Geschäftsführer und Vorstände, gegebenenfalls auch Mitarbeiter und Datenschutzbeauftragte haften bei Datenschutzverstößen persönlich

Unternehmen verarbeiten in vielfacher Weise personenbezogene Daten, unter anderem Kundendaten, die im Rahmen des E-Mail-Marketing genutzt werden. Die DSGVO legt fest, wie mit personenbezogenen Daten umzugehen ist und was im Falle von Verstößen und Verletzungen geschieht.

Um welche Summen geht es hier eigentlich?

Artikel 82 und 83 DSGVO regeln entsprechende Sanktionen bei Verletzung der Schutzvorschriften der DSGVO. Artikel 82 DSGVO regelt die Ansprüche auf Schadenersatz der verletzten Person. Diese Ansprüche sind der Höhe nach nicht begrenzt. Artikel 83 DSGVO stellt klar, dass die zuständigen Aufsichtsbehörden Geldbußen verhängen können, die bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens betragen können. In beiden Fällen können also die Sanktionen erheblich sein und ein Unternehmen in seiner Existenz bedrohen können. Die Erfahrung seit Inkrafttreten der DSGVO im Jahr 2018 zeigt zudem, dass die Höhe von Geldbußen, die in der EU verhängt wurden, ständig angestiegen sind, s. hierzu auch unseren Blogbeitrag.

Wer haftet bei Datenschutzverstößen nach der DSGVO?

Gemäß Artikel 82 und 83 DSGVO haftet der Verantwortliche oder der Auftragsverarbeiter. Gemäß Art. 4 Nr. 7 DSGVO ist „Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Dementsprechend ist verantwortlich zunächst einmal das Unternehmen selbst. Inwieweit darüber hinaus Geschäftsführer, Vorstände oder Mitarbeiter des Unternehmens persönlich haften, wird aus dieser Regelung nicht deutlich.

1. Die Haftung des Geschäftsführers oder Vorstands

Die Haftung des Geschäftsführers oder Vorstands ergibt sich aus zwei wichtigen Gerichtsentscheidungen:

Das OLG Dresden hat kürzlich festgestellt, dass Geschäftsführer eigene datenschutzrechtlich Verantwortliche im Sinne der DSGVO sind und daher auch persönlich haften (Urteil des OLG Dresden vom 30.11.2021 (Aktenzeichen 4 U 1158/21).

Der EuGH hat in einem früheren Urteil (Urteil vom 10.7.2018, Aktenzeichen C-25/17) Kriterien entwickelt, nach denen eine Person im Sinne der DSGVO Verantwortlicher ist. Danach haftet ein Geschäftsführer dann, wenn er von der Datenverarbeitung profitiert, sie veranlasst oder duldet und selbst Zugang zu den Daten hat oder sie selbst verarbeitet.

Darüber hinaus ergibt sich auch aus den allgemeinen Haftungsregeln des Gesellschaftsrechts eine Verantwortung für Geschäftsführer oder Vorstände unter Umständen eine persönliche Haftung, wenn diese nicht gewissenhaft und sorgfältig Ihren Aufgaben nachkommen (s. § 43 GmbHG und § 93 Abs. 2 AktG), denn es gehört auch zu ihren Aufgaben, die datenschutzrechtlichen Vorschriften einzuhalten. Dabei müssen sie sich umfassend informieren, beraten lassen und kontrollieren, dass die datenschutzrechtlichen Regeln im Unternehmen eingehalten werden.

2. Die Haftung der Mitarbeiter

Mitarbeiter haften bei Datenschutzverstößen nach DSGVO nur, wenn sie vorsätzlich, also wissentlich oder absichtlich oder grob fahrlässig gegen Datenschutzregeln verstoßen haben.

3. Die Haftung des Datenschutzbeauftragten

Externe Datenschutzbeauftragte haften dem Unternehmen gegenüber für Verstöße gegen die DSGVO. Dies kann zum Beispiel der Fall sein, wenn sie nicht richtig oder ausreichend beraten oder die Datenverarbeitungsprozesse im Unternehmen nicht richtig überwachen.

Ist der Datenschutzbeauftragte im Unternehmen angestellt, haftet er ebenfalls nur eingeschränkt nach den oben genannten Grundsätzen für Mitarbeiter.

Fazit und Empfehlung

Vorstände und Geschäftsführer sowie selbständige Datenschutzbeauftragte können wegen Schadenersatzansprüchen und Geldbußen neben dem Unternehmen selbst auch persönlich in Anspruch genommen werden, wenn personenbezogene Daten beim E-Mail-Marketing. Bei Angestellten ist dies in sehr eingeschränktem Maße möglich.

Datenschutz ist für alle Mitarbeiter sowie Unternehmensleitungen relevant. Entsprechende Schulungen zum Umgang mit personenbezogenen Daten im E-Mail-Marketing, klare Verantwortlichkeiten und die Einführung von Kontrollmechanismen sind unerlässlich.

Die CSA unterstützt ihre zertifizierten Teilnehmer mit stets aktuellen Informationen zum rechtlich korrekten E-Mail-Marketing mit einführenden sowie weiterführenden Veranstaltungen und Veröffentlichungen in unterschiedlichsten Formaten.