Abo

Aufsatz : Zur (regelmäßigen Nicht-)Haftung des Datenschutzbeauftragten* : aus der RDV 6/2024, Seite 317 bis 323

Lesezeit 21 Min.

In der Literatur findet sich verbreitet die Aussage, dass Datenschutzbeauftragte[1] haften, sofern sie schuldhaft ihre Pflichten aus Art. 39 DS-GVO verletzen. Die Autoren dieses Aufsatzes bezweifeln, dass diese Aussage in ihrer Pauschalität zutreffend ist und wollen aufzeigen, dass in der Praxis hohe Hürden zu überwinden sind, um einen Schadenersatzanspruch der betroffenen Person gegenüber dem Datenschutzbeauftragten bejahen zu können. Im Verhältnis zur benennenden Stelle dürfte eine Haftung des Datenschutzbeauftragten regelmäßig bereits dem Grunde nach scheitern, wie aufgezeigt werden wird. Erörtert wird zudem die strittige Frage, inwiefern dem Datenschutzbeauftragten eine Stellung als sog. „Überwachergarant“ zukommt. Relevant ist die Antwort für die Beurteilung, ob eine Haftung bzw. Strafbarkeit des Datenschutzbeauftragten auch in Fällen des Unterlassens in Betracht kommt, also weil der Amtsinhaber einen Datenschutzverstoß beim Verantwortlichen nicht abgewendet hat. Insofern bedürfte es einer Rechtspflicht des Beauftragten zum Tätigwerden.

I. Einführung

Die Artt. 37 ff. DS-GVO regeln, unter welchen Voraussetzungen ein Datenschutzbeauftragter zu benennen ist (Art.  37) und welche Rechtsstellung (Art. 38) bzw. Aufgaben (Art. 39) ihm zukommen. Ergänzt werden die Vorgaben auf nationaler Ebene durch die Regelungen in §§ 5 ff. und § 38 BDSG bzw. – sofern Datenschutzbeauftragte öffentlicher Stellen auf Landes- bzw. Kommunalebene betroffen sind – durch ggf. im jeweiligen Landesrecht enthaltene ergänzende Bestimmungen zu Artt.  37 ff. DS-GVO. Die genannten BDSG Bestimmungen haben Praxisrelevanz insbesondere vor dem Hintergrund, dass sie auf nationaler Ebene die Verpflichtung von Unternehmen, einen Datenschutzbeauftragten zu benennen, im Verhältnis zur DS-GVO erweitern, vgl. § 38 Abs. 1 BDSG. Außerdem erweitert das BDSG den Schutz des Datenschutzbeauftragten im Verhältnis zum europäischen Recht, indem einerseits der Abberufungsschutz im Verhältnis zu den DS-GVO-Vorgaben gestärkt wird (§ 6 Abs. 4 S. 1 BDSG, für nicht öffentliche Stellen i.V.m. §  38 Abs.  2 BDSG) und andererseits ein spezieller arbeitsrechtlicher Kündigungsschutz begründet wird (§ 6 Abs. 4 S. 2 f. BDSG, für nicht öffentliche Stellen i.V.m. § 38 Abs. 2 BDSG), der in der DS-GVO nicht vorgesehen ist.[2]

Im Verhältnis zu den Vorgaben im nationalen Recht, die vor der DS-GVO galten und nach welchen dem Datenschutzbeauftragten etwa die Aufgaben der Mitarbeiterschulung und der sog. Vorabkontrolle zukamen (§ 4g BDSG aF), ist die Rolle des Datenschutzbeauftragten nach der DS-GVO dabei von operativen Funktionen weitgehend entkleidet.[3] Der Datenschutzbeauftragte nach der DS-GVO ist primär ein Complianceorgan. Seine Kernaufgaben liegen in der Beratung (Art. 39 Abs. 1 lit. a)) DS-GVO) der benennenden Stelle sowie der Überwachung der Einhaltung der Datenschutzvorgaben (Art. 39 Abs. 1 lit. b)) DS-GVO) bei derselben. Entscheidungsbefugnisse im Hinblick auf die personenbezogene Datenverarbeitung kommen dem Datenschutzbeauftragten nicht zu und könnten ihm auch nicht übertragen werden, weil er sich ansonsten selbst überwachen müsste, was einen unzulässigen Interessenkonflikt i.S.v. Art. 38 Abs. 6 S. 2 DS-GVO begründen würde.

II. Allgemeines zur Haftung des Datenschutzbeauftragten

 

1. Haftung des Datenschutzbeauftragten gegenüber der betroffenen Person

a) Allgemeines

Mit Art. 82 DS-GVO enthält die DS-GVO eine spezielle Schadenersatzregelung, die allerdings im Rahmen der hier relevanten Fragestellung einer möglichen Haftung des Daten-schutzbeauftragten nicht zum Tragen kommt. Denn nach deren ausdrücklichem Wortlaut können sich aus der Regelung in Art. 82 DS-GVO Schadenersatzansprüche nur gegen den Verantwortlichen bzw. Auftragsverarbeiter ergeben. Ansprüche gegen andere schadenverursachende Stellen oder Personen werden durch die Vorschrift nicht begründet.[4] Der Datenschutzbeauftragte ist mit Ausnahme der Fälle des sog. Mitarbeiterexzesses als Teil der benennenden Stelle anzusehen.[5]Ansprüche gegen diesen können sich aber ggf. aus dem allgemeinen Haftungsrecht ergeben, denn Art. 82 DS-GVO hat keinen abschließenden Charakter, so explizit ErwG. 146 S. 4 DS-GVO. Zu prüfen ist insofern zum einen die Möglichkeit einer vertraglichen Haftung des Datenschutzbeauftragten, zum anderen eine mögliche Haftung desselben aus Deliktsrecht.

b) Vertragliche Haftung

Da zwischen dem Datenschutzbeauftragten und der betroffenen Person eine vertragliche Beziehung regelmäßig nicht besteht, kommt eine vertragliche Haftung desselben gegenüber dieser nur in Frage, sofern zwischen der benennenden Stelle und dem Amtsinhaber eine vertragliche Beziehung besteht, welche Wirkungen zugunsten der betroffenen Person entfaltet.[6] Auch wenn zwischen dem Datenschutzbeauftragten und der benennenden Stelle ein Vertrag besteht, nämlich im Fall des internen Beauftragten regelmäßig ein Arbeitsvertrag, im Fall des externen Beauftragten je nach Ansicht ein Geschäftsbesorgungs- oder Dienstvertrag[7] , fehlt es allerdings an einer entsprechenden Drittwirkung zugunsten der betroffenen Person. Ein Vertrag zugunsten Dritter (§ 328 BGB) scheidet in der beschriebenen Konstellation aus, da mit der Benennung des Datenschutzbeauftragten nicht das Ziel verfolgt wird, betroffenen Personen eigene Rechtsansprüche einzuräumen. Die Benennung erfolgt nicht im Interesse konkreter einzelner Personen, sondern zum Schutz der Gesamtheit der möglichen betroffenen Personen vor Persönlichkeitsrechtsverletzungen. Für die Annahme eines sog. Vertrages mit Schutzwirkung zugunsten Dritter fehlt es an der notwendigen „Leistungsnähe“ der betroffenen Person. Das genannte Rechtsinstitut vermag nur eine Einbeziehung in im Verhältnis zwischen Gläubiger und Schuldner bestehende Schutzpflichten zu ermöglichen. Der Datenschutzbeauftragte schuldet der benennenden Stelle aber nicht den Schutz ihrer Persönlichkeitsrechte, sondern Überwachung des Datenschutzes und Beratung. Eine vertragliche Haftung des Datenschutzbeauftragten im Verhältnis zur betroffenen Person scheidet folglich im Ergebnis regelmäßig aus.[8]

c) Deliktsrechtliche Haftung

aa) Allgemeines

Als Rechtsgrundlagen einer deliktischen Haftung des Datenschutzbeauftragten gegenüber der betroffenen Person kommen § 823 Abs. 1 und Abs. 2 BGB in Betracht. Anders als Art. 82 DS-GVO knüpfen die genannten Bestimmungen nicht an einen bestimmten Täterkreis, so dass einer Haftung insoweit nicht entgegensteht, dass der Datenschutzbeauftragte weder Verantwortlicher noch Auftragsverarbeiter im Sinne der DS-GVO ist. Auch ist Art. 39 DS-GVO mit der dort statuierten Beratungs- und Überwachungspflicht des Datenschutzbeauftragten nach hM als deliktsrechtliches Schutzgesetz anzusehen, welches der Amtsinhaber im Interesse der betroffenen Personen zu erfüllen hat.[9] Eine deliktische Haftung des Datenschutzbeauftragten im Verhältnis zur betroffenen Person kommt damit im Grundsatz in Betracht.

bb) Aktive Falschberatung durch den Datenschutzbeauftragten

Haftungsrechtlich am wenigsten problematisch sind insofern Fälle, in welchen eine Datenschutzverletzung auf ein aktives Handeln des Datenschutzbeauftragten zurückzuführen ist. Beispiel: Aufgrund schuldhafter Falschberatung durch seinen Datenschutzbeauftragten führt der Verantwortliche eine datenschutzwidrige Maßnahme durch mit der Konsequenz, dass die betroffene Person beeinträchtigt wird.

Diese haftungsrechtlich unproblematische Konstellation dürfte allerdings faktisch vom Kläger regelmäßig nicht nachgewiesen werden können mangels Einblickes in die Vorgänge beim Verantwortlichen. Die betroffene Person hat typischerweise nur Kenntnis von der Datenschutzverletzung als solche und nicht auch darüber, wie diese intern zustande gekommen ist.

Unabhängig davon dürfte die betroffene Person häufig den Verantwortlichen als regelmäßig leistungsstärkere Instanz in Anspruch nehmen wollen, zumal sie sich bei Inanspruchnahme des Verantwortlichen auch auf die Verschuldensvermutung im Rahmen von Art.  82 DS-GVO berufen kann.[10] Wie später noch aufgezeigt werden wird, ist ein Regress des Verantwortlichen beim Datenschutzbeauftragten allerdings regelmäßig ausgeschlossen.

Hat eine geschädigte Person ausnahmsweise Kenntnis von den internen Abläufen beim Verantwortlichen und dem Verursachungsbeitrag des Datenschutzbeauftragten an der Datenschutzverletzung und entscheidet sich, Letzteren unmittelbar in Anspruch zu nehmen und nicht die benennende Stelle, sind schließlich die Grundsätze des sog. innerbetrieblichen Schadensausgleiches zu beachten.[11] Hiernach hat der Arbeitgeber bei einem nur durch leichte Fahrlässigkeit verursachten Schaden den Datenschutzbeauftragten im Innenverhältnis von einer Haftung gegenüber der betroffenen Person freizustellen. Bei mittlerer Fahrlässigkeit ist die Haftung zwischen Arbeitgeber und Datenschutzbeauftragtem zu quoteln (§ 254 BGB analog). Nur bei Vorsatz und bei grober Fahrlässigkeit haftet der Arbeitnehmer regelmäßig voll.

cc) Nichtunterbinden von Datenschutzverletzungen durch den Datenschutzbeauftragten

Praktisch wird es sich oftmals so verhalten, dass der Vorwurf gegenüber dem Datenschutzbeauftragten nicht darin besteht, dass er aktiv falsch beraten hat, sondern er lediglich schuldhaft eine rechtswidrige Verarbeitung seitens des Verantwortlichen nicht unterbunden hat. Anknüpfungspunkt der Haftung soll also ein Unterlassen sein. Zwar kann eine deliktische Haftung auch durch ein Unterlassen begründet werden, Voraussetzung ist hierfür aber, dass eine Rechtspflicht zum Handeln bestand.

Mit Blick auf den Auftrag des Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b) DS-GVO, die Einhaltung des Datenschutzes bei der benennenden Stelle zu überwachen, geht eine verbreitete Meinung davon aus, dass der Datenschutzbeauftragte ein sog. Überwachungsgarant ist. Während sog. Beschützergaranten Obhutspflichten bezogen auf bestimmte Rechtsgüter treffen, treffen Überwachungsgaranten Überwachungspflichten gegenüber Gefahrenquellen in ihrem Herrschaftsbereich. Regelmäßig eine Stellung als Überwachungsgarant hat der BGH etwa für Compliance Officer angenommen, deren Aufgabe es ist, Rechtsverstöße, insbes. Straftaten, die aus dem Unternehmen heraus begangen werden, zu verhindern.[12] Die Annahme einer Garantenstellung sei insofern notwendige Kehrseite der gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden, so der BGH.[13]

Nach hier vertretener Ansicht ist eine Stellung des Datenschutzbeauftragten als Überwachungsgarant dagegen regelmäßig abzulehnen.[14] Insbes. ist die Rechtsprechung zum Compliance Officer auf den Datenschutzbeauftragten nicht übertragbar. Den Datenschutzbeauftragten trifft keine Verpflichtung, Datenschutzverstöße zu unterbinden, sondern lediglich eine Hinweispflicht auf festgestellte Verstöße entsprechend der Berichtslinie (Art. 38 Abs. 3 S. 3 DS-GVO).[15]Ihm eine Garantenstellung zuzuschreiben, würde die von der DS-GVO vorgesehene Verantwortungsverteilung konterkarieren, wonach die Verantwortung für den Datenschutz von der Leitung des Unternehmens getragen wird bzw. in abgeleiteter Verantwortung von den jeweiligen Fachverantwortlichen und der Datenschutzbeauftragte nur beratend und überwachend tätig wird. Die benennende Stelle, nicht der Datenschutzbeauftragte, trägt die Verantwortung für den Datenschutz (Art.  24 Abs.  1 DS-GVO).[16] Einem Datenschutzbeauftragten kommen keine Weisungsbefugnisse zu, um Datenschutzverstöße zu unterbinden.[17]

Die Verpflichtung zur Überwachung nach Art. 39 Abs. 1 lit. b) DS-GVO darf insofern nicht im Sinne einer vollumfassenden Kontrolle missverstanden werden. Der Überwachungsauftrag des Datenschutzbeauftragten bezieht sich ausschließlich darauf, ob die benennende Stelle „in ihrer Gesamtheit“ ihren Pflichten zur Umsetzung des Datenschutzes gerecht wird.[18] Entgegen verbreiteter Vorstellung ist es nicht Aufgabe des Datenschutzbeauftragten, den Datenschutz beim Verantwortlichen bzw. Auftragsverarbeiter zu kontrollieren oder sicherzustellen, was ihm bereits praktisch aufgrund des damit verbundenen Aufwands nicht möglich wäre.[19] Er braucht auch keine Maßnahmen ergreifen, um von allen Vorgängen mit Datenschutzbezug Kenntnis zu erlangen.[20]

Eine Handlungspflicht wird jedenfalls regelmäßig auch nicht aus einem (vermeintlichen) „Wissensvorsprung“ des Datenschutzbeauftragten im Verhältnis zur Leitung bzw. den Fachverantwortlichen entstehen.[21] Ohnehin, also unabhängig vom Datenschutzbeauftragten, ist fraglich, inwiefern ein „Wissensvorsprung“ um eine Gefahrenquelle eine Handlungspflicht auslösen kann.[22] Bzgl. des Datenschutzbeauftragten kommt hinzu, dass dieser regelmäßig schon keinen Informationsvorsprung im Verhältnis zur Leitung der benennenden Stelle haben wird, denn Letzterer sind die Verarbeitungsprozesse mindestens genauso bekannt wie dem Datenschutzbeauftragen bzw. diese muss sich diesbezügliches Wissen ihres Leitungspersonals entsprechend zurechnen lassen.[23]Ein eine Handlungspflicht auslösender Informationsvorsprung vermag sich nach hier vertretener Ansicht auch nicht allein daraus zu ergeben, dass der Datenschutzbeauftragte ggf. über bessere Kenntnisse des Datenschutzrechts verfügt.[24]Die Leitung einer Stelle kann sich nicht darauf berufen, die zur Ausübung ihrer Verantwortung notwendige Rechtskenntnis nicht zu besitzen. Für den Regelfall wird ein Wissensvorsprung des Datenschutzbeauftragten und damit eine entsprechende Handlungspflicht desselben also abzulehnen sein. Anderes kann gelten, wenn der Amtsinhaber im Einzelfall tatsächlich Informationen erhält, welche der Leitung nicht zur Verfügung stehen, z.B. über das Bestehen eines Datenlecks. Mangels entsprechender Kompetenzen und Weisungsbefugnisse kann sich aber auch in diesem Fall die Handlungspflicht des Datenschutzbeauftragten nicht auf die Beseitigung der Datenschutzverletzung als solche beziehen, sondern nur auf die Kommunikation des Sachverhalts gegenüber den zuständigen Stellen beim Verantwortlichen.

Zwischenergebnis: Den Datenschutzbeauftragten kann mangels entsprechender eigener Weisungsrechte keine Garantenstellung dahingehend treffen, Datenschutzverletzungen zu unterbinden. Eine Handlungspflicht kann ihm aber ausnahmsweise dahingehend zukommen, auf Datenschutzverletzungen hinzuweisen, dies allerdings nur, sofern diese der Leitung bzw. den zuständigen Personen beim Verantwortlichen nicht bekannt sind.

In letzterem Fall ergibt sich für die klagende Partei das weitere Problem, die haftungsbegründende Kausalität nachzuweisen, also die Ursächlichkeit der Pflichtverletzung für die eingetretene Rechtsgutverletzung. Da dem Datenschutzbeauftragten selbst keine Weisungsbefugnisse zur Umsetzung des Datenschutzes zukommen, bleibt er stets auf ein Tätigwerden der Leitung angewiesen bzw. ein Tätigwerden derjenigen Führungskräfte, an welche die Leitung ihre diesbezüglichen Weisungsbefugnisse delegiert hat. In welchem Umfang vom Datenschutzbeauftragten nicht angezeigte Defizite beseitigt worden wären, ist eine prozessual zu klärende Frage. Bei Vornahme der gebotenen Handlung müsste der tatbestandliche Erfolg mit an Sicherheit grenzender Wahrscheinlichkeit ausgeblieben sein,[25] was vom Kläger zu beweisen wäre. Selbst wenn ein Datenschutzbeauftragter auf bestehende Datenschutzverstöße hinweist, führt dies indes nicht zwingend dazu, dass die Unternehmensleitung dessen Hinweise auch umsetzt. Die Beweiserleichterungen nach Art. 82 Abs. 3 DS-GVO kommen insofern auch nicht zum Tragen.

Schafft es die klagende Partei sowohl die Hürde der Begründung einer Handlungspflicht des Datenschutzbeauftragten als auch diejenige des Nachweises der haftungsbegründenden Kausalität zu überwinden, vermag sich im Einzelfall im Außenverhältnis ein Schadenersatzanspruch gegen den Beauftragten zu ergeben. Im Innenverhältnis zwischen benennender Stelle und Amtsinhaber sind aber auch insofern die Grundsätze des innerbetrieblichen Schadenausgleiches zu beachten,[26] d.h., der Datenschutzbeauftragte hat ggf. im Hinblick auf den im Außenverhältnis zu leistenden Schadenersatz einen Ausgleichsanspruch im Verhältnis zur benennenden Stelle.

dd) Haftung bei Verschwiegenheitsverletzungen des Datenschutzbeauftragten

Praktische Relevanz wird eine deliktische Haftung des Datenschutzbeauftragten insbes. dann erlangen können, wenn ein Amtsinhaber seine Pflicht gegenüber der betroffenen Person zur Verschwiegenheit verletzt (§ 823 Abs. 2 BGB i.V.m. Art. 38 Abs. 5 DS-GVO i.V.m. § 6 Abs. 5 S. 2 und ggf. § 38 Abs. 2 BDSG). Gemäß § 6 Abs. 5 S. 2 BDSG ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird. Die Verletzung der Vertraulichkeit durch für Berufsgeheimnisträger tätige Datenschutzbeauftragte ist gem. § 203 Abs. 4 S. 1 StGB zudem strafbar.

Bedeutung hat die Vertraulichkeitspflicht des Datenschutzbeauftragten insbes. für den Bereich des Beschäftigtendatenschutzes. Denn während es Kunden, die sich nach Art. 38 Abs. 4 DS-GVO an den Datenschutzbeauftragten wenden, teilweise sogar recht sein mag, wenn ihre Beschwerde an die Geschäftsleitung weitergegeben wird, werden sich Beschäftigte aus Angst vor karrieretechnischen Nachteilen oftmals nur an den Datenschutzbeauftragten wenden, wenn die Vertraulichkeit sichergestellt ist.[27]

2. Haftung des Datenschutzbeauftragten im Verhältnis zur benennenden Stelle

Im Verhältnis des Datenschutzbeauftragten zur benennenden Stelle besteht ein Vertrag in Form des Arbeitsvertrages (interner Datenschutzbeauftragter) oder des Dienstvertrages (externer Datenschutzbeauftragter).[28] Dies führt dazu, dass in der datenschutzrechtlichen Literatur vielfach der – nach hier vertretener Ansicht voreilige – Schluss erfolgt, der Datenschutzbeauftragte könne im Verhältnis zur benennenden Stelle aus Vertrag haften, insbes. wegen aktiver Falschberatung der benennenden Stelle. Ausgangspunkt für die Annahme scheint, dass bezogen auf den Datenschutzbeauftragten eine Parallele zur allgemeinen Beraterhaftung gezogen wird und „normale“ Berater im Fall einer Falschberatung eben selbstverständlich auch für diese haften. Der Datenschutzbeauftragte ist allerdings kein „normaler“ Berater.

Sonstige Berater, die Wirtschaftsunternehmen gewöhnlich in Anspruch nehmen, z.B. Steuer-, Finanz- oder Unternehmensberater allgemein, schulden dem Unternehmen als Vertragspartner den Schutz seiner Vermögensinteressen, wenn nicht sogar als Hauptleistung, dann zumindest als Nebenleistung. Nur weil dies der Fall ist, müssen solche Berater im Falle der Verletzung ihrer vertraglichen Pflichten Ersatz für Vermögensschäden leisten. Die vertraglichen Pflichten eines Datenschutzbeauftragten sind hingegen regelmäßig nicht auf den Schutz der Vermögensinteressen der benennenden Stelle bezogen. Denn ohne spezielle Vereinbarung zwischen benennender Stelle und Datenschutzbeauftragtem erschöpfen sich die vertraglichen Pflichten des Letzteren in der Wahrnehmung der gesetzlichen Aufgaben aus Art. 39 DS-GVO. Die dort enthaltene Beratungspflicht (Art. 39 Abs. 1 lit. a) DS-GVO) dient aber nicht dem Schutz der Vermögensinteressen der benennenden Stelle, sondern ausschließlich der Wahrung des Rechts auf informationelle Selbstbestimmung derjenigen Personen, welche durch deren Datenverarbeitung betroffen sind. Zwar schützt selbstverständlich die Tätigkeit des Datenschutzbeauftragten faktisch auch die benennende Stelle vor Inanspruchnahme wegen Datenschutzverletzungen. Dies ist allerdings nicht Intention der gesetzlichen Aufgabenstellung, sondern lediglich Reflexwirkung derselben. An der Schutzrichtung des Beratungsauftrags ändert sich auch nichts dadurch, dass die Beratung nach Art. 39 Abs. 1 lit. a) DS-GVO nicht nur gesetzlich, sondern zudem vertraglich geschuldet wird. Denn ohne entsprechende Verständigung der Parteien bzgl. einer Erweiterung sind die vertraglichen Aufgaben des Datenschutzbeauftragten identisch mit den gesetzlich vorgesehenen.

Nach hier vertretener Auffassung ist daher eine Haftung des Datenschutzbeauftragten gegenüber der benennenden Stelle regelmäßig schon dem Grunde nach ausgeschlossen. Dies gilt für vertragliche wie deliktische Ansprüche. Anderes gilt nur, wenn der Datenschutzbeauftragte im Einzelfall ausnahmsweise eine weitergehende, auch auf den Schutz der benennenden Stelle bezogene Beratungspflicht übernommen hat.

III. Regress der benennenden Stelle beim Datenschutzbeauftragten für Bußgelder?

Wie dargestellt, scheitert ein Schadenersatzanspruch der benennenden Stelle gegenüber dem Datenschutzbeauftragten wegen Falschberatung nach hier vertretener Ansicht regelmäßig schon dem Grunde nach, d.h. wegen des Fehlens einer entsprechenden Rechtsgrundlage.

Selbst wenn man, anders als hier, einen solchen Schadenersatzanspruch dem Grunde nach bejahen wollte, bedürfte es zudem u.a. der Prüfung, ob ein ersatzfähiger Schaden gegeben ist. Problematisch kann dies v.a. werden, wenn ein Unternehmen Bußgelder wegen Datenschutzverstößen mit der Begründung der Falschberatung vom Datenschutzbeauftragten erstattet verlangt. Es stellt sich die Frage, ob solche Bußgelder überhaupt regressfähig sind, also als Schadensposition im Grundsatz in Frage kommen.

So urteilte das OLG Düsseldorf[29] mit Bezug auf Unternehmenskartellbußgelder, dass eine juristische Person ihr Geschäftsführungsorgan für diese nicht in Regress nehmen kann. Das Gericht sah u.a. die Gefahr, dass im Fall des Rückgriffs die beabsichtigte Sanktionswirkung des Unternehmensbußgeldes leerlaufen könnte, insbes., wenn die jeweiligen Leitungsorgane über eine „D&O-Versicherung“ mit entsprechender Deckungssumme verfügten.[30] Die Bemessung der Geldbuße des Unternehmens zeige, dass der Gesetzgeber von einem dauerhaften Verbleib der Geldbuße diesem ausgegangen sei, so das OLG.[31] Es spricht einiges dafür, dass diese Entscheidung inhaltlich auch auf eine mögliche Haftung für Datenschutzbußgelder zu übertragen wäre, allerdings ist die Entscheidung noch nicht rechtskräftig und die Entscheidung des BGH in der Sache steht derzeit noch aus.[32]

IV. Besonderheiten bei externen Datenschutzbeauftragten

Die Lage des externen Datenschutzbeauftragten unterscheidet sich insofern maßgeblich von derjenigen des internen Datenschutzbeauftragten, dass im Fall des externen Datenschutzbeauftragten die Grundsätze des innerbetrieblichen Schadensausgleiches ggf. keine Anwendung finden. Auch insoweit ist allerdings die Konstellation im Einzelfall entscheidend. Auch auf einen externen Datenschutzbeauftragten können die Grundsätze nämlich anwendbar sein.[33]

Bsp.: A ist Angestellter eines Unternehmens U, das Datenschutzdienstleistungen anbietet, und wird von diesem als externer Datenschutzbeauftragter in der Form eingesetzt, dass die Kunden ihn als natürliche Person zu ihrem Datenschutzbeauftragten benennen.[34] Würde A in einem solchen Fall von der betroffenen Person auf Schadenersatz in Anspruch genommen, so kämen die Grundsätze des innerbetrieblichen Schadensausgleiches zur Anwendung und A hätte ggf. im Innenverhältnis einen Ausgleichsanspruch gegen seinen Arbeitgeber, wäre also im Innenverhältnis von der Haftung ganz oder teilweise freizustellen.

Anders verhält es sich demgegenüber bei „echten“ Externen, also selbstständig tätigen externen Datenschutzbeauftragten. Hier finden die lediglich zugunsten von Arbeitnehmern geltenden Haftungserleichterungen keine Anwendung, so dass „echte“ externe Datenschutzbeauftragte im Verhältnis zu internen Datenschutzbeauftragten einem erhöhten Haftungsrisiko ausgesetzt sind. Insbesondere für sie kann sich daher in der Praxis ggf. der Abschluss einer Vermögensschadenhaftpflichtversicherung empfehlen. Daneben kommt, entsprechende Verhandlungsmacht vorausgesetzt, eine vertragliche Einschränkung der Haftung in Frage. Letztere wirkt allerdings nur im Innenverhältnis zum Auftraggeber. Eine eventuelle gesetzliche Haftung im Verhältnis zur betroffenen Person wird hierdurch nicht eingeschränkt.

V. Fazit

Zusammenfassend lässt sich feststellen, dass eine Haftung des Datenschutzbeauftragten im Verhältnis zur benennenden Stelle bereits aus rechtlichen Gründen regelmäßig zweifelhaft sein wird, sind doch seine vertraglichen Pflichten im Verhältnis zur benennenden Stelle regelmäßig kongruent mit der gesetzlichen Aufgabenstellung nach der DS-GVO. Die Aufgaben nach Art.  39 DS-GVO dienen aber dem Schutz des informationellen Selbstbestimmungsrechts der von der Datenverarbeitung betroffenen Personen und nicht dem Schutz der Vermögensinteressen der Organisation, welche den Datenschutzbeauftragten benennt.

Eine Haftung im Verhältnis zur betroffenen Person wird vor allem dann in Betracht kommen, wenn der Datenschutzbeauftragte seine Verpflichtung zur Vertraulichkeit (Art. 38 Abs. 5 DS-GVO i.V.m. § 6 Abs. 5 S. 2 und ggf. § 38 Abs. 2 BDSG) verletzt.

Einer Haftung im Verhältnis zur betroffenen Person stehen im Übrigen folgende rechtliche bzw. tatsächliche Hürden entgegen, die zu überwinden wären:

  • Eine Haftung aufgrund aktiver Falschberatung ist rechtlich noch am einfachsten zu begründen, allerdings hat die betroffene Person typischerweise nur Kenntnis von der Datenschutzverletzung, aber nicht von den Details ihres Zustandekommens. Ohnehin dürfte sich eine betroffene Person zumeist an den regelmäßig leistungsstärkeren Verantwortlichen wenden bzgl. evtl. Ansprüche.
  • Für eine Unterlassenshaftung fehlt es nach hier vertretener Ansicht regelmäßig an der notwendigen Garantenstellung bzw. Handlungspflicht des Amtsinhabers. Über die Annahme einer Garantenstellung darf nicht die in der DS-GVO vorgesehene Verantwortungsverteilung ausgehebelt werden. Auch darf die Pflicht zur Überwachung nach Art. 39 Abs. 1 lit. b) DS-GVO nicht im Sinne einer vollumfassenden Kontrolle des Datenschutzes bei der benennenden Stelle missverstanden werden.
  • Selbst wenn man eine Garantenstellung annehmen wollte, dürfte in Konstellationen, in denen der Vorwurf an ein Unterlassen des Amtsinhabers knüpft, der Nachweis der haftungsbegründenden Kausalität des Verhaltens schwierig zu führen sein. Denn ein Datenschutzbeauftragter kann Datenschutzverstöße nicht selbst unterbinden, sondern ist hierzu auf ein Tätigwerden der Leitung bzw. der Fachverantwortlichen angewiesen. Dass die zuständigen Personen auf Hinweis des Datenschutzbeauftragten tätig geworden wären, dürfte sich für die ausstehende betroffene Person regelmäßig kaum nachweisen lassen.
  • Inwiefern Unternehmen bei ihren Organen bzw. Beschäftigten Regress nehmen können in Bezug auf erhaltene Bußgelder, ist generell – also losgelöst vom Datenschutzrecht – fraglich. Insofern ist aktuell ein kartellrechtliches Verfahren beim BGH anhängig. Nach hier vertretener Auffassung spricht einiges gegen eine Regressfähigkeit solcher Schadenspositionen.

Sofern im Einzelfall alle genannten Hürden überwunden werden können und ein Schadenersatzanspruch gegen den Datenschutzbeauftragten begründet werden kann, sind zu dessen Gunsten schließlich die Grundsätze des innerbetrieblichen Schadensausgleichs zu beachten, sofern es sich um einen internen Datenschutzbeauftragten handelt oder aber einen angestellten externen Datenschutzbeauftragten.

Passend konstatiert auch die LfD Bremen in ihrem Tätigkeitsbericht aus 2020, dass eine Haftung des Datenschutzbeauftragten zwar möglich sei, sie aber nur selten vorkommen wird.[35]

Porträt Prof. Peter Gola

Prof. Peter Gola
war Professor für Dienstrecht an der
Verwaltungsfachhochschule Wiesbaden.
Er ist Ehrenherausgeber der Fachzeitschrift
RDV sowie Ehrenvorsitzender
der Gesellschaft für Datenschutz
und Datensicherheit (GDD) e.V., Bonn.

Porträt RAin Yvette Reif

RAin Yvette Reif
ist stellvertretende Geschäftsführerin
der GDD, Mitautorin mehrerer
juristischer Kommentierungen zum
Datenschutzrecht sowie Referentin
im Ausbildungszyklus zum zertifizierten
betrieblichen Datenschutzbeauftragten
(GDDcert. EU).

*Der vorliegende Text fasst Thesen zusammen, welche die Verfasser im Rahmen eines gemeinsamen Handbuchs zu Aufgaben und Rechtsstellung des Datenschutzbeauftragten entwickelt haben, das demnächst im Beck Verlag erscheinen wird.

[1] Dieser Aufsatz bezieht sich auf Datenschutzbeauftragte unabhängig von ihrem Geschlecht, verzichtet aber im Sinne der erleichterten Lesbarkeit auf das Gendern des Begriffs.

[2] Dass der nationale Kündigungsschutz zugunsten des Datenschutzbeauftragten mit den europarechtlichen Vorgaben vereinbar ist, haben EuGH (Urt. v. 22.06.2022 – C – 534/20, Rechtssache Leistritz) und BAG (Urt. v. 25.08.2022 – 2 AZR 225/20) inzwischen bestätigt. Auch die Zulässigkeit des erweiterten nationalen Abberufungsschutzes hat der EuGH im Wesentlichen bestätigt, Urt. v. 09.02.2023 – C-453/21, C-560/21. Angezweifelt werden kann die Europarechtskonformität des erweiterten nationalen Abberufungsschutzes allerdings insofern, als er sich auch auf externe Datenschutzbeauftragte bezieht, vgl. Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO/BDSG, 3. Aufl. (2024), DS-GVO Art. 38 Rn. 20.

[3] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO Art. 39 Rn. 15.

[4] Gola/Heckmann/Gola/Piltz, DS-GVO BDSG, 3. Aufl. (2022), DS-GVO Art.  82 Rn. 4; Kühling/Buchner/Bergt, DS-GVO BDSG, 4. Aufl. (2024), DS-GVO Art. 82 Rn.  2; Kühn/Trittermann, ZD 2024, 243 (244 und 247); für den „Regelfall“ ebenso BeckOK DatenschutzR/Quaas, 49. Ed. 01.08.2024, DS-GVO Art.  82 Rn. 39.

[5] Kühn/Trittermann, ZD 2024, 243 (244).

[6] Pauschal ablehnend insoweit Kühling/Buchner/Bergt, DS-GVO Art. 37 Rn. 52.

[7] Nach hier vertretener Ansicht handelt es sich um einen Dienstvertrag. Für einen Geschäftsbesorgungsvertrag (§  675 BGB) fehlt es an einer Tätigkeit wirtschaftlicher Art.

[8] Ablehnend auch Kühn/Trittermann, ZD 2024, 243 (244), allerdings mit abweichender Begründung.

[9] Vgl. etwa BeckOK DatenschutzR/Moos, 49. Ed. 01.11.2021, DS-GVO Art.  39 Rn. 34; Simitis/Hornung/Spiecker gen. Döhmann/Drewes, Datenschutzrecht, 1. Aufl. (2019), DS-GVO Art. 39 Rn. 51; Kühling/Buchner/Bergt/Herbort, DS-GVO Art. 37 Rn. 54; Taeger/Gabel/Scheja, DS-GVO – BDSG – TTDSG, 4. Aufl. (2022), DS-GVO Art. 38 Rn. 12.

[10] Ähnlich Kühn/Trittermann, ZD 2024, 243 (246).

[11] Zu diesen vgl. BAG, Beschl. v. 27.9.1994 – GS 1/89 (A).

[12] 2 BGH, Urt. v. 17.07.2009 – 5 StR 394/08.

[13] BGH, Urt. v. 17.07.2009 – 5 StR 394/08, Rn. 27.

[14] Ebenso z.B. LfD Niedersachsen, FAQ – Datenschutzbeauftragte in Unternehmen (DSB), Stand: Feb. 2021, Antwort auf Frage 2; LfDI BW, Praxisratgeber: Die/der Beauftragte für den Datenschutz – Teil II, 2. Aufl. (Nov. 2019), S. 28; Lewinski/Rüpke/Eckhardt, Datenschutzrecht, 2. Aufl. (2022), § 21 Rn. 110; Sydow/Marsch/Helfrich, DS-GVO | BDSG, 3. Aufl. (2022), DS-GVO Art. 39 Rn. 72.

[15] Lewinski/Rüpke/Eckhardt, § 21 Rn. 109.

[16] Vgl. auch OLG München, Urt. v. 27.10.2021 – 20 U 7051/20; ähnlich LfD Niedersachsen, FAQ – Datenschutzbeauftragte in Unternehmen (DSB), Antwort auf Frage 4.

[17] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO Art.  39 Rn.  16; Simitis/Hornung/Spiecker gen. Döhmann/Drewes, DS-GVO Art.  39 Rn. 66.

[18] Herweg/Müthlein, Die Überwachungsaufgabe des Datenschutzbeauftragten, 1. Aufl. (2020), S. 11 f.

[19] Ähnlich auch Lewinski/Rüpke/Eckhardt, § 21 Rn. 106 ff.

[20] Lewinski/Rüpke/Eckhardt, § 21 Rn. 109 ff.

[21] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO Art. 39 Rn. 16.

[22] Vgl. Warneke, NStZ 10, 312 (316).

[23] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO Art. 39 Rn. 16.

[24] AA wohl Marschall, ZD 2014, 66 (68).

[25] Simitis/Hornung/Spiecker gen. Döhmann/Drewes, DS-GVO Art. 39 Rn. 48.

[26] Vgl. hierzu vorstehend unter bb).

[27] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO Art. 38 Rn. 30.

[28] Bezogen auf den externen Datenschutzbeauftragten wird zum Teil auch von einem Geschäftsbesorgungsvertrag (§ 675 BGB) ausgegangen. Eine Geschäftsbesorgung liegt vor bei einer selbstständigen Tätigkeit wirtschaftlicher Art, für die ursprünglich der Geschäftsherr zu sorgen hatte. Nach hier vertretener Ansicht fehlt es am wirtschaftlichen Bezug der Tätigkeit des Datenschutzbeauftragten, weshalb ein Dienstvertrag anzunehmen ist.

[29] OLG Düsseldorf, Urt. v. 27.07.2023 – 6 U 1/22 (Kart).

[30] OLG Düsseldorf, Urt. v. 27.07.2023 – 6 U 1/22 (Kart), Rn. 178

[31] OLG Düsseldorf, Urt. v. 27.07.2023 – 6 U 1/22 (Kart), Rn. 178.

[32] Ablehnend im Hinblick auf ein Durchreichen von Bußgeldern an den Datenschutzbeauftragten bereits Steffen, DuD 2018, 145

[33] Die hier vorgenommene Differenzierung nicht treffend Kühn/Trittermann, ZD 2024, 243 (247).

[34] Es ist umstritten, ob nur natürliche oder auch juristische Personen zum Datenschutzbeauftragten ernannt werden können. U.a. der EDSA hält auch eine Benennung juristischer Personen für möglich, vgl. Art.-29-Datenschutzgruppe, WP 243 rev.01, S. 14. Die Leitlinie der Art.-29-Datenschutzgruppe wurde vom EDSA mit Amtsübernahme übernommen.

[35] LfD Bremen, 3. Jahresbericht (2020), 4.4; ähnlich LfD Niedersachsen, FAQ – Datenschutzbeauftragte in Unternehmen (DSB), Antwort auf Frage 4.