News

Geschäftsführer haften persönlich bei Datenschutzverstößen

Geschäftsführer haften persönlich bei Datenschutzverstößen Geschäftsführer haften persönlich bei Datenschutzverstößen

Ein neues Urteil zur DSGVO klärt auf, wer im Falle eines Datenschutzverstoßes denn überhaupt in Anspruch genommen werden kann und der Haftung unterliegt. Grundsätzlich haftet das beklagte Unternehmen. Dem zu folge müssen die Geschäftsführer des beklagten Unternehmens in den meisten Fällen von dem privaten Kapital selber zahlen. 

Grundsätzlich sei erstmal was zu den Strafen gesagt, die im Falle eines Verstoßes der DSGVO anfallen. Die DSGVO unterscheidet dahingehend primär zwischen Schadensersatzansprüchen gem. Art. 82 DSGVO und Geldstrafen gem. Art. 83 DSGVO. Dabei belaufen sich die höchsten Geldstrafen auf 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens. Eine genaue Grenze bei den Schadensersatzansprüchen gibt es dahingehend nicht, diese sind meistens jedoch entsprechend hoch, um eine größtmögliche Abschreckung zu erreichen. 

Haftung der Geschäftsführer

Grundsätzlich haftet der Verantwortliche für die Schadensersatzansprüche und die Geldstrafen. Gem. Art. 4 Nr. 7 der DSGVO ist “Verantwortlicher” die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Diesbezüglich steht als Verantwortlicher in den meisten Fällen das beklagte Unternehmen gerade. Es wird dadurch jedoch noch nicht geklärt, ob Geschäftsführer, Vorstände persönlich dafür in Anspruch genommen werden können. Darüber soll das neue Urteil des OLG Dresden vom 30.11.2021 (Aktenzeichen 4 U 1158/21) Klarheit schaffen. Nach diesem Urteil sollen  Geschäftsführer auch “Verantwortliche” im Sinne der Definition nach der DSGVO darstellen und können somit persönlich vom Haftungsumfang erfasst werden. Dahingehend wurden von dem EuGH Umstände beschrieben, welche eintreten müssen, damit ein Geschäftsführer als “Verantwortlicher” bezeichnet werden kann: Der Beteiligte muss entweder von der Datenverarbeitung profitieren oder er veranlasst oder duldet die Datenverarbeitung auf eine andere Art und Weise, wobei er nicht selbst Zugang zu den Daten haben oder sie selbst verarbeiten muss. 

Zwar gibt es einige Stimmen, die die Meinung vertreten, man könne persönlich laut der DSGVO nicht in Anspruch genommen werden. Dahingehend wird man zum gleichen Ergebnis gelangen, da bei Missachtung des Datenschutzes der Geschäftsführer seine Aufsichtspflicht verletzt hat und diesbezüglich selbst der persönlichen Haftung unterliegt. 

Mit einem Blick in das Gesellschaftsrecht lässt sich eine persönliche Haftung so auch belegen: In §§ 43 GmbHG, 93 II AktG  ist die Haftung der Geschäftsführer geregelt. Diese müssen haben dementsprechend  in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. 

Zusammenfassend ist zu sagen, dass Sie als Geschäftsführer eines beklagten Unternehmens in Anspruch genommen werden können und somit haften müssen.

Haftung der Mitarbeiter 

Zu klären ist, ob Mitarbeiter nach der DSGVO bei etwaigen Verstößen auch haften müssen. Diese haften jedoch nur, wenn sie mit Vorsatz den Datenschutz außer Acht lassen. Nach dem Arbeitsrecht der den Schutz der Arbeitnehmer in Betracht zieht, haften Mitarbeiter mit folgender Abstufung für weitere Verstöße lediglich nur eingeschränkt:

  1. Grobe Fahrlässigkeit
    Grobe Fahrlässigkeit ist gegeben, wenn wenn die verkehrserforderliche Sorgfalt in besonders schwerem Maße verletzt wird, indem schon einfachste, ganz naheliegende Überlegungen nicht angestellt werden sowie das nicht beachtet wird, was im vorliegenden Fall jedem hätte einleuchten müssen. Handelt der Mitarbeiter grob fahrlässig, haftet dieser in Höhe von drei Gehältern. Dies greift jedoch nicht, wenn dadurch die wirtschaftliche Existenz des Arbeitnehmers bedroht wird. 
  2. Fahrlässigkeit
    Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. In diesem Fall wird der Schaden zwischen dem Arbeitgeber und Arbeitnehmer geteilt.
  3. Leichte Fahrlässigkeit
    Bei leichter Fahrlässigkeit wurden nur in einem geringfügigen Maße gegen die Pflichten verstoßen. In diesem Fall haftet der Arbeitnehmer gar nicht.

Um sicherzugehen, dass Sie als Geschäftsführer nicht haften müssen, ziehen Sie immer einen spezialisierten Anwalt im Datenschutz zu Rate und lassen Sie ihr Unternehmen im Datenschutz zertifizieren.

Bilduelle: Bild von geralt auf pixabay