Ein Datenschutzbeauftragter kann nicht als Verantwortlicher nach Art. 82 DSVO schadensersatzpflichtig werden. Er kann sich jedoch aufgrund anderer Normen schadensersatzpflichtig machen.
Im Rechtsstreit vor dem OLG München forderte ein Eigentümer einer Eigentumswohnung Schadensersatz nach Art. 82 DSGVO. Er verklagte sowohl die Hausverwaltung als auch den externen Datenschutzbeauftragten der Hausverwaltung. Die Hausverwaltung hatte an alle 97 Wohnungseigentümer eine Einladung zur Eigentümerversammlung verschickt, deren Überschrift „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ lautete. Dort war angegeben welche Parteien im Einzelnen befallen waren und der Name des Klägers genannt. Der war der Meinung, dass durch die Nennung seines Namens, ein immaterieller und materieller Schaden entstanden sei und eine Rufschädigung vorliege.
Der Kläger forderte die Hausverwaltung auf, seine Daten zu schwärzen bzw. zu entfernen, was jedoch nicht geschah. Der Kläger war der Ansicht, dass durch die Nennung seines Namens ein Verstoß gegen Art. 6 DSGVO vorläge sowie eine Rufschädigung. Ihm sei ein Schaden entstanden, da ein potenzieller Kaufinteressent den Erwerb abgesagt hatte, auf Grund der ihm aus den Reihen der informierten Eigentümer zugetragenen Information des Legionellenbefalls.
Das OLG München bestätigte die Entscheidung des LG Landshut. Ein Anspruch auf Schadensersatz gegen die Beklagten wurde abgelehnt. Zum einen entschied das Gericht, dass die Nennung des Namens des Klägers rechtmäßig erfolgte und zum anderen, dass der externe Datenschutzbeauftragte kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Ein Schuldanerkenntnis des externen Datenschutzbeauftragten lehnte das Gericht ab, da es an einem Rechtbindungswillen fehlte.
Das LG Landshut hatte in seiner Entscheidung darauf verwiesen, dass nicht jeder Verstoß gegen die DSGVO einen Anspruch nach Art. 82 DSGVO auslöst. Dem Betroffenen muss demnach ein spürbarer Nachteil entstanden sein und die Beeinträchtigung muss objektiv nachvollziehbar mit gewissem Gewicht für die persönlichen Belange sein.
Weiter bestätigte das OLG München, dass der externe Datenschutzbeauftragte kein „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO ist. Bereits das LG Landshut hatte festgestellt, dass der Datenschutzbeauftragte nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO ist. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Einladung nur die zuständige Hausverwaltung.
Die ist der Begriff des Verantwortlichen definiert?
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Wie ist die Stellung des Datenschutzbeauftragten?
Der Datenschutzbeauftragte ist ein Teil der verantwortlichen Stelle, für die er zum Datenschutzbeauftragten benannt ist. Er ist jedoch kein Verantwortlicher oder Auftragsverarbeiter, da er weder Weisungen erteilt noch Weisungen erhält. Er erteilt lediglich Handlungsempfehlungen für die Umsetzung der gesetzlichen Voraussetzungen des Datenschutzes. Ob und wie diese Empfehlungen umgesetzt werden, entscheidet jedoch nur der Verantwortliche.
Wann haftet ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter kann sich nach den §§ 280 ff. BGB gegenüber dem Verantwortlichen schadensersatzpflichtig machen, wenn er konkrete Überwachungsaufgaben nach Art. 39 DSGVO verletzt. Hierbei ist jedoch immer der Einwand des Mitverschuldens des Verantwortlichen nach dem § 254 BGB zu beachten.
Bei einem internen Datenschutzbeauftragten gelten die Grundsätze der beschränkten Arbeitnehmerhaftung und der daraus folgenden Haftungsbeschränkung. Als Arbeitnehmer haftet er danach nur eingeschränkt nach Verschuldensform:
- Vorsatz oder grobe Fahrlässigkeit: Arbeitnehmer haftet regelmäßig allein und in vollem Umfang
- Normale Fahrlässigkeit: Quotale Verteilung zwischen Arbeitgeber und Arbeitnehmer
- Leichte Fahrlässigkeit: Arbeitnehmer ist von der Haftung freizustellen
Von diesen durch die Rechtsprechung entwickelten Grundsätzen zum innerbetrieblichen Schadensausgleich darf nicht zulasten des Arbeitnehmers abgewichen werden. Hierauf kann sich der externe Datenschutzbeauftragte nicht berufen, da kein Arbeitsvertrag mit dem Verantwortlichen besteht.
17.11.2021
Photo by Bill Oxford on Unsplash