ich bin bDSB eines Unternehmens. Es kam wegen der Verwechslung von Mitarbeitern zu einem meldepflichtigen Datenschutzvorfall. Es wurde einem anderen Mitarbeiter mit identischem Vor- und Nachnamen ein Brief mit sensiblen Inhalten zugestellt.
Die Risikobewertung ergab ein bestehendes Risiko für Rechte und Freiheiten der betroffenen Person. Als bDSB habe ich der GF empfohlen die der Aufsichtsbehörde zu melden.
Aus Transparenzgründen wurde die Betroffene Person durch den Arbeitgeber bzw. die Personalabteilung über den Vorfall informiert.
Wie sollte ich mich als betrieblicher DSB nun dem Mitarbeiter gegenüber verhalten? Formal hat er gem. Art. 82 DSGVO das Recht Schadensersatz gegenüber dem Verantwortlichen geltend zu machen. Die Frage ob der Mitarbeiter das grundsätzlich weiß, würde ich klar mit “Nein” beantworten. So tief steckt ein normaler Mitarbeiter garantiert nicht im Datenschutzrecht. Muss oder soll ich den Mitarbeiter auf sein Recht auf Schadensersatz hinweisen?
Ich finde keine Pflicht, als DSB bei den Betroffenen Werbung machen zu müssen.
Pflichten, die den Verantwortlichen treffen: (nicht den DSB)
.Art. 13, 14, 15, 33, 34: enthalten Pflichten, über bestimmte Rechte zu informieren; nicht über Schadenersatz. Art. 82 auch nicht. Nur dass ggf. Schaden zu ersetzen wäre (falls das jemand verlangt).
Aufgaben des DSB:
Art. 39 enthält keine Information an die betroffenen Personen. Unterrichten und Schulen der Beschäftigten nur in Bezug auf ihre Mitwirkung an Pflichten des Verantwortlichen; nicht als betroffene Personen.
Art. 38 verpflichtet nur den Verantwortlichen. U. a. dafür zu sorgen, dass betroffene Personen den DSB “zu Rate ziehen” können. Nicht aktiv zu informieren.
D., der sich nicht als DSB aus dem Fenster lehnen würde.
vielen Dank für Deine Einschätzung, ich habe mich selbst auch noch einmal intensiver mit Art. 34 auseinander gesetzt. Weiter habe ich auch die den Art. 34 betreffende Erwägungsgründe (86-88) sowie die aktuelle Auflage des DSGVO-Kommtar von Gola/Heckmann zurate gezogen.
Auch dort findet sich nirgendwo ein Hinweis darauf, dass der betroffenen Mitarbeiter auf sein Recht gem. Art. 82 hingewiesen werden muss und schon grad gar nicht durch den bDSB.
Rein rechtlich in der Rolle des DSB hab ich D. nichts hinzuzufügen.
Das sollte einen - als Kollegen - jedoch nicht davon abhalten Solidarität mit Kollegen zu zeigen und es gibt einiges, dass auf der Tonspur oder durch den Flurfunk kommuniziert werden kann, sofern es deine Position/das Betriebsklima erlaubt.
Ansonsten ist das aber auch gerne ein Punkt den ich in eine allgemeine Datenschutzschulung einfließen lasse, i. S. von “Datenschutz ist wichtig, weil bei Verstößen nicht nur die Behörden Bußgelder verhängen können, sondern auch die Betroffenen Schadensersatz nach XYZ fordern können. In der Vergangenheit wurden XY Summen bei ZX Verstößen zugesprochen”. Das ist etwas, was man m. E. gut in eine Schulung packen kann, weil es sensibilisiert und informiert.
Ich sehe das anders ,der DSB bzw. der Verantwortliche (in diesem Fall GL , Personalabteilung) hat gegen über dem Betroffenen eine Auskunftspflicht über seine Rechte als Betroffener . Darunter fällt meines erachten auch die Information bezüglich Schadenersatzansprüche.
Ich schließe mich D. insofern an, dass ich weder in der DSGVO noch im BDSG eine Pflicht, sei es direkt oder indirekt für den Verantwortlichen oder DSB finden konnte.
Maximal die Pflicht auf das Recht auf Beschwerde bei der Behörde, die einen dann ja ggfs. auf den Schadensersatzweg hinweisen könnte.
Darüber hinaus wäre ja am ehesten wohl der Verantwortliche verpflichtet und nicht der DSB (der nicht einfach dessen verlängerte Datenschutzhand ist), dessen Position und Aufgaben in Art 38,39 DSGVO, §38 i. V. m. §6 (4), (5), (6) BDSG m. E. abschließend geregelt sind.