Datenschutzverstoß – wer haftet?

Datenschutz in der EU

Die Datenschutzgrundverordnung trat im Mai 2018 in Kraft. Hintergrund war die Schaffung einer möglichst einheitlichen Rechtslage, wobei nationale Gesetze auf Grundlage der DSGVO diese noch präzisieren. In Deutschland geschieht dies durch das BDSG.
Grund für eine solche, möglichst einheitliche, Schaffung einer Rechtslage, war der intransparente Missbrauch personenbezogener Daten von EU-Bürgern vor allem durch US-Unternehmen. Problematisch war die Übersendung sensibler Daten auf Server, die in den USA stehen. Dies wurde besonders durch das Schrems-II-Urteil des EuGH im Juli 2020 deutlich, bei dem sich herauskristallisierte, dass die Rechtslage in den Vereinigten Staaten nicht den EU-Standards genügt.
Denn dort werden Zugriffe auf die Daten der Betroffenen von US-Behörden nicht ausreichend abgeschirmt. Solche Verstöße, wie die dort verhandelten, kommen bis heute vor und können hohe Sanktionen zur Folge haben.
Fraglich ist jedoch, wer, wie, im Falle eines Verstoßes haftet.

Konsequenzen bei Verstößen

Zunächst einmal sei gesagt, dass es unterschiedliche Haftungsformen, beziehungsweise Konsequenzen bei einem Datenschutzverstoß gibt.
Auf der einen Seite kann ein betroffener Bürger auf Grundlage dessen, dass seine Persönlichkeitsrechte geschädigt wurden, Schadensersatz verlangen. Denn erhebt ein Unternehmen ohne Einwilligung personenbezogene Daten, so ist dies rechtswidrig und der Betroffene kann sein Recht einklagen.
Auf der anderen Seite können Abmahnungen und Bußgelder von staatlicher Seite aus einschlägig sein. Diese können, entsprechend dem Unternehmen, auch mal sehr hoch ausfallen. Amazon wurde in Luxemburg zu einer Geldstrafe von 746 Millionen Euro verdonnert. Auch WhatsApp musste in Irland 225 Millionen an die EU blechen.
In Sachen Datenschutz ist also mit der Union nicht unbedingt zu spaßen.

Unmittelbare Haftung

Grundsätzlich haftet im Falle eines Verstoßes gegen die Grundverordnung der „Verantwortliche“. Dies ist, nach Artikel 4 Abs. 7 der DSGVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Davon können auch juristische Personen erfasst sein, weswegen die Haftung regelmäßig auf das Unternehmen fällt.
Das Unternehmen haftet unmittelbar für den Verstoß, wobei zunächst erstmal keine einzelnen, also natürliche Personen betroffen sein können, es also auf erster Ebene irrelevant ist, wer konkret den Schaden zu verantworten hat.

Haftung innerhalb des Unternehmens

Doch auch innerhalb des Unternehmens können Haftungsansprüche gestellt werden, denn bei enormen Schäden sind persönliche Interessen von enormer Bedeutung. Wer zahlt also wann im Unternehmen den Schaden?

Haftung des Datenschutzbeauftragten

In Unternehmen, in denen ein Datenschutzbeauftragter entweder extern herangezogen wurde oder intern ernannt wurde, kann dieser haften. Während der interne DSB ein Mitarbeiter ist und somit der Arbeitnehmerhaftung unterliegt, ist der externe DSB ein auswärtiger Dienstleister. Zivilrechtlich bedeutet dies für die Haftung, dass er für Pflichtverletzungen herangezogen werden kann. Gegebenenfalls muss er also Schadensersatz für diese leisten.

Haftung von Mitarbeitern

Mitarbeiter sind rechtlich wohl am besten vor privater Haftung bei Datenschutzverstößen geschützt.
Sie haften nur beschränkt, und zwar in der Form, dass ihr Verschulden vorsätzlich passiert sein muss, sie also nur dann voll für den Schaden herangezogen werden können. Auch bei Fahrlässigkeit können sie haftet, wobei zwischen regulärer Fahrlässigkeit, leichter und grober Fahrlässigkeit unterschieden werden muss. Bei leicht fahrlässigem Verschulden haftet nur der Arbeitgeber, während sich bei regulärer Fahrlässigkeit die Haftung geteilt wird.
Lediglich bei grober Fahrlässigkeit haftet der Arbeitnehmer voll, jedoch mit einem zusätzlichen Schutz. Denn würde die volle Haftung sogar die Existenz des Betroffenen bedrohen, bleibt er von ihr verschont.

Haftung der Geschäftsführung

Da die Einhaltung der DSGVO und des BDSG eine der wichtigsten Aufgaben der Geschäftsführung und der Vorstände ist, sind diese zu strenger Sorgfalt verpflichtet, was in § 43 GmbHG und § 93 Abs. 2 AktG normiert wurde.
Das heißt, im Regelfall werden sie auch für den Schaden verantwortlich gemacht und können aufgrund dessen gegebenenfalls auch persönlich haften.
Denn verletzt beispielsweise der Geschäftsführer eine seiner Sorgfaltspflichten, kann eine Durchgriffshaftung einschlägig sein.
Damit ist es für sie gesetzlich verpflichtend, sich einerseits über die Rechtslage ausreichend zu informieren und andererseits über alle Prozesse und potenziellen Konfliktpunkte mit dem Gesetz im Unternehmen Bescheid zu wissen.

Fazit

Die DSGVO schaffte es, eine recht einheitliche Rechtslage für alle EU-Staaten zu kreieren und somit die personenbezogenen Daten aller Unions-Bürger gleichermaßen zu schützen. Augenscheinlich ist der Europäischen Union vor allem der Schutz der Arbeitnehmer wichtig. Zunächst einmal lässt sich festhalten, dass auf erster Ebene das Unternehmen für den Verstoß haftet, wobei dies sowohl gegenüber dem Bürger als auch gegenüber dem Staat, beziehungsweise der Union geschieht.
Innerhalb des Unternehmens können jedoch ebenfalls, in Form von Regress-Haftung, Ansprüche entstehen.
Dabei kann auf den Hauptschuldner zurückgegriffen werden, wobei zunächst auf die Geschäftsführung, beziehungsweise, je nach Unternehmensform, auf die Vorstände abgestellt wird.
Diese unterliegen besonderen Sorgfaltspflichten und sind somit auch die erste Anlaufstelle.
Mitarbeiter haften nur bedingt, da sie dem Arbeitnehmerschutz unterliegen. Vorsätzlichkeit haben sie voll zu vertreten, ansonsten kommt es auf die Schwere der Fahrlässigkeit an.
Zu guter Letzt kommt noch externe Datenschutzbeauftragte in Betracht, da der interne DSB auch ein Mitarbeiter ist. Der externe DSB haftet für Pflichtverletzungen gegenüber seinem Klienten, die in seinem Aufgabenfeld geschahen.
Das Gesetz will alles in allem vor allem den Arbeitnehmer schützen.

Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de

Bildquelle: #Urban-Photographer