Haftung des Datenschutzbeauftragten

Datenschutzbeauftragter Haftung

Wie sieht es mit dem Kündigungsschutz und der Haftung des Datenschutzbeauftragten aus? 

Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Wir weisen Sie auch darauf hin, dass es sich bei diesem Artikel um keine Rechtsberatung handelt, sondern lediglich um unsere Einschätzung und Erfahrung aus der Praxis.

Die Aufgaben eines Datenschutzbeauftragten wurden bereits ausführlich im letzten Blogartikel vorgestellt. Dennoch sorgen sich viele interne und externe Datenschutzbeauftragten, wie es um die Haftung bei Datenpannen, Datenschutzvorfällen oder die Nichteinhaltung von Betroffenenrechte bestellt ist.

Dieser Artikel soll Sie unterstützen und die Themen des Kündigungsschutzes sowie der Haftung des Datenschutzbeauftragten näherbringen. 

Rechtliche Stellung des Datenschutzbeauftragten

Betrachten wir zunächst die rechtliche Stellung des Datenschutzbeauftragten. 

Wie immer ist ein Blick in die DSGVO bzw. in das BDSG-neu hilfreich, um die Frage zu klären, welche Stellung der Datenschutzbeauftragte einnimmt. 

In Artikel 38 DSGVO bzw. § 6 BDSG-neu wird die Stellung wie folgt beschrieben: 

  • Der Datenschutzbeauftragte ist frühzeitig in alle Fragen zu personenbezogenen Daten einzubinden
  • Der Verantwortliche und der Auftragsverarbeiter unterstützten den Datenschutzbeauftragten bei seinen Aufgaben und stellen die erforderlichen Mittel und Ressourcen zur Verfügung
  • Als Datenschutzbeauftragter erhält man keine Anweisung für die Ausübung seiner Aufgaben
  • Mitteilung an die oberste Managementebene 
  • Kommunikation und Fragenbeantwortung der betroffenen Personen

Durch die Aufzählung wird deutlich, dass der Datenschutzbeauftragte als ein Bindeglied nach innen sowie nach außen auftritt. Die Zusammenarbeit mit der höchsten Ebene im Unternehmen sowie auch mit den Mitarbeitern und externen betroffenen Personen zeigt deutlich, welche Verantwortung der Datenschutzbeauftragte hat.

Wenn der Datenschutzbeauftragte schon mit einem solchen „Amt“ betraut wird, liegt es doch auf der Hand, dass es für ihn dabei auch Vorteile gibt, oder?

Kündigungsschutz als Datenschutzbeauftragter? 

Den Kündigungsschutz genießen die internen Datenschutzbeauftragten.

Kündigungsschutz nach altem BDSG 

Nach § 4 f Absatz 3 BDSG a.F. (alte Fassung) war eine Kündigung nur aus wichtigem Grund zulässig, also kurz gesagt: eine fristlose Kündigung, sofern der Arbeitgeber dazu berechtigt war (z.B. bei Verrat von Betriebsgeheimnissen). Darüber hinaus genoss der betriebliche Datenschutzbeauftragte nach der Kündigung der Position einen weiteren Kündigungsschutz von einem weiteren Jahr nach § 4 f Absatz 3 Satz 6 BDSG a.F., sofern nicht wieder Tatsachen vorliegen, die einer Kündigung aus wichtigem Grund standhalten.

Aber lassen Sie uns nicht in die Vergangenheit blicken, sondern auf das Hier und Jetzt!

Kündigungsschutz nach der DSGVO bzw. dem BDSG-neu

Wie bereits eingangs erwähnt stellt sich die Frage, ob der Datenschutzbeauftragte nach der DSGVO bzw. dem BDSG-neu noch einen echten Kündigungsschutz genießt? 

Sehen wir uns hierzu wieder einmal die rechtliche Grundlage an. 

In Art. 38 Absatz 3 Satz 2 DSGVO findet sich eine Passage bezüglich der Kündigung: „Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.“ Unklar ist, ob aus diesem Satz nun ein Kündigungsschutz hervorgeht oder nicht. Vor allem stellt sich auch die Frage, ob der Kündigungsschutz überhaupt in das Themengebiet der DSGVO spielt? 

Doch Gott sei Dank haben wir ja noch unser BDSG-neu. Nach § 6 Absatz 4 BDSG-neu ist festzustellen, dass „die Abberufung […] des Datenschutzbeauftragten […] nur nach entsprechender Anwendung des § 626 [BGB] zulässig [ist und ] eine Kündigung des Arbeitsverhältnisses unzulässig ist, es sei denn, dass Tatsachen vorliegen, welcher der öffentlichen Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Der Teufel steckt wie so oft im Detail. Die einjährige Kündigungsfrist gilt für den Datenschutzbeauftragten der öffentlichen Stellen.

In Zusammenspiel mit § 38 Absatz 2 des BDSG-neu wird jedoch ergänzt, dass der Kündigungsschutz auch für nicht öffentliche Stellen gilt, sofern die Benennung eines Datenschutzbeauftragten verpflichtend ist.§ 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

Fazit Kündigungsschutz

Der Kündigungsschutz für den internen Datenschutzbeauftragten ist demnach ähnlich wie bisher im alten BDSG geregelt.

Auf weitere Haftungsfragen gehe ich im Folgenden ein.

Was halten Sie von der Regelung? Lassen Sie uns gerne in den Kommentaren darüber philosophieren. 

Haftung des Datenschutzbeauftragten

Kommen wir nun zum eigentlichen Thema dieses Artikels und den zentralen Fragen. Wann und in welchem Umfang haftet der Datenschutzbeauftragte? 

Haftung des internen Datenschutzbeauftragten gegenüber dem Verantwortlichen

Ein ganz großer Pluspunkt in Sachen Haftung ergibt sich aus dem Arbeitsverhältnis zwischen dem Datenschutzbeauftragten und dem Verantwortlichen. Arbeitnehmer sollen trotzdem geschützt werden, auch wenn ihnen Fehler unterlaufen. Fehler machen ist menschlich!

Allerdings gibt es rechtlich eine Abgrenzung, wann ein Fehler „versehentlich“ oder sogar „absichtlich“ begangen wurde. Es wird daher unterschieden zwischen einfacher, mittlerer und grober Fahrlässigkeit sowie Vorsatz. Was bedeuten diese Begriffe genau?

Einfache Fahrlässigkeit


Nach § 276 Absatz 2 BGB handelt jemand fährlässig, wenn die im Verkehr erforderliche Sorgfalt außer Acht gelassen wird. Was bedeutet dieser Satz?

Die einfache Fahrlässigkeit ist ein Fehler, der jedem Arbeitnehmer passieren kann. Zum Beispiel fällt das Diensthandy zu Boden und dadurch entsteht ein Displayschaden.

Festzuhalten ist, dass der Datenschutzbeauftragte bei leichter Fahrlässigkeit gegenüber seinem Arbeitgeber nicht haftet.

Mittlere Fahrlässigkeit

Die mittlere Fahrlässigkeit ist vom Wortlauter her etwas schwer abzugrenzen. Um den Unterschied etwas klarer herauszuheben, hilft das nachfolgende Beispiel.

Wird die Handbremse des Dienstwagens nicht angezogen und ein Schaden entsteht dadurch, trägt der Arbeitnehmer eine „Teilschuld“ mit (Landesarbeitsgericht Köln, Urteil von 2002). Die Haftungssumme wird so dann zwischen dem Arbeitnehmer bzw. Datenschutzbeauftragten und Arbeitgeber aufgeteilt.

Grobe Fahrlässigkeit

Die Vorstufe zum Vorsatz ist die grobe Fahrlässigkeit. Typisches Beispiel hierfür ist der Alkoholkonsum während der Arbeitszeit. Passiert daraufhin ein Unfall z.B. mit dem Dienstwagen oder einer zu bedienenden Maschine, spricht man von grober Fahrlässigkeit.

Bei der groben Fahrlässigkeit hat der Datenschutzbeauftragte jegliche Gewissenhaftigkeit außer Acht gelassen, obwohl diese klar zu erkennen hätte sein müssen.

Im Ergebnis ist festzuhalten, dass der Datenschutzbeauftragte für grobe Fahrlässigkeit wie beim Vorsatz vollumfänglich haftet.

Vorsatz

Vorsatz bedeutet, dass der Datenschutzbeauftragte mit Absicht falsch handelt. Auch bei dieser Form hat der Datenschutzbeauftragte für die daraus entstandenen Schäden vollumfänglich zu haften.

Haftungsbeispiele für Datenschutzbeauftragte

 Wie wir bereits wissen, kann der interne Datenschutzbeauftragte je nach Grad der Fahrlässigkeit zur Haftung herangezogen werden. Wir haben uns einige Beispiele überlegt, in welchen es nach unserer Meinung zu Haftungsfällen kommen könnte. Urteile dazu gibt es allerdings noch nicht, hier handelt es sich lediglich um unsere Einschätzung.

Datenschutzbeauftragter ohne Qualifizierung


Hier kommt es drauf an, ob der Mitarbeiter behauptet, er hätte die Qualifizierung eines Datenschutzbeauftragten oder der Arbeitgeber einen Mitarbeiter „einfach so“ ohne Nachweis bestimmt.

Behauptet der Mitarbeiter, er ist für die Ernennung des Datenschutzbeauftragten qualifiziert, obwohl er dies nicht ist, liegt nach unserer Auffassung ein vorsätzliches Handeln vor. Der Arbeitnehmer weiß, er besitzt nicht die Qualifizierung und „lügt“ somit seinen Arbeitgeber an. Schäden, die durch die Falschberatung oder Tätigkeiten als unqualifizierter Datenschutzschutzbeauftragter daraus entstehen, hat der Mitarbeiter vollumfänglich zu vertreten.

Der umgekehrte Fall ist, wenn der Arbeitgeber einen Mitarbeiter als Datenschutzbeauftragten ernennt und er weiß, dass die Qualifizierung des Mitarbeiters nicht gegeben ist. Schulungen oder Fortbildungskurse erhält der zukünftige Datenschutzbeauftragte ebenfalls nicht. In dieser Konstellation haftet somit der Arbeitgeber für die entstandenen Schäden in Bezug auf Datenschutzthemen. Vergleichbar ist dieses Beispiel, wenn der Arbeitgeber wissentlich unqualifiziertes Personal Maschinen bedienen lässt.

Wichtig ist in dieser Situation, dass der benannte DSB seine Geschäftsführung regelmäßig auf diesen Missstand (am besten schriftlich) hinweist.

In beiden Fällen liegt nach unserem Empfinden vorsätzliches Handeln vor.

Falschberatung des Verantwortlichen


Der Datenschutzbeauftragte hat die Aufgabe, den Verantwortlichen in Datenschutzthemen zu beraten. Was passiert, wenn eine Falschberatung erfolgt?

  • Beispiele für die Falschberatung – wir gehen in den Beispielen davon aus, dass der Datenschutzbeauftragte über folgende Umstände in seinem Unternehmen Kenntnis hat und nicht handelt:
  • PCs werden nicht gesperrt, obwohl Kundenverkehr in den Büros herrscht. Dieser Missstand ist dem DSB bekannt, er handelt aber nicht.
  • Veraltete Programme/Tools können weiter genutzt werden, obwohl keine Sicherheitsupdates mehr verfügbar sind. Der DSB müsste hierzu eine Risikoanalyse einfordern. Wenn aus bestimmten Gründen die Verwendung weiter nötig ist, muss dies entweder mit anderen Maßnahmen gesichert werden oder das Risiko entsprechend durch die Geschäftsführung akzeptiert werden.
  • Verwendung nicht datenschutzfreundlicher Kommunikationsmittel z.B. WhatsApp. Es erfolgt keine Meldung an die Geschäftsführung durch den Datenschutzbeauftragten, um dieses Risiko anzusprechen.
  • Zulassung von unverschlüsselten Übertragungen von Gesundheitsdaten. Der Datenschutzbeauftragte weiß Bescheid, unternimmt aber nichts.
  • Die IT-Infrastruktur birgt hohe Risiken für die Verarbeitung personenbezogener Daten. Diese Risiken sind dem Datenschutzbeauftragten bekannt, aber nicht als Risiko identifiziert und der Geschäftsleitung vorgelegt.
  • Videoüberwachung zur Kontrolle der Mitarbeiter wird eingesetzt. Der Datenschutzbeauftragte unternimmt keine Maßnahmen (Vorschläge, Hinweise an die Geschäftsführung), um den Einsatz von Videoüberwachung datenschutzkonform zu gestalten.

Je nach Schwere der Falschberatung ist die Haftungsfolge ausschlaggebend. Zumindest ist nach unserer Meinung die grobe Fahrlässigkeit gegeben.

Nichtbeachtung von meldepflichtigen Datenschutzvorfällen

Als Folge der Falschberatung von Schutzmaßnahmen könnte es mit großer Wahrscheinlichkeit zu einem Datenschutzvorfall kommen.

Ein Beispiel: Durch den ungeschützten Zugang zum Firmennetzwerk erfolgt ein Angriff von außen. Kundendaten werden abgegriffen und auch veröffentlicht. Sofern dieser Vorfall bemerkt wurde, läuft die 72-Stunden-Frist, um die Behörde zu benachrichtigen. Die Mitarbeiter erkennen das Ereignis und benachrichtigen den Datenschutzbeauftragten. Dieser bewertet das Risiko nicht, informiert die Behörde nicht und ignoriert den Vorfall. Es ist schwer einzuschätzen, ob hier noch von grober Fahrlässigkeit gesprochen werden kann.

Wenn sogar die Mitarbeiter diesen Fall als kritisch einschätzen, der Datenschutzbeauftragte keine Maßnahmen und Meldungen durchführt, kann ihm dennoch mit großer Wahrscheinlichkeit vorsätzliches Handeln vorgeworfen werden.

Wie wird nun so ein Fall geprüft? Nachfolgend möchte ich anhand eines sehr einfachen Beispiels kurz und oberflächlich auf eine solche Prüfung eingehen. In der Praxis fließen natürlich mehrere Faktoren, Gesetze, Umstände und die Richtermeinung ein.

Exkursion Prüfungsschema § 280 Absatz 1 BGB

Der Arbeitgeber kann gegenüber dem Datenschutzbeauftragten nach § 280 Absatz 1 BGB ggf. einen Schaden geltend machen.

Beispiel: Herr Schütze ist Datenschutzbeauftragter bei einem Unternehmen. Herr Boss ist sein Arbeitgeber. Im Zuge des Datenschutzes berät Herr Schütze Herrn Boss im Hinblick auf die Sicherung der PCs bezüglich der kurzzeitigen Abwesenheit der Mitarbeiter (z.B. Pause, Toilettengang). Durch den Kundenverkehr im Unternehmen empfiehlt Herr Schütze seinem Chef, die PCs zu sperren. Zusätzlich soll automatisch nach einer Minute der PC gesperrt werden.

Herr Boss geht dieser Empfehlung nicht nach und es kommt, wie es kommen muss. Ein Kunde wird beim Besuch kurzzeitig allein gelassen, spioniert sämtliche Daten aus und veröffentlicht diese. Der Vorfall wird der Aufsichtsbehörde mitgeteilt und diese verhängt ein Bußgeld. Hat der Arbeitgeber Herr Boss einen Schadenersatzanspruch gegen Herrn Schütze?

Ergebnis: Herr Boss hat keinen Anspruch auf Schadenersatz, da Herr Schütze ihn nicht falsch beraten hat bzw. Herr Boss seiner Empfehlung/Beratung nicht nachgekommen ist. Somit hat Herr Boss grob fahrlässig bzw. vorsätzlich gehandelt hat. Herr Schütze kann dies sogar beweisen und legt die Risikoanalyse mit seiner Empfehlung vor.

Haftung des internen Datenschutzbeauftragten gegenüber Betroffenen

Ein weiterer Vorteil des internen Datenschutzbeauftragten besteht darin, dass dieser das Unternehmen rechtlich nicht nach außen vertritt. Es besteht ein Vertrag zwischen dem Unternehmen bzw. dessen Vertreter und dem Kunden. Der Datenschutzbeauftragte haftet erst einmal nicht.

Wie Sie jedoch bereits wissen, kommt es immer darauf an, ob der Datenschutzbeauftragte fahrlässig oder vorsätzlich handelte. Es kann jedoch nicht pauschalisiert werden, inwieweit der Datenschutzbeauftragte gegenüber dem Kunden haftet. Das Thema der sog. „deliktischen“ Haftung nach § 823 Absatz 1 BGB würde jedoch den Rahmen dieses Artikels sprengen, weshalb ich hierauf nicht näher eingehen werde.

Zwischenfazit

Vereinfacht gesagt kommt es darauf an, ob der Datenschutzbeauftragte vorsätzlich bzw. grob fahrlässig gehandelt hat, wenn es um die Haftung gegenüber seinem Arbeitgeber bzw. Kunden/Dritten geht.

Haftung des externen Datenschutzbeauftragten

Die Haftung des externen Datenschutzbeauftragten sieht hingegen etwas anders aus. Zwischen dem Verantwortlichen und dem externen Datenschutzbeauftragten wird kein Arbeitsvertrag, sondern ein Dienstleistungsvertrag (§ 611 BGB) geschlossen. 

Somit haftet der externe Datenschutzbeauftragte für Schäden, die von ihm verursacht wurden, auch bei leichter Fahrlässigkeit.

Aber bitte nicht in Panik verfallen! Im Dienstleistungsvertrag kann die Haftung zwar nicht gänzlich ausgeschlossen, aber teilweise beschränkt werden. Es ist daher ratsam, den beschränkten Haftungsumfang im Vertrag aus Beweisgründen schriftlich festzuhalten. Allerdings ist eine pauschale Bezifferung der Schadenshöhe im Vertrag nicht zulässig, da es immer auf den Einzelfall ankommt, in welcher Höhe und in welchem Umfang der externe Datenschutzbeauftragte haftet.

Des Weiteren ist es sehr ratsam, sich als externer Datenschutzbeauftragter mittels einer Vermögenschadenshaftpflichtversicherung oder Berufshaftpflicht abzusichern.

Bevor wir zum Abschluss kommen, zeige ich Ihnen jeweils die Vorteile eines internen und externen Datenschutzbeauftragten auf. Ob Sie sich nun für einen Internen oder Externen entscheiden, liegt ganz bei Ihnen.

Vorteile interner Datenschutzbeauftragter

  • Der Mitarbeiter ist mit dem internen Geschäftsalltag und Strukturen vertraut.
  • Er kann seine der eigenen Berufserfahrung einbringen.
  • Die anderen Mitarbeiter kennen den Datenschutzbeauftragten bereits und unterstützen diesen ggf. besser.
  • Durch die vertraute Arbeitsumgebung ist kein weiteres Einarbeiten und Eingewöhnen nötig. Auch die Kultur des Unternehmens ist bekannt.

Vorteile externer Datenschutzbeauftragter

  • Vertrautheit mit dem Thema „Datenschutz“ durch das Alltagsgeschäft
  • Überblick über die rechtlichen Entwicklungen (Gesetze, Urteile etc.) 
  • Risikoeinschätzung ist nicht durch die sog. „Betriebsblindheit“ beeinträchtigt 

Fazit

Abschließend möchte ich nochmals die wesentlichen Punkte bezüglich der Haftung von Datenschutzbeauftragten zusammenfassen:

interner Datenschutzbeauftragterexterner Datenschutzbeauftragter
haftet grds. für Vorsatz und grobe FahrlässigkeitHaftet grds. für alle vom ihm verursachten Schäden
keine direkte Haftung gegenüber dem Betroffenen / Kunden / Externen                         Möglichkeit der Haftungsbeschränkung im Vertrag
Kündigungsschutz, sofern ein DSB verpflichtend benannt werden mussAbschluss einer Vermögensschadenshaftpflichtversicherung oder Berufshaftpflichtversicherung

Es ist für jeden Datenschutzbeauftragten wichtig, sich mit dem Thema der Haftung auseinander zu setzen.

Aber egal, für welche Variante Sie sich als Datenschutzbeauftragter entscheiden, so ist es doch unser Ziel und unserer Aufgabe, die Daten von Kunden und Mitarbeitern zu schützen.

Wie können wir Ihre Bedenken der Haftung minimieren?

Stehen Sie als Datenschutzbeauftragter gerade am Anfang Ihrer Aufgaben? Fehlt Ihnen die Struktur und die Übersicht, wie Sie mit dem Thema Datenschutz beginnen sollen? Haben Sie Bedenken, dass Sie vor allem dem Thema der Haftung nicht gerecht werden, weil Ihnen dazu Wissen und Erfahrung fehlen?

Gerne möchten wir Sie bei Ihrem Vorhaben mit unserem DSB-Mentoring unterstützen und Ihnen die Angst vor der Haftung nehmen. Wir begleiten Sie in 12 Wochen Schritt für Schritt mit Anleitungen, Vorlagen, Gruppen- und Einzelmeetings. Bei Fragen zum DSB-Mentoring dürfen Sie sich natürlich gerne jederzeit an uns wenden. Schreiben Sie einfach eine kurze E-Mail an info@datenbeschuetzerin.de

Lassen Sie uns in den Kommentaren darüber philosophieren, wie die Haftung für Datenschutzbeauftragte geregelt ist und ob es eines Kündigungsschutzes für Datenschutzbeauftragte bedarf. Auf Ihr Feedback, Ihre Kommentare und Anregungen freue ich mich schon.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.