Neues Urteil zu DSGVO Verstößen

Neues Urteil: Geschäftsführer haften bei Datenschutzverstößen persönlich

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(21 Bewertungen, 4.10 von 5)

Das Wichtigste in Kürze

  • Geschäftsführer eines Unternehmens haften nach einen neuen Urteil jetzt auch persönlich für Datenschutzverstöße.
  • Geschäftsführer haften auch für die Mitarbeiter eines Unternehmens, wenn diese einen Datenschutzverstoß begehen.
  • Unternehmensinhaber und die Geschäftsführung müssen sich auf diese neue Haftungssituation einstellen.

Worum geht's?

Geht beim Umgang mit Kundendaten, Marketing oder Tracking etwas schief und führt das zu einem DSGVO-Verstoß stellt sich die Frage: Wer haftet eigentlich für den Datenschutzverstoß? Nach einem neuen Urteil müssen Geschäftsführer dafür unter Umständen in die eigene Tasche greifen. Wir klären die wichtigsten Fragen rund um die Haftung von Geschäftsführern, Mitarbeitern und Datenschutzbeauftragten bei Datenschutzverstößen.

 

1. Welche Ansprüche gibt es und welche Strafen können anfallen?

Verstößt ein Unternehmen gegen die DSGVO, geht es entweder um einen Anspruch auf Schadensersatz (Art. 82 DSGVO) oder um Geldbußen (Art. 83 DSGVO), die umgangssprachlich auch Bußgelder genannt werden. Die Geldbuße beträgt bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens (je nachdem, was höher ist). Beim Schadensersatz gibt es keine Grenzen – der Ersatz für den „immateriellen Schaden“ soll aber abschrecken, kann also auch sehr hoch ausfallen.

Und wer soll das bezahlen? Grundsätzlich haftet für beides der „Verantwortliche“ im Sinne der DSGVO. Die Definition in Art. 4 Nr. 7 DSGVO dazu: „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Diese Definition hilft nur bedingt weiter. Klar ist: Verantwortlich ist erst einmal das Unternehmen selbst. Inwieweit aber Geschäftsführer, Vorstände oder Mitarbeiter des Unternehmens persönlich dafür geradestehen müssen, lässt sich aus der Definition allerdings nicht ablesen.

2. Wer haftet bei Datenschutzverstößen nach der DSGVO? Haften Geschäftsführer und Vorstände?

Ja! Es gibt für die Haftung des Geschäftsführers bei Datenschutzverstößen allerdings unterschiedliche Begründungen:

Nach einem aktuellen Urteil des OLG Dresden vom 30.11.2021 (Aktenzeichen 4 U 1158/21) sind Geschäftsführer eigene datenschutzrechtlich Verantwortliche im Sinne der Definition nach der DSGVO und haften deshalb persönlich. Der EuGH hat in einem frühere Urteil (Urteil vom 10.7.2018, Aktenzeichen C-25/17) folgende Kriterien festgelegt, wann er einen Geschäftsführer als Verantwortlichen ansieht:

  1. Der Beteiligte profitiert von der Datenverarbeitung,
  2. Er veranlasst oder duldet die Datenverarbeitung irgendwie und
  3. dazu muss er nicht selbst Zugang zu den Daten haben oder sie selbst verarbeiten.

Teilweise wird argumentiert, dass eine direkte persönliche Haftung über die DSGVO nicht möglich ist. Doch auch hier kommt man am Ende zum gleichen Ergebnis: Verletzen Sie als Geschäftsführer Ihre Aufsichtspflicht und organisieren Ihren Betrieb nicht so, dass der Datenschutz beachtet wird, haften Sie selbst für Bußgelder und auch für Schadensersatz.

Letztlich berufen sich manche auch auf das Gesellschaftsrecht: Auch als Geschäftsführer oder Vorstand eines Unternehmens müssen Sie unter Umständen persönlich haften, wenn Sie nicht gewissenhaft und sorgfältig Ihren Aufgaben nachkommen (§43 GmbHG, § 93 Abs. 2 AktG). Denn es ist eine Ihrer zentralen Aufgaben, die datenschutzrechtlichen Vorschriften einzuhalten. Dabei müssen Sie sich umfassend informieren, beraten lassen und kontrollieren, dass die datenschutzrechtlichen Regeln im Unternehmen eingehalten werden.

Egal, wie man es genau begründet: Im Ergebnis haften Sie als Geschäftsführer. Wichtig: Sie können sich auch nicht darauf berufen, dass Sie eine Aufgabe delegiert haben oder nicht genug über Datenschutz wussten.

Jetzt anfragen

Praxistipp:

Als Unternehmensinhaber und Geschäftsführer müssen Sie sich auf die neue Rechtslage einstellen. Die Kanzlei Siebert Lexow unterstützt Sie gerne bei der Analyse und der Minimierung von Haftungsrisiken der Geschäftsführung bei Datenschutzverstößen.

Jetzt anfragen

3. Wer haftet bei Datenschutzverstößen? Haften Mitarbeiter?

Mitarbeiter haften bei Datenschutzverstößen nach DSGVO nur, wenn sie vorsätzlich, also wissentlich und mit voller Absicht, gegen Datenschutz verstoßen haben. Um Arbeitnehmer zu schützen, haften sie nach dem Arbeitsrecht dagegen für weitere Verstöße nur eingeschränkt.

  1. Grobe Fahrlässigkeit

    Hätte sich dem Mitarbeiter mehr oder weniger aufdrängen müssen, dass er einen Datenschutzverstoß und einen Schaden verursacht, haftet er grundsätzlich in Höhe von drei Arbeitsgehältern. Ausnahme: Dadurch ist seine wirtschaftliche Existenz bedroht.

  2. Normale/mittlere Fahrlässigkeit

    Wenn ein Mitarbeiter sich bewusst war, was er tat, aber nicht sorgfältig genug war, um den Schaden abzuwenden, gilt: Er muss sich den Schaden mit dem Arbeitgeber teilen und zahlt in der Regel maximal ein Monatsgehalt.

  3. Leichte Fahrlässigkeit

    Der Arbeitnehmer hat nur geringfügig gegen seine Pflichten verstoßen und dies ist zu entschuldigen, weil es jedem Menschen hätte passieren können. In diesem Fall haftet er gar nicht.

4. Welche Rolle hat der Datenschutzbeauftragte bei Verstößen?

Externe Datenschutzbeauftragte haben einen Vertrag mit dem Unternehmen. Machen sie einen Fehler und verstoßen gegen die DSGVO, haften sie dem Unternehmen gegenüber dafür. Wenn sie zum Beispiel nicht richtig oder ausreichend beraten oder die Datenverarbeitungsprozesse im Unternehmen nicht richtig überwachen, müssen sie unter Umständen Schadensersatz zahlen. In manchen Fällen können Sie als Geschäftsführer aber ebenfalls eine Mitschuld an dem Verstoß tragen und müssen dann auch haften.

Wenn Sie dagegen einen Datenschutzbeauftragten im Unternehmen haben, der Ihr Mitarbeiter ist, haftet dieser nach den oben genannten Grundsätzen für Mitarbeiter.

5. Haftet der Geschäftsführer bei Datenschutzverstößen von Mitarbeitern?

Begeht ein konkreter Mitarbeiter einen Datenschutzverstoß, haften das Unternehmen und auch Sie als Geschäftsführer in bestimmten Fällen dafür. Eine wichtige Frage in diesem Zusammenhang ist allerdings noch nicht abschließend geklärt: Was passiert, wenn sich ein konkreter Mitarbeiter nicht finden lässt, der sich falsch verhalten hat?

Ein ganz aktueller Fall dazu liegt aktuell beim EuGH. Hintergrund: Gegen die Deutsche Wohnen war ein Bußgeld von 14,5 Mio. Euro verhängt worden, weil das Unternehmen Daten wie Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten speichert. Diese müssten gelöscht werden, wenn sie nicht mehr erforderlich sind, deshalb liegt darin ein Verstoß gegen die DSGVO.

Das Landgericht Berlin (Urteil vom 18.2.2021, Aktenzeichen (526 OWi LG) 212 Js-OWi 1/20 (1/20) hat die Bescheide mit folgender Begründung aufgehoben: Es lässt sich kein Mitarbeiter ermitteln, der für den DSGVO-Verstoß konkret verantwortlich ist. Deswegen könne auch das Unternehmen nicht bestraft werden.

Das Kammergericht Berlin ist sich unsicher und hat nun den EuGH (Beschluss vom 6.12.2021, Aktenzeichen 3 Ws 250/21) gefragt,

  • ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen kann,
  • wie handfest Verstöße sein müssten, um für Bußgelder zu sorgen.

Sobald die Entscheidung des EuGH dazu vorliegt, werden wir hier darüber berichten.

6. Was können Geschäftsführer tun?

Sie möchten als Geschäftsführer sichergehen, dass Sie nicht plötzlich persönlich für DSGVO-Verstöße Ihres Unternehmens haften müssen? Es mag banal klingen, aber der beste Weg ist es, dass Sie Ihren Pflichten gewissenhaft nachkommen. Das heißt insbesondere folgendes:

  1. Organisieren Sie das Unternehmen so, dass der Datenschutz beachtet wird.
  2. Lassen Sie sich im Zweifel von Ihrem Datenschutzbeauftragten beraten und holen Sie Auskünfte von ihm lieber einmal zu oft ein als zu selten.
  3. Sorgen Sie dafür, dass die Mitarbeiter des Unternehmens gewissenhaft und qualifiziert sind. Kümmern Sie sich darum, dass sie sich regelmäßig durch Schulungen und Tests fortbilden.
  4. Sorgen Sie dafür, dass Ihr Unternehmen im Bereich Datenschutz zertifiziert wird.
  5. Holen Sie sich Unterstützung im Bereich Datenschutz und Geschäftsführerhaftung durch einen spezialisierten Rechtsanwalt.

 

Anfrage zur Haftung bei Datenschutzverstößen

Unsere Partnerkanzlei Siebert Lexow Rechtsanwälte PartGmbB berät Sie gern im Bereich Datenschutz, Unternehmens-Compliance und Geschäftsführerhaftung

Ungültige Eingabe

Ungültige Eingabe

Ungültige Eingabe

Ungültige Eingabe

Ungültige Eingabe

Ungültige Eingabe

Hier finden Sie unsere Datenschutzerklärung.

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Anleitung: So fügen Sie Impressum und Datenschutzerklärung bei sozialen Netzwerken ein
Weiterlesen...
Das Safe Harbor Urteil des EuGH: Die Folgen und Auswirkungen für Internet-Unternehmer
Weiterlesen...
Geschäftliche E-Mails: Signatur, Impressum und DSGVO-Pflichtangaben
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
Weiterlesen...
So binden Sie Google Fonts DSGVO-konform auf Ihrer Website ein
Weiterlesen...
Wie auch Sie das Videokonferenztool Zoom datenschutzkonform Nutzen können
Weiterlesen...
DSGVO: Der neue eRecht24 Datenschutz-Generator ist online
Weiterlesen...
Das Recht auf Datenübertragbarkeit nach der DSGVO: Was ist hier zu beachten?
Weiterlesen...
Neues Gesetz: Fehlende Datenschutzerklärung kann ab sofort abgemahnt werden
Weiterlesen...
Datenschutz im Internet
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support