Donnerstag, 9. Juni 2016

DS-GVO: Kommt die Umsetzungspflicht und damit die Haftung für den Datenschutzbeauftragten?

Die europäische Datenschutzverordnung ist beschlossen und tritt noch dieses Jahr in Kraft. Viele Unsicherheiten bleiben dennoch. Das zeigen auch Leseranfragen, die mich oder meine Kollegen erreichen.

Eine davon ist sehr interessant für jeden Datenschutzbeauftragten, da sie das Thema Haftung nach der DS-GVO anspricht.

Die Frage: „Ich bin Datenschutzbeauftragter und Teilnehmer eines Datenschutzstammtischs. Bei diesem haben wir kürzlich auch die Herausforderungen diskutiert, die im Zusammenhang mit der EU-Datenschutzgrundverordnung auf den Datenschutzbeauftragten zukommen.

Haftet der DSB zukünftig wie ein Compliance-Officer?

Dabei wurde intensiv diskutiert, ob der Datenschutzbeauftragte wie im Bundesdatenschutzgesetz (BDSG) nur hinwirken muss oder ob ihm die DS-GVO eine gewisse Umsetzungspflicht auferlegt. Haftet man etwa wie ein Compliance-Officer? Was meinen Sie dazu?“

Wie die Vorgaben in Art. 37 ff. DS-GVO letztendlich zu verstehen sind, wird in nächster Zeit noch viel diskutiert werden. Manche sehen beispielsweise in den Formulierungen, dass dem Datenschutzbeauftragten bestimmte Aufgaben obliegen oder der Datenschutzbeauftragte die Einhaltung der DS-GVO zu überwachen hat (Art. 39 Abs. 1 lit. b DS-GVO)

Parallelen zum Compliance-Officer

Der Compliance-Officer trägt in der Tat im Rahmen einer sogenannten Garantenpflicht eine gewisse Verantwortung dafür, dass es nicht zu Rechtsverstößen oder zu Straftaten durch Mitarbeiter des Unternehmens kommt. Schaut der Compliance-Officer weg, kann dies zivilrechtliche wie strafrechtliche Konsequenzen für ihn haben.

Gerichte werden entscheiden müssen

Darüber, ob Datenschutzbeauftragte entsprechende Haftungsrisiken fürchten müssen, wenn durch das Unternehmen oder dessen Mitarbeiter gegen die DS-GVO verstoßen wird, muss wohl letztendlich ein Gericht entscheiden. Bis dahin wird man viel diskutieren können.

So lässt sich nämlich auch vertreten, dass „obliegen“ eher im Sinne von „zuständig“ zu verstehen ist. Selbst wenn man dies als eine Art Obliegenheit ansieht, kann darin definitionsgemäß eine Mitwirkungspflicht oder Handlung gesehen werden, die nicht erzwungen werden kann.

Verschiedene Auslegungen möglich

Auch das erwähnte „Überwachen“ kann im Sinne der aus dem BDSG bekannten Kontrollpflicht im Rahmen des Hinwirkungsauftrags verstanden werden. Außerdem: Es wird gerade in Deutschland auf zwei weitere wichtige Punkte ankommen: einerseits, wie die Datenschutzaufsichtsbehörden die ganze Sache sehen, und andererseits, ob es im angedachten BDSG-Nachfolgegesetz spezifische Regelungen zu Aufgaben, Funktion und Stellung des Datenschutzbeauftragten geben wird.

Es ist derzeit also verfrüht, sich auf eine bestimmte Sichtweise festzulegen.

Übrigens: Haftungserleichterung für Arbeitnehmer gilt auch für den (angestellten) DSB

Nicht vergessen werden darf auch der arbeitsrechtliche Aspekt. Selbst wenn Mitarbeiter einen Datenschutzverstoß verursachen, heißt das nicht, dass der Datenschutzbeauftragte finanziell dafür geradestehen muss. Hier dürften die Haftungserleichterungen für Arbeitnehmer greifen.

Insofern besteht eine volle Haftung nur bei vorsätzlichem oder grob fahrlässigem Handeln. Je nach Verschuldensgrad kann sich die Haftung bei mittlerer Fahrlässigkeit anteilig darstellen und bei leichter Fahrlässigkeit gar auf null reduzieren.

Schade eigentlich, dass ein Gesetz, um das so lange gestritten wurde, mit solchen Unsicherheiten belastet ist.

Bei Fragen "Rund ums Personal" fragen Sie doch einfach uns! Wir sind keine Rechtsberatung, aber eine Personalberatung: 02365-9740897

Keine Kommentare:

Kommentar veröffentlichen