Geschäftsführer Haftung bei Datenschutz

Datenschutz VerstehenPersönliche Haftung des Geschäftsführers bei Datenschutzverstößen der GmbH.

Kurze Einleitung:

Kommt es zu einem Verdacht eines Datenschutzverstoßes, ist schnelles Handeln gefragt und eine Bewertung durch den Datenschutzbeauftragten vorzunehmen. Gleichzeitig stellt sich natürlich auch die Frage, wer für den Datenschutzverstoß haftet, wenn tatsächlich einer vorliegt. Wie wir bereits wissen, finden regelmäßig Datenschutzpannen in Unternehmen statt, welche als Verstoß deklariert werden. Daher ist die Haftungsfrage umso wichtiger für nachfolgend verhängte Bußgelder und Schadensersatzansprüche.

Dieser Beitrag klärt auf, wann Geschäftsführer persönlich haften.

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Persönliche Haftung des Geschäftsführers bei Datenschutzverstößen der GmbH

Die Verantwortung der ordnungsgemäßen Umsetzung des Datenschutzes im Unternehmen trägt der Geschäftsführer oder der Vorstand des Unternehmens. Haftbar zu machen im Bereich von Datenschutzverstößen ist immer der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Dies ist jedoch das Unternehmen bzw. die juristische Person, nicht Geschäftsführer oder Vorstand. Folglich haftet dieser nicht unmittelbar persönlich für entsprechende Bußgelder des Unternehmens aus Datenschutzverstößen. In Betracht kommt jedoch eine Haftung des Geschäftsführers oder Vorstandes im Innenverhältnis, das heißt zwischen dem Verantwortlichen und dem Vorstand/Geschäftsführer. Diese Innenhaftung kann zu bejahen sein, wenn Vorstand/Geschäftsführer ihre Sorgfaltspflicht in der Unternehmensleitung verletzt haben. Die Sorgfaltspflichtverletzung kann sich hier auf die Nichtbeachtung nationaler Vorschriften, z.B. des BDSG-neu, aber auch aus unionsrechtlichen Vorschriften, wie der DSGVO ergeben. Die Geschäftsführung muss sich also ausreichend über die geltenden Vorgaben informieren und diese umsetzen, denn auf eine reine Unwissenheit kann sich im Falle eines Verstoßes nicht berufen werden. Verletzt die Geschäftsführung die Sorgfaltspflicht, kann der Sorgfaltsmaßstab des § 43 GmbHG für einen ordentlichen Geschäftsmann bzw. beim Vorstand der Maßstab des § 93 Abs. 2 AktG greifen. Wichtig ist in diesem Zusammenhang, dass Vorstände und Geschäftsführer verantwortlicher Unternehmen auch persönlich mit ihrem Privatvermögen haften. Dies gilt auch für die Haftung für Bußgelder. Ersatzfähig ist hierbei neben einem materiellen Schaden des Betroffenen auch der immaterielle Schaden, das Schmerzensgeld. Die Haftungsnormen sind Art. 82, 83 Abs. 4 und DSGVO.

 

Beispiel einer persönlichen Haftung von Geschäftsführern nach DSGVO

Durch ein Urteil des Oberlandesgerichts Dresden vom 30. November 2021 (4 U 1158/21) wurden ein GmbH-Geschäftsführer und die Gesellschaft selbst als Gesamtschuldner zur Zahlung von 5.000 Euro Schadensersatz verurteilt. Dementsprechend haftet ein Geschäftsführer persönlich als Gesamtschuldner mit der Gesellschaft für Ansprüche aus Art. 82 DSGVO. Das Gericht stufte den Geschäftsführer neben der GmbH als eigenen datenschutzrechtlich Verantwortlichen im Sinne von Art. 4 DSGVO ein. Eine eigene datenschutzrechtliche Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO sei danach zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden kann. Die Haftung des Geschäftsführers leitet das OLG Dresden daraus ab, dass gerade dieser Entscheidungen über die Datenverarbeitung trifft. Wenn weitere Gerichte dieser Auffassung folgen, könnte das weitreichende Auswirkungen auf die berufliche Praxis haben.

Im Detail

Das OLG Dresden stufte den Sachverhalt, in dem der Kläger durch einen vom GmbH-Geschäftsführer beauftragten Detektiv ausgespäht wurde, als Datenschutzverstoß ein. Bei der Beauftragung handelte der Geschäftsführer im Namen der beklagten GmbH. Der Detektiv sollte recherchieren, ob der Kläger in der Vergangenheit an möglichen strafrechtlich relevanten Handlungen beteiligt gewesen war. Jedoch fehlte es bei dieser veranlassten Datenverarbeitung laut dem OLG Dresden an der Erforderlichkeit zur Wahrung der berechtigten Interessen der Beklagten im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Zudem verstoße die Datenverarbeitung gegen Art. 10 DSGVO, wonach eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht zulässig ist. Einem Detektiv fehle es jedoch an der Befugnis zur Einholung von strafrechtlich relevanten personenbezogenen Daten. Das Gericht ging deshalb davon aus, dass diese Ausspähung einen ersatzfähigen Schaden im Sinne des Art. 82 Abs. 1 DSGVO begründe. Dabei fiel zu Lasten der Beklagten, dass es sich bei den unbefugt erhobenen Daten um besonders sensitive Daten gehandelt habe. Des Weiteren müsse der Kläger damit rechnen, dass diese Daten in einem größeren Umfeld offengelegt worden seien. Somit sind bei der konkreten Schadensbemessung insbesondere die Art, Schwere und Dauer des Verstoßes zu berücksichtigen.

 

Fazit

Dieses Urteil steht im Gegensatz zu der bisherigen überwiegenden Auffassung in der Literatur, welche vertritt, dass Geschäftsführer lediglich in den Grenzen ihrer organschaftlichen Stellung für Datenschutzverletzungen gegenüber der Gesellschaft zur Haftung herangezogen werden können. Angesichts dieses für die Praxis bedeutsamen Urteils, welches den Haftungshorizont der Geschäftsführer erweitert, sollten diese jetzt besonders darauf achten, dass ihr Unternehmen datenschutzkonform aufgestellt ist. Falls Sie Interesse an weiteren Themen oder aktuellen News aus dem Datenschutz haben, können Sie hier interessante Beiträge finden! Gerne unterstützen unsere zertifizierten Branchenexperten Sie auch bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung, um etwaige Verstöße zu vermeiden. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.

 

FAQ

Menü