Als Datenschutzbeauftragter absichern

Werde demnächst in meinem Unternehmen "nebenbei" zum Datenschutzbeauftragten ernannt, was ja eine Aufgabe ist, die nicht ganz frei von Verantwortung ist.

Aber ich bin stolz drauf.

Trotzdem stelle ich mir die Frage, ob ich mich als Datenschutzbeauftragter irgendwie noch in Form einer speziellen Versicherung absichern sollte.

Oder ist das das Problem meines Arbeitgebers?

Ich bin Angestellter.

Danke!
 
An deiner Stelle würde ich eine solche Ernennung ablehnen, wenn dein Arbeitgeber dir nicht _vorher_ eine entsprechende Schulung finanziert. Denn die Art deiner Haftung hängt vom jeweiligen Einzelfall ab. Als angestellter DSB hast du zumindest den Vorteil, dass dein Arbeitgeber in der Beweispflicht ist und dir eine Unterlassung deiner Pflichten, d.h. Fahrlässigkeit, beweisen muss, wenn es mal zu einem Datenschutzproblem kommt. Nun ist aber das Problem, dass du ohne ausreichende Kenntnisse im Bereich Datenschutz recht schnell mal in die Lage kommen kannst, dass dir zumindest grobe Fahrlässigkeit unterstellt werden kann. Kann man dir diese auch noch beweisen, bist du allein haftbar und zwar mit deinem gesamten Privatvermögen. In dem Fall hilft nur eine sogenannte Berufshaftpflicht-Versicherung. Ist die Fahrlässigkeit hingegen nur normal oder leicht, kann es sehr vom Gericht abhängen, vor dem der Fall verhandelt wird. Entweder wird dann auf eine Quoten-Regelung entschieden (d.h. ein Teil haftet dein Arbeitgeber, ein Teil du) oder der DSB wird komplett aus der Haftung genommen (üblich bei leichter Fahrlässigkeit).

Es ist also nicht verkehrt eine Berufshaftpflicht und eine Rechtsschutz-Versicherung abzuschliessen, wenn man als DSB tätig ist. Es ist aber auf jeden Fall enorm wichtig, dass du eine entsprechende Schulung besuchst. Dort wird man dir auch im Detail die rechtlichen Grundlagen deiner Haftbarkeit erklären.
 
Es gibt ein Gesetz, welches klar definiert, wer Datenschutzbeauftragter werden kann und wer nicht:

BDSG - Einzelnorm

Zitat:
(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.

Das sollte Deinem Arbeitgeber bewusst sein.

Daher ist es auch gut möglich, dass eher nur Dein Arbeitgeber in Datenschutzfällen in die Haftung genommen wird, da dieser - solltest Du keine Fachkunde besitzen bzw. keine Schulung erhalten - fahrlässig bei der Ernennung zum Datenschutzbeauftragten gehandelt hat.

Auf der anderen Seite, wie dem weiteren Satz zu entnehmen ist, muss klar definiert sein um welche Verantwortung und welchen Schutzbedarf es sich handelt.

Das gerade IT-Mitarbeiter (Administratoren etc.) gewisses Grundwissen im Schutz von Daten jeglicher Form haben muss, sollte klar sein. Ob dies jedoch als Fachkunde für die Stelle als Datenschutzbeauftragter (je nach Umfang) ausreicht, sei dahin gestellt.
 
Daher ist es auch gut möglich, dass eher nur Dein Arbeitgeber in Datenschutzfällen in die Haftung genommen wird, da dieser - solltest Du keine Fachkunde besitzen bzw. keine Schulung erhalten - fahrlässig bei der Ernennung zum Datenschutzbeauftragten gehandelt hat.

Das halte ich für eher unwahrscheinlich. Auch der Ernannte trägt ja eine Mitschuld, da er die Ernennung hätte ablehnen können. Aber auch hier gilt: Es kommt dann ganz auf das Gericht an, das die Entscheidung trifft. Drauf verlassen würde ich mich jedenfalls nicht.
 
In jedem Fall sollte man aber wie Bitmuncher schon gesagt hat eine entsprechende Schulung durchlaufen - ansonsten ist das nichts anderes als Fahrlässigkeit (für welche du durch Annahme des Postens haftbar gemacht werden könntest)
Lass dir außerdem einen gewissen Arbeitszeit-anteil für deine Datenschutz Tätigkeit zuschreiben (X Stunden pro Woche) weil du zum einen regelmäßige Checks machen solltest - und zum anderen natürlich auch auf dem Laufenden bleiben solltest und dich weiterbilden musst. (Kaum ein Gebiet entwickelt sich potentiell so stark auf day-to-day basis wie IT-Security).

Das ist nicht wirklich was dass man ohne weiteres "nebenbei" machen kann/sollte.
 
Das halte ich für eher unwahrscheinlich. Auch der Ernannte trägt ja eine Mitschuld, da er die Ernennung hätte ablehnen können.

Also was Haftungsfragen angeht so ist immer nur das Unternehmen nach außen haftbar. Das Unternehmen könnte dann später Schadensersatz vom DSB verlangen.

Ist der DSB ein Angestellter, so unterliegt das den Bedingungen des Angestelltenverhältnis und dort haftet man in der Praxis nur, bei grober Fahrlässigkeit oder Vorsatz und im Gegensatz zu externen DSB (im Dienstverhältnis) muss das dem Angestellten bewiesen werden. Hat der Angestellte DSB überhaupt nicht die entsprechende Qualifikation und wird trotzdem bestellt, wird das Unternehmen never-ever einen Schadensersatzanspruch durchbekommen, denn das Unternehmen hat bereits an der Stelle der Benennung seinerseits fahrlässig gehandelt.

Ich will die Sache nicht kleinreden aber durchaus relativieren. In einem "normalen" Unternehmen als DSB "bestellt" zu sein, ist idR. für den AN eine "harmlose" Sache, sofern man nachweislich(!) bemüht ist und die Geschäftsleistung mit Hinweisen oder Vorschlägen versorgt - was ja seine Hauptaufgabe ist. Wenn die GF die Hinweise ignoriert oder kleinredet (das ist in kleineren Unternehmen nicht selten der Fall), dann ist das in Haftungsfragen nicht im mindesten ein Problem eines DSB.
 
Danke an alle für die wirklich hilfreichen Antworten!

Ich glaube, dass meinem Arbeitgeber die Tragweite dieser Ernennung sowohl für ihn als auch für mich nicht ganz bewusst ist.

Ich werde daher auf jeden Fall nochmals Rücksprache mit ihm halten, und dann entscheiden, ob ich die Ernennung annehme. Letztlich würde ich in jedem Fall erwarten, dass mir die Kosten für eine entsprechende Versicherung erstattet werden.

Entsprechende Spezialversicherungen scheint es ja zu geben: D&O-Versicherung - Versicherungen für Manager und Beauftragte

Nur die Kosten dafür möchte ich nicht alleine tragen...
 
Zuletzt bearbeitet:
Letztlich würde ich in jedem Fall erwarten, dass mir die Kosten für eine entsprechende Versicherung erstattet werden.

Als Angestellter brauchst du keine Versicherung!

Lass dir eine richtige Schulung verpassen, das ist auch immer eine gerne gesehene Zusatzqualifikation.
 
Und bei der Schulung wird er lernen, dass eine Versicherung doch angebracht ist, weil es schon diverse Urteile gab, wo auch dem DSB im Angestelltenverhältnis eine Mitschuld zugesprochen wurde.

Also ein solches Urteil, welches eine Mithaftung bezüglich des BDSG betrifft, möchte ich sehen. §7 des BSDS verweist sogar bei der Haftung direkt auf die "verantwortliche Stelle".

Ein Angestellter-DSB hat zb. keinen Vertrag mit dem Betroffenen - eine Klage ist überhaupt nicht möglich.

Es gibt theoretische Fälle, wo gegen einen DSB Urteile gesprochen werden können, allerdings bezieht sich das nie auf das BDSG selbst, sondern eher auf Fälle, wo ein Arbeitnehmer ohnehin haftbar gemacht werden kann. Und bei einer Absichtstat, zb. das absichtliche veröffentlichen Personenbezogener Daten. Da hilft dir auch keine Versicherung und da ist es egal ob du DSB bist oder Hausmeister ;)

Aber ich lasse mich gerne durch besagte Urteile erleuchten :)
 
Der Datenschutzbeauftragte hat eine Hinwirkungspflicht (§ 4g BDSG). Kommt er dieser Pflicht nicht nach, ist er für entstandene Schäden haftbar. So lernt man es in den Schulungen für Datenschutzbeauftragte.
 
Der Datenschutzbeauftragte hat eine Hinwirkungspflicht (§ 4g BDSG). Kommt er dieser Pflicht nicht nach, ist er für entstandene Schäden haftbar. So lernt man es in den Schulungen für Datenschutzbeauftragte.

Eine solche Pflichtverletzung müsste bewiesen werden und hängt ganz erheblich von der Intention ab. Ist es Absicht - gibt es Deliktsverfahren. Das gilt aber für alle Tätigkeiten im Rahmen eines Angestelltenverhältnis. Das ist primär niemals eine Sache des BDSG.
 
Eine solche Pflichtverletzung müsste bewiesen werden und hängt ganz erheblich von der Intention ab. Ist es Absicht - gibt es Deliktsverfahren. Das gilt aber für alle Tätigkeiten im Rahmen eines Angestelltenverhältnis. Das ist primär niemals eine Sache des BDSG.

Deswegen schrieb ich oben bereits "Als angestellter DSB hast du zumindest den Vorteil, dass dein Arbeitgeber in der Beweispflicht ist und dir eine Unterlassung deiner Pflichten, d.h. Fahrlässigkeit, beweisen muss, wenn es mal zu einem Datenschutzproblem kommt."

Kann allerdings der Arbeitgeber nachweisen, dass der Datenschutzbeauftragte über den Vorgang einer Datenverarbeitung informiert wurde und der DSB hat ihn nicht auf den Schutzbedarf aufmerksam gemacht, sofern einer besteht, dann ist der Nachweis der Fahrlässigkeit bereits erbracht. Dabei muss keineswegs Absicht als Intention nachgewiesen werden. Auch bei Fahrlässigkeit kann dem DSB mindestens eine Teilschuld zugesprochen werden.

Ich würde mich daher garantiert nicht auf "müsste, könnte, sollte etc." verlassen und lieber auf Nummer sicher gehen. Eine Berufshaftpflicht kostet nicht die Welt und kann ja durchaus vom Arbeitgeber übernommen werden. Wichtiger ist aber eine entsprechende Schulung, wo man auch über die rechtlichen Hintergründe der übernommenen Verantwortung aufgeklärt wird.
 
Auch bei Fahrlässigkeit kann dem DSB mindestens eine Teilschuld zugesprochen werden.

Ich wollte ja nur klarstellen, dass ein Verstoß gegen das DSG immer nur von dem Unternehmen begangen werden kann. Der Betroffene beklagt ein Unternehmen und NIE auch den DSB. Der DSB ist demnach NIE in einer Teilschuld, wenn es konkret um eine Verletzung des DSG geht.

Ein Unternehmen "könnte" dann seinerseits seinen DSB für eventuelle Pflichtverletzung haftbar machen, sofern sich das beweisen lässt. Das setzt allerdings grobe Fahrlässigkeit oder Vorsatz voraus und hat mit dem DSG und der originären Aufgabe des MA als DSB nichts zu tun. Eine Berufshaftpflicht Versicherung ist da sinnlos, bzw. wäre genauso Sinnvoll als wenn sie ein Tischler abschließen, der absichtlich seinen Kollegen ansägen will ;)

Es ist in jedem Fall eine verantwortungsvolle Position mit einer sicherlich unmittelbaren Sensibilität (nach außen). Aber der Mensch in der Presseabteilung oder der Admin besetzen ähnlich sensible Posten. Im Innenverhältnis ist das kein Unterschied.

Ich würde mich daher garantiert nicht auf "müsste, könnte, sollte etc." verlassen und lieber auf Nummer sicher gehen.
Muss man ja nicht - steht ja alles in den Paragrafen ;)
 
Zurück
Oben