DSGVO – externe Datenschutzbeauftragte, Rechtsanwälte und Versicherungsmakler – Teil 2

Im zweiten Beitrag zur DSGVO gehen wir ausführlicher auf das mit der Tätigkeit als (externer) Datenschutzbeauftragter verbundene Haftungsrisiko ein. In diesem Zusammenhang wird auch erläutert, welche Absicherung mit Versicherungsschutz möglich ist. Außerdem geben wir Ihnen einen Überblick, in welcher Weise das neue Datenschutzrecht die Tätigkeit Ihres Versicherungsmaklers berührt.

Die persönliche Haftung des Datenschutzbeauftragten

Mit der DSGVO hat das Thema Haftung bei Verstößen gegen das Datenschutzrecht eine neue Bedeutung gewonnen. Bei Schäden durch Datenschutzverstöße bestand schon bislang eine betraglich nicht begrenzte Schadensersatzpflicht. Das hat sich durch das neue Recht nicht geändert. Anders dagegen bei Sanktionen im Falle von Vorsatz und Fahrlässigkeit bei Gesetzesverstößen.

Bisher beschränkten sich Bußgelder im Regelfall auf 50.000 Euro, bei besonders gravierenden Verstößen auf 300.000 Euro. Nach der DSGVO können Unternehmen künftig mit Bußgeldern bis zu 20 Mio. Euro bzw. vier Prozent des weltweiten Jahresumsatzes belegt werden. Bei schweren Rechtsverletzungen sind sogar Freiheitsstrafen für die verantwortlichen Beteiligten möglich. Mit dieser schärferen Sanktionierung soll die Sensibilität für Datenschutz erhöht werden.

Datenschutzbeauftragte sind grundsätzlich auch nach bisherigem Recht nicht von der Haftung frei gewesen. Das gilt sowohl mit Blick auf die Schadensersatzpflicht als auch auf die Sanktionierung bei vorsätzlichen oder fahrlässigen Rechtsverstößen. Bei der bisher begrenzten Aufgabenstellung und Verantwortlichkeit von Datenschutzbeauftragten kam diese Haftung de facto aber kaum zum Tragen. Dies gilt umso mehr, als bei internen Datenschutzbeauftragten die beschränkte Arbeitnehmerhaftung Anwendung findet. Danach sind letztlich nur Fälle von grober Fahrlässigkeit und Vorsatz persönlich zu vertreten.

Mit den erweiterten Aufgabenstellungen, den zu erwartenden häufigeren Datenschutzbeauftragungen und der verschärften Sanktionierung im Zuge des neuen Rechtes gewinnt die Haftungsfrage erheblich an Brisanz. Das gilt für gerade für externe Datenschutzbeauftragte, denn sie können sich nicht auf die beschränkte Arbeitnehmerhaftung berufen. Sie sind sozusagen „voll“ in der Haftung, auch wenn es nicht um Vorsatz oder grobe Fahrlässigkeit geht. Das bedeutet ein nicht unerhebliches Risiko für das Geschäftsmodell „externer Datenschutzbeauftragter“, ist aber auch ein „Verkaufsargument“, denn Unternehmen können ihr eigenes Haftungsrisiko durch Auslagerung der Datenschutzbeauftragung begrenzen.

Absicherung des Haftungsrisikos – Vermögensschadenhaftpflichtschutz

In diesem Zusammenhang stellt sich die Frage, wie eine Absicherung des Risikos für Rechtsanwälte, die als externe Datenschutzbeauftragte tätig sein wollen, möglich ist. Ein solcher Versicherungsschutz ist dringend zu empfehlen, da Schadensersatzansprüche im Zweifel existenzbedrohend sein können. Einen Ansatz dazu bietet die Vermögensschadenhaftpflichtversicherung. Sie ist bei Anwälten ohnehin Pflicht, beschränkt sich aber als Pflichtversicherung auf die Haftung bei „klassischer“ anwaltlicher Tätigkeit. Die Haftung als externer Datenschutzbeauftragter ist davon nicht automatisch erfasst.

Grundsätzlich ist ein Vermögensschadenhaftpflichtschutz auch bei anderen selbständigen Tätigkeiten – ob als Beratung, Entwicklung und Konzeption oder Dienstleistung – möglich und sehr oft sinnvoll. Wir von Behrschmidt & Kollegen beraten Rechtsanwälte gerne, wie ein Vermögensschadenhaftpflichtschutz im Hinblick auf die Tätigkeit als externer Datenschutzbeauftragter ausgestaltet werden kann. Es gibt speziell darauf zugeschnittene Lösungen, wobei auch das jeweilige Organisationsmodell zu berücksichtigen ist.

Was die DSGVO für Versicherungsmakler bedeutet

Die DSGVO betrifft selbstverständlich auch die Tätigkeit von Versicherungsmaklern. Denn hier geht es im tagtäglichen Geschäft um die Nutzung und Verarbeitung personenbezogener Daten. Auf die vielfältigen Umstellungserfordernisse durch die neue Gesetzeslage kann an dieser Stelle nicht näher eingegangen werden.

In erster Linie wird von Maklern durch das reformierte Datenschutzrecht mehr Aufwand, Transparenz und Dokumentation bei der Datenverarbeitung gefordert. Zu allen kundendatenbezogenen Prozessen kann von Kunden Rechenschaft erwartet und verlangt werden. Grundsätzlich muss auf Dateneingang, -verarbeitung, -speicherung, -weiterleitung und -weiterverwendung noch mehr Sorgfalt verwandt werden als das ohnehin schon der Fall ist.

Strengere Anforderungen ergeben sich auch im Hinblick auf die IT-Sicherheit. Dies ist ein Bereich, dem die DSGVO einen hohen Stellenwert beimisst. Es müssen geeignete technisch-organisatorische Maßnahmen getroffen werden, um Daten zu schützen und zu sichern. Sicherung bedeutet dabei vor allem elektronische Sicherheit, aber auch physische Maßnahmen (Feuer-, Einbruchsschutz). Außerdem ist neben dem Zweck der Datenverarbeitung der (aktuelle) Stand der Technik zu berücksichtigen. Veraltetes Equipment genügt dem Datenschutz nicht.

Last but not least sind Makler-Unternehmen ggf. selbst gefordert, eine Lösung für Datenschutzbeauftragung zu installieren. Wir haben uns bei Behrschmidt & Kollegen bereits frühzeitig mit den neuen Datenschutzanforderungen beschäftigt und dafür gesorgt, dass die DSGVO-Vorgaben von uns fristgemäß erfüllt werden. Unsere Kunden dürfen sich auch in Zukunft darauf verlassen, dass wir mit Kundendaten verantwortungsvoll umgehen und Datenschutz eine hohe Priorität besitzt.