+49 (0) 30 28047033

Haftung externer Datenschutzberater – wann und wofür haften sie wirklich?

Kategorie: Datenschutz

Unternehmen verlassen sich in Datenschutzfragen häufig auf externe Berater. Doch wer trägt letztlich die Verantwortung, wenn eine falsche Empfehlung zu Bußgeldern oder Schadensersatzforderungen führt? Dieser Beitrag erläutert, in welchen Fällen ein externer Datenschutzberater haftet und wo die Grenze zur Verantwortung des Unternehmens verläuft.

weiterlesen
Datenschutzberater Haftung auf Tastatur mit Schloss

Verantwortlich bleibt das Unternehmen

Nach der Datenschutz-Grundverordnung (DSGVO) ist das „verantwortliche Unternehmen“ diejenige Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet. Der externe Datenschutzberater unterstützt dabei lediglich in beratender Funktion. Das bedeutet konkret:

  • Der Verantwortliche erstellt das Verzeichnis von Verarbeitungstätigkeiten.
  • Er muss jederzeit nachweisen können, dass eine Datenverarbeitung rechtmäßig erfolgt.
  • Er trägt die Darlegungs- und Nachweispflicht gegenüber Aufsichtsbehörden und Betroffenen.

Ob der Datenschutzbeauftragte intern oder extern bestellt ist, ändert an dieser grundsätzlichen Verantwortlichkeit nichts. Das Unternehmen bleibt der datenschutzrechtlich „Verantwortliche“ und haftet im ersten Schritt für Verstöße.

Wann haftet ein externer Datenschutzberater persönlich?

Eine persönliche Haftung des externen Datenschutzberaters kann dann bestehen, wenn er seine Beratungspflichten verletzt. Das ist etwa der Fall, wenn er unzutreffend oder unvollständig berät und dem Unternehmen dadurch ein Schaden entsteht – beispielsweise durch eine fehlerhafte Einschätzung einer Datenschutz-Folgenabschätzung (DSFA) oder der Zulässigkeit automatisierter Entscheidungsverfahren.

Ein typisches Beispiel: Ein Unternehmen plant den Einsatz von KI im Personalwesen. Der Berater erklärt vorschnell, dass keine DSFA nötig sei. Später verhängt die Aufsichtsbehörde ein Bußgeld oder ein Bewerber erhebt Schadensersatzansprüche – in diesem Fall kann das Unternehmen Regress beim Berater nehmen.

Voraussetzungen der Haftung

Ein externer Datenschutzberater haftet zivilrechtlich, wenn vier Voraussetzungen erfüllt sind:

  1. Ein bestehendes Vertragsverhältnis zwischen Berater und Unternehmen, meist ein Dienstleistungsvertrag
  2. Eine Pflichtverletzung, zum Beispiel durch fehlerhafte Beratung
  3. Ein nachweisbarer Schaden beim Auftraggeber
  4. Ein ursächlicher Zusammenhang zwischen Beratungsfehler und Schaden

Da der externe Datenschutzberater seine Dienste als Fachmann anbietet, wird erwartet, dass er die geltende Rechtsprechung und die herrschende Meinung kennt. Fahrlässigkeit lässt sich hier kaum entschuldigen – Unwissenheit schützt nicht vor Haftung.

Kostenfreier Datenschutz Check

Finden Sie mit unserem kostenlosen Datenschutz Check heraus, wo Ihr Unternehmen steht – anwaltlich geprüft & verständlich erklärt.

Check starten

Unterschied zur Haftung interner Datenschutzbeauftragter

Anders sieht es bei internen Datenschutzbeauftragten aus. Diese sind in der Regel Arbeitnehmer des Unternehmens und genießen eine gewisse Haftungsprivilegierung. Sie haften nur bei grober Fahrlässigkeit oder Vorsatz. Leichte oder einfache Fahrlässigkeit bleibt regelmäßig ohne Konsequenz, da das Arbeitsrecht den Arbeitnehmer hier schützt.

Ein externer Datenschutzberater haftet hingegen schon bei leichter Fahrlässigkeit. Damit ist seine Haftung grundsätzlich schärfer, was insbesondere bei der Auswahl des Beraters berücksichtigt werden sollte. Unternehmen profitieren davon, wenn sie einen fachkundigen, rechtskundigen Berater beauftragen – etwa einen externen Datenschutzbeauftragten, der auch Rechtsanwalt ist.

Praktische Tipps zur Haftungsbegrenzung

  • Vertragliche Regelungen: Eine klare Haftungsvereinbarung im Mandatsvertrag schafft Sicherheit für beide Seiten.
  • Berufshaftpflichtversicherung: Externe Datenschutzberater sollten eine entsprechende Deckung vorhalten.
  • Laufende Fortbildung: Regelmäßige Schulungen und aktuelle Fachkenntnisse minimieren das Haftungsrisiko.
  • Sorgfältige Dokumentation: Schriftliche Beratungsempfehlungen sichern ab und erleichtern den Nachweis im Streitfall.

Fazit: Klare Verantwortung, aber kein Freifahrtschein

Die Haftung externer Datenschutzberater ist kein theoretisches Risiko, sondern eine reale zivilrechtliche Pflicht. Während das Unternehmen datenschutzrechtlich verantwortlich bleibt, haftet der externe Berater für fehlerhafte Beratung, sobald ihm ein Verschulden nachgewiesen werden kann. Die Wahl eines kompetenten und erfahrenen Datenschutzexperten – idealerweise eines spezialisierten Rechtsanwalts – reduziert das Risiko auf beiden Seiten erheblich.

Wann ein Datenschutzbeauftragter zwingend zu bestellen ist, können Sie im Beitrag „Datenschutzbeauftragter – ab wann ist er gesetzlich vorgeschrieben?“ nachlesen. Und welche Vorteile ein externer Beauftragter gegenüber einem internen bietet, erklärt der Artikel „Datenschutzbeauftragter extern oder intern – was ist sinnvoller für Ihr Unternehmen?“.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
Wann muss eine Datenschutz-Folgenabschätzung erfolgen?
Nächster Beitrag
Ransomware – was tun? Leitfaden für den Ernstfall