Die Haftung als interner Datenschutzbeauftragter
Grundsätzlich haftet das Unternehmen (Verantwortliche) unabhängig des benannten Datenschutzbeauftragten (DSB). Aber natürlich wird der Verantwortliche im Innenverhältnis prüfen, inwieweit eine Mitverantwortung vorliegt.
Der interne DSB unterliegt einem arbeitsvertraglichen Arbeitsverhältnis. Als Folge liegt die Beweislast, dass der DSB den Schaden zu verantworten hat, beim Arbeitgeber (§ 619a BGB). Hierdurch ist automatisch der interne DSB bezüglich durch ihn verursachte Fehler ein gutes Stück geschützt.
Bei grob fahrlässigem oder vorsätzlichem, also mit Absicht falschem Handeln geht die Rechtsprechung von einer vollumfänglichen Haftung aus.
Grobe Fahrlässigkeit
Grobe Fahrlässigkeit wird angenommen, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt wurde oder wenn naheliegende Überlegungen nicht angestellt wurden. Dies wäre beispielsweise der Fall, wenn der DSB eine Datenpanne – trotz Kenntnis des Sachverhalts und der Rechtslage – nicht der Aufsichtsbehörde mitteilt und ein Schaden beim Verantwortlichen eintritt. Unter Umständen haftet hier der interne Datenschutzbeauftragter sogar gegenüber den Betroffenen.
Mittlere Fahrlässigkeit
Im Umfang schwer einzuordnen ist die mittlere Fahrlässigkeit. Bei mittlerer Fahrlässigkeit hat der Arbeitnehmer die im Verkehr erforderliche Sorgfalt nicht beachtet, ohne dass ihm ein besonders schwerer Vorwurf zu machen ist. Hier wird eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer erfolgen. Dies erfolgt nach einer Vielzahl von Kriterien und der Arbeitgeber ist hier in der Pflicht des Nachweises.
Leichte Fahrlässigkeit
Bei leichter Fahrlässigkeit (Arbeitnehmer verletzt ihre Sorgfaltspflicht im geringen Umfang) erhält der interne DSB Haftungsfreistellung und das Unternehmen haftet komplett für den Schaden.
Grundsätzlich muss das Thema Fahrlässigkeit immer im Einzelfall geprüft werden.
Abberufung und Kündigung des internen DSB
Eine Abberufung des internen DSB bedeutet, dass ihm seine Beauftragung als DSB entzogen wird. Diese Abberufung ist nicht per Gesetz geregelt, ist nur zulässig aus wichtigem Grund und kann sowohl durch den Verantwortlichen als auch durch die Aufsichtsbehörde erfolgen.
Die DSGVO enthält keine ausdrücklichen Regelungen hinsichtlich der Kündigung eines internen DSB. Vielmehr besagt Art. 38 Abs.4 S. 2 DSGVO lediglich, dass der DSB nicht aufgrund seiner Tätigkeit abberufen oder benachteiligt werden darf. Das alte BDSG sah hier einen weiter reichenden Schutz vor, weswegen der deutsche Gesetzgeber diese Rolle wieder etwas gestärkt hat.
Für nichtöffentliche Stellen ergibt sich ein besonderer Kündigungsschutz aus § 38. Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 BDSG. Eine Abberufung bzw. Kündigung des internen DSB ist demnach nur unter den besonderen Voraussetzungen des § 626 BGB, also nur aus wichtigem Grund (fristloser Kündigung) möglich. Während der Ausübung der Tätigkeit als DSB ist eine ordentliche Kündigung ausgeschlossen. Und auch nach Beendigung der Tätigkeit kann ein Jahr lang keine ordentliche Kündigung ausgesprochen werden. Dieser besondere Kündigungsschutz gilt jedoch nur, wenn eine Pflicht zur Benennung eines DSB bestand.
Exkurs: Die Situation des externen DSB
Die Benennung eines externen DSB erfolgt typischerweise auf Basis eines Dienstvertrages im SInne des § 611 BGB. Der externe DSB unterliegt dadurch auch anderen Haftungskriterien. Im Vertrag kann diese Haftung nicht ausgeschlossen werden, meistens wird aber ein beschränkter Haftungsumfang festgehalten.
Die Abberufung eines externen DSB durch den Verantwortlichen ist jederzeit möglich. Die Kündigung oder gar Auflösung eines Dienstvertrages unterliegt dem Vertragsrecht.
Fazit
Haftung, Abberufung und Kündigung eines internen DSB sind ein sehr komplexes Rechtsthema und können sowohl für das Unternehmen als auch für den internen DSB ein erhebliches Risiko darstellen. Man kann dem aus dem Weg gehen, indem man einen externen DSB benennt.