Ein Datenschutzbeauftragter kann nicht als Verantwortlicher nach Art. 82 DSVO schadensersatzpflichtig werden. Lesen Sie in diesem Artikel mehr über die aktuelle Entscheidung des OLG München, die Stellung des Datenschutzbeauftragten und wann er schadensersatzpflichtig ist.
Der Inhalt im Überblick
Was war vorgefallen?
Im Rechtsstreit vor dem OLG München (Urteil vom 27.10.2021 – 20 U 7051/20) forderte ein Eigentümer einer Eigentumswohnung Schadensersatz nach Art. 82 DSGVO. Er verklagte sowohl die Hausverwaltung der Wohnanlage als auch den externen Datenschutzbeauftragten der Hausverwaltung. Die Hausverwaltung hatte an alle 97 Wohnungseigentümer der Wohnanlage eine Einladung zur Eigentümerversammlung verschickt. Die Überschrift lautete „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ dort wurde auch angegeben welche Parteien im Einzelnen befallen waren und der Name des Klägers genannt. Er war der Meinung, dass durch die Nennung seines Namens, ein immaterieller und materieller Schaden entstanden sei sowie eine Rufschädigung vorliege.
Der Kläger forderte die Hausverwaltung auf seine Daten zu schwärzen bzw. zu entfernen. Dies erfolgte jedoch nicht. Der Kläger war der Ansicht, dass durch die Nennung seines Namens in der Einladung, ein Verstoß gegen Art. 6 DSGVO vorläge sowie eine Rufschädigung. Ihm sei ein Schaden entstanden, da ein potenzieller Käufer den Kauf abgesagt hatte, auf Grund der ihm aus den Reihen der informierten Eigentümer zugetragenen Information des Legionellenbefalls.
Bereits im erstinstanzlichen Verfahren hatte der Kläger behauptet, dass der externe Datenschutzbeauftragte innerhalb des E-Mail-Verkehrs einen Verstoß eingeräumt habe und ein Schuldanerkenntnis vorläge.
Was wurde entschieden?
Das OLG München bestätigte die Entscheidung des LG Landshut (Urteil vom 6.11.2020 – 51 O 513/20). Ein Anspruch auf Schadensersatz gegen die Beklagten wurde abgelehnt. Zum einen entschied das Gericht, dass die Nennung des Namens des Klägers rechtmäßig erfolgte und zum anderen, dass der externe Datenschutzbeauftragte kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Ein Schuldanerkenntnis des externen Datenschutzbeauftragten lehnte das Gericht ab, da es an einem Rechtbindungswillen fehlte.
Kein Schadenersatz für Bagatellverstöße
Das LG Landshut hatte in seiner Entscheidung bereits darauf verwiesen, dass nicht jeder Verstoß gegen die DSGVO einen Anspruch nach Art. 82 DSGVO auslöse. Dem Betroffenen müsse demnach ein spürbarer Nachteil entstanden sein und die Beeinträchtigung müsse objektiv nachvollziehbar mit gewissem Gewicht für die persönlichen Belange sein. Lesen Sie mehr hierzu in der Besprechung des vorinstanzlichen Urteils in diesem Artikel.
Kein Verstoß gegen Art. 6 DSGVO
Die Verarbeitung des Namens des Klägers kann auf Art. 6 Abs. 1 S. 1 lit. c, f DSGVO gestützt werden, nach Ansicht des Gerichts. Die damalige Hausverwaltung war ebenso wie die Wohnungseigentümergemeinschaft für die Instandhaltung des Gemeinschaftseigentums und die Überprüfung der Leitungen rechtlich verantwortlich. Sie war der Wohnungseigentümergemeinschaft darüber hinaus vertraglich zur ordnungsgemäßen Verwaltung verpflichtet. Die Angabe des Namens war auch erforderlich, da die Angabe der Namen wesentlich für Nachfragen zum Umfang des Befalls und der daraus folgenden Arbeiten war.
Datenschutzbeauftragter ist kein Verantwortlicher
Weiter bestätigte das OLG München, dass der externe Datenschutzbeauftragte kein „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO ist. Bereits das LG Landshut hatte festgestellt, dass der Datenschutzbeauftragte nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO ist. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Einladung nur die zuständige Hausverwaltung.
Wer ist Verantwortlicher?
Der Begriff des Verantwortlichen ist legaldefiniert in Art. 4 Nr. 7 DSGVO. Dort heißt es:
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“
Wie ist die Stellung des Datenschutzbeauftragten?
Der Datenschutzbeauftragte ist ein Teil der verantwortlichen Stelle, für die er zum Datenschutzbeauftragten benannt ist. Er ist jedoch gerade kein Verantwortlicher oder Auftragsverarbeiter, da er weder Weisungen erteilt noch Weisungen erhält. Er erteilt lediglich Handlungsempfehlungen für die Umsetzung der gesetzlichen Voraussetzungen des Datenschutzes. Ob und wie diese Empfehlungen umgesetzt werden, entscheidet jedoch nur der Verantwortliche.
Wann haftet der DSB?
Der Datenschutzbeauftragte kann sich nach §§ 280 ff. BGB gegenüber dem Verantwortlichen schadensersatzpflichtig machen, wenn er konkrete Aufgaben der Überwachung nach Art. 39 DSGVO verletzt. Hierbei wird regelmäßig der Einwand des Mitverschuldens des Verantwortlichen nach § 254 BGB zu beachten sein.
Handelt es sich um einen internen Datenschutzbeauftragten gelten die Grundsätze der beschränkten Arbeitnehmerhaftung (Stichwort: innerbetrieblicher Schadensausgleich) und einer daraus folgenden Haftungsbeschränkung. Als Arbeitnehmer haftet er danach nur eingeschränkt nach Verschuldensform:
- Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet regelmäßig allein und in vollem Umfang
- Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer
- Leichte Fahrlässigkeit: Arbeitnehmer ist von der Haftung freizustellen
Von diesen durch die Rechtsprechung entwickelten Grundsätzen zum innerbetrieblichen Schadensausgleich darf nicht zulasten des Arbeitnehmers abgewichen werden. Hierauf kann sich der externe Datenschutzbeauftragte nicht berufen, da kein Arbeitsvertrag mit dem Verantwortlichen besteht.
Auch wenn ein Schadensersatzanspruch nach Art. 82 DSGVO nicht in Frage kommt, kann sich der Datenschutzbeauftragte auch nach deliktischer Haftung schadensersatzpflichtig machen. So kann etwa ein Verstoß gegen die Verschwiegenheitspflicht einen Anspruch nach §§ 823 Abs. 1 u. 2 BGB auslösen.
Der Datenschutzbeauftragte kann also nicht nach Art. 82 DSGVO haften. Er kann sich jedoch aufgrund anderer Normen schadensersatzpflichtig machen.
„Wie ist die Stellung des Datenschutzbeauftragten?“
danke für diesen wundervollen Absatz, der hoffentlich noch mehr dazu führt, dass der DSB nicht mehr als ‚der für den Datenschutz verantwortliche‘ betitelt wird.
Ich bin froh, dass diese Sache durch ist. Warum? Ich bin der Datenschutzbeauftragte des besagten Unternehmens.
Ich hatte damals dem Beschwerdeführer mitgeteilt, dass es sicherlich den ein oder anderen Ansatz zur Datenminimierung und Datensparsamkeit gibt, denen der Verwalter durchaus beachten hätte können. Denn der Legionellenbefall bezieht sich nicht auf die Person, sondern auf die Wohneinheit und den dahinter liegenden Spülkästen, Leitungen etc. Ich hatte damals mit sehr freundlichen Worten versucht dem Beschwerdeführer klarzulegen, dass – sobald ein Schaden verursacht wird, der die gesamte Gemeinschaft betrifft – der Datenschutz schon sehr aufgeweicht wird. Weiterhin hatte ich dem Beschwerdeführer mitgeteilt, dass der entstandene Schaden schwer zu bemessen ist. Legionellen sind keine Sache für die leichte Schulter. Und zwar für alle beteiligten Personen. Dem Verantwortlichen hatte ich damals mitgeteilt, dass es durchaus weniger Angriffsfläche bietet, wenn man im Anschreiben „Ross und Reiter“ eben nicht nennt. Es gab dann auch ein Urteil aus Brake, in welchem die Nennung Hausgeldschuldner im Anschreiben durch die damalige Richterin als unnötig ansah und eben den Grundsatz der Datenminimierung und Datensparsamkeit voranstellte. Ehrlich gesagt finde ich das auch ganz richtig. Es reicht ohnehin, wenn in der Eigentümerversammlung der Datenschutz meistens vor der Tür bleibt. Wie gesagt, ich hatte dem Verwalter widersprochen und bin der Meinung, dass Datenminimierung und Datensparsamkeit hier durchaus weiterhin anzusetzen sind. Das Urteil gibt jetzt vielen Verwaltern Futter, die den Datenschutz ohnehin als ein „lästiges Übel“ sehen. Damit ist meine Arbeit wieder um ein großes Stück erschwert. Nach dem Prinzip: wir haben‘s ja schon immer gesagt, dass du mit deinem Datenschutz übertreibst!
Andererseits kam ich aber ordentlich ins Schwitzen, als ich ebenfalls auf Schadensersatz durch den Beschwerdeführer verklagt wurde. Und da hatte ich versucht, meine gesamte Denkweise neu zu ordnen. Ich hatte schon das Gefühl, hier einen Fehler gemacht zu haben, weil ich mich eigentlich auf die Seite des Beschwerdeführers gestellt habe (was ich eigentlich auch als meine Aufgabe sehe) und somit dem Verantwortlichen vermittelt habe, dass er hier ein wenig über das Ziel hinausgeschossen hat. Ich konnte nicht mehr richtig ordnen, was falsch und was richtig ist. Das mag daran liegen, dass ich kein Jurist bin. Ich mache aber Datenschutz schon seit 2003 hauptberuflich. Ich habe sicherlich schon viel erlebt, jedoch lerne aber jeden Tag dazu. Dass der Beschwerdeführer dann ein entsprechendes Fass aufmacht, war mir eine echte Lehre. Oh Mann.
Vielen Dank für diesen spannenden, persönlichen Einblick in den Sachverhalt.
Da uns Datenschutzbeauftragten nur eine beratende und unterstützende Funktion zukommt, können wir immer nur auf die Einhaltung der datenschutzrechtlichen Regelungen im Unternehmen hinwirken. Gerade jetzt in der Anfangsphase, in der es noch wenige Gerichtsentscheidungen, aber viele unterschiedliche Literaturstimmen zur Auslegung der Normen der DSGVO gibt, bleibt eine gewisse Unsicherheit bei vielen Sachverhalten nicht aus. Der Datenschutzbeauftragte kann in solchen Fällen nur nach bestem Wissen und Gewissen alle relevanten Informationen für den Verantwortlichen dazu zusammentragen, aufbereiten und seine eigene datenschutzrechtliche Einschätzung argumentativ vernünftig vertreten. Letztendlich aber muss der Verantwortliche entscheiden, ob er dieser Auffassung folgt, bzw. welche Unsicherheiten oder Risiken er bereit ist einzugehen. Und zu der Frage, in wessen Lager der Datenschutzbeauftragte zu stehen hat, sagt ja schon der EG 97
Aufgrund dieser gesetzlich geforderten Unabhängigkeit ist es nicht unüblich, dass der Datenschutzbeauftragte, bei berechtigten Anliegen beider Seiten, oftmals als Vermittler auftritt.
Danke für die Einblicke!
Danke für den Beitrag. Angesichts der viel zu oft leider evident fehlenden Fachkunde vieler Datenschutzbeauftragten, dürfte sich früher oder später die Frage stellen, ob nicht bereits die Übernahme der Aufgaben eines DS-Beauftragten an sich grob fahrlässig ist und zur Haftung führt. Der Scharlatan, der ohne tatsächlich hierzu befähigt zu sein, Menschen ärztlich behnandelt, haftet schließlich auch. Warum hier einen anderen Maßstab anlegen?