Wer haftet bei Datenschutzverstößen?

Achtung: Geschäftsführer haften bei DSGVO-Verstößen persönlich

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(40 Bewertungen, 3.58 von 5)

Das Wichtigste in Kürze

  • Geschäftsführer eines Unternehmens haften nach einem Urteil von 2021 persönlich für Datenschutzverstöße.
  • Geschäftsführer haften auch für die Mitarbeiter eines Unternehmens, wenn diese einen Datenschutzverstoß begehen.
  • Unternehmensinhaber und die Geschäftsführung müssen sich auf diese Haftungssituation einstellen.

Worum geht's?

Geht beim Umgang mit Kundendaten, Marketing oder Tracking etwas schief und führt das zu einem DSGVO-Verstoß. Aber wer haftet eigentlich für den Datenschutzverstoß? Nach einem Urteil von 2021 müssen Geschäftsführer dafür unter Umständen in die eigene Tasche greifen. Wir klären die wichtigsten Fragen rund um die Haftung von Geschäftsführern, Mitarbeitern und Datenschutzbeauftragten bei Datenschutzverstößen.

 

1. Verstöße gegen die DSGVO: Wer ist Verantwortlicher und welche Strafen können anfallen?

Verstößt ein Unternehmen gegen die Datenschutzgrundverordnung (DSGVO), geht es entweder um einen Anspruch auf Schadensersatz (Art. 82 DSGVO) oder um Geldbußen (Art. 83 DSGVO), die umgangssprachlich auch DSGVO-Bußgelder genannt werden. Die Geldbuße beträgt bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens (je nachdem, was höher ist). Beim Schadensersatz gibt es keine Grenzen – der Ersatz für den „immateriellen Schaden“ soll aber abschrecken, kann also auch sehr hoch ausfallen.

Und wer soll das bezahlen? Grundsätzlich haftet für beides der „Verantwortliche“ im Sinne der DSGVO. Die Definition in Art. 4 Nr. 7 DSGVO dazu: „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Diese Definition hilft nur bedingt weiter. Klar ist: Verantwortlich ist laut Datenschutzrecht erst einmal das Unternehmen selbst. Inwieweit aber Geschäftsführer, Vorstände oder Mitarbeiter des Unternehmens persönlich dafür geradestehen müssen, lässt sich aus der Definition allerdings nicht ablesen.

Zum Artikel

LESEEMPFEHLUNG

Mehr zum Thema "Was müssen Unternehmen nach der DSGVO intern alles regeln?" lesen Sie in unserem Artikel.

Zum Artikel

2. Wer haftet bei Datenschutzverstößen nach der DSGVO? Haften Geschäftsführer und Vorstände?

Ja! Es gibt für die Haftung des Geschäftsführers bei Datenschutzverstößen allerdings unterschiedliche Begründungen:

Nach einem Urteil des OLG Dresden vom 30.11.2021 (Aktenzeichen 4 U 1158/21) sind Geschäftsführer eigene datenschutzrechtlich Verantwortliche im Sinne der Definition nach der DSGVO und haften deshalb persönlich. Der EuGH hat in einem frühere Urteil (Urteil vom 10.7.2018, Aktenzeichen C-25/17) folgende Kriterien festgelegt, wann er einen Geschäftsführer als Verantwortlichen ansieht:

  1. Der Beteiligte profitiert von der Datenverarbeitung,
  2. Er veranlasst oder duldet die Datenverarbeitung irgendwie und
  3. dazu muss er nicht selbst Zugang zu den personenbezogenen Daten haben oder sie selbst verarbeiten.

Teilweise wird argumentiert, dass eine direkte persönliche Haftung über die DSGVO nicht möglich ist. Doch auch hier kommt man am Ende zum gleichen Ergebnis: Verletzen Sie als Geschäftsführer Ihre Aufsichtspflicht und organisieren Ihren Betrieb nicht so, dass der Datenschutz beachtet wird, haften Sie selbst für Bußgelder und auch für Schadensersatz.

Letztlich berufen sich manche auch auf das Gesellschaftsrecht: Auch als Geschäftsführer oder Vorstand eines Unternehmens müssen Sie unter Umständen persönlich haften, wenn Sie nicht gewissenhaft und sorgfältig Ihren Aufgaben nachkommen (§43 GmbHG, § 93 Abs. 2 AktG). Denn es ist eine Ihrer zentralen Aufgaben, die datenschutzrechtlichen Vorschriften einzuhalten. Dabei müssen Sie sich umfassend informieren, beraten lassen und kontrollieren, dass die datenschutzrechtlichen Regeln im Unternehmen eingehalten werden.

Egal, wie man es genau begründet: Im Ergebnis haften Sie als Geschäftsführer. Wichtig: Sie können sich auch nicht darauf berufen, dass Sie eine Aufgabe delegiert haben oder nicht genug über Datenschutz wussten.

Jetzt anfragen

KANZLEI SIEBERT LEXOW LANG

Als Unternehmensinhaber und Geschäftsführer müssen Sie sich auf die Rechtslage einstellen. Die Kanzlei Siebert Lexow Lang unterstützt Sie gerne bei der Analyse und der Minimierung von Haftungsrisiken der Geschäftsführung bei Datenschutzverstößen.Jetzt anwaltlich beraten lassen

Jetzt anfragen

3. Wer haftet bei Datenschutzverstößen? Haften Mitarbeiter?

Angestellte haften bei Datenschutzverstößen nach DSGVO nur, wenn sie vorsätzlich, also wissentlich und mit voller Absicht, gegen Datenschutz verstoßen haben. Zum Schutz haftet der Arbeitnehmer nach dem Arbeitsrecht dagegen für weitere Verstöße nur eingeschränkt.

  1. Grobe Fahrlässigkeit

    Hätte sich dem Mitarbeiter mehr oder weniger aufdrängen müssen, dass er einen Datenschutzverstoß und einen Schaden verursacht, haftet er grundsätzlich in Höhe von drei Arbeitsgehältern. Ausnahme: Dadurch ist seine wirtschaftliche Existenz bedroht.

  2. Normale/mittlere Fahrlässigkeit

    Wenn ein Mitarbeiter sich bewusst war, was er tat, aber nicht sorgfältig genug war, um den Schaden abzuwenden, gilt: Er muss sich den Schaden mit dem Arbeitgeber teilen und zahlt in der Regel maximal ein Monatsgehalt.

  3. Leichte Fahrlässigkeit

    Der Arbeitnehmer hat nur geringfügig gegen seine Pflichten verstoßen und dies ist zu entschuldigen, weil es jedem Menschen hätte passieren können. In diesem Fall haftet er gar nicht.

4. Welche Rolle hat der Datenschutzbeauftragte bei Verstößen?

Externe Datenschutzbeauftragte haben einen Vertrag mit dem Unternehmen. Machen sie einen Fehler und verstoßen gegen die DSGVO, haften sie dem Unternehmen gegenüber dafür. Wenn sie zum Beispiel nicht richtig oder ausreichend beraten oder die Datenverarbeitungsprozesse im Unternehmen nicht richtig überwachen, müssen sie unter Umständen Schadensersatz zahlen. In manchen Fällen können Sie als Geschäftsführer aber ebenfalls eine Mitschuld an dem Verstoß tragen und müssen dann auch haften.

Wenn Sie dagegen einen Datenschutzbeauftragten im Unternehmen haben, der Ihr Mitarbeiter ist, haftet dieser nach den oben genannten Grundsätzen für Mitarbeiter.

Sören Siebert
Sören SiebertRechtsanwalt

5. Haftet der Geschäftsführer bei Datenschutzverstößen von Mitarbeitern?

Begeht ein konkreter Mitarbeiter einen Datenschutzverstoß, haften das Unternehmen und auch Sie als Geschäftsführer in bestimmten Fällen dafür. Eine wichtige Frage in diesem Zusammenhang ist allerdings noch nicht abschließend geklärt: Was passiert, wenn sich ein konkreter Mitarbeiter nicht finden lässt, der sich falsch verhalten hat?

Entscheidung des EuGH wegen Datenschutzverstoß der Deutsche Wohnen

Ein ganz aktueller Fall dazu wurde nun vom EuGH entschieden. Hintergrund: Gegen die Deutsche Wohnen war ein Bußgeld von 14,5 Millionen Euro verhängt worden, weil das Unternehmen Daten wie Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten speichert. Diese müssten gelöscht werden, wenn sie nicht mehr erforderlich sind, deshalb liegt darin ein Verstoß gegen die DSGVO.

Das Landgericht Berlin (Urteil vom 18.2.2021, Aktenzeichen (526 OWi LG) 212 Js-OWi 1/20 (1/20) hat die Bescheide mit folgender Begründung aufgehoben: Es lässt sich kein Mitarbeiter ermitteln, der für den DSGVO-Verstoß konkret verantwortlich ist. Deswegen könne auch das Unternehmen nicht bestraft werden.

Das Kammergericht Berlin war sich unsicher und hat den EuGH (Beschluss vom 6.12.2021, Aktenzeichen 3 Ws 250/21) gefragt,

  • ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen kann,
  • wie handfest Verstöße sein müssten, um für Bußgelder zu sorgen.

Der EuGH hat am 5. Dezember 2023 entschieden, dass Bußgelder gegen Unternehmen auch dann verhängt werden dürfen, wenn keine konkrete verantwortliche Person bekannt ist. Der Verstoß muss nicht zuvor einer identifizierten natürlichen Person zugerechnet werden können, um ein Unternehmen an sich als Verantwortlichen haftbar zu machen.

Allerdings stellte der EuGH auch klar, dass der Verstoß des Verantwortlichen schuldhaft erfolgt sein müsse, also der Verantwortliche nicht über die Rechtswidrigkeit des Verstoßes im Unklaren sein durfte. Ein Hinweis auf Missstände durch die Datenschutzbehörden könnte für ein schuldhaftes Verhalten des Unternehmens sprechen. 

6. Was können Geschäftsführer tun?

Sie möchten als Geschäftsführer sichergehen, dass Sie nicht plötzlich persönlich für DSGVO-Verstöße Ihres Unternehmens haften müssen? Es mag banal klingen, aber der beste Weg ist es, dass Sie Ihren Pflichten gewissenhaft nachkommen. Das heißt insbesondere folgendes:

  1. Organisieren Sie das Unternehmen so, dass der Datenschutz beachtet wird.
  2. Lassen Sie sich im Zweifel von Ihrem Datenschutzbeauftragten beraten und holen Sie Auskünfte von ihm lieber einmal zu oft ein als zu selten.
  3. Sorgen Sie dafür, dass die Mitarbeiter des Unternehmens gewissenhaft und qualifiziert sind. Kümmern Sie sich darum, dass sie sich regelmäßig durch Schulungen und Tests fortbilden.
  4. Sorgen Sie dafür, dass Ihr Unternehmen im Bereich Datenschutz zertifiziert wird.
  5. Holen Sie sich Unterstützung im Bereich Datenschutz und Geschäftsführerhaftung durch einen spezialisierten Rechtsanwalt.

 

 

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin & Legal Writerin

Annika Haucke ist Rechtsanwältin und absolvierte darüber hinaus ein Journalismus-Studium. Seit mehr als 10 Jahren ist sie als Legal Writerin und Online-Redakteurin tätig. Sie hat bereits Texte für Steuerberatungsgesellschaften, Medienrechtsanwälte sowie für den Tagesspiegel und die Stiftung Warentest geschrieben. Seit 2020 ist Annika Haucke Teil des Redaktionsteams von eRecht24. Ihre inhaltlichen Schwerpunkte liegen im Internet-, Urheber-, Steuer- und Datenschutzrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details