Haftung bei Datenschutzverstößen
Mit Einführung der DSGVO sind die Sanktionsmittel gegenüber den Verantwortlichen erheblich verschärft werden. Neben den eher milderen Abhilfemaßnahmen sind hier vor allem Geldbußen und Schadenersatzzahlungen anzuführen.
Ungeachtet, wie man sich gegen die Maßnahmen der Aufsichtsbehörde oder den Klagen von betroffenen Personen zur Wehr setzt, sind unterschiedliche Gegebenheiten nicht miteinander zur vermischen. Die Juristen in unserem Team sprechen hierbei von der Haftung im Außenverhältnis und der Haftung im Innenverhältnis, bzw. dem sog. Regressprozess.
AUßENVERHÄLTNIS
In den allermeisten Fällen ist die Haftung im Außenverhältnis unkompliziert. Die Sanktionsmittel der Aufsichtsbehörde oder Klagen von Privatpersonen sind nach den Vorgaben der DSGVO an den sog. „Verantwortlichen“ zu richten. Das Gesetz versteht hierunter jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – sprich das Unternehmen selbst. Demnach ist im Außenverhältnis auch unbeachtlich, ob die Datenschutzverletzung auf der Handlung eines Mitarbeiters, einem in- oder externen Datenschutzbeauftragten oder der Geschäftsleitung beruht. Die Maßnahmen richten sich gegen das Unternehmen. Wer im Nachhinein innerhalb des Unternehmens zur Verantwortung gezogen werden kann, richtet sich nach dem sog. „Innenverhältnis“.
INNENVERHÄLTNIS
Hat die Aufsichtsbehörde gegen das Unternehmen ein Bußgeld vollstreckt oder wurde das Unternehmen von einer Person schadenersatzpflichtig in Anspruch genommen, stellt sich im gedanklichen nächsten Schritt zumeist die Frage, wer war intern hierfür verantwortlich, sprich, wer kann im sog. Innenverhältnis in Regress genommen werden. Denkbar sind hierfür die Geschäftsleitung, die Mitarbeiter oder der in-, bzw. externe Datenschutzbeauftragte.
Haftung der Organe einer Gesellschaft
Vorstand, Geschäftsführer o. Unternehmer
Mit Urteil des OLG Dresden (4 U 1158/21) ist im November 2021 erneut vor Augen geführt worden, dass Datenschutz nicht nur ein Thema für die Geschäftsleitung des Unternehmens ist, sondern, wenn die Geschäftsleitung ihren vom Gesetzgeber übertragen Pflichten nicht nachkommt, diese auch persönlich mit ihrem Privatvermögen haften. Pflichtverletzung im Bereich des Datenschutzes können daher nicht nur die Unternehmen selbst, sondern auch die Verantwortlichen mit ihrem Privatvermögen treffen.
Ob sich die Geschäftsleitung von einer rechtwidrigen Datenverarbeitung exkulpieren – beispielsweise, weil ihm kein Organisationsversagen oder ein sog. „Exzess“ vorgeworfen kann – ist im Einzelfall zu prüfen.
Haftung von Arbeitnehmern
Die arbeitsgerichtliche Rechtsprechung hat zu Gunsten der Arbeitnehmer eine sog. privilegierte Arbeitnehmerhaftung etabliert. Dies bedeutet, dass ein Arbeitnehmer allenfalls bei vorsätzlichen Handlungen mit in die Verantwortung genommen werden kann. Während bei leicht fahrlässigem Handeln, eine Haftung des Arbeitnehmers ganz ausscheidet, kann bei grob fahrlässigem Verhalten zumindest noch über eine anteilige Haftung im Innenverhältnis nachgedacht werden. Es dürfte jedoch wenig verwunderlich sein, dass die Tendenz in Bezug auf die Verantwortung von Datenschutzverletzung zum Nachteil des Arbeitgebers, bzw. des Unternehmers wiegen und ein vorsätzliches Handeln einem Arbeitnehmer nur im Ausnahmefall nachweisbar ist.
Haftung von Datenschutzbeauftragten
Wird im Innenverhältnis der Regress gegenüber Datenschutzbeauftragen angedacht ist zunächst danach zu differenzieren, ob ein in-, oder externer Datenschutzbeauftragter gegenüber der Aufsichtsbehörde bestellt ist. Während gegenüber dem internen Datenschutzbeauftragten die Grundsätze der privilegierten Arbeitnehmerhaftung anzuwenden sind, gelten gegenüber dem externen Datenschutzbeauftragten – da dieser kein Arbeitnehmer ist – die allgemeinen Verschuldensmaßstäbe. Der externe Datenschutzbeauftragte haftet demnach unmittelbar aus der Verletzung von vertraglichen Pflichten. Für viele Unternehmer ist neben dem Fachwissen eines (externen) Datenschutzbeauftragter dies der entscheidende Faktor, sich für ein professionelles Dienstleitungsunternehmen zu entscheiden.