DE | EN | RU

info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Persönliche Haftung bei DSGVO-Verstößen – Das sollten Geschäftsführer wissen

Haftet der Geschäftsführer bei DSGVO-Verstoß?

Die anwaltliche Praxis zeigt, dass auch fast fünf Jahre nach Inkrafttreten der DSGVO noch immer nicht bei allen Unternehmen die Ernsthaftigkeit und Wichtigkeit der Datenschutz-Compliance angekommen ist. Dass der Datenschutz im Unternehmen nicht zu unterschätzen ist, zeigt zum einen, dass bei einem DSGVO-Verstoß ein Bußgeld von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres gegen das jeweilige Unternehmen verhängt werden kann. Zum anderen droht der Geschäftsleitung eine persönliche Inanspruchnahme durch das Unternehmen, wenn dieses durch die Verhängung eines Bußgeldes einen wirtschaftlichen Schaden erleidet.

I. Wer ist im Unternehmen für den Datenschutz verantwortlich?

Nach der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, die verantwortliche Stelle. Auch wenn die Verordnung die übergeordneten Stellen (z.B. das Unternehmen) als Verantwortliche benennt, erfolgt die tatsächliche Verarbeitung personenbezogener Daten immer durch natürliche Personen. Daher stellt sich die Frage, wem die Datenverarbeitung durch die handelnde natürliche Person zuzurechnen ist. In der Regel erfolgt ein Rückgriff auf die Rechtsträger der übergeordneten Stelle, zum Beispiel die Geschäftsführung einer GmbH oder der Vorstand einer AG. Dies ändert jedoch nichts daran, dass das Unternehmen Verantwortlicher im Sinne der DSGVO bleibt.

II. Ist eine persönliche Haftung der Geschäftsführung möglich?

Als verantwortliche Stelle ist das Unternehmen Adressat des Bußgeldes i.S.v. Art. 83 DSGVO und sind dies nicht die im Unternehmen tätigen Personen. Allerdings haben Letztere unter Umständen eine zivilrechtliche Haftung zu befürchten, wenn das Unternehmen sie wegen des verschuldeten DSGVO-Verstoßes, der das Bußgeldverfahren verursacht hat, in Anspruch nimmt. Stellt die Geschäftsführung beispielsweise entgegen den Vorgaben der DSGVO eine rechtskonforme Verarbeitung personenbezogener Daten nicht sicher oder etabliert und pflegt sie kein Datenschutzkonzept im Unternehmen, so begeht sie hierdurch eine Pflichtverletzung. Führt diese Pflichtverletzung zu einem Bußgeld, kann das betroffene Unternehmen seine Geschäftsführung wegen des hierdurch entstehenden Schadens grundsätzlich persönlich in Anspruch nehmen. Folglich ist eine persönliche Haftung der Geschäftsleitung wegen DSGVO-Verstöße möglich.

III. Ist mit hohen Haftungssummen zu rechnen?

Im europäischen Vergleich verhängen die deutschen Aufsichtsbehörden niedrigere Bußgelder als andere europäische Aufsichtsbehörden. Dies hängt aber auch damit zusammen, dass die deutschen Aufsichtsbehörden mit einer größeren Masse an kleineren Fällen beschäftigt sind. Daraus darf nicht der Trugschluss entstehen, dass Unternehmen bei DSGVO-Verstößen mit der Zahlung kleinerer Geldbeträge davonkommen. Denn DSGVO-Bußgelder sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein, sodass mit hohen Bußgeldern zu rechnen ist, die Sanktionswirkung entfalten sollen. Auch das neue Bußgeld-Modell der Aufsichtsbehörden kann sich erhöhend auf die Berechnung der Bußgelder auswirken. Daher ist mit eher hohen Schadensersatzforderungen des Unternehmens gegen die Geschäftsführung zu rechnen.

IV. Was ruft die Aufsichtsbehörde auf den Plan?

Die Aufsichtsbehörde wird auf DSGVO-Verstöße einerseits dadurch aufmerksam, dass eine betroffene Person von ihrem Recht auf Beschwerde Gebrauch macht oder ein Unternehmen eine Datenschutzverletzung meldet. Dies kann die Behörde zum Anlass nehmen, die grundsätzliche Umsetzung der datenschutzrechtlichen Vorgaben in dem betreffenden Unternehmen zu untersuchen und so Versäumnisse aufzudecken. Andererseits kann die Aufsichtsbehörde bei einer Stichprobe auf die fehlende oder unzureichende Umsetzung der DSGVO im Unternehmen aufmerksam werden.

V. Wie vermeidet die Geschäftsleitung DSGVO-Verstöße und damit eine persönliche Haftung?

Die Antwort auf die Frage klingt einfach: rechtskonforme Umsetzung der DSGVO. Da dies häufig einfacher gesagt als getan ist, unterstützt Sie das Datenschutz-Team von WINHELLER gerne bei der Erarbeitung eines rechtskonformen Datenschutzkonzepts und der Umsetzung aller weiteren datenschutzrechtlichen Vorgaben. Auch wenn Ihr Unternehmen bereits Adressat eines Bußgeldes geworden ist, können Ihnen unsere erfahrenen Rechtsanwältinnen im Datenschutzrecht Olga Stepanova und Patricia Jechel bei der Verteidigung im aufsichtsrechtlichen Verfahren behilflich sein.

Weiterlesen:
Datenschutzschulung für Mitarbeiter
Darum lohnt es sich – 5 Vorteile für Datenschutz in Unternehmen

Michael Rudolf Kissler

Rechtsanwalt Michael Rudolf Kissler berät als Of Counsel in den Bereichen Bank- und Kapitalmarktrecht, Compliance, IT-Recht und Datenschutz. Zu seinen Mandanten gehören insbesondere FinTechs, Start-ups, mittelständische Unternehmen und Unternehmer.

>> Zum Profil

Ihre Karriere bei WINHELLER

Nächster Karriereschritt geplant? Unsere mittelständische Kanzlei bietet ein vielfältiges Aufgaben- und Beratungsspektrum an vier deutschen Standorten. Wir freuen uns auf engagierte neue Kollegen!

>> Zu unseren aktuellen Stellenangeboten

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *