führt seine Aufgaben im Betrieb erfolgreich und gewissenhaft aus. Er sorgt durch fortwährende Kontrollen und technische Maßnahmen für die Sicherheit aller personenbezogenen Daten.
Hierzu verwendet er jedoch sein eigenes Laptop, welches er auch privat zum „surfen“ benutzt. Aufgrund einer kleinen Unachtsamkeit des D gelangt beim Surfen im Internet ein bösartiger Computervirus auf das Laptop des D. Als er am nächsten Arbeitstag auf das Firmennetzwerk zugreift, um seine Arbeit wie gewohnt zu verrichten, gelangt der Virus auf alle anderen Rechner des Unternehmens und zerstört einen Großteil der Festplatten.

Hier hat D zwar seine vertraglichen Hauptpflichten gewissenhaft erfüllt, hat jedoch nicht genügend Rücksicht auf die Rechtsgüter und Interessen des Unternehmens genommen. Durch diese Nebenpflichtverletzung kam es zu einer Eigentumsverletzung bei dem Unternehmen. Gemäß § 280 Abs. 1 in Verbindung mit § 241 Abs. 2 BGB handelt es sich auch hierbei um eine „positive Vertragsverletzung“. D kann hier unter Umständen zum Ersatz des entstandenen Schadens verpflichtet werden.

Selbstverständlich gelten diese Maßstäbe nur begrenzt. Die Haftung hängt stets an der genauen Bewertung des Einzelfalls. Fänden die Regelungen der positiven Vertragsverletzung bei jedem Fehler des Datenschutzbeauftragten Anwendung, so hätte dies eine zu ausufernde Belastung zur Folge. Dies war jedoch nicht der Wille des Gesetzgebers.

Links zu allen Beiträgen der Serie IT-Sicherheit

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: