Haftungsausschluss interner Datenschutzbeauftragter

MenkeMineraloele · 26. März 2020 um 08:17

Hallo Zusammen

ich bin auf der Suche nach einem Muster das die mittlere Fahrlässigkeit von DSB im Arbeitsvertrag ausschließt.
Ich bin interner Datenschutzbeauftragter in einem mittelständigen Unternehmen.

Selbstverständlich kann man hierzu auch einen kleinen Zweizeiler selbst verfassen… da wäre ich mir allerdings unsicher ob das auch „wasserdicht“ ist.

Hat jemand schon so eine Vereinbarung in seinem Arbeitsvertrag?

Danke euch vorab für eure Antworten & Anregungen

Viele Grüße
Alex

ado · 26. März 2020 um 11:40

Was steht denn bisher dazu drin?

MenkeMineraloele · 26. März 2020 um 12:06

Im Arbeitsvertrag steht dazu bisher nichts.
In der Bestellung zum DSB ist zum Haftungsausschluss auch nichts geregelt. Wäre hier denke ich auch fehl am Platz.

ado · 26. März 2020 um 15:48

ach so, hatte ich falsch verstanden. Da ich extern unterwegs habe ich das im Vertrag geregelt über die Deckelung der Schadenshöhe geregelt.

Für den internen DSB gilt, wie mEn für alle Arbeitnehmer folgender Schadenausgleich mit dem Arbeitgeber:

Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet regelmäßig allein und in vollem Umfang
Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer
Leichte Fahrlässigkeit: Arbeitnehmer ist von der Haftung freizustellen

In der Regel sehe ich hier wenig Möglichkeiten für den Arbeitgeber bereits normale Fahrlässigkeit anzuzeigen, wenn man seine Aufgabe nach Besten wissen und Gewissen umsetzt. Die Frage in diesem Kontext ist ja auch, wie viel Arbeitszeit mir überhaupt für Datenschutz zugestanden wird.

Will man das Explizit Regeln müsste man in einem zusätzlichen Vertrag den Schadensausgleich regeln, zB:

„Für normale Fahrlässigkeit in der Ausübung der Tätigkeit als DSB haftet der Arbeitnehmer regelmäßig in vollem Umfang.“

Ich würde aber - vor allem wenn wenige Daten gemäß Art 9 DSGVO verarbeitet werden - nichts weiter regeln.

Bin aber kein Jurist respektive Arbeitsrechtler

Hilft das weiter?

MenkeMineraloele · 27. März 2020 um 08:20

Soweit korrekt, ja.

Ich würde natürlich gerne die Normale Fahrlässigkeit für den Arbeitnehmer, nicht für den Arbeitgeber ausschließen.

Aber ich denke das wird eher schwierig zu regeln sein & im tatsächlichen worst case nicht groß zum tragen kommen.

Ich denke also es bedarf tatsächlich keiner zusätzlichen Regelung

EversW · 28. März 2020 um 07:19

Um im Falle eines Rechtsstreites (vermutlich eher zivilrechtlich) die nötigen Beweise „in der Hand zu haben“ empfehle ich dringend jedes Gespräch, jeden Hinweis, auch Telefonate, Tätigkeitsberichte etc, die belegen können, dass der Verantwortliche auf Situationen, Missstände etc hingewiesen wurde, schriftlich zu dokumentieren. Das kann man alles in Robin Data im Tätigkeitenmanager erstellen oder auch Gesprächs- und Aktennotizen als PDF in den Datei-Manager hochladen. Wichtig ist, dass man als DSB dadurch beweisfähig bleibt!

ado · 28. März 2020 um 13:12

Da bin ich dabei!

In der Robin Data Software gibt es dafür ja gerade den Tätigkeitenmanager: https://help.robin-data.io/taetigkeiten-manager

An dieser Stelle nochmal die Bitte / der Hinweis: wenn ihr Ideen für Features oder Wünsche und Anregungen zu Software habt, könnne diese in die Kategorie „Robin Data Software“ gepostet werden:
https://community.robin-data.io/c/robin-data-software/7

Ich danke für die Mitarbeit, damit das Werkzeug Robin Data immer besser für Eure Zwecke wird

MikePD · 21. April 2020 um 07:46

Unsere Haftung als DSB ist doch ein spannendes Thema. Jedes Jahr gibt es einen Tätigkeitsbericht mit einer Planung Zeit/Geld und in meiner Arbeit als DSB bin ich weisungsbefreit. Nun überschüttet mich der Arbeitgeber mit anderen Tätigkeiten und ich erfülle mein Datenschutz-Soll nicht. Auf welcher Seite liegt nun die Fahrlässigkeit? Deshalb meine Frage an die community: Wieviel Arbeitszeit pro Woche sollte ein DSB erbringen, um die Anforderungen einer Aufsichtsbehörde zu erfüllen? Meine Ansicht: ca.25h/Woche

ado · 21. April 2020 um 15:23

Ich würde sagen je nach Unternehmen, Größe und Branche und Art der verarbeitenden Daten varriieren sollten. zB:

Kleines KMU < 50 MA : 10% der AZ
Mittleres KMU bis zu 500 MA: 30-50% der AZ
größeres KMU oder Behörde / Kommune eher 50-100% der AZ

Was meint ihr?

MikePD · 23. April 2020 um 06:27

Danke für die schnelle Antwort. Bei Kategorie 1 im Gesundheitswesen reichen mir diese angenehmen 10% leider nicht aus. In den vergangenen Monaten richtete sich ein größerer Teil meiner Arbeit auf die Abwehr von Mitbewerbern, welche seit dem 25.08.2018 beim Datenschutz „mitmachen“. Hier wurden die Unterschiede in den Grundlagen zur Umsetzung Datenschutz deutlich sichtbar. In Vorbereitung einer funktionieren Telematik muss wohl noch die Erkenntnis reifen, dass eine Arbeit miteinander für jeden DSB in der Pflege der bessere Weg ist. Nur so öffnen wir unseren Mitarbeitern den Weg in der praktischen Arbeit.

ado · 23. April 2020 um 08:06

Würde ich auch sagen. 10% sind zu wenig. Muss man nach Branche klassifizieren.

Ich finde es bedenklich, dass so viele „Goldgräber“ unterwegs sind…Na ja, da hilft nur gegensteuern…