Wer haftet für Datenschutzverstöße?
Kommt es zu einem Datenschutzverstoß und entsteht dabei ein finanzieller Schaden, muss geklärt werden, wer für diesen Schaden haftet. Dabei geht es entweder um Schadensersatz (Art. 82 DSGVO) oder um Geldbußen (Art. 83 DSGVO). Geldbußen liegen bekanntlich bei bis zu 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes des betroffenen Unternehmens. Die Grenzen für den Schadensersatz klären jeweils Gerichte. Wer aber kommt für den dann entstanden Schaden auf? Das Unternehmen oder sogar der Geschäftsführer als Verantwortlicher i.S.d. DSGVO?
Werfen wir einen Blick auf die Rechenschaftspflicht. Artikel 5 Abs. 2 der DSGVO legt fest, dass jeder Verantwortliche zur Einhaltung der Grundsätze für die Verarbeitung pbD verpflichtet ist und dafür Sorge tragen muss, deren Einhaltung nachzuweisen.
Das Dresdner OLG (Aktenzeichen 4 U 1158/21) ESAMOSplus - OLG Dresden kam bereits 2021 zum Schluss, dass wenn der GF/Vorstand über die Zwecke und Mittel der Verarbeitung entscheidet, er auch haftbar gemacht werden kann.
Das OLG hatte zu entscheiden, ob ein GF haftbar gemacht werden kann. Ein Autohändler hatte geklagt, da er eine Mitgliedsanfrage bei beklagtem Unternehmen beantragt hatte. Der GF des beklagten Unternehmens hatte einen Privatdetektiv beauftragt zu prüfen, ob mögliche strafrelevante Sachverhalte gegen den Autohändler vorliegen. Das Gericht sah hier einen Datenschutzverstoß (Art. 10 DSGVO) vorliegen und sprach dem Kläger 5.000 EUR Schadenersatz zu. Für die rechtswidrige Verarbeitung der Daten machte das Gericht den GF der Beklagten mitverantwortlich.
Stellt ein Gericht also die persönliche Haftung des GF (siehe Urteil Dresden) fest, muss der GF den Schaden/Strafe privat begleichen. Dies gilt sobald eine „natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)“.
Verantwortlichkeiten und Pflichten Mitarbeiter
Beschäftigte haften für Datenschutzverstöße i.d.R. bei vorsätzlicher Handlung. Dies gilt auch für grobe Fahrlässigkeit. Bei einer normalen bis mittleren Fahrlässigkeit muss sich der Beschäftigte u.U. den Schaden mit dem Unternehmen teilen. Bei leichter Fahrlässigkeit haftet er i.d.R. nicht.
EuGH zur Bußgeldhaftung
Das EuGH hat am 04.05.2023 eine Entscheidung zur Bußgeldhaftung veröffentlicht. Das Gericht kam zum Schluss, dass nicht jeder Verstoß gegen die DSGVO auch einen Schaden darstellt. In einem Vorabentscheidungsverfahren in einem Verfahren gegen die Österreichische Post AG urteilte der Gerichtshof, dass bei einem Schaden ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden bestehen müsse. Nur dann kann ein Schadensersatzanspruch begründet werden.
Das bedeutet, dass ein Schaden, den ein Auftragsverarbeiter verursacht, nur dann zur Haftung des Auftraggebers führt, wenn der Auftragsverarbeiter nicht eigenmächtig gehandelt hat, sondern auf Anweisung des Auftraggebers.
Berliner Aufsichtsbehörde verhängt Bußgeld in Höhe von 215.000 EUR.
Die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) hat in einer Pressemitteilung vom 02.08.2023 über ein Bußgeld in Höhe von 215.000 EUR wegen unerlaubter Speicherung von Beschäftigtendaten berichtet.
Im vorliegenden Fall hatte die Geschäftsleitung eines Dienstleistungsunternehmens eine Vorgesetzte angewiesen, eine tabellarische Liste aller Beschäftigten in der Probezeit zu führen. In dieser Liste wurden dann Beschäftigte als “kritisch” oder “sehr kritisch” bewertet. Zusätzlich wurden persönliche Äußerungen und gesundheitliche Gründe der Betroffenen dokumentiert. Die geführte Liste war weder den Betroffenen noch dem Datenschutzbeauftragten bekannt.
Das BInDBI kommentierte den Vorgang so: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“ und verhängte ein Bußgeld in Höhe von 215.000 EUR.
Bußgeldmindernd wurde die umfassende Kooperation des Unternehmens gegenüber dem BInBDI gewertet. Die Beklagte hat dem Bußgeldbescheid nicht widersprochen. Die Geschäftsführerin des Unternehmens wurde für die Dauer des Verfahrens laut Pressemitteilung freigestellt.
Fazit:
Es ist sinnvoll, die persönliche Haftung von Führungskräften durch geeignete Maßnahmen zum Datenschutz zu begrenzen. Die Folgen können nicht nur finanzieller Natur, sondern auch der Verlust von Reputation sein. Die Rechenschaftspflicht begründet geeignete Maßnahmen zum Datenschutz.
Wir empfehlen eine sorgfältige Dokumentation im Datenschutz. An erster Stelle steht hier das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO). Die Organisation der Informationssicherheit über technisch organisatorische Maßnahmen (TOM nach Art. 32 DSGVO) ist ein zentraler Baustein im Datenschutz. Ebenso sollten geeignete Compliance-Regeln definiert werden. Ein interner oder externer Datenschutzbeauftragter (DSB) unterstützt Führungskräfte bei der aktiven Umsetzung im Datenschutz. Verantwortliche müssen geeignete Schulungen zur Informationssicherheit anbieten und die Umsetzung sämtlicher Maßnahmen kontrollieren. Auftragsverarbeitungsverträge (Art. 28 Abs. 3 DSGVO) müssen geprüft und abgeschlossen werden. Wir empfehlen darüber hinaus Auftragsverarbeiter über geeignete Auftragsverarbeitungsverträge zur Einhaltung der DSGVO zu verpflichten.
Unser Datenschutzteam steht Ihnen bei Fragen gerne zur Verfügung.
Autor: Markus Vatter, Head of Privacy & IT-Security, 16.08.2023
