Datenschutzbeauftragte im Minenfeld „Technischer Fortschritt“

Und was empfehlen Sie zu Facebook, Like-Buttons, Xing, Blogs, Wikies, Cloud Computing und Google Analytics? Keine Frage: Der Datenschützer befindet sich in dem Dilemma, über Sachverhalte beraten zu müssen, zu denen es noch keine einheitliche Rechtsprechung und sicheren Erfahrungswerte gibt.

Im Web hinkt die Rechtsprechung meist dem technischen Fortschritt hinterher, wodurch für den externen Datenschützer ein besonders heikles Spannungsverhältnis entsteht: Der Auftraggeber möchte neue Technologien nutzen, um sich u. a. im Wettbewerb zu behaupten – der Datenschutzbeauftragte rät im Zweifel davon ab.

Tut der Consultant mit Datenschutz-Expertise dies nämlich nicht oder dokumentiert er dies nicht entsprechend, setzt er sich dem Risiko einer fehlerhaften Beratung aus. Die mögliche Konsequenz, die übrigens für jegliche Art für Fehlberatung gilt: Der externe Datenschutzbeauftragte kann in Haftung genommen werden.

Haftung des externen Datenschutzbeauftragten

Der externe Datenschützer haftet allgemein für alle vertraglich vereinbarten Pflichten und Beratungsleistungen. Im Klartext: Dazu zählt jeder Schaden, der durch das Tun oder Unterlassen des externen Datenschutzbeauftragten entsteht.

Im Gegensatz zum internen Datenschützer haftet er auch für alle leicht fahrlässig verursachten Fehler, da auf den externen Datenschutzbeauftragten die beschränkte Arbeitnehmerhaftung keine Anwendung findet.

Die Pflichten des Datenschutzbeauftragten

Dem Thema „Haftung des externen Datenschutzbeauftragten“ widmet sich auch eingehend Rechtsanwalt Dr. Sebastian Kraska. Seiner Auffassung nach ergebe sich eine Haftung bereits aus den gesetzlichen Grundpflichten, denn:

Der Datenschutzbeauftragte hat gemäß § 4g Abs. 1 S. 1 BDSG auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken und diese Aufgabe gewissenhaft zu erfüllen. Gemäß Bundesdatenschutzgesetz werden von ihm folgende Kenntnisse und Fähigkeiten erwartet:

• Grundkompetenzen im rechtlichen und technischen Bereich
• Unparteilichkeit und Unabhängigkeit
• Verschwiegenheit
• Uneigennützigkeit
• Verantwortungsbewusstsein

Um seine gesetzlich erforderliche Fachkenntnis aufrecht zu erhalten, muss sich der Datenschutzbeauftragte zudem laufend im Datenschutzrecht fortbilden.

Die Risiken des Datenschutzbeauftragten

Wann nun betritt der externe Consultant ganz praktisch haftungsrelevantes Terrain. Tatsächlich sind die Risiken enorm, belangt kann er u. a werden, wenn er

• die betriebliche Datenverarbeitung nicht bzw. nur lückenhaft auf Ordnungsmäßigkeit und Verlässlichkeit (§ 4g Abs. 1 S. 4 BDSG) überwacht,
• gegen das Datengeheimnis verstößt bzw. fehlerhaft umsetzt (§ 5 BDSG),
• das Verfahrens-Verzeichnis nicht überwacht und ausreichend zur Verfügung stellt
• die Unternehmensleitung
  – über datenschutzrechtlich notwendige Maßnahmen nicht oder falsch informiert,
  – nicht bzw. falsch berät in Bezug auf datenschutzrechtliche Erfordernisse beim
  Einsatz von Auftragnehmern für die Datenverarbeitung,
  – mit ungenügenden Tätigkeitsberichten täuscht,
• Mitarbeiter nicht ausreichend zum Thema Datenschutz und Datengeheimnis schult und berät (§ 4g Abs. 1 Nr.2 BDSG) oder
• im Fall eines Datenunfalls falsche Maßnahmen ergreift im Hinblick auf die Rechte der Betroffenen sowie den Mitteilungspflichten gegenüber den Aufsichtsbehörden.

Ausweg: Risiko minimieren und Vermögensschäden absichern

Um sein Haftungspotenzial zu verringern, empfehle ich dem Datenschutzbeauftragten drei Schritte:

1. Allgemeine Maßnahmen zur Risikovermeidung

• genaue Dokumentation der Tätigkeit
• Verfassen von Gesprächsprotokollen mit entsprechenden Handlungsempfehlungen
• laufende Fortbildungen und Austausch mit Kollegen

2. Haftungsbegrenzung durch vertragliche Regelungen

Dabei sollte man sich jedoch darüber im Klaren sein, dass die Haftungsbegrenzung im Bereich der groben Fahrlässigkeit, insbesondere bei den Kardinalpflichten (wesentliche Vertragspflichten), nur bedingt zulässig ist. Viele Haftungsbegrenzungen z.B. in den AGB halten einer gerichtlichen Überprüfung nicht stand, wodurch die unbegrenzte gesetzliche Haftung wieder zum Tragen kommt.

3. Restrisiko auf Vermögensschadenhaftpflichtversicherung abwälzen

Da letztendlich die Risikovermeidung wie auch die vertraglichen Regelungen die Haftung des externen Datenschutzbeauftragten nicht ausschließen können, empfiehlt sich eine spezifische Vermögensschadenhaftpflichtversicherung. Diese

• übernimmt sowohl berechtigte Schadenersatzforderungen der Auftraggeber und anderer Dritter sowie
• die Abwehr von unbegründeten Ansprüchen. Hier enthalten sind auch die Kosten für Anwälte, Gutachter, Zeugen und Gerichte („Passiver Rechtsschutz“).

Weiterführende Informationen:

• Berufshaftpflicht für Datenschutzbeauftragte: Vortrag bei der dsb-GROUP
• Artikel von Dr. Sebastian Kraska zum Thema „Recht: Wann haftet der Datenschutzbeauftragte gegenüber dem Unternehmen?“
• Vermögensschadenhaftpflichtversicherung für Datenschutzbeauftragte
• Bundesdatenschutzgesetz (BSDG)