Immer wieder stellt sich die Frage, wie und ob der Datenschutzbeauftragte haftet. Dabei ist zu unterscheiden zwischen dem internen Datenschutzbeauftragten und den externen Datenschutzbeauftragten. Es kommt beim Datenschutzbeauftragten auch auf die vertragliche Ausgestaltung an, weswegen wir hier nur auf die Grundzüge eingehen können und immer eine individuelle Prüfung erforderlich ist.
Voraussetzungen für die Haftung
Damit eine Haftung entsteht, muss überhaupt ein Schaden entstanden sein. Als Schaden wird jede unfreiwillige Vermögenseinbuße definiert. So wäre ein Bußgeld aufgrund einer Falschberatung zum Beispiel ein Vermögensschaden. Sofern ein Schaden entstanden ist, muss der Datenschutzbeauftragte eine Pflichtverletzung begangen haben, die auch durch unterlassen bestehen kann. Schlussendlich muss noch eine Kausalität zwischen Schaden und Pflichtverletzung bestehen. Der Schaden muss sich aus dieser Verletzung verwirktlich haben. Nur wenn alle drei Punkte erfüllt sind, kommt eine Haftung überhaupt in Frage.
Interne Datenschutzbeauftragte
Beim internen Datenschutzbeauftragten, der einen üblichen Arbeitsvertrag hat, gelten die Grundsätze der Arbeitnehmerhaftung, wie in anderen Beschäftigungsverhältnissen auch. Hier beurteilt sich die Haftung nach dem Verschuldensgrad. Bei leichter Fahrlässigkeit ist die Haftung des Arbeitnehmers in der Regel ausgeschlossen. Bei mittlerer Fahrlässigkeit findet üblicherweise eine Schadenteilung zwischen Arbeitnehmer und Arbeitgeber statt. Bei grober Fahrlässigkeit haftet der Arbeitnehmer in der Regel voll, allerdings begrenzt auf einige Monatsgehälter, je nach Schaden. Bei Vorsatz haftet der Arbeitnehmer voll. Im Zweifel ist hier abzuwägen und im Streitfall ein Rechtsanwalt für Arbeitsrecht empfehlenswert.
Konzern-Datenschutzbeauftragte
Sofern ein interner Datenschutzbeauftragter für einen Konzern tätig wird, genießt er die Vorteile der Haftungsprivilegierung nur für das Unternehmen, in welchem er angestellt ist. Sofern er im Rahmen des Konzernverbundes für andere Unternehmen tätig wird, kann er diesen gegenüber analog des externen Datenschutzbeauftragten voll haften. Der Hintergrund ist, dass der interne Datenschutzbeauftragte bei den anderen Unternehmen nicht angestellt ist und daher die Haftungsprivilegierung hier nicht greift. Es kann daher sinnvoll sein, dieses Risiko durch eine Versicherung abzudecken.
Externe Datenschutzbeauftragte
Die Haftung besteht in der Regel voll, sofern sie vertraglich nicht beschränkt wurde. Ein Haftungsausschluss bei leichter Fahrlässigkeit, außer bei der Verletzung von Leben und Gesundheit, ist nach herrschender Meinung zulässig. Allerdings ist diese Ansicht noch umstritten, weswegen im Zweifelsfall nicht auf diese Beschränkung der Haftung vertraut werden sollte. Als externer Datenschutzbeauftragter ist eine Versicherung unbedingt empfehlenswert, auch um seinen Auftraggeber eine gewisse Sicherheit zu bieten.
Wofür besteht Haftung
Es besteht nur für die Sachen eine Haftung, die vertraglich vereinbart wurden. So ist es entscheidend, was im Arbeitsvertrag oder im Dienstleistungsvertrag zu den Aufgaben vereinbart wurde. Sofern eine Sache nicht vereinbart wurde, kann aus der Nichtbeachtung oder Falschberatung auch keine Pflichtverletzung entstehen. Es ist daher empfehlenswert für alle Parteien, die Aufgaben möglichst konkret zu benennen.