Logo Brennecke & FASP Group

IT Sicherheit Teil 7/2 Haftung für fremdes Verschulden


4.4.2 Haftung für Verschulden des Datensicherheits- und Datenschutzbeauftragten

Ähnlich wie die Haftung des Unternehmers für Verschulden seiner Mitarbeiter sieht es mit der Haftung für den IT-Sicherheitsbeauftragten und Datenschutzbeauftragten aus. Da sie außer im Fall des externen Datenschutzbeauftragten in der Regel eigene Mitarbeiter sind, sind sie Erfüllungsgehilfen des Unternehmers. Auch für ihr Verschulden haftet das Unternehmen wie für eigenes Verschulden.

Gerade in kleineren Betrieben wird dieses Problem oft ausgeblendet. Es herrscht hier oft die Ansicht, man brauche keinen IT- oder Datenschutzbeauftragten. Dies kann ein gefährlicher Fehlschluss sein. Die Ansprüche des Gesetzgebers sowie die durch die Rechtsprechung konkretisierten Anforderungen an eine betriebliche Datensicherheit einschliesslich Datenschutz sind in den letzten Jahren kontinuierlich gestiegen. So wird einem Geschädigten grundsätzlich ein Anspruch auf Schadensersatz zugesprochen, wenn der Schadenseintritt bei rechtzeitiger Bestellung eines IT-Beauftragten mit an Sicherheit grenzender Wahrscheinlichkeit hätte verhindert werden können.

Sowohl beim IT- als auch Datenschutzbeauftragten sind die Anforderungen bei der Einstellung bzw. Aufgabenzuweisung an die Sorgfaltspflicht des Unternehmers hoch. Stellt sich später heraus, dass der Datensicherheitsbeauftragte eines Unternehmens nicht ausreichend qualifiziert für diese Arbeit war und hatte das Unternehmen hiervon Kenntnis - oder hätte Kenntnis hiervon haben können - so haftet das Unternehmen für den entstandenen Schaden.
Wie bereits erwähnt sind die Exkulpationsmöglichkeiten für die Unternehmensleitung bei der vertraglichen Verschuldenshaftung sehr beschränkt. So wird ein Verschulden der Unternehmensleitung grundsätzlich vermutet. Nur durch eine Beweislastumkehr kann von einer Haftung abgesehen werden. Das bedeutet, die Unternehmensleitung muss den Beweis erbringen, dass der IT-Verantwortliche ausreichend qualifiziert war, die nötigen technischen, sowie auch finanziellen Mittel zur Verrichtung seiner Arbeit erhalten hat und in alle technischen Prozesse des Unternehmens eingewiesen ist. Nur wenn diese Punkte erfüllt sind und ein Verschulden allein oder zumindest größtenteils bei dem IT-Verantwortlichen selbst liegt, kann sich das Unternehmen aus der Haftung befreien.

Die Problematik wird besonders deutlich beim Datenschutzbeauftragten, da die Anforderungen hier bereits gesetzlich konkret ausgestaltet sind. Nach den Maßstäben des BDSG kann als Datenschutzbeauftragter nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. In der Praxis bedeutet das, dass der Datenschutzbeauftragte über ein Mindestmaß an technischen, organisatorischen und juristischen Kenntnissen verfügen muss. Es ist zwar nicht erforderlich, dass der Datenschutzbeauftragte ein schon hierfür ausgebildeter Akademiker ist, jedoch muss das Unternehmen dafür sorgen, dass die zu dieser Aufgabe bestellte Fachkraft die erforderlichen Schulungen und Ausbildungen erhält.

Ebenso wie die Fachkunde ist auch die Zuverlässigkeit ein juristisch überprüfbarer Begriff. Im Rahmen dieser Prüfung wird in der Regel festgestellt, wie viele Aufgaben dem Datenschutzbeauftragten auferlegt sind. Kann festgestellt werden, dass er zur Verrichtung seiner Pflicht als Datenschutzbeauftragter nicht genügend Zeit bekommt und entsteht hieraus einem Dritten ein Schaden, so haftet das Unternehmen bereits nach den Bestimmungen des BDSG.

Praktisch stellt sich für den Unternehmer häufig die Frage, ob der betriebliche Datenschutzbeauftragte auch gleichzeitig Datensicherheitsbeauftragter, sprich IT-Verantwortlicher sein kann. Immerhin kann Datenschutz als ein Teilbereich des Themas Datensicherheit angesehen werden. Wegen der unterschiedlichen Schutzrichtung wird dies in Rechtsprechung und Literatur zunehmend abgelehnt mit der Begründung, es dürfe „keine Personalunion zwischen Kontrolleur und Kontrolliertem“ geben. Dies ist jedoch bislang nur eine Tendenz und die Beantwortung der Frage noch nicht abschließend geklärt.

Zur Unternehmenshaftung für ein Verschulden des Datenschutzbeauftragten kann insbesondere auch kommen, wenn das Unternehmen seine Aufsichts- und Unterstützungspflicht in Gesichtspunkten des Datenschutzes nicht ordnungsgemäß wahrnimmt. Gerade vor dem Gesichtspunkt, dass der Datenschutzbeauftragte lediglich der Geschäftsführung des Unternehmens unterstellt ist und eine große betriebliche Weisungsbefugnis inne hat, trifft die Geschäftsführung die Pflicht, den Datenschutzbeauftragten besonders zu beaufsichtigen, wie auch zu unterstützen. Diese Unterstützungspflicht umfasst etwa:

- Regelmäßige Schulungen des Datenschutzbeauftragten
- Gewährung von Einsichtsnahme in datenschutzrechtlich relevante Betriebsvorgänge, auch wenn diese empfindliche, betriebliche Geheimnisse beinhalten könnten.
- Zurverfügungstellung von Hilfspersonal
- Zurverfügungstellung von benötigten, finanziellen Mitteln für den Datenschutz
- Unterstützung bei Konflikten innerhalb des Unternehmens
- Das Einräumen von ausreichender Autorität für den Datenschutzbeauftragten im Betrieb

Der Umfang dieser einzelnen Maßnahmen richtet sich wieder nach dem Einzelfall, insbesondere nach Größe des Unternehmens und Datenmenge. Erst wenn die getroffenen Maßnahmen mit der Größe des Unternehmens im Einklang gebracht sind und insoweit alle gesetzlichen Anforderungen erfüllt sind, entfällt die Haftung des Unternehmers für Verschulden des Datenschutzbeauftragten.

 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie IT-Sicherheit


Kontakt: info@brennecke-rechtsanwaelte.de
Stand: 03/07


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Das Referat IT-Recht wird bei Brennecke Rechtsanwälte betreut von:

Portrait Tilo-Schindele Tilo Schindele, Rechtsanwalt, Stuttgart

Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.

Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.

Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:

  • Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
  • Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
  • Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen


Kontaktieren Sie Rechtsanwalt Tilo Schindele unter: 
Mail: tilo.schindele@brennecke-rechtsanwaelte.de 
Telefon: 0721-20396-28


Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosDatenschutzrechtDatenschutzbeauftragter
RechtsinfosMedienrecht
RechtsinfosIT-RechtIT-SecurityDatenschutzrechtDatenschutzbeauftragter