a

b

© Ekaterina Bolovtsova, Pexels

Neues Urteil: Wer haftet bei Datenschutz-Verstößen?

Personenbezogene Daten wurden unrechtmäßig verarbeitet oder sind in falsche Hände gelandet. Die Folge ist das Schreckensszenario im Datenschutz: ein Datenschutzverstoß. Mehrere Mitarbeitende haben die Daten verarbeitet. Auch die Geschäftsführung wusste von der Datenverarbeitung.

Doch wer ist nun verantwortlich? Und wer kann haftbar gemacht werden? Für mögliche Schadensersatzforderungen oder Bußgelder ist das eine sehr relevante Frage. Hier hat das Oberlandesgericht Dresden ein neues Urteil gefällt, das mehr Klarheit bringt.

Wir haben für Sie zusammengefasst, wer in welchen Fällen persönlich haftbar ist und welche Auswirkungen das neue Urteil zur Haftung bringt. 

Grundsätzliche Haftung

Grundsätzlich haften Verantwortliche für Schadensersatzansprüche und Geldstrafen. Gemäß Art. 4 Nr. 7 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

Auch Geschäftsführungen können somit als Verantwortliche gelten, wenn sie über die Mittel und Zwecke der Datenverarbeitung entscheiden oder diese billigen. Hier ist allerdings kaum eine trennscharfe Abgrenzung möglich. Nur, wenn Geschäftsführungen personenbezogene Daten zu gesellschaftsfremden Zwecken verarbeiten, kann eindeutig eine eigenständige Verantwortlichkeit angenommen werden. Andere Fälle sind im Zweifel Einzelfallentscheidungen.

Geschäftsführungen können ebenfalls nach dem geltenden Ordnungswidrigkeitengesetz haftbar gemacht werden. Normalerweise werden Geldbußen dem Unternehmen zugerechnet. Allerdings können Geschäftsführungen, wenn sie eine Aufsichtspflichtverletzung oder ein Organisationsverschulden trifft, persönlich haftbar gemacht werden.

Um nicht haftbar gemacht zu werden, müssen Geschäftsführungen gemäß Art. 82 DSGVO nachweisen können, dass keine Pflichtverletzung bzw. kein Verschulden vorliegt – also, dass der Schaden auch bei einem eingerichteten Compliance-System mit entsprechender Überwachung eingetreten wäre. Das ist allerdings nicht so einfach. Deswegen ist die Wahrscheinlichkeit, dass Geschäftsführungen persönlich haftbar gemacht werden, relativ hoch. Daher ist es wichtig, dass Geschäftsführungen dokumentieren, dass sie Maßnahmen überwachen und nachhalten. 

Neues Urteil zur DSGVO

Ein Urteil des Oberlandesgerichts (OLG) Dresden bringt nun ein bisschen mehr Klarheit, ob Geschäftsführungen gemäß der DSGVO als Verantwortliche gelten. Das OLG hat bestätigt, dass Geschäftsführungen Verantwortliche im Sinne der DSGVO sein können. Das heißt, sie können unter bestimmten Umständen persönlich vom Haftungsrecht umfasst werden.

Geschäftsführungen haften dann persönlich, wenn sie von der Datenverarbeitung profitieren, sie veranlasst haben und/oder die Verarbeitung dulden. Dabei müssen sie nicht zwingend Zugang zu den Daten haben oder sie selbst verarbeiten. In diesen Fällen verletzen Geschäftsführungen ihre Aufsichtspflichten und unterliegen deshalb selbst der persönlichen Haftung.

In dem Fall des OLG Dresden wurde vermutlich ein Detektiv im Auftrag des Geschäftsführers eingeschaltet, um eine Recherche zum Kläger durchzuführen. Der Detektiv hat dabei Erkenntnisse über die strafrechtliche Vergangenheit des Klägers erhalten, aufgrund derer der angeklagte Geschäftsführer eine Mitgliedschaft verweigert hat. Das OLG hat dem Kläger einen Schadensersatz in Höhe von 5.000 Euro zugesprochen, die gesamtschuldnerisch von der GmbH und dem Geschäftsführer zu tragen ist. 

Haftung von Mitarbeitenden

Prinzipiell können auch Mitarbeitende in Haftung genommen werden. Sie haften allerdings nur, wenn sie mit Vorsatz den Datenschutz außer Acht lassen. Dabei wird zwischen verschiedenen Formen der Fahrlässigkeit unterschieden.

Grobe Fahrlässigkeit

Handeln Mitarbeitende grob fahrlässig, verletzen sie die verkehrserforderliche Sorgfalt in besonders schwerem Maße. Das heißt, sie stellen nicht einmal die einfachsten und naheliegendsten Überlegungen an. In diesem Fall haften sie in der Regel in Höhe von maximal drei Gehältern. Es sei denn, dadurch wird ihre wirtschaftliche Existenz bedroht.

Fahrlässigkeit

Anders ist es bei Fahrlässigkeit geregelt, die nicht grob ist. Hier lassen Mitarbeitende zwar auch die im Verkehr erforderliche Sorgfalt außer Acht, aber eben nicht in besonders schwerem Maße. Dann wird der Schaden zwischen den Mitarbeitenden und den Arbeitgeber:innen geteilt.

Vorhängeschloss vor verschlossener Tür

SVBM Datenschutzumfrage

4 Jahre DSGVO: Was haben sie gebracht? Wo besteht im Datenschutz der größte Handlungsbedarf? Dazu benötigen wir Ihre Unterstützung! Nehmen Sie sich fünf Minuten Zeit und beteiligen Sie sich an unserer anonymen Umfrage.

Jetzt teilnehmen!

Leichte Fahrlässigkeit

Bei leichter Fahrlässigkeit hingegen verstoßen Mitarbeitende nur in geringfügigem Maß gegen ihre Pflichten. In diesem Fall haften sie nicht persönlich.

Mitarbeiterexzess

Verarbeiten Mitarbeitende allerdings privat personenbezogene Daten, sieht das ganz anders aus. In diesem Fall spricht man von einem Mitarbeiterexzess. Da sie sich nicht mehr im Rahmen der betrieblich zugewiesenen Aufgaben bewegen, werden sie selbst zu Verantwortlichen im Sinne der DSGVO und sind persönlich haftbar. Weiß die Organisation von dieser Datenverarbeitung und billigt diese, werden die Verantwortlichkeit und somit mögliche Strafen zwischen Mitarbeitenden und Organisation geteilt.

Fazit

Prinzipiell können sowohl Geschäftsführungen als auch Mitarbeitende persönlich haftbar gemacht werden. Geschäftsführungen müssen dazu Verarbeitungen anordnen und Verstöße wissentlich billigen. Mitarbeitende müssen (grob) fahrlässig handeln.

Das Haftungsrisiko können Geschäftsführungen reduzieren, indem sie dokumentierte Prozesse implementieren und diese regelmäßig kontrollieren, überwachen und anpassen. So schaffen sie gleichzeitig die Möglichkeit der Exkulpation.

Insgesamt bleibt aber abzuwarten, welche Richtung die weitere Rechtsprechung einschlagen wird, ob Geschäftsführungen allein aufgrund ihrer Organstellung datenschutzrechtliche Verantwortliche sind. 

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich die Ergebnisse unserer aktuellen Datenschutz-Umfrage!

Newsletter Anmeldung

Quellen

Chocholaty, Johnny und Cristine-Cathérine Wünstel (2022): “DSGVO Verstoß – Neues Urteil: Geschäftsführer haften bei Datenschutzverstößen persönlich“, website-check.de, 20. Juli 2022, https://website-check.de/blog/dsgvo-verstoss-neues-urteil-geschaeftsfuehrer-haften-bei-datenschutzverstoessen-persoenlich/, letzter Zugriff am 21. Juli 2022.

Dr. Datenschutz (2022): „Haftung im Datenschutz – Wer haftet wann und wofür?“, 14. März 2022, https://www.dr-datenschutz.de/haftung-im-datenschutz-wer-haftet-wann-und-wofuer/, letzter Zugriff am 21. Juli 2022. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies