Von besonderem Interesse ist die Frage einer möglichen persönlichen Haftung des betrieblichen Datenschutzbeauftragten, falls es durch Fehler in seiner Amtsführung zu materiellen Schäden von Betroffenen gekommen ist, oder Ausgleich für immaterielle Schäden geleistet werden muss. Es ist an dieser Stelle streng zu unterscheiden zwischen der Situation des internen und des externen betrieblichen Datenschutzbeauftragten.

Der interne betriebliche Datenschutzbeauftragte (iDSB) befindet sich in einer relativ komfortablen Situation; sie/er ist zugleich auch Arbeitnehmerin oder Arbeitnehmer des Verantwortlichen (vgl. Art. 4 Ziff. 7 DSGVO). Somit sind auch für sie/ihn die allgemeinen arbeitsrechtlichen Grundsätze der so genannten „betrieblichen Veranlassung“ anwendbar. Dies führt zu einer erheblichen Haftungserleichterung. In der Regel wird der Schaden zunächst dem Verantwortlichen , also dem Anstellungsunternehmen des iDSB, entstehen. Dieses könnte dann versuchen, Regressforderungen gegen den iDSB durchzusetzen. Die in zivilrechtlichen Rechtsverhältnissen grundsätzlich geltende Haftung für Vorsatz und jede Fahrlässigkeit wird in arbeitsrechtlichen Rechtsverhältnissen eingeschränkt auf die Haftung für Vorsatz und grobe Fahrlässigkeit. Dies resultiert auf der ständigen Rechtsprechung zur „betrieblichen Veranlassung“ von Schäden, welche durch das Handeln, Dulden oder Unterlassen von Arbeitnehmern an ihrem Arbeitsplatz beim Arbeitgeber entstanden sind. Wer also die „im Verkehr erforderliche Sorgfalt in besonders hohem Maße außer Acht lässt“, handelt grob fahrlässig. Diese Definition lehnt sich an die Legaldefinition der allgemeinen Fahrlässigkeit aus § 276 Abs. 1 BGB an und ist Gegenstand der ständigen Rechtsprechung.

Anders kann sich die Situation dann darstellen, wenn Schäden beim Betroffenen unmittelbar auf die Tätigkeit des Datenschutzbeauftragten zurückzuführen sind. Gemeint sind damit nicht Verletzungen (interner) Kontroll- oder Berichtspflichten, sondern vielmehr insbesondere Verstöße gegen die Verschwiegenheitspflicht des Datenschutzbeauftragten. Hier kann sowohl eine deliktische Haftung gem. § 823 Abs. 1 BGB, als auch eine Haftung wegen Verletzung eines zugunsten des Betroffenen bestehenden Schutzgesetzes gem. § 823 Abs. 2 BGB ausgelöst werden. Die Beweislast sowohl für den entstandenen Schaden, als auch für das Verschulden des Datenschutzbeauftragten und den kausalen Zusammenhang zwischen dem Fehlverhalten des Datenschutzbeauftragten und dem entstandenen Schaden liegt beim Betroffenen.

Für den externen Datenschutzbeauftragten gilt das oben Gesagte. Darüber hinaus kann es hier aber auch zu einer vertraglichen Haftung wegen Nicht- oder Schlechterfüllung des Dienstleistungsvertrages kommen. Dies gilt jedoch dann nicht, wenn bei einem Konzern ein interner Datenschutzbeauftragter auf Weisung des Arbeitgebers auch für die anderen konzernangehörigen Unternehmen als (externer) Datenschutzbeauftragter tätig wird.

Für den „echten“ externen betrieblichen Datenschutzbeauftragten kann sich eine Haftpflichtversicherung deshalb als sinnvoll erweisen.