Datenschutz HubEinzelthemenDatenschutzbeauftragter

Haftung des Datenschutzbeauftragten

Haftung des Datenschutzbeauftragten: kein Schadensersatz nach Art. 82 DSGVO, deliktische Haftung gegenüber Betroffenen, Innenhaftung des internen und externen Datenschutzbeauftragten, straf- und bußgeldrechtliche Verantwortung sowie Haftungsbegrenzung und Dokumentation.

Der Datenschutzbeauftragte trägt keine eigene Verantwortung für die Einhaltung des Datenschutzes (dazu unter Aufgaben). Für die Verletzung seiner eigenen Aufgaben nach Art. 39 DSGVO kann er aber haften. Diese Seite ordnet die möglichen Haftungswege ein. Praktisch realisiert sich eine Haftung selten, weil dem Datenschutzbeauftragten Weisungs- und Entscheidungsbefugnisse fehlen.

Das Wichtigste in Kürze

  • Der Datenschutzbeauftragte ist nicht Verantwortlicher und haftet betroffenen Personen daher nicht nach Art. 82 DSGVO, sondern allenfalls nach allgemeinem Zivilrecht.
  • Eine deliktische Haftung gegenüber Betroffenen scheitert in der Regel an der Kausalität, weil der Datenschutzbeauftragte keine Verarbeitung anordnen oder verhindern kann; ernsthaft bleibt vor allem die aktive Fehlberatung.
  • Der interne Datenschutzbeauftragte haftet seinem Arbeitgeber nur nach den Grundsätzen der betrieblich veranlassten Tätigkeit (bei leichter Fahrlässigkeit gar nicht).
  • Der externe Datenschutzbeauftragte haftet vertraglich grundsätzlich unbeschränkt, auch für leichte Fahrlässigkeit; eine wirksame Haftungsbegrenzung im Vertrag ist möglich.
  • Straf- und Bußgeldnormen richten sich an den Verantwortlichen; den Datenschutzbeauftragten trifft eigenständig vor allem die Strafbarkeit der Geheimnisoffenbarung (§ 203 Abs. 4 StGB).
  • Empfehlenswert sind Dokumentation der Tätigkeit und, je nach Konstellation, Berufshaftpflicht oder Haftungsfreistellung.

1. Überblick

1.1 Keine Verantwortung, aber eigene Haftung

Die Verantwortung für die Einhaltung der DSGVO liegt beim Verantwortlichen (Art. 5 Abs. 2, Art. 24 DSGVO), nicht beim Datenschutzbeauftragten. Der Datenschutzbeauftragte ist kein Überwachungsgarant und haftet nicht dafür, dass der Verantwortliche das Datenschutzrecht einhält. Er kann aber haften, wenn er seine eigenen Aufgaben nach Art. 39 DSGVO verletzt, etwa durch eine fehlerhafte Beratung. Zu unterscheiden sind dabei vier Richtungen: die Haftung gegenüber der betroffenen Person, die Innenhaftung gegenüber dem Verantwortlichen oder Auftragsverarbeiter, jeweils getrennt für internen und externen Datenschutzbeauftragten, sowie die straf- und bußgeldrechtliche Verantwortung.

1.2 Kein Schadensersatz nach Art. 82 DSGVO

Der besondere Schadensersatzanspruch des Art. 82 DSGVO richtet sich nur gegen den Verantwortlichen und den Auftragsverarbeiter. Der Datenschutzbeauftragte ist weder das eine noch das andere; er entscheidet nicht über Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 DSGVO). Gegen ihn kann deshalb kein Anspruch aus Art. 82 DSGVO geltend gemacht werden (LG Landshut, Urt. v. 06.11.2020, 51 O 513/20). Es bleibt allein bei den allgemeinen Haftungsregeln des Zivilrechts.

2. Haftung gegenüber der betroffenen Person

2.1 Keine vertragliche Haftung

Zwischen der betroffenen Person und dem Datenschutzbeauftragten besteht kein Vertrag, sodass eine vertragliche Schadensersatzpflicht ausscheidet. Auch ein Vertrag mit Schutzwirkung zugunsten Dritter scheidet aus, weil die betroffene Person über Art. 82 DSGVO gegenüber dem Verantwortlichen bereits ausreichend geschützt ist.

2.2 Deliktische Haftung und fehlende Kausalität

In Betracht kommen deliktische Ansprüche wegen Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 Abs. 1 BGB), wegen Verletzung eines Schutzgesetzes (§ 823 Abs. 2 BGB in Verbindung mit Art. 38, 39 DSGVO) und wegen vorsätzlicher sittenwidriger Schädigung (§ 826 BGB). In der Praxis scheitern sie meist an der haftungsbegründenden Kausalität: Dem Datenschutzbeauftragten fehlt jede Weisungsbefugnis gegenüber dem Verantwortlichen, sodass sich eine Rechtsverletzung der betroffenen Person nur selten unmittelbar auf sein Verhalten zurückführen lässt.

Ob den Datenschutzbeauftragten eine Garantenstellung für die Verhinderung von Datenschutzverstößen trifft, ist umstritten, kann aber offenbleiben: Überwachen heißt feststellen und bewerten, nicht aktiv in die Verarbeitung eingreifen; nach Erwägungsgrund 97 DSGVO unterstützt der Datenschutzbeauftragte nur die Überwachung der internen Einhaltung. Ein pflichtwidriges Unterlassen seiner Kontroll- oder Unterrichtungstätigkeit ist daher kaum je unmittelbar ursächlich für eine Rechtsgutsverletzung.

Ernsthaft bleibt damit vor allem die Haftung für eine aktive, schuldhafte Fehlberatung: Werden dem Datenschutzbeauftragten die später schadensursächlichen Verarbeitungsschritte zur Beratung vorgelegt und berät er sorgfaltswidrig falsch, kommt eine Haftung in Betracht. Für den internen Datenschutzbeauftragten als Arbeitnehmer wird sie zusätzlich durch das Haftungsprivileg der betrieblich veranlassten Tätigkeit begrenzt (dazu sogleich).

3. Innenhaftung gegenüber dem Verantwortlichen oder Auftragsverarbeiter

3.1 Interner Datenschutzbeauftragter

Der angestellte Datenschutzbeauftragte haftet seinem Arbeitgeber wie jeder andere Arbeitnehmer nach den Grundsätzen der betrieblich veranlassten Tätigkeit (innerbetrieblicher Schadensausgleich):

  • Bei leichter Fahrlässigkeit haftet er nicht.
  • Bei mittlerer und grober Fahrlässigkeit haftet er anteilig; ein Mitverschulden des Arbeitgebers mindert den Anspruch (§ 254 BGB).
  • Bei Vorsatz, der sich auch auf den Schaden erstreckt, oder bei untypischem, exzessivem Handeln haftet er voll.

Diese Privilegierung gilt auch für einen Konzerndatenschutzbeauftragten, der nur mit einer Gesellschaft der Gruppe ein Arbeitsverhältnis hat, aber für mehrere verbundene Gesellschaften tätig ist. Keine Anwendung finden die Grundsätze auf beamtete Datenschutzbeauftragte öffentlicher Stellen; diese haften ihrem Dienstherrn nach § 75 BBG und den entsprechenden landesrechtlichen Vorschriften für Vorsatz und grobe Fahrlässigkeit.

3.2 Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte kommt nicht in den Genuss dieser Privilegierung. Er haftet aus dem Dienstvertrag grundsätzlich unbeschränkt nach den allgemeinen Regeln, also auch schon für leichte Fahrlässigkeit (§ 280 BGB, je nach Fall in Verbindung mit § 282 BGB). Erforderlich sind ein wirksames Schuldverhältnis, eine Pflichtverletzung, Vertretenmüssen, ein Schaden und die Kausalität zwischen Pflichtverletzung und Schaden. Auch hier kann ein Mitverschulden des Verantwortlichen die Haftung mindern, etwa wenn dieser seine Unterstützungspflichten aus Art. 38 Abs. 2 DSGVO verletzt. Die weitergehende Haftung ist nicht selten ein Argument für die externe Lösung.

3.3 Haftungsbegrenzung, Versicherung und Dokumentation

Das Haftungsrisiko lässt sich begrenzen:

  • durch eine Berufshaftpflichtversicherung des Datenschutzbeauftragten,
  • durch eine Haftungsfreistellung im Innenverhältnis mit dem Verantwortlichen, die allerdings nicht vor Ansprüchen Betroffener schützt und bei Zahlungsunfähigkeit des Verantwortlichen leerläuft,
  • beim externen Datenschutzbeauftragten durch eine vertragliche Haftungsbeschränkung nach Grad des Verschuldens und der Höhe nach, soweit sie die vertragstypischen vorhersehbaren Schäden abdeckt (zu den Vertragspunkten unter Vertrag mit einem externen Datenschutzbeauftragten).

Unabhängig davon sollte der Datenschutzbeauftragte seine Kommunikation mit dem Verantwortlichen und dem Auftragsverarbeiter dokumentieren, um im Streitfall die pflichtgemäße Erfüllung seiner Aufgaben belegen zu können.

4. Straf- und bußgeldrechtliche Verantwortung

Adressaten der Bußgeldvorschriften des Art. 83 DSGVO sowie der Straf- und Bußgeldvorschriften der §§ 42, 43 BDSG sind ausschließlich der Verantwortliche und der Auftragsverarbeiter. Eine unmittelbare Anwendung auf den Datenschutzbeauftragten scheidet aus, weil er auf die operative Verarbeitung keinen Einfluss nimmt.

Eigenständig strafbar macht sich der Datenschutzbeauftragte aber, wenn er ein fremdes Geheimnis unbefugt offenbart, das ihm in dieser Funktion bei einem Berufsgeheimnisträger bekannt geworden ist (§ 203 Abs. 4 StGB; Freiheitsstrafe bis zu einem Jahr oder Geldstrafe). Daneben kommt eine Beteiligung an Straftaten in Betracht, etwa als Beihilfe durch eine rechtswidrige Beratung, mit der er dem Verantwortlichen oder Auftragsverarbeiter eine strafbare Datenschutzverletzung erleichtert. Die Verschwiegenheits- und Geheimhaltungspflichten, an die der Datenschutzbeauftragte gebunden ist, sind unter Geheimhaltung und Vertraulichkeit dargestellt.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Aufgaben des Datenschutzbeauftragten

Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO: Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und risikobasierter Ansatz; keine eigene Verantwortung für den Datenschutz.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Grundlagen, Verbot der Verarbeitung und Systematik der Ausnahmen für sensible Daten nach Art. 9 DSGVO; Verhältnis zu Art. 6 DSGVO.

Auf dieser Seite

1. Überblick1.1 Keine Verantwortung, aber eigene Haftung1.2 Kein Schadensersatz nach Art. 82 DSGVO2. Haftung gegenüber der betroffenen Person2.1 Keine vertragliche Haftung2.2 Deliktische Haftung und fehlende Kausalität3. Innenhaftung gegenüber dem Verantwortlichen oder Auftragsverarbeiter3.1 Interner Datenschutzbeauftragter3.2 Externer Datenschutzbeauftragter3.3 Haftungsbegrenzung, Versicherung und Dokumentation4. Straf- und bußgeldrechtliche Verantwortung