Die Haftung des Datenschutzbeauftragten – Was ändert sich mit der DS-GVO, was bleibt?

Haftung des Datenschutzbeauftragten

Mit der, ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten anzuwendenden, Datenschutz-Grundverordnung (DS-GVO) ergeben sich mitunter Änderungen, die höhere Haftungsrisiken auch für den Datenschutzbeauftragten bedeuten.

Ihr externer Datenschutzbeauftragter klärt Sie über die bis dato geltenden Regelungen auf und informiert Sie über die diesbezügliche Änderung durch die Datenschutz-Grundverordnung.

Haftung des internen Datenschutzbeauftragten gegenüber der verantwortlichen Stelle

Auch mit der Datenschutz-Grundverordnung ist die verantwortliche Stelle im Regelfall für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. Der Datenschutzbeauftragte wirkt dabei grundsätzlich auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Das bedeutet jedoch nicht, dass der verantwortlichen Stellen gegenüber dem Datenschutzbeauftragten kein Schadensersatzanspruch zustehen kann.

Der verantwortlichen Stelle kann beispielsweise ein Schaden ausgelöst durch den internen Datenschutzbeauftragten entstehen, wenn dieser eine fehlerhafte Beratung oder Vorabkontrolle durchgeführt hat, welche von der Aufsichtsbehörde sanktioniert wird. Der Schadensersatzanspruch der verantwortlichen Stelle gegenüber dem internen Datenschutzbeauftragten ergibt sich dabei im Regelfall aus § 280 Bürgerliches Gesetzbuch (BGB) unter Einbezug der arbeitsrechtlichen Beweislastumkehr nach § 619a BGB.

Haftung des internen Datenschutzbeauftragten gegenüber den Betroffenen

Die Haftung des internen Datenschutzbeauftragten gegenüber Betroffenen dürfte sich i. d. R. aus unerlaubten Handlungen nach §823 BGB ergeben.

Eine solche unerlaubte Handlung, welche einen deliktischen Anspruch des Betroffenen auslöst, kann sich beispielsweise dann begründen, wenn durch eine nach objektiven Maßstäben falsche Beratung durch den internen Datenschutzbeauftragten vorgenommen wurde, die zur Durchführung einer unzulässigen Maßnahme geführt hat. Diese Maßnahme müsste dabei dazu geführt haben, dass dem Betroffenen durch diese konkreten Maßnahmen ein Schaden entstanden ist.

Interner Datenschutzbeauftragter – Beschränkte Arbeitnehmerhaftung

Ein interner Datenschutzbeauftragter haftet jedoch nur eingeschränkt für den verschuldeten Schaden, nach Verschuldensform, da er Arbeitnehmer ist. Demnach ist zu prüfen ob dieser:

  • vorsätzlich oder grob fahrlässig gehandelt hat. In dieser Konstellation haftet der interne Datenschutzbeauftragte in der Regel allein und im vollen Umfang.
  • Hat der interne Datenschutzbeauftragte nicht grob fahrlässig gehandelt und mittlere Form der Fahrlässigkeit vor, dann wird die Schadenskompensation quotal zwischen Arbeitnehmer und Arbeitgeber aufgeteilt.
  • Wird hingegen die Fahrlässigkeit als gering beurteilt, ist der interne Datenschutzbeauftragte, in seiner Stellung als Arbeitnehmer, von der Haftung freizustellen.

Diese genannten Kriterien zum Schadensausgleich, welche von der Rechtsprechung entwickelt wurden, dürfen nicht zu Lasten des Arbeitnehmers abgewandelt werden. Folglich steht dem internen Datenschutzbeauftragten bei Pflichtverletzung eine entsprechende Haftungserleichterung zu.

Externer Datenschutzbeauftragten haftet in voller Höhe

Im Gegensatz zu dem internen Datenschutzbeauftragten kann sich der externe Datenschutzbeauftragte mangels eines Arbeitsverhältnisses nicht auf die beschränkte Arbeitnehmerhaftung berufen. Aus diesem Grund haften externe Datenschutzbeauftragte in der Regel gegenüber dem Geschädigten bei leichter Fahrlässigkeit in voller Höhe.

Erweiterung der Haftungsmöglichkeiten für den Datenschutzbeauftragten durch die DS-GVO

Die Datenschutz-Grundverordnung wird mehrere Änderungen mit sich bringen, welche frühzeitig von Unternehmen umgesetzt werden sollen, um sich vor möglichen Haftungsansprüchen zu schützen.

Mit der Datenschutz-Grundverordnung ändert sich für den Datenschutzbeauftragten einiges. So hat dieser im Vergleich zu dem derzeit in Deutschland geltenden Bundesdatenschutzgesetz nicht nur die Aufgabe auf die Einhaltung des Datenschutzes hinzuwirken, sondern nach Art. 39 Abs. 1 b) DS-GVO umfassende Überwachungspflichten. Demzufolge kommen auf den Datenschutzbeauftragten höhere Anforderungen zu, welche mit höheren Risiken – entsprechende Überwachungspflichten zu verletzen – begleitet werden.

Mehr zur Haftung und den Sanktionen finden Sie in unserem Beitrag „Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz“.

Fazit

Stellt man die Position externer oder interner Datenschutzbeauftragter nebeneinander, ergeben sich in Haftungsfragen für den Arbeitgeber (verantwortliche Stelle) wesentliche Vorteile bei der Bestellung eines externen Datenschutzbeauftragten, nicht zuletzt durch die Professionalität bei der Ausübung der Dienstleistung.

Weitere Auskunft zur Position und Funktion des Datenschutzbeauftragten gibt Ihnen unser Beitrag  „Interner / Externer betrieblicher Datenschutzbeauftragter – Pflichten und Aufgaben des Datenschutzbeauftragten“.

Sollten Sie einen kompetenten Datenschutzbeauftragten, eine fachkundige Beratung zum Datenschutz oder andere Datenschutzdienstleistungen suchen, die Ihr Unternehmen in Sachen Datenschutz optimal unterstützt, wenden Sie sich gerne an uns.

Brands Consulting erstellt Ihnen ein auf Sie zugeschnittenes kostenfreies und unverbindliches Angebot.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.