Datenschutz Verstehen – Persönliche Haftung des Geschäftsführers bei Datenschutzverstößen der GmbH.
Kurze Einleitung:
Kommt es zu einem Verdacht eines Datenschutzverstoßes, ist schnelles Handeln gefragt und eine Bewertung durch den Datenschutzbeauftragten vorzunehmen. Gleichzeitig stellt sich natürlich auch die Frage, wer für den Datenschutzverstoß haftet, wenn tatsächlich einer vorliegt. Wie wir bereits wissen, finden regelmäßig Datenschutzpannen in Unternehmen statt, welche als Verstoß deklariert werden. Daher ist die Haftungsfrage umso wichtiger für nachfolgend verhängte Bußgelder und Schadensersatzansprüche.
Dieser Beitrag klärt auf, wann Geschäftsführer persönlich haften.
Persönliche Haftung des Geschäftsführers bei Datenschutzverstößen der GmbH
Die Verantwortung der ordnungsgemäßen Umsetzung des Datenschutzes im Unternehmen trägt der Geschäftsführer oder der Vorstand des Unternehmens. Haftbar zu machen im Bereich von Datenschutzverstößen ist immer der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Dies ist jedoch das Unternehmen bzw. die juristische Person, nicht Geschäftsführer oder Vorstand. Folglich haftet dieser nicht unmittelbar persönlich für entsprechende Bußgelder des Unternehmens aus Datenschutzverstößen. In Betracht kommt jedoch eine Haftung des Geschäftsführers oder Vorstandes im Innenverhältnis, das heißt zwischen dem Verantwortlichen und dem Vorstand/Geschäftsführer. Diese Innenhaftung kann zu bejahen sein, wenn Vorstand/Geschäftsführer ihre Sorgfaltspflicht in der Unternehmensleitung verletzt haben. Die Sorgfaltspflichtverletzung kann sich hier auf die Nichtbeachtung nationaler Vorschriften, z.B. des BDSG-neu, aber auch aus unionsrechtlichen Vorschriften, wie der DSGVO ergeben. Die Geschäftsführung muss sich also ausreichend über die geltenden Vorgaben informieren und diese umsetzen, denn auf eine reine Unwissenheit kann sich im Falle eines Verstoßes nicht berufen werden. Verletzt die Geschäftsführung die Sorgfaltspflicht, kann der Sorgfaltsmaßstab des § 43 GmbHG für einen ordentlichen Geschäftsmann bzw. beim Vorstand der Maßstab des § 93 Abs. 2 AktG greifen. Wichtig ist in diesem Zusammenhang, dass Vorstände und Geschäftsführer verantwortlicher Unternehmen auch persönlich mit ihrem Privatvermögen haften. Dies gilt auch für die Haftung für Bußgelder. Ersatzfähig ist hierbei neben einem materiellen Schaden des Betroffenen auch der immaterielle Schaden, das Schmerzensgeld. Die Haftungsnormen sind Art. 82, 83 Abs. 4 und DSGVO.
Beispiel einer persönlichen Haftung von Geschäftsführern nach DSGVO
Durch ein Urteil des Oberlandesgerichts Dresden vom 30. November 2021 (4 U 1158/21) wurden ein GmbH-Geschäftsführer und die Gesellschaft selbst als Gesamtschuldner zur Zahlung von 5.000 Euro Schadensersatz verurteilt. Dementsprechend haftet ein Geschäftsführer persönlich als Gesamtschuldner mit der Gesellschaft für Ansprüche aus Art. 82 DSGVO. Das Gericht stufte den Geschäftsführer neben der GmbH als eigenen datenschutzrechtlich Verantwortlichen im Sinne von Art. 4 DSGVO ein. Eine eigene datenschutzrechtliche Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO sei danach zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden kann. Die Haftung des Geschäftsführers leitet das OLG Dresden daraus ab, dass gerade dieser Entscheidungen über die Datenverarbeitung trifft. Wenn weitere Gerichte dieser Auffassung folgen, könnte das weitreichende Auswirkungen auf die berufliche Praxis haben.
Im Detail
Das OLG Dresden stufte den Sachverhalt, in dem der Kläger durch einen vom GmbH-Geschäftsführer beauftragten Detektiv ausgespäht wurde, als Datenschutzverstoß ein. Bei der Beauftragung handelte der Geschäftsführer im Namen der beklagten GmbH. Der Detektiv sollte recherchieren, ob der Kläger in der Vergangenheit an möglichen strafrechtlich relevanten Handlungen beteiligt gewesen war. Jedoch fehlte es bei dieser veranlassten Datenverarbeitung laut dem OLG Dresden an der Erforderlichkeit zur Wahrung der berechtigten Interessen der Beklagten im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Zudem verstoße die Datenverarbeitung gegen Art. 10 DSGVO, wonach eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht zulässig ist. Einem Detektiv fehle es jedoch an der Befugnis zur Einholung von strafrechtlich relevanten personenbezogenen Daten. Das Gericht ging deshalb davon aus, dass diese Ausspähung einen ersatzfähigen Schaden im Sinne des Art. 82 Abs. 1 DSGVO begründe. Dabei fiel zu Lasten der Beklagten, dass es sich bei den unbefugt erhobenen Daten um besonders sensitive Daten gehandelt habe. Des Weiteren müsse der Kläger damit rechnen, dass diese Daten in einem größeren Umfeld offengelegt worden seien. Somit sind bei der konkreten Schadensbemessung insbesondere die Art, Schwere und Dauer des Verstoßes zu berücksichtigen.
Fazit
Dieses Urteil steht im Gegensatz zu der bisherigen überwiegenden Auffassung in der Literatur, welche vertritt, dass Geschäftsführer lediglich in den Grenzen ihrer organschaftlichen Stellung für Datenschutzverletzungen gegenüber der Gesellschaft zur Haftung herangezogen werden können. Angesichts dieses für die Praxis bedeutsamen Urteils, welches den Haftungshorizont der Geschäftsführer erweitert, sollten diese jetzt besonders darauf achten, dass ihr Unternehmen datenschutzkonform aufgestellt ist. Falls Sie Interesse an weiteren Themen oder aktuellen News aus dem Datenschutz haben, können Sie hier interessante Beiträge finden! Gerne unterstützen unsere zertifizierten Branchenexperten Sie auch bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung, um etwaige Verstöße zu vermeiden. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.
FAQ
Der Geschäftsführer eines Unternehmens haftet in der Regel nicht als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. In erster Linie ist seine Haftung auf das Innenverhältnis zur Gesellschaft beschränkt und greift im Falle einer Sorgfaltspflichtverletzung bei der Unternehmensleitung im Bereich des Datenschutzes. Das OLG Dresden ließ in einem Urteil aus November 2021 einen GmbH-Geschäftsführer jedoch sogar unmittelbar als Verantwortlichen im Sinne der DSGVO haften.
Der Haftungsumfang umfasst sowohl den materiellen Schaden des Betroffenen als auch den immateriellen Schaden des Betroffenen (Schmerzensgeld). Außerdem haftet der Geschäftsführer auch mit seinem Privatvermögen. Der Haftungsmaßstab ist § 43 GmbHG für einen ordentlichen Geschäftsmann bzw. beim Vorstand der Maßstab des § 93 Abs. 2 AktG.
Geschäftsführer sollten aufgrund des zuvor genannten darauf achten, dass sie ihr Unternehmen datenschutzkonform aufstellen. Hierbei kann die Hinzuziehung eines internen oder externen Datenschutzbeauftragten helfen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.