kostenlos starten

Haftung des Datenschutzbeauftragten: Was droht dem DSB?

Haftung des Datenschutzbeauftragten

Datenschutzbeauftragte (DSB) haben nach Art. 37–39 DSGVO eine zentrale Beratungs- und Kontrollfunktion: Sie unterrichten und beraten Geschäftsleitung und Beschäftigte zu Datenschutzpflichten, überwachen die Einhaltung der DSGVO samt nationalem Recht, schulen Mitarbeitende, begleiten Datenschutz-Folgenabschätzungen und fungieren als Ansprechpartner für Aufsichtsbehörden und Betroffene. Der DSB ist dabei ausdrücklich in alle Datenverarbeitungs-Prozesse einzubinden. Diese Aufgaben dienen dem Schutz der betroffenen Personen; der DSB trifft aber keine eigenen Entscheidungen über Zwecke oder Mittel der Verarbeitung. In nationalem Recht wurden die DSGVO-Regeln ergänzt (z.B. §§ 38–39 BDSG für öffentliche Stellen), doch auch hier bleibt die Hauptverantwortung für Datenschutz beim Unternehmen. Aber wie sieht es denn nun aus mit der Haftung von Datenschutzbeauftragten? Das klären wir in diesem Blog-Beitrag.

Rechtliche Grundlagen der Haftung 

Nach DSGVO und BDSG liegt die Haftung für Datenschutzverstöße grundsätzlich beim Verantwortlichen (Art.4 Nr.7, 82 DSGVO). Art. 82 DSGVO spricht Schadensersatzansprüche ausdrücklich nur dem Verantwortlichen oder Auftragsverarbeiter zu. Ein DSB ist kein Verantwortlicher im datenschutzrechtlichen Sinn und kann daher nicht direkt nach Art. 82 DSGVO haftbar gemacht werden. Vielmehr wirkt er nur mittelbar: Bei Pflichtverletzungen kommen allgemeine zivilrechtliche Regeln (BGB) zum Tragen. 

  • Vertragliche Grundlagen: Ein interner DSB ist meist Arbeitnehmer (§ 611a BGB) und unterliegt den allgemeinen Arbeitsvertrags-Regeln (§§ 280 ff. BGB in Verbindung mit § 611a BGB). Ein externer DSB schließt in der Regel einen Dienstvertrag (§ 675 BGB) mit dem Unternehmen. Die DSGVO selbst regelt keine eigene Haftung von Datenschutzbeauftragten. 
  • Arbeitnehmerhaftung: Interne DSB genießen das prinzipiell auf Arbeitnehmer angewendete Haftungsprivileg: Sie haften im Innenverhältnis nur bei Vorsatz oder grober Fahrlässigkeit. Bei „einfacher Fahrlässigkeit“ bleibt in der Regel die Arbeitgeberseite eintrittspflichtig. Der Arbeitgeber muss den DSB im Rahmen des innerbetrieblichen Schadensausgleichs freistellen, wenn letzterer nur schlicht fahrlässig gehandelt hat.  
  • Haftung externer DSB: Da kein Arbeitsverhältnis besteht, greift hier kein Arbeitnehmerprivileg. Externe DSB haften grundsätzlich voll nach §§ 280 ff. BGB i.V.m. § 675 BGB. In der Praxis ist es üblich, ihre Haftung vertraglich zu begrenzen: Zum Beispiel auf grobe Fahrlässigkeit und Vorsatz oder einen Höchstbetrag. Viele Auftraggeber verlangen darüber hinaus eine Haftungsfreistellung oder ausreichend hohe Berufshaftpflichtversicherung des externen DSB. 
  • BDSG (nationales Recht): Das neue BDSG enthält keine besondere Vorschrift, wonach eine direkte Haftung von Datenschutzbeauftragten besteht. Es ergänzt lediglich Aufgaben und Stellung des DSB (z.B. Pflicht zur Bestellung, Vertraulichkeitspflicht). Allerdings sieht § 43 BDSG eine Ordnungswidrigkeit vor, wenn ein Unternehmen die Benennung eines erforderlichen DSB unterlässt (Bußgeld bis 10 Mio. € oder 2 % des Umsatzes). Dies trifft die Unternehmensleitung, nicht den DSB persönlich. 
  • Deliktische Haftung: Auch wenn Art. 82 DSGVO DSB nicht fasst, können Betroffene generell Ansprüche nach §§ 823 Abs.1, 2 BGB in Verbindung mit Art. 39 DSGVO geltend machen. Art. 39 DSGVO (Überwachungs- und Beratungspflicht des DSB) gilt als Schutzgesetz für die betroffene Person. Der DSB könnte also im Extremfall etwa bei Verletzung der Vertraulichkeit oder grober Fehlberatung deliktisch haften. Allerdings besteht hier in der Literatur weitgehend Einigkeit, dass in der Praxis eine solche Haftung so gut wie nie durchgesetzt werden kann. Zum einen sind Drittschäden oft schwer kausal dem DSB-Verhalten zuzurechnen; zum anderen betonen Experten, dass die Pflichten des DSB letztlich nicht primär dem Schutz des Unternehmens, sondern den Persönlichkeitsrechten Dritter dienen. 

Zusammenfassend folgt aus den rechtlichen Grundlagen: Haftungsansprüche aus der DSGVO gegen den DSB selbst sind in Deutschland praktisch ausgeschlossen, da er nach Art. 4 Nr.7 DSGVO nicht als Verantwortlicher gilt. Für das Innenverhältnis gelten ganz normale zivilrechtliche Regeln – mit deutlichem Vorteil für den DSB bei geringem Verschulden – und Selbstbehaltsgrenzen bei externen Dienstverträgen. 

Aktuelle Rechtsprechung zur Haftung von Datenschutzbeauftragten 

Die deutsche Rechtsprechung hat mehrfach bestätigt, dass DSB nicht als Verantwortlicher haften. Beispielhaft eine Entscheidung des OLG München genannt: 

Ein Wohnungseigentümer klagte gegen die Hausverwaltung und deren DSB aufgrund eines Datenschutzverstoßes. Das OLG München stellte klar, dass ausschließlich die Hausverwaltung als Verantwortlicher haftet. 

Tipps zur Haftungsvermeidung für DSB und Unternehmen 

Auch wenn die Haftung von Datenschutzbeauftragten grundsätzlich begrenzt ist, sind einige praktische Vorsichtsmaßnahmen sinnvoll. Für Datenschutzbeauftragte und Unternehmen empfiehlt die Fachpraxis etwa: 

  • Gründliche Dokumentation: Führen Sie eine lückenlose und revisionssichere Dokumentation aller datenschutzrechtlichen Empfehlungen, Schulungen und Kontrollen. Damit können Sie später nachweisen, dass der DSB seiner Pflicht nachgekommen ist. (Kümmerlein rät explizit: „Aus Nachweisgründen … Dokumentation über seine Empfehlungen“ zu führen.) Ebenso sollten alle wichtigen Entscheidungen und Vorkommnisse protokolliert werden. 
  • Klare vertragliche Regelungen: Bei externen DSB sind schriftliche Dienst- oder Geschäftsbesorgungsverträge Pflicht. Legen Sie dort Haftungsbeschränkungen und Freistellungen fest: Üblich ist etwa, die persönliche Haftung auf Fälle von Vorsatz oder grober Fahrlässigkeit zu begrenzen. Oft wird außerdem vereinbart, dass der DSB in Unternehmen in bestimmten Situationen (z.B. bei Subunternehmerfehlern) nicht persönlich haftet. Unternehmen sollten darauf achten, dass DSB über ausreichenden Berufshaftpflichtschutz verfügen. Eine entsprechende Vermögensschaden-Haftpflichtversicherung für Datenschutzbeauftragte wird empfohlen, um hohe Regressforderungen zu decken. 
  • Einhaltung der Empfehlungen des DSB: Damit es gar nicht erst zu Schadenersatzansprüchen kommt, sollten Unternehmen den DSB ernst nehmen. Unterlässt das Unternehmen die Umsetzung begründeter Empfehlungen des DSB, haftet in der Regel allein das Unternehmen. DSB sollten daher darauf dringen, frühzeitig eingebunden zu werden und – falls nötig – schriftlich dokumentieren, falls eine Maßnahme nicht umgesetzt wird. 
  • Fortbildung und Transparenz: Ein DSB sollte über aktuelle Fachkenntnis und Zertifizierungen verfügen. Regelmäßige Schulungen (z.B. zu neuen DSGVO-Entwicklungen) und Zertifikate stärken die Expertise und helfen, Fehler zu vermeiden. Transparenz und Kommunikation sind wichtig: Ein DSB sollte seine Vorgehensweise und Einschätzungen klar erklären und bei komplexen Entscheidungen frühzeitig Risikovorbehalte anbringen. 
  • Unabhängigkeit wahren: Der DSB muss weisungsfrei arbeiten. Er sollte intern deutlich machen, dass die Datenschutzverantwortung letztlich beim Verantwortlichen liegt. Ein vollständiger Haftungstransfer auf den DSB ist unmöglich – die Verantwortung verbleibt immer beim Auftraggeber. Das bedeutet: DSB und Geschäftsführung müssen zusammenarbeiten. Unternehmen sollten dem DSB Zugriff auf alle relevanten Prozesse gewähren und ihn rechtzeitig einbeziehen, damit keine Informationsdefizite entstehen. 
  • Interne Abläufe optimieren: Nutzen Sie Datenschutz-Management-Systeme und Auditverfahren, um Risiken früh zu erkennen. Eine regelmäßige interne Prüfung (z.B. Datenschutz-Controlling) stellt sicher, dass Anweisungen des DSB umgesetzt werden. Listen Sie Verantwortlichkeiten (Wer macht was?) transparent auf und berücksichtigen Sie den Rat des DSB bei Befugniserweiterungen, Software-Rollouts und ähnlichen Vorhaben. 

Durch diese Maßnahmen lässt sich das Haftungsrisiko minimieren. Dokumentation und klare Absprachen schaffen Nachweissicherheit, eine gute Versicherung deckt Rest-Risiken ab, und die Kooperation zwischen DSB und Geschäftsleitung verhindert im Vorfeld viele Fehler. 

Zusammenfassung

In Deutschland steht fest: Ein Datenschutzbeauftragter haftet nicht wie ein „Verantwortlicher“ für Datenschutzverstöße seines Unternehmens. Nach Art. 4 Nr. 7 und 82 DSGVO kommen Schadensersatzansprüche nur gegen die Verantwortlichen (bzw. AV) in Betracht. Juristische Fachliteratur und Gerichte bestätigen, dass DSB nur im Ausnahmefall (z.B. bei vorsätzlicher Pflichtverletzung) zivilrechtlich belangt werden können. Intern wirken primär die allgemeinen Regeln des Arbeitsrechts (mit Schutz des Mitarbeiters bei leichter Fahrlässigkeit), extern gelten Dienstvertragsrecht mit zulässigen Haftungsbegrenzungen. Dennoch sollten DSB und Unternehmen Wachsamkeit walten lassen: Präzise Vertragsklauseln, umfassende Dokumentation, Weiterbildung und Versicherung sind die wichtigsten Mittel, um Haftungsrisiken im Datenschutz zu reduzieren. Insgesamt ergibt sich ein positives Bild: Für sorgfältige DSB besteht kein erhöhtes eigenes Risiko – letztlich liegt die Verantwortung für Datenschutzverstöße beim Unternehmen. 

Unser Tipp: Entscheidend für eine Minimierung der Haftungsrisiken ist immer eine gute Dokumentation. Mit PLANIT // PRIMA haben Sie die Möglichkeit komplexe Dokumentationen einfach und schnell zu erledigen. Jetzt 14 Tage kostenlos testen

 

Weitere Beiträge

Haftung des Datenschutzbeauftragten

Haftung des Datenschutzbeauftragten: Was droht dem DSB?

Datenschutzbeauftragte (DSB) haben nach Art. 37–39 DSGVO eine zentrale Beratungs- und Kontrollfunktion: Sie unterrichten

Wann ist ein Datenschutzbeauftragter Pflicht? 

Dieser Beitrag erklärt klar und verständlich, wann Unternehmen laut DSGVO und BDSG einen Datenschutzbeauftragten

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

Auskunftsbegehren in der Unternehmenspraxis

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn

Mit Datenschutz den Unternehmenswert steigern! 

Mit Datenschutz den Unternehmenswert steigern – das funktioniert!Datenschutz wird meist als lästige Pflicht und

Umsetzung von Löschpflichten: Löschkonzepte und Löschkonzept mit Muster

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

DSFA

Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

Die DSFA DSGVO

Datenschutzrechtliche Gap- und Risikoanalyse

In einer Zeit, in der Daten als „neues Gold“ bezeichnet werden, hat der Datenschutz

Grundlagen des KI-Risikomanagements – KI-Systeme richtig einstufen, Risiken erkennen und managen

Grundlagen des KI-Risikomanagements Die KI-Verordnung (KI-VO) der Europäischen Union ist in Kraft getreten und

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024