Seit 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, haben sich die Datenschutzvorgaben für Unternehmen verschärft. Die DSGVO richtet sich dabei u. a. an den Prinzipien der Rechtmäßigkeit, Zweckbindung und Transparenz aus. Diese müssen Unternehmen zum einen gewährleisten und zum anderen nachweisen können. Geschieht das nicht, stehen Geldbußen auf dem Spiel, die mitunter fünf- oder mehrstellige Summen betragen können. Umso wichtiger ist es, die Haftungsrisiken bei Datenschutzverstößen zu kennen.
Geschäftsführerhaftung bei unzureichender Datenschutz Compliance In dem Zusammenhang werfen wir ein kleines Schlaglicht auf die mögliche Geschäftsführerhaftung. In einem Urteil des Landgerichts (LG) München wurde der Geschäftsleiter eines Unternehmens persönlich zu Schadensersatz in Millionenhöhe verurteilt. Das Landgericht LG verurteilte ein ehemaliges Vorstandsmitglied der Siemens AG zu einer Schadensersatzzahlung in Höhe von 15 Mio. EUR. Den Grund für die Schadensersatzpflicht des Ex-Vorstands sah das Gericht direkt in seinem Organisationsverschulden. Er hätte es versäumt, ein funktionierendes Compliance-System für seinen Aufgabenbereich zu etablieren. |
Besser abgesichert sind Sie normalerweise bei der Zusammenarbeit mit einem externen Datenschutzbeauftragten. Dieser ist kein Mitarbeiter des Unternehmens. Somit ergeben sich weder potenzielle Interessenskonflikte noch die Problematik einer beschränkten Arbeitnehmerhaftung. Stattdessen übernimmt die Berufshaftpflichtversicherung des externen Datenschutzbeauftragten im Schadensfall dann die volle Haftung, wenn der Schaden durch eine falsche oder unzureichende Beratung entsteht.
„Ein solches Missverhältnis zwischen Schaden und Verdienst des Arbeitnehmers besteht nicht, wenn der zu ersetzende Schaden noch deutlich unterhalb der Haftungsobergrenze von drei Bruttoeinkommen liegt. Diese Haftungsobergrenze ist bisher nicht umgesetzt, wurde aber in der Reformdiskussion zur Begrenzung der Arbeitnehmerhaftung als Höchstbetrag vorgeschlagen.“
Die konkreten Bedingungen Ihrer Haftungsfreistellung werden im Dienstleistungsvertrag geregelt.
Berät ein externer Datenschutzbeauftragter Sie hinsichtlich der Verarbeitung personenbezogener Daten falsch, kann das zu Datenpannen führen, die IT-Sicherheit beeinträchtigen oder anderweitig unzulässiges Verhalten nach sich ziehen. Ein gutes Beispiel liefert das Bußgeld gegen 1&1 aus dem Jahr 2019. Ein Mitarbeiter des Telekommunikationsunternehmens hatte Daten telefonisch an die Lebenspartnerin eines Kunden herausgegeben, ohne die Identität der Anrufenden ausreichend zu prüfen. Laut Behörde lag der Fehler in lückenhaften technischen und organisatorischen Maßnahmen (TOM) des Unternehmens. 1&1 gibt an, es habe sich bei der Panne um einen Einzelfall gehandelt, was wiederum eher auf die nicht ausreichende Schulung des Mitarbeiters hindeutet.
Wären die fehlerhaften TOM nun durch einen externen DSB erstellt worden, könnte 1&1 von einem Haftungsausschluss Gebrauch machen. Gleiches gilt bei fehlender Mitarbeiterschulung – denn diese fällt ganz klar in den Aufgabenbereich des DSB.
Wenn Unternehmen keinen externen Datenschutzbeauftragten beschäftigen, können sie auch einen bereits angestellten Mitarbeiter mit der Aufgabe betrauen. Die Haftungsrisiken für das Unternehmen sind jedoch deutlich höher als bei einem externen DSB – zumindest, wenn dieser in ausreichender Höhe versichert ist. Wichtig: Im Außenverhältnis haftet zunächst der Verantwortliche, als Ihr Unternehmen. Es kann dann zu einem Innenausgleich mit DSB kommen.
Der interne Datenschutzbeauftragte befindet sich bereits in einem Arbeitsverhältnis im Unternehmen. Dadurch ergibt sich eine beschränkte Haftung durch die Rechtsprechung des Bundesarbeitsgerichts. In der Praxis haftet der interne DSB dann, wenn er vorsätzlich oder grob fahrlässig für eine Datenpanne sorgt, die Bußgelder oder andere Konsequenzen nach sich zieht. In diesem Fall muss er mit seinem privaten Vermögen haften, da er meist – anders als die meisten externen Datenschutzbeauftragten – über keine spezielle Versicherung verfügt.
Tritt ein Schadensfall durch normale Fahrlässigkeit auf, werden die Ansprüche normalerweise im Innenverhältnis zwischen dem internen DSB und dem Unternehmen aufgeteilt. Bei leichter Fahrlässigkeit wird der interne Datenschutzbeauftragte hingegen von der Haftung freigestellt.
Die Beweislast, ob es sich bei der Datenpanne um einen Schaden infolge von leichter, normaler oder grober Fahrlässigkeit handelt, liegt allerdings bei Ihnen als Unternehmen. Auch einen möglichen Vorsatz müssen Sie entsprechend nachweisen, damit der interne DSB für sein Verhalten haftbar gemacht werden kann. In der Praxis scheitert die Haftungsübergabe an den Mitarbeiter daher oftmals, sodass Sie letztendlich als Unternehmen für den Schaden aufkommen müssen.
Wie schon herausgestellt, haftet das Unternehmen zum Teil, wenn der interne DSB einen Schaden infolge von normaler Fahrlässigkeit verursacht hat. Bei leichter Fahrlässigkeit haften Sie sogar vollumfänglich für den entstandenen Schaden und zahlen dementsprechend auch die anfallenden Bußgelder. Ebenso tragen Sie die Verantwortung, wenn Sie grobe Fahrlässigkeit oder einen Vorsatz des internen DSB nicht nachweisen können.
Weiterhin sollten Sie sicherstellen, dass die vorgegebenen Richtlinien zum Datenschutz eingehalten werden. Wird beispielsweise kein Datenschutzbeauftragter benannt, obwohl Sie gesetzlich dazu verpflichtet sind, müssen Sie die dafür in Rechnung gestellten Bußgelder entrichten. Eine Haftungsfreistellung für Unternehmen im Datenschutz ist daher nur mit einem externen Datenschutzbeauftragten verlässlich realisierbar.
Spätestens seit Einführung der DSGVO ist besondere Vorsicht im Bereich Datenschutz geboten. Die Benennung eines internen DSB schützt Sie als Unternehmen nicht vor eventuellen Bußgeldern. Im Schadensfall haftet immer zuerst der Verantwortliche. Bei grober Fahrlässigkeit oder nachweislichem Vorsatz haften der interne oder externe Datenschutzbeauftragte im Innenverhältnis danach selbst. Auf der sicheren Seite sind Sie mit einem externen DSB, wenn dessen Vertrag eine Haftungsfreistellung für die Firma vorsieht.
Wer haftet im Schadensfall, wenn ein interner Datenschutzbeauftragter benannt wurde? Und inwiefern ist bei einem externen DSB eine Haftungsfreistellung für Unternehmen möglich?
Buchen Sie ein kostenloses Erstgespräch um Fragen rund um Haftungsrisiken abzuklären!