Wer haftet für ein Datenschutz-Bußgeld?

Datenschutz VerstehenHaftung bei einem Datenschutz-Bußgeld

Kurze Einleitung

Das Jahr 2020 wurde mit einer kumulierten Bußgeldsumme von rund 160 Millionen Euro abgeschlossen. Dies stellt einen Zuwachs der Bußgelder von ca. 39 Prozent zu den Vorjahren dar. Abgesehen von den riesigen Summen der Bußgelder von beispielsweise über 12 Millionen Euro für Vodafone Italien oder über 35 Millionen Euro für die Modekette H&M, werden regelmäßig auch kleinere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) von den Aufsichtsbehörden geahndet. Somit geraten nicht nur internationale Unternehmen ins Visier der Aufsichtsbehörden, sondern auch immer mehr kleine und mittelständische Unternehmen, die personenbezogene Daten verarbeiten, auch in Deutschland. Personenbezogene Daten und ihre Verarbeitungen können erhebliche und direkte Wirkung auf das Leben der Menschen haben, denn es handelt sich hierbei zumeist um persönliche und sensible Informationen. Die DSGVO schützt als Ausfluss des allgemeinen Persönlichkeitsrechts dieses wichtige Gut und sanktioniert jegliche Verstöße. 

Was also tun, wenn es zu spät ist? Der folgende Beitrag soll das Thema behandeln, welche Folgen ein Bußgeld für Unternehmen haben kann und wie Unternehmen reagieren sollten. 

 

Verdacht auf Erhalt eines Datenschutz-Bußgeldes

Bußgelder mit einer möglichen Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes bei Unternehmen, fallen jedoch nicht einfach vom Himmel. Ihnen liegt zumeist ein konkreter Verdacht eines Datenschutzverstoßes zugrunde. Bevor ein Bußgeld also ausgesprochen wird, hat im Vorfeld eine rege Kommunikation mit der Aufsichtsbehörde stattgefunden, denn auch diese ist in der Pflicht, den vorliegenden Verdacht zu erkunden und festzustellen. Des Weiteren besteht die Möglichkeit, dass das Unternehmen selbst Datenpannen oder Verstöße feststellt und diese der zuständigen Aufsichtsbehörde zu melden hat, vgl. Art. 33 und 34 DSGVO. Dies stellt eine anlassbezogene Kontrolle der Aufsichtsbehörde dar. Es werden jedoch auch anlasslose Kontrollen durch das Zufallsprinzip von Aufsichtsbehörden durchgeführt. Ob der Verdacht eines Datenschutzverstoßes begründet ist, wird daraufhin von der zuständigen Aufsichtsbehörde geprüft. So kam es zuletzt bei der Datenaffäre des VfB Stuttgart zu einer Prüfung durch Stefan Brink, dem Landesbeauftragten für Datenschutz in Baden-Württemberg. Aufgrund erheblicher Informationen, die für einen Datenschutzverstoß sprechen, wurde das Prüfverfahren der Aufsichtsbehörde nun in ein Bußgeldverfahren umgestellt. Dies könnte eine empfindliche Geldstrafe für den VfB Stuttgart bedeuten. Für den Erlass des höchstmöglichen Bußgeldes müssten jedoch zunächst Verstöße gegen die in Art. 83 Abs. 5 DSGVO genannten Bestimmungen vorliegen:

  • Grundsätze für die Verarbeitung gem. Art. 5, 6, 7 und 9 DSGVO
  • Rechte der betroffenen Person gem. Art. 12 bis 22 DSGVO
  • Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation gem. Art. 44 bis 49 DSGVO
  • Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden
  • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Art. 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DSGVO.

Verhalten des Unternehmens bei einer Prüfung

Besonders wichtig für das Prüfverfahren durch die Aufsichtsbehörde ist das kooperative Verhalten. Es sollte demnach stets versucht werden, sämtliche Dokumentationen, die für die Prüfung erheblich sind, zur Verfügung zu stellen und zwar ohne schuldhaftes Zögern, sondern mit Bereitschaft Initiative für Datenschutz zu zeigen. Es sollte in keinem Fall der Eindruck entstehen, das Unternehmen interessiere sich nicht für den Datenschutz oder die Belange der Aufsichtsbehörde. Eine wohlwollende und kooperative Zusammenarbeit kann sich zudem mildernd auf das zu erteilende Bußgeld auswirken und somit den Schaden tatsächlich verringern vgl. Art. 83 Abs. 2 lit. f) DSGVO. Da der versäumte Datenschutz nicht rückgängig gemacht werden kann, ist dies die größte Stellschraube, um die Höhe des Bußgeldes zu beeinflussen. Insbesondere für die Prüfung der Prozesse, sollte die Aufsichtsbehörde über die Regelprozesse informiert werden. Dies beinhaltet die Schulungen der Mitarbeiter, sowie Verweise auf die Bereitschaft, Prozesse in datenschutzrechtlicher Hinsicht optimieren zu wollen. Des Weiteren prüft die Aufsichtsbehörde das Verschulden des Verantwortlichen. Gem. Art. 82 Abs. 2 lit. b) und Abs. 3 DSGVO findet eine Berücksichtigung des Verschuldens des Verantwortlichen in Bezug auf Vorsatz oder Fahrlässigkeit des Verstoßes statt. Sollte der Verstoß also ohne Vorsatz oder Fahrlässigkeit begangen worden sein, sollte dies sehr ausführlich dargelegt werden können.

 

Erhalt eines Datenschutz-Bußgeldes

Jede Aufsichtsbehörde hat sicherzustellen, dass die verhängten Bußgelder stets wirksam, verhältnismäßig und abschreckend sind gem. Art. 83 Abs. 1 DSGVO. Besondere Relevanz für Unternehmen ergibt sich aus der notwendigen abschreckenden Wirkung des Bußgeldes. Um dies sicherzustellen, werden für jeden Einzelfall die tatsächlichen wirtschaftlichen Fähigkeiten des Unternehmens herangezogen. Für wirtschaftlich starke Unternehmen können also unproblematisch Bußgelder von über 20 Millionen Euro erlassen werden, siehe bspw. Bußgeld gegen Google LLC. i.H.v. 100.000 Millionen Euro. Dennoch können Aufsichtsbehörden keine endlos hohen Bußgelder erlassen, denn sie müssen vielmehr den Verhältnismäßigkeitsgrundsatz gem. Art. 49 Grundrechtecharta beachten. Sollte die Verhältnismäßigkeit des Bußgeldes angezweifelt werden, ist es ratsam, Widerspruch gegen das Bußgeld einzulegen. So widersprach die 1&1 Telecom GmbH einem Bußgeld in Höhe von 9,55 Millionen Euro – mit Erfolg. Das Landgericht Bonn hatte im Urteil vom 11. November 2020 das Bußgeld auf 900.000 Euro herabgesetzt. Ebenso schaffte es British Airways das Rekordbußgeld von 204 Millionen Euro abzuwenden und erhielt aufgrund von Umsatzeinbußen lediglich ein Bußgeld i.H.v. 22 Millionen Euro.

 

Haftung beim Erhalt von Datenschutz-Bußgeldern

Bußgelder werden an die Verantwortlichen der Datenverarbeitung oder dessen Auftragsverarbeiter adressiert und richten sich demnach an Unternehmen bzw. die Geschäftsführer, Vorstände oder an die juristische Person bei GmbHs und AGs. Die verantwortlichen Unternehmen haben unter der DSGVO daher die Pflicht den Schutz von personenbezogenen Daten zu gewährleisten, Risiken durch Dritte wie Mitarbeiter oder Cyberkriminalität zu berücksichtigen und Vorkehrungen zu treffen. Dennoch haben auch Geschäftsführer und Vorstände der Unternehmen ein Interesse daran, den tatsächlichen Verursacher des Datenschutzverstoßes in Anspruch zu nehmen. 

Besonders für kleine Unternehmen kann es hilfreich sein, die Haftung des Unternehmens nach außen zu verlagern, indem ein externer Datenschutzbeauftragter engagiert wird. Der Datenschutzbeauftragte bietet demnach nicht nur eine gewisse Sicherheit für das grundsätzliche Einhalten der DSGVO, sondern hat seine Pflichten gem. Art. 39 DSGVO umzusetzen. Zwar ist eine Haftung des Datenschutzbeauftragten bislang noch umstritten, dennoch hat er alle Defizite des Unternehmens aufzudecken und den Verantwortlichen darüber zu informieren. 

Die Verantwortung der ordnungsgemäßen Umsetzung des Datenschutzes im Unternehmen trägt der Geschäftsführer oder der Vorstand des Unternehmens. Der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist er jedoch aufgrund dessen nicht. Der Verantwortliche im Sinne der DSGVO bleibt das Unternehmen bzw. die juristische Person. Folglich haftet er nicht direkt persönlich für die Bußgelder des Unternehmens. 

Haftung der Geschäftsführer und dem Vorstand

In Betracht kommt jedoch eine Haftung im Innenverhältnis. Haftbar wäre der Geschäftsführer oder der Vorstand, wenn eine Pflichtverletzung im Bereich des Datenschutzes vorliegen würde. Die Pflicht ergibt sich hierbei aus der Sorgfaltspflicht der Unternehmensleitung. Diese gilt selbstverständlich auch gegenüber unionsrechtlicher Vorgaben wie die Einhaltung der DSGVO. Die Geschäftsführung muss sich also ausreichend über die geltenden Vorgaben informieren und diese umsetzen, denn auf eine reine Unwissenheit kann sich im Falle eines Verstoßes nicht berufen werden. Verletzt die Geschäftsführung nun die Sorgfaltspflicht kann der Sorgfaltsmaßstab des § 43 GmbHG für einen ordentlichen Geschäftsmann bzw. § 93 Abs. 2 AktG greifen. 

Arbeitnehmer

Bußgelder richten sich wie oben erklärt zunächst gegen den Verantwortlichen, also den Arbeitgeber. Allerdings besteht für den Arbeitgeber die Möglichkeit den Arbeitnehmer im Innenverhältnis haftbar zu machen. Dies ergibt sich grundsätzlich aus der Arbeitnehmerhaftung des Schuldverhältnisses zwischen Arbeitgeber und Arbeitnehmer. Aus dem Arbeitsverhältnis gem. § 611a Bürgerliches Gesetzbuch (BGB) ergeben sich sodann für beide Seiten Rechte und Pflichten. Hierzu zählt auch die sog. Sorgfaltspflicht, die darauf abzielt Rücksicht auf die Rechte, Rechtsgüter und Interessen der anderen Vertragspartei zu nehmen vgl. § 241 II BGB. Somit hat der Arbeitnehmer auch die Vorgaben der DSGVO im Arbeitsverhältnis einzuhalten. Tut er dies nicht, kann der Arbeitgeber im Innenverhältnis über die Arbeitnehmerhaftung Ersatz des Schadens verlangen.  

Abteilungsleiter

Die verantwortliche Stelle kann in bestimmten Fällen auch von Abteilungsleitern Schadensersatz fordern. Ausschlaggebend hierfür ist die genaue Position der Abteilungsleiter im Unternehmen und ihre Befugnisse. Insbesondere IT-Leiter und Personalleiter tragen ähnlich wie die Geschäftsführung eine hohe Verantwortung. Hinzu kommt, dass sie einen großen Entscheidungsspielraum über datenschutzrechtlich relevante Themen haben. So entscheiden Personalleiter über sehr sensible personenbezogene Daten, während IT-Leiter beispielsweise für die Datensicherheit und die damit verbundene technische Organisation verantwortlich sein können. Verantwortung tragen bedeutet auch Rechte und Pflichten zu haben. Hier besteht die Pflicht ebenfalls in der Sorgfaltspflicht des Abteilungsleiters. Um die Sorgfaltspflicht nicht zu verletzen, müsste der Abteilungsleiter  Rücksicht auf die Rechtsgüter des Arbeitgebers nehmen. Ein nicht gewissenhafter Umgang mit dem unternehmensinternen Datenschutz kann zur Verletzung der Fürsorgepflicht führen und den Abteilungsleiter im Innenverhältnis haftbar machen. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN