Die Haftung des Datenschutzbeauftragten: gegenüber dem Unternehmen

Die Haftung des Datenschutzbeauftragten: gegenüber dem Unternehmen
von Dr. Sebastian Kraska
Stand: 25.11.2009 4 min 2

Wie bereits kürzlich behandelt kann der Datenschutzbeauftragte bei Verstößen gegen das Datenschutzrecht nur in Ausnahmefällen direkt von den Betroffenen haftungsrechtlich zur Verantwortung gezogen werden. Haftungsgegner ist in solchen Fällen das Unternehmen selbst. Damit stellt sich die Frage, ob und wann das zur Haftung herangezogene Unternehmen bei einem Verstoß gegen Datenschutzrecht Rückgriff gegenüber dem Datenschutzbeauftragen nehmen kann.

Auch wenn das Unternehmen gegenüber dem Betroffenen haftet möchte dieses möglicherweise Rückgriff gegenüber dem Datenschutzbeauftragten nehmen. Es gelten insoweit grundsätzlich die zivilrechtlichen Haftungsregeln für Schlechterfüllung im Rahmen eines bestehenden Dienst- oder Geschäftsbesorgungsvertrag, so dass ein Schadensersatzanspruch wegen Pflichtverletzung nach den §§ 280 ff. BGB in Betracht kommt.

Nötige Unterscheidung: interner oder externer Datenschutzbeauftragter?

Entscheidend ist hierbei die Frage, ob das Unternehmen einen internen oder externen Datenschutzbeauftragten benannt hat.

Da der interne Datenschutzbeauftragte als Arbeitnehmer des Unternehmens zugleich in einem Dienstverhältnis steht, finden auf diesen uneingeschränkt die Grundsätze der beschränkten Arbeitnehmerhaftung Anwendung. Kurz gesagt bedeutet dies, dass der Arbeitgeber von dem internen Datenschutzbeauftragten nur den Ersatz derjenigen Schäden verlangen kann, welche dieser grob fahrlässig oder vorsätzlich verursacht hat. Da die Beweislast hinsichtlich der groben Fahrlässigkeit bzw. des Vorsatzes grundsätzlich beim Arbeitgeber verbleibt, scheidet ein Haftungsrückgriff auf den internen Datenschutzbeauftragten häufig aus. Um Streitigkeiten zu vermeiden sollte aber auch der interne Datenschutzbeauftragte seine Tätigkeit genau dokumentieren und seinen gesetzlich vorgesehenen Nachschulungsverpflichtungen im Datenschutzrecht entsprechen.

1

Die Haftung des externen Datenschutzbeauftragten

Dagegen haftet der externe Datenschutzbeauftragte im Rahmen des vertraglich Vereinbarten grundsätzlich für alle von ihm verursachten Schäden. Dies gilt auch bei nur leicht fahrlässigen Handlungen, da auf den externen Datenschutzbeauftragten die beschränkte Arbeitnehmerhaftung keine Anwendung findet. Er haftet damit für jegliches Verschulden im Zusammenhang mit der Wahrnehmung seiner Aufgaben.

Beispiele: wann haftet der Datenschutzbeauftragte?

Der Datenschutzbeauftragte hat gemäß § 4g Abs. 1 S. 1 BDSG auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Diese Aufgabe hat er gewissenhaft zu erfüllen. Im Einzelnen wird von ihm hierzu gemäß dem Bundesdatenschutzgesetz neben den Grundkompetenzen im rechtlichen und technischen Bereich sowohl Unparteilichkeit, wie auch Verschwiegenheit, Uneigennützigkeit, Verantwortungsbewusstsein und Unabhängigkeit erwartet. Darüber hinaus muss sich der Datenschutzbeauftragte laufend im Datenschutzrecht fortbilden, um seine gesetzlich erforderliche Fachkunde aufrecht zu erhalten.

Ein Verstoß gegen diese Grundpflichten kann zu einem Haftungsfall führen. Es ergeben sich beispielsweise die folgenden möglichen Haftungstatbestände:

  • Mangelhafte Überwachung der betrieblichen Datenverarbeitung hinsichtlich deren Ordnungsmäßigkeit und Verlässlichkeit (§ 4g Abs. 1 S. 4 BDSG), insoweit ist eine protokollierte Kontrolle nötig
  • Fehlerhafte Realisierung einer transparenten Datenverarbeitung
  • Mangelhafte Wahrung des Datengeheimnisses
  • Fehler bei der Durchführung der gemäß § 4d Abs. 6 BDSG nötigen Vorabkontrollen bei grundsätzlich meldepflichtigen automatisierten Verarbeitungsverfahren
  • Mangelhafte Überwachung und Zur-Verfügung-Stellung des Verfahrensverzeichnisses (vgl. diesen Artikel hierzu)
  • Fehlerhafter Hinweis gegenüber der Unternehmensleitung auf datenschutzrechtliche Erfordernisse beim Einsatz von Auftragnehmern für die Datenverarbeitung (schriftliche Verträge, vorgeschriebener Vertragsinhalt, Kontrolle der Auftragsdatenverarbeiter, Dokumentation der Kontrollen etc.)
  • Vorlage von mangelhaften Tätigkeitsberichten gegenüber der Geschäftsleitung (zur Dokumentation und Haftungsabsicherung ist die Erstellung von Tätigkeitsberichten empfehlenswert)
  • Fehlerhafte Hinweise gegenüber der Geschäftsleitung über datenschutzrechtlich erforderliche Maßnahmen
  • Ungenügende Schulung und Beratung der Mitarbeiter in Angelegenheiten des Datenschutzes und des Datengeheimnisses (§ 4g Abs. 1 S. 4 BDSG)
  • Ergreifung der falschen Maßnahmen im Falle eines Datenunfalls im Hinblick auf die Rechte der Betroffenen sowie den Mitteilungspflichten gegenüber den Aufsichtsbehörden (insbesondere hinsichtlich § 42a BDSG)

Externer Datenschutzbeauftragter: Beschränkung der Haftung

Natürlich ist in diesem Zusammenhang an eine etwaige Beschränkung der Haftung durch die vertraglichen Bedingungen zwischen dem externen Datenschutzbeauftragten und dem Auftraggeber zu denken. Eine Haftungsbeschränkung kommt jedoch nicht unbeschränkt in Betracht. Nicht abbedungen werden kann beispielsweise die Haftung des Datenschutzbeauftragten für vorsätzliche Vertragsverstöße. Insoweit ist auch keine allein summenmäßige Beschränkung der Haftung zulässig. Ein solcher Haftungsausschluss sollte aus Beweisbarkeitsgründen schriftlich festgehalten werden, auch wenn eine stillschweigende Haftungsbeschränkung nach dem System des Zivilrechts grundsätzlich denkbar ist.

Ist die Haftung nicht beschränkt haftet der externe Beauftragte auch im Regresswege für Ansprüche, die von Betroffenen gegenüber dem verantwortlichen Auftraggeber geltend gemacht wurden.

Es ist daher dringend zu empfehlen, als externer Datenschutzbeauftragter eine Vermögensschadenhaftpflichtversicherung abzuschließen.

Fazit

Der Unternehmer kann gegenüber dem internen Datenschutzbeauftragten aufgrund der Grundsätze der beschränkten Arbeitnehmerhaftung nur in Ausnahmefällen Regressansprüche geltend machen. Jedoch sollte auch der interne Datenschutzbeauftragte seine Tätigkeit genau dokumentieren und an laufenden Schulungsmaßnahmen im Datenschutzrecht teilnehmen, um Streitigkeiten bezüglich seiner Tätigkeit zu vermeiden Ein Haftungsregress gegenüber einem externen Datenschutzbeauftragten ist möglich, soweit die Haftung nicht individualvertraglich ausgeschlossen wurde.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: © Emin Ozkan - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

A
Anonym 29.03.2012, 15:40 Uhr
Ext. DSB als Angestellter
Ich schließe mich dem Kommentar meines Vorredners an.

Wie ist ist Ihre Meinung dazu, Herr Dr. Kraska?
U
Unbekannt 05.03.2010, 11:28 Uhr
Ohne Titel
Hier stellt sich allerdings die Frage, zwischen wem der Dienst- oder Geschäftsbesorgungsvertrag abgeschlossen worden ist und wer somit schadensersatzpflichtig wegen Pflichtverletzung nach §§ 280 ff BGB ist. Für den Fall, dass der externe Datenschutzbeauftragte auf eigene Rechnung arbeitet (z.B. Selbständiger), ist die Sachlage klar. Wenn er aber Angestellter eines Unternehmens ist, welches die Dienstleistung "externer Datenschutzbeauftragter" an den Auftraggeber verkauft hat (Dienstvertrag) und der externe Datenschutzbeauftragte diese Tätigkeit im Rahmen seiner Anstellung ausübt, wäre meines Erachtens das Unternehmen schadensersatzpflichtig. Somit müßte das Unternehmen eine entsprechende Vermögensschadenhaftpflichtversicherung abschliessen.

Beiträge zum Thema

Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
(19.08.2024, 13:46 Uhr)
Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
(07.12.2022, 10:29 Uhr)
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
(06.12.2022, 13:54 Uhr)
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
(27.06.2017, 15:55 Uhr)
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
(02.11.2015, 14:31 Uhr)
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
(17.09.2015, 14:33 Uhr)
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei