Datenschutzbeauftragter und Sachverständiger für Datenschutz

Haftungsfragen sind insbesondere für Unternehmer von herausragender Bedeutung: Durch die Datenschutzgrundverordnung hat sich der Haftungsumfang empfindlich vergrößert und kann sich so zu einer echten Existenzgefährdung entwickeln. Es gilt daher, mögliche Haftungsrisiken schon im Vorfeld auszuschließen: Dies natürlich in erster Linie dadurch, dass gesetzliche Anforderungen umgesetzt werden und entsprechende Tätigkeiten nachvollziehbar dokumentiert werden.

Die Datenschutzgrundverordnung (kurz: DSGVO) kennt verschiedene Rechtsfolgen für nachgewiesene Verstöße im Bereich des Datenschutzrechtes.

Dazu gehören:

  • Schadensersatzanspruch des Betroffenen
  • Geldbuße in Höhe bis maximal 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.

Die Haftung trifft denjenigen, der für den Verstoß gegen die gesetzlichen Vorschriften verantwortlich ist – also denjenigen, der über die Verarbeitung von personenbezogenen Daten entscheidet. Dieser Grundsatz ist in Art. 4 Nummer 7 der DSGVO normiert und findet auch dann Anwendung, wenn ein Unternehmen einen externen Datenschutzbeauftragten hinzuzieht.

Hier zeigt sich unmittelbar der große Vorteil eines externen Datenschutzbeauftragten: Die Haftung trifft dann nämlich nicht mehr den Unternehmer selbst, sondern den beauftragten Datenschutzexperten. Im Unterschied dazu trifft die Haftung für Fehler des internen Datenschutzbeauftragten immer das Unternehmen selbst! Dieser hat zwar je nach Ausgangssituation die Möglichkeit, die Haftung auf den innerbetrieblichen Datenschutzexperten abzuwälzen – das ist aber nur dann der Fall, wenn der Schaden durch den Mitarbeiter vorsätzlich oder zumindest grob fahrlässig verursacht wurde. Das heißt im Gegenzug: Bei leichter Fahrlässigkeit trägt der Unternehmer den Schaden komplett und kann sich nicht über den internen Datenschutzbeauftragten exkulpieren.

Haftungsumfang des externen Datenschutzbeauftragten

Trotz aller Expertise können auch dem externen Datenschutzbeauftragten Fehler unterlaufen. Diese können unterschiedlicher Natur sein und zum Teil erhebliche Ausmaße annehmen. Im Innenverhältnis haftet der externe Datenschutzexperte aber in der Regel für vertragliche Pflichtverletzungen. Möglich ist dann auch ein begründeter Schadenersatzanspruch seitens des Auftraggebers.

Gemäß Gesetz ist die Haftung durch den externen Datenschutzbeauftragten in folgenden Konstellationen gegeben:

  • Der Datenschutzbeauftragte gibt aktiv eine falsche, unvollständige oder verspätete Information zum Thema Datenschutz weiter. Der Datenschutzbeauftragte haftet in diesem Fall sowohl für sein eigenes Tun als auch für die dadurch verursachten Schäden.
  • Der Datenschutzbeauftragte unterlässt eine Information zum Thema Datenschutz – das kann zum Beispiel ein nicht erteilter Hinweis auf organisatorische Probleme in den Abläufen sein, aber auch das Nicht-Erkennen von vorhandenen Fehlern. Auch hier haftet der Datenschutzbeauftragte sowohl für sein eigenes Tun als auch für die dadurch verursachten Schäden.

Davon zu unterscheiden ist die Konstellation, dass der externe Datenschutzbeauftragte den Auftraggeber entsprechend seiner Fachkunde unterrichtet, dieser aber die Umsetzung unterlässt. In diesem Fall ist dem Datenschutzbeauftragten haftungsrechtlich kein Vorwurf zu machen, denn er hat entsprechend seines Aufgabenkatalogs gehandelt. Der externe Datenschutzbeauftragte kann letztlich einen Auftraggeber nur auf die Einhaltung von datenschutzrechtlichen Vorschriften hinweisen und diesen motivieren, wirksame Mechanismen in die eigenen Abläufe zu implementieren.

Übrigens gilt auch hier: Unwissenheit schützt nicht vor Strafe – der Hinweis, dass der Unternehmer selbst nicht über ausreichendes Wissen in Punkto Datenschutzrecht verfügt oder mangelhafte Kenntnisse eine DSGVO-orientierte Compliance verhindert haben, ist nach dem Willen des Gesetzgebers kein tauglicher Grund für einen Haftungsausschluss! Ein Mitverschulden auf Seiten der Geschäftsführung bzw. Unternehmensleitung wird hier üblicherweise immer anzunehmen sein.

Wichtig zu wissen

Im schlechtesten Fall ist es auch Aufgabe des externen Datenschutzexperten, die zuständigen Aufsichtsbehörden umfassend zu informieren, wenn eklatante Datenschutzverletzungen vorliegen.

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau