Inwieweit haften Inhaber und Geschäftsführer?

Regelungen zur Haftung im Fall von Datenschutzverletzungen finden sich in Art. 82 Abs. 1 und 2 sowie Art. 83 Abs. 1 und 3 Datenschutz-Grundverordnung (DSGVO).

Grundsatz: Haftung des „Verantwortlichen“

Haftbar ist danach stets der „Verantwortliche“, also die „datenverantwortliche Stelle“. Und diese Haftung kann enorm sein:

• Zum einen weil Art. 82 Abs. 1 DSGVO auch einen Ersatzanspruch für das Erleiden „immaterieller“ Schäden vorsieht. Es geht also nicht nur um materielle und klar bezifferbare Schäden, sondern zusätzlich um das, was man in Deutschland oft etwas pauschal als „Schmerzensgeld“ bezeichnet.
• Zum anderen haben die Aufsichtsbehörden für den Datenschutz die Möglichkeit, gegen den „Verantwortlichen“ nach Art. 83 Abs. 1 und 2 DSGVO Geldbußen zu verhängen. Sie können nach Art. 83 Abs. 5 DSGVO bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes betragen.

Wer ist „Verantwortlicher“?

Damit ist zu fragen, wer als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung anzusehen ist und ob Geschäftsführer, Vorstände oder Unternehmensinhaber darunter fallen können.

Die DSGVO definiert in Art. 4 Nr. 7 DSGVO, wer im Sinne der DSGVO „Verantwortlicher“ ist, nämlich „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; (…)“

„Verantwortlicher“ ist nicht der gesetzliche Vertreter

Damit ist also das Unternehmen als solches gemeint, das die Daten verarbeitet und über die Zwecke und Mittel entscheidet.

Dass nicht die gesetzlichen Vertreter des Unternehmens gemeint sind, wie etwa bei einer GmbH ihr Geschäftsführer oder bei einer Aktiengesellschaft der Vorstand, ergibt sich schon daraus, dass am Ende für Unternehmen immer natürliche Personen handeln und auch handeln müssen, aber eben nur als deren Vertreter, nicht als Unternehmen selbst.

Art. 82 DSGVO sieht also keine Haftung der Unternehmensvertreter selbst vor, sondern „nur“ des Unternehmens.

Haftung des Unternehmensinhabers / bei Personengesellschaften?

Bei einem Einzelunternehmen dagegen fällt das Unternehmen mit dem Inhaber zusammen.

Das hat zur Folge, dass in solchen Fällen die Haftung auf den Inhaber persönlich durchschlägt. Das ist aber keine datenschutzrechtliche Spezialität, sondern bei Einzelunternehmen generell der Fall.

Ähnliches kann für Personengesellschaften gelten, etwa eine OHG (offene Handelsgesellschaft): Da auch diese keine juristische Person ist, sondern ein Zusammenschluss von natürlichen Personen, die quasi das Unternehmen „sind“, ist zumindest eine persönliche Haftung der Gesellschafter denkbar.

Es bleibt hier abzuwarten, wie die Gerichte die Definition von Art. 4 Nr. 7 DSGVO auf die Gesellschafter von Personengesellschaften anwenden und ob sie in ihnen einen „Verantwortlichen“ sehen.

ACHTUNG: Anders stellt sich die Haftungsfrage dar, wenn ein Geschäftsführer oder Vorstand Daten des Unternehmens für eigene Zwecke, also außerhalb des Tätigkeitsbereichs des Unternehmens, verarbeitet.

In diesem Fall hat das Unternehmen keinen Einfluss auf sein Handeln. Entsprechendes gilt, wenn sich dem Handelnden ein besonders gravierender Verstoß zum Vorwurf machen lässt.

In diesem Fall wäre eine direkte Haftung zumindest denkbar. Denn dann schwingt sich der Geschäftsführer quasi zum eigenen datenschutzrechtlichen „Verantwortlichen“ auf und kann als solcher haftbar sein.

Zwischenergebnis: In der Regel keine „Außenhaftung“

Grundsätzlich ist nach der DSGVO das Unternehmen als solches als „Verantwortlicher“ anzusehen, nicht seine gesetzlichen Vertreter.

Eine persönliche Haftung des Vorstands oder Geschäftsführers kommt damit nicht in Betracht, es sei denn, sie verarbeiten Unternehmensdaten rechtswidrig zu eigenen Zwecken.

Anders sieht dies dagegen für den Inhaber eines Einzelunternehmens aus, möglicherweise auch für die Gesellschafter einer Personengesellschaft. Denn sie können durchaus selbst „Verantwortliche“ im Sinne der DSGVO sein.

Wie sieht es nach deutschem Recht aus?

Das deutsche Recht enthält im neuen Bundesdatenschutzgesetz (BDSG) zwei für die Thematik relevante Normen: einmal eine Strafnorm (§ 42 BDSG), das andere Mal eine Bußgeldnorm (§ 43 BDSG).

Daneben gilt noch das deutsche Ordnungswidrigkeitengesetz (OWiG).

Sonderfall: Strafbarkeit

Über Art. 84 Abs. 1 DSGVO findet § 42 BDSG Anwendung. Diese Norm bezieht sich nicht auf „Verantwortliche“, sondern auf Täter, also – wie jede Strafnorm – auf natürliche Personen.

Folglich können sich Unternehmensinhaber, Vorstände und Geschäftsführer nach § 42 Abs. 1 und 2 BDSG strafbar machen.

Eine Strafbarkeit dürfte in der Praxis aber selten sein. Denn sie ist an enge Voraussetzungen geknüpft:

• wissentliche und unberechtigte Übermittlung oder Zugänglichmachung
• von nicht allgemein zugänglichen personenbezogenen Daten
• gegenüber einer großen Personenzahl
• und gewerbsmäßiges Handeln.

Entsprechendes gilt für die Strafbarkeit nach § 42 Abs. 2 BDSG.

Danach macht sich strafbar, wer personenbezogene Daten, die nicht allgemein zugänglich sind, unberechtigt verarbeitet oder sich durch unrichtige Angaben erschleicht und dabei gegen Entgelt oder zumindest in Bereicherungs-/Schädigungsabsicht handelt.

Sind Geldbußen möglich?

§ 43 BDSG enthält keinen Straftatbestand, sondern „nur“ einen Bußgeldtatbestand. Es handelt sich also um eine Ordnungswidrigkeit.

Folge ist keine Strafe, sondern eine „Geldbuße“, die verhängt wird.

Diese Norm basiert nicht auf der DSGVO, sondern setzt Art. 9 der Verbraucherkreditrichtlinie 2008/48 um.

Zudem gilt in Deutschland für Ordnungswidrigkeiten ergänzend das OWiG. In diesem Zusammenhang besteht über die §§ 30, 130 OWiG die Möglichkeit, Geldbußen sowohl gegen die juristische Person als auch gegen ihre gesetzlichen Vertreter zu verhängen.

Das Bußgeldverfahren knüpft zunächst an die Verantwortung des gesetzlichen Vertreters an. Über § 30 OWiG wird dem Unternehmen jedoch sein Handeln zugerechnet.

Das OWiG stellt das Unternehmen also so, als hätte es selbst den Datenverstoß begangen. Das Bußgeld wird dann gegen das Unternehmen und nicht gegen den Vertreter verhängt.

Eine Sonderregelung enthält § 9 OWiG. Danach ist es denkbar, den Vertreter, also etwa den Geschäftsführer, doch in die Verantwortung zu nehmen.

Zwar ist er nicht „Verantwortlicher“ oder „Auftragsverarbeiter“ im Sinne der DSGVO. § 9 Abs. 1 OWiG ermöglicht aber eine persönliche Haftung im Wege der Zurechnung.

Adressaten von § 9 Abs. 1 Nr. 1 OWiG sind jedoch nur diejenigen vertretungsberechtigten Organe, denen nach dem Gesetz die Geschäftsführung für die juristische Person nach außen wie nach innen obliegt.

Das sind bei juristischen Personen des Privatrechts:

• der Vorstand eines rechtsfähigen Vereins (§ 26 Bürgerliches Gesetzbuch – BGB)
• der Vorstand einer Aktiengesellschaft (§ 76 Aktiengesetz – AktG)
• der Geschäftsführer einer GmbH (§ 35 GmbH-Gesetz – GmbHG)

Das sogenannte Organisationsverschulden

Sofern sich dem Inhaber eines Unternehmens vorwerfen lässt, seine Aufsichtspflicht verletzt zu haben, kann z.B. eine Aufsichtsbehörde ihn über § 130 OWiG mit einer Geldbuße belegen.

Im Bereich des Datenschutzes muss er dafür Sorge tragen, dass das Unternehmen so organsiert und strukturiert ist, dass es nicht zu Datenschutzverletzungen kommt.

Es ist davon auszugehen, dass insbesondere § 130 OWiG in der Praxis besondere Bedeutung haben wird.

Denn Datenschutzverletzungen in Unternehmen begeht in aller Regel nicht die Führungsebene, sondern ein Mitarbeiter.

Da sein Handeln als Bezugstat im Sinne von § 30 OWiG nicht ausreicht, ermöglicht § 130 OWiG einen „Durchgriff“ auf den Unternehmensinhaber.

Höheres Haftungsrisiko

Das ist zwar nicht neu, sondern bereits seit vielen Jahren im deutschen Recht verankert. Das Haftungsrisiko für die Geschäftsinhaber ist jedoch höher geworden.

Denn die DSGVO macht deutlich mehr – v.a. formale – Vorgaben für die Datenschutzorganisation im Unternehmen.

Sie muss also wesentlich stärker überwacht und kontrolliert werden.

Gibt es auch eine „Innenhaftung“?

Neben der Frage, ob die gesetzlichen Vertreter eines Unternehmens nach „außen“ gegenüber Betroffenen und Behörden haften, stellt sich die Frage, ob das Unternehmen Regress bei der Geschäftsführung nehmen kann, der Geschäftsführer also nach „innen“ haftet.

Derartige Regressregelungen finden sich u.a. in § 43 Abs. 2 GmbHG und § 93 Abs. 2 AktG.

Zu gewährleisten und zu überwachen, dass die Organisation die datenschutzrechtlichen Bestimmungen einhält, zählt nach herrschender Meinung zu den zentralen Überwachungsaufgaben der Führungsebene.

Die Geschäftsführung kann sich nicht darauf berufen, nicht über das Fachwissen, das im Datenschutzrecht nötig ist, zu verfügen. Denn das liefe den Sorgfaltspflichten eines ordentlichen Geschäftsmanns zuwider.

Falls persönlich kein solches Fachwissen vorhanden ist, besteht die Pflicht, anderweitig dafür zu sorgen. Sei es durch die Rechtsabteilung, den DSB oder durch externe Unterstützung in Form einer Anwaltskanzlei.

Verletzt ein Geschäftsführer hier also seine Sorgfaltspflichten, so ist es durchaus möglich, dass das Unternehmen ihn zur Verantwortung zieht.