Data breaches happen all the time and everywhere. Nevertheless, it comes as a great shock to companies when, despite all their caution, a data breach occurs in their own business. Data protection officers have the task of minimizing this risk and thus avoiding far-reaching financial and legal consequences. But who is liable in such a case? What should companies and compliance managers look out for? Internal or external data protection officer – what risks do the options entail? In this article, we answer the most important questions about the topic.

Das Wichtigste auf einen Blick

• Mit den DSGVO gelten höhere Anforderungen an den Datenschutz. Unternehmen sind dazu verpflichtet, datenschutzrechtliche Vorschriften umzusetzen und ggf. einen Datenschutzbeauftragten zu benennen.
• Auch das Haftungsrisiko hat sich vergrössert. Bei einem Verstoss gegen die DSGVO können sowohl Unternehmen als auch Datenschutzbeauftragte haften. Hierbei sind umsatzbezogene Bussgelder in Millionenhöhe vorgesehen.
• Betriebliche Datenschutzbeauftragte werden intern benannt und geniessen daher einen besonderen Kündigungsschutz. Sie profitieren von Haftungserleichterungen und müssen sich unter Umständen entsprechend weiterbilden.
• Bei externen Datenschutzbeauftragten kann die Haftung individuell und zugunsten vom Unternehmen vereinbart werden. Externes Personal unterliegt zudem keinem Interessenkonflikt und verfügt über tiefergehende praktische Erfahrung im Datenschutz.

Was machen Datenschutzbeauftragte?

Durch das Inkrafttreten der DSGVO, which came into force in 2018, has resulted in stricter data protection requirements for companies. In particular, this concerns the principles of lawfulness, purpose limitation, and transparency of data and its processing. Violations of the GDPR can result in Millionensummen fällig werden.

Die Datenschutzbeauftragten für Unternehmen (DSB) sind dafür zuständig, die Datenschutzvorgaben der DSGVO zu kontrollieren und überwachen. the data protection requirements of the DSGVO. It is about the company’s self-monitoring, checking whether the regulations of the GDPR are being complied with to avoid Schadensersatzansprüche gegen das Unternehmen vermieden werden.

Neben der Überwachung und Kontrolle des Unternehmens agieren Datenschutzbeauftragte auch beratend und informierend. Sie arbeiten eng mit der Geschäftsführung zusammen, um einen möglichst hohen Datenschutz sicherzustellen. Auch mit der zuständigen Aufsichtsbehörde findet eine enge Zusammenarbeit statt.

Durch die Einführung der DSGVO ist der Aufgaben- und Tätigkeitsbereich der Datenschutzbeauftragten wesentlich grösser geworden. Das führt auch zu einer erweiterten Haftung, sodass Mitarbeitende, die dieses Amt übernehmen, weitergehende Verpflichtungen haben.

Wer muss Datenschutzbeauftragte einstellen?

In einigen Fällen können Unternehmen dazu verpflichtet sein, interne Datenschutzbeauftragte zu ernennen. In Deutschland ist dies immer dann der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten betraut sind.

Darüber hinaus ist in folgenden Fällen ein interner Datenschutzbeauftragter erforderlich (Art. 37 DSGVO):

• Die Datenverarbeitung wird durch eine Behörde oder andere öffentliche Stelle durchgeführt.
• The company’s Kerntätigkeit des Unternehmens besteht in der Verarbeitung besonderer personenbezogener Daten, die eine systematische Überwachung erforderlich macht (insbesondere bei der automatisierten Verarbeitung von Daten).
• The company’s Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung personenbezogener, sensibler Daten besonderer Kategorien (Art. 9 DSGVO).
• Das Unternehmen verarbeitet personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen (Art. 10 GDPR).

Es hängt demnach von der Kerntätigkeit und dem Umfang der Verarbeitung ab, ob ein Datenschutzbeauftragter erforderlich ist. Darüber hinaus werden die Daten noch in verschiedene Kategorien unterteilt (Art. 9 DSGVO).

Was kostet ein Datenschutzbeauftragter?

Zurecht wird immer öfter nach den Kosten eines Datenschutzbeauftragten gefragt. Insbesondere kleinere und mittelständische Unternehmen müssen meist mit einem überschaubaren Budget auskommen, um die rechtlichen Anforderungen zu erfüllen.

Bei in-house data protection officers, the costs depend on their previous salaries. A salary increase may make sense if employees take on additional tasks. In this case, however, you may have to adjust or extend the employment contract accordingly. In addition, the internal solution may incur Kosten für Fort- und Weiterbildungen und/oder die zeitlichen Investments in neue Aufgaben, welches dann an anderer Stelle fehlt.

Bei externen Datenschutzbeauftragten the fee depends on their personal knowledge, unique qualification, time commitment, and the company’s requirements for the service. The costs can also vary depending on Nachfrage auf dem Markt variieren.

Die externe Lösung ermöglicht eine bessere Kostenkalkulation, da für externe Datenschutzbeauftragte lediglich die monatlichen Kosten anfallen. Zusätzliche, wenig transparente Kosten, die zum Beispiel durch Weiterbildungen oder betriebliche Umstrukturierungen entstehen, fallen in diesem Fall weg.

Do you need data protection support? Our team has in-depth expertise in data protection law, IT, and security and will be happy to support you in implementing data protection regulations. Contact us at any time for an initial consultation.

Wer kann Datenschutzbeauftragter werden?

Grundsätzlich kann jede Person eine Tätigkeit als Datenschutzbeauftragter übernehmen, wenn sie über die nötige berufliche Qualifikation, das Fachwissen auf dem Gebiet des Datenschutzrechts und/oder die Fähigkeit zur Erfüllung der Aufgaben eines Datenschutzbeauftragten verfügt (§ 37 Abs. 5 DSGVO).

Bei externen Datenschutzbeauftragten ist dies zumeist gegeben, da diese über praktische Erfahrung verfügen. Bei internen Datenschutzbeauftragten wird es hingegen schwieriger. Sie müssen ausreichend in das Datenschutzrecht und die Datenschutzpraxis eingearbeitet werden, so dass sie über das nötige Fachwissen verfügen. Auch muss gewährleistet werden, dass sie keinem Interessenkonflikt unterliegen und alle Befugnisse haben, die sie zur Erledigung ihrer Aufgaben benötigen (z.B. Zugang zu notwendigen Daten und Plattformen).

Unser Tipp: berücksichtigen Sie bei der Benennung eines internen Datenschutzbeauftragten die aufgeführten Kriterien, aber auch die Vorkenntnisse Ihrer Beschäftigten.

Haben Sie einen internen oder externen Datenschutzbeauftragten ernannt, übermitteln sie die Informationen Ihrer zuständigen Aufsichtsbehörde und veröffentlichen Sie diese auch auf Ihrer Website.

Sind Datenschutzbeauftragte haftbar?

Grundsätzlich agieren Datenschutzbeauftragte im Rahmen ihrer Tätigkeit für Ihr Unternehmen und beraten diese hinsichtlich der Einhaltung der Datenschutzvorschriften. If these are not complied with, the damaged persons can take action against your company. In some exceptional cases, the damaged persons – or even you as a company – can take action against the data protection officer.

Gegenüber dem Unternehmen haften Datenschutzbeauftragte vor allem dann für Schäden, wenn sie das Unternehmen falsch beraten oder ihren Aufklärungs- bzw. Informationspflichten nicht nachkommen und dadurch ein Bussgeld durch die Aufsichtsbehörde verursachen.

Unser Tipp: if you don’t want to expose your employees to this risk, you can agree on a so-called Haftungsfreistellung with your data protection officer. Such an agreement excludes private liability and thus reduces it to the company’s liability. Otherwise, internal data privacy officers would be exposed to risk, which can make the position in your company very unattractive.

Wie haften interne Datenschutzbeauftragte?

Haftungsrisiko bei internen Datenschutzbeauftragten

Externe Datenschutzbeauftragte gehen kein Arbeitsverhältnis mit Ihrem Unternehmen ein, so dass keine Festanstellung erforderlich ist. Der Vorteil ist hier, dass Sie wenig Verantwortung im Hinblick auf den externen Datenschutzbeauftragten tragen.

Gegenüber internen Datenschutzbeauftragten besteht eine höhere Verantwortung. besteht eine internen Datenschutzbeauftragten. Interne Datenschutzbeauftragte übernehmen meist die Position des Datenschutzbeauftragten neben ihren eigentlichen Tätigkeiten. Die beschränkte Haftung schützt die Beschäftigten in Ihrem Unternehmen:

• Interne Datenschutzbeauftragte haften bei einem Fehler aufgrund leichter Fahrlässigkeit nicht. In diesem Fall hat Ihr Unternehmen den Schaden in vollem Umfang zu tragen.
• Bei normalen bzw. mittleren Fahrlässigkeit findet hingegen eine Abwägung statt, so dass Mitarbeitende und Unternehmen den Schaden zu gleichen Teilen tragen können.
• Erst bei grober Fahrlässigkeit oder Vorsatz können interne Datenschutzbeauftragte vollumfänglich haften, wenn dies im Arbeitsvertrag vereinbart wurde. Eine Ausweitung der Haftung auf leichte oder mittlere Fahrlässigkeit ist dabei nicht vorgesehen.

The burden of proof Kommt es zu einem internen Fehler, so trägt Ihr Unternehmen die Beweislast zur Feststellung des Verschuldens. Konkret: Sie sind dafür verantwortlich, in einem Gerichtsverfahren zu beweisen, ob die Handlung grob fahrlässig oder vorsätzlich begangen wurde oder nicht, um eine Haftung Ihrerseits auszuschliessen.

Do you have open questions on this topic? Our legally trained staff will be happy to advise you comprehensively on all questions of data protection law. Don’t hesitate to get in touch with us at any time.

Besonderer Kündigungsschutz

Bestimmte Positionen geniessen in Unternehmen einen besonderen Kündigungsschutz – including the role of the internal data protection officer. This means that the data protection officer cannot be effectively terminated unless there is good cause for the termination (§ 6 Abs. 4 BDSG).

Wenn Sie eine ordentliche Kündigung aussprechen, müssen Sie diese ausreichend begründen. Diese Vorgehensweise soll Datenschutzbeauftragte davor schützen, abberufen oder benachteiligt zu werden, wenn diese ihren Pflichten in einer Art und Weise nachkommen, die dem Unternehmen missfallen.

Dieser besondere Kündigungsschutz besteht auch dann für ein Jahr fort, wenn die Datenschutzbeauftragten ihr Amt niederlegen. Innerhalb eines Jahres nach Niederlegung bedarf eine ordentliche Kündigung weiterhin eines wichtigen Grundes.

Wie haften externe Datenschutzbeauftragte?

Anders ist es bei externen Datenschutzbeauftragten: Dadurch, dass diese kein Arbeitsverhältnis mit Ihrem Unternehmen eingehen, haften externe Datenschutzbeauftragte in voller Höhe gegenüber dem Geschädigten, auch bereits bei leichter Fahrlässigkeit. Geschädigter kann dabei ein Dritter (zum Beispiel Kund:innen) oder auch Sie selbst als Unternehmen sein.

Natürlich kann aber zwischen Ihnen und den externen Datenschutzbeauftragten eine Haftungsbegrenzung vereinbart werden. Auch eine Haftungsfreistellung des Unternehmens bieten viele externe Datenschutzbeauftragte in ihren Leistungen an. Welche Haftungsmassstäbe genau gelten, lässt sich meistens aus den AGB oder Verträgen entnehmen, bzw. mit den Anbietenden verhandeln. In der Regel übernimmt die Berufshaftpflichtversicherung des Datenschutzbeauftragten die Haftung, wenn dieser Sie unzureichend oder falsch beraten hat.

Ein weiterer Vorteil externer Datenschutzbeauftragter ist das Vermeiden von Interessenkonflikten. Bei externen Dienstleistern können Sie als Unternehmen stets die Verträge kündigen und haben keinerlei Streitigkeiten oder arbeitsrechtliche Konflikte innerhalb Ihres Betriebes.

Wann haften Unternehmen für Datenschutz-Verstösse?

Unternehmen haften bei internen Datenschutzbeauftragten für alle Schäden, die ihre Beschäftigten infolge leichter oder normaler Fahrlässigkeit verursachen, entweder ganz oder teilweise. Sie haften auch dann, wenn Sie nicht nachweisen können, dass der interne Datenschutzbeauftragte selbst haftbar ist (z.B. bei grober Fahrlässigkeit oder Vorsatz).

Bei externen Datenschutzbeauftragten kommt es massgeblich auf die Regelungen zur Haftung in ihrem Dienstleistungsvertrag an. Hier kann von einer Haftungsbeschränkung bis zu einer kompletten Haftungsfreistellung alles vereinbart werden. Eine Haftungsfreistellung zugunsten von Unternehmen ist für diese am attraktivsten und wird daher auch in den meisten Fällen vereinbart.

Unternehmen müssen sicherstellen, dass alle Richtlinien zum Datenschutz, insbesondere der DSGVO, eingehalten werden. Werden keine Datenschutzbeauftragten benannt, obwohl dies für Ihr Unternehmen verpflichtend ist, so müssen Sie mit Sanktionen und hohen Bussgeldern rechnen

Auch Interessenkonflikte gilt es zu vermeiden. Bestellt sich etwa die Geschäftsführung selbst zum Datenschutzbeauftragten oder wird ein Steuerberater hier tätig, so ist diese Ernennung unwirksam.

Können sich Datenschutzbeauftragte strafbar machen?

Datenschutzbeauftragte übernehmen zwar die Beratung und Überwachung des Datenschutzes für Ihr Unternehmen, sind aber selbst nicht dazu verpflichtet, datenschutzrechtliche Vorschriften umzusetzen. Diese Aufgabe liegt bei den Unternehmen selbst.

Daher können sich Datenschutzbeauftragte als solche nicht ohne weiteres wegen Verstössen gegen Datenschutzregeln strafbar machen. Allerdings ist eine Strafbarkeit wegen Beihilfe zu Datenschutzverletzungen durchaus möglich, etwa dann, wenn ein Verstoss bewusst nicht verhindert oder gemeldet wird.

Wie können sich Datenschutzbeauftragte schützen?

Wie für alle Beschäftigten gilt auch für Datenschutzbeauftragte: wer sorgfältig und gewissenhaft arbeitet, schützt sich am besten gegen vermeintliche Schadensersatzforderungen. Zusätzlich sollte die eigene Arbeit immer dokumentiert werden, um im Zweifel Beweise für die geleistete Arbeit vorweisen zu können. Dies ist mittels der Dokumentation von Aktivitäten in der Priverion Plattform möglich.

Auch sollten regelmässige Fort- und Weiterbildungen should also be attended to keep one’s expertise and specialist knowledge up to date. Therefore, offer the opportunity to regularly participate in professional events and training courses.

Werden Datenschutzbeauftragte auf Verstösse gegen das Datenschutzrecht aufmerksam, sollte im Zweifel die Aufsichtsbehörde. eingeschaltet werden. Die Abwägung über diese Entscheidung sollte immer dokumentiert werden, um vermeintlichen Forderungen seitens des Unternehmens gegenzuhalten können. Betroffene sollten alle Schritte zunächst mit dem jeweiligen Unternehmen besprechen, bevor der Fall gemeldet wird.

Da die DSGVO umsatzbezogene Bussgelder in Millionenhöhe für Verstösse in Aussicht stellt, kann auch eine beschränkte Haftung bereits weitreichende finanzielle Folgen mit sich bringen. Hinzu kommen die immateriellen Schadenersatzforderungen der betroffenen Personen.

Um Ihre Beschäftigten zu schützen, besteht neben der Haftungsfreistellung zudem die Möglichkeit, eine Berufshaftpflichtversicherung abzuschliessen. Diese Kosten können ggf. von den jeweiligen Unternehmen getragen werden.

Es gilt dabei immer zu beachten, dass auch bei einer Haftungsfreistellung oder Versicherung eine gewissenhafte und pflichtgemässe Arbeit essenziell ist. Denn weder eine Haftungsfreistellung noch eine Berufshaftpflichtversicherung gilt bei Vorsatz oder grober Fahrlässigkeit.

Fazit

Die Aufgaben und Pflichten von Datenschutzbeauftragten haben sich im Zuge der DSGVO erheblich erweitert. Dies führt nicht nur zu einem erhöhten Arbeitsaufwand, sondern auch zu einem grösseren Haftungsrisiko.

Viele Unternehmen ernennen lieber internen Datenschutzbeauftragten als diese Aufgabe externen Dienstleistenden zu überlassen. Verständlicherweise vertrauen viele dem eigenen Personal oft mehr als aussenstehenden Dienstleistungsunternehmen. Schliesslich sind interne Personen bereits in den Arbeitsablauf integriert und kennen die Strukturen und Prozesse im Unternehmen.

Allerdings kann dies auch dazu führen, dass sie bereits bestehende Probleme innerhalb des Unternehmens leichter übersehen. Auch potenzielle Interessenkonflikte dürfen nicht unterschätzt oder übersehen werden.

Bedenken Sie: beschäftigten Sie einen internen Datenschutzbeauftragten, setzen Sie Ihr Unternehmen, aber auch Ihr Personal einem rechtlichen Risiko aus. Es erfordert Zeit und verursacht Kosten, interne Beschäftigte entsprechend professionell zu schulen und weiterzubilden, damit sie Ihre neuen Tätigkeiten ordnungsgemäss und zuverlässig ausführen können.

Die Zeit, die in Einarbeitung und Weiterbildung investiert wird, kann nicht für eine andere Tätigkeit im Unternehmen aufgewendet werden. Die fehlende praktische Erfahrung in diesem Feld kann dazu führen, dass der gesamte Prozess ineffizienter gestaltet wird als bei der Beschäftigung eines externen Datenschutzbeauftragten.

Ein externer Experte für Datenschutz ist in der Regel besonders geschult, verfügt über eine neutrale Position und greift häufig auf eine langjährige Erfahrung im Datenschutzrecht zurück. Zudem gilt für ihn keine Haftungsbeschränkung, so dass Sie besser vor Schadensersatzforderungen geschützt sind.

Trotz möglicherweise geringfügig höherer Kosten für einen externen Datenschutzbeauftragten kann es aufgrund der erreichten Risikoreduzierung Especially since the cost comparison often does not correctly include all the costs of the company’s internal employee (training, ancillary wage costs, protection against dismissal).