UK Supre­me Court: kei­ne Haf­tung des Arbeit­ge­bers bei unab­hän­gi­ger Daten­schutz­ver­let­zung eines Mit­ar­bei­ters

Der Supre­me Court des Ver­ei­ni­gen König­reichs hat in einem Urteil vom 1. April 2020 und anders als die bei­den Vor­in­stan­zen ent­schie­den, die Super­markt­ket­te WM Mor­ri­son Super­mar­kets plc haf­te (zivil­recht­lich) nicht, wenn ein Mit­ar­bei­ter eigen­mäch­tig und absicht­lich Per­so­nen­da­ten von fast 100’000 Mit­ar­bei­tern offen­bart. Die­se – hier kri­mi­nel­le und mit acht Jah­ren Gefäng­nis bestraf­te – Daten­schutz­ver­let­zung ste­he nicht in aus­rei­chen­dem Zusam­men­hang mit den Auf­ga­ben des betref­fen­den Mit­ar­bei­ters. Den ent­spre­chen­den Stan­dard umschreibt das Gericht wie folgt:

the que­sti­on is whe­ther Skelton’s dis­clo­sure of the data was so clo­se­ly con­nec­ted with acts he was aut­ho­ri­sed to do that, for the pur­po­ses of the lia­bi­li­ty of his employ­er to third par­ties, his wrong­ful dis­clo­sure may fair­ly and pro­per­ly be regar­ded as done by him while acting in the ordi­na­ry cour­se of his employ­ment.

Das war hier kla­rer­wei­se nicht der Fall. Es genü­ge nicht, dass der Mit­ar­bei­ter auf­grund sei­ner Tätig­keit die Mög­lich­keit hat­te, die­se Ver­let­zung zu bege­hen.

Nach schwei­ze­ri­schem Recht beur­teilt sich die zivil­recht­li­che Scha­den­haf­tung des Arbeit­ge­bers nach ähn­li­chen Kri­te­ri­en:

  • Haf­tung für Hilfs­per­so­nen: Nach Art. 55 OR (es geht hier i.d.R. um ausser­ver­trag­li­che Haf­tungs­fäl­le) haf­tet der Geschäfts­herr für den Scha­den, den ein Arbeit­neh­mer (soweit er kein Organ ist, sonst greift Art. 55 ZGB) ver­ur­sacht, sofern zwi­schen dem Geschäfts­herrn und der Hilfs­per­son ein Sub­or­di­na­ti­ons­ver­hält­nis besteht (andern­falls kommt eine soli­da­ri­sche Haf­tung bei­der in Fra­ge) und der Scha­den durch die Hilfs­per­son “in Aus­übung dienst­li­cher oder geschäft­li­cher Ver­rich­tun­gen” ver­ur­sacht wur­de. Dies ver­langt einen “funk­tio­nel­len Zusam­men­hang” zwi­schen der Tätig­keit als Hilfs­per­son und der Schä­di­gung. Zur Abwehr sol­cher Haf­tun­gen muss der Arbeit­ge­ber die gebo­te­ne Sorg­falt anwen­den, was eine zweck­mä­ssi­ge Arbeits­or­ga­ni­sa­ti­on ver­langt. Dazu dürf­te im Bereich des Daten­schut­zes eine ange­mes­se­ne Com­pli­an­ce­or­ga­ni­sa­ti­on gehö­ren, jeden­falls im dem Mas­se, in dem die Com­pli­an­ce auf die Ver­hin­de­rung von Daten­schutz­ver­let­zun­gen gerich­tet ist, die der betrof­fe­nen Per­son Scha­den zufü­gen kön­nen (dazu dürf­te ins­be­son­de­re eine ange­mes­se­ne Daten­si­cher­heit gehö­ren). Ins­be­son­de­re lässt die Abwei­chung der Hilfs­per­son von Wei­sun­gen den funk­tio­nel­len Zusam­men­hang noch nicht ent­fal­len, wes­halb in einem sol­chen Sze­na­rio der Ent­la­stungs­be­weis ent­schei­dend bleibt.
  • Haf­tung durch Tätig­keit der Orga­ne: Nach Art. 55 ZGB bzw. Art. 722 OR haf­tet das Unter­neh­men durch das ausser­rechts­ge­schäft­li­che Han­deln sei­ner (for­mel­len oder mate­ri­el­len) Orga­ne eben­falls nur dann, wenn ein funk­tio­nel­ler Zusam­men­hang zwi­schen dem ent­spre­chen­den Delikt und der Organ­ei­gen­schaft besteht. Hier ist ein Ent­la­stungs­be­weis aber natur­ge­mäss aus­ge­schlos­sen (weil das Organ Teil des Haf­tungs­sub­jekts selbst ist).

Die Mit­glie­der des VR einer AG ihrer­seits haf­ten der AG, wenn die­se haft­bar wur­de, weil eine Hilfs­per­son oder ein Organ im erfor­der­li­chen funk­tio­nel­len Zusam­men­hang einen Scha­den ver­ur­sacht hat (Art. 717 und 754 OR; ggf. auch wenn die AG gebüsst wird). Dies setzt vor­aus, dass das betref­fen­de Mit­glied des VR sei­ne Sorg­falts- und Treue­pflicht ver­letzt hat. Nicht­wis­sen des VR, feh­len­de Unab­hän­gig­keit, unzu­rei­chen­de Orga­ni­sa­ti­on und feh­len­de Res­sour­cen kön­nen daher eine VR-Haf­tung begrün­den.