Der Verlust des Notebooks ist ebenso bereits ein Klassiker in Sachen Datenverlust wie der acht- und arglos geöffnete E-Mail-Anhang mit schadhaftem Inhalt. Beide Beispiele können ernsthafte Folgen für das geschädigte Unternehmen, den handelnden Mitarbeiter selbst sowie davon betroffene Dritte haben. Ein Beispiel: Das Notebook eines Außendienstmitarbeiters wird gestohlen. Auf dem Gerät befinden sich unverschlüsselt Vertriebsdaten, Angebote, Preiskalkulationen sowie Kundendaten. Die vertraulichen Daten werden vom Dieb gelesen, veröffentlicht oder verkauft. Das Unternehmen ist nun verpflichtet, sowohl die zuständige Aufsichtsbehörde als auch alle Kunden zu informieren, deren sensible Daten auf dem Notebook waren. Möglicherweise wird als Reaktion auf den Vorfall in bestimmten Fällen von Schadensersatzforderungen abgesehen, etwa wenn keine kritischen Daten abhandengekommen sind und kein messbarer Schaden entstanden ist. Geht es jedoch um Firmengeheimnisse wie Konstruktionspläne oder Forschungsergebnisse können die Schadenersatzklagen in die Millionen gehen. Als einfache vorbeugende Maßnahme gegen ein solches Szenario sollte aus technischer Sicht grundsätzlich eine Verschlüsselung der Laptop-Festplatten das Mittel der Wahl sein. Was die Mitarbeiter angeht, so sollte der Arbeitgeber klare IT-Sicherheitsrichtlinien definieren, die auch den Umgang mit den eingesetzten Laptops und den darauf befindlichen Daten klar regeln und diese den Mitarbeitern unmissverständlich und nachweislich kommunizieren.
Die Rechtslage: Konsequenzen für den Arbeitgeber und den Mitarbeiter
Der Verlust des Laptops kann sowohl für das Unternehmen, durch das der Schaden verursacht wurde als auch für den Mitarbeiter, dessen Verschulden (das grundsätzlich nachgewiesen werden muss) seinen Arbeitgeber in die missliche Situation gebracht hat erhebliche rechtliche Folgen haben. Sofern nämlich geschädigte Kunden den Eintritt des Schadens beweisen und dessen Höhe beziffern können, und vertraglich nicht etwas Abweichendes vereinbart haben, können sie vom schädigenden Unternehmen Schadensersatz fordern. Sogar dem verursachenden Mitarbeiter drohen Haftungsrisiken.
Hatte der Arbeitgeber den betreffenden Mitarbeiter zuvor nämlich nachweislich und hinreichend über die Gefahren und den Umgang mit den Daten belehrt, kann er sich den an den Geschädigten geleisteten Betrag im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs zurückerstatten lassen. Dies gilt aber nach ständiger Rechtsprechung des Bundesarbeitsgerichts uneingeschränkt nur, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat. Im Falle der mittleren Fahrlässigkeit setzt das Gericht im Streitfall eine sogenannte Haftungsquote nach billigem Ermessen fest, nach der bestimmt wird, zu welchen Anteilen der Arbeitnehmer und der Arbeitgeber den Schaden tragen müssen.
Damit trägt der Arbeitgeber letztlich dennoch das Hauptrisiko, denn selbst, wenn das Gericht den Mitarbeiter wegen vorsätzlicher oder grob fahrlässiger Schädigung verurteilt, seinem Arbeitgeber den Schadensbetrag zurückzuzahlen, ist kaum davon auszugehen, dass dieser die volle Summe erhalten wird. „Ein Schadenfall in Millionenhöhe wird von einem Arbeitnehmer mit durchschnittlichem Verdienst kaum realisierbar sein. Da hilft auch ein gerichtlich erwirkter Titel nicht weiter,“ so RA Sebastian Müller aus Magdeburg. Dennoch wird ein Fehlverhalten nicht ohne weitere Konsequenzen für den Mitarbeiter bleiben. Neben den eben beschriebenen Haftungsrisiken muss der unachtsame Mitarbeiter mit einer Abmahnung oder schlimmstenfalls auch Kündigung des Arbeitsverhältnisses rechnen.
Sensibilisierung von Unternehmen und Mitarbeitern
„Unternehmen stehen in der Pflicht, sowohl ihre eigenen Daten als auch die Daten von Dritten zu schützen. Dies gilt natürlich bereits heute und verschärft sich ab Mai 2018 nochmals, wenn die neue Datenschutz-Grundverordnung (EU-DSGVO) in Kraft tritt, die empfindliche Bußgelder in Höhe von bis zum 20 Millionen EUR oder 4 % des weltweiten Umsatzes vorsieht. Unternehmen sollten sich und ihre Mitarbeiter daher mit geeigneter Security schützen sowie regelmäßige Schulungen und klare Sicherheitsrichtlinien implementieren. Aber auch die Mitarbeiter sind in der Verantwortung. Aktives Fragen, Informieren oder die Teilnahme an Security-Schulungen helfen, Schaden und die persönliche Haftbarkeit auf ein vertretbares Maß zu reduzieren.“
Antwort hinterlassen