Symbolbild für Haftung von Datenschutzbeauftragten

Alles, was Sie zur Haftung von Datenschutzbeauftragten wissen müssen

Jeder Datenschutzbeauftragte hat nach der DSGVO beratende und überwachende Funktionen. Die Frage der Haftung von Datenschutzbeauftragten ist klar: Sie sind in der Regel dafür verantwortlich, dass sie ihre Aufgaben nicht oder nur unzureichend erfüllen. Wir klären die wichtigsten Fragen auf.
 

2022-11-11

Logo

Unternehmen treffen viele Verpflichtungen rund um den Datenschutz. Nach der DSGVO gehört dazu in vielen Fällen auch die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB). Ob dieser intern oder extern agiert, bleibt dabei den Unternehmen überlassen.

Wer als Datenschutzbeauftragter tätig ist, nimmt nach der DSGVO eine beratende und überwachende Funktion ein. Die Frage nach der Haftung von Datenschutzbeauftragten ist klar: Diese haften grundsätzlich dafür, dass oder dann, wenn sie ihren Aufgaben nicht oder nur unzureichend nachkommen.

Problematisch wird es allerdings häufig bei Datenpannen im Unternehmen, in denen das Unternehmen gegenüber betroffenen Personen haften muss. Übernimmt der Datenschutzbeauftragte eine persönliche Haftung? Wie wird dieser geschützt? Und unterscheidet sich die Haftung zwischen dem internen und externen Datenschutzbeauftragten? - Wir klären die wichtigsten Fragen in diesem Artikel.

Sie benötigen Unterstützung zum Datenschutz im Unternehmen? Unser Team besteht aus mehr als 90 rechtlich sowie technisch geschulten Datenschutzexperten, die Sie gerne umfassend zum Thema Datenschutz und den Gestaltungsmöglichkeiten beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Das Wichtigste in Kürze

  • Durch Inkrafttreten der DSGVO 2018 haben sich die Anforderungen an den Datenschutz für Unternehmen verschärft, was auch Auswirkungen auf die Haftung hat.
  • Bei Verstößen gegen den Datenschutz können sowohl die Unternehmen als auch die Datenschutzbeauftragten für Pflichtverletzungen haftbar gemacht werden.
  • Generell genießen betriebliche Datenschutzbeauftragte einen besonderen Kündigungsschutz und Haftungsprivilegierungen – sie haften nur bei Vorsatz und grober Fahrlässigkeit.
  • Bei externen Datenschutzbeauftragten kann die Haftung individuell vertraglich vereinbart werden.

Schadensersatz: Dafür haften Datenschutzbeauftragte

Grundsätzlich sind Beauftragte für Datenschutz nicht für die betriebliche Datenverarbeitung und Datenschutzverstöße des Unternehmens verantwortlich. Eine Haftung durch Datenschutzbeauftragte ist in diesen Bereichen im Regelfall nicht vorgesehen.
Datenschutzbeauftragte agieren vielmehr als Kontrollinstanz und Berater. Sie können grundsätzlich keine Weisungen erteilen und deshalb mögliche Missstände im Unternehmen nicht selbst abstellen, um Verstöße zu vermeiden.

Wenn ein Datenschutzbeauftragter hingegen falsch berät oder seine Überwachungspflichten verletzt, kann das Unternehmen, für welches er tätig ist, Schadenersatzansprüche gegen ihn geltend machen. Das ist immer dann möglich, wenn dem Unternehmen oder der Behörde ein Schaden entsteht, etwa durch die Verhängung eines Bußgeldes.

Wenn betroffene Personen einen Schaden erleiden, kann zudem eine deliktische Haftung greifen. In diesem Fall macht die Person Ansprüche gegen das Unternehmen geltend. Das Unternehmen kann in einem zweiten Schritt einen Schadensersatzanspruch geltend machen.

Kündigungsschutz für interne Datenschutzbeauftragte

Die internen Datenschutzbeauftragten haben im Gegensatz zu externen Datenschutzbeauftragten einen klaren Vorteil: Sie genießen neben Haftungsprivilegien auch einen besonderen Kündigungsschutz. Hier regelt das Bundesdatenschutzgesetz (BDSG), dass Datenschutzbeauftragte nur unter besonderen Bedingungen gekündigt werden dürfen.

Der Hintergrund: Datenschutzbeauftragte sollen so objektiv und neutral arbeiten können, wie es in einem Unternehmen nur möglich ist. Sie sollen ihre Vorgesetzten auch auf unangenehme Tatsachen hinweisen können, ohne eine Kündigung befürchten zu müssen.

Eine Abberufung als interner Datenschutzbeauftragter führt zu einem Verlust der Tätigkeit, aber nicht dazu, als Mitarbeiter aus dem Unternehmen auszuscheiden. So kann ein ehemaliger Datenschutzbeauftragter eine andere Rolle im Unternehmen übernehmen.

Benannte Datenschutzbeauftragte können in Deutschland allerdings nicht so einfach abberufen werden. Eine Abberufung ist nur dann zulässig, wenn ein wichtiger Grund vorliegt, der dem Unternehmen oder dem Datenschutzbeauftragten eine weitere Beschäftigungindiesem Bereich unmöglich macht.

Auch eine fristgerechte oder fristlose Kündigung des Datenschutzbeauftragten als Mitarbeiter ist nur aus wichtigem Grund möglich. Dieser Kündigungsschutz gilt ein Jahr nach Ausscheiden aus der Funktion des Datenschutzbeauftragten.

Persönliche Haftung von internen Datenschutzbeauftragten 

Interne Datenschutzbeauftragte (auch betriebliche DSB genannt) profitieren als Arbeitnehmer von einem Schutz des „innerbetrieblichen Schadensausgleichs“. Das bedeutet, dass Datenschutzbeauftragte in ihrer Tätigkeit davor geschützt werden, für einen großen Schaden wegen menschlicher Fehler (z.B. Unachtsamkeit) haften zu müssen, die sie im Zweifel die Existenz kosten können.

Gerade Datenschutzbeauftragte übernehmen eine große Verantwortung im Bereich des Datenschutzes, indem sie beraten und kontrollieren. Dennoch haben sie wenig Möglichkeiten, aktiv zu handeln und sind auf das Mitwirken ihres Arbeitgebers angewiesen.

Würden Datenschutzbeauftragte für jegliche Datenpanne oder zahlreiche Rechtsverstöße haftbar gemacht werden, wäre das existenzbedrohend. Daher haften Mitarbeiter eines Unternehmens (so auch Datenschutzbeauftragte) grundsätzlich nur in Stufen für vorsätzliches Handeln und mittlere bis groben Fahrlässigkeit:

  • Leichte Fahrlässigkeit: Hier haftet der Arbeitgeber vollumfänglich. Er kann keinen Rückgriff auf den internen Datenschutzbeauftragten nehmen.
  • Mittlere Fahrlässigkeit: Der Schaden wird zwischen dem Datenschutzbeauftragten und dessen Arbeitgeber aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, wird im Einzelfall nach dessen individuellen Verschulden berechnet.
  • Grobe Fahrlässigkeit und Vorsatz: Grundsätzlich haftet der Datenschutzbeauftragte hier vollumfänglich. Bei einem krassen Missverhältnis zwischen Schadenshöhe und Einkommen besteht aber auch hier eine Haftungsprivilegierung. Als grob fahrlässig gilt neben dem außer Acht lassen der erforderlichen Sorgfalt auch, wer Aufgaben übernimmt, bei denen aufgrund ungenügender Schulung vorhersehbar war, dass er diese nicht sorgfältig erledigen können wird.

Es ist zulässig, im Arbeitsvertrag gewisse Haftungserleichterungen für den Datenschutzbeauftragten zu regeln. Diese müssen allerdings zugunsten des internen Datenschutzbeauftragten formuliert sein. Eine schärfere Haftung ist nicht zulässig und verstößt gegen das Arbeitsrecht.

Wie haften externe Datenschutzbeauftragte?

Externe Datenschutzbeauftragte arbeiten grundsätzlich außerhalb des Unternehmens und profitieren deshalb nicht von den Haftungserleichterungen des innerbetrieblichen Schadensausgleichs. Aus diesem Grund haften sie schon bei leichter Fahrlässigkeit in voller Höhe. Sind sie jedoch bei einem anderen Unternehmen angestellt, kann innerhalb dessen ein Schadensausgleich greifen.

Um sich selbst zu schützen, vereinbaren viele externe Datenschutzbeauftragte vertraglich eine Haftungsprivilegierung oder einen Haftungsausschluss bei leichter oder mittlerer Fahrlässigkeit. Gerne beraten wir Sie zu den Möglichkeiten der Vertragsgestaltung.

Strafrechtliche Konsequenzen bei Pflichtverletzungen

Datenschutzbeauftragte werden bei der Umsetzung datenschutzrechtlicher Vorschriften grundsätzlich nicht operativ, sondern vielmehr beratend tätig. Deshalb können sie sich in der Regel nicht strafbar machen.

Allenfalls kommt eine Beihilfe zu Datenschutzverletzungen in Betracht (§202a StGB). Dafür müsste der Datenschutzbeauftragte jedoch vorsätzlich an der Verletzung mitgewirkt haben, entweder durch ein Handeln (z.B. der bewusst falschen Beratung hinsichtlich eines Verstoßes) oder ein Unterlassen (etwa wenn er einen Verstoß bewusst geschehen lässt).

Wie können sich Datenschutzbeauftragte absichern?

Wie jeder Arbeitnehmer sollten auch die Beauftragten für Datenschutz immer sorgfältig und gewissenhaft arbeiten. Aber auch die regelmäßige Fort- und Weiterbildung zur Erhaltung und Verbesserung der eigenen Kenntnisse ist erforderlich, um seine Arbeit ordentlich erledigen zu können.

Der gesetzliche Kündigungsschutz sorgt dafür, dass Datenschutzbeauftragte keine Angst davor haben müssen, auch unangenehme Wahrheiten über den Stand des Datenschutzes im Unternehmen anzusprechen und zu kritisieren.

In jedem Fall ist es für Datenschutzbeauftragte sicherer, ihren Pflichten nachzukommen und kritisch zu beraten und zu überwachen, statt Verstöße geschehen zu lassen und sich damit im Zweifel sogar in Schwierigkeiten zu bringen.

Auch können Beauftragte für Datenschutz Haftungsvereinbarungen mit ihrem Arbeit- oder Auftraggeber vertraglich festhalten, um sich im Falle eines Verstoßes vor den hohen Bußgeldern der DSGVO zu schützen. Auch eine Berufshaftpflichtversicherung kann eine zusätzliche Absicherung darstellen.

Fazit

Die DSGVO sieht immer mehr Pflichten für Unternehmen vor, sodass auch das Haftungsrisiko für Datenschutzbeauftragte stetig verschärft wird. Für sie ist es daher besonders wichtig, sich regelmäßig zu schulen und sorgfältig zu arbeiten.

Dabei bieten externe Datenschutzbeauftragte für Unternehmen einige Vorteile: Zum einen sind sie professionell geschult und ausgebildet, da es sich um ihren Hauptberuf handelt. Zum anderen wird meist eine größere Haftung übernommen, als bei internen Datenschutzbeauftragten gesetzlich zulässig ist. Zudem besteht keine Beziehung zwischen dem externen Datenschutzbeauftragten und dem Unternehmen, sodass dieses objektiver beraten und überwachen kann.

Sie haben weitere Fragen zu der Haftung von Datenschutzbeauftragten? Gerne beraten wir Sie zu den Rechten und Pflichten von Datenschutzbeauftragen und unterstützen Sie bei der Entscheidung, einen internen oder externen Datenschutzbeauftragten zu engagieren. Zudem bieten wir eine Full-Service-Lösung im Bereich des Datenschutzes. Kommen Sie jederzeit auf uns zu.


Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 11.11.2022

 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr