Haftpflichtfrage

Versi­che­rungs­schutz rund um Cyber

4. Daten­schutz­be­auf­tragter

Der Versi­che­rungs­schutz bestimmt sich danach, ob es sich um einen internen oder externen Daten­schutz­be­auf­tragten handelt.

Wenn der externe Daten­schutz­be­auf­tragte einen Verstoß begangen hat, haftet die Kanzlei für den Schaden. Sie kann Regress beim Daten­schutz­be­auf­tragten nehmen. Er haftet für jeden schuld­haften Verstoß nach dem zugrun­de­lie­genden Auftragsverhältnis. Hierfür ist ein geson­derter Versi­che­rungs­schutz erfor­derlich, der die Tätigkeit als Daten­schutz­be­auf­tragten speziell versi­chert für die gesetz­lichen Haftpflicht­ansprüche. Anzumerken ist, dass die Berufs­haft­pflicht­ver­si­cherung auch nicht die Vermögensschäden abdeckt, wenn ein Anwalt als externer Daten­schutz­be­auf­tragter tätig ist. Ein Rechts­anwalt übt als extern bestellter Daten­schutz­be­auf­tragter weder den Beruf eines Rechts­an­walts aus, noch ist diese Tätigkeit diesem Beruf ähnlich (BFH BeckRS 2003, 25002381; FG München BeckRS 2017, 137818).

Wenn ein interner Daten­schutz­be­auf­tragter einen Verstoß begangen hat, haftet gleich­falls die Kanzlei. Sie kann dafür ebenfalls Regress nehmen. Anders als der externe Daten­schutz­be­auf­tragte haftet der interne Daten­schutz­be­auf­tragte aber nur eingeschränkt nach arbeits­ver­trag­lichen Grundsätzen. Es handelt sich dann im Übrigen auch nicht um einen Dritt­schaden wie beim externen Daten­schutz­be­auf­tragten. Die Kanzlei hat einen Eigen­schaden. Versi­che­rungs­schutz für den internen Daten­schutz­be­auf­tragten kann im Einzelfall geboten werden über eine D&O-Versi­cherung, speziell die Kanzlei­ma­na­ger­de­ckung oder auch über die ODL (Outside-Direc­torship Liability).

Bei der Versi­cherung von Daten­schutz­be­auf­tragten ist besonders, dass gegenüber dem Unter­nehmen/Kanzlei Ansprüche wegen Daten­schutz­ver­let­zungen geltend gemacht werden. Die Unter­nehmen/Kanzlei können möglicher­weise die Schäden bei dem Daten­schutz­be­auf­tragten regres­sieren. Noch offen ist, ob der Daten­schutz­be­auf­tragte für Geldbußen überhaupt haftet und hierfür Versi­che­rungs­schutz besteht. Grundsätzlich haftet ein Geschäftsführer nicht für dem Unter­nehmen aufer­legte Geldbußen oder Strafen, zumindest hat dies das LAG Düsseldorf im Schie­nen­kar­tellfall entschieden (LAG Düsseldorf CCZ 2015, 185). Das BAG hat wieder zurückver­wiesen, weil es unzuständig ist bei einer kartell­recht­lichen Vorfrage (BAG NJW 2018, 184). In der D&O-Versi­cherung sind auch regelmäßig Strafen/Geldbußen ausge­schlossen.

Anwälten ist zu raten, sich umfassend gegen diese Art von Schäden abzusi­chern. Dabei ist indivi­duell der Versi­che­rungs­bedarf zu prüfen. Den derzeit weitest gehenden Schutz bieten die Cyber-Deckungen.

 


Zurück