Im Rahmen unserer Beitragsreihe „Der Datenschutzbeauftragte in der Praxis“ haben wir uns bereits mit den Fragen beschäftigt, wer einen Datenschutzbeauftragten braucht, wie man ein solcher wird und was diesem für Aufgaben obliegen. Zum Abschluss beschäftigen wir uns mit der Frage, wie und gegenüber wem der Datenschutzbeauftragte bei einem Verstoß haftet.

Der Datenschutzbeauftragte haftet nicht aus der DS-GVO selbst, da er weder als Verantwortlicher (wie unser Kollege Dr. Daniel Hußmann schon berichtete), noch als Auftragsverarbeiter zu klassifizieren ist.

Die Haftung richtet sich also nach den allgemeinen zivilrechtlichen Maßstäben.

I. Haftung gegenüber dem Verantwortlichen

Zunächst kommt die Haftung des Datenschutzbeauftragten gegenüber dem Verantwortlichen in Betracht. Hier ist zwischen dem internen Datenschutzbeauftragten (der aufgrund eines Arbeitsvertrages nach § 611a BGB tätig wird) und dem externen Datenschutzbeauftragten (der i.d.R. aufgrund eines Geschäftsbesorgungsvertrag nach § 675 BGB tätig wird) zu unterscheiden.

1. Interner Datenschutzbeauftragter 

Die Haftung des internen Datenschutzbeauftragten gegenüber dem Verantwortlichen bzw. seinem Arbeitgeber ergibt sich aus §§ 280 ff. BGB i.V.m. § 611a BGB.

Normalerweise gilt, dass wenn eine Pflichtverletzung nachgewiesen wurde, vermutet wird, dass der Schadensersatzpflichtige diese auch zu vertreten hat (also vorsätzlich oder zumindest fahrlässig gehandelt hat). Im Arbeitsrecht gilt dies nicht. Hier muss dem Arbeitnehmer nachgewiesen werden, dass dieser die Pflichtverletzung auch zu vertreten hat (§ 619a BGB). Für Beamte gilt sogar gemäß § 75 Abs. 1 S. 1 BBG, dass diese nur dann haften, wenn sie vorsätzlich oder zumindest grob fahrlässig gehandelt haben.

Im Rahmen der Haftung des internen Datenschutzbeauftragten gegenüber dem Verantwortlichen (also seinem Arbeitgeber) sind die Grundsätze der beschränkten Arbeitnehmerhaftung zu berücksichtigen. Sofern der Arbeitnehmer nicht grob fahrlässig oder vorsätzlich gehandelt hat, so hat der Arbeitgeber diesen von der Haftung (zumindest teilweise) freizustellen. Ferner wird dem Arbeitgeber als Verantwortlichen in vielen Fällen ein Mitverschulden gemäß § 254 BGB zuzusprechen sein, was den Schadensersatzanspruch zusätzlich mindern wird.

Die Haftung wird i.d.R. auch dann ausgeschlossen sein, wenn der Verantwortliche die Empfehlungen des Datenschutzbeauftragten nicht umgesetzt hat. Aus Nachweisgründen ist dem Datenschutzbeauftragten zu empfehlen, eine Dokumentation über seine Empfehlungen zu führen.

2. Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte haftet gegenüber dem Verantwortlichen grundsätzlich nach §§ 280 ff. BGB i.V.m. § 675 BGB.

Mangels Anstellungsverhältnis greift hier nicht der Freistellungsanspruch im Rahmen der beschränkten Arbeitnehmerhaftung, sodass der externe Datenschutzbeauftragte grundsätzlich vollumfänglich haften würde. Allerdings sind vertraglich vereinbarte Haftungsausschlüsse /-begrenzungen zulässig.

Im Übrigen gelten die Ausführungen zur Haftung des internen Datenschutzbeauftragten.

II. Haftung gegenüber dem Betroffenen

Ferner stellt sich die Frage, wie der Datenschutzbeauftragte gegenüber den Betroffenen haftet.

Wie bereits oben ausgeführt haftet er nicht unmittelbar aus der DS-GVO. Auch haftet er nicht aus den §§ 280 ff. BGB i.V.m. den Grundsätzen eines Vertrages mit Schutzwirkung zugunsten Dritter.

Die Haftung gegenüber den Betroffenen richtet sich also nach § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. Art. 39 DS-GVO. Darüber hinaus ist bei vorsätzlichem Verstoß gegen die Verschwiegenheitspflicht auch ein Anspruch aus § 826 BGB denkbar.

Als schädigende Handlungen kommen insbesondere eine aktive Falschberatung, ein Verstoß gegen die Verschwiegenheitspflicht sowie das Unterlassen von Überwachungsmaßnahmen, zu denen der Datenschutzbeauftragten nach Art. 39 DS-GVO verpflichtet ist, in Betracht. Hierbei wird jedoch häufig die Kausalität des Verhaltens des Datenschutzbeauftragten für die Rechtsgutsverletzung beim Betroffenen nur schwer nachzuweisen sein. Daher werden sich die Haftungsfälle in der Praxis i.d.R. auf die Fälle beziehen, in denen der Datenschutzbeauftragte vorsätzlich gegen seine Verschwiegenheitspflicht verstößt oder unerlaubt personenbezogene Daten verarbeitet.

Auch hier greifen zugunsten des internen Datenschutzbeauftragten die Grundsätze der beschränkten Arbeitnehmerhaftung, sodass der Arbeitnehmer den Datenschutzbeauftragten (zumindest in Teilen) von etwaigen Ansprüchen Dritter freizustellen hat.

III. Ordnungswidrigkeitsrechtliche Haftung

Bußgelder gegen den Datenschutzbeauftragten bei Verstoß gegen eine ihm obliegende Aufgabe sieht die DS-GVO nicht vor.

IV. Fazit

Auch wenn die Möglichkeit der Haftung des Datenschutzbeauftragten sowohl gegenüber dem Verantwortlichen als auch gegenüber Betroffenen besteht, wird in der Praxis jedoch nur in Ausnahmefällen mit einer Inanspruchnahme des Datenschutzbeauftragten zu rechnen sein.

Dennoch erscheint es gerade für den Verantwortlichen (ggf. als Arbeitgeber des internen Datenschutzbeauftragten) sinnvoll, ein Auge darauf zu werfen, dass der Datenschutzbeauftragte seinen Pflichten nachkommt.

Am Ende unserer Beitragsreihe angekommen, hoffen wir, dass wir Ihnen ein umfangreiches und praxisnahes Bild über die Tätigkeit eines Datenschutzbeauftragten und zu den damit einhergehenden Fragen vermitteln konnten.

Bei Fragen oder Anregungen sprechen Sie uns gerne an!