01.01.2019
Mit der Einführung der DSGVO hat das Thema Datenschutz in der Öffentlichkeit eine deutliche Sensibilisierung erfahren. Gemäß Art. 37 DSGVO muss ein Datenschutzbeauftragter benannt werden. Hierbei wird zwischen dem „internen“ und dem „externen“ Datenschutzbeauftragten unterschieden. Neben der Haftung des Verantwortlichen und / oder des Auftragsverarbeiters nach Art. 82 DSGVO können auch persönliche Haftungsrisiken des Datenschutzbeauftragten bestehen, wenn er seine Aufgaben nach der DSGVO nicht oder nicht vollständig erfüllt. Zusätzlich können aus der Tätigkeit strafrechtliche oder ordnungswidrigkeitsrechtliche Verantwortlichkeiten erwachsen.
Aus Unternehmenssicht (als Versicherungsnehmer einer Vermögensschadenhaftpflichtversicherung für Organe (D&O)) steht in der Regel der „interne“ Datenschutzbeauftragte bei der Mitversicherung bestimmter Personen / Funktionen im Fokus. Dem Datenschutzbeauftragten darf nach § 38Abs. 3 DSGVO keine Anweisung bei der Erfüllung seiner Aufgaben durch den Auftraggeber (hier dem eigenen Arbeitgeber) erteilt werden. Er unterliegt als abhängig Beschäftigter aber weiterhin dem sogenannten Haftungsprivileg (Haftungsfreistellung durch den Arbeitgeber). Ein interner Datenschutzbeauftragter haftet danach nur eingeschränkt für den selbst verschuldeten Schaden. Falls der interne Datenschutzbeauftragte jedoch vorsätzlich oder grob fahrlässig gehandelt hat, haftet er in der Regel allein und im Zweifel unbegrenzt. Hat der interne Datenschutzbeauftragte nicht grob fahrlässig oder vorsätzlich gehandelt, wird der Schaden quotal zwischen Arbeitnehmer und Arbeitgeber aufgeteilt, es sei denn, die Fahrlässigkeit ist als leicht zu beurteilen – in diesen Fällen ist der interne Datenschutzbeauftragte als Arbeitnehmer von der Haftung freizustellen.
Diese Kriterien zum internen Schadensausgleich, die von der Rechtsprechung entwickelt wurden, dürfen nicht zu Lasten des Arbeitnehmers abgewandelt werden. Folglich steht dem internen Datenschutzbeauftragten bei Pflichtverletzungen eine entsprechende Haftungserleichterung zu. Insoweit ist darauf zu achten, dass die Haftung des Versicherers nicht auf den Umfang der Grundsätze der Arbeitnehmerhaftung begrenzt bleibt, da in derartigen Fällen die Deckung gegebenenfalls mit dem dreifachen Monatsgehalt erschöpft wäre und der übersteigende Teil des Schadens ohne Deckung durch den Arbeitgeber zu leisten wäre. Dies setzt voraus, dass der Datenschutzbeauftragte zum Kreis der über die Vermögensschadenversicherung (D&O) versicherten Personen zählt. Üblicherweise ist dieser in den Bedingungen bereits als solcher aufgeführt und / oder wird in der Police entsprechend als mitversichert benannt. Der Versicherungsschutz muss sich auf die Funktion als Datenschutzbeauftragter einschließlich der gesamten operativen Tätigkeit beziehen. In diesem Fall genießt der Arbeitnehmer Versicherungsschutz aus der D&O-Versicherung, falls er bei der versicherten Tätigkeit als Datenschutzbeauftragter auf Ersatz eines Vermögensschadens in Anspruch genommen wird. Diese Umstände sind in den Versicherungskonzepten der Guarantee Advisor Group berücksichtigt.
Um eine Leistung aus dem Versicherungsvertrag in Anspruch nehmen zu können, muss dem Datenschutzbeauftragten zumindest ein fahrlässiges Verhalten vorgeworfen werden können. Ebenso hat der Anspruchsteller eine Schadenminderungspflicht, so dass gegebenenfalls nicht jede Maßnahme, die sinnvoll erscheint, auch eine Erstattungspflicht des D&O-Versicherers auslösen muss. Auch deckt die D&O-Versicherung nicht jeden Eigenschaden des Versicherungsnehmers, insbesondere wenn er datentechnischer Natur ist (IT-Schaden).
Hier ist ergänzend zum Haftpflichtversicherungsschutz eine sogenannte Cyber- Versicherung zu empfehlen, die neben etwaigen Schadenersatzansprüchen auch ein Krisenmanagement (in Form einer organisierten Assistance-Leitung) und Eigenschäden abdeckt.
Im Gegensatz zu dem internen Datenschutzbeauftragten kann sich der externe Datenschutzbeauftragte mangels eines Arbeitsverhältnisses nicht auf die beschränkte Arbeitnehmerhaftung berufen. Aus diesem Grund haften externe Datenschutzbeauftragte in der Regel gegenüber den Geschädigten auch bei leichter Fahrlässigkeit in voller Höhe, so dass sich der externe Datenschutzbeauftragte eigenständig um seinen Versicherungsschutz im Rahmen einer Berufshaftpflichtversicherung bemühen sollte. Hier wäre darauf zu achten, dass der Versicherungsschutz zumindest der Höhe nach ausreichend bemessen ist.
Zur Orientierung sollte der externe Datenschutzbeauftragte Versicherungsschutz bis zu der Höhe unterhalten, in der der höchstmöglich denkbare Schaden zu quantifizieren ist. Dies schwankt von Unternehmen zu Unternehmen, so dass eine individuelle Festlegung anzuregen ist.
HANKE + KRACHT
Versicherungsmakler GmbH
Drususallee 81
41460 Neuss
Telefon: 02131 - 708 64 - 10
Telefax: 02131 - 708 64 - 80
E-Mail: info@hanke-kracht.de
Niederlassung Sauerland
Hellweg Forum 1
59469 Ense
Telefon: 02938 – 643959-0
Telefax: 02938 – 643959 -1
Niederlassung Niederrhein
Eltener Str. 397
46446 Emmerich
Telefon:
02822 - 91 45 79 - 0
Telefax: 02822 - 91 45 79 - 29
Ein Unternehmen der
THARRA + PARTNER Versicherungsmakler GmbH & Co. KG