Zur Navigation springen Zum Inhalt springen Zum Footer springen

Die Haftung des Geschäftsführers nach der Europäischen Datenschutzgrundverordnung (DSGVO)

(3)

Die Datenschutzgrundverordnung ist mit großer medialer Beachtung am 25.05.2018 europaweit in Kraft getreten. Ein Blick in das europäisierte Datenschutzrecht lohnt sich neben Großunternehmen auch für Mittelständische und Kleinunternehmen.

1. Konsequenzen eines Rechtsverstoßes

Die Datenschutzgrundverordnung (DSGVO) gilt unmittelbar in der gesamten EU und bringt einige für das Wirtschaftsleben nennenswerte Änderungen mit. Unternehmen mit Sitz in Europa wurde zwar bis zum Inkrafttreten am 25.05.18 eine Schonfrist zugestanden. Allerdings bei der Mentalität der Unternehmerschaft „Warten wir erst einmal ab, was passiert“ kann ein Verstoß bereits passiert und festgestellt sein. DIes kann den Beteiligten mitunter teuer zu stehen kommen. 

a. Staatliche Sanktionen

Im Rahmen der staatlichen Sanktionen nach der DSGVO sind Bußgelder in einer Höhe von bis 20 Mio.€ möglich. Das Bußgeld kann sich auch auf 4 % des weltweit erzielten Vorjahresumsatzes belaufen. Dies richtet sich danach welcher Betrag höher und damit schmerzhafter für das Unternehmen ist. Abhängig von der Art, Schwere oder Dauer des Verstoßes sowie der Vorsätzlichkeit und einiger weiterer Faktoren variiert die Höhe der zu zahlenden Geldbuße. Wird ein Auskunftsverlangen im Rahmen eines Verbraucherkredites nicht richtig behandelt oder wird ein Verbraucher nicht ausreichend über das Einholen einer Auskunft über ihn informiert, können nach dem Bundesdatenschutzgesetz (BDSG) Bußgelder von bis zu 50.000 € festgesetzt werden. In besonders schweren Fällen sind nun außerdem auch Haftstrafen von bis zu 3 Jahren nach dem BDSG möglich. Dafür müsste der Handelnde aber schon ein hohes Maß an Kriminalität unter Beweis gestellt haben. Beispielsweise, wenn personenbezogene Daten einer großen Vielzahl von Personen an Dritte übermittelt wurden, um dadurch den Lebensunterhalt zu bestreiten. 

b. Zivilrechtliche Schadensersatzansprüche

Viel interessanter ist der zivilrechtliche Schadensersatzanspruch. So kann jeder, welcher durch unrechtmäßige Datenverarbeitung einen Schaden erlitten hat, einen Anspruch auf Schadensersatz in Geld geltend machen. Zusätzlich kann der Schadensersatzanspruch, im Gegensatz zur früheren Rechtslage, auf einen materiellen und immateriellen Schaden beruhen. 

Die Haftung für einen Rechtsverstoß ist auch ohne ein eigenes Verschulden möglich. Der Beklagte kann sich dann nur gegen eine solche Anschuldigung wehren, wenn er nachweisen kann, rechtmäßig gehandelt zu haben. Dabei muss er sich selbstständig gegen die Behauptung der Gegenseite stellen und selbstständig Beweise vorbringen. Ist der Beklagte dann nicht durch ein ordnungsgemäßes Dokumentieren auf diese Klagesituation vorbereitet, kann es schwierig werden, überzeugend das Gegenteil zu belegen.

2. Wer haftet?

In einem Unternehmen stellt sich im Haftungsfall letztlich die Frage: Wem geht es an den Kragen?

Hierbei dreht sich alles um den Begriff des „Verantwortlichen“. Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das ist bei einer juristischen Person, wie einer GmbH, der Geschäftsführer oder bei einer AG, der Vorstand. Geschäftsführung und Vorstand haften dabei persönlich in voller Höhe. 

Diese Verantwortung kann auch nicht vollständig auf einen Datenschutzbeauftragten übertragen werden. Die Ansprüche können sich bei einer falschen oder unzureichenden Beratung durch den Datenschutzbeauftragten gegen ebendiesen richten, aber auch der Geschäftsführung oder dem Vorstand auf die Füße fallen. Während sich interne Datenschutzbeauftragte noch auf den Schutz des Arbeitsverhältnisses berufen können, gilt dieses Privileg für externe Datenschutzbeauftragte nicht. 

Letztlich lässt sich festhalten, dass nicht nur die Sanktionen für rechtliches Fehlverhalten radikal angestiegen sind und die persönliche Haftung der Geschäftsführung fokussiert wurde. Vielmehr sollte jedes Unternehmen überprüfen, ob die eigenen Datenverarbeitungsvorgänge der rechtlichen Norm entsprechen, um nicht Gefahr zu laufen, einer anwachsenden und wachsamen Abmahnindustrie zum Opfer zu fallen.


Rechtstipp vom 13.08.2018
aus der Themenwelt Datenschutz und DSGVO und den Rechtsgebieten Handelsrecht & Gesellschaftsrecht, IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Sebastian Dramburg (Anwaltskanzlei Dramburg)