Haftungsvermeidung für Arbeitgeber – Schadensersatz gemäß Art. 82 DSGVO

PrintMailRate-it

veröffentlicht am 18. Mai 2022  | Lesedauer ca. 4 Minuten


Das Arbeitsgericht Neuruppin (nachfolgend: ArbG) hat in einem Urteil vom 14. Dezember 2021 (2 Ca 554/21), wie zuvor bereits andere Arbeitsgerichte, über einen Anspruch auf Ersatz immateriellen Schadens gemäß Art. 82 Abs. 2 der Datenschutz­grundverordnung (DSGVO) entschieden und einem Arbeitnehmer einen Ersatz in Höhe von 1.000 Euro zugesprochen.


 
Die Entscheidung des ArbG rückt die zunehmende Relevanz etwaiger Schadensersatzansprüche auf Grundlage der DSGVO erneut in den Fokus der Arbeitgeber. Dies gilt umso mehr, da das Oberlandesgericht Dresden in einer Entscheidung vom 30. November 2021 (4 U 1158/21) ebenfalls entschieden hat, dass der Geschäftsführer einer GmbH ebenfalls „Verantwortlicher“ im Sinne der DSGVO sein soll. Letztere Entscheidung steht zwar konträr zur überwiegenden Auffassung der Literatur, führt bis zur höchstrichterlichen Klärung in der Praxis dennoch zu erheblichen Haftungsrisiken auch für Geschäftsführer.
 

Der nachfolgende Beitrag beschreibt kurz die Umstände der Entscheidung des ArbG, um im Anschluss die (arbeitsrechtlichen) Möglichkeiten der Arbeitgeber zur Haftungsvermeidung zu erläutern.

 

 

Ausgangslage und Entscheidung

Das Arbeitsgericht hat einen Fall entschieden, in welchem der beklagte Arbeitgeber personenbezogene Angaben zu einem Mitarbeiter nicht von seiner Webseite nahm – obwohl das Arbeitsverhältnis bereits geendet hatte. Besonders bemerkenswert ist dabei, dass das Arbeitsgericht davon ausging, dass die Löschung der personenbezogenen Daten des Mitarbeiters proaktiv durch den Arbeitgeber hätte erfolgen müssen, weil sich das aus einer Nebenpflicht des Arbeitsverhältnisses ergebe (§ 241 Abs. 2 BGB). Das Arbeitsgericht knüpft außerdem an die immer verstärkter auftretende Rechtsprechung an, wonach für die Erstattungsfähigkeit eines immateriellen Schadens weder eine Erheblichkeitsschwelle überschritten werden muss, noch überhaupt ein spürbarer Nachteilnachzuweisen ist. Bereits die mit dem Schadensersatz aus Art. 82 DSGVO verfolgte Abschreckungsfunktion rechtfertigt demnach bereits die Zuerkennung eines Schmerzensgeldes.
 

Exkulpation nur in Einzelfällen

Anknüpfungspunkt der Haftungsvermeidung ist Art. 82 Abs. 3 DSGVO. Dieser normiert, dass sich der Verantwortliche ausschließlich dann enthaften kann, wenn er nachweist, dass er die dem Schaden zugrunde liegenden Umstände nicht verantworten muss. Bei dieser Formulierung handelt es sich – wenn auch in den dogmatischen Einzelheiten umstritten – um eine Beweislastumkehr dahingehend, dass die der Arbeitgeber das fehlende Verschulden beweisen muss.
 

Ein Verschulden des Arbeitgebers liegt nicht nur bei vorsätzlichem, sondern auch fahrlässigem Handeln vor. Hierbei ist unerheblich, ob der Arbeitgeber, respektive der Geschäftsführer oder ein anderer Arbeitnehmer den Schaden herbeiführt. Das Verhalten Dritter wird bereits bei arbeitgeberseitigem Verschulden im Zusammenhang mit der Einwirkungsmöglichkeit auf den Dritten zugerechnet. Eine weitere Grenze wird angenommen, wenn der Mitarbeiter sein Handeln zielgerichtet vor Kollegen verdeckt.
 

Haftungsvermeidung mittels Verhaltensrichtlinien

In der Praxis begegnet man Rechtsverstößen innerhalb des Unternehmens typischerweise mit eines Compliance-Management-Systems (CMS), dessen Umsetzung aus arbeitsrechtlicher Perspektive primär über die Implementierung von einzelfallbezogenen Verhaltensrichtlinien oder aber sogar eines ganzheitlichen Codes of Conducts (CoC) in das Arbeitsverhältnis realisiert wird. Möglich ist etwa die Einführung mittels Direktionsrecht gemäß § 106 S. 1 Gewerbeordnung (GewO), Betriebsvereinbarung oder im Zuge des Arbeitsvertrages.
 

Auch das Datenschutzrecht kennt gemäß den Art. 40 DSGVO Verhaltensregeln. Insoweit ist allerdings zunächst festzuhalten, dass die bloße Einführung oder Zertifizierung gemäß Art. 41 DSGVO noch nicht zur Enthaftung führt. Der Arbeitgeber muss das fehlende Verschulden auch weiterhin nachweisen. Eine vollumfänglich dokumentierte Implementierung und auch Prüfung der Einhaltung erleichtert jedenfalls den Beweis. Dies gilt unabhängig von der Art der Implementierung.
 

Überdies dürften auch im Zusammenhang mit der Exkulpation gemäß Art. 82 Abs. 3 DSGVO die übrigen Grundsätze der Enthaftung des Unternehmens virulent werden. Hierzu gehören unter anderem regelmäßige Datenschutz-Schulungen, klare Kompetenzzuweisungen und ein Funktionsfähiges Berichtssystem. Zu berücksichtigen wird überdies die – künftig durch das Hinweisgeberschutzgesetz (HinSchG) eingeführte – Implementierung einer funktionsfähigen Whistleblowing-Hotline. Zur Vermeidung eines dem ArbG zugrunde liegenden Sachverhaltes ist überdies ein funktionierendes Löschkonzept (dazu auch unten) unverzichtbar.
 

Haftungsvermeidung durch Ausschlussklausel

Gelingt die Exkulpation trotz funktionstüchtigem CMS nicht, so könnten Arbeitgeber die Haftung potentiell mittels Ausschlussklausel erreichen. Die Zulässigkeit einer derartigen Klausel ist nicht höchstrichterlich geklärt.
 

Festzuhalten ist insoweit allerdings, dass Art. 82 DSGVO nicht dispositiv ist und somit nicht in Gänze ausgeschlossen werden kann. Überdies ist bereits jetzt eine Klausel, die auch Ansprüche wegen einer vorsätzlichen Vertragsverletzung oder einer vorsätzlichen unerlaubten Handlung erfasst, ist wegen Verstoßes gegen § 202 Abs. 1 des Bürgerlichen Gesetzbuchs (BGB) nach Maßgabe des § 134 BGB nichtig (BAG, Urteil vom 26. November 2020 – 8 AZR 58/20). Ob eine vertraglich vereinbarte Ausschlussfrist den Anforderungen Allgemeiner Geschäftsbedingungen (AGB) gemäß den §§ 305 ff. BGB genügt, bleibt abzuwarten. Denkbar wären jedoch Vertragsgestaltungen, die zumindest die Proaktivität der Löschpflicht des Arbeitgebers abmildern – zum Beispiel durch die Vereinbarung einer Hinweispflicht des Arbeitnehmers vor der Geltendmachung von Schmerzensgeldansprüchen, wobei auch hier fraglich ist, ob solche Klauseln einer gerichtlichen Überprüfung standhalten würden.
 

Aus aktueller Perspektive spricht viel dafür, dass die Verwendung von Ausschlussklauseln (wenn überhaupt) eingeschränkt möglich ist und jedenfalls nicht das einzige Mittel zur Haftungsvermeidung sein sollte. Es ergibt daher Sinn, eine rechtliche und strategische Überprüfung der Verteidigungslinien im Unternehmen vorzunehmen.
 

Haftungsvermeidung durch Prozessmanagement

Schlussendlich bleibt dem Arbeitgeber nichts anderes übrig, als seine Betriebsorganisation darauf auszurichten, dass personenbezogene Daten – je nach Art und Zweck – einem möglichst fehlersicheren Lebenszyklus unterworfen werden (sog. „data lifecycle management“, DLM). Das kann zum einen durch ein unternehmensweites Löschkonzept, zum anderen in einem ersten Schritt durch eine Prüfung der Prozesse der Personalabteilung erfolgen. Sind es doch immer häufiger eigene Mitarbeiter, die das Unternehmen vor Gericht ins Kreuzfeuer nehmen.

 

Fazit

Die Entscheidung des ArbG legt erneut Probleme vieler Arbeitgeber bei der Einhaltung datenschutzrechtlicher Normen offen. Da Rechtsverstöße allerdings niemals in Gänze zu unterbinden sind, stellt sich für Arbeitgeber überdies die Frage, ob und wie sie sich von der Haftung des Art. 82 DSGVO exkulpieren können. Möglich erscheint dies über die Implementierung eines wirksamen CMS, insbesondere über im Arbeitsverhältnis anwendbare Verhaltensrichtlinien. Demgegenüber erscheint die Haftungsvermeidung mittels Ausschluss­klausel eher weniger zielführend. Zu denken ist jedoch daran, die wechselseitigen Pflichten im Falle der Beendigung des Arbeitsverhältnisses präziser auszugestalten. Die gerichtliche Praxis der erleichterten Zuerkennung von Schmerzensgeldern sollte so oder so dazu führen, dass sich Arbeitgeber technisch und organisatorisch wappnen.

Deutschland Weltweit Search Menu