Haftung bei Datenschutzverstößen

Persönliche Haftung von Geschäftsführern und Vorständen

Mit dem endgültigen Inkrafttreten der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes am 25. Mai 2018 wurde das Datenschutzrecht in Europa auf neue Füße gestellt. Ziel ist die Schaffung eines einheitlich hohen Datenschutzniveaus für alle Bürger der EU. Viele Unternehmen stellen sich die Frage, was bei Verstößen gegen das neue Datenschutzrecht passiert und was die Haftungsrisiken sind.

Es drohen nicht nur Schadensersatzprozesse, Abmahnungen oder Bußgelder. Auf Rechtsfolgenseite droht Vorständen und Geschäftsführern der betroffenen Unternehmen auch eine persönliche Haftung mit ihrem Privatvermögen.

Anwaltliche Leistungen

Aufgrund unserer Tätigkeit sowohl im Datenschutzrecht als auch im Gesellschaftsrecht, insbesondere unserer langjährigen Expertise im Bereich der Geschäftsführerhaftung, können wir Sie umfassend zur Haftung bei Datenschutzverstößen beraten.

Unsere Leistungen sind 

  1. Außergerichtliche und gerichtliche Durchsetzung von Schadensersatzansprüchen gegenüber Geschäftsführern und Vorständen 
  2. Abwehr von Haftungsansprüchen 
  3. Prüfung bzw. Abwehr von Regressansprüchen gegen Mitarbeiter oder Datenschutzbeauftragte
  4. Präventive Maßnahmen, insbesondere Beratung bei der richtigen Umsetzung der Datenschutzregeln

Rechtskonforme Umsetzung der Datenschutzgrundverordnung

Ausgangspunkt um Haftung zu vermeiden ist die rechtlich einwandfreie Umsetzung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes. Die geführten Diskussionen z.B. um die Auslegung von datenschutzrechtlichen Begriffen oder um notwendige Maßnahmen zeigt aber, dass es in der Praxis gar nicht so leicht ist, sich rechtskonform zu verhalten. Insbesondere da noch keine Rechtsprechung europäischer und nationaler Gerichte zum neuen Datenschutzrecht existiert, fällt eine rechtlich sichere Umsetzung schwer.

Haftungsregime der DSGVO

Die DSGVO unterscheidet bei Verstößen gegen die Regelungen verschiedene Rechtsfolgen und Sanktionsmöglichkeiten, insbesondere 

  • Haftung und Recht auf materiellen und immateriellen Schadensersatz (Art. 82 DSGVO) 
  • Geldbußen (Art. 83 DSGVO) bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes des Unternehmens.

Adressat dieser Rechtsfolgen ist der Verantwortliche der Datenverarbeitung. Verantwortlicher im Sinne der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

In Anspruch genommen wird daher im nicht-öffentlichen Sektor die Gesellschaft selbst, z.B. die GmbH oder AG. Ob innerhalb der Gesellschaft die Geschäftsführung, ein Mitarbeiter oder der Datenschutzbeauftragte für den Verstoß verantwortlich ist, ist im Außenverhältnis unerheblich. Nur bei besonders schweren Verstößen ist eine deliktische Haftung der jeweiligen Person direkt gegenüber dem Betroffenen denkbar.

Haftung im Innenverhältnis – Regress?

Wird die Gesellschaft auf Schadensersatz in Anspruch genommen oder muss ein Bußgeld zahlen, stellt sich im nächsten Schritt meist die Frage nach Regressmöglichkeiten im Innenverhältnis. Hierbei müssen die verschiedenen denkbaren intern Verantwortlichen unterschieden werden:

Haftung von Geschäftsführung und Vorständen

Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände persönlich ersatzpflichtig machen. Die Einhaltung datenschutzrechtlicher Vorschriften ist nach Ansicht des europäischen Gesetzgebers eine der zentralen Aufgaben der Geschäftsleitung. Es gilt daher der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG.

Ein Geschäftsführer kann sich daher nicht darauf berufen, über nicht ausreichendes Wissen oder Fähigkeiten zu verfügen oder die Aufgaben delegiert zu haben. Vielmehr ist es die Pflicht des Geschäftsführers, sich umfassend über das Datenschutzrecht zu informieren bzw. sich beraten zu lassen und die Einhaltung der Regeln im Unternehmen laufend zu kontrollieren.

Bei Verletzung dieser Pflichten droht die Haftung des Geschäftsführers (ähnlich wie im Kartellrecht) mit seinem Privatvermögen.

Haftung von Mitarbeitern

Mitarbeiter haften nach den arbeitsrechtlichen Grundsätzen der Arbeitnehmerhaftung nur beschränkt. Dabei handelt es sich um zwingendes Arbeitnehmerschutzrecht.

Arbeitnehmer haften in betrieblichen Angelegenheiten nur bei vorsätzlichen Datenschutzverstößen. Liegt ein Fall grober Fahrlässigkeit vor, haftete der Arbeitnehmer nur dann in volle Umfang, wenn er nicht in seiner wirtschaftlichen Existenz bedroht ist. Im Falle normaler Fahrlässigkeit teilen sich Arbeitnehmer und Arbeitgeber die Haftung, während bei leichter Fahrlässigkeit sogar nur der Arbeitgeber haftet.

Welcher Verschuldensgrad bei einem Datenschutzverstoß vorliegt, lässt sich nicht pauschal sagen und ist immer Frage des Einzelfalls.

Haftung von Datenschutzbeauftragten

Der Datenschutzbeauftragte haftet im Innenverhältnis für eigene Fehler gegenüber dem Verantwortlichen wegen einer vertraglichen Pflichtverletzung. Verletzt der Datenschutzbeauftragte seine Aufgaben und Pflichten, insbesondere seine Überwachungs- und Beratungspflicht, kann er sich schadensersatzpflichtig machen. Zu berücksichtigen ist dabei jedoch auch ein etwaiges Mitverschulden der Geschäftsleitung.

Handelt es sich bei dem Datenschutzbeauftragten um einen Mitarbeiter, sind auch hier die Grundsätze der Arbeitnehmerhaftung zu beachten. Unter anderem aus diesem Grund kann ein Interesse daran bestehen, gerade keinen internen Datenschutzbeauftragten zu benennen, sondern diese Funktion extern auszulagern. 

 

Unsere Anwälte für Datenschutzrecht stehen Ihnen für Fragen rund um das Thema Haftung bei Datenschutzverstößen zur Verfügung. Kontaktieren Sie uns gern unverbindlich telefonisch oder per E-Mail oder nutzen Sie unser Kontaktformular:

Kontaktformular für unverbindliche Anfragen

Schildern Sie uns Ihr Anliegen und/oder lassen Sie sich zurückrufen.

Hiermit willige ich in die Verarbeitung meiner Daten gemäß der Datenschutzerklärung (Ziffer VIII.) ein. Die Daten werden zur Bearbeitung meiner Kontaktanfrage benötigt und nicht an Dritte weitergegeben. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft durch Erklärung gegenüber ROSE & PARTNER widerrufen.

Print