Das OLG München (Urteil vom 27.10.2021 – 20 U 7051/20) hat entschieden, dass ein Datenschutzbeauftragter („DSB“) nicht als Verantwortlicher auf Schadensersatz nach Art. 82 DSGVO in Anspruch genommen werden kann.

Was war passiert?

Der Eigentümer einer Eigentumswohnung verklagte neben der Hausverwaltung seiner Wohnanlage auch den externen DSB auf Schadensersatz. Die Hausverwaltung hatte unter Beteiligung des DSB an alle Wohnungseigentümer der Wohnanlage eine Einladung zur Eigentümerversammlung mit der Überschrift „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ nebst Information darüber, welche Parteien betroffen waren, übermittelt. Weil sein Name genannt wurde, sah sich der Kläger in seinem Persönlichkeitsrecht verletzt und machte immaterielle und materielle Schäden geltend.

Was urteilte das Gericht?

Das OLG München entschied wie schon das LG Landshut (Urteil vom 6.11.2020 – 51 O 513/20), dass dem Kläger kein Anspruch auf Schadensersatz zustehe.

Zunächst hielt das Gericht die Nennung des Namens des Klägers für rechtmäßig. Nicht jeder Verstoß gegen die DSGVO löse einen Anspruch nach Art. 82 DSGVO aus. Im Hinblick auf immaterielle Ersatzansprüche müsse dem Betroffenen ein spürbarer Nachteil entstanden sein und die Beeinträchtigung objektiv nachvollziehbar mit gewissem Gewicht für die persönlichen Belange sein.

Außerdem urteilte das OLG, dass der externe DSB kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sei und deshalb nicht hafte. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne sei bezüglich der Versendung der Einladung allein die zuständige Hausverwaltung gewesen.

Wie steht der Datenschutzbeauftragte zum Verantwortlichen?

Nach der Gesetzesdefinition ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ Der DSB ist zwar ein Teil der verantwortlichen Stelle. Er unterrichtet und berät sie. Er überwacht die Einhaltung der DSGVO und andere Datenschutzvorschriften sowie die Strategien des Verantwortlichen für den Schutz personenbezogener Daten. Nicht aber ist er Auftragsverarbeiter oder gar selbst verantwortliche Stelle, da er weder Weisungen erteilt noch Weisungen erhält. Am Ende ist allein der Verantwortliche für die Umsetzung des Datenschutzes im Unternehmen verantwortlich. Dem DSB kommt nur eine unterrichtende, beratende und überwachende Funktion zu.

Wann haftet der Datenschutzbeauftragte trotzdem?

Der DSB haftet also nicht nach Art. 82 DSGVO. Wie jedermann kann er aber auf Schadensersatz in Anspruch genommen werden, wenn er deliktisch handelt, etwa gegen Verschwiegenheitspflichten verstößt. Bei internen DSB sind jedoch die Grundsätze der beschränkten Arbeitnehmerhaftung zu beachten. Eine volle Haftung des Inhouse-DSB kommt in der Regel nur bei Vorsatz und grober Fahrlässigkeit in Betracht. Im Übrigen ist er von seinem Arbeitgeber (teilweise) freizustellen.

Bei Pflichtverletzungen gegenüber seinem Vertragspartner (dem Verantwortlichen) kann der DSB nach §§ 280 ff. BGB haften, was denkbar ist, wenn er seinen Überwachungspflichten nach Art. 39 DSGVO nicht ordnungsgemäß nachkommt. In solchen Fällen wird aber häufig ein Mitverschulden des Verantwortlichen gemäß § 254 BGB anspruchsmindernd zu berücksichtigen sein.