Datenschutzverstoß – Wer haftet?
Datenschutzverstoß – Wer haftet?
Seit 2016 sind Unternehmen mit Sitz in der EU dazu verpflichtet, die Regelungen der Datenschutzgrundverordnung (DSGVO) einzuhalten. Doch das ist leichter gesagt als getan:
Als Laie im Datenschutzrecht ist es schwer, den Überblick über die gesetzlichen Vorgaben zu behalten und deren Umsetzung im Unternehmen neben der eigentlichen Tätigkeit zu überwachen.
Zudem schließt auch die DSGVO rechtliche Grauzonen nicht aus. Schnell kommt es da ungewollt zu einem Datenschutzverstoß durch Mitarbeiter.
Klar ist: Ein Datenschutzverstoß hat Konsequenzen. Aber wie ist im Falle eines Datenschutzverstoßes vorzugehen und wer haftet bei Datenschutzverstößen?
Datenschutzverstoß: Welche Strafe ist möglich?
Wie ein Datenschutzverstoß geahndet wird, hängt von den jeweiligen Umständen ab. Mögliche Rechtsfolgen sind:
Abmahnungen
Bußgeld in einer Höhe von bis zu 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes des Unternehmens (Art. 83 DSGVO)
Anspruch der Betroffenen auf materiellen und immateriellen Schadensersatz (Art. 82 DSGVO)
DSGVO: Wer haftet bei einem Datenschutzverstoß?
Zur Verantwortung gezogen wird zunächst der Verantwortliche der Datenverarbeitung, also nach der DSGVO die juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
Die Rechtsfolge wird also in den meisten Fällen allgemein an das betroffene Unternehmen in seiner Gesamtheit gerichtet. Wer unternehmensintern konkret für den Datenschutzverstoß verantwortlich ist, ist für die Justiz zunächst irrelevant. Aber wer übernimmt den Schadensersatz oder das Bußgeld? Vorab: Die DSGVO sieht auch eine Haftung des Geschäftsführers vor.
Haftung der Geschäftsführung
Ganz gleich, wer den Datenschutzverstoß zu verschulden hat: Im Sinne des Sorgfaltsmaßstabs der Generalklausel des § 43 GmbHG gehört es zu den zentralen Aufgaben der Geschäftsführung, die Einhaltung datenschutzrechtlicher Regelungen zu überwachen.
Die Geschäftsführung oder der Vorstand können also immer zur Rechenschaft gezogen werden, auch wenn sie nicht direkt in die Einhaltung des Datenschutzrechts im Unternehmen involviert sind. Bei einem Datenschutzverstoß im Unternehmen kann die Geschäftsführung auch mit dem Privatvermögen haften.
Haftung der Arbeitnehmer
Aber auch Arbeitnehmer haben im Rahmen ihres Arbeitsverhältnisses ihre Sorgfaltspflicht zu erfüllen. Wird die Sorgfaltspflicht verletzt, haftet der Arbeitnehmer gegenüber dem Arbeitgeber im Innenverhältnis.
Arbeitnehmer haften bei einem Datenschutzverstoß nur, wenn dieser vorsätzlich herbeigeführt wurde. Meist übernimmt der Arbeitgeber also teilweise oder sogar vollständig die Haftung. Bei einer leichten Fahrlässigkeitvonseiten des Arbeitnehmers haftet dieser nicht, bei einer mittleren Fahrlässigkeit haftet er anteilig und bei einer groben Fahrlässigkeit haftet der Arbeitnehmer voll, jedoch nur in einem Rahmen, in dem dessen wirtschaftliche Existenz nicht bedroht ist.
Ob es sich bei einem Datenschutzverstoß um Vorsatz, grobe, mittlere oder leichte Fahrlässigkeit handelt, muss im Einzelfall bestimmt werden. Der Arbeitgeber hat jedoch einen Regressanspruchgegenüber dem Arbeitnehmer, der für den Datenschutzverstoß verantwortlich ist.
Wie haftet ein externer Datenschutzbeauftragter?
Für einen internen Datenschutzbeauftragten gelten die gleichen Regelungen wie für Arbeitnehmer.
Eine Verletzung der Sorgfaltspflicht durch einen internen Datenschutzbeauftragten trifft daher in fast jedem Fall das Unternehmen selbst, außer es liegt eine vorsätzliche Handlung oder grobe Fahrlässigkeit vor.
Im Gegensatz dazu kann sich ein externer Datenschutzbeauftragter im Falle einer Pflichtverletzung schadensersatzpflichtig machen.
Fehlerquellen vonseiten des externen Datenschutzbeauftragten können die Weitergabe falscher oder unvollständiger Informationen zum Datenschutz oder die unterlassene Weitergabe von Informationen zum Thema Datenschutz sein, zum Beispiel was die internen Prozesse und Vorgehensweisen des beauftragenden Unternehmens betrifft. Dann haftet der externe Datenschutzbeauftragte für seine Fehler und die daraus resultierenden Schäden.
Begeht der externe DSB jedoch keinen Fehler und setzt das Unternehmen dessen umfassende und korrekte Vorgaben und Empfehlungen nicht um, liegt die Schuld beim Auftraggeber, der rechtlich entsprechend belangt wird.
Immerce Consulting ist Ihr kompetenter externer Datenschutzbeauftragter
Es ist allein aus juristischen Gründen für Unternehmen attraktiv, die Dienste eines externen Datenschutzbeauftragten in Anspruch zu nehmen. So wird das Risiko eines Datenschutzverstoßes durch einen nicht ausreichend informierten oder überforderten internen Datenschutzbeauftragten oder anderen Mitarbeiter, für den das Unternehmen haften muss, minimiert.
Darüber hinaus legen Sie die Umsetzung datenschutzrechtlicher Regelungen in kompetente Hände, während Sie und Ihre Mitarbeiter sich auf das Kerngeschäft konzentrieren können. Wir beraten Sie umfassend und helfen Ihnen dabei, Ihre bestehenden Arbeitsabläufe hinsichtlich einer Einhaltung der DSGVO zu optimieren oder neue Prozesse zu implementieren.
Um einem Datenschutzverstoß zusätzlich vorzubeugen, lohnt es sich, Ihre Angestellten hinsichtlich der Themen Datenschutz und Datensicherheit zu sensibilisieren. Als externer Datenschutzbeauftragter bieten wir Ihnen speziell auf Ihre Bedürfnisse zugeschnittene Mitarbeiterschulungen an.
