Was Unternehmen wissen müssen
Wann der Datenschutzbeauftragte haftet
Die Haftung des externen Datenschutzbeauftragten
Dagegen haftet der externe Datenschutzbeauftragte im Rahmen des vertraglich Vereinbarten grundsätzlich für alle von ihm verursachten Schäden. Dies gilt auch bei nur leicht fahrlässigen Handlungen, da auf den externen Datenschutzbeauftragten die beschränkte Arbeitnehmerhaftung keine Anwendung findet. Er haftet damit für jegliches Verschulden im Zusammenhang mit der Wahrnehmung seiner Aufgaben.
Beispiele: Wann haftet der Datenschutzbeauftragte?
Der Datenschutzbeauftragte hat gemäß § 4g Abs. 1 S. 1 BDSG auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Diese Aufgabe hat er gewissenhaft zu erfüllen. Im Einzelnen wird von ihm hierzu gemäß dem Bundesdatenschutzgesetz neben den Grundkompetenzen im rechtlichen und technischen Bereich sowohl Unparteilichkeit, wie auch Verschwiegenheit, Uneigennützigkeit, Verantwortungsbewusstsein und Unabhängigkeit erwartet. Darüber hinaus muss sich der Datenschutzbeauftragte laufend im Datenschutzrecht fortbilden, um seine gesetzlich erforderliche Fachkunde aufrechtzuerhalten.
Ein Verstoß gegen diese Grundpflichten kann zu einem Haftungsfall führen. Es ergeben sich beispielsweise die folgenden möglichen Haftungstatbestände:
-
Mangelhafte Überwachung der betrieblichen Datenverarbeitung hinsichtlich deren Ordnungsmäßigkeit und Verlässlichkeit (§ 4g Abs. 1 S. 4 BDSG); insoweit ist eine protokollierte Kontrolle nötig
-
Fehlerhafte Realisierung einer transparenten Datenverarbeitung
-
Mangelhafte Wahrung des Datengeheimnisses
Durchführungsfehler
Fehler bei der Durchführung der gemäß § 4d Abs. 6 BDSG nötigen Vorabkontrollen bei grundsätzlich meldepflichtigen automatisierten Verarbeitungsverfahren
-
Mangelhafte Überwachung und Zur-Verfügung-Stellung des Verfahrensverzeichnisses
-
Fehlerhafter Hinweis gegenüber der Unternehmensleitung auf datenschutzrechtliche Erfordernisse beim Einsatz von Auftragnehmern für die Datenverarbeitung (schriftliche Verträge, vorgeschriebener Vertragsinhalt, Kontrolle der Auftragsdatenverarbeiter, Dokumentation der Kontrollen etc.)
-
Vorlage von mangelhaften Tätigkeitsberichten gegenüber der Geschäftsleitung (zur Dokumentation und Haftungsabsicherung ist die Erstellung von Tätigkeitsberichten empfehlenswert)
-
Fehlerhafte Hinweise gegenüber der Geschäftsleitung über datenschutzrechtlich erforderliche Maßnahmen
-
Ungenügende Schulung und Beratung der Mitarbeiter in Angelegenheiten des Datenschutzes und des Datengeheimnisses (§ 4g Abs. 1 S. 4 BDSG)
-
Ergreifung der falschen Maßnahmen im Falle eines Datenunfalls im Hinblick auf die Rechte der Betroffenen sowie den Mitteilungspflichten gegenüber den Aufsichtsbehörden (insbesondere hinsichtlich § 42a BDSG)