Haftung des Datenschutzbeauftragten: Was droht dem Datenschutzbeauftragten?

Datenschutzbeauftragte (DSB) haben nach Art. 37–39 DSGVO eine zentrale Beratungs- und Kontrollfunktion: Sie unterrichten und beraten Geschäftsleitung und Beschäftigte zu Datenschutzpflichten, überwachen die Einhaltung der DSGVO samt nationalem Recht, schulen Mitarbeitende, begleiten Datenschutz-Folgenabschätzungen und fungieren als Ansprechpartner für Aufsichtsbehörden und Betroffene. Der Datenschutzbeauftragte ist dabei ausdrücklich in alle Datenverarbeitungs-Prozesse einzubinden. Diese Aufgaben dienen dem Schutz der betroffenen Personen; der Datenschutzbeauftragte trifft aber keine eigenen Entscheidungen über Zwecke oder Mittel der Verarbeitung. In nationalem Recht wurden die DSGVO-Regeln ergänzt (z.B. §§ 38–39 BDSG für öffentliche Stellen), doch auch hier bleibt die Hauptverantwortung für Datenschutz beim Unternehmen. Aber wie sieht es denn nun aus mit der Haftung von Datenschutzbeauftragten? Das klären wir in diesem Blog-Beitrag.

Rechtliche Grundlagen der Haftung 

Nach DSGVO und BDSG liegt die Haftung für Datenschutzverstöße grundsätzlich beim Verantwortlichen (Art.4 Nr.7, 82 DSGVO). Art. 82 DSGVO spricht Schadensersatzansprüche ausdrücklich nur dem Verantwortlichen oder Auftragsverarbeiter zu. Ein Datenschutzbeauftragte ist kein Verantwortlicher im datenschutzrechtlichen Sinn und kann daher nicht direkt nach Art. 82 DSGVO haftbar gemacht werden. Vielmehr wirkt er nur mittelbar: Bei Pflichtverletzungen kommen allgemeine zivilrechtliche Regeln (BGB) zum Tragen. 

• Vertragliche Grundlagen: Ein interner Datenschutzbeauftragter ist meist Arbeitnehmer (§ 611a BGB) und unterliegt den allgemeinen Arbeitsvertrags-Regeln (§§ 280 ff. BGB in Verbindung mit § 611a BGB). Ein externer Datenschutzbeauftragte schließt in der Regel einen Dienstvertrag (§ 675 BGB) mit dem Unternehmen. Die DSGVO selbst regelt keine eigene Haftung von Datenschutzbeauftragten. 

• Arbeitnehmerhaftung: Interne Datenschutzbeauftragte genießen das prinzipiell auf Arbeitnehmer angewendete Haftungsprivileg: Sie haften im Innenverhältnis nur bei Vorsatz oder grober Fahrlässigkeit. Bei „einfacher Fahrlässigkeit“ bleibt in der Regel die Arbeitgeberseite eintrittspflichtig. Der Arbeitgeber muss den Datenschutzbeauftragten im Rahmen des innerbetrieblichen Schadensausgleichs freistellen, wenn letzterer nur schlicht fahrlässig gehandelt hat.  

• Haftung externer Datenschutzbeauftragter: Da kein Arbeitsverhältnis besteht, greift hier kein Arbeitnehmerprivileg. Externe Datenschutzbeauftragte haften grundsätzlich voll nach §§ 280 ff. BGB i.V.m. § 675 BGB. In der Praxis ist es üblich, ihre Haftung vertraglich zu begrenzen: Zum Beispiel auf grobe Fahrlässigkeit und Vorsatz oder einen Höchstbetrag. Viele Auftraggeber verlangen darüber hinaus eine Haftungsfreistellung oder ausreichend hohe Berufshaftpflichtversicherung des externen DSB. 

• BDSG (nationales Recht): Das neue BDSG enthält keine besondere Vorschrift, wonach eine direkte Haftung von Datenschutzbeauftragten besteht. Es ergänzt lediglich Aufgaben und Stellung des Datenschutzbeauftragten (z. B. Pflicht zur Bestellung, Vertraulichkeitspflicht). Allerdings sieht § 43 BDSG eine Ordnungswidrigkeit vor, wenn ein Unternehmen die Benennung eines erforderlichen Datenschutzbeauftragten unterlässt (Bußgeld bis 10 Mio. € oder 2 % des Umsatzes). Dies trifft die Unternehmensleitung, nicht den Datenschutzbeauftragten persönlich. 

• Deliktische Haftung: Auch wenn Art. 82 DSGVO Datenschutzbeauftragte nicht fasst, können Betroffene generell Ansprüche nach §§ 823 Abs.1, 2 BGB in Verbindung mit Art. 39 DSGVO geltend machen. Art. 39 DSGVO (Überwachungs- und Beratungspflicht des DSB) gilt als Schutzgesetz für die betroffene Person. Der Datenschutzbeauftragte könnte also im Extremfall etwa bei Verletzung der Vertraulichkeit oder grober Fehlberatung deliktisch haften. Allerdings besteht hier in der Literatur weitgehend Einigkeit, dass in der Praxis eine solche Haftung so gut wie nie durchgesetzt werden kann. Zum einen sind Drittschäden oft schwer kausal dem Datenschutzbeauftragten-Verhalten zuzurechnen; zum anderen betonen Experten, dass die Pflichten des Datenschutzbeauftragten letztlich nicht primär dem Schutz des Unternehmens, sondern den Persönlichkeitsrechten Dritter dienen. 

Zusammenfassend folgt aus den rechtlichen Grundlagen: Haftungsansprüche aus der DSGVO gegen den Datenschutzbeauftragten selbst sind in Deutschland praktisch ausgeschlossen, da er nach Art. 4 Nr.7 DSGVO nicht als Verantwortlicher gilt. Für das Innenverhältnis gelten ganz normale zivilrechtliche Regeln – mit deutlichem Vorteil für den Datenschutzbeauftragten bei geringem Verschulden – und Selbstbehaltsgrenzen bei externen Dienstverträgen. 

Aktuelle Rechtsprechung zur Haftung von Datenschutzbeauftragten 

Die deutsche Rechtsprechung hat mehrfach bestätigt, dass Datenschutzbeauftragte nicht als Verantwortlicher haften. Beispielhaft eine Entscheidung des OLG München genannt: 

Ein Wohnungseigentümer klagte gegen die Hausverwaltung und deren Datenschutzbeauftragten aufgrund eines Datenschutzverstoßes. Das OLG München stellte klar, dass ausschließlich die Hausverwaltung als Verantwortlicher haftet. 

Tipps zur Haftungsvermeidung für Datenschutzbeauftragte und Unternehmen 

Auch wenn die Haftung von Datenschutzbeauftragten grundsätzlich begrenzt ist, sind einige praktische Vorsichtsmaßnahmen sinnvoll. Für Datenschutzbeauftragte und Unternehmen empfiehlt die Fachpraxis etwa: 

• Gründliche Dokumentation: Führen Sie eine lückenlose und revisionssichere Dokumentation aller datenschutzrechtlichen Empfehlungen, Schulungen und Kontrollen. Damit können Sie später nachweisen, dass der Datenschutzbeauftragte seiner Pflicht nachgekommen ist. (Kümmerlein rät explizit: „Aus Nachweisgründen … Dokumentation über seine Empfehlungen“ zu führen.) Ebenso sollten alle wichtigen Entscheidungen und Vorkommnisse protokolliert werden. 

• Klare vertragliche Regelungen: Bei externen Datenschutzbeauftragten sind schriftliche Dienst- oder Geschäftsbesorgungsverträge Pflicht. Legen Sie dort Haftungsbeschränkungen und Freistellungen fest: Üblich ist etwa, die persönliche Haftung auf Fälle von Vorsatz oder grober Fahrlässigkeit zu begrenzen. Oft wird außerdem vereinbart, dass der Datenschutzbeauftragte in Unternehmen in bestimmten Situationen (z. B. bei Subunternehmerfehlern) nicht persönlich haftet. Unternehmen sollten darauf achten, dass Datenschutzbeauftragte über ausreichenden Berufshaftpflichtschutz verfügen. Eine entsprechende Vermögensschaden-Haftpflichtversicherung für Datenschutzbeauftragte wird empfohlen, um hohe Regressforderungen zu decken. 

• Einhaltung der Empfehlungen des Datenschutzbeauftragten: Damit es gar nicht erst zu Schadenersatzansprüchen kommt, sollten Unternehmen den Datenschutzbeauftragten ernst nehmen. Unterlässt das Unternehmen die Umsetzung begründeter Empfehlungen des Datenschutzbeauftragten, haftet in der Regel allein das Unternehmen. Datenschutzbeauftragte sollten daher darauf dringen, frühzeitig eingebunden zu werden und – falls nötig – schriftlich dokumentieren, falls eine Maßnahme nicht umgesetzt wird. 

• Fortbildung und Transparenz: Ein Datenschutzbeauftragter sollte über aktuelle Fachkenntnis und Zertifizierungen verfügen. Regelmäßige Schulungen (z.B. zu neuen DSGVO-Entwicklungen) und Zertifikate stärken die Expertise und helfen, Fehler zu vermeiden. Transparenz und Kommunikation sind wichtig: Ein Datenschutzbeauftragter sollte seine Vorgehensweise und Einschätzungen klar erklären und bei komplexen Entscheidungen frühzeitig Risikovorbehalte anbringen. 

• Unabhängigkeit wahren: Der Datenschutzbeauftragte muss weisungsfrei arbeiten. Er sollte intern deutlich machen, dass die Datenschutzverantwortung letztlich beim Verantwortlichen liegt. Ein vollständiger Haftungstransfer auf den Datenschutzbeauftragten ist unmöglich – die Verantwortung verbleibt immer beim Auftraggeber. Das bedeutet: Datenschutzbeauftragte und Geschäftsführung müssen zusammenarbeiten. Unternehmen sollten dem Datenschutzbeauftragten Zugriff auf alle relevanten Prozesse gewähren und ihn rechtzeitig einbeziehen, damit keine Informationsdefizite entstehen. 

• Interne Abläufe optimieren: Nutzen Sie Datenschutz-Management-Systeme und Auditverfahren, um Risiken früh zu erkennen. Eine regelmäßige interne Prüfung (z.B. Datenschutz-Controlling) stellt sicher, dass Anweisungen des Datenschutzbeauftragten umgesetzt werden. Listen Sie Verantwortlichkeiten (Wer macht was?) transparent auf und berücksichtigen Sie den Rat des Datenschutzbeauftragten bei Befugnis-Erweiterungen, Software-Rollouts und ähnlichen Vorhaben. 

Durch diese Maßnahmen lässt sich das Haftungsrisiko minimieren. Dokumentation und klare Absprachen schaffen Nachweissicherheit, eine gute Versicherung deckt Rest-Risiken ab, und die Kooperation zwischen Datenschutzbeauftragten und Geschäftsleitung verhindert im Vorfeld viele Fehler. 

Zusammenfassung

In Deutschland steht fest: Ein Datenschutzbeauftragter haftet nicht wie ein „Verantwortlicher“ für Datenschutzverstöße seines Unternehmens. Nach Art. 4 Nr. 7 und 82 DSGVO kommen Schadensersatzansprüche nur gegen die Verantwortlichen (bzw. AV) in Betracht. Juristische Fachliteratur und Gerichte bestätigen, dass Datenschutzbeauftragte nur im Ausnahmefall (z. B. bei vorsätzlicher Pflichtverletzung) zivilrechtlich belangt werden können. Intern wirken primär die allgemeinen Regeln des Arbeitsrechts (mit Schutz des Mitarbeiters bei leichter Fahrlässigkeit), extern gelten Dienstvertragsrecht mit zulässigen Haftungsbegrenzungen. Dennoch sollten Datenschutzbeauftragte und Unternehmen Wachsamkeit walten lassen: Präzise Vertragsklauseln, umfassende Dokumentation, Weiterbildung und Versicherung sind die wichtigsten Mittel, um Haftungsrisiken im Datenschutz zu reduzieren. Insgesamt ergibt sich ein positives Bild: Für sorgfältige Datenschutzbeauftragte besteht kein erhöhtes eigenes Risiko – letztlich liegt die Verantwortung für Datenschutzverstöße beim Unternehmen.