# Haftung des Datenschutzbeauftragten

Haftung des Datenschutzbeauftragten: kein Schadensersatz nach Art. 82 DSGVO, deliktische Haftung gegenüber Betroffenen, Innenhaftung des internen und externen Datenschutzbeauftragten, straf- und bußgeldrechtliche Verantwortung sowie Haftungsbegrenzung und Dokumentation.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.4-haftung
> Sprache: en



Der Datenschutzbeauftragte trägt keine eigene Verantwortung für die Einhaltung des Datenschutzes (dazu unter [Aufgaben](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.3-aufgaben)). Für die Verletzung seiner eigenen Aufgaben nach Art. 39 DSGVO kann er aber haften. Diese Seite ordnet die möglichen Haftungswege ein. Praktisch realisiert sich eine Haftung selten, weil dem Datenschutzbeauftragten Weisungs- und Entscheidungsbefugnisse fehlen.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Der Datenschutzbeauftragte ist **nicht Verantwortlicher** und haftet betroffenen Personen daher **nicht nach Art. 82 DSGVO**, sondern allenfalls nach allgemeinem Zivilrecht.
  * Eine deliktische Haftung gegenüber Betroffenen scheitert in der Regel an der **Kausalität**, weil der Datenschutzbeauftragte keine Verarbeitung anordnen oder verhindern kann; ernsthaft bleibt vor allem die **aktive Fehlberatung**.
  * Der **interne** Datenschutzbeauftragte haftet seinem Arbeitgeber nur nach den **Grundsätzen der betrieblich veranlassten Tätigkeit** (bei leichter Fahrlässigkeit gar nicht).
  * Der **externe** Datenschutzbeauftragte haftet vertraglich grundsätzlich **unbeschränkt**, auch für leichte Fahrlässigkeit; eine wirksame Haftungsbegrenzung im Vertrag ist möglich.
  * Straf- und Bußgeldnormen richten sich an den Verantwortlichen; den Datenschutzbeauftragten trifft eigenständig vor allem die **Strafbarkeit der Geheimnisoffenbarung** (§ 203 Abs. 4 StGB).
  * Empfehlenswert sind **Dokumentation** der Tätigkeit und, je nach Konstellation, **Berufshaftpflicht** oder Haftungsfreistellung.
</Callout>

## 1. Überblick [#1-überblick]

### 1.1 Keine Verantwortung, aber eigene Haftung [#11-keine-verantwortung-aber-eigene-haftung]

Die Verantwortung für die Einhaltung der DSGVO liegt beim Verantwortlichen (Art. 5 Abs. 2, Art. 24 DSGVO), nicht beim Datenschutzbeauftragten. Der Datenschutzbeauftragte ist kein Überwachungsgarant und haftet nicht dafür, dass der Verantwortliche das Datenschutzrecht einhält. Er kann aber haften, wenn er seine eigenen Aufgaben nach Art. 39 DSGVO verletzt, etwa durch eine fehlerhafte Beratung. Zu unterscheiden sind dabei vier Richtungen: die Haftung gegenüber der betroffenen Person, die Innenhaftung gegenüber dem Verantwortlichen oder Auftragsverarbeiter, jeweils getrennt für internen und externen Datenschutzbeauftragten, sowie die straf- und bußgeldrechtliche Verantwortung.

### 1.2 Kein Schadensersatz nach Art. 82 DSGVO [#12-kein-schadensersatz-nach-art-82-dsgvo]

Der besondere Schadensersatzanspruch des Art. 82 DSGVO richtet sich nur gegen den Verantwortlichen und den Auftragsverarbeiter. Der Datenschutzbeauftragte ist weder das eine noch das andere; er entscheidet nicht über Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 DSGVO). Gegen ihn kann deshalb kein Anspruch aus Art. 82 DSGVO geltend gemacht werden ([LG Landshut, Urt. v. 06.11.2020, 51 O 513/20](https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2020-N-33148)). Es bleibt allein bei den allgemeinen Haftungsregeln des Zivilrechts.

## 2. Haftung gegenüber der betroffenen Person [#2-haftung-gegenüber-der-betroffenen-person]

### 2.1 Keine vertragliche Haftung [#21-keine-vertragliche-haftung]

Zwischen der betroffenen Person und dem Datenschutzbeauftragten besteht kein Vertrag, sodass eine vertragliche Schadensersatzpflicht ausscheidet. Auch ein Vertrag mit Schutzwirkung zugunsten Dritter scheidet aus, weil die betroffene Person über Art. 82 DSGVO gegenüber dem Verantwortlichen bereits ausreichend geschützt ist.

### 2.2 Deliktische Haftung und fehlende Kausalität [#22-deliktische-haftung-und-fehlende-kausalität]

In Betracht kommen deliktische Ansprüche wegen Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 Abs. 1 BGB), wegen Verletzung eines Schutzgesetzes (§ 823 Abs. 2 BGB in Verbindung mit Art. 38, 39 DSGVO) und wegen vorsätzlicher sittenwidriger Schädigung (§ 826 BGB). In der Praxis scheitern sie meist an der haftungsbegründenden Kausalität: Dem Datenschutzbeauftragten fehlt jede Weisungsbefugnis gegenüber dem Verantwortlichen, sodass sich eine Rechtsverletzung der betroffenen Person nur selten unmittelbar auf sein Verhalten zurückführen lässt.

Ob den Datenschutzbeauftragten eine Garantenstellung für die Verhinderung von Datenschutzverstößen trifft, ist umstritten, kann aber offenbleiben: Überwachen heißt feststellen und bewerten, nicht aktiv in die Verarbeitung eingreifen; nach Erwägungsgrund 97 DSGVO unterstützt der Datenschutzbeauftragte nur die Überwachung der internen Einhaltung. Ein pflichtwidriges Unterlassen seiner Kontroll- oder Unterrichtungstätigkeit ist daher kaum je unmittelbar ursächlich für eine Rechtsgutsverletzung.

Ernsthaft bleibt damit vor allem die Haftung für eine **aktive, schuldhafte Fehlberatung**: Werden dem Datenschutzbeauftragten die später schadensursächlichen Verarbeitungsschritte zur Beratung vorgelegt und berät er sorgfaltswidrig falsch, kommt eine Haftung in Betracht. Für den internen Datenschutzbeauftragten als Arbeitnehmer wird sie zusätzlich durch das Haftungsprivileg der betrieblich veranlassten Tätigkeit begrenzt (dazu sogleich).

## 3. Innenhaftung gegenüber dem Verantwortlichen oder Auftragsverarbeiter [#3-innenhaftung-gegenüber-dem-verantwortlichen-oder-auftragsverarbeiter]

### 3.1 Interner Datenschutzbeauftragter [#31-interner-datenschutzbeauftragter]

Der angestellte Datenschutzbeauftragte haftet seinem Arbeitgeber wie jeder andere Arbeitnehmer nach den Grundsätzen der betrieblich veranlassten Tätigkeit (innerbetrieblicher Schadensausgleich):

* Bei leichter Fahrlässigkeit haftet er nicht.
* Bei mittlerer und grober Fahrlässigkeit haftet er anteilig; ein Mitverschulden des Arbeitgebers mindert den Anspruch (§ 254 BGB).
* Bei Vorsatz, der sich auch auf den Schaden erstreckt, oder bei untypischem, exzessivem Handeln haftet er voll.

Diese Privilegierung gilt auch für einen Konzerndatenschutzbeauftragten, der nur mit einer Gesellschaft der Gruppe ein Arbeitsverhältnis hat, aber für mehrere verbundene Gesellschaften tätig ist. Keine Anwendung finden die Grundsätze auf beamtete Datenschutzbeauftragte öffentlicher Stellen; diese haften ihrem Dienstherrn nach § 75 BBG und den entsprechenden landesrechtlichen Vorschriften für Vorsatz und grobe Fahrlässigkeit.

### 3.2 Externer Datenschutzbeauftragter [#32-externer-datenschutzbeauftragter]

Der externe Datenschutzbeauftragte kommt nicht in den Genuss dieser Privilegierung. Er haftet aus dem Dienstvertrag grundsätzlich unbeschränkt nach den allgemeinen Regeln, also auch schon für leichte Fahrlässigkeit (§ 280 BGB, je nach Fall in Verbindung mit § 282 BGB). Erforderlich sind ein wirksames Schuldverhältnis, eine Pflichtverletzung, Vertretenmüssen, ein Schaden und die Kausalität zwischen Pflichtverletzung und Schaden. Auch hier kann ein Mitverschulden des Verantwortlichen die Haftung mindern, etwa wenn dieser seine Unterstützungspflichten aus Art. 38 Abs. 2 DSGVO verletzt. Die weitergehende Haftung ist nicht selten ein Argument für die externe Lösung.

### 3.3 Haftungsbegrenzung, Versicherung und Dokumentation [#33-haftungsbegrenzung-versicherung-und-dokumentation]

Das Haftungsrisiko lässt sich begrenzen:

* durch eine **Berufshaftpflichtversicherung** des Datenschutzbeauftragten,
* durch eine **Haftungsfreistellung im Innenverhältnis** mit dem Verantwortlichen, die allerdings nicht vor Ansprüchen Betroffener schützt und bei Zahlungsunfähigkeit des Verantwortlichen leerläuft,
* beim externen Datenschutzbeauftragten durch eine **vertragliche Haftungsbeschränkung** nach Grad des Verschuldens und der Höhe nach, soweit sie die vertragstypischen vorhersehbaren Schäden abdeckt (zu den Vertragspunkten unter [Vertrag mit einem externen Datenschutzbeauftragten](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.1-benennung)).

Unabhängig davon sollte der Datenschutzbeauftragte seine Kommunikation mit dem Verantwortlichen und dem Auftragsverarbeiter **dokumentieren**, um im Streitfall die pflichtgemäße Erfüllung seiner Aufgaben belegen zu können.

## 4. Straf- und bußgeldrechtliche Verantwortung [#4-straf--und-bußgeldrechtliche-verantwortung]

Adressaten der Bußgeldvorschriften des Art. 83 DSGVO sowie der Straf- und Bußgeldvorschriften der §§ 42, 43 BDSG sind ausschließlich der Verantwortliche und der Auftragsverarbeiter. Eine unmittelbare Anwendung auf den Datenschutzbeauftragten scheidet aus, weil er auf die operative Verarbeitung keinen Einfluss nimmt.

Eigenständig strafbar macht sich der Datenschutzbeauftragte aber, wenn er ein fremdes Geheimnis unbefugt offenbart, das ihm in dieser Funktion bei einem Berufsgeheimnisträger bekannt geworden ist (§ 203 Abs. 4 StGB; Freiheitsstrafe bis zu einem Jahr oder Geldstrafe). Daneben kommt eine Beteiligung an Straftaten in Betracht, etwa als Beihilfe durch eine rechtswidrige Beratung, mit der er dem Verantwortlichen oder Auftragsverarbeiter eine strafbare Datenschutzverletzung erleichtert. Die Verschwiegenheits- und Geheimhaltungspflichten, an die der Datenschutzbeauftragte gebunden ist, sind unter [Geheimhaltung und Vertraulichkeit](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.2-stellung) dargestellt.


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.