Die persönliche Haftung des internen betrieblichen Datenschutzbeauftragten

gefängnis 03
Fachbeitrag

Wie wir wissen, ist der betriebliche Datenschutzbeauftragte nicht persönlich zur Durchsetzung datenschutzrechtlicher Vorschriften im Unternehmen verpflichtet, sondern soll nach § 4g Abs. 1 Satz 1 BDSG auf die Einhaltung der Vorschriften über den Datenschutz hinwirken. Gleichwohl kann er unter Umständen für Pflichtverletzungen und dadurch entstandene Schäden persönlich haftbar gemacht werden.

Haftung gegenüber der verantwortlichen Stelle

Dies gilt obwohl datenschutzrechtlich verantwortliche Stelle stets das jeweilige Unternehmen selbst ist. Dabei können sowohl dem Unternehmen, das den Datenschutzbeauftragten bestellt hat als auch Betroffenen Schadensersatzansprüche zustehen.

Ein Schaden der verantwortlichen Stelle kann etwa dann entstehen, wenn gegen diese nach einer falschen Beratung oder fehlerhaft durchgeführten Vorabkontrolle durch den internen Datenschutzbeauftragten ein Bußgeld durch die Aufsichtsbehörde ausgesprochen wird.

Ein Schadensersatzanspruch der verantwortlichen Stelle gegenüber dem internen Datenschutzbeauftragten dürfte sich dann in Regel aus § 280 BGB unter Berücksichtigung der arbeitsrechtlichen Beweislastverteilung nach § 619a BGB ergeben.

Haftung gegenüber dem Betroffenen

Mangels vertraglicher Beziehungen, kommt eine Haftung des internen betrieblichen Datenschutzbeauftragten für Schäden von Betroffenen regelmäßig aus deliktischen Ansprüchen, sog. unerlaubten Handlungen nach § 823 BGB in Betracht.

Dies ist z.B. denkbar, wenn ein Unternehmen aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt und ein Betroffener in Folge dessen einen Schaden erleidet.

Haftungserleichterung durch innerbetrieblichen Schadensausgleich

Allerdings haftet der interne betriebliche Datenschutzbeauftragte als Arbeitnehmer nur eingeschränkt nach Verschuldensform:

  • Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet regelmäßig allein und in vollem Umfang
  • Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer
  • Leichte Fahrlässigkeit: Arbeitnehmer ist von der Haftung freizustellen

Von diesen durch die Rechtsprechung entwickelten Grundsätzen zum innerbetrieblichen Schadensausgleich darf nicht zulasten des Arbeitnehmers abgewichen werden. Dem internen betrieblichen Datenschutzbeauftragten kommt damit bei Pflichtverletzungen eine gewisse Haftungserleichterung zugute.

Haftungsrisiko nicht sicher kalkulierbar

Obwohl die Haftung des Datenschutzbeauftragten bislang in der Praxis keine überragende Bedeutung einnimmt, sind die Risiken nicht verlässlich zu kalkulieren. Zumindest zeigen die Veröffentlichungen der Aufsichtsbehörden, dass die Anzahl der Bußgeldverfahren in den letzten Jahren zugenommen hat und sich die verhängten Bußgelder teilweise erheblich erhöht haben. Dementsprechend dürfte künftig auch die Frage nach der Haftung des Datenschutzbeauftragten an Bedeutung gewinnen.

Bei z.B. Bußgeldern von bis zu 300.000,00 EUR pro Verstoß droht selbst Arbeitnehmern in ihrer Rolle als interner Datenschutzbeauftragter bei normaler Fahrlässigkeit und entsprechender Haftungsverteilung nach Quote ein nicht unerhebliches finanzielles Risiko.

Konzerndatenschutzbeauftragter

Besondere Bedeutung erlangen die oben beschriebenen Haftungsgrundsätze darüber hinaus bei sog. Konzerndatenschutzbeauftragten, also dort wo ein betrieblicher Datenschutzbeauftragter für mehrere Konzernunternehmen bestellt ist.

Kein Konzernprivileg

Aufgrund des im Datenschutzrecht fehlenden Konzernprivilegs führt dies dazu, dass der Datenschutzbeauftragte bei dem Unternehmen, das seinen Arbeitgeber darstellt als interner und gleichzeitig in sämtlichen anderen Unternehmen externer Datenschutzbeauftragter tätig ist.

Haftung des externen betrieblichen Datenschutzbeauftragten

Externen Datenschutzbeauftragten kommen mangels Arbeitsverhältnis mit der verantwortlichen Stelle die Haftungsprivilegierungen und -erleichterungen des Arbeitsrechts nicht zu Gute. In der Regel haften Sie daher gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.

Haftungsrisiko minimieren

Aufgrund der besonderen rechtlichen Stellung des Konzerndatenschutzbeauftragten empfiehlt es sich, dessen persönliches Haftungsrisiko zu minimieren. Dies kann z.B. durch zusätzliche verbindliche Vereinbarungen der Konzernunternehmen erfolgen, nach denen die Grundsätze des innerbetrieblichen Schadensausgleichs entsprechend auf sämtliche Konzernunternehmen anzuwenden sind.

Noch vorteilhafter für den internen oder Konzerndatenschutzbeauftragten wäre die vertragliche Vereinbarung einer kompletten Haftungsfreistellung. Bei diesen Lösungen bleibt jedoch das Haftungsrisiko der Unternehmen als verantwortliche Stelle bestehen.

Externer Datenschutzbeauftragter als Gesamtlösung

Als weitere Lösung empfehlen wir als Beratungsunternehmen für Datenschutz natürlich die Bestellung eines externen Spezialisten zum (Konzern-) Datenschutzbeauftragten.

Neben der regelmäßig zu erwartenden größeren Fachkunde und Erfahrung hat dies für Konzerne den Vorteil, dass in der Regel keine Haftungserleichterungen Schäden aufgrund von Pflichtverletzungen vereinbart werden. Sie müssen mangels arbeitsrechtlichem Freistellungsanspruch auch nicht über den Umweg der Inanspruchnahme des Beauftragten für Schäden von Betroffenen aufkommen.

Auch in der Fachliteratur wird diese Ansicht geteilt und gewinnt in der Praxis zunehmend an Bedeutung:

„Dieser Aspekt wird aufgrund der aufsichtsbehörden- und gesetzgebungsseitig zunehmenden Haftungsrisiken der verantwortlichen Stelle und der steigenden Gefahr von öffentlichkeitswirksamen Imageschäden mehr und mehr zu einem Kriterium bei der Entscheidung für einen externen Datenschutzbeauftragten gegenüber einer internen Lösung.“
(Münchener Anwaltshandbuch IT-Recht, Teil 5. Datenschutzrecht Rn. 328 – 333)

7 Kommentare zu diesem Beitrag

  1. Der erste Halbsatz ist etwas unglücklich formuliert, auch der DSB muss sich an datenschutzrechtliche Vorschriften halten.
    Besser wäre:
    … „zur Durchsetzung“ anstatt „zur Einhaltung“
    Man könnte auch noch einfügen:
    “ …im Unternehmen (verantwortliche Stelle)“

  2. Problem Konzerndatenschutz: „In der Regel haften Sie daher gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.“

    Schlüsselfrage ist hier, was „in der Regel“ vereinbart wird.
    – Wenn die Bestellung als Externer Teil des Arbeitsvertrages mit der Konzernmutter ist, gilt die Haftungsbeschränbkung auch im Außenverhältnis. Der Arbeitnehmer hat dann ggf. einen Freistellungsanspruch gegen die Mutter.
    – Wird hingegen nur die Bestellungsurkunde zum Externen unterzeichnet (ohne daß eine Gegenleistung vereinbart wird), handelt es sich um einen unentgeltlichen Auftrag und die Haftungserleichterung ergibt sich aus der Gesamtanalogie zu §§ 521, 599, 680 BGB.

    • Eine Mustervereinbarung zur allgemeinen Haftungsfreistellung des internen Datenschutzbeauftragten liegt nicht vor. Da sich die Haftung des internen Datenschutzbeauftragten nach den allgemeinen arbeitsrechtlichen Grundsätzen richtet, sollte hier die Erforderlichkeit und der Inhalt auch von einem entsprechenden Fachanwalt geprüft werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.