Wer haftet eigentlich bei Datenschutzpannen?
Wo gehobelt wird, da fallen Späne. Das gilt auch beim Datenschutz. Denn überall dort, wo Menschen arbeiten, passieren früher oder später auch mal Fehler, welche zur Haftung führen können. Also auch beim Datenschutzbeauftragten, denn dieser ist nachweislich auch nur ein Mensch.
Die Datenschutzskandale der letzten Zeit belegen allerdings, dass bei Datenschutzverstößen schnell mal Bußgelder in beträchtlicher Höhe fällig werden, für die sich die verantwortliche Stelle verantworten muss. Wurde ein Unternehmen (verantwortliche Stelle) falsch beraten, so stellt sich die Geschäftsleitung fast im gleichen Atemzug die Frage, wie man einen einmal entstandenen Schaden kompensieren kann.
Hier muss nun eine generelle Unterscheidung getroffen werden, da das BDSG (§4f Abs 2 Satz 3) zwei Möglichkeiten einer Bestellung des betrieblichen Datenschutzbeauftragten vorsieht: Entweder durch einen Unternehmensmitarbeiter (intern), oder durch einen unternehmensfremden Berater (extern).
Handelt es sich beim DSB um einen Unternehmensmitarbeiter, gelten arbeitsrechtliche Besonderheiten. Normalerweise wird bei einer vertraglichen Pflichtverletzung ein Verschulden unterstellt (§280 BGB), der „Verletzer“ muss sich selbst entlasten. In einem Arbeitsverhältnis ist die Beweislast umgekehrt, also muss der Arbeitgeber die Pflichtverletzung beweisen (§619a BGB).
Nach Rechtsprechung des Bundesarbeitsgerichts (BAG Urteil vom 18.01.2007, Az.: 8 AZR 250/06 ; BAG, Urteil vom 05.02.2004, Az.: 8 AZR 91/03) haftet der Arbeitnehmer nur beschränkt.
Deshalb gilt:
-
Vorsatz oder grobe Fahrlässigkeit
-
Arbeitnehmer haftet in der Regel allein (aber Einzelfallbetrachtung)
-
Normale Fahrlässigkeit
-
Verteilung zwischen Arbeitgeber und Arbeitnehmer
-
Leichte Fahrlässigkeit
-
Keine Arbeitnehmer-Haftung
Der externe Datenschutzbeauftragte haftet dagegen nach den üblichen zivilrechtlichen Vorschriften gem. §§280 (Schadensersatz wegen Pflichtverletzung), 611 (Vertragstypische Pflichten beim Dienstvertrag) und §823 (Schadensersatzpflicht) BGB. Das Risiko für den externen DSB liegt also darin, dass das Verschulden im Falle einer Pflichtverletzung gesetzlich vermutet wird. Der Datenschutzbeauftragte muss somit im Streitfall beweisen, dass er die Pflichtverletzung nicht zu vertreten hat.
Soweit Sie als externer Datenschutzbeauftragter tätig werden, empfiehlt es sich eine entsprechende Versicherung abzuschließen. Eine Vermögensschadenhaftpflichtversicherung oder eine spezielle DSB-Berufshaftpflichtversicherung mit ausreichender Deckungssumme minimiert die Risiken bei einer Pflichtverletzung einerseits und könnte andrerseits das entscheidende Vertriebsargument für Ihre Bestellung zum externen DSB sein.
|