Haftungsausschluss interner Datenschutzbeauftragter

Hallo Zusammen :slight_smile:

ich bin auf der Suche nach einem Muster das die mittlere Fahrlässigkeit von DSB im Arbeitsvertrag ausschließt.
Ich bin interner Datenschutzbeauftragter in einem mittelständigen Unternehmen.

Selbstverständlich kann man hierzu auch einen kleinen Zweizeiler selbst verfassen… da wäre ich mir allerdings unsicher ob das auch „wasserdicht“ ist.

Hat jemand schon so eine Vereinbarung in seinem Arbeitsvertrag?

Danke euch vorab für eure Antworten & Anregungen :slight_smile:

Viele Grüße
Alex

Was steht denn bisher dazu drin?

Im Arbeitsvertrag steht dazu bisher nichts.
In der Bestellung zum DSB ist zum Haftungsausschluss auch nichts geregelt. Wäre hier denke ich auch fehl am Platz.

ach so, hatte ich falsch verstanden. Da ich extern unterwegs habe ich das im Vertrag geregelt über die Deckelung der Schadenshöhe geregelt.

Für den internen DSB gilt, wie mEn für alle Arbeitnehmer folgender Schadenausgleich mit dem Arbeitgeber:

  • Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet regelmäßig allein und in vollem Umfang
  • Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer
  • Leichte Fahrlässigkeit: Arbeitnehmer ist von der Haftung freizustellen

In der Regel sehe ich hier wenig Möglichkeiten für den Arbeitgeber bereits normale Fahrlässigkeit anzuzeigen, wenn man seine Aufgabe nach Besten wissen und Gewissen umsetzt. Die Frage in diesem Kontext ist ja auch, wie viel Arbeitszeit mir überhaupt für Datenschutz zugestanden wird.

Will man das Explizit Regeln müsste man in einem zusätzlichen Vertrag den Schadensausgleich regeln, zB:

  • „Für normale Fahrlässigkeit in der Ausübung der Tätigkeit als DSB haftet der Arbeitnehmer regelmäßig in vollem Umfang.“

Ich würde aber - vor allem wenn wenige Daten gemäß Art 9 DSGVO verarbeitet werden - nichts weiter regeln.

Bin aber kein Jurist respektive Arbeitsrechtler :wink:

Hilft das weiter?

Soweit korrekt, ja.

Ich würde natürlich gerne die Normale Fahrlässigkeit für den Arbeitnehmer, nicht für den Arbeitgeber ausschließen.

Aber ich denke das wird eher schwierig zu regeln sein & im tatsächlichen worst case nicht groß zum tragen kommen.

Ich denke also es bedarf tatsächlich keiner zusätzlichen Regelung :slight_smile:

1 „Gefällt mir“

Um im Falle eines Rechtsstreites (vermutlich eher zivilrechtlich) die nötigen Beweise „in der Hand zu haben“ empfehle ich dringend jedes Gespräch, jeden Hinweis, auch Telefonate, Tätigkeitsberichte etc, die belegen können, dass der Verantwortliche auf Situationen, Missstände etc hingewiesen wurde, schriftlich zu dokumentieren. Das kann man alles in Robin Data im Tätigkeitenmanager erstellen oder auch Gesprächs- und Aktennotizen als PDF in den Datei-Manager hochladen. Wichtig ist, dass man als DSB dadurch beweisfähig bleibt!

1 „Gefällt mir“

Da bin ich dabei!

In der Robin Data Software gibt es dafür ja gerade den Tätigkeitenmanager: https://help.robin-data.io/taetigkeiten-manager

An dieser Stelle nochmal die Bitte / der Hinweis: wenn ihr Ideen für Features oder Wünsche und Anregungen zu Software habt, könnne diese in die Kategorie „Robin Data Software“ gepostet werden:
https://community.robin-data.io/c/robin-data-software/7

Ich danke für die Mitarbeit, damit das Werkzeug Robin Data immer besser für Eure Zwecke wird :wink:

Unsere Haftung als DSB ist doch ein spannendes Thema. Jedes Jahr gibt es einen Tätigkeitsbericht mit einer Planung Zeit/Geld und in meiner Arbeit als DSB bin ich weisungsbefreit. Nun überschüttet mich der Arbeitgeber mit anderen Tätigkeiten und ich erfülle mein Datenschutz-Soll nicht. Auf welcher Seite liegt nun die Fahrlässigkeit? Deshalb meine Frage an die community: Wieviel Arbeitszeit pro Woche sollte ein DSB erbringen, um die Anforderungen einer Aufsichtsbehörde zu erfüllen? Meine Ansicht: ca.25h/Woche :roll_eyes:

1 „Gefällt mir“

Ich würde sagen je nach Unternehmen, Größe und Branche und Art der verarbeitenden Daten varriieren sollten. zB:

  1. Kleines KMU < 50 MA : 10% der AZ
  2. Mittleres KMU bis zu 500 MA: 30-50% der AZ
  3. größeres KMU oder Behörde / Kommune eher 50-100% der AZ

Was meint ihr?

1 „Gefällt mir“

Danke für die schnelle Antwort. Bei Kategorie 1 im Gesundheitswesen reichen mir diese angenehmen 10% leider nicht aus. In den vergangenen Monaten richtete sich ein größerer Teil meiner Arbeit auf die Abwehr von Mitbewerbern, welche seit dem 25.08.2018 beim Datenschutz „mitmachen“. Hier wurden die Unterschiede in den Grundlagen zur Umsetzung Datenschutz deutlich sichtbar. In Vorbereitung einer funktionieren Telematik muss wohl noch die Erkenntnis reifen, dass eine Arbeit miteinander für jeden DSB in der Pflege der bessere Weg ist. Nur so öffnen wir unseren Mitarbeitern den Weg in der praktischen Arbeit. :sunglasses:

1 „Gefällt mir“

Würde ich auch sagen. 10% sind zu wenig. Muss man nach Branche klassifizieren.

Ich finde es bedenklich, dass so viele „Goldgräber“ unterwegs sind…Na ja, da hilft nur gegensteuern…