Die scheinbar endlosen Möglichkeiten der elektronischen Datenverarbeitung führen zu einem größeren Output, zu höherer Effizienz und zu schnelleren Reaktionsmöglichkeiten – und das mit immer neueren Techniken. Gleichzeitig bergen sie das Potential einer Vielzahl von Fehlern, Rechtsverletzungen oder Sicherheitslücken, die zu einem Verstoß gegen Datenschutzgesetze, insbesondere die Datenschutzgrundverordnung (DSGVO), führen können.
Für einen solchen Fall kennen die Datenschutzgesetze schmerzhafte Schadensersatzansprüche und persönliche Strafen.
Bereits in unserem Newsletter aus April 2022 hatten wir darauf hingewiesen, dass Geschäftsführer auch persönlich haften können, wenn Datenschutzverstöße vorliegen.
In diesem Newsletter erweitern wir die Frage der Haftung für Datenschutzverstöße und erläutern Ihnen, welche Haftungsrisiken Ihnen als Unternehmen, Geschäftsführer oder Mitarbeiter drohen.
Schadensersatzansprüche und Geldbußen
Abschreckend wirkt der Rahmen für Geldbußen (Art. 83 DSGVO) bei Verstößen gegen Datenschutzgesetze: Bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes sollen die Höchstmaße der Geldbußen sein. Daneben sind auch Schadensersatzansprüche (Art. 82 DSGVO) denkbar, die dem jeweiligen Verletzten zufallen. Hiermit sollen materielle und – kaum bezifferbare – immaterielle Schäden des Verletzten ausgeglichen werden.
Haftender ist dabei grundsätzlich der „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO, also die Stelle, die für die Datenverarbeitung verantwortlich ist. In aller Regel ist dies das Unternehmen selbst. Die Identifizierbarkeit eines menschlichen Handelns ist wohl auch keine Voraussetzung für die Zurechnung eines Verstoßes zulasten des jeweiligen Unternehmens, wobei die endgültige Klärung dieser Frage derzeit vor dem Europäischen Gerichtshof (EuGH, Rechtssache C-807/21) anhängig ist.
Haftung des Geschäftsführers
Per Urteil vom 30.11.2021 (Aktenzeichen 4 U 1158/21) hat das Oberlandesgericht Dresden seinerzeit eine Abweichung zum zuvor Gesagten begründet, wonach auch der Geschäftsführer persönlich haften kann. Die Veranlassung der Datenverarbeitung durch ihn selbst, ein persönlicher Profit und die eigene Vorwerfbarkeit sind ausschlaggebend für die Haftung des Geschäftsführers.
Umso wichtiger ist es für Geschäftsführer, Wert auf ein ordentliches Datenschutzmanagement zu legen und Datenverarbeitungsvorgänge stets mit der nötigen Sensibilität im Blick zu behalten.
Haftung der Mitarbeiter
Die Haftung von Mitarbeitern für eigene Datenschutzverletzungen ist ebenfalls nicht ausgeschlossen, aber begrenzt. Zwar kann auch fahrlässiges Handeln Regressansprüche des Arbeitgebers auslösen, allerdings nur anteilsmäßig. Vorsätzliche Handlungen können hingegen auch zu einer umfassenden Verantwortlichkeit führen.
Strafrechtliche Verantwortung
Daneben kennt § 82 des Bundesdatenschutzgesetzes (BDSG) Straftatbestände, die ausschließlich an persönliches Handeln anschließen und hierbei den jeweils handelnden Täter als natürliche Person adressieren. Mitarbeiter und Gesellschafter stehen hier also besonders im Fokus.
Nach diesen Vorschriften können unberechtigte Datenweitergaben zu Bereicherungszwecken bestraft werden. Praxisnah dürften sich die meisten Anwendungsfälle im Bereich der Mitnahme von Kundenlisten zum neuen Arbeitgeber bewegen. Das Strafmaß liegt immerhin zwischen 3 Jahren Freiheitsstrafe und einer Geldstrafe.
Ergebnis und Handlungsempfehlungen
Im Ergebnis können nicht nur Unternehmen für Datenschutzverstöße haften. Denkbar sind neben empfindlichen Geldbußen auch Schadensersatzansprüche seitens des Verletzten. Diese Haftung betrifft grundsätzlich das Unternehmen als Verantwortlichen. In Ausnahmefällen kann aber auch der Geschäftsführer oder der handelnde Mitarbeiter (mit-)haften. Daneben können Straftatbestände verwirklicht sein.
Sowohl zum Eigenschutz der Mitarbeiter als auch zur Prävention und zur Schaffung von Verantwortlichkeiten sollte daher Wert auf eine regelmäßige Schulung der Mitarbeiter, auf die Einführung von datenschutzkonformen Prozessen und auf ein gutes Compliance-System gelegt werden.
Fazit
Datenschutzverstöße müssen nicht vorsätzlich begangen werden, um persönliche Folgen nach sich ziehen zu können. Sie können z. B. auch einfach Begleiterscheinungen von EDV-Nutzungen sein, die jedoch finanziell wie persönlich relevante Ansprüche und Strafen zur Folge haben könnten. Umso wichtiger ist ein professionelles Datenschutzmanagement, das Verstöße vermeidet, bevor sie entstehen.
