Dieser Beitrag widmet sich der datenschutzrechtlichen Haftung im Unternehmen, d.h. wer haftet wann und wofür. In Frage steht zum einen das Management aber auch die Mitarbeiter als Täter, die der betroffenen Person materiellen oder immateriellen Schaden zufügen, indem Datenschutzbestimmungen inkl. der Maßnahmen aus Artt. 25, 32 DSGVO nicht beachtet wurden.
Der Inhalt im Überblick
Verantwortlichkeit für die Haftung lt. DSGVO
Datenschutzrechtlich verantwortlich nach der DSGVO ist grundsätzlich der Verantwortliche gem. Art. 4 Nr. 7 DSGVO, also das Unternehmen, wie es sich aus dem funktionalen Unternehmensbegriff der DSGVO ergibt. Mit anderen Worten wird dabei auf die wirtschaftliche Einheit aller Abteilungen abgestellt und nicht nur auf den gesellschaftsrechtlichen Unternehmensbegriff. Dies hat zur Folge, dass alle Entscheidungen und Handlungen mit datenschutzrechtlicher Relevanz dem Gesamtunternehmen zugerechnet werden, soweit der Mutterkonzern den bestimmenden Einfluss ausübt, s. EG 150. Dies manifestiert sich auch im Bußgeldverfahren gemäß Art. 83 DSGVO.
Grundsätzlich haftet das Unternehmen als Verantwortlicher
Als Unternehmensteil, der dem funktionalen Unternehmensbegriff der DSGVO, wie er dem Kartellrecht entlehnt ist, wird auch eine Einzelperson betrachtet und zwar unabhängig von deren vertraglicher Zuordnung zum Unternehmen. Dies bedeutet, dass sowohl der Vorstand, Geschäftsführer, Leiharbeitnehmer etc. als Unternehmensteil angesehen wird, wenn diese Person für das Unternehmen tätig ist und die Unternehmensführung auf die Handlungen dieser Einzelperson bestimmenden Einfluss hat. Die Handlungen dieser als Unternehmensteil agierenden Person werden dem Unternehmen als Verantwortlichen zugerechnet.
Zwar kann es sein, dass die Einzelperson eigenen subjektiven Interessen mit deren Handlung nachgeht, darauf kommt es aber nicht an. Entscheidend ist die Zweckbestimmung des Handelns, die durch die Unternehmensvorgabe erfolgt und mit den an die Person zugewiesenen Aufgaben im Unternehmen verknüpft ist. Art. 82 DSGVO begründet eine umfassende Haftung und Schadensersatzpflicht des Verantwortlichen bezogen auf den materiellen und/oder immateriellen Schaden, der durch die nicht datenschutzkonforme Verarbeitung personenbezogener Daten entstanden ist. Die Haftung des Unternehmens tritt nur dann nicht ein, wenn es nachweisen kann, dass keine Verantwortlichkeit des Unternehmens für die datenschutzwidrige Verarbeitung und den damit einhergehenden Schaden gegeben ist. Zu beachten ist dabei, dass das Unternehmen nicht nur gemäß Art. 82 DSGVO schadensersatzpflichtig ist, sondern auch für die u.U. verhängte Geldbuße aus Art. 83 DSGVO einstehen muss.
Wofür haftet das Management?
Grundsätzlich ist die Haftung der Mitarbeiter und des Managements für betrieblich veranlasste Tätigkeiten eingeschränkt, weil deren Tätigkeiten dem Unternehmen zugerechnet werden. Ausgeschlossen ist eine Haftung des Managements und der Mitarbeiter aber nicht! Gerade in puncto Management ist die Haftung und der Zugriff durch das Unternehmen auf die D&O-Versicherung des Managements durchaus interessant, besteht in diesem Fall doch die Möglichkeit, über die Versicherung wenigstens eine ausreichende Schadensdeckung zu erreichen.
Gem. §§93 Abs. 1 S. 1 AktG, 43 Abs. 1 GmbHG hat das Management bei der Geschäftsführung
„die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes/Geschäftsleiters anzuwenden“.
Bei der Aufgabenerfüllung sind von den Unternehmensorganen die gesetzlichen Pflichten zu beachten, wobei es sich hierbei zum einen um persönliche Pflichten des Managers aber auch um Rechtspflichten des Unternehmens handeln kann, die sich aus Gesetzen, Satzungen oder sonstigen internen Regelungen ergeben können.
Dies können Spezialregelungen sein, wie z.B.:
Verstößt das Management gegen derartige spezifische unternehmensbezogenn Vorgaben infolge eines Organisationsverschuldens, dann besteht eine Pflichtverletzung des Managements, die eine Schadensersatzpflicht begründet. Es besteht die allgemeine Pflicht der Unternehmensorgane, eine Organisation zu schaffen und aufrecht zu erhalten, die den Fortbestand des Unternehmens sicherstellt, Gefährdungen rechtzeitig erkennt und gegensteuert, wie sich aus §§ 91 Abs. 2 AktG oder 43 GmbHG ergibt. Das bedeutet für das einzelne Mitglied des Managements die Notwendigkeit zur Vermeidung der eigenen Haftung, eine Organisation zu schaffen, die über dokumentierte Prozesse verfügt, um Gefährdungen zu vermeiden und die regelmäßig dokumentiert, überprüft bzw. angepasst werden. Entscheidend ist hierbei nicht nur eine anlassbezogene Kontrolle, sondern die regelmäßige vorausschauende Überwachung, die auch die Rechtsentwicklung im Blick hat.
Die Gefahr einer Inanspruchnahme des Managements ist aufgrund der gesetzlichen Verpflichtung des Unternehmens gem. §§ 93 Abs. 2 AktG, 43 Abs. 2 GmbHG Schadensersatzansprüche zu realisieren sogar hoch. Während das Unternehmen hierbei nur darlegen muss, dass möglicherweise durch ein pflichtwidriges Agieren des Managements der Schaden eingetreten ist, muss das Management beweisbar darlegen, dass keine Pflichtverletzung bzw. kein Verschulden vorliegt, d.h. der Schaden auch bei einem eingerichteten Compliance-System mit entsprechender Überwachung eingetreten wäre.
Das Management agiert als Kollegialorgan, d.h. es kann zwar einem Vorstand oder Geschäftsführer explizit ein Ressort übertragen, dadurch werden aber die übrigen Managementmitglieder nicht von der Kontrolle und Überwachung dieses Ressorts entbunden. Jedes Managementmitglied muss sich demnach durch explizites Nachfragen, durch Einsehen der Geschäftsprotokolle, der Besprechungsinhalte in den Managementsitzungen ein Bild über die einzelnen Geschäftsbereiche und die damit verbundenen Risiken machen. Es besteht eine Holpflicht in Bezug auf die einschlägigen Informationen. Diese Überwachung und das Nachhalten von Maßnahmen muss für eine Exkulpation unbedingt dokumentiert werden.
Diese regelmäßige Überwachungsfunktion trifft auch den Aufsichtsrat, unterlässt er dies, macht er sich auch haftbar.
Gibt es eine Haftung des Beschäftigten?
Die Haftung der Mitarbeiter ist für betrieblich veranlasste Tätigkeiten beschränkt. Auch sind die Haftungssummen, selbst bei grober Fahrlässigkeit der Beschäftigten, zum einen kaum in der vollen Höhe durchsetzbar und zum anderen wird die Haftung seitens des Bundesarbeitsgerichtes auf ein Jahresgehalt beschränkt.
Etwas anderes gilt dann, wenn der Beschäftigte sich nicht im Rahmen seiner betrieblich zugewiesenen Aufgaben bewegt, d.h. wenn der Beschäftigte die Datenverarbeitung zu privaten Zwecken vornimmt. In diesem Fall liegt ein Mitarbeiterexzess vor und der Mitarbeiter mutiert zum Verantwortlichen, so dass eine eigene Haftung gem. Art. 82 DSGVO eintritt. Es sei denn, das Unternehmen als Verantwortlicher kennt die Datenverarbeitung durch den Mitarbeiter und hat den Zweck der Datenverarbeitung durch den Beschäftigten gebilligt. Mit der Billigung der Datenverarbeitung entscheidet sich der Verantwortliche gegen die Nutzung des eigenen Weisungsrechts und gibt die Entscheidung über den Zweck und Mittel aus der Hand, so dass eine gemeinsame Verantwortlichkeit für die Datenverarbeitung nach Art. 26 Abs. 2 DSGVO gegeben ist. Da der Verantwortliche i. S. d. Art. 82 DSGVO weit auszulegen ist, ist bei einem Mitarbeiterexzess auch das Unternehmen in die dann gesamtschuldnerische Schadensersatzhaftung miteinzubeziehen. Es sei denn, das Unternehmen hat gegen den Mitarbeiterexzess wirksame, dokumentierte Sicherungsmaßnahmen im Vorfeld ergriffen hat, die der Exkulpation dienen.
Überschreitet der Mitarbeiter nur seine betrieblichen Kompetenzen, handelt es sich um keinen Mitarbeiterexzess und die persönliche Haftung des Mitarbeiters scheidet aus, denn er war dann nach wie vor im Rahmen seiner betrieblichen Tätigkeit aktiv.
Haftungsvermeidung
Die unternehmerische Tätigkeit ist immer mit Risiko verbunden, aber man kann dieses mittels implementierter Prozesse, die regelmäßig kontrolliert, überwacht und angepasst werden, minimieren bzw. schafft sich so die Möglichkeit der Exkulpation. Eine wesentliche Voraussetzung für die Exkulpation sowohl des Managements als auch des Unternehmens ist die Dokumentation der Überwachung und die Anweisung über den Umgang mit Daten im Zuge der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO.
Die Aussage zur Haftung von Mitarbeitern für Datenschutzverstöße in dem Artikel ist meiner Ansicht nach widersprüchlich: der vorletzte Absatz wird eingeleitet mit dem Hinweis auf eine b e s c h r ä n k t e Haftung von Unternehmensmitarbeitern (wahrscheinlich als Folge der Rechtsprechung zur gefahrgeneigten Arbeit) , um im Schlusssatz des Absatzes darauf hinzuweisen, dass eine Haftung bei Kompetenzüberschreitung a u s s c h e i d e, da er auch dann im Rahmen seiner betrieblichen Tätigkeit aktiv gewesen sei. Habe ich da etwas missverstanden?
Ein Mitarbeiter, der nicht zur Unternehmensleitung gehört, haftet grundsätzlich nicht, soweit er betriebliche Aufgaben wahrnimmt. Dies gilt auch für den Fall, dass er seine Kompetenzen überschreiten sollte, also interne Befugnisse überschreitet aber weiterhin im Rahmen der wirtschaftlichen Interessen des Unternehmens bleibt und innerhalb seines betrieblichen Aufgabenbereiches.
Immer dann aber, wenn er die Datenverarbeitung zu eigenen Zwecken vornimmt und er sich zum eigenen Verantwortlichen gem. Art. 4 Nr. 7 DSGVO aufschwingt, haftet er auch. In diesem Fall agiert der Mitarbeiter auch nicht für betriebliche, sondern für eigene Zwecke. Daher kommt es zu keiner Haftung des Unternehmens, weil bei verständiger Betrachtung die Aktivität des Mitarbeiters nicht der unternehmerischen Tätigkeit und deren Zweckbestimmung zugerechnet werden kann, es sei denn, dass das Unternehmen die Aktivitäten des Mitarbeiters gebilligt hat. In letzterem Fall könnte eine gemeinsame Verantwortlichkeit und damit auch eine Haftung des Mitarbeiters begründet werden.