DSGVO

Risiken für interne und externe Datenschutz-Beauftragte

Bild: Dominic

Von Dr. Dominic Staiger

auf 18 05 2022

12 min lesen

Datenpannen passieren ständig und überall. Dennoch ist es für Unternehmen ein großer Schock, wenn es trotz aller Vorsicht zu einer Datenpanne im eigenen Betrieb kommt. Datenschutzbeauftragte haben die Aufgabe, dieses Risiko zu minimieren und damit weitreichende finanzielle und rechtliche Konsequenzen zu vermeiden. Doch wer haftet in einem solchen Fall? Worauf sollten Unternehmen und Compliance-Manager achten? Interner oder externer Datenschutzbeauftragter - welche Risiken bringen die Optionen mit sich? In diesem Artikel beantworten wir die wichtigsten Fragen rund ums Thema.

Das Wichtigste auf einen Blick

  • Mit den DSGVO gelten höhere Anforderungen an den Datenschutz. Unternehmen sind dazu verpflichtet, datenschutzrechtliche Vorschriften umzusetzen und ggf. einen Datenschutzbeauftragten zu benennen.
  • Bei einem Verstoss gegen die DSGVO können sowohl Unternehmen als auch Datenschutzbeauftragte haften. Hierbei sind umsatzbezogene Bußgelder in Millionenhöhe vorgesehen. Einige Länder wie die Schweiz kennen sogar nur persönliche Bußgelder.
  • Betriebliche Datenschutzbeauftragte werden intern benannt und genießen daher einen besonderer Kündigungsschutz. Sie profitieren von Haftungserleichterungen und müssen eine entsprechende Ausbildung absolvieren.
  • Bei externen Datenschutzbeauftragten kann die Haftung individuell und zugunsten von Unternehmen vereinbart werden. Externes Personal unterliegt zudem keinem Interessenkonflikt und verfügt über tiefergehende praktische Erfahrung im Datenschutz.

Was machen Datenschutzbeauftragte?

Die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 kam es zu Verschärfungen für Unternehmen und Ihre Datenschutzvorgaben. Dabei geht es insbesondere um die Prinzipien der Rechtmäßigkeit, der Zweckbindung und der Transparenz von Daten und ihrer Verarbeitung. Bei Verstößen gegen die DSGVO können Bussgelder, fällig werden.

Die Datenschutzbeauftragten für Unternehmen (DSB) sind dafür zuständig, die Datenschutzvorgaben der DSGVO zu kontrollieren und überwachen. Es geht um die Selbstkontrolle des Unternehmens, also darum, zu prüfen, ob die Regelungen der DSGVO. Es geht um die Selbstkontrolle des Unternehmens, um zu überprüfen, ob die Vorschriften der DSGVO eingehalten werden, um zu vermeiden, dass Schadensersatzansprüche gegen das Unternehmen vermieden werden.

Neben der Überwachung und Kontrolle des Unternehmens agieren Datenschutzbeauftragte auch beratend und informierend. Sie arbeiten eng mit der Geschäftsführung zusammen, um einen möglichst hohen Datenschutz sicherzustellen. Auch mit der zuständigen Aufsichtsbehörde findet eine enge Zusammenarbeit statt.

Die Einführung der DSGVO ist der Aufgaben- und Tätigkeitsbereich der Datenschutzbeauftragten wesentlich größer geworden. Das führt auch zu einer erweiterten Haftung, sodass Mitarbeitende, die dieses Amt übernehmen, weitergehende Verpflichtungen haben.

Wer muss Datenschutzbeauftragte einstellen?

In einigen Fällen können Unternehmen dazu verpflichtet sein, interne Datenschutzbeauftragte zu ernennen. In Deutschland ist dies immer dann der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind.

Darüber hinaus ist in folgenden Fällen ein interner Datenschutzbeauftragter erforderlich (Art. 37 DSGVO):

  • Die Datenverarbeitung erfolgt durch eine Behörde oder andere öffentliche Stelle.
  • Die Kerntätigkeit des Unternehmens besteht in der Verarbeitung besonderer personenbezogener Daten, die eine systematische Überwachung erforderlich macht (insbesondere bei der automatisierten Verarbeitung von Daten).
  • Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung personenbezogener, sensibler Daten besonderer Kategorien (Art. 9 DSGVO).
  • Das Unternehmen verarbeitet personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen (Art. 10 DSGVO).

Ob ein Datenschutzbeauftragter erforderlich ist, hängt also von der Kerntätigkeit und dem Umfang der Verarbeitung ab. Darüber hinaus werden die Daten in verschiedene Kategorien eingeteilt (Art. 9 DSGVO).

Was kostet ein Datenschutzbeauftragter?

Zurecht wird immer öfter nach den Kosten eines Datenschutzbeauftragten gefragt. Insbesondere kleinere und mittelständische Unternehmen müssen meist mit einem überschaubaren Budget auskommen, um die rechtlichen Anforderungen zu erfüllen.

Bei betrieblichen Datenschutzbeauftragtensind die Kosten abhängig von ihrem bisherigen Gehalt. Eine Lohnerhöhung kann sinnvoll sein, wenn Mitarbeitende zusätzliche Aufgaben übernehmen. In diesem Fall müssen Sie möglicherweise jedoch den Arbeitsvertrag entsprechend anpassen oder erweitern. Darüber hinaus entstehen bei der internen Lösung unter Umständen zusätzliche Kosten für Fort- und Weiterbildungen sowie die zeitlichen Investments in neue Aufgaben, welches dann an anderer Stelle fehlt.

Bei externen Datenschutzbeauftragten hängt das Honorar von den individuellen Kenntnissen, besonderen Qualifikationen, dem zeitlichen Aufwand und den Anforderungen des Unternehmens an die Dienstleistung ab. Zudem können die Kosten variieren je nach Nachfrage auf dem Markt variieren.

Die externe Lösung ermöglicht eine bessere Kostenkalkulation, da für externe Datenschutzbeauftragte lediglich die monatlichen Kosten anfallen. Zusätzliche, wenig transparente Kosten, die zum Beispiel durch Weiterbildungen oder betriebliche Umstrukturierungen entstehen, fallen in diesem Fall weg.

Sie benötigen datenschutzrechtliche Unterstützung? Unser Team verfügt über tiefgreifende Kompetenzen aus den Bereichen Datenschutzrecht, IT und Sicherheit und unterstützt Sie gern bei der Umsetzung datenschutzrechtlicher bei der Umsetzung der Datenschutzbestimmungen. Kontaktieren Sie uns jederzeit für ein erstes Beratungsgespräch.

Wer kann Datenschutzbeauftragter werden?

Grundsätzlich kann jede Person eine Tätigkeit als Datenschutzbeauftragter übernehmen, wenn sie über die nötige berufliche Qualifikation, das Fachwissen auf dem Gebiet des Datenschutzrechts sowie die Fähigkeit zur Erfüllung der Aufgaben eines Datenschutzbeauftragten verfügt (§ 37 Abs. 5 DSGVO).

Bei externen Datenschutzbeauftragten ist dies zumeist gegeben, da diese über praktische Erfahrung verfügen. Bei internen Datenschutzbeauftragten wird es hingegen schwieriger. Sie müssen ausreichend in das Datenschutzrecht und Datenschutzpraxis eingearbeitet werden, so dass sie über das nötige Fachwissen verfügen. Auch muss gewährleistet werden, dass sie keinem Interessenkonflikt unterliegen und alle Befugnisse haben, die sie zur Erledigung ihrer Aufgaben benötigen (z.B. Zugang zu notwendigen Daten und Plattformen).

Unser Tipp: berücksichtigen Sie bei der Benennung eines internen Datenschutzbeauftragten die aufgeführten Kriterien, aber auch die Vorkenntnisse Ihrer Beschäftigten.

Haben Sie einen internen oder externen Datenschutzbeauftragten ernannt, übermitteln sie die Informationen Ihrer zuständigen Aufsichtsbehörde und veröffentlichen Sie diese auch auf Ihrer Website.

Sind Datenschutzbeauftragte haftbar?

Grundsätzlich agieren Datenschutzbeauftragte im Rahmen ihrer Tätigkeit für Ihr Unternehmen und beraten diese hinsichtlich der Einhaltung der Datenschutzregelungen. Werden diese nicht eingehalten, können geschädigte Personen gegen Ihr Unternehmen vorgehen. Es gibt jedoch einige Ausnahmefälle, bei denen die geschädigten Personen - oder auch Sie als Unternehmen – sich gegen den Datenschutzbeauftragten selbst richten können.Datenschutzbeauftragten vorgehen.

Gegenüber dem Unternehmen haften Datenschutzbeauftragte vor allem dann für Schäden, wenn sie das Unternehmen falsch beraten oder ihren Aufklärungs- bzw. Informationspflichten nicht nachkommen und dadurch ein Bußgeld durch die Aufsichtsbehörde verursachen.

Unser Tipp: wenn Sie Ihre Mitarbeitenden diesem Risiko nicht aussetzen möchten, können Sie mit Ihrem Datenschutzbeauftragten eine sog. Haftungsfreistellung vereinbaren. Ein solcher Vertrag schließt die private Haftung aus und verringert sie damit auf die Haftung des Unternehmens. Andernfalls würden interne Datenschutzbeauftragte ein Risiko eingehen, was die Position in Ihrem Unternehmen sehr unattraktiv machen kann.

Wie haften interne Datenschutzbeauftragte?

Haftungsrisiko bei internen Datenschutzbeauftragten

Externe Datenschutzbeauftragte gehen kein Arbeitsverhältnis mit Ihrem Unternehmen ein, so dass keine Festanstellung erforderlich ist. Der Vorteil ist hier, dass Sie wenig Verantwortung im Hinblick auf den externen Datenschutzbeauftragten tragen.

Gegenüber internen Datenschutzbeauftragten besteht eine internen Datenschutzbeauftragte,. Interne Datenschutzbeauftragte übernehmen meist die Position des Datenschutzbeauftragten neben ihren eigentlichen Tätigkeiten. Die beschränkte Haftung schützt die Beschäftigten in Ihrem Unternehmen:

  • Interne Datenschutzbeauftragte haften bei einem Fehler aufgrund leichter Fahrlässigkeit nicht. In diesem Fall hat Ihr Unternehmen den Schaden in vollem Umfang zu tragen.
  • Bei normalen bzw. mittleren Fahrlässigkeit findet hingegen eine Abwägung statt, so dass Mitarbeitende und Unternehmen den Schaden zu gleichen Teilen tragen können.
  • Erst bei grober Fahrlässigkeit oder Vorsatz können interne Datenschutzbeauftragte vollumfänglich haften, wenn dies im Arbeitsvertrag vereinbart wurde. Eine Ausweitung der Haftung auf leichte oder mittlere Fahrlässigkeit ist dabei nicht vorgesehen.

Die Beweisführung werden. Kommt es zu einem internen Fehler, so trägt Ihr Unternehmen die Beweislast zur Feststellung des Verschuldens. Konkret: Sie sind dafür verantwortlich, in einem Gerichtsverfahren zu beweisen, dass die Handlung grob fahrlässig oder vorsätzlich begangen wurde, um eine Haftung Ihrerseits auszuschließen.

Sie haben offene Fragen zu diesem Thema? Unser juristisch ausgebildetes Personal berät Sie gern umfassend zu allen Fragen des Datenschutzrechts. Nehmen Sie jederzeit Kontakt mit uns auf.

Besonderer Kündigungsschutz

Bestimmte Positionen genießen in Unternehmen einen besonderen Kündigungsschutz – so auch die Position des internen Datenschutzbeauftragten. Das bedeutet, dass der Datenschutzbeauftragte grundsätzlich nicht wirksam gekündigt werden kann, es sei denn, es liegt ein wichtiger Grund für die Kündigung vor (§ 6 Abs. 4 BDSG).

Wenn Sie eine ordentliche Kündigung aussprechen, müssen Sie diese ausreichend begründen. Diese Vorgehensweise soll Datenschutzbeauftragte davor schützen, abberufen oder benachteiligt zu werden, wenn diese ihren Pflichten in einer Art und Weise nachkommen, die dem Unternehmen missfallen.

Dieser besondere Kündigungsschutz besteht auch dann für ein Jahr fort, wenn die Datenschutzbeauftragten ihr Amt niederlegen. Innerhalb eines Jahres nach Niederlegung bedarf eine ordentliche Kündigung weiterhin eines wichtigen Grundes.

Wie haften externe Datenschutzbeauftragte?

Anders ist es bei externen Datenschutzbeauftragten: Dadurch, dass diese kein Arbeitsverhältnis mit Ihrem Unternehmen eingehen, haften externe Datenschutzbeauftragte in voller Höhe gegenüber dem Geschädigten, auch bereits bei leichter Fahrlässigkeit. Geschädigter kann dabei ein Dritter (zum Beispiel Kund:innen) oder auch Sie selbst als Unternehmen sein.

Natürlich kann aber zwischen Ihnen und den externen Datenschutzbeauftragten eine Haftungsbegrenzung vereinbart werden. Auch eine Haftungsfreistellung des Unternehmens bieten viele externe Datenschutzbeauftragte in ihren Leistungen an. Welche Haftungsmaßstäbe genau gelten, lässt sich meistens aus den AGB oder Verträgen entnehmen, bzw. mit den Anbietenden verhandeln. In der Regel übernimmt die Berufshaftpflichtversicherung des Datenschutzbeauftragten die Haftung, wenn dieser Sie unzureichend oder falsch beraten hat.

Ein weiterer Vorteil externer Datenschutzbeauftragter ist das Vermeiden von Interessenkonflikten. Bei externen Dienstleistern können Sie als Unternehmen stets die Verträge kündigen und haben keinerlei Streitigkeiten oder arbeitsrechtliche Konflikte innerhalb Ihres Betriebes.

Wann haften Unternehmen für Datenschutz-Verstöße?

Unternehmen haften bei internen Datenschutzbeauftragte, für alle Schäden, die ihre Beschäftigten infolge leichter oder normaler Fahrlässigkeit verursachen, entweder ganz oder teilweise. Sie haften auch dann, wenn Sie nicht nachweisen können, dass der interne Datenschutzbeauftragte selbst haftbar ist (z.B. bei grober Fahrlässigkeit oder Vorsatz).

Bei externen Datenschutzbeauftragten kommt es maßgeblich auf die Regelungen zur Haftung in ihrem Dienstleistungsvertrag an. Hier kann von einer Haftungsbeschränkung bis zu einer kompletten Haftungsfreistellung alles vereinbart werden. Eine Haftungsfreistellung zugunsten von Unternehmen ist für diese am attraktivsten und wird daher auch in den meisten Fällen vereinbart.

Unternehmen müssen sicherstellen, dass alle Richtlinien zum Datenschutz, insbesondere der DSGVO, eingehalten werden. Werden keine Datenschutzbeauftragten benannt, obwohl dies für Ihr Unternehmen verpflichtend ist, so müssen Sie mit Sanktionen und hohen Bußgeldern rechnen.

Interessenkonflikte gilt es ebenfalls zu vermeiden. Bestellt sich etwa die Geschäftsführung selbst zum Datenschutzbeauftragten oder wird ein Steuerberater hier tätig, so ist diese Ernennung unwirksam.

Können sich Datenschutzbeauftragte strafbar machen?

Datenschutzbeauftragte übernehmen zwar die Beratung und Überwachung des Datenschutzes für Ihr Unternehmen, sind aber selbst nicht dazu verpflichtet, datenschutzrechtliche Vorschriften umzusetzen. Diese Aufgabe liegt bei den Unternehmen selbst.

Daher können sich Datenschutzbeauftragte als solche nicht ohne weiteres wegen Verstößen gegen Datenschutzregeln strafbar machen. Allerdings ist eine Strafbarkeit wegen Beihilfe zu Datenschutzverletzungen durchaus möglich, etwa dann, wenn ein Verstoß bewusst nicht verhindert oder gemeldet wird.

Wie können sich Datenschutzbeauftragte schützen?

Wie für alle Beschäftigten gilt auch für Datenschutzbeauftragte: wer sorgfältig und gewissenhaft arbeitet, schützt sich am besten gegen mögliche Schadensersatzforderungen. Zusätzlich sollte die eigene Arbeit immer dokumentiert werden, um im Zweifel Beweise für die geleistete Arbeit vorweisen zu können. Dies ist möglich mittels der Dokumentation von Aktivitäten in der Priverion Plattform.

Auch sollten regelmäßige Fort- und Weiterbildungen besucht werden, um die eigene Sach- und Fachkunde auf dem neusten Stand zu halten. Bieten Sie daher regelmäßig die Möglichkeit an, fachliche Veranstaltungen und Fortbildungen zu besuchen.

Werden Datenschutzbeauftragte auf Verstöße gegen das Datenschutzrecht aufmerksam, sollte im Zweifel die Aufsichtsbehörde eingeschaltet werden. Die Abwägung über diese Entscheidung sollte immer dokumentiert werden, um vermeintlichen Forderungen seitens des Unternehmens gegenzuhalten können. Betroffene sollten alle Schritte zunächst mit dem jeweiligen Unternehmen besprechen, bevor der Fall gemeldet wird.

Da die DSGVO umsatzbezogene Bußgelder in Millionenhöhe für Verstöße in Aussicht stellt, kann auch eine beschränkte Haftung bereits weitreichende finanzielle Folgen mit sich bringen. Hinzu kommen die immateriellen Schadenersatzforderungen der betroffenen Personen.

Um Ihre Beschäftigten zu schützen, besteht neben der Haftungsfreistellung zudem die Möglichkeit, eine Berufshaftpflichtversicherung abzuschließen. Diese Kosten können ggf. von den jeweiligen Unternehmen getragen werden.

Es gilt dabei immer zu beachten, dass auch bei einer Haftungsfreistellung oder Versicherung eine gewissenhafte und pflichtgemäße Arbeit essenziell ist. Denn weder eine Haftungsfreistellung noch eine Berufshaftpflichtversicherung gilt bei Vorsatz oder grober Fahrlässigkeit.

Fazit

Die Aufgaben und Pflichten von Datenschutzbeauftragten haben sich im Zuge der DSGVO erheblich erweitert. Dies führt nicht nur zu einem erhöhten Arbeitsaufwand, sondern auch zu einem größeren Haftungsrisiko.

Viele Unternehmen ernennen lieber internen Datenschutzbeauftragte, als diese Aufgabe externen Dienstleistenden zu überlassen. Verständlicherweise vertrauen viele dem eigenen Personal oft mehr als außenstehenden Dienstleistungsunternehmen. Schließlich sind interne Personen bereits in den Arbeitsablauf integriert und kennen die Strukturen und Prozesse im Unternehmen.

Allerdings kann dies auch dazu führen, dass sie bereits bestehende Probleme innerhalb des Unternehmens leichter übersehen. Auch potenzielle Interessenkonflikte dürfen nicht unterschätzt oder übersehen werden.

Bedenken Sie: beschäftigten Sie einen internen Datenschutzbeauftragten, setzen Sie Ihr Unternehmen, aber auch Ihr Personal einem rechtlichen Risiko aus. Es erfordert Zeit und verursacht Kosten, interne Beschäftigte entsprechend professionell zu schulen und weiterzubilden, damit sie Ihre neuen Tätigkeiten ordnungsgemäß und zuverlässig ausführen können.

Die Zeit, die in Einarbeitung und Weiterbildung investiert wird, kann nicht für eine andere Tätigkeit im Unternehmen aufgewendet werden. Die fehlende praktische Erfahrung in diesem Feld kann dazu führen, dass der gesamte Prozess ineffizienter gestaltet wird als bei der Beschäftigung eines externen Datenschutzbeauftragten.

Ein externer Experte für Datenschutz ist in der Regel besonders geschult, verfügt über eine neutrale Position und greift häufig auf eine langjährige Erfahrung im Datenschutzrecht zurück. Zudem gilt für ihn keine Haftungsbeschränkung, so dass Sie besser vor Schadensersatzforderungen geschützt sind.

Trotz möglicherweise geringfügig höherer Kosten für einen externen Datenschutzbeauftragten kann es aufgrund der erreichten Risikoreduzierung wirtschaftlich sinnvoll sein, auf externe Unterstützung zu setzen, da oftmals bei der Kostengegenüberstellung nicht alle Kosten des eigenen internen Mitarbeiters korrekt einbezogen werden (Weiterbildung, Lohnnebenkosten, Kündigungsschutz).

Bild: Dominic

Von Dr. Dominic Staiger

auf 18 05 2022

12 min lesen

Verwandte Beiträge

Alle anzeigen
DSG

Wann sollten Fragebögen für den Datenschutz verwendet werden?

Jetzt lesen