Datenpannen passieren ständig und überall. Dennoch ist es für Unternehmen ein grosser Schock, wenn es trotz aller Vorsicht zu einer Datenpanne im eigenen Betrieb kommt. Datenschutzbeauftragte haben die Aufgabe, dieses Risiko zu minimieren und damit weitreichende finanzielle und rechtliche Konsequenzen zu vermeiden. Doch wer haftet in einem solchen Fall? Worauf sollten Unternehmen und Compliance-Manager achten? Interner oder externer Datenschutzbeauftragter - welche Risiken bringen die Optionen mit sich? In diesem Artikel beantworten wir die wichtigsten Fragen rund ums Thema.
Das Wichtigste auf einen Blick
- Mit der DSGVO gelten höhere Anforderungen an den Datenschutz. Unternehmen sind dazu verpflichtet, datenschutzrechtliche Vorschriften umzusetzen und ggf. einen Datenschutzbeauftragten zu benennen.
- Bei einem Verstoss gegen die DSGVO können sowohl Unternehmen als auch Datenschutzbeauftragte haften. Hierbei sind umsatzbezogene Bussgelder in Millionenhöhe vorgesehen. Einige Länder wie die Schweiz kennen sogar nur persönliche Bussgelder.
- Betriebliche Datenschutzbeauftragte werden intern benannt und geniessen daher einen besonderer Kündigungsschutz. Sie profitieren von Haftungserleichterungen und müssen eine entsprechende Ausbildung absolvieren.
- Bei externen Datenschutzbeauftragten kann die Haftung individuell und zugunsten von Unternehmen vereinbart werden. Externes Personal unterliegt zudem keinem Interessenkonflikt und verfügt über tiefergehende praktische Erfahrung im Datenschutz.
Was machen Datenschutzbeauftragte?
Die Datenschutz-Grundverordnung (DSGVO), die im Jahr 2018 in Kraft trat, wurden die Datenschutzanforderungen für Unternehmen verschärft. Dabei geht es insbesondere um die Prinzipien der Rechtmässigkeit, der Zweckbindung und der Transparenz von Daten und ihrer Verarbeitung. Bei Verstössen gegen die DSGVO können Bussgelder fällig werden.
Datenschutzbeauftragte von Unternehmen (DSB) sind dafür zuständig, die Datenschutzanforderungen der DSGVO zu kontrollieren und zu überwachen. Es geht dabei um Selbstkontrolle des Unternehmens, also darum, zu prüfen, ob die Bestimmungen der DSGVO eingehalten werden. Dadurch sollen Schadensersatzansprüche gegen das Unternehmen vermieden werden.
Neben der Überwachung und Kontrolle des Unternehmens agieren Datenschutzbeauftragte auch beratend und informierend. Sie arbeiten eng mit der Geschäftsführung zusammen, um einen möglichst hohen Datenschutz sicherzustellen. Auch mit der zuständigen Aufsichtsbehörde findet eine enge Zusammenarbeit statt.
Die Einführung der DSGVO vergrösserte den Aufgaben- und Tätigkeitsbereich der Datenschutzbeauftragten wesentlich. Das führt auch zu einer erweiterten Haftung, sodass Mitarbeitende, die dieses Amt übernehmen, weitergehende Verpflichtungen haben.
Wer muss Datenschutzbeauftragte einstellen?
In einigen Fällen können Unternehmen dazu verpflichtet sein, interne Datenschutzbeauftragte zu ernennen. In Deutschland ist dies immer dann der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind.
Darüber hinaus ist in folgenden Fällen ein interner Datenschutzbeauftragter erforderlich (Art. 37 DSGVO):
- Die Datenverarbeitung erfolgt durch eine Behörde oder andere öffentliche Stelle.
- Die Kerntätigkeit des Unternehmens besteht in der Verarbeitung besonderer personenbezogener Daten, die eine systematische Überwachung erforderlich macht (insbesondere bei automatisierter Datenverarbeitung).
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO).
- Das Unternehmen verarbeitet personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen (Art. 10 DSGVO).
Ob ein Datenschutzbeauftragter erforderlich ist, hängt also von der Kerntätigkeit und dem Umfang der Verarbeitung ab. Darüber hinaus werden die Daten in verschiedene Kategorien eingeteilt (Art. 9 DSGVO).
Was kostet ein Datenschutzbeauftragter?
Zurecht wird immer öfter nach den Kosten eines Datenschutzbeauftragten gefragt. Insbesondere kleinere und mittelständische Unternehmen müssen meist mit einem überschaubaren Budget auskommen, um die rechtlichen Anforderungen zu erfüllen.
Bei betrieblichen Datenschutzbeauftragten sind die Kosten abhängig von ihrem bisherigen Gehalt. Eine Lohnerhöhung kann sinnvoll sein, wenn Mitarbeitende zusätzliche Aufgaben übernehmen. In diesem Fall müssen Sie möglicherweise jedoch den Arbeitsvertrag entsprechend anpassen oder erweitern. Darüber hinaus entstehen bei der internen Lösung unter Umständen zusätzliche Kosten für Fort- und Weiterbildungen und zeitlichen Investments in neue Aufgaben fehlen dann an anderer Stelle.
Bei externen Datenschutzbeauftragten hängt das Honorar von den individuellen Kenntnissen, besonderen Qualifikationen, dem zeitlichen Aufwand und den Anforderungen des Unternehmens an die Dienstleistung ab. Zudem können die Kosten je nach Nachfrage auf dem Markt variieren.
Die externe Lösung ermöglicht eine bessere Kostenkalkulation, da für externe Datenschutzbeauftragte lediglich die monatlichen Kosten anfallen. Zusätzliche, wenig transparente Kosten, die zum Beispiel durch Weiterbildungen oder betriebliche Umstrukturierungen entstehen, fallen in diesem Fall weg.
Sie benötigen datenschutzrechtliche Unterstützung? Unser Team verfügt über tiefgreifende Kompetenzen aus den Bereichen Datenschutzrecht, IT und Sicherheit und unterstützt Sie gerne bei der Umsetzung datenschutzrechtlicher Vorschriften. Kontaktieren Sie uns jederzeit für eine Erstberatung.
Wer kann Datenschutzbeauftragter werden?
Grundsätzlich kann jede Person eine Tätigkeit als Datenschutzbeauftragter übernehmen, wenn sie über die nötige berufliche Qualifikation, das Fachwissen auf dem Gebiet des Datenschutzrechts und die Fähigkeit zur Erfüllung der Aufgaben eines Datenschutzbeauftragten verfügt (§ 37 Abs. 5 DSGVO).
Bei externen Datenschutzbeauftragten ist dies zumeist gegeben, da diese über praktische Erfahrung verfügen. Bei internen Datenschutzbeauftragten wird es hingegen schwieriger. Sie müssen ausreichend in das Datenschutzrecht und Datenschutzpraxis eingearbeitet werden, so dass sie über das nötige Fachwissen verfügen. Auch muss gewährleistet werden, dass sie keinem Interessenkonflikt unterliegen und alle Befugnisse haben, die sie zur Erledigung ihrer Aufgaben benötigen (z.B. Zugang zu notwendigen Daten und Plattformen).
Unser Tipp: berücksichtigen Sie bei der Benennung eines internen Datenschutzbeauftragten die aufgeführten Kriterien, aber auch die Vorkenntnisse Ihrer Beschäftigten.
Haben Sie einen internen oder externen Datenschutzbeauftragten ernannt, übermitteln sie dies Ihrer zuständigen Aufsichtsbehörde und veröffentlichen Sie es auf Ihrer Website.
Sind Datenschutzbeauftragte haftbar?
Grundsätzlich handeln Datenschutzbeauftragte im Rahmen ihrer Tätigkeit für Ihr Unternehmen und beraten dieses hinsichtlich der Einhaltung der Datenschutzbestimmungen. Werden diese nicht eingehalten, können geschädigte Personen gegen Ihr Unternehmen vorgehen. Es gibt jedoch einige Ausnahmefälle, bei denen die geschädigten Personen - oder auch Sie als Unternehmen – sich gegen den Datenschutzbeauftragten selbst richten können.
Gegenüber dem Unternehmen haften Datenschutzbeauftragte vor allem dann für Schäden, wenn sie das Unternehmen falsch beraten oder ihren Aufklärungs- bzw. Informationspflichten nicht nachkommen und dadurch ein Bussgeld von die Aufsichtsbehörde verhängt wird.
Unser Tipp: wenn Sie Ihre Mitarbeitenden diesem Risiko nicht aussetzen möchten, können Sie mit Ihrem Datenschutzbeauftragten eine sog. Haftungsfreistellung vereinbaren. Ein solcher Vertrag schliesst die private Haftung aus und verringert sie damit auf die Haftung des Unternehmens. Andernfalls würden interne Datenschutzbeauftragte ein Risiko eingehen müssen, was die Position in Ihrem Unternehmen sehr unattraktiv machen kann.
Wie haften interne Datenschutzbeauftragte?
Haftungsrisiko bei internen Datenschutzbeauftragten
Externe Datenschutzbeauftragte gehen kein Arbeitsverhältnis mit Ihrem Unternehmen ein, sodass keine Festanstellung erforderlich ist. Der Vorteil ist hier, dass Sie wenig Verantwortung im Hinblick auf den externen Datenschutzbeauftragten tragen.
Es besteht höheres Verantwortungsniveau bei internen Datenschutzbeauftragten. Interne Datenschutzbeauftragte übernehmen meist die Position des Datenschutzbeauftragten neben ihren eigentlichen Tätigkeiten. Die beschränkte Haftung schützt die Beschäftigten in Ihrem Unternehmen:
- Interne Datenschutzbeauftragte haften bei einem Fehler aufgrund leichter Fahrlässigkeit nicht. In diesem Fall hat Ihr Unternehmen den Schaden in vollem Umfang zu tragen.
- Bei normalen bzw. mittleren Fahrlässigkeit findet hingegen eine Abwägung statt, so dass Mitarbeitende und Unternehmen den Schaden zu gleichen Teilen tragen können.
- Erst bei grober Fahrlässigkeit oder Vorsatz können interne Datenschutzbeauftragte vollumfänglich haften, wenn dies im Arbeitsvertrag vereinbart wurde. Eine Ausweitung der Haftung auf leichte oder mittlere Fahrlässigkeit ist dabei nicht vorgesehen.
Die Beweislast kann ebenfalls problematisch sein. Kommt es zu einem internen Fehler, so trägt Ihr Unternehmen die Beweislast zur Feststellung des Verschuldens. Konkret: Sie sind dafür verantwortlich, in einem Gerichtsverfahren zu beweisen, dass die Handlung grob fahrlässig oder vorsätzlich begangen wurde, um eine Haftung Ihrerseits auszuschliessen.
Sie haben offene Fragen zu diesem Thema? Unser juristisch ausgebildetes Personal berät Sie gern umfassend zu allen Fragen des Datenschutzrechts. Nehmen Sie jederzeit Kontakt mit uns auf.
Besonderer Kündigungsschutz
Bestimmte Positionen geniessen in Unternehmen einen besonderen Kündigungsschutz so auch die Position des internen Datenschutzbeauftragten. Das bedeutet, dass der Datenschutzbeauftragte grundsätzlich nicht wirksam gekündigt werden kann, es sei denn, es liegt ein wichtiger Grund für die Kündigung vor (§ 6 Abs. 4 BDSG).
Wenn Sie eine ordentliche Kündigung aussprechen, müssen Sie diese ausreichend begründen. Diese Vorgehensweise soll Datenschutzbeauftragte davor schützen, abberufen oder benachteiligt zu werden, wenn diese ihren Pflichten in einer Art und Weise nachkommen, die dem Unternehmen missfallen.
Dieser besondere Kündigungsschutz besteht für ein Jahr fort, auch wenn die Datenschutzbeauftragten ihr Amt niederlegen. Innerhalb eines Jahres nach Niederlegung werden weiterhin wichtige Gründe für eine ordentliche Kündigung vorausgesetzt.
Wie haften externe Datenschutzbeauftragte?
Anders ist es bei externen Datenschutzbeauftragten: Dadurch, dass diese kein Arbeitsverhältnis mit Ihrem Unternehmen eingehen, haften externe Datenschutzbeauftragte in voller Höhe gegenüber dem Geschädigten, auch bereits bei leichter Fahrlässigkeit. Geschädigter kann dabei ein Dritter (zum Beispiel Kund:innen) oder auch Sie selbst als Unternehmen sein.
Natürlich kann aber zwischen Ihnen und den externen Datenschutzbeauftragten eine Haftungsbegrenzung vereinbart werden. Auch eine Haftungsfreistellung des Unternehmens bieten viele externe Datenschutzbeauftragte in ihren Leistungen an. Welche Haftungsmassstäbe genau gelten, lässt sich meistens aus den AGB oder Verträgen entnehmen, bzw. mit den Anbietenden verhandeln. In der Regel übernimmt die Berufshaftpflichtversicherung des Datenschutzbeauftragten die Haftung, wenn dieser Sie unzureichend oder falsch beraten hat.
Ein weiterer Vorteil externer Datenschutzbeauftragter ist die Vermeidung von Interessenkonflikten. Bei externen Dienstleistern können Sie als Unternehmen stets die Verträge kündigen und haben keinerlei Streitigkeiten oder arbeitsrechtliche Konflikte innerhalb Ihres Betriebes.
Wann haften Unternehmen für Datenschutz-Verstösse?
Unternehmen mit internen Datenschutzbeauftragten haften für alle Schäden, die ihre Beschäftigten infolge leichter oder normaler Fahrlässigkeit verursachen, entweder ganz oder teilweise. Sie haften auch dann, wenn Sie nicht nachweisen können, dass der interne Datenschutzbeauftragte selbst haftbar ist (z.B. bei grober Fahrlässigkeit oder Vorsatz).
Bei externen Datenschutzbeauftragten kommt es massgeblich auf die Regelungen zur Haftung in ihrem Dienstleistungsvertrag an. Hier kann von einer Haftungsbeschränkung bis zu einer kompletten Haftungsfreistellung alles vereinbart werden. Eine Haftungsfreistellung zugunsten von Unternehmen ist für diese am attraktivsten und wird daher auch in den meisten Fällen vereinbart.
Unternehmen müssen sicherstellen, dass alle Richtlinien zum Datenschutz, insbesondere der DSGVO, eingehalten werden. Werden keine Datenschutzbeauftragten benannt, obwohl dies für Ihr Unternehmen verpflichtend ist, so müssen Sie mit Sanktionen und hohen Bussgeldern rechnen.
Interessenkonflikte gilt es ebenfalls zu vermeiden. Bestellt sich etwa die Geschäftsführung selbst zum Datenschutzbeauftragten oder wird ein Steuerberater hier tätig, so ist diese Ernennung unwirksam.
Können sich Datenschutzbeauftragte strafbar machen?
Datenschutzbeauftragte übernehmen zwar die Beratung und Überwachung des Datenschutzes für Ihr Unternehmen, sind aber selbst nicht dazu verpflichtet, datenschutzrechtliche Vorschriften umzusetzen. Diese Aufgabe liegt bei den Unternehmen selbst.
Daher können sich Datenschutzbeauftragte als solche nicht ohne weiteres wegen Verstössen gegen Datenschutzregeln strafbar machen. Allerdings ist eine Strafbarkeit wegen Beihilfe zu Datenschutzverletzungen durchaus möglich, etwa dann, wenn ein Verstoss bewusst nicht verhindert oder gemeldet wird.
Wie können sich Datenschutzbeauftragte schützen?
Wie für alle Beschäftigten gilt auch für Datenschutzbeauftragte: wer sorgfältig und gewissenhaft arbeitet, schützt sich am besten gegen mögliche Schadensersatzforderungen. Zusätzlich sollte die eigene Arbeit immer dokumentiert werden, um im Zweifel Beweise für die geleistete Arbeit vorweisen zu können. Dies ist möglich mittels der Dokumentation von Aktivitäten in der Priverion Plattform.
Auch sollten regelmässige Fort- und Weiterbildungen besucht werden, um die eigene Sach- und Fachkunde auf dem neusten Stand zu halten. Bieten Sie daher regelmässig die Möglichkeit an, fachliche Veranstaltungen und Fortbildungen zu besuchen.
Werden Datenschutzbeauftragte auf Verstösse gegen das Datenschutzrecht aufmerksam, sollte im Zweifel die Aufsichtsbehörde eingeschaltet werden. Die Abwägung über diese Entscheidung sollte immer dokumentiert werden, um Behauptungen seitens des Unternehmens widersprechen zu können. Betroffene sollten alle Schritte zunächst mit dem jeweiligen Unternehmen besprechen, bevor der Fall gemeldet wird.
Da die DSGVO umsatzbezogene Bussgelder in Millionenhöhe für Verstösse in Aussicht stellt, kann auch eine beschränkte Haftung bereits weitreichende finanzielle Folgen mit sich bringen. Hinzu kommen die immateriellen Schadenersatzforderungen der betroffenen Personen.
Um Ihre Beschäftigten zu schützen, besteht neben der Haftungsfreistellung zudem die Möglichkeit, eine Berufshaftpflichtversicherung abzuschliessen. Diese Kosten können ggf. von den jeweiligen Unternehmen getragen werden.
Es gilt dabei immer zu beachten, dass auch bei einer Haftungsfreistellung oder Versicherung eine gewissenhafte und pflichtgemässe Arbeit essenziell ist. Denn weder eine Haftungsfreistellung noch eine Berufshaftpflichtversicherung gilt bei Vorsatz oder grober Fahrlässigkeit.
Fazit
Die Aufgaben und Pflichten von Datenschutzbeauftragten haben sich im Zuge der DSGVO erheblich erweitert. Dies führt nicht nur zu einem erhöhten Arbeitsaufwand, sondern auch zu einem grösseren Haftungsrisiko.
Viele Unternehmen ernennen lieber internen Datenschutzbeauftragten als diese Aufgabe externen Dienstleistenden zu überlassen. Verständlicherweise vertrauen viele dem eigenen Personal oft mehr als aussenstehenden Dienstleistungsunternehmen. Schliesslich sind interne Personen bereits in den Arbeitsablauf integriert und kennen die Strukturen und Prozesse im Unternehmen.
Allerdings kann dies auch dazu führen, dass sie bereits bestehende Probleme innerhalb des Unternehmens leichter übersehen. Auch potenzielle Interessenkonflikte dürfen nicht unterschätzt oder übersehen werden.
Bedenken Sie: beschäftigten Sie einen internen Datenschutzbeauftragten, setzen Sie Ihr Unternehmen, aber auch Ihr Personal einem rechtlichen Risiko aus. Es erfordert Zeit und verursacht Kosten, interne Beschäftigte entsprechend professionell zu schulen und weiterzubilden, damit sie Ihre neuen Tätigkeiten ordnungsgemäss und zuverlässig ausführen können.
Die Zeit, die in Einarbeitung und Weiterbildung investiert wird, kann nicht für eine andere Tätigkeit im Unternehmen aufgewendet werden. Die fehlende praktische Erfahrung in diesem Feld kann dazu führen, dass der gesamte Prozess ineffizienter gestaltet wird als bei der Beschäftigung eines externen Datenschutzbeauftragten.
Ein externer Experte für Datenschutz ist in der Regel besonders geschult, verfügt über eine neutrale Position und greift häufig auf eine langjährige Erfahrung im Datenschutzrecht zurück. Zudem gilt für ihn keine Haftungsbeschränkung, so dass Sie besser vor Schadensersatzforderungen geschützt sind.
Trotz möglicherweise geringfügig höherer Kosten für einen externen Datenschutzbeauftragten kann es aufgrund der erreichten Risikoreduzierung wirtschaftlich sinnvoll sein, auf externe Unterstützung zu setzen, da oftmals bei der Kostengegenüberstellung nicht alle Kosten des eigenen internen Mitarbeiters korrekt einbezogen werden (Weiterbildung, Lohnnebenkosten, Kündigungsschutz).