Der Supreme Court des Vereinigen Königreichs hat in einem Urteil vom 1. April 2020 und anders als die beiden Vorinstanzen entschieden, die Supermarktkette WM Morrison Supermarkets plc hafte (zivilrechtlich) nicht, wenn ein Mitarbeiter eigenmächtig und absichtlich Personendaten von fast 100’000 Mitarbeitern offenbart. Diese – hier kriminelle und mit acht Jahren Gefängnis bestrafte – Datenschutzverletzung stehe nicht in ausreichendem Zusammenhang mit den Aufgaben des betreffenden Mitarbeiters. Den entsprechenden Standard umschreibt das Gericht wie folgt:
the question is whether Skelton’s disclosure of the data was so closely connected with acts he was authorised to do that, for the purposes of the liability of his employer to third parties, his wrongful disclosure may fairly and properly be regarded as done by him while acting in the ordinary course of his employment.
Das war hier klarerweise nicht der Fall. Es genüge nicht, dass der Mitarbeiter aufgrund seiner Tätigkeit die Möglichkeit hatte, diese Verletzung zu begehen.
Nach schweizerischem Recht beurteilt sich die zivilrechtliche Schadenhaftung des Arbeitgebers nach ähnlichen Kriterien:
- Haftung für Hilfspersonen: Nach Art. 55 OR (es geht hier i.d.R. um ausservertragliche Haftungsfälle) haftet der Geschäftsherr für den Schaden, den ein Arbeitnehmer (soweit er kein Organ ist, sonst greift Art. 55 ZGB) verursacht, sofern zwischen dem Geschäftsherrn und der Hilfsperson ein Subordinationsverhältnis besteht (andernfalls kommt eine solidarische Haftung beider in Frage) und der Schaden durch die Hilfsperson “in Ausübung dienstlicher oder geschäftlicher Verrichtungen” verursacht wurde. Dies verlangt einen “funktionellen Zusammenhang” zwischen der Tätigkeit als Hilfsperson und der Schädigung. Zur Abwehr solcher Haftungen muss der Arbeitgeber die gebotene Sorgfalt anwenden, was eine zweckmässige Arbeitsorganisation verlangt. Dazu dürfte im Bereich des Datenschutzes eine angemessene Complianceorganisation gehören, jedenfalls im dem Masse, in dem die Compliance auf die Verhinderung von Datenschutzverletzungen gerichtet ist, die der betroffenen Person Schaden zufügen können (dazu dürfte insbesondere eine angemessene Datensicherheit gehören). Insbesondere lässt die Abweichung der Hilfsperson von Weisungen den funktionellen Zusammenhang noch nicht entfallen, weshalb in einem solchen Szenario der Entlastungsbeweis entscheidend bleibt.
- Haftung durch Tätigkeit der Organe: Nach Art. 55 ZGB bzw. Art. 722 OR haftet das Unternehmen durch das ausserrechtsgeschäftliche Handeln seiner (formellen oder materiellen) Organe ebenfalls nur dann, wenn ein funktioneller Zusammenhang zwischen dem entsprechenden Delikt und der Organeigenschaft besteht. Hier ist ein Entlastungsbeweis aber naturgemäss ausgeschlossen (weil das Organ Teil des Haftungssubjekts selbst ist).
Die Mitglieder des VR einer AG ihrerseits haften der AG, wenn diese haftbar wurde, weil eine Hilfsperson oder ein Organ im erforderlichen funktionellen Zusammenhang einen Schaden verursacht hat (Art. 717 und 754 OR; ggf. auch wenn die AG gebüsst wird). Dies setzt voraus, dass das betreffende Mitglied des VR seine Sorgfalts- und Treuepflicht verletzt hat. Nichtwissen des VR, fehlende Unabhängigkeit, unzureichende Organisation und fehlende Ressourcen können daher eine VR-Haftung begründen.