Was Unternehmen wissen müssen

Wann haftet der Datenschutzbeauftragte?

Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT.

Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.
Wann Möglichkeiten des Rückgriffs seitens der Firma bestehen, sagen Dr. Sebastian Kraska und Alma Lena Fritz.

Der Datenschutzbeauftragte kann bei Verstößen gegen das Datenschutzrecht nur in Ausnahmefällen direkt von den Betroffenen haftungsrechtlich zur Verantwortung gezogen werden. Haftungsgegner ist in solchen Fällen das Unternehmen selbst. Damit stellt sich die Frage, ob und wann das zur Haftung herangezogene Unternehmen bei einem Verstoß gegen Datenschutzrecht Rückgriff gegenüber dem Datenschutzbeauftragen nehmen kann.

Foto: Fotolia, kebox

Auch wenn das Unternehmen gegenüber dem Betroffenen haftet möchte dieses möglicherweise Rückgriff gegenüber dem Datenschutzbeauftragten nehmen. Es gelten insoweit grundsätzlich die zivilrechtlichen Haftungsregeln für Schlechterfüllung im Rahmen eines bestehenden Dienst- oder Geschäftsbesorgungsvertrag, so dass ein Schadensersatzanspruch wegen Pflichtverletzung nach den §§ 280 ff. BGB in Betracht kommt.

Nötige Unterscheidung: interner oder externer Datenschutzbeauftragter?

Entscheidend ist hierbei die Frage, ob das Unternehmen einen internen oder externen Datenschutzbeauftragten benannt hat. Da der interne Datenschutzbeauftragte als Arbeitnehmer des Unternehmens zugleich in einem Dienstverhältnis steht, finden auf diesen uneingeschränkt die Grundsätze der beschränkten Arbeitnehmerhaftung Anwendung. Kurz gesagt bedeutet dies, dass der Arbeitgeber von dem internen Datenschutzbeauftragten nur den Ersatz derjenigen Schäden verlangen kann, welche dieser grob fahrlässig oder vorsätzlich verursacht hat.

Da die Beweislast hinsichtlich der groben Fahrlässigkeit bzw. des Vorsatzes grundsätzlich beim Arbeitgeber verbleibt, scheidet ein Haftungsrückgriff auf den internen Datenschutzbeauftragten häufig aus. Um Streitigkeiten zu vermeiden sollte aber auch der interne Datenschutzbeauftragte seine Tätigkeit genau dokumentieren und seinen gesetzlich vorgesehenen Nachschulungsverpflichtungen im Datenschutzrecht entsprechen.