Die Haftung von Geschäftsführern bei Verstößen gegen den Datenschutz

Datenschutzrechtliche Verstöße können Unternehmen teuer zu stehen kommen. Bußgelder, im Einzelfall bis zu 4% des Jahresumsatzes oder 20 Mio. Euro sind nach DSGVO möglich, ebenso Schadenersatzforderungen von Betroffenen bei Verstößen. Insbesondere letztere können im Falle der Kumulierung vieler einzelner Fälle ebenfalls beträchtliche Höhen erreichen.
Es gibt also für den Geschäftsführer gute Gründe, sich über sein individuelles Haftungsrisiko Gedanken zu machen.
Das GmbH-Gesetz (GmbHG) verpflichtet in §43 den Geschäftsführer zur „Sorgfalt eines ordentlichen Geschäftsmannes“ und nimmt diesen in Abs. 2 bei Verletzung persönlich in die Haftung.

Haftung bei Verschulden

Eine Haftung von Geschäftsführern mit ihrem Privatvermögen gegenüber der Gesellschaft tritt in der Regel nur bei Verschulden auf. Zu unterscheiden sind dabei das deliktische Verschulden durch Handeln oder Unterlassen und das Organverschulden. Letzteres tritt bereits dann ein, wenn der Vorwurf, er habe sein Unternehmen organisatorisch nicht angemessen geführt, im Raum steht. In einem derartigen Fall bedarf es noch nicht einmal der persönlichen Kenntnis der konkreten Rechtsverletzung, beispielsweise durch einen Mitarbeiter.

Haftung bei Datenschutzverstößen

In Bezug auf datenschutzrechtliche Verpflichtungen lassen sich einige, wesentliche Risikobereiche für den Geschäftsführer identifizieren:

• Mangelnde eigene Sachkenntnis und/oder fehlerhafte Beratung
• Unzureichende Aufklärung und Kontrolle der Mitarbeiter
• Missachtung technischer und/oder organisatorischer Notwendigkeiten

Beispielhaft sollen im folgenden Teil einige möglich Szenarien beschrieben werden, die eine Haftung des Geschäftsführers auslösen können.

Beispiel: Unangemessene Risikobeurteilung

Die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz verfolgen einen risikobasierten Ansatz. Je höher das Risiko eines Datenschutzverstoßes für den Betroffenen einzuschätzen ist, um so höher sind auch die Anforderungen an die technisch-organisatorischen Maßnahmen des Datenschutzes. Gemäß Art. 35 ist eine Datenschutzfolgeabschätzung (DSFA) zwingend bei einem hohen Risiko für den Betroffenen vorgeschrieben. Dies muss konkret vor der Einführung eines Verarbeitungsprozesses geprüft werden. Unterlässt der Verantwortliche eine DSFA nach Art. 35, obwohl diese zwingend vorzunehmen gewesen wäre, beispielsweise weil er das Risikopotential für den Betroffenen falsch einschätzt, kann dies als schuldhafter Verstoß gegen die Sorgfaltspflicht gewertet werden.

Beispiel: Sachmängel im Bereich des technischen Datenschutzes

Presseberichten zufolge ist eine der größten Datenpannen des vergangenen Jahres entstanden, weil ein Praktikant bei einem System von erheblicher Bedeutung ein völlig unzureichendes Passwort gesetzt hatte. In der Folge wurden US-amerikanische Regierungsbehörden und große Unternehmen Opfer einer Cyberattacke mit weitreichenden Folgen.
Bei einem großen deutschen Autovermieter war über einen längeren Zeitraum eine Unternehmensdatenbank öffentlich und frei ohne Passwortschutz zugänglich.
Bei Audits im Bereich des technischen Datenschutzes stoßen wir nicht selten auf Systeme, die mit veralteter Software und erheblichen Sicherheitslücken betrieben werden.

Beispiel: Mangelnde Aufklärung und Sensibilisierung

Oftmals ist Beschäftigten die mögliche Tragweite ihres Handelns mangels regelmäßiger Aufklärung und Sensibilisierung nicht klar. Regelmäßige Schulungen in Fragen der Datensicherheit und des Datenschutzes sind auch heute noch eher die Ausnahme als die Regel.
Unzureichende Passwörter, fehlende 2-FA-Authentifizierung, die Einbringung infizierter privater Geräte, wie beispielsweise USB-Sticks, Nachlässigkeiten im Umgang mit Phishing-Mails: die Liste möglicher Risiken lässt sich durchaus fortsetzen.
Natürlich können nicht alle Risiken präventiv bekämpft werden, die Szene der Cyberkriminellen hat sich in den vergangenen Jahren professionalisiert und geht hochspezialisiert und arbeitsteilig vor, dennoch sollte kein Unternehmen darauf verzichten, die Mitarbeiter aktiv in ein Sicherheitskonzept einzubeziehen.

Es sollte im Interesse von Geschäftsführern liegen, ihr eigenes Haftungsrisiko möglichst gering zu halten. Dazu gehört auch die sorgfältige Auswahl qualifizierter Berater und Datenschutzbeauftragter.

fachliche Beratung: Dr. jur. Wolfhard Steinmetz (mehr zu Dr. Steinmetz)


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.