Datenschutzverstoß

Datenschutzverstoß – Wer haftet?

Einen Datenschutzverstoß können sowohl Mitarbeiter als auch die Geschäftsführung und Datenschutzbeauftragte verschulden. Aber wer haftet in welchem Fall?
Ratgeber

Datenschutzverstoß – Wer haftet?

Seit 2016 sind Unternehmen mit Sitz in der EU dazu verpflichtet, die Regelungen der Datenschutzgrundverordnung (DSGVO) einzuhalten. Doch das ist leichter gesagt als getan:

Als Laie im Datenschutzrecht ist es schwer, den Überblick über die gesetzlichen Vorgaben zu behalten und deren Umsetzung im Unternehmen neben der eigentlichen Tätigkeit zu überwachen.

Zudem schließt auch die DSGVO rechtliche Grauzonen nicht aus. Schnell kommt es da ungewollt zu einem Datenschutzverstoß durch Mitarbeiter.

Datenschutz Verstoß - Abmahnung

Klar ist: Ein Datenschutzverstoß hat Konsequenzen. Aber wie ist im Falle eines Datenschutzverstoßes vorzugehen und wer haftet bei Datenschutzverstößen?

Datenschutzverstoß: Welche Strafe ist möglich?

Wie ein Datenschutzverstoß geahndet wird, hängt von den jeweiligen Umständen ab. Mögliche Rechtsfolgen sind:

Abmahnungen

Bußgeld in einer Höhe von bis zu 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes des Unternehmens (Art. 83 DSGVO)

Anspruch der Betroffenen auf materiellen und immateriellen Schadensersatz (Art. 82 DSGVO)

DSGVO: Wer haftet bei einem Datenschutzverstoß?

Zur Verantwortung gezogen wird zunächst der Verantwortliche der Datenverarbeitung, also nach der DSGVO die juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Die Rechtsfolge wird also in den meisten Fällen allgemein an das betroffene Unternehmen in seiner Gesamtheit gerichtet. Wer unternehmensintern konkret für den Datenschutzverstoß verantwortlich ist, ist für die Justiz zunächst irrelevant. Aber wer übernimmt den Schadensersatz oder das Bußgeld? Vorab: Die DSGVO sieht auch eine Haftung des Geschäftsführers vor.

Datenschutz - Strafe

Haftung der Geschäftsführung

Ganz gleich, wer den Datenschutzverstoß zu verschulden hat: Im Sinne des Sorgfaltsmaßstabs der Generalklausel des § 43 GmbHG gehört es zu den zentralen Aufgaben der Geschäftsführung, die Einhaltung datenschutzrechtlicher Regelungen zu überwachen.

Die Geschäftsführung oder der Vorstand können also immer zur Rechenschaft gezogen werden, auch wenn sie nicht direkt in die Einhaltung des Datenschutzrechts im Unternehmen involviert sind. Bei einem Datenschutzverstoß im Unternehmen kann die Geschäftsführung auch mit dem Privatvermögen haften.

Haftung der Arbeitnehmer

Aber auch Arbeitnehmer haben im Rahmen ihres Arbeitsverhältnisses ihre Sorgfaltspflicht zu erfüllen. Wird die Sorgfaltspflicht verletzt, haftet der Arbeitnehmer gegenüber dem Arbeitgeber im Innenverhältnis.

Arbeitnehmer haften bei einem Datenschutzverstoß nur, wenn dieser vorsätzlich herbeigeführt wurde. Meist übernimmt der Arbeitgeber also teilweise oder sogar vollständig die Haftung. Bei einer leichten Fahrlässigkeitvonseiten des Arbeitnehmers haftet dieser nicht, bei einer mittleren Fahrlässigkeit haftet er anteilig und bei einer groben Fahrlässigkeit haftet der Arbeitnehmer voll, jedoch nur in einem Rahmen, in dem dessen wirtschaftliche Existenz nicht bedroht ist.

Ob es sich bei einem Datenschutzverstoß um Vorsatz, grobe, mittlere oder leichte Fahrlässigkeit handelt, muss im Einzelfall bestimmt werden. Der Arbeitgeber hat jedoch einen Regressanspruchgegenüber dem Arbeitnehmer, der für den Datenschutzverstoß verantwortlich ist.

Wie haftet ein externer Datenschutzbeauftragter?

Für einen internen Datenschutzbeauftragten gelten die gleichen Regelungen wie für Arbeitnehmer.

Eine Verletzung der Sorgfaltspflicht durch einen internen Datenschutzbeauftragten trifft daher in fast jedem Fall das Unternehmen selbst, außer es liegt eine vorsätzliche Handlung oder grobe Fahrlässigkeit vor.

Im Gegensatz dazu kann sich ein externer Datenschutzbeauftragter im Falle einer Pflichtverletzung schadensersatzpflichtig machen.

Frank Müns

Fehlerquellen vonseiten des externen Datenschutzbeauftragten können die Weitergabe falscher oder unvollständiger Informationen zum Datenschutz oder die unterlassene Weitergabe von Informationen zum Thema Datenschutz sein, zum Beispiel was die internen Prozesse und Vorgehensweisen des beauftragenden Unternehmens betrifft. Dann haftet der externe Datenschutzbeauftragte für seine Fehler und die daraus resultierenden Schäden.

Begeht der externe DSB jedoch keinen Fehler und setzt das Unternehmen dessen umfassende und korrekte Vorgaben und Empfehlungen nicht um, liegt die Schuld beim Auftraggeber, der rechtlich entsprechend belangt wird.

Immerce Consulting ist Ihr kompetenter externer Datenschutzbeauftragter

Es ist allein aus juristischen Gründen für Unternehmen attraktiv, die Dienste eines externen Datenschutzbeauftragten in Anspruch zu nehmen. So wird das Risiko eines Datenschutzverstoßes durch einen nicht ausreichend informierten oder überforderten internen Datenschutzbeauftragten oder anderen Mitarbeiter, für den das Unternehmen haften muss, minimiert.

Darüber hinaus legen Sie die Umsetzung datenschutzrechtlicher Regelungen in kompetente Hände, während Sie und Ihre Mitarbeiter sich auf das Kerngeschäft konzentrieren können. Wir beraten Sie umfassend und helfen Ihnen dabei, Ihre bestehenden Arbeitsabläufe hinsichtlich einer Einhaltung der DSGVO zu optimieren oder neue Prozesse zu implementieren.

Um einem Datenschutzverstoß zusätzlich vorzubeugen, lohnt es sich, Ihre Angestellten hinsichtlich der Themen Datenschutz und Datensicherheit zu sensibilisieren. Als externer Datenschutzbeauftragter bieten wir Ihnen speziell auf Ihre Bedürfnisse zugeschnittene Mitarbeiterschulungen an.

Vorheriger Beitrag
Windows 11 und Datenschutz
Nächster Beitrag
Das Trans-Atlantic Data Privacy Framework
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr