Haftung des Datenschutzbeauftragten

Wer von einem Unternehmen als interner (betrieblicher) oder externer Datenschutzbeauftragter bestellt wird, nimmt gemäß der Datenschutz-Grundverordnung (DSGVO) nicht nur eine beratende Funktionen im Unternehmen ein, sondern auch eine überwachende. Mit dieser Verantwortung kommt auf den Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der Beauftragte für Datenschutz haftet und wie sich Haftungsrisiken von internem und externem Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.

Grundsätzliches zur Haftung des Datenschutzbeauftragten

Zuerst einmal sollte klargestellt werden, dass der Datenschutzbeauftragte nicht für die Datenverarbeitung oder Datenschutzverstöße des Verantwortlichen haftet. Im Rahmen seiner Stellung kann der Beauftragte für Datenschutz keine Weisungen erteilen und demnach Ursachen für Verstöße gegen das Datenschutzrecht nicht selbst abstellen.

Allerdings können sowohl das Unternehmen als auch Betroffene Schadensansprüche gegen den Datenschutzbeauftragten geltend machen: Beispielsweise haftet er dem Verantwortlichen gegenüber, wenn dem Verantwortlichen ein Schaden (z.B. Bußgeld durch die Aufsichtsbehörde) entsteht, welcher auf eine falsche Beratung zurückzuführen ist.

Für Schäden von Betroffenen kommt eine Haftung des Beauftragten für Datenschutz in Betracht, wenn der Verantwortliche z.B. aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt, aufgrund welcher ein Betroffener einen Schaden erleidet. Mangels vertraglicher Beziehungen löst solch eine Handlung einen deliktischen Anspruch des Betroffenen aus.

Welches finanzielle Risiko geht mit der Haftung einher?

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:

  1. Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
  2. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
  3. Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.

Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.

Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.

Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt.  Ein externer Datenschutzbeauftragter profitiert demnach nicht vom „innerbetrieblichen Schadenausgleich“. Demnach haftet der externe Datenschutzbeauftragte gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.

Immer wieder gibt es auch Fälle, in denen ein angestellter – also interner – Beauftragter für Datenschutz gleichzeitig andere Unternehmen im Konzern betreut. Sofern der Datenschutzbeauftragte hier nicht angestellt ist, ist er bei diesen Unternehmen dann externer Datenschutzbeauftragter.

Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?

Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.

Wie können sich Datenschutzbeauftragte gegen Haftung absichern?

Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg muss die Einschaltung der Aufsichtsbehörde in Betracht gezogen werden. Die Argumente für die getroffene Entscheidung über die Einschaltung sind ebenfalls zu dokumentieren.

Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Die DSGVO stellt deutlich hohe und ggf.  existenzbedrohende Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht. Um den Konzern-Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die betreffenden Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Beauftragten für Datenschutz von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den betreffenden Angestellten abzuschließen.

Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer ausgenommen, grob fahrlässiges Handeln in der Regel auch. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.

Dieser aktualisierte Artikel erschien zuerst am 15. April 2011.

In unserem kostenlosen Whitepaper zum betrieblichen Datenschutzbeauftragten finden Sie alle Informationen zu Voraussetzungen, Stellung und Aufgaben.

2 Comments

  1. Klaus Alpmann Profile Picture
    Klaus Alpmann

    Guten Tag Frau Dr. Søerensen,
    vielen Dank für den interessanten Beitrag. Als interner DSB gelten nach meiner Ansicht die Regeln des Arbeitsrechts:

    • leichte Fahrlässigkeit: keine Haftung des Arbeitnehmers.
    • mittlere/normale Fahrlässigkeit: Arbeitnehmer trägt den Schaden anteilig, zumeist zur Hälfte.
    • grobe Fahrlässigkeit: Arbeitnehmer trägt den Schaden voll, jedoch nur bis zu einem Höchstbetrag von drei Bruttomonatsgehältern.

    Siehe http://www.juraindividuell.de/artikel/die-haftung-des-arbeitnehmers-schadensersatzpflicht-des-arbeitnehmers/

    Die Haftung ist also “gedeckelt”, was gut ist für den internen DSB und schlecht für die verantwortliche Stelle. Vielleicht kann man den Hinweis mit der Deckelung noch in Ihren Beitrag aufnehmen.

    Ich würde dennoch gerne für mich als DSB eines großen Konzerns eine Versicherung abschließen. Bei der Größe des Unternehmens sind Falschberatungen nicht ausgeschlossen, und drei Monatsgehälter “tun auch weh”. Kennen Sie eine empfehlenswerte Versicherung?

    Herzlichen Dank und freundliche Grüße

    1. Ulrich Lasser Profile Picture
      Ulrich Lasser

      Hallo Herr Alpmann,

      vielen Dank für Ihren Kommentar. Sie sprechen da einen interessanten Punkt an, bei dem möglicherweise Missverständnisse aufkommen können.

      Beim innerbetriebliche Schadensausgleich, von dem hier die Rede ist, handelt es sich um ein Konstrukt der Rechtsprechung und keine normierte Regelung aus dem Arbeitsrecht. Hier zu sagen, dass bei grober Fahrlässigkeit immer eine Freistellung des Arbeitnehmers bis zu einer maximalen Haftungssumme von drei Bruttomonatsgehältern stattfindet, wäre als Jurist, um beim Thema zu bleiben, grob fahrlässig. Eine pauschale Höchstgrenze gibt es nicht und wird vom BAG auch abgelehnt. Es ist immer der konkrete Einzelfall zu würdigen.

      Die von Ihnen angesprochene Deckelung ist ein Richtwert, an dem sich die Arbeitsgerichte häufig orientieren, um die Haftung nicht ausufern zu lassen. Eine Garantie, dass im Einzelfall so entschieden wird, haben Sie aber nicht. Die von Ihnen angeführte Seite richtet sich mit der pauschalen Aussage an Studenten und Referendare und bezieht sich auf die Lösung von Klausuren, wo solches Wissen um die Rechtsprechung gewürdigt wird, und sollte nicht als fixe Aussage im Sinne einer Rechtsberatung verstanden werden.

      Sie haben also vollkommen recht, wenn Sie eine Versicherung abschließen wollen. Eine konkrete Versicherung kann ich Ihnen hier aber nicht empfehlen.

      Viele Grüße
      Ulrich Lasser

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.