Mit der, ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten anzuwendenden, Datenschutz-Grundverordnung ergeben sich mitunter Änderungen, die höhere Haftungsrisiken auch für den Datenschutzbeauftragten bedeuten.

Haftung des internen Datenschutzbeauftragten gegenüber der verantwortlichen Stelle

Auch mit der Datenschutz-Grundverordnung ist die verantwortliche Stelle im Regelfall für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. Der Datenschutzbeauftragte wirkt dabei grundsätzlich auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Das bedeutet jedoch nicht, dass der verantwortlichen Stellen gegenüber dem Datenschutzbeauftragten kein Schadensersatzanspruch zustehen kann.

Der verantwortlichen Stelle kann beispielsweise ein Schaden ausgelöst durch den internen Datenschutzbeauftragten entstehen, wenn dieser eine fehlerhafte Beratung oder Vorabkontrolle durchgeführt hat, welche von der Aufsichtsbehörde sanktioniert wird. Der Schadensersatzanspruch der verantwortlichen Stelle gegenüber dem internen Datenschutzbeauftragten ergibt sich dabei im Regelfall aus § 280 Bürgerliches Gesetzbuch (BGB) unter Einbezug der arbeitsrechtlichen Beweislastumkehr nach § 619a BGB.

Haftung des internen Datenschutzbeauftragten gegenüber den Betroffenen

Die Haftung des internen Datenschutzbeauftragten gegenüber Betroffenen dürfte sich i. d. R. aus unerlaubten Handlungen nach §823 BGB ergeben.

Eine solche unerlaubte Handlung, welche einen deliktischen Anspruch des Betroffenen auslöst, kann sich beispielsweise dann begründen, wenn durch eine nach objektiven Maßstäben falsche Beratung durch den internen Datenschutzbeauftragten vorgenommen wurde, die zur Durchführung einer unzulässigen Maßnahme geführt hat. Diese Maßnahme müsste dabei dazu geführt haben, dass dem Betroffenen durch diese konkreten Maßnahmen ein Schaden entstanden ist.

Interner Datenschutzbeauftragter – Beschränkte Arbeitnehmerhaftung

Ein interner Datenschutzbeauftragter haftet jedoch nur eingeschränkt für den verschuldeten Schaden, nach Verschuldensform, da er Arbeitnehmer ist. Demnach ist zu prüfen ob dieser:

  • vorsätzlich oder grob fahrlässig gehandelt hat. In dieser Konstellation haftet der interne Datenschutzbeauftragte in der Regel allein und im vollen Umfang.
  • Hat der interne Datenschutzbeauftragte nicht grob fahrlässig gehandelt und mittlere Form der Fahrlässigkeit vor, dann wird die Schadenskompensation quotal zwischen Arbeitnehmer und Arbeitgeber aufgeteilt.
  • Wird hingegen die Fahrlässigkeit als gering beurteilt, ist der interne Datenschutzbeauftragte, in seiner Stellung als Arbeitnehmer, von der Haftung freizustellen.

Diese genannten Kriterien zum Schadensausgleich, welche von der Rechtsprechung entwickelt wurden, dürfen nicht zu Lasten des Arbeitnehmers abgewandelt werden. Folglich steht dem internen Datenschutzbeauftragten bei Pflichtverletzung eine entsprechende Haftungserleichterung zu.

Externer Datenschutzbeauftragten haftet in voller Höhe

Im Gegensatz zu dem internen Datenschutzbeauftragten kann sich der externe Datenschutzbeauftragte mangels eines Arbeitsverhältnisses nicht auf die beschränkte Arbeitnehmerhaftung berufen. Aus diesem Grund haften externe Datenschutzbeauftragte in der Regel gegenüber dem Geschädigten bei leichter Fahrlässigkeit in voller Höhe.

Erweiterung der Haftungsmöglichkeiten für den Datenschutzbeauftragten durch die DS-GVO

Die Datenschutz-Grundverordnung wird mehrere Änderungen mit sich bringen, welche frühzeitig von Unternehmen umgesetzt werden sollen, um sich vor möglichen Haftungsansprüchen zu schützen.

Mit der Datenschutz-Grundverordnung ändert sich für den Datenschutzbeauftragten einiges. So hat dieser im Vergleich zu dem derzeit in Deutschland geltenden Bundesdatenschutzgesetz nicht nur die Aufgabe auf die Einhaltung des Datenschutzes hinzuwirken, sondern nach Art. 39 Abs. 1 b) DS-GVO umfassende Überwachungspflichten. Demzufolge kommen auf den Datenschutzbeauftragten höhere Anforderungen zu, welche mit höheren Risiken – entsprechende Überwachungspflichten zu verletzen – begleitet werden.

Fazit

Stellt man die Position externer oder interner Datenschutzbeauftragter nebeneinander, ergeben sich in Haftungsfragen für den Arbeitgeber (verantwortliche Stelle) wesentliche Vorteile bei der Bestellung eines externen Datenschutzbeauftragten, nicht zuletzt durch die Professionalität bei der Ausübung der Dienstleistung.

Sollten Sie einen kompetenten Datenschutzbeauftragten, eine fachkundige Beratung zum Datenschutz oder andere Datenschutzdienstleistungen suchen, die Ihr Unternehmen in Sachen Datenschutz optimal unterstützt, wenden Sie sich gerne an uns.

Ähnliche Beiträge

„Online-Apotheke Datenschutz“– Zu Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten oder Datenschutzberater

„Online-Apotheke Datenschutz“– Zu Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten oder Datenschutzberater

Veröffentlicht auf

Das Internet ermöglicht uns nahezu sämtliche Waren online zu bestellen oder uns zum Teil fachkundigen Rat einzuholen. Dies gilt sowohl für Kleidung, Elektronik, Kosmetika,…

Interner / Externer betrieblicher Datenschutzbeauftragter – Pflichten und Aufgaben des Datenschutzbeauftragten

Interner / Externer betrieblicher Datenschutzbeauftragter – Pflichten und Aufgaben des Datenschutzbeauftragten

Veröffentlicht auf

Als Datenschutz-Dienstleister stellen wir – insbesondere im Mittelstand – erschreckend häufig fest, dass viele Arbeitgeber respektive verantwortliche Stellen von der Funktion des Datenschutzbeauftragten regelmäßig…