Haftet der Datenschutzbeauftragte bei Verstößen gegen Datenschutzgesetze direkt gegenüber dem Betroffenen?

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsanwältin Alma Lena Fritz

11.11.2009 - Im Hinblick auf die in letzter Zeit bekannt gewordenen Datenschutzpannen großer Unternehmen stellt sich die Frage, ob nicht nur die verantwortlichen Unternehmen sondern auch die jeweils benannten Datenschutzbeauftragten für die Verletzung datenschutzrechtlicher Vorschriften gegenüber den Betroffenen haften.

Betroffener hat keinen vertraglichen Anspruch gegen den Datenschutzbeauftragten

Es besteht kein direktes Vertragsverhältnis zwischen Betroffenem und Datenschutzbeauftragtem, bezüglich dessen eine schadenersatzauslösenden Pflichtverletzung im Fall einer Verletzung der Datenschutzgesetze zu Lasten des Betroffenen angenommen werden könnte. Auch rechtliche Konstruktionen über einen Vertrag zugunsten Dritter oder mit Schutzwirkungen für einen Dritten werden von der herrschenden Meinung in diesem Zusammenhang abgelehnt.

Betroffener hat keine Anspruchsgrundlage nach dem Bundesdatenschutzgesetz

Daneben existiert im Bundesdatenschutzgesetz (BDSG) auch keine spezifische Berufshaftung des Datenschutzbeauftragten. In § 4g BDSG werden die Aufgaben des Beauftragten zwar mehr oder weniger eindeutig umrissen. Ein Schadensersatzanspruch des Betroffenen gegenüber dem Datenschutzbeauftragten auf Grundlage des Bundesdatenschutzgesetzes ist jedoch nicht vorgesehen.

Haftung aufgrund Deliktrechts

Nach der Systematik des Deliktsrechtes im Bürgerlichen Gesetzbuch (BGB) könnte es aber auch möglich sein, dass der Datenschutzbeauftragte wegen der unrichtigen Datenhandhabe direkt gegenüber dem Betroffenen haftbar gemacht werden kann.

Nach § 823 Abs. 1 BGB kommt ein Schadensersatzanspruch immer dann in Betracht, wenn ein Rechtsgut durch eine unerlaubte Handlung verletzt wurde. Im Bereich der mangelhaften Datenverarbeitung kommt als betroffenes Rechtsgut das allgemeine Persönlichkeitsrecht des Betroffenen in Betracht. Der Datenbestand einer Person wird mit Blick auf die informationelle Selbstbestimmung als Teil der Privatsphäre und damit des allgemeinen Persönlichkeitsrechts als sonstiges Recht anerkannt.

Rein praktisch kommt eine Haftung aber nur in wenigen Fällen in Betracht.

Denn der Beauftragte selbst ist nach dieser Norm nur dann direkt zu belangen, wenn dieser einen wesentlichen Verstoß gegen das Persönlichkeitsrecht des Betroffenen begangen hat, wie beispielsweise eine Verletzung der Schweigepflicht oder eine gleich zu behandelnde, direkt auf den Betroffenen bezogene Pflichtverletzung. Es könnte sich damit ein Schadensersatzanspruch ergeben, wenn der Datenschutzbeauftragte grob gegen seine Pflichten verstößt oder seine Stellung missbraucht. So wurden von der Rechtssprechung Verletzungen des Persönlichkeitsrechts beispielsweise bei einer nicht vom BDSG gedeckten Auskunft an die Schufa oder vorsätzlich unrichtiger Angaben einer Bank bezüglich des Kreditverhaltens angenommen.

Je nachdem wie tiefgreifend der Verstoß des Datenschutzbeauftragten ist oder welche Folgen sein Handeln für den Betroffenen haben kann, können dann auch speziellere Anspruchsgrundlagen des Deliktsrechts wie die §§ 824 und 826 BGB einen Schadensersatzanspruch begründen.

In allen übrigen Fällen des lediglich fehlerhaften Umgangs mit den Daten lässt sich ein Schadensersatzanspruch nach § 823 Abs.1 BGB nicht begründen.

Schadensersatz wegen einer Schutzgesetzverletzung

Danebenwird in der Rechtsliteratur diskutiert, ob ein Anspruch gegen den Datenschutzbeauftragten gemäß § 823 Abs. 2 BGB in Betracht kommt. Danach müsste der Datenschutzbeauftragte durch seinen rechtswidrigen Umgang mit den Daten des Betroffenen zugleich gegen ein Schutzgesetz im Sinne von § 823 Abs. 2 BGB verstoßen haben. Schutzgesetze im Sinne von § 823 Abs. 2 BGB sind alle Rechtsnormen, die gerade auch dazu dienen sollen, den Einzelnen oder einen bestimmten Personenkreis gegen eine Rechtsgutsverletzung zu schützen.

Als einzige relevanten Normen können damit vorliegend die Normen des BDSG (also die §§ 4f und 4g BDSG) in Betracht kommen.

Diese sind jedoch keine Schutzgesetze im oben genannten Sinne. In diesen Normen wird nach Sinn und Zweck des Gesetzes nicht nur die Beauftragungspflicht des Verantwortlichen genannt, sondern auch die besondere Stellung des Datenschutzbeauftragten formuliert. Der Datenschutzbeauftragte muss ohne Rücksicht auf interne Weisungen im Hinblick auf die besondere Situation der Betroffenen die Einhaltung der Datenschutzgesetze fordern. Seine Tätigkeit ist dennoch nicht ausreichend drittorientiert im Hinblick auf die Interessen der Betroffenen, sondern konzentriert sich vielmehr auf die Verarbeitungstätigkeit des Unternehmens.

Nach der Gesamtsystematik des BDSG ist vielmehr das Unternehmen als verantwortliche Stelle für den Schutz der Daten des Betroffenen verantwortlich, während der Datenschutzbeauftragte lediglich eine Kontroll- und Schutzfunktion ausübt. Damit hängt der Anspruch zu sehr von der jeweiligen einzelnen Situation im Unternehmen ab, als dass die Verpflichtung des Datenschutzbeauftragten den Rang eines Schutzgesetzes im Sinne von § 823 Abs. 2 BGB erlangen könnte.

Insoweit ist auch relevant, dass der Datenschutzbeauftragte jedenfalls von Gesetzes wegen keine Handhabe hat, seine Anregungen und Vorstellungen durchzusetzen und die primäre Verantwortung und auch die Letztentscheidung bei der Unternehmensleitung liegt. Ein deliktischer Anspruch wegen einer Schutzgesetzverletzung kann insoweit nicht begründet werden.

Damit kommt nur bei direkten und groben Verstößen eine direkte Haftung des Datenschutzbeauftragten gegenüber dem Betroffenen in Betracht. Wegen einer unrichtigen Datenverarbeitung oder Datenbehandlung ist nur ein Anspruch gegen die verantwortliche Stelle anzunehmen.

Beweislast

Für denjeweiligen groben Verstoß des Datenschutzbeauftragten liegt die Beweislast beim Betroffenen. Es findet im Grundsatz keine Beweislastumkehr statt. Der Betroffene muss also insbesondere nachweisen, dass der Datenschutzbeauftragte in wesentlicher Art und Weise gegen sein Persönlichkeitsrecht verstoßen hat.

Welche Schäden können auf diesem Weg ersetzt werden?

Grundsätzlich kann der gesamte im jeweiligen Fall entstandene Schaden ersetzt werden. Im Zusammenhang mit § 823 BGB kommt mit Verweis auf § 253 Abs. 2 BGB insbesondere auch ein Ersatz für immaterielle Schäden in Betracht, was gerade bei einer Persönlichkeitsrechtsverletzung relevant sein wird.

Fazit

Zumeist kommt den Betroffenen bei Verstößen gegen das Datenschutzrecht kein direkter Anspruch gegen den Datenschutzbeauftragten zu. Nur in besonders schweren Fällen haftet auch der Datenschutzbeauftragte persönlich gegenüber dem Betroffenen für die entstandenen Schäden. In der Regel kommt für Betroffene bei Verstößen gegen das Datenschutzrecht damit nur ein rechtliches Vorgehen gegen das Unternehmen als verantwortliche Stelle selbst in Betracht.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages..

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren