Die Datenschutz-Haftung & die Haftung des Datenschutzbeauftragten einfach erklärt

Haftung im Datenschutz: Wer haftet bei DSGVO-Verstößen?

Die Datenschutz-Grundverordnung (DSGVO) benennt klare Verantwortlichkeiten und regelt, welche Parteien bei Datenschutzverstößen von der Haftung (gesetzliche Haftpflicht) betroffen sind.

Der Verantwortliche

Die Hauptverantwortung für die Einhaltung der Datenschutzvorgaben trägt laut Art. 4 Nr. 7 DSGVO der sogenannte Verantwortliche. Das ist in der Regel das Unternehmen oder die Behörde, die über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Bei Verstößen – z. B. unzureichender Datensicherung, fehlender Rechtsgrundlage für die Verarbeitung oder unterlassener Betroffeneninformation – haftet das Unternehmen sowohl gegenüber den Aufsichtsbehörden (Bußgelder nach Art. 83 DSGVO) als auch gegenüber Betroffenen (Schadensersatz nach Art. 82 DSGVO).

Auftragsverarbeiter

Verarbeiten externe Dienstleister personenbezogene Daten im Auftrag eines Unternehmens, gelten sie als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Sie müssen vertraglich verpflichtet werden und unterliegen klaren Vorgaben. Verstoßen sie gegen diese Vorgaben – etwa durch unsichere IT-Systeme oder eine Weitergabe von Daten ohne Erlaubnis – haften sie eigenständig, und nicht nur das Unternehmen.

Geschäftsführer und leitende Organe

Laut Datenschutz trifft die persönliche Haftung auch Geschäftsführer, Vorstände oder andere leitende Personen, insbesondere, wenn sie ihre Organpflichten verletzen. Das betrifft z. B.:

• die unterlassene Implementierung eines Datenschutzmanagementsystems,
• fehlende Kontrollmechanismen oder
• die versäumte Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Pflicht.

Die rechtliche Grundlage ergibt sich hier nicht direkt aus der DSGVO, sondern aus dem Gesellschaftsrecht (§ 43 GmbHG, § 93 AktG). Bei vorsätzlichem oder grob fahrlässigem Verhalten kann eine persönliche Datenschutz-Haftung der Geschäftsführer greifen, einschließlich Schadensersatzforderungen oder Regress durch das eigene Unternehmen.

Datenschutzbeauftragte

Obwohl Datenschutzbeauftragte (DSB) für die Überwachung der DSGVO-Konformität zuständig sind, haften sie nur eingeschränkt:

• Interne DSB sind durch das Arbeitnehmerhaftungsprinzip geschützt und haften nur bei grober Fahrlässigkeit oder bei Vorsatz.
• Externe DSB haften nach den allgemeinen Regeln des Zivilrechts (z. B. § 280 BGB) – bei Beratungsfehlern oder Pflichtverletzungen also voll, sofern keine vertragliche Haftungsbegrenzung vereinbart wurde.

Wichtig: Die Haftung externer und interner Datenschutzbeauftragte gilt nicht direkt gegenüber Betroffenen, sondern ggf. im Innenverhältnis gegenüber dem Unternehmen. Wie die Haftpflicht von Datenschutzbeauftragten im Detail aussieht und was die Unterschiede zwischen internen und externen DSB sind, erläutern wir im weiteren Verlauf des Artikels.

Wie hat sich durch die DSGVO die Haftpflicht für Datenschutzbeauftragte geändert?

Seit dem Inkrafttreten der DSGVO und des BDSG-neu hat sich das Aufgabenspektrum des Datenschutzbeauftragten erweitert. Damit sind neue Pflichten auf interne und externe Datenschutzbeauftragte zugekommen: So müssen sie im Rahmen ihrer Funktion überwachen, ob das Unternehmen die Datenschutzvorgaben der DSGVO einhält und die internen Datenschutzvereinbarungen der Organisation beachtet. Neben diesen zusätzlichen Überwachungspflichten gehören auch Beratungs- und Informationspflichten zu den Aufgaben eines Datenschutzbeauftragten. Hinzu kommt eine enge Zusammenarbeit mit der zuständigen Aufsichtsbehörde.

Die Tatsache, dass sich der Aufgabenbereich um die Überwachungspflichten vergrößert hat, bedeutet eine erweiterte Haftung externer und interner Datenschutzbeauftragter. Damit gehen Mitarbeiter, die dieses Amt bekleiden, zusätzliche Verpflichtungen ein. Als Verantwortungsträger Ihres Unternehmens sollten Sie daher abklären, ob Sie diese zusätzliche Verantwortung einem Ihrer Mitarbeiter zumuten können und möchten.

Wann und wie haftet ein Datenschutzbeauftragter?

Aus Sicht des Datenschutzrechts trägt das Unternehmen die Verantwortung für die Einhaltung der Datenschutzvorschriften und haftet demnach auch für die bei Nichteinhaltung der Vorschriften entstandenen Schäden. Dennoch können das Unternehmen und die betroffenen Personen in bestimmten Fällen Schadenersatzansprüche gegenüber dem DSB erheben:

Haftung des Datenschutzbeauftragten gegenüber dem Unternehmen

Wenn der DSB Ihr Unternehmen beispielsweise falsch berät und dadurch eine Bußgeldzahlung an die Aufsichtsbehörde verursacht, haftet er für den Schaden nach § 280 BGB.

Haftung gegenüber der betroffenen Person

Falls eine betroffene Person durch eine unrechtmäßige Maßnahme des DSB zu Schaden kommt, ist eine deliktische Haftung nach § 823 BGB möglich. Demnach muss der DSB den Schaden ersetzen.

Welche Haftungsarten bestehen für Datenschutzbeauftragte?

Datenschutzbeauftragte (DSB) können auf unterschiedliche Weise haftbar gemacht werden – je nach Verstoß und Kontext. Die wichtigsten Haftungsgründe und Strafbarkeiten für Datenschutzbeauftragte sind:

Zivilrechtliche Haftung

Bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kann der Verantwortliche oder Auftragsverarbeiter nach Art. 82 DSGVO für entstandene Schäden haftbar gemacht werden. Wird nachgewiesen, dass der Datenschutzbeauftragte vorsätzlich oder grob fahrlässig eine Pflicht verletzt hat, kann auch eine persönliche zivilrechtliche Haftung infrage kommen – insbesondere bei externen DSB.

Arbeitsrechtliche Haftung(bei internen DSB)

Interne Datenschutzbeauftragte unterliegen dem innerbetrieblichen Haftungsprivileg: Nach § 619a BGB haften sie gegenüber dem Arbeitgeber nur bei grober Fahrlässigkeit oder Vorsatz. Für einfache Fahrlässigkeit besteht in der Regel keine Haftung des internen Datenschutzbeauftragten.

Strafrechtliche Haftung

Obwohl Datenschutzverstöße primär zivilrechtlich oder bußgeldrechtlich geahndet werden, sind strafrechtliche Konsequenzen möglich, etwa bei vorsätzlichem Verrat von Geschäfts- oder Betriebsgeheimnissen (§ 203 StGB, § 17 UWG). Auch hier kann der DSB von der Haftung betroffen sein, wenn er vertrauliche Informationen unbefugt weitergibt.

Bußgelder durch Aufsichtsbehörden

Die DSGVO sieht Bußgelder nicht direkt für Datenschutzbeauftragte, sondern für Verantwortliche und Auftragsverarbeiter vor. Jedoch können Fehler des DSB dazu führen, dass dem Unternehmen erhebliche Bußgelder drohen – was indirekt zu Schadensersatzforderungen gegen den DSB führen kann (besonders bei externer Tätigkeit).

Freistellung Datenschutzbeauftragter von der Haftung

Datenschutzbeauftragte gehen somit in mehrfacher Hinsicht grundsätzlich ein hohes finanzielles Haftungsrisiko ein. Auch für interne Datenschutzbeauftragte ist die Belastung aufgrund steigender Bußgelder und vermehrter Schadensersatzforderungen trotz des Grundsatzes des innerbetrieblichen Schadensausgleichs groß. Um die Haftung eines externen Datenschutzbeauftragten einzuschränken, wird in der Praxis regelmäßig eine sog. Haftungsfreistellung vereinbart. Das Haftungsrisiko Ihres Unternehmens bei Verletzung datenschutzrechtlicher Pflichten bleibt hiervon jedoch unberührt.

Haftet ein externer Datenschutzbeauftragter anders als ein interner?

Ja, die Haftung eines externen Datenschutzbeauftragten unterscheidet sich wesentlich von einem internen DSB. Dieser Vergleich zeigt die großen Haftungsunterschiede:

Haftung interner Datenschutzbeauftragter

Interne DSB sind Arbeitnehmer des Unternehmens und unterliegen daher dem betrieblichen Haftungsprivileg. Die Haftung interner Datenschutzbeauftragter ist eine beschränkte Arbeitnehmerhaftung nach der Verschuldensform. Diese Regelungen der Rechtsprechung bringen Haftungserleichterungen bei Pflichtverletzungen. Als Unternehmen dürfen Sie diese Haftungsgrundsätze zum Schadensausgleich nicht zum Nachteil des Mitarbeiters ändern:

• Leichte Fahrlässigkeit: Interner Datenschutzbeauftragter erhält Haftungsfreistellung
• Normale beziehungsweise mittlere Fahrlässigkeit: Meist Schadensteilung
• Grobe Fahrlässigkeit: Haftung des DSB nach Vereinbarung

Die Rechtsprechung betont, dass interne Datenschutzbeauftragte nicht übermäßig belastet werden dürfen. Schließlich handelt es sich um eine gesetzlich vorgeschriebene Funktion, nicht um eine freiwillige Risikoposition.

Haftung externer Datenschutzbeauftragter

Externe DSB sind selbstständige Berater oder Dienstleister und schließen meist einen Dienstleistungsvertrag mit dem Unternehmen ab. Sie unterliegen nicht dem Arbeitnehmerprivileg und können daher voll haftbar gemacht werden. Vielmehr tritt die Haftpflicht externer Datenschutzbeauftragter im Falle von Schäden aufgrund von Fehlberatungen auch bei nur leichter Fahrlässigkeit ein, sofern die Haftung nicht durch eine entsprechende Haftungsfreistellung wirksam eingeschränkt wurde.

Fazit zur Haftung interner und externer Datenschutzbeauftragter

Die Haftung Datenschutzbeauftragter hat sich seit dem Inkrafttreten der DSGVO erweitert. Im Falle eines internen Datenschutzbeauftragten bedeutet dies ein höheres Haftungsrisiko für Ihr Unternehmen. Es ist daher wichtig, dass der eingesetzte DSB seine Aufgaben und Pflichten ordnungsgemäß und zuverlässig ausführt, um die Gefahr von Schadensersatzforderungen betroffener Personen zu senken.

Ein externer DSB erbringt seine Dienstleistung professionell, weil er im Datenschutzrecht ausgebildet ist. Das gilt auch für unsere Profis von datenschutzexperte.de. Wenn Sie einen externen Datenschutzexperten beauftragen, können Sie sich daher darauf verlassen, dass er die Aufgaben des DSB gewissenhaft und rechtskonform ausführt und Sie vor möglichen Datenschutzverletzungen bewahrt. Dadurch können Sie sich vor hohen Bußgelder gegen Sie durch die Aufsichtsbehörden schützen. Außerdem haften externe Datenschutzbeauftragte vereinbarungsgemäß für die sorgfältige Erbringung aller Datenschutzberatungsleistungen. Für externe Dienstleister gelten die Regelungen zum innerbetrieblichen Schadensausgleich nicht. In puncto Haftung sind Sie daher gut beraten, für Ihr Unternehmen einen externen DSB zu beauftragen, weil Ihnen diese Lösung mehr Sicherheit gewährleistet. Unsere zertifizierten externen Datenschutzbeauftragten von datenschutzexperte.de beraten Sie gerne ausführlich dazu.