Die persönliche Haftung des internen betrieblichen Datenschutzbeauftragten

Fachbeitrag

Wie wir wissen, ist der betriebliche Datenschutzbeauftragte nicht persönlich zur Durchsetzung datenschutzrechtlicher Vorschriften im Unternehmen verpflichtet, sondern soll nach § 4g Abs. 1 Satz 1 BDSG auf die Einhaltung der Vorschriften über den Datenschutz hinwirken. Gleichwohl kann er unter Umständen für Pflichtverletzungen und dadurch entstandene Schäden persönlich haftbar gemacht werden. Und wie sieht es überhaupt ab Mai 2018 aus, wenn die Datenschutzgrundverordnung (DSGVO) unmittelbar in allen Mitgliedsstaaten gilt?

Haftung gegenüber der verantwortlichen Stelle

Zwar ist datenschutzrechtlich die verantwortliche Stelle stets das jeweilige Unternehmen selbst. Doch sowohl dem Unternehmen, das den Datenschutzbeauftragten bestellt hat, als auch Betroffenen können Schadensersatzansprüche zustehen.

Ein Schaden der verantwortlichen Stelle kann etwa dann entstehen, wenn gegen diese nach einer falschen Beratung oder fehlerhaft durchgeführten Vorabkontrolle durch den internen Datenschutzbeauftragten ein Bußgeld durch die Aufsichtsbehörde ausgesprochen wird. Ein Schadensersatzanspruch der verantwortlichen Stelle gegenüber dem internen Datenschutzbeauftragten dürfte sich dann in Regel aus § 280 BGB unter Berücksichtigung der arbeitsrechtlichen Beweislastverteilung nach § 619a BGB ergeben.

Haftung gegenüber dem Betroffenen

Mangels vertraglicher Beziehungen kommt eine Haftung des internen betrieblichen Datenschutzbeauftragten für Schäden von Betroffenen regelmäßig aus deliktischen Ansprüchen, sog. unerlaubten Handlungen, nach § 823 BGB in Betracht.

Dies ist z.B. denkbar, wenn ein Unternehmen aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt und ein Betroffener in Folge dessen einen Schaden erleidet.

Haftungserleichterung durch innerbetrieblichen Schadensausgleich

Allerdings haftet der interne betriebliche Datenschutzbeauftragte als Arbeitnehmer nur eingeschränkt nach Verschuldensform:

  • Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet regelmäßig allein und in vollem Umfang
  • Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer
  • Leichte Fahrlässigkeit: Arbeitnehmer ist von der Haftung freizustellen

Von diesen durch die Rechtsprechung entwickelten Grundsätzen zum innerbetrieblichen Schadensausgleich darf nicht zulasten des Arbeitnehmers abgewichen werden. Dem internen betrieblichen Datenschutzbeauftragten kommt damit bei Pflichtverletzungen eine gewisse Haftungserleichterung zugute.

Haftungsrisiko nicht sicher kalkulierbar

Obwohl die Haftung des Datenschutzbeauftragten bislang in der Praxis keine überragende Bedeutung einnimmt, sind die Risiken nicht verlässlich zu kalkulieren. Zumindest zeigen die Veröffentlichungen der Aufsichtsbehörden, dass die Anzahl der Bußgeldverfahren in den letzten Jahren zugenommen hat und sich die verhängten Bußgelder teilweise erheblich erhöht haben. Dementsprechend dürfte künftig auch die Frage nach der Haftung des Datenschutzbeauftragten an Bedeutung gewinnen.

Bei Bußgeldern von bis zu 300.000,00 EUR pro Verstoß droht selbst Arbeitnehmern in ihrer Rolle als interner Datenschutzbeauftragter bei normaler Fahrlässigkeit und entsprechender Haftungsverteilung nach Quote ein nicht unerhebliches finanzielles Risiko.

Haftung des externen betrieblichen Datenschutzbeauftragten

Externen Datenschutzbeauftragten kommen mangels Arbeitsverhältnis mit der verantwortlichen Stelle die Haftungsprivilegierungen und -erleichterungen des Arbeitsrechts nicht zu Gute. In der Regel haften Sie daher gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.

Haftungsrisiko minimieren

Aufgrund der besonderen rechtlichen Stellung des Konzerndatenschutzbeauftragten empfiehlt es sich, dessen persönliches Haftungsrisiko zu minimieren. Dies kann z.B. durch zusätzliche verbindliche Vereinbarungen der Konzernunternehmen erfolgen, nach denen die Grundsätze des innerbetrieblichen Schadensausgleichs entsprechend auf sämtliche Konzernunternehmen anzuwenden sind.

Noch vorteilhafter für den internen oder Konzerndatenschutzbeauftragten wäre die vertragliche Vereinbarung einer kompletten Haftungsfreistellung. Bei diesen Lösungen bleibt jedoch das Haftungsrisiko der Unternehmen als verantwortliche Stelle bestehen.

Haftung nach den Regelungen der DSGVO

Ab dem 25. Mai 2018 findet die DSGVO unmittelbar in allen Mitgliedsstaaten der EU Anwendung. Mit den dann geltenden Regelungen sollte neben einigen anderen Neuerungen ein größeres Augenmerk auf die neuen Haftungsregelungen gelegt werden. Während der Datenschutzbeauftragte wie bereits erläutert nach den Regelungen des BDSG nur auf die Einhaltung der datenschutzrechtlichen Vorgaben hinzuwirken hatte, erhält dieser künftig eine umfassende Überwachungspflicht (vgl. Art. 39 Abs. 1b) DSGVO). Aus dieser Überwachungspflicht resultiert dann, dass bei einer Verletzung eben dieser Pflicht drakonische Geldbußen drohen: Nach Art. 83 Abs. 4 DSGVO können diese eine Höhe von 10 Mio. Euro oder bei Unternehmen 2% des weltweit erzielten Jahresumsatzes, je nachdem, welches der höhere Betrag ist, erreichen.

Externer Datenschutzbeauftragter als Gesamtlösung

Als sehr praktikable Lösung empfehlen wir daher als Beratungsunternehmen für Datenschutz die Bestellung eines externen Spezialisten zum (Konzern-) Datenschutzbeauftragten.

Zum einen liegt hierin der Vorteil, dass regelmäßig eine größere Fachkunde und Erfahrung zu erwarten ist. Da künftig höhere Anforderungen an den Datenschutzbeauftragten selbst gestellt werden und auch zahlreiche Nachweis- und Rechenschaftspflichten auf Unternehmensseite zu beachten sind. In Kombination mit den nunmehr vorgesehenen horrenden Geldbußen, ist eine tiefgreifende Expertise ein klarer (wirtschaftlicher) Gewinn. Zum anderen hat dies für Konzerne den Vorteil, dass in der Regel keine Haftungserleichterungen für Schäden aufgrund von Pflichtverletzungen vereinbart werden. Sie müssen mangels arbeitsrechtlichem Freistellungsanspruch auch nicht über den Umweg der Inanspruchnahme des Beauftragten für Schäden von Betroffenen aufkommen.

Auch in der Fachliteratur wird diese Ansicht geteilt und gewinnt in der Praxis zunehmend an Bedeutung:

„Dieser Aspekt wird aufgrund der aufsichtsbehörden- und gesetzgebungsseitig zunehmenden Haftungsrisiken der verantwortlichen Stelle und der steigenden Gefahr von öffentlichkeitswirksamen Imageschäden mehr und mehr zu einem Kriterium bei der Entscheidung für einen externen Datenschutzbeauftragten gegenüber einer internen Lösung.“
(Münchener Anwaltshandbuch IT-Recht, Teil 5. Datenschutzrecht Rn. 328 – 333)

9 Kommentare zu diesem Beitrag

  1. Der erste Halbsatz ist etwas unglücklich formuliert, auch der DSB muss sich an datenschutzrechtliche Vorschriften halten.
    Besser wäre:
    … „zur Durchsetzung“ anstatt „zur Einhaltung“
    Man könnte auch noch einfügen:
    “ …im Unternehmen (verantwortliche Stelle)“

  2. Problem Konzerndatenschutz: „In der Regel haften Sie daher gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.“

    Schlüsselfrage ist hier, was „in der Regel“ vereinbart wird.
    – Wenn die Bestellung als Externer Teil des Arbeitsvertrages mit der Konzernmutter ist, gilt die Haftungsbeschränbkung auch im Außenverhältnis. Der Arbeitnehmer hat dann ggf. einen Freistellungsanspruch gegen die Mutter.
    – Wird hingegen nur die Bestellungsurkunde zum Externen unterzeichnet (ohne daß eine Gegenleistung vereinbart wird), handelt es sich um einen unentgeltlichen Auftrag und die Haftungserleichterung ergibt sich aus der Gesamtanalogie zu §§ 521, 599, 680 BGB.

    • Eine Mustervereinbarung zur allgemeinen Haftungsfreistellung des internen Datenschutzbeauftragten liegt nicht vor. Da sich die Haftung des internen Datenschutzbeauftragten nach den allgemeinen arbeitsrechtlichen Grundsätzen richtet, sollte hier die Erforderlichkeit und der Inhalt auch von einem entsprechenden Fachanwalt geprüft werden.

    • Ich glaube nicht, dass das oben geschilderte Haftungsrisiko zu einem Rückgang von internen betrieblichen Datenschutzbeauftragten führt.

      Jedoch wird durch die DSGVO die Haftung des Datenschutzbeauftragten (intern sowie extern) etwas verschärft bzw. seine Pflichten erweitert. Darüber hinaus wird das Datenschutzrecht insgesamt anspruchsvoller. All dies könnte dazu führen, dass die Bedeutung des internen Datenschutzbeauftragten künftig abnimmt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.