Haftungsrisiko eines Datenschutzbeauftragten nach der DSGVO

Was passiert, wenn es trotz aller Vorsicht doch zu einer Datenpanne im Unternehmen kommt: Wer haftet für den Schaden, wer kommt für Bußgelder auf? Soviel vorab: Als Unternehmen oder Organisation liegt der Datenschutz in Ihren Händen und Fehler fallen zunächst immer erst auf Sie zurück. Allerdings können Sie sich absichern, indem Sie Schadensersatzansprüche gegenüber Ihrem Datenschutzbeauftragten (DSB) vertraglich festhalten. In diesem Artikel beantworten wir relevante Fragen zum Thema Datenschutz und Haftungsrisiken.

 

Das Wichtigste in Kürze

  • Die DSGVO stellt hohe Anforderungen an den Datenschutz und definiert Haftungsrisiken für Unternehmen.
  • Tritt ein Datenschutzverstoß auf, muss ein Verantwortlicher gefunden werden, um die Haftung zu klären.
  • Ein guter externer Datenschutzbeauftragter regelt in seinem Vertrag klar, wer im Schadensfall die Haftung übernimmt.
  • Oft gibt es bei externen Datenschutzbeauftragten eine Haftungsfreistellung für Unternehmen.
  • Ein intern benannter Datenschutzbeauftragter haftet nur bei Vorsatz, der durch das Unternehmen nachgewiesen werden muss. Anderenfalls kommt das Unternehmen selbst für die möglichen Bußgelder und Schadensersatzforderungen auf.

In diesem Beitrag

Exkurs: Mehr Haftungsrisiken im Datenschutz seit der DSGVO

Seit 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, haben sich die Datenschutzvorgaben für Unternehmen verschärft. Die DSGVO richtet sich dabei u. a. an den Prinzipien der Rechtmäßigkeit, Zweckbindung und Transparenz aus. Diese müssen Unternehmen zum einen gewährleisten und zum anderen nachweisen können. Geschieht das nicht, stehen Geldbußen auf dem Spiel, die mitunter fünf- oder mehrstellige Summen betragen können. Umso wichtiger ist es, die Haftungsrisiken bei Datenschutzverstößen zu kennen.

Hier ein paar Beispiele aus der jüngsten Vergangenheit:

  1. Dem Online-Elektronik-Versandhändler Notebooksbilliger.de (NBB) wurde im Januar 2021 seitens der niedersächsischen Datenschutz-Aufsichtsbehörde ein Bußgeld von 10,4 Millionen Euro auferlegt, gegen welches die Firma aber Einspruch erhoben hat. Das Unternehmen hatte laut Angaben der Behörde über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

  2. Der Kleidungskonzern H&M erhielt im Oktober 2020 seitens der Hamburgischen Datenschutz-Aufsichtsbehörde ein Bußgeld in Höhe von circa 35 Millionen Euro, welches das Unternehmen akzeptiert hat. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert.

  3. Der DAX-Konzern Deutsche Wohnen aus dem Immobilien-Bereich erhielt im November 2019 ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro von der Berliner Datenschutzbehörde. Das Unternehmen hatte die Daten aller Mieter aufbewahrt und keine Löschung alter, nicht mehr gebrauchter Datenbestände vorgenommen. Damit hat das Unternehmen gegen das Prinzip der Datenminimierung verstoßen.

Geschäftsführerhaftung bei unzureichender Datenschutz Compliance

In dem Zusammenhang werfen wir ein kleines Schlaglicht auf die mögliche Geschäftsführerhaftung. In einem Urteil des Landgerichts (LG) München wurde der Geschäftsleiter eines Unternehmens persönlich zu Schadensersatz in Millionenhöhe verurteilt. Das Landgericht LG verurteilte ein ehemaliges Vorstandsmitglied der Siemens AG zu einer Schadensersatzzahlung in Höhe von 15 Mio. EUR. Den Grund für die Schadensersatzpflicht des Ex-Vorstands sah das Gericht direkt in seinem Organisationsverschulden. Er hätte es versäumt, ein funktionierendes Compliance-System für seinen Aufgabenbereich zu etablieren.

 

 

Infographic Haftungsrisiken (1)

Datenschutzbeauftragter Haftungsrisiken DSGVO: Risiken bei einem externen DSB

Besser abgesichert sind Sie normalerweise bei der Zusammenarbeit mit einem externen Datenschutzbeauftragten. Dieser ist kein Mitarbeiter des Unternehmens. Somit ergeben sich weder potenzielle Interessenskonflikte noch die Problematik einer beschränkten Arbeitnehmerhaftung. Stattdessen übernimmt die Berufshaftpflichtversicherung des externen Datenschutzbeauftragten im Schadensfall dann die volle Haftung, wenn der Schaden durch eine falsche oder unzureichende Beratung entsteht.

„Ein solches Missverhältnis zwischen Schaden und Verdienst des Arbeitnehmers besteht nicht, wenn der zu ersetzende Schaden noch deutlich unterhalb der Haftungsobergrenze von drei Bruttoeinkommen liegt. Diese Haftungsobergrenze ist bisher nicht umgesetzt, wurde aber in der Reformdiskussion zur Begrenzung der Arbeitnehmerhaftung als Höchstbetrag vorgeschlagen.“

Die konkreten Bedingungen Ihrer Haftungsfreistellung werden im Dienstleistungsvertrag geregelt.

DSGVO Beratung

 

Ein Beispiel: Fehlerhafte Beratung oder Mitarbeiterschulung

Berät ein externer Datenschutzbeauftragter Sie hinsichtlich der Verarbeitung personenbezogener Daten falsch, kann das zu Datenpannen führen, die IT-Sicherheit beeinträchtigen oder anderweitig unzulässiges Verhalten nach sich ziehen. Ein gutes Beispiel liefert das Bußgeld gegen 1&1 aus dem Jahr 2019. Ein Mitarbeiter des Telekommunikationsunternehmens hatte Daten telefonisch an die Lebenspartnerin eines Kunden herausgegeben, ohne die Identität der Anrufenden ausreichend zu prüfen. Laut Behörde lag der Fehler in lückenhaften technischen und organisatorischen Maßnahmen (TOM) des Unternehmens. 1&1 gibt an, es habe sich bei der Panne um einen Einzelfall gehandelt, was wiederum eher auf die nicht ausreichende Schulung des Mitarbeiters hindeutet.

Wären die fehlerhaften TOM nun durch einen externen DSB erstellt worden, könnte 1&1 von einem Haftungsausschluss Gebrauch machen. Gleiches gilt bei fehlender Mitarbeiterschulung – denn diese fällt ganz klar in den Aufgabenbereich des DSB.

Datenschutzbeauftragter Haftungsrisiko DSGVO: Risiken bei einem internen DSB

Wenn Unternehmen keinen externen Datenschutzbeauftragten beschäftigen, können sie auch einen bereits angestellten Mitarbeiter mit der Aufgabe betrauen. Die Haftungsrisiken für das Unternehmen sind jedoch deutlich höher als bei einem externen DSB – zumindest, wenn dieser in ausreichender Höhe versichert ist. Wichtig: Im Außenverhältnis haftet zunächst der Verantwortliche, als Ihr Unternehmen. Es kann dann zu einem Innenausgleich mit DSB kommen.

Der interne Datenschutzbeauftragte befindet sich bereits in einem Arbeitsverhältnis im Unternehmen. Dadurch ergibt sich eine beschränkte Haftung durch die Rechtsprechung des Bundesarbeitsgerichts. In der Praxis haftet der interne DSB dann, wenn er vorsätzlich oder grob fahrlässig für eine Datenpanne sorgt, die Bußgelder oder andere Konsequenzen nach sich zieht. In diesem Fall muss er mit seinem privaten Vermögen haften, da er meist – anders als die meisten externen Datenschutzbeauftragten – über keine spezielle Versicherung verfügt.

Tritt ein Schadensfall durch normale Fahrlässigkeit auf, werden die Ansprüche normalerweise im Innenverhältnis zwischen dem internen DSB und dem Unternehmen aufgeteilt. Bei leichter Fahrlässigkeit wird der interne Datenschutzbeauftragte hingegen von der Haftung freigestellt.

Problematik bei der Feststellung der Fahrlässigkeit von internen Datenschutzbeauftragten

Die Beweislast, ob es sich bei der Datenpanne um einen Schaden infolge von leichter, normaler oder grober Fahrlässigkeit handelt, liegt allerdings bei Ihnen als Unternehmen. Auch einen möglichen Vorsatz müssen Sie entsprechend nachweisen, damit der interne DSB für sein Verhalten haftbar gemacht werden kann. In der Praxis scheitert die Haftungsübergabe an den Mitarbeiter daher oftmals, sodass Sie letztendlich als Unternehmen für den Schaden aufkommen müssen.

Wann muss ein Unternehmen haften?

Wie schon herausgestellt, haftet das Unternehmen zum Teil, wenn der interne DSB einen Schaden infolge von normaler Fahrlässigkeit verursacht hat. Bei leichter Fahrlässigkeit haften Sie sogar vollumfänglich für den entstandenen Schaden und zahlen dementsprechend auch die anfallenden Bußgelder. Ebenso tragen Sie die Verantwortung, wenn Sie grobe Fahrlässigkeit oder einen Vorsatz des internen DSB nicht nachweisen können.

Weiterhin sollten Sie sicherstellen, dass die vorgegebenen Richtlinien zum Datenschutz eingehalten werden. Wird beispielsweise kein Datenschutzbeauftragter benannt, obwohl Sie gesetzlich dazu verpflichtet sind, müssen Sie die dafür in Rechnung gestellten Bußgelder entrichten. Eine Haftungsfreistellung für Unternehmen im Datenschutz ist daher nur mit einem externen Datenschutzbeauftragten verlässlich realisierbar.

Fazit: Datenschutz und Haftungsrisiken nicht unterschätzen

Spätestens seit Einführung der DSGVO ist besondere Vorsicht im Bereich Datenschutz geboten. Die Benennung eines internen DSB schützt Sie als Unternehmen nicht vor eventuellen Bußgeldern. Im Schadensfall haftet immer zuerst der Verantwortliche. Bei grober Fahrlässigkeit oder nachweislichem Vorsatz haften der interne oder externe Datenschutzbeauftragte im Innenverhältnis danach selbst. Auf der sicheren Seite sind Sie mit einem externen DSB, wenn dessen Vertrag eine Haftungsfreistellung für die Firma vorsieht.

Wer haftet im Schadensfall, wenn ein interner Datenschutzbeauftragter benannt wurde? Und inwiefern ist bei einem externen DSB eine Haftungsfreistellung für Unternehmen möglich?

Buchen Sie ein kostenloses Erstgespräch um Fragen rund um Haftungsrisiken abzuklären!Kostenlose Erstberatung vereinbaren

Zurück zum Seitenanfang

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren