Sie befinden sich hier:

Haftung des Datenschutzbeauftragten

Die Datenschutzbeauftragten im öffentlichen und nicht-öffentlichen Bereich tragen Sorge, dass sie aufgrund der Datenschutz-Grundverordnung stärker als bisher in Haftung genommen werden können. Aber ist dem wirklich so?

Bei Verstößen gegen das Datenschutzrecht haftet – egal welcher Mitarbeiter den Verstoß begangen hat – in der Regel der Verantwortliche und nicht der Datenschutzbeauftragte. Allerdings kann die zur Haftung herangezogene Behörde bzw. das Unternehmen bei einem Verstoß gegen Datenschutzrecht gegebenenfalls Rückgriff gegenüber dem Datenschutzbeauftragen nehmen. So kommt beispielsweise eine Haftung wegen Pflichtverletzung nach den §§ 280 ff. BGB in Betracht.

Ein Datenschutzbeauftragter als Arbeitnehmer unterliegt lediglich der beschränkten Arbeitnehmerhaftung, da er in einem Angestellten- bzw. Dienstverhältnis zu seinem Arbeitgeber steht. Er muss somit nur für einen Schaden einstehen, den er grob fahrlässig oder vorsätzlich verursacht hat.

Während im Rahmen einer vertraglichen Pflichtverletzung normalerweise das Verschulden unterstellt wird (§ 280 BGB), der „Täter“ sich also entlasten muss, ist es im Arbeitsverhältnis erforderlich, dass der Arbeitgeber selbiges beweist (§ 619a BGB). Da somit die Beweislast hinsichtlich der groben Fahrlässigkeit bzw. des Vorsatzes beim Arbeitgeber verbleibt, ist häufig ein Haftungsrückgriff auf den behördlichen bzw. betrieblichen Datenschutzbeauftragten schwierig.

Zudem haftet der Arbeitnehmer nur beschränkt, nach Rechtsprechung des Bundesarbeitsgerichts (BAG Urteil vom 18.01.2007, Az.: 8 AZR 250/06; BAG, Urteil vom 05.02.2004, Az.: 8 AZR 91/03) sind Abweichungen von der Haftungsbeschränkung zu Lasten des Arbeitnehmers unwirksam. Somit gilt Folgendes:

  • Bei Vorsatz oder grobe Fahrlässigkeit haftet der Arbeitnehmer (Datenschutzbeauftragter) in der Regel allein.
  • Bei normaler Fahrlässigkeit erfolgt eine quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer.
  • Bei lediglich leichter Fahrlässigkeit besteht keine Haftungspflicht für den Arbeitnehmer.
Begeht der Datenschutzbeauftragte eine vorsätzliche Datenschutzverletzung oder stiftet hierzu an, so kommt er selbstverständlich wie jeder andere auch als Täter oder Anstifter einer Straftat in Betracht.

Weiterhin ist der Datenschutzbeauftragte genauso wie Ärzte oder Rechtsanwälte gem. § 203 Abs. 2a StGB zur Verschwiegenheit verpflichtet. Bei einem Verstoß gegen die Verschwiegenheitspflicht des § 203 StGB droht eine Haftstrafe bis zu einem Jahr oder eine Geldstrafe.

nach oben