DSGVO

Risiken für interne und externe Datenschutz-beauftragte

Bild: Dominic

Von Dr. Dominic Staiger

auf 18 05 2022

12 min lesen

Datenpannen passieren ständig und überall. Dennoch ist es für Unternehmen ein großer Schock, wenn es trotz aller Vorsicht zu einer Datenpanne im eigenen Betrieb kommt. Datenschutzbeauftragte haben die Aufgabe, dieses Risiko zu minimieren und damit weitreichende finanzielle und rechtliche Konsequenzen zu vermeiden. Doch wer haftet in einem solchen Fall? Worauf sollten Unternehmen und Compliance-Manager achten? Interner oder externer Datenschutzbeauftragter - welche Risiken bringen die Optionen mit sich? In diesem Artikel beantworten wir die wichtigsten Fragen rund ums Thema.

Das Wichtigste auf einen Blick

  • Mit dem DSGVO in Kraft, gelten höhere Anforderungen an den Datenschutz. gelten. Die Unternehmen sind verpflichtet, Datenschutzverfahren einzuführen und gegebenenfalls einen Datenschutzbeauftragten zu bestellen.
  • Auch das Haftungsrisiko hat sich vergrössert. Im Falle eines Verstosses gegen die DSGVO können sowohl Unternehmen als auch Datenschutzbeauftragte haften. Hierbei sind umsatzabhängige Geldbußen in Millionenhöhe sind möglich. Einige Länder wie die Schweiz kennen sogar nur persönliche Bußgelder.
  • Betriebliche Datenschutzbeauftragte werden intern benannt und genießen daher einen besonderer Kündigungsschutz. Sie kommen in den Genuss von Haftungserleichterungen und müssen eine entsprechende Ausbildung absolvieren.
  • Bei externen Datenschutzbeauftragten Die Haftung kann individuell zu Gunsten des Unternehmens vereinbart werden. Externes Personal unterliegt zudem keinem Interessenkonflikt und verfügt über mehr praktische Erfahrung im Bereich des Datenschutzes.

Was machen Datenschutzbeauftragte?

Die (Datenschutz-Grundverordnung) (DSGVO) die im Jahr 2018 in Kraft getreten ist, hat zu strengeren Datenschutzanforderungen für Unternehmen geführt. Dies betrifft insbesondere die Grundsätze der Rechtmäßigkeit, der Zweckbindung und der Transparenz von Daten und ihrer Verarbeitung. Verstöße gegen die GDPR können zur Folge haben Bussgelder in Millionenhöhe zur Folge haben.

Datenschutzbeauftragte für Unternehmen (DSB) sind dafür zuständig die Datenschutzvorgaben der DSGVO zu kontrollieren und überwachen die datenschutzrechtlichen Anforderungen des DSGVO. Es geht um die Selbstkontrolle des Unternehmens, um zu überprüfen, ob die Vorschriften der DSGVO eingehalten werden, um zu vermeiden, dass Schadensersatzansprüche gegen das Unternehmen vermieden werden.

Neben der Überwachung und Kontrolle des Unternehmens haben die Datenschutzbeauftragten auch eine beratende und informierende Funktion. Sie arbeiten eng mit der Geschäftsleitung zusammen, um das vereinbarte Datenschutzniveau zu gewährleisten. Eine enge Zusammenarbeit findet auch mit der zuständigen Aufsichtsbehörde statt.

Die Einführung der DSGVO ist der Aufgaben- und Tätigkeitsbereich der Datenschutzbeauftragten wesentlich grösser geworden. Das führt auch zu einer erweiterten Haftung, so dass Mitarbeitende, die dieses Amt übernehmen, weitergehende Verpflichtungen haben.

Wer muss Datenschutzbeauftragte einstellen?

In einigen Fällen können Unternehmen dazu verpflichtet sein, interne Datenschutzbeauftragte zu ernennen. In Deutschland ist dies immer dann der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind.

Darüber hinaus ist in folgenden Fällen ein interner Datenschutzbeauftragter erforderlich (Art. 37 GDPR):

  • Die Datenverarbeitung erfolgt durch eine Behörde oder andere öffentliche Stelle.
  • Die Kerntätigkeit des Unternehmens besteht in der Verarbeitung besonderer personenbezogener Daten, die eine systematische Überwachung erforderlich macht (insbesondere bei der automatisierten Verarbeitung von Daten).
  • Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung personenbezogener, sensibler Daten besonderer Kategorien (Art. 9 GDPR).
  • Das Unternehmen verarbeitet personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen (Art. 10 GDPR).

Ob ein interner Datenschutzbeauftragter erforderlich ist, hängt also von der Kerntätigkeit und dem Umfang der Verarbeitung ab. Darüber hinaus werden die Daten in verschiedene Kategorien eingeteilt (Art. 9 GDPR).

Was kostet ein Datenschutzbeauftragter?

Zurecht wird immer öfter nach den Kosten eines Datenschutzbeauftragten gefragt. Insbesondere kleinere und mittelständische Unternehmen müssen meist mit einem überschaubaren Budget auskommen, um die rechtlichen Anforderungen zu erfüllen.

Bei betrieblichen Datenschutzbeauftragtensind die Kosten abhängig von ihrem bisherigen Gehalt. Eine Lohnerhöhung kann sinnvoll sein, wenn Mitarbeitende zusätzliche Aufgaben übernehmen. In diesem Fall müssen Sie möglicherweise jedoch den Arbeitsvertrag entsprechend anpassen oder erweitern. Darüber hinaus entstehen bei der internen Lösung unter Umständen zusätzliche Kosten für Fort- und Weiterbildungen und/oder die zeitlichen Investments in neue Aufgaben, welches dann an anderer Stelle fehlt.

Bei externen Datenschutzbeauftragten hängt das Honorar von den individuellen Kenntnissen, besonderen Qualifikationen, dem zeitlichen Aufwand und den Anforderungen des Unternehmens an die Dienstleistung ab. Zudem können die Kosten variieren je nach Nachfrage auf dem Markt.

Die externe Lösung ermöglicht eine bessere Kostenkalkulation, da für externe Datenschutzbeauftragte lediglich die monatlichen Kosten anfallen. Zusätzliche, wenig transparente Kosten, die zum Beispiel durch Weiterbildungen oder betriebliche Umstrukturierungen entstehen, fallen in diesem Fall weg.

Sie benötigen datenschutzrechtliche Unterstützung? Unser Team verfügt über tiefgreifende Kompetenzen aus den Bereichen Datenschutzrecht, IT und Sicherheit und unterstützt Sie gern bei der Umsetzung datenschutzrechtlicher Vorschriften. Kommen Sie für ein unverbindliches Erstgespräch jederzeit auf uns bei der Umsetzung der Datenschutzbestimmungen. Kontaktieren Sie uns jederzeit für ein erstes Beratungsgespräch.

Wer kann Datenschutzbeauftragter werden?

Grundsätzlich kann jede Person eine Tätigkeit als Datenschutzbeauftragter übernehmen, wenn sie über die nötige berufliche Qualifikation, das Fachwissen auf dem Gebiet des Datenschutzrechts und/oder die Fähigkeit zur Erfüllung der Aufgaben eines Datenschutzbeauftragten verfügt (§ 37 Abs. 5 GDPR).

Bei externen Datenschutzbeauftragten ist dies zumeist gegeben, da diese über praktische Erfahrung verfügen. Bei internen Datenschutzbeauftragten wird es hingegen schwieriger. Sie müssen ausreichend in das Datenschutzrecht und die Datenschutzpraxis eingearbeitet werden, so dass sie über das nötige Fachwissen verfügen. Auch muss gewährleistet werden, dass sie keinem Interessenkonflikt unterliegen und alle Befugnisse haben, die sie zur Erledigung ihrer Aufgaben benötigen (z.B. Zugang zu notwendigen Daten und Plattformen).

Unser Tipp: berücksichtigen Sie bei der Benennung eines internen Datenschutzbeauftragten die aufgeführten Kriterien, aber auch die Vorkenntnisse Ihrer Beschäftigten.

Haben Sie einen internen oder externen Datenschutzbeauftragten ernannt, übermitteln sie die Informationen Ihrer zuständigen Aufsichtsbehörde und veröffentlichen Sie diese auch auf Ihrer Website.

Sind Datenschutzbeauftragte haftbar?

Grundsätzlich agieren Datenschutzbeauftragte im Rahmen ihrer Tätigkeit für Ihr Unternehmen und beraten diese hinsichtlich der Einhaltung der Datenschutzvorschriften. Werden diese nicht eingehalten, können geschädigte Personen gegen Ihr Unternehmen vorgehen. Es gibt jedoch einige Ausnahmefälle, bei denen die geschädigten Personen - oder auch Sie als Unternehmen – sich gegen den Datenschutzbeauftragten selbst richten können.Datenschutzbeauftragten vorgehen.

Gegenüber dem Unternehmen haften Datenschutzbeauftragte vor allem dann für Schäden, wenn sie das Unternehmen falsch beraten oder ihren Aufklärungs- bzw. Informationspflichten nicht nachkommen und dadurch ein Bußgeld durch die Aufsichtsbehörde verursachen.

Unser Tipp: wenn Sie Ihre Mitarbeitenden diesem Risiko nicht aussetzen möchten, können Sie mit Ihrem Datenschutzbeauftragten eine sog. Haftungsfreistellung vereinbaren. Ein solcher Vertrag schließt die private Haftung aus und verringert sie damit auf die Haftung des Unternehmens. Andernfalls würden interne Datenschutzbeauftragte ein Risiko eingehen, was die Position in Ihrem Unternehmen sehr unattraktiv machen kann.

Wie haften interne Datenschutzbeauftragte?

Haftungsrisiko bei internen Datenschutzbeauftragten

Externe Datenschutzbeauftragte gehen kein Arbeitsverhältnis mit Ihrem Unternehmen ein, so dass keine Festanstellung erforderlich ist. Der Vorteil ist hier, dass Sie wenig Verantwortung im Hinblick auf den externen Datenschutzbeauftragten tragen.

Gegenüber internen Datenschutzbeauftragten besteht eine interne Datenschutzbeauftragte, als diese Aufgabe externen Dienstleistenden zu überlassen. Verständlicherweise vertrauen viele dem eigenen Personal oft mehr als außenstehenden Dienstleistungsunternehmen. Schließlich sind interne Personen bereits in den Arbeitsablauf integriert und kennen die Strukturen und Prozesse im Unternehmen. beschränkte Haftung schützt die Beschäftigten in Ihrem Unternehmen:

  • Interne Datenschutzbeauftragte haften bei einem Fehler aufgrund leichter Fahrlässigkeit. nicht. In diesem Fall hat Ihr Unternehmen den Schaden in vollem Umfang zu tragen.
  • Bei normalen bzw. mittleren Fahrlässigkeit findet hingegen eine Abwägung statt, so dass Mitarbeitende und Unternehmen den Schaden zu gleichen Teilen tragen können.
  • Erst bei grober Fahrlässigkeit oder Vorsatz können interne Datenschutzbeauftragte vollumfänglich haften, wenn dies im Arbeitsvertrag vereinbart wurde. Eine Ausweitung der Haftung auf leichte oder mittlere Fahrlässigkeit ist dabei nicht vorgesehen.

Die Beweisführung werden. Kommt es zu einem internen Fehler, so trägt Ihr Unternehmen die Beweislast zur Feststellung des Verschuldens. Konkret: Sie sind dafür verantwortlich, in einem Gerichtsverfahren zu beweisen, ob die Handlung grob fahrlässig oder vorsätzlich begangen wurde oder nicht, um eine Haftung Ihrerseits auszuschließen.

Sie haben offene Fragen zu diesem Thema? Unser juristisch ausgebildetes Personal berät Sie gern umfassend zu allen Fragen des Datenschutzrechts. Nehmen Sie jederzeit Kontakt mit uns auf.

Besonderer Kündigungsschutz

Bestimmte Positionen genießen in Unternehmen einen besonderen Kündigungsschutz – so auch die Position des internen Datenschutzbeauftragten. Das bedeutet, dass der Datenschutzbeauftragte grundsätzlich nicht wirksam gekündigt werden kann, es sei denn, es liegt ein wichtiger Grund für die Kündigung vor (§ 6 Abs. 4 DGSVO).

Wenn Sie eine ordentliche Kündigung aussprechen, müssen Sie diese ausreichend begründen. Diese Vorgehensweise soll Datenschutzbeauftragte davor schützen, abberufen oder benachteiligt zu werden, wenn diese ihren Pflichten in einer Art und Weise nachkommen, die dem Unternehmen missfallen.

Dieser besondere Kündigungsschutz besteht auch dann für ein Jahr fort, wenn die Datenschutzbeauftragten ihr Amt niederlegen. Innerhalb eines Jahres nach Niederlegung bedarf eine ordentliche Kündigung weiterhin eines wichtigen Grundes.

Wie haften externe Datenschutzbeauftragte?

Anders ist es bei externen Datenschutzbeauftragten: Dadurch, dass diese kein Arbeitsverhältnis mit Ihrem Unternehmen eingehen, haften externe Datenschutzbeauftragte in voller Höhe gegenüber dem Geschädigten, auch bereits bei leichter Fahrlässigkeit. Geschädigter kann dabei ein Dritter (zum Beispiel Kund:innen) oder auch Sie selbst als Unternehmen sein.

Natürlich kann aber zwischen Ihnen und den externen Datenschutzbeauftragten eine Haftungsbegrenzung vereinbart werden. Auch eine Haftungsfreistellung des Unternehmens bieten viele externe Datenschutzbeauftragte in ihren Leistungen an. Welche Haftungsmaßstäbe genau gelten, lässt sich meistens aus den AGB oder Verträgen entnehmen, bzw. mit den Anbietenden verhandeln. In der Regel übernimmt die Berufshaftpflichtversicherung des Datenschutzbeauftragten die Haftung, wenn dieser Sie unzureichend oder falsch beraten hat.

Ein weiterer Vorteil externer Datenschutzbeauftragter ist das Vermeiden von Interessenkonflikten. Bei externen Dienstleistern können Sie als Unternehmen stets die Verträge kündigen und haben keinerlei Streitigkeiten oder arbeitsrechtliche Konflikte innerhalb Ihres Betriebes.

Wann haften Unternehmen für Datenschutz-Verstöße?

Unternehmen haften bei interne Datenschutzbeauftragte für alle Schäden, die ihre Beschäftigten infolge leichter oder normaler Fahrlässigkeit verursachen, entweder ganz oder teilweise. Sie haften auch dann, wenn Sie nicht nachweisen können, dass der interne Datenschutzbeauftragte selbst haftbar ist (z.B. bei grober Fahrlässigkeit oder Vorsatz).

Bei externen Datenschutzbeauftragten kommt es maßgeblich auf die Regelungen zur Haftung in ihrem Dienstleistungsvertrag an. Hier kann von einer Haftungsbeschränkung bis zu einer kompletten Haftungsfreistellung alles vereinbart werden. Eine Haftungsfreistellung zugunsten von Unternehmen ist für diese am attraktivsten und wird daher auch in den meisten Fällen vereinbart.

Unternehmen müssen sicherstellen, dass alle Richtlinien zum Datenschutz, insbesondere der DSGVO, eingehalten werden. Werden keine Datenschutzbeauftragten benannt, obwohl dies für Ihr Unternehmen verpflichtend ist, so müssen Sie mit Sanktionen und hohen Bußgeldern rechnen.

Interessenkonflikte gilt es ebenfalls zu vermeiden. Bestellt sich etwa die Geschäftsführung selbst zum Datenschutzbeauftragten oder wird ein Steuerberater hier tätig, so ist diese Ernennung unwirksam.

Können Datenschutzbeauftragte strafrechtlich verfolgt werden?

Die Datenschutzbeauftragten beraten und überwachen den Datenschutz in Ihrem Unternehmen, sie sind nicht verpflichtet, die Datenschutzbestimmungen selbst umzusetzen. Diese Aufgabe obliegt dem Unternehmen selbst.

Daher können sich Datenschutzbeauftragte als solche nicht ohne weiteres wegen Verstößen gegen Datenschutzregeln strafbar machen. Allerdings ist eine Strafbarkeit wegen Beihilfe zu Datenschutzverletzungen durchaus möglich, etwa dann, wenn ein Verstoß bewusst nicht verhindert oder gemeldet wird.

Wie können sich Datenschutzbeauftragte schützen?

Wie für alle Beschäftigten gilt auch für Datenschutzbeauftragte: wer sorgfältig und gewissenhaft arbeitet, schützt sich am besten gegen vermeintliche Schadensersatzforderungen. Zusätzlich sollte die eigene Arbeit immer dokumentiert werden, um im Zweifel Beweise für die geleistete Arbeit vorweisen zu können. Dies ist möglich mittels der Dokumentation von Aktivitäten in der Priverion-Plattform.

Auch sollten regelmäßige Fort- und Weiterbildungen besucht werden, um die eigene Sach- und Fachkunde auf dem neusten Stand zu halten. Bieten Sie daher regelmäßig die Möglichkeit an, fachliche Veranstaltungen und Fortbildungen zu besuchen.

Werden Datenschutzbeauftragte auf Verstöße gegen das Datenschutzrecht aufmerksam, sollte im Zweifel die Aufsichtsbehörde eingeschaltet werden. Die Abwägung über diese Entscheidung sollte immer dokumentiert werden, um vermeintlichen Forderungen seitens des Unternehmens gegenzuhalten können. Betroffene sollten alle Schritte zunächst mit dem jeweiligen Unternehmen besprechen, bevor der Fall gemeldet wird.

Da die DSGVO umsatzbezogene Bußgelder in Millionenhöhe für Verstöße in Aussicht stellt, kann auch eine beschränkte Haftung bereits weitreichende finanzielle Folgen mit sich bringen. Hinzu kommen die immateriellen Schadenersatzforderungen der betroffenen Personen.

Um Ihre Beschäftigten zu schützen, besteht neben der Haftungsfreistellung zudem die Möglichkeit, eine Berufshaftpflichtversicherung abzuschließen. Diese Kosten können ggf. von den jeweiligen Unternehmen getragen werden.

Es gilt dabei immer zu beachten, dass auch bei einer Haftungsfreistellung oder Versicherung eine gewissenhafte und pflichtgemäße Arbeit essenziell ist. Denn weder eine Haftungsfreistellung noch eine Berufshaftpflichtversicherung gilt bei Vorsatz oder grober Fahrlässigkeit.

Fazit

Die Aufgaben und Pflichten von Datenschutzbeauftragten haben sich im Zuge der DSGVO erheblich erweitert. Dies führt nicht nur zu einem erhöhten Arbeitsaufwand, sondern auch zu einem größeren Haftungsrisiko.

Viele Unternehmen ernennen lieber interne Datenschutzbeauftragte anstatt diese Aufgabe externen Dienstleistern zu überlassen. Es ist verständlich, dass viele ihren Mitarbeitern mehr vertrauen als externen Dienstleistern. Schließlich sind die Internen bereits in den Arbeitsablauf integriert und kennen die Strukturen und Prozesse im Unternehmen.

Allerdings kann dies auch dazu führen, dass sie bereits bestehende Probleme innerhalb des Unternehmens leichter übersehen. Auch potenzielle Interessenkonflikte dürfen nicht unterschätzt oder übersehen werden.

Bedenken Sie: beschäftigten Sie einen internen Datenschutzbeauftragten, setzen Sie Ihr Unternehmen, aber auch Ihr Personal einem rechtlichen Risiko aus. Es erfordert Zeit und verursacht Kosten, interne Beschäftigte entsprechend professionell zu schulen und weiterzubilden, damit sie Ihre neuen Tätigkeiten ordnungsgemäß und zuverlässig ausführen können.

Die in die Einführung und Schulung investierte Zeit kann nicht für andere Tätigkeiten im Unternehmen verwendet werden. Der Mangel an praktischer Erfahrung in diesem Bereich kann dazu führen, dass das Verfahren ineffizienter ist, als wenn ein externer Datenschutzbeauftragter eingesetzt wird.

Ein externer Experte für Datenschutz ist in der Regel besonders geschult, verfügt über eine neutrale Position und greift häufig auf eine langjährige Erfahrung im Datenschutzrecht zurück. Zudem gilt für ihn keine Haftungsbeschränkung, so dass Sie besser vor Schadensersatzforderungen geschützt sind.

Trotz möglicherweise geringfügig höherer Kosten für einen externen Datenschutzbeauftragten kann es aufgrund der erreichten Risikoreduzierung wirtschaftlich sinnvoll sein, auf externe Unterstützung zu setzen, da oftmals bei der Kostengegenüberstellung nicht alle Kosten des eigenen internen Mitarbeiters korrekt einbezogen werden (Weiterbildung, Lohnnebenkosten, Kündigungsschutz).

Bild: Dominic

Von Dr. Dominic Staiger

auf 18 05 2022

12 min lesen

Verwandte Beiträge

Alle anzeigen
DSG

Wann sollten Fragebögen für den Datenschutz verwendet werden?

Jetzt lesen