DSB eines Unternehmens mit weiteren eigenständigen Unternehmen

Hallo in die Runde,

folgende Situation:
Ein Unternehmen, welches einen DSB benannt hat, gründet ein Tochterunternehmen, welches ebenfalls der Verpflichtung unterliegt einen DSB zu benennen.
Um Kosten für das doppelte Vorhalten bestimmter Funktionen der Verwaltungen zu sparen hat das Mutterunternehmen mit dem Tochterunternehmen einen Dienstleistungsvertrag geschlossen über den Dienstleistungen im Tochterunternehmen von Mitarbeitern im Mutterunternehmen übernommen werden. Diese Dienstleistungen sind mit einer Jahrespauschale abgegolten. Zu den Dienstleistungen gehören u.A.:

  • Personalwesen
  • IT
  • Controlling
  • Abrechnungwesen
  • Datenschutz
  • Und weiteres

Wenn der interne DSB des Mutterunternehmen nun für das Tochterunternehmen auf Basis dieses Dienstleistungsvertrages tätig wird, ist das doch dann eine Tätigkeit als externer DSB mit den daraus resultierenden Konsequenzen wie z.B. des höheren Haftungsrisikos. Oder?
Als interner DSB haftet man doch lediglich bei grober Fahrlässigkeit oder Vorsatz, wie jeder normale Mitarbeiter auch. Externe DSB können jedoch schon bei leichter Fahrlässigkeit in die Haftung genommen werden, was ein ungleich höheres Haftungsrisiko für den internen DSB im Mutterunternehmen bedeutet würde.
Um für den internen DSB das Risiko zu reduzieren könnte aus meiner Sicht doch nur eine ausdrückliche Haftungsbegrenzung im Dienstleistungsvertrag sorgen oder man bietet dem internen DSB beim Mutterunternehmen einen Minijob beim Tochterunternehmen an.
Damit wäre zumindest das Haftungsrisiko auf das über Haftungsrisiko, welches man als Arbeitnehmer ohnehin schon hat zurück geführt, mal losgelöst von der Grundsatzfrage, ob der interne DSB des Mutterunternehmens seinen Aufgaben nach Art. 39 DSGVO überhaupt nach kommen kann.

Die weitere Frage ist auch noch die, wen man im Falle der Anwendung des Dienstleistungsvertrages als DSB für das Tochterunternehmen bei der Aufsichtsbehörde benennt. Das Mutterunternehmen als Dienstleister oder den internen DSB des Mutterunternehmens?

Viele Grüße

T.

Ja, die beiden Unternehmen sind untereinander (bzw. im Verhältnis zu betroffenen Personen) “Dritte”. Der DSB von M ist nicht automatisch DSB von T. Bei T ist er externer, bei M interner DSB.

Unter dem Aspekt der höheren persönlichen Haftung ist es nicht selbstverständlich, dass der DSB die Aufgabe bei T durch Vertragsabschluss zwischen M und T übernimmt. Da sich daraus für ihn zusätzliche Pflichten über den Tellerrand des Bschäftigungsverhältnisses hinaus ergeben, müsste er m. E. die"Bennennung" durch T ausdrücklich annehmen, damit sie wirksam wird. (DSB muss sich nicht gefallen lassen, was M und T über ihn hinweg zu seinen Lasten vereinbaren; außer sein Arbeitsvertrag sieht solche Erweiterungen vor; ohne Haftungsbegrenzung würden sie jedoch arg einseitig ausfallen.)

Neben der vertraglichen Haftungsbegrenzung wäre auch eine vertragliche Haftungsübernahme durch den Arbeitgeber (M) denkbar; oder dass der Arbeitgeber für den DSB eine passende Haftpflichtversicherung abschließt.

Als DSB kann wegen der nötigen Fachkunde nur eine natürliche Person berufen werden. D. h. bei Dienstleistungsverträgen mit verbundenen Unternehmen oder mit Datenschutzberatungsgesellschaften ist immer jemand als “der/die” DSB festzulegen. Meinetwegen abwechselnd aus einem Berater-Pool, und die anderen arbeiten jeweils nur zu. DSB sind namentlich bei der Aufsichtsbehörde zu melden. (Praktischerweise mit extra Mailadresse, weil manche Behörden schon bekannte Adressen nicht nochmal für andere Verantwortliche zulassen. Und damit der DSB besser sehen kann, auf welchen betreuten Verantwortlichen sich eingegangene Mails beziehen.)

D., der empfiehlt, die DSB-Haftung im Dienstleistungsvertrag auf das Arbeitnehmer-Niveau zurückzuschrauben. Dann haftet er auch bei T wie ein interner DSB.

2 „Gefällt mir“