Wer haftet für Datenschutzverstöße?

Haftungsfrage bei Datenschutzverstößen

Datenschutzverstöße Grundsatz

Die Haftungsfrage bei Datenschutzverletzung deren Höhe bei unterschiedlichen Arten von Datenschutzverstößen wird in den nächsten Jahren noch viel Raum für Diskussionen und Anpassungen bieten. Hierbei sollte der Grundansatz aber sein, Abmahnungen oder Haftungsansprüche zu vermeiden. Ziel und Anspruch sollte es daher sein die rechtliche Umsetzung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes. Erste Rechtsprechungen europäischer und nationaler Gerichte zum neuen Datenschutzrecht zeigen auf, dass eine rechtlich sichere Umsetzung nicht immer schwer sein muss.

 

Höhe der Haftung im Unternehmen

 

Die DSGVO unterscheidet zum einen bei Verstößen in Bezug auf materiellen und immateriellen Schadensersatz gem. Art. 82 DSGVO und Geldbußen gem. Art. 83 DSGVO in einer Höhe bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes des Unternehmens.

 

Angesprochen wird immer der oder die Verantwortliche/n. Verantwortlicher nach der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet gem. Art. 4 Nr. 7 DSGVO.

 

Für Sie als Unternehmen heißt das, die Gesellschaft (GmbH, AG etc.) für Schäden haftbar gemacht werden kann. Es spielt in dabei keine Rolle wer in dem Unternehmen den Datenschutzverstoß verursacht hat. Eine Ausnahme kann eventuell bei besonders schweren Verstößen einzelner Personen im Unternehmen zu einer Haftung der jeweiligen Person direkt gegenüber dem Betroffenen führen.

 

Wer zahlt im Unternehmen den Schaden

 

Im gesetzten Fall, dass ein Unternehmen für einen verursachten Datenschutzverstoß die Haftung übernehmen muss, kann es innerhalb des Unternehmens dazu führen das Regressansprüche gestellt werden sollen. Hierfür werden drei Parteien betrachtet:

 

Geschäftsführung und Vorstände

 

Für die Einhaltung der Pflichten und Gesetze im Datenschutzbereich sind die Geschäftsführer und Vorstände zentral gem. § 43 GmbHG bzw. des § 93 Abs. 2 AktG. persönlich verantwortlich und demnach ersatzpflichtig gegenüber dem Unternehmen zu machen. Die Einhaltung datenschutzrechtlicher Vorschriften ist nach Ansicht des europäischen Gesetzgebers eine der zentralen Aufgaben der Geschäftsleitung.

 

Die Aussage; über nicht ausreichendes Wissen in dem Bereich zu verfügen entfällt. Der Geschäftsführer ist verpflichtet seinen Kontrollaufgaben nachzukommen und sich umfassend mit dem Datenschutzrecht auseinander zu setzen oder sich Beratung für diesen Bereich zukommen zu lassen. Sollte dem nicht nachgekommen werden droht die Haftung der Geschäftsführung mit dem Privatvermögen.

 

Mitarbeiter

 

Mitarbeiter haften nach den Grundsätzen der Arbeitnehmerhaftung nur eingeschränkt. Dies dient dem Arbeitnehmerschutz, vor allem um Arbeitnehmer vor Arbeitsverträgen mit unverhältnismäßigen Strafen zu schützen.

 

Die Haftbarkeit des Arbeitnehmers wird in Abhängigkeit vom Schweregrad des Verschuldens bewertet. Dabei wird zwischen vier Schweregarden unterschieden:

 

    • Leichteste-/ leichte Fahrlässigkeit
      Der Arbeitnehmer handelt nur leicht fahrlässig und haftet nicht. Hierbei sind das Tätigkeiten die nur auf geringfügige und leicht entschuldbare Pflichtverstöße zurückzuführen sind, und jedem Menschen aus unbeabsichtigter Unachtsamkeit passieren können.
    • Normale-/ mittlere Fahrlässigkeit
      Die Handlung des Arbeitnehmers wird als „normal“ fahrlässig wertet, wenn der Mitarbeiter sich seiner Tätigkeit bewusst ist und aufgrund von fehlender notwendiger Sorgfalt einen vermeidbaren Schaden verursacht. In diesem Fall wird der Schaden geteilt. Die Höhe der Strafe wird meist auf ein Monatsgehalt begrenzt.
  •  
    • Grobe-/ gröbste Fahrlässigkeit
      Sollte der Mitarbeiter grob fahrlässig handeln, haftet er grundsätzlich in vollem Umfang. Dabei wird die Schadenshöhe von den Gerichten, in den meisten Fällen auf drei Monatsgehälter festgesetzt. diese gilt auch wenn der Mitarbeiter den Schaden zwar vorsätzlich begangen hat, der Schadenseintritt aber nur fahrlässig herbeigeführt wird.
  •  
    • Vorsatz
      Sollte ein Mitarbeiter wissentlich in voller Absicht, vorsätzlich den Schaden verursachen und dieser auch verursacht werden, haftet er im vollen Umfang.

 

Datenschutzbeauftragte in Unternehmen

Ein externer Datenschutzbeauftragter haftet im Unternehmen für eigene Fehler gegenüber dem Verantwortlichen aufgrund einer vertraglichen Pflichtverletzung. Verletzt der Datenschutzbeauftragte seine Aufgaben und Pflichten, insbesondere seine Überwachungs- und Beratungspflicht, kann er sich schadensersatzpflichtig machen. Allerdings ist hier ein etwaiges Mitverschulden der Geschäftsleitung zu berücksichtigen.

 

Bei einem internen Datenschutzbeauftragten, sind hier die Grundsätze der Arbeitnehmerhaftung zu beachten. Diese Tatsache ist unter anderem der Grund warum ein Interesse daran bestehen, sollte, einen externen Datenschutzbeauftragten zu benennen und das Risiko zu minimieren.