Betrieblicher Datenschutzbeauftragter – Wie sieht die Haftung aus?

urteil 14
Fachbeitrag

Wir alle wissen, wo gearbeitet wird, da fallen auch Späne. Wo Menschen arbeiten, da passieren früher oder später manchmal auch die einen oder anderen Missgeschicke welche zur Haftung führen können. Soweit so gut könnte man meinen. Was aber ist, wenn dem betrieblichen Datenschutzbeauftragten Fehler unterlaufen? Denn auch der betriebliche Datenschutzbeauftragte ist letztlich nur ein Mensch (Tatsache!).

Wie die Datenschutzskandale der letzten Zeit belegen, werden bei Datenschutzverstößen schnell mal Bußgelder in nicht unbeträchtlicher Höhe fällig. Wurde man falsch beraten, so stellt sich daher ähnlich wie bei Anwälten schnell die Frage wie man einen einmal entstandenen Schaden ggf. kompensieren kann.

Für den betrieblichen Datenschutzbeauftragten stellt sich neben der Frage zivilrechtlicher Haftung zudem die weitere Frage strafrechtlicher Sanktionierung.

Um es mal zur Freude aller typisch juristisch zu formulieren:

Es kommt auf den Einzelfall an.

Da diese Aussage vermutlich aber nur bedingt zur Hilfe geeignet ist, seien nachfolgend die Grundzüge dargestellt.

Der betriebliche Datenschutzbeauftragte

Das Gesetz sieht zwei Möglichkeiten einer Bestellung des betrieblichen Datenschutzbeauftragten vor. Diese kann durch einen Unternehmensmitarbeiter (intern) erfolgen, das Unternehmen hat aber auch die Möglichkeit einen unternehmensfremden Berater (extern) als betrieblichen Datenschutzbeauftragten zu bestellen (§4f II 3 BDSG).

Je nach dem für welche Variante sich das Unternehmen entscheidet, ergeben sich auch unterschiedliche Haftungsvoraussetzungen bzw. Haftungsfolgen.

Zivilrechtliche Haftung

Handelt es sich bei dem betrieblichen Datenschutzbeauftragten um einen angestellten Mitarbeiter des Unternehmens (interner Datenschutzbeauftragter), so gelten die arbeitsrechtlichen Besonderheiten.

Während im Rahmen im Falle einer vertraglichen Pflichtverletzung normalerweise das Verschulden unterstellt wird (§280 BGB), der Verletzer sich also entlasten muss, ist es im Arbeitsverhältnis erforderlich, dass der Arbeitgeber selbiges beweist (§619a BGB).

Zudem haftet der Arbeitnehmer nur beschränkt, nach Rechtsprechung des Bundesarbeitsgerichts (BAG Urteil vom 18.01.2007, Az.: 8 AZR 250/06 ; BAG, Urteil vom 05.02.2004, Az.: 8 AZR 91/03) sind Abweichungen von der Haftungsbeschränkung zu Lasten des Arbeitnehmers unwirksam, deshalb gilt:

  • Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet idR. allein, aber Einzelfallbetrachtung
  • Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber & Arbeitnehmer
  • Leichte Fahrlässigkeit: Keine Arbeitnehmer-Haftung

Zu berücksichtigende Faktoren für eine quotale Haftungsverteilung zwischen Arbeitnehmer und Arbeitgeber sind:

  • Grad des dem Arbeitnehmer zur Last fallenden Verschuldens,
  • die Gefahrgeneigtheit der Arbeit, die Höhe des Schadens,
  • ein vom Arbeitgeber einkalkuliertes oder durch Versicherung abdeckbares Risiko,
  • die Stellung des Arbeitnehmers im Betrieb und
  • die Höhe des Arbeitsentgelts (ggf. Risikoprämie enthalten),
  • persönlichen Verhältnisse des Arbeitnehmers (z.B. Dauer seiner Betriebszugehörigkeit, sein Lebensalter, seine Familienverhältnisse, bisheriges Verhalten )

Der externe Datenschutzbeauftragte haftet dagegen nach den üblichen zivilrechtlichen Vorschriften gem. §§280, 611 und §823 BGB. Wie bereits dargelegt liegt der Vorteil der vertraglichen Haftung gem. §§280, 611 BGB für das bestellende Unternehmen darin, dass das Verschulden im Falle einer Pflichtverletzung gesetzlich vermutet wird. Der Datenschutzbeauftragte muss also im Streitfall beweisen, dass er die Pflichtverletzung nicht zu vertreten hat.

Auch der schönste Haftungstatbestand nutzt Ihnen allerdings letztlich nichts, wenn der Ersatzanspruch faktisch mangels vorhandender Masse ins Leere läuft, so kennt auch jeder das Sprichwort:

Einem nackten Mann kann man nicht in die Tasche fassen.

Soweit Sie auf einen externen Datenschutzbeauftragten zurückgreifen, so empfiehlt es sich die vertragliche Verpflichtung zum Abschluss einer Vermögensschadenhaftpflichtversicherung mit ausreichender Deckungssumme in den Bestellungsvertrag mit aufzunehmen. Von dem Abschluss der Versicherung sollten Sie sich natürlich auch überzeugen und die unverzügliche Pflicht zur Vorlage der Versicherungspolice vertraglich vereinbaren.

Strafrechtliche Haftung

Begeht der betriebliche Datenschutzbeauftragte eine vorsätzliche Datenschutzverletzung gem. §44 BDSG oder stiftet hierzu an, so kommt er selbstverständlich wie jeder andere auch als Täter oder Anstifter einer Straftat in Betracht. Auch die Bußgeldvorschriften des §43 BDSG gelten für den betrieblichen Datenschutzbeauftragten entsprechend. Alles andere würde auch gelinde gesagt auch merkwürdig anmuten.

Weiterhin ist der Datenschutzbeauftragte genauso wie Ärzte oder Rechtsanwälte gem. §206 IIa StGB zur Verschwiegenheit verpflichtet.

Viel spannender ist jedoch die Frage, inwieweit der betriebliche Datenschutzbeauftragte im Falle des Unterlassens gebotener Handlungen strafrechtlich zur Verantwortung gezogen werden kann. Ähnlich wie Compliance-Beauftragte haben auch betriebliche Datenschutzbeauftragte die Aufgabe auf die Einhaltung von (Datenschutz-) Gesetzen hinzuwirken. Nach einer Entscheidung des BGH (Urteil vom 17. 07.2009,Az.: 5 StR 394/08) welche einen Compliance-Beauftragten betraf, kommt für diesen auch eine strafrechtliche Haftung wegen Unterlassens in Betracht. Ähnliches dürfte aufgrund seiner vergleichbaren Funktion auch für den betrieblichen Datenschutzbeauftragten gelten.

Apropos Haftung: Hat Ihr Unternehmen eigentlich einen Datenschutzbeauftragten? Falls nicht, so haftet für die deshalb ggf. gem. §4f i.Vm. §43 BDSG anfallenden Bußgelder neben dem Unternehmen auch Ihr Geschäftsführer persönlich (§130 i.V.m. §9 OWiG).

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Heute war das thema innerhalb einer arbeitsgruppe: was sind die aufgaben, rechte und pflichten eines betrieblichen datenschutzbeauftragten? eine nicht unbedingt leichte aufgabe, da zwar viel darueber geschrieben wird, aber auf irgendeineweise detaillierte informationen fehlen. 

  2. Hallo, wie ist das nach DSGVO zu bewerten? Sind betriebliche Datenschützer zukünftig stärker von einer möglichen Mithaftung betroffen und sollten sie sich ebenso wie externe DSBs eine entsprechende Haftpflichtversicherung mit ausreichender Deckungshöhe zulegen bzw. vom Arbeitgeber damit versorgen lassen?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.