Das Oberlandesgericht München schützt den Datenschützer. Er sei nicht der Verantwortliche für den Schlamassel, stellt es – zugegebenermaßen recht frei übersetzt – in seinem Urteil aus dem Oktober 2021 fest. Und das, obwohl er in einer E-Mail sogar zugegeben hat, dass sein Auftraggeber gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hatte.
Was war geschehen? Die Hausverwaltung hatte alle Wohnungseigentümer einer Wohnanlage zur Versammlung eingeladen. Darin ging es auch um Maßnahmen gegen Legionellen, die man in einigen Wohnungen festgestellt hatte. Das sind jene Bakterien, die im Trinkwasser der menschlichen Gesundheit nicht gerade zuträglich sind. Dazu nannte die Hausverwaltung auch die Namen jener Parteien, in deren Wohnungen die Legionellen unterwegs waren. Darunter auch der Kläger.
Der sah darin seinen Ruf geschädigt. Außerdem sei ein möglicher Käufer abgesprungen, nachdem er durch einen anderen Eigentümer von den Legionellen in der Wohnung erfahren hatte. Der Wohnungseigentümer klagte also auf Schadenersatz – und blitzte beim OLG München ab (Aktenzeichen 20 U 7051/20). Es sei rechtmäßig gewesen, den Namen zu nennen, meinte es. Zudem schloss es sich dem vorangegangenen Urteil des Landgerichts Landshut an, nachdem dem Betroffenen ein „spürbarer Nachteil“ hätte entstanden sein müssen. Das war aber nicht der Fall, denn von den Legionellen hätte er dem Kaufinteressenten früher oder später sowieso berichten müssen.
Was aber besonders auffiel: Der Kläger hatte nicht nur die Hausverwaltung im Visier, sondern ging gerichtlich auch auf dessen externen Datenschutzbeauftragten los. Doch der – und das mag zunächst merkwürdig erscheinen – ist kein Verantwortlicher. Einzig für die personenbezogenen Daten der Wohnungseigentümer verantwortlich war und ist: die Hausverwaltung.
Womit wir ein Licht auf die ganz besondere Stellung werfen, die Datenschutzbeauftragte (DSB) in der deutschen Wirtschaft einnehmen. Dass sie nötig sind, regeln die DSGVO und ihr deutsches Pendant, das Bundesdatenschutzgesetz (BDSG). Behörden und öffentliche Stellen brauchen einen DSB, ebenso wie Organisationen, die regelmäßig und systematisch Menschen überwachen. Das sind nur Beispiele, doch ein wichtiger zusätzlicher Punkt sei hier genannt, den das BDSG obendrauf setzt: Unternehmen müssen ebenfalls einen DSB benennen, sobald mindestens 20 Mitarbeiter ständig personenbezogene Daten verarbeiten. Versicherer dürfte das durchweg betreffen, aber auch größere Maklerhäuser.
Was „automatisiert verarbeiten“ heißt, ist klar. Zu dem anderen Teil schreibt der Jurist Felix Wonschik von der Intersoft Consulting auf dem Informationsportal „Dr. Datenschutz“: „Was konkret unter den unbestimmten Rechtsbegriffen ‚in der Regel‘ und ‚ständig‘ zu verstehen ist, nennt das Gesetz nicht explizit. In der Wissenschaft durchgesetzt hat sich jedoch eine weite Auslegung dieser Begriffe.“ Demnach schließt das auch Teilzeitkräfte mit ein oder Mitarbeitende, die für die Daten nur einen Teil ihrer Arbeitszeit nutzen. Wonschik: „Entsprechend schnell ist die Schwelle von 20 Personen überschritten. Hierauf sollten Unternehmen besonders achten!“
Und diese Unternehmen und auch alle anderen Einrichtungen brauchen sich gar nicht einzubilden, dass sie die Datenschutzhaftung so einfach an die Beauftragten auslagern können. Hauptverantwortlich dafür, dass die Datenschutzvorgaben eingehalten werden, bleiben sie selbst. Datenschutzbeauftragte unterrichten und beraten ihre Auftraggeber und deren Angestellte. Sie überwachen, dass die Vorschriften eingehalten werden. Und sie sind Ansprechpartner für die Aufsichtsbehörden. Um nur ein paar Aufgaben zu nennen.
Sie berichten direkt an die Firmenleitung, können ihr aber auch nichts anweisen. Andersherum kann auch das Management ihnen nichts vorschreiben. Sie können also unbequem sein, was ein besonderer Kündigungsschutz zusätzlich absichert.
Seite 2: „Hohes finanzielles Haftungsrisiko“
Damit kann den Datenschützern also gar nichts passieren? Falsch gedacht. Denn es kann trotzdem für sie im Extremfall richtig teuer werden. „Wenn der DSB Ihr Unternehmen beispielsweise falsch berät und dadurch eine Bußgeldzahlung an die Aufsichtsbehörde verursacht, haftet er für den Schaden nach Paragraf 280 Bürgerliches Gesetzbuch“, warnt Alexander Ingelheim, Mitgründer und Chef des Datenschutzspezialisten Proliance, in einem Artikel.
Um das richtig einzuordnen: Verstößt ein Unternehmen gegen die DSGVO, sind Bußgelder bis 10 Millionen Euro beziehungsweise 2 Prozent des Jahresumsatzes möglich. Bei schwerwiegenden Verstößen sogar das Doppelte. Wenn Dritte durch eine unrechtmäßige Maßnahme eines DSB zu Schaden kommen, könnte der sogar direkt zu Schadenersatz verdonnert werden. Ingelheims Fazit: „Datenschutzbeauftragte gehen somit in mehrfacher Hinsicht grundsätzlich ein hohes finanzielles Haftungsrisiko ein.“
Wobei interne und externe Datenschutzbeauftragte unterschiedlich haften. Interne sind direkt in dem Unternehmen angestellt, das sie überwachen sollen. Sie haften nur dann voll, wenn sie grob fahrlässig gehandelt haben. Bei leichter Fahrlässigkeit haften sie gar nicht, sondern die Firma. Und bei mittlerer Fahrlässigkeit wird die Haftung geteilt. Externe Datenschutzbeauftragte haften als Dienstleister immer voll, wenn sie das nicht ausdrücklich im Vertrag eingeschränkt haben.
Damit ist es kein Wunder, dass Makler wie André Disselkamp und Tobias Niendieck von Insurancy in Berlin Vermögensschadenhaftpflicht sowie Berufshaftpflicht für berufliche Risiken und Betriebshaftpflicht für betriebliche Risiken empfehlen. Ebenfalls wichtig für Datenschutzbeauftragte seien Rechtsschutz, inklusive Strafrecht, falls es Streitigkeiten gibt, und natürlich auch Cyberversicherung und Inhaltsversicherung. Die schützen die eigene Technik und Büroausstattung, was bei einem Datendienstleister nicht ganz unwichtig ist.
Mit Heydata gehört ausgerechnet ein Datenspezialist und Marktführer zu den größten Kunden. Heydata beschäftigt unter anderem Datenschutzbeauftragte und versichert sie auch. Berufs- und Betriebshaftpflichtpolicen laufen dann häufig über die Hiscox. „Sie bietet die besten Bedingungen und ist außerdem stark bei Start-ups und Einzelfirmen überhaupt. Das passt sehr gut“, erklärt Tobias Niendieck die Wahl. Cyberversicherungen laufen meistens auch über Hiscox, aber gelegentlich, je nach Unternehmensgröße, auch über die weniger bekannten Anbieter Beazley oder Baobab. Den Rechtsschutz hingegen übernimmt die darauf definitiv spezialisierte Arag.
Übrigens hat eben jene Hiscox das einzige direkt so benannte Paket für Datenschutzbeauftragte am Start. Die Datenschutzbeauftragter-Versicherung enthält auf jeden Fall die Berufshaftpflicht. Hinzu buchbar sind Betriebshaftpflicht, Cyberversicherung sowie Elektronik- und Büroinhaltsversicherung.
Wobei ein Blick in die Details schnell offenbart, dass es sich dabei um gängige Gewerbeprodukte handelt. Hinter der Berufs- und Vermögensschadenhaftpflicht schlummern die Versicherungsbedingungen „für die Dienstleistungsbranche“, und im hauseigenen Vergleichsrechner stehen auch andere Berufsgruppen zur Wahl. Ganz so direkt zugeschnitten wie gedacht ist es somit also nicht, dafür kann sich die Versicherungssumme absolut sehen lassen: Sie reicht bis 10 Millionen Euro hoch, was anderswo in der Höhe nur schwer zu finden sein dürfte. Als kleiner externer Datenschutzbeauftragter wäre man laut hauseigenem Rechner mit knapp 290 Euro im Monat dabei. Interessanterweise fallen die hinzubuchbaren Policen dank Paketkonditionen dann preislich kaum noch zusätzlich ins Gewicht.
Seite 3: Zwei Versicherer wollen über Verbände Geschäft sichern
Zwei andere Versicherer versuchen sich indes, über Verbände Geschäfte zu sichern. So hat die Ergo bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) den Fuß in der Tür. Mitglieder können dort über den VDM-Versicherungsmakler aus Monheim am Rhein die Vermögensschadenhaftpflicht zu Sonderkonditionen abschließen. Und der Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) hat sich die Dienste der R+V gesichert.
Über Butz Versicherungsmakler in Königstein im Taunus gibt es Berufs- und Vermögensschadenhaftpflicht für externe DSB plus optionaler Betriebs- und Privathaftpflicht mit diversen zusätzlichen Services. Allerdings ist die Versicherungssumme für Vermögensschäden auf 5 Millionen Euro begrenzt.
Doch auch das ist noch nicht alles. Der auf Gewerbe spezialisierte Versicherer Markel erwähnt in seiner Vermögensschaden- und Betriebshaftpflicht „Pro Dienstleister“ ausdrücklich auch „Externe Beauftragte für Datenschutz“. Die Versicherungssumme reicht grundsätzlich bis 3 Millionen Euro. Mit hinzubuchbar sind Cyber- und Dateneigenschäden und eine Außenhaftungsversicherung für Geschäftsführer und Manager.
Zweifellos ist es eine gute Idee, wenn Makler Niendieck zusätzlichen Rechtsschutz, inklusive Strafrecht, empfiehlt. In Vermögensfragen oder auch als sogenannter passiver Rechtsschutz ist eine entsprechende Komponente jedoch in Vermögensschaden- oder Betriebshaftpflicht zumindest mit enthalten. Damit dürfte immerhin dann mit Hilfe zu rechnen sein, wenn Geschädigte den DSB verklagen und er sich wehren muss. Zum Beispiel gegen einen Wohnungsbesitzer mit Legionellen.
