Wann haftet der Datenschutzbeauftragte im Unternehmen - activeMind AG

Wer von einem Unternehmen als interner oder externe Datenschutzbeauftragter (DSB) bestellt wird, hat darauf hinzuwirken, dass das Unternehmen ausschließlich datenschutzkonform tätig ist. Mit dieser Verantwortung kommt auf den betrieblichen Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der DSB haftet und wie sich Haftungsrisiken von internen und externen Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.

Wofür haftet der Datenschutzbeauftragte?

Ein Datenschutzbeauftragter kann viele Fehler machen, für die er haftbar gemacht werden kann:

  1. Besonders gravierend sind Problembereiche, die der DSB zwar erkannt, aber nicht gegenüber der verantwortlichen Stelle moniert hat und aus denen dann ein Schaden entsteht, etwa, weil ein Bußgeld gegen das Unternehmen verhängt wird.
  2. Auch wenn der Datenschutzbeauftragte in einer Schulung falsche Informationen an die Mitarbeiter weitergegeben hat und in Folge sensible Daten nach außen dringen, muss sich der DSB in der Verantwortung sehen.
  3. Und schließlich gibt es Mängel, die der Datenschutzbeauftragte (aus einem Mangel an Fachkunde) nicht erkennt, aber hätte erkennen müssen. Auch hierfür sind zahlreiche Konstellationen denkbar.

Wichtig ist dabei vor allem zu wissen, dass der Datenschutzbeauftragte grundsätzlich sowohl für sein eigenes Tun (insbesondere falsche, unvollständige oder zu späte Datenschutzberatung) als auch für sein Unterlassen (fehlender Hinweis auf organisatorische Probleme, „Übersehen“ von Fehlern und Pannen) haftet.

Hat der Datenschutzbeauftragte jedoch die Probleme klar benannt, der Auftraggeber als „verantwortliche Stelle“ dann allerdings die Umsetzung unterlassen oder verzögert, so ist dies zunächst erstmal nicht das Problem des Datenschutzbeauftragten. Denn er selbst hat nicht die Macht oder die Pflicht, Veränderungen im Unternehmen herbeizuführen. Der DSB kann und soll nur auf die Einhaltung der einschlägigen rechtlichen Regelungen „hinwirken“ – und nur dafür haftet er. Er muss sich jedoch bewusst sein, dass es im schlimmsten Fall auch seine Aufgabe sein kann, die Aufsichtsbehörde zu informieren, dass in dem Unternehmen in datenschutzrechtlicher Hinsicht etwas ziemlich schiefläuft.

Wer könnte Haftungsansprüche an den DSB stellen?

Zu Veranschaulichung der möglichen Haftungsansprüche an einen Datenschutzbeauftragten, soll ein Worst-Case-Szenario herangezogen werden: Wenn durch ein Datenleck personenbezogene Daten an Unbefugte gelangen, kann das schnell zu einem großen Schaden führen. Man denke nur an Kreditkartendaten von Kunden, die plötzlich durch Kriminelle genutzt werden. Das führt nicht nur zu konkreten finanziellen Schäden auf dem Konto der Betroffenen. Auch das beklaute Unternehmen selbst trägt von einer solchen Aktion regelmäßig einen großen finanziellen und Imageschaden davon.

Der Datenschutzbeauftragte sieht sich nun gleich einer ganzen Reihe von Anspruchstellern gegenüber:  Neben den direkt Betroffenen werden auch die mittelbar Betroffenen (in diesem Beispiel die Banken und deren Versicherungen) und der Auftraggeber Schadenersatzansprüche erheben. Und nicht zuletzt könnten sich auch die Aufsichtsbehörde und die Staatsanwaltschaft einschalten. Es drohen Geldbußen und -strafen.

Aufsichtsbehörde, Staatsanwaltschaft und Betroffene werden sich mit ihren Ansprüchen in der Regel an den Auftraggeber des Datenschutzbeauftragten wenden. Denn dieser ist „verantwortliche Stelle“ im Sinne des Gesetzes. Der Auftraggeber wird jedoch bei Geldforderungen oft versuchen, möglichst viel davon vom Datenschutzbeauftragten erstattet zu bekommen.

Welches finanzielle Risiko geht mit der Haftung einher?

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:

  1. Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
  2. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
  3. Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.

Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.

Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.

Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt. Er ist selbständig oder ist bei einer anderen Firma angestellt. Immer wieder gibt es auch Fälle, in denen ein angestellter, also interner Datenschutzbeauftragter gleichzeitig noch andere Unternehmen seines Konzerns betreut. Bei diesen ist er dann externer Datenschutzbeauftragter.

Ein externer Datenschutzbeauftragter profitiert selbstredend nicht vom „innerbetrieblichen Schadenausgleich“. Deshalb gilt: Für einen Schaden ist zu haften, wenn er verschuldet, also wenigstens fahrlässig verursacht wurde.

Ist der Datenschutzbeauftragte im Auftrag seines Arbeitsgebers beim Geschädigten eingesetzt, wirken die Grundsätze des innerbetrieblichen Schadensausgleichs nur indirekt. Dann haftet nach außen das Unternehmen, welches den DSB stellt, im Innenverhältnis gelten die oben beschriebenen Regeln.

Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?

Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.

Wie können sich Datenschutzbeauftragte gegen Haftung absichern?

Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg müssen die Einschaltung der Aufsichtsbehörde in Betracht gezogen und die Argumente für die getroffene Entscheidung über die Einschaltung dokumentiert werden.

Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Denn die ab Mai 2018 anwendbare EU-Datenschutz-Grundverordnung stellt deutlich höhere – existenzbedrohende! – Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht.

Um den Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Datenschutzbeauftragten von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den Datenschutzbeauftragten abzuschließen.

Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer, grob fahrlässiges Handeln in der Regel ausgenommen. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.

Bitte bewerten Sie diese Inhalte!
[61 Bewertung(en)/ratings]

Vollständig aktualisierte Version des Artikels, zuerst erschienen am 15. April 2011.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.