Datenschutz Verstehen – Haftung bei Datenschutzverstößen
Kurze Einleitung
Das Jahr 2020 wurde mit einer kumulierten Bußgeldsumme von rund 160 Millionen Euro abgeschlossen. Dies stellt einen Zuwachs der Bußgelder von ca. 39 Prozent zu den Vorjahren dar. Abgesehen von den riesigen Summen der Bußgelder von beispielsweise über 12 Millionen Euro für Vodafone Italien oder über 35 Millionen Euro für die Modekette H&M, werden regelmäßig auch kleinere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) von den Aufsichtsbehörden geahndet. Somit geraten nicht nur internationale Unternehmen ins Visier der Aufsichtsbehörden, sondern auch immer mehr kleine und mittelständische Unternehmen, die personenbezogene Daten verarbeiten, auch in Deutschland. Personenbezogene Daten und ihre Verarbeitungen können eine erhebliche und direkte Wirkung auf das Leben der Menschen haben, denn es handelt sich hierbei zumeist um persönliche und sensible Informationen. Die DSGVO schützt, als Ausfluss des allgemeinen Persönlichkeitsrechts, dieses wichtige Gut und sanktioniert jegliche Verstöße.
Was also tun, wenn es zu spät ist? Der folgende Beitrag soll das Thema behandeln, welche Folgen ein Bußgeld für Unternehmen haben kann und wie Unternehmen reagieren sollten.
Verdacht eines Datenschutzverstoßes
Bußgelder mit einer möglichen Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes bei Unternehmen fallen nicht einfach vom Himmel. Ihnen liegt zumeist ein konkreter Verdacht eines Datenschutzverstoßes zugrunde. Bevor also ein Bußgeld ausgesprochen wird, hat im Vorfeld eine rege Kommunikation mit der Aufsichtsbehörde stattgefunden, denn auch diese ist in der Pflicht, den vorliegenden Verdacht zu erkunden und festzustellen. Des Weiteren besteht die Möglichkeit, dass das Unternehmen selbst Datenpannen oder Verstöße feststellt und diese der zuständigen Aufsichtsbehörde zu melden hat, vgl. Art. 33 und 34 DSGVO. Dies stellt eine anlassbezogene Kontrolle der Aufsichtsbehörde dar. Es werden jedoch auch anlasslose Kontrollen anhand des Zufallsprinzips von Aufsichtsbehörden durchgeführt. Ob der Verdacht eines Datenschutzverstoßes begründet ist, wird daraufhin von der zuständigen Aufsichtsbehörde geprüft. So kam es zuletzt bei der Datenaffäre des VfB Stuttgart zu einer Prüfung durch Stefan Brink, dem Landesbeauftragten für Datenschutz in Baden-Württemberg. Aufgrund erheblicher Informationen, die für einen Datenschutzverstoß sprachen, wurde das Prüfverfahren der Aufsichtsbehörde in ein Bußgeldverfahren umgestellt. Dies hatte ein Bußgeld in Höhe von 300.000€ für den VfB Stuttgart zur Folge.
Für den Erlass eines höchstmöglichen Bußgeldes müssten zunächst Verstöße gegen die in Art. 83 Abs. 5 DSGVO genannten Bestimmungen vorliegen:
- Grundsätze für die Verarbeitung gem. Art. 5, 6, 7 und 9 DSGVO
- Rechte der betroffenen Personen gem. Art. 12 bis 22 DSGVO
- Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation gem. Art. 44 bis 49 DSGVO
- Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden
- Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Art. 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DSGVO.
Verhalten des Unternehmens bei einer Prüfung
Besonders wichtig für das Prüfverfahren durch die Aufsichtsbehörde ist das kooperative Verhalten. Es sollte demnach stets versucht werden, sämtliche Dokumentationen, die für die Prüfung erheblich sind, zur Verfügung zu stellen und zwar ohne schuldhaftes Zögern, sondern mit Bereitschaft, Initiative für Datenschutz zu zeigen. Es sollte in keinem Fall der Eindruck entstehen, das Unternehmen interessiere sich nicht für den Datenschutz oder die Belange der Aufsichtsbehörde. Eine wohlwollende und kooperative Zusammenarbeit kann sich zudem mildernd auf das zu erteilende Bußgeld auswirken und somit den Schaden tatsächlich verringern, vgl. Art. 83 Abs. 2 lit. f) DSGVO. Da der versäumte Datenschutz nicht rückgängig gemacht werden kann, ist dies die größte Stellschraube, um die Höhe des Bußgeldes zu beeinflussen. Insbesondere für die Prüfung der Prozesse sollte die Aufsichtsbehörde über die Regelprozesse informiert werden. Dies beinhaltet die Schulungen der Mitarbeiter sowie Verweise auf die Bereitschaft, Prozesse in datenschutzrechtlicher Hinsicht optimieren zu wollen. Des Weiteren prüft die Aufsichtsbehörde das Verschulden des Verantwortlichen. Gem. Art. 82 Abs. 3 DSGVO haftet der Verantwortliche oder Auftragnehmer für Vorsatz und Fahrlässigkeit, wobei das Verschulden vermutet wird. Der Verantwortliche muss demnach aktiv nachweisen, dass ihn für die Verletzung der Vorschrift kein Verschulden trifft.
Erhalt eines Datenschutz-Bußgeldes
Jede Aufsichtsbehörde hat sicherzustellen, dass die verhängten Bußgelder stets wirksam, verhältnismäßig und abschreckend sind gem. Art. 83 Abs. 1 DSGVO. Eine besondere Relevanz für Unternehmen ergibt sich aus der notwendigen abschreckenden Wirkung des Bußgeldes. Um dies sicherzustellen, werden für jeden Einzelfall die tatsächlichen wirtschaftlichen Fähigkeiten des Unternehmens herangezogen. Für wirtschaftlich starke Unternehmen können also unproblematisch Bußgelder von über 20 Millionen Euro erlassen werden, siehe bspw. Bußgeld der französischen Datenschutzbehörde CNIL gegen Google LLC. i.H.v. 100 Millionen Euro im Dezember 2020. Dennoch können Aufsichtsbehörden keine endlos hohen Bußgelder erlassen, denn sie müssen vielmehr den Verhältnismäßigkeitsgrundsatz gem. Art. 49 Grundrechtecharta beachten. Sollte die Verhältnismäßigkeit des Bußgeldes angezweifelt werden, ist es ratsam, Widerspruch gegen das Bußgeld einzulegen. So widersprach die 1&1 Telecom GmbH einem Bußgeld in Höhe von 9,55 Millionen Euro – mit Erfolg. Das Landgericht Bonn hatte im Urteil vom 11. November 2020 das Bußgeld auf 900.000 Euro herabgesetzt. Ebenso schaffte es British Airways, das Rekordbußgeld von 204 Millionen Euro abzuwenden und erhielt aufgrund von Umsatzeinbußen lediglich ein Bußgeld i.H.v. 22 Millionen Euro.
Was ist Datenschutz? Worauf sollten Beschäftigte bei der Verarbeitung personenbezogener Daten achten? Eine umfassende Schulung zum Datenschutz erhöht die Sicherheit in Ihrem Unternehmen durch verbesserte Sensibilität Ihrer Beschäftigten. Durch unseren Partner Mitarbeiterschule können Sie ganz einfach alle Beschäftigten schulen.
In über 12 Kapitel erhalten die Beschäftigten einen pragmatischen Überblick über den Datenschutz.
100% rechtssicher und zertifiziert, sodass Ihre Beschäftigten wirksam zur DSGVO geschult werden können.
Haftung bei Datenschutzverstößen
Bußgelder werden an die Verantwortlichen der Datenverarbeitung oder dessen Auftragsverarbeiter adressiert und richten sich demnach an Unternehmen bzw. die Geschäftsführer, Vorstände oder an die juristische Person bei GmbHs und AGs. Die verantwortlichen Unternehmen haben unter der DSGVO daher die Pflicht, den Schutz von personenbezogenen Daten zu gewährleisten, Risiken durch Dritte wie Mitarbeiter oder Cyberkriminalität zu berücksichtigen und Vorkehrungen zu treffen. Dennoch haben auch Geschäftsführer und Vorstände der Unternehmen ein Interesse daran, den tatsächlichen Verursacher des Datenschutzverstoßes in Anspruch zu nehmen.
Besonders für kleine Unternehmen kann es hilfreich sein, die Haftung des Unternehmens nach außen zu verlagern, indem ein externer Datenschutzbeauftragter engagiert wird. Der Datenschutzbeauftragte bietet demnach nicht nur eine gewisse Sicherheit für das grundsätzliche Einhalten der DSGVO, sondern hat seine Pflichten gem. Art. 39 DSGVO umzusetzen. Zwar ist eine Haftung des Datenschutzbeauftragten bislang noch umstritten, dennoch hat er alle Defizite des Unternehmens aufzudecken und den Verantwortlichen darüber zu informieren.
Wenn Unternehmen gegen den Datenschutz verstoßen, drohen nicht nur Bußgelder, sondern auch Schadensersatzansprüche von Personen, bei denen wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Die betroffenen Personen können diese Schadensersatzansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter geltend machen, vgl. Art. 82 Abs. 1 DSGVO.
Bemerkenswert ist in diesem Zusammenhang die gesamtschuldnerische Haftung von Verantwortlichen und Auftragsverarbeitern: Die geschädigten Personen können den Schaden wahlweise entweder beim Verantwortlichen oder Auftragsverarbeiter in vollem Umfang geltend machen. Dabei ist irrelevant, ob der Verantwortliche oder der Auftragsverarbeiter verantwortlich für den Eintritt des Schadens war. Auf diese Weise soll die wirksame Durchsetzung von Schadensersatzansprüchen ermöglicht werden, vgl. Art. 82 Abs. 4 letzter Halbsatz DSGVO.
Der Ausgleich für die tatsächlich Verantwortlichen, bezüglich des Schadenseintritts, erfolgt im Innenverhältnis, z.B. zwischen Verantwortlichem und Auftragsverarbeiter, vgl. Art. 82 Abs. 2, Abs. 3 und Abs. 5 DSGVO.
Zu beachten ist ferner, dass auch eine Haftung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) erfolgen kann, da derzeit noch nicht abschließend geklärt ist, ob Verstöße gegen den Datenschutz und damit gegen die DSGVO abmahnfähig sind. In letzter Zeit mehren sich allerdings nationale Urteile von Gerichten, die eine Abmahnfähigkeit von Verstößen gegen den Datenschutz bejahen, so z.B. für den Fall einer nicht datenschutzrechtlich konformen Datenschutzerklärung einer Website. Mehr zum Thema Abmahnfähigkeit von Datenschutzverstößen erfahren Sie hier.
Haftung der Geschäftsführung im Datenschutz
Geschäftsführer sowie der Vorstand können persönlich haftbar gemacht werden, mehr Informationen zur Geschäftsführerhaftung finden Sie hier.
Haftung der Arbeitnehmer im Datenschutz
Bußgelder richten sich, wie oben erklärt, zunächst gegen den Verantwortlichen, also den Arbeitgeber. Allerdings besteht für den Arbeitgeber die Möglichkeit, den Arbeitnehmer im Innenverhältnis haftbar zu machen. Dies ergibt sich grundsätzlich aus der Arbeitnehmerhaftung des Schuldverhältnisses zwischen Arbeitgeber und Arbeitnehmer. Aus dem Arbeitsverhältnis gem. § 611a Bürgerliches Gesetzbuch (BGB) ergeben sich sodann für beide Seiten Rechte und Pflichten. Hierzu zählt auch die sog. Sorgfaltspflicht, die darauf abzielt, Rücksicht auf die Rechte, Rechtsgüter und Interessen der anderen Vertragspartei zu nehmen, vgl. § 241 II BGB. Somit hat der Arbeitnehmer auch die Vorgaben der DSGVO im Arbeitsverhältnis einzuhalten. Tut er dies nicht, kann der Arbeitgeber im Innenverhältnis über die Arbeitnehmerhaftung Ersatz des Schadens verlangen.
Leitende Angestellte Haftung beim Datenschutz
Die verantwortliche Stelle kann in bestimmten Fällen auch von Abteilungsleitern Schadensersatz fordern. Ausschlaggebend hierfür ist die genaue Position der Abteilungsleiter im Unternehmen und ihre Befugnisse. Insbesondere IT-Leiter und Personalleiter tragen eine hohe Verantwortung. Hinzu kommt, dass sie einen großen Entscheidungsspielraum über datenschutzrechtlich relevante Themen haben. So entscheiden Personalleiter über sehr sensible personenbezogene Daten, während IT-Leiter beispielsweise für die Datensicherheit und die damit verbundene technische Organisation verantwortlich sein können. Verantwortung tragen bedeutet auch Rechte und Pflichten zu haben. Hier besteht die Pflicht ebenfalls in der Sorgfaltspflicht des Abteilungsleiters. Um die Sorgfaltspflicht nicht zu verletzen, müsste der Abteilungsleiter Rücksicht auf die Rechtsgüter des Arbeitgebers nehmen. Ein nicht gewissenhafter Umgang mit dem unternehmensinternen Datenschutz kann zur Verletzung der Fürsorgepflicht führen und den Abteilungsleiter im Innenverhältnis haftbar machen.
FAQ
Grundsätzlich haftet der für den Datenschutz Verantwortliche, also das Unternehmen, das die Daten verarbeitet, oder ein entsprechender Auftragsverarbeiter. Dies kann außerdem auch den Geschäftsführer oder Vorstand treffen. Im Rahmen des innerbetrieblichen Schadensausgleichs aus dem Arbeitsverhältnis kann aber auch ein Arbeitnehmer des Verantwortlichen nachträglich vom Arbeitgeber haftbar gemacht werden. Dies gilt insbesondere für Ressort-/Abteilungsleiter, die in besonderem Maße für die Einhaltung des Datenschutzes verantwortlich sind, wie z.B. Leiter der IT-Abteilung (Datensicherheit) oder der Personalabteilung (sensible Daten).
Bei einem (vermuteten) Datenschutzverstoß ist es wichtig, schnell zu handeln. Eine etwaige Meldepflicht ist sofort mit dem internen oder externen Datenschutzbeauftragten zu klären und dementsprechend einzuhalten. Zudem sollte sich gegenüber der Aufsichtsbehörde stets kooperativ gezeigt werden und alle erforderlichen Informationen schnell und umfassend geliefert werden. Ein vorbildliches Verhalten kann positive Auswirkungen auf die Höhe des Bußgeldes haben.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
