Wer von einem Unternehmen als interner (betrieblicher) oder externer Datenschutzbeauftragter bestellt wird, nimmt gemäß der Datenschutz-Grundverordnung (DSGVO) nicht nur eine beratende Funktionen im Unternehmen ein, sondern auch eine überwachende. Mit dieser Verantwortung kommt auf den Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der Beauftragte für Datenschutz haftet und wie sich Haftungsrisiken von internem und externem Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.
Grundsätzliches zur Haftung des Datenschutzbeauftragten
Zuerst einmal sollte klargestellt werden, dass der Datenschutzbeauftragte nicht für die Datenverarbeitung oder Datenschutzverstöße des Verantwortlichen haftet. Im Rahmen seiner Stellung kann der Beauftragte für Datenschutz keine Weisungen erteilen und demnach Ursachen für Verstöße gegen das Datenschutzrecht nicht selbst abstellen.
Allerdings können sowohl das Unternehmen als auch Betroffene Schadensansprüche gegen den Datenschutzbeauftragten geltend machen: Beispielsweise haftet er dem Verantwortlichen gegenüber, wenn dem Verantwortlichen ein Schaden (z.B. Bußgeld durch die Aufsichtsbehörde) entsteht, welcher auf eine falsche Beratung zurückzuführen ist.
Für Schäden von Betroffenen kommt eine Haftung des Beauftragten für Datenschutz in Betracht, wenn der Verantwortliche z.B. aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt, aufgrund welcher ein Betroffener einen Schaden erleidet. Mangels vertraglicher Beziehungen löst solch eine Handlung einen deliktischen Anspruch des Betroffenen aus.
Welches finanzielle Risiko geht mit der Haftung einher?
Interner Datenschutzbeauftragter
Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:
- Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
- Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
- Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.
Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.
Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.
Externer Datenschutzbeauftragter
Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt. Ein externer Datenschutzbeauftragter profitiert demnach nicht vom „innerbetrieblichen Schadenausgleich“. Demnach haftet der externe Datenschutzbeauftragte gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.
Immer wieder gibt es auch Fälle, in denen ein angestellter – also interner – Beauftragter für Datenschutz gleichzeitig andere Unternehmen im Konzern betreut. Sofern der Datenschutzbeauftragte hier nicht angestellt ist, ist er bei diesen Unternehmen dann externer Datenschutzbeauftragter.
Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?
Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.
Wie können sich Datenschutzbeauftragte gegen Haftung absichern?
Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg muss die Einschaltung der Aufsichtsbehörde in Betracht gezogen werden. Die Argumente für die getroffene Entscheidung über die Einschaltung sind ebenfalls zu dokumentieren.
Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Die DSGVO stellt deutlich hohe und ggf. existenzbedrohende Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht. Um den Konzern-Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die betreffenden Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Beauftragten für Datenschutz von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den betreffenden Angestellten abzuschließen.
Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer ausgenommen, grob fahrlässiges Handeln in der Regel auch. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.
Dieser aktualisierte Artikel erschien zuerst am 15. April 2011.
In unserem kostenlosen Whitepaper zum betrieblichen Datenschutzbeauftragten finden Sie alle Informationen zu Voraussetzungen, Stellung und Aufgaben.[