Ob ein interner oder externer Datenschutzbeauftragter für ein IT-Unternehmen die bessere Wahl ist, hängt nicht nur von den direkten Kosten ab. Wichtig sind auch die Auswirkungen auf das Unternehmensrisiko und mögliche Haftungsgesichtspunkte.
Haftung beim Datenschutz
Für IT-Unternehmen ist es besonders „leicht”, gegen Datenschutzbestimmungen zu verstoßen. Mit personenbezogenen Daten zu arbeiten ist für sie ja Alltag. Dafür genügt es schon, wenn sie für ein anderes Unternehmen eine Datenbank mit dessen Kunden-, Bestell- oder Personaldaten anlegen oder pflegen. Prompt ergibt sich eine ganze Reihe von Rechtspflichten (aus dem Bundesdatenschutzgesetzes BDSG , aber auch aus anderen Gesetzen wie dem TKG oder dem TMG) und damit eine Menge Stolperfallen.
Die Liste der Details, auf die das Unternehmen beim Datenschutz achten muss, reicht …
- von der formellen, schriftlich fixierten Beauftragung bei Datenverarbeitung im Auftrag des Kunden …
- über die Bestellung eines kompetenten internen oder externen Datenschutzbeauftragten (Pflicht spätestens ab 10 Personen, die mit personenbezogenen Daten zu tun haben einschließlich freier Mitarbeiter, Praktikanten etc.) sowie …
- umfangreichen Dokumentationspflichten (interner und externer Verfahrensnachweis) bis hin zu …
- Auskunfts- und Belehrungspflichten gegenüber Dritten.
Für die Einhaltung der Datenschutzvorschriften ist die Geschäftsführung verantwortlich. Diese Verantwortung lässt sich auch nicht einfach delegieren, bei einem Datenschutzverstoß muss sich der Geschäftsführer oder der Vorstand zumindest ein Organisationsverschulden anrechnen lassen.
Wann haftet ein externer Datenschutzbeauftragter?
Schon aus Haftungsgesichtspunkten ist es oft sinnvoll, einen externen Datenschutzbeauftragen zu engagieren. Dieser haftet grundsätzlich einmal dafür, dass er seine Funktion ordentlich erfüllt – egal ob es sich um einen Rechtsanwalt handelt oder ob man einen spezialisierten Dienstleister wie etwa den TÜV oder das IITR nutzt. Natürlich kommt es auf die Vertragsgestaltung an, ein kompletter Haftungsausschluss oder die pauschale Beschränkung auf eine bestimmte Summe ist für externe Datenschutzbeauftragte nach gängiger Rechtsansicht jedoch nicht möglich.
Deshalb brauchen externe Datenschutzbeauftragte auch unbedingt eine Versicherung ihrer beruflichen Vermögensschadenshaftpflicht. Von einem externen Datenschutzbeauftragten sollten Sie sich deshalb auf jeden Fall eine Versicherungsbestätigung vorlegen lassen, als Nachweis einer angemessenen Vermögensschadenhaftpflichtversicherung. Handelt es sich um einen Rechtsanwalt, dann ist er zwar ohnehin pflichtversichert, aber seine anwaltliche Berufshaftpflichtversicherung deckt nicht von vornherein mögliche Schäden aus der Tätigkeit als externer Datenschutzbeauftragter ab. Dafür ist eine Erweiterung der Police oder eine Zusatzversicherung notwendig. Das gilt natürlich auch für andere Berufe.
Allerdings kann ein Unternehmen, das einen externen Datenschutzbeauftragten bestellt, die Haftung nicht einfach an diesen „weitergeben”. Kommt es zu einem Datenschutzverstoß, ist dennoch die Unternehmensleitung die Adresse für den Geschädigten. Muss das Unternehmen aber z. B. Schadenersatz leisten, kann es seinerseits den externen Datenschutzbeauftragen in Anspruch nehmen, falls dieser durch seine Tätigkeit den Verstoß hätte verhindern können und müssen.
Im Gegensatz zu einem internen Mitarbeiter, der als Arbeitnehmer nur beschränkt haftet, muss ein externer Beauftragter nicht etwa grob fahrlässig oder vorsätzlich gehandelt haben, um zu haften – einfaches Verschulden reicht grundsätzlich. Deshalb ist der Versicherungsnachweis wichtig. Er stellt sicher, dass die die Ansprüche des Unternehmens im Falle eines Falles nicht ins Leere gehen.
Hat die Geschäftleitung jedoch einen unversicherten Datenschutzbeauftragten unter Vertrag genommen und gehen Regressansprüche finanziell ins Leere, muss der Geschäftsführer bzw. Inhaber unter Umständen sogar damit rechnen, dass ihm das als Auswahlverschulden zur Last gelegt und daraus seine eigene persönliche Haftung abgeleitet wird.
Unternehmensrisiken verringern
Eine Anmerkung aus der Sicht des Versicherungsmaklers und Versicherungsexperten: Die Haftung des externen Datenschutzbeauftragten reduziert das Risiko von Unternehmen und Geschäftsführung und damit den Versicherungsbedarf. Solche Haftungsaspekte sind für das Unternehmen selbst wichtig, sie fallen aber auch für mich als Versicherungsmakler ins Gewicht, wenn ich die Unternehmensrisiken begutachte.
Wie man sieht, ist betrifft die Arbeit eines Versicherungsmakler nicht nur den Versicherungsabschluss. Meine Kunden und Mandanten erhalten gleichzeitig auch wichtige Anhaltspunkte für ihre Geschäftsentscheidungen.
Noch zwei Anmerkungen:
- Ein externer Datenschutzbeauftragter ist selbst aus Sicht des Personalwesens oft die sinnvollere Alternative. Ein interner Datenschutzbeauftragter ist im Rahmen dieser Tätigkeit von Weisungen unabhängig, hat Anspruch auf fortlaufende Weiterbildungen und genießt einen besonderen Kündigungsschutz – das kann zu Konflikten führen.
- Immer wieder kommen Geschäftsführer auf die Idee, sich selbst zum Datenschutzbeauftragten zu bestellen oder dafür den Steuerberater zu nehmen, aber das funktioniert nicht. Der Beauftragte darf nach gängiger Rechtsmeinung nicht in einem grundsätzlichen Interessenkonflikt zu seiner sonstigen Tätigkeit für das Unternehmen stehen.