Datenschutzrechtliche Haftung – wer haftet wann und wofür?

Wenn Datenschutzvorgaben nicht eingehalten werden, kann es schnell dazu kommen, dass betroffenen Personen ein materieller oder immaterieller Schaden entsteht und diese dann auch Schadenersatz geltend machen wollen. Aber wer haftet dann dafür? Das Management? Die Mitarbeiter? Dieses Thema schauen wir uns heute genauer an.

Datenschutzrechtlich gemäß Art. 4 Nr. 7 DS-GVO verantwortlich ist der sogenannte Verantwortliche, also das Unternehmen/die Institution. Darunter sind dann alle Abteilungen eingefasst. Also jede Handlung und Entscheidung von datenschutzrechtlicher Relevanz geht zu Lasten des Unternehmens. Auch Einzelpersonen, wie Vorstand, Geschäftsführer, Leiharbeiter, etc. zählen als Unternehmensteil, wenn diese Person für das Unternehmen tätig ist und die Unternehmensführung auf diese Handlungen Einfluss hat. Alle Handlungen im Rahmen der Tätigkeit für das Unternehmen werden somit dem Unternehmen als Verantwortlichen zugerechnet. Dabei ist die Zweckbestimmung des jeweiligen Handelns entscheidend, nämlich dadurch, was das Unternehmen vorgibt. In Art. 82 DS-GVO ist eine umfassende Haftung und Schadenersatzpflicht des Verantwortlichen bei Schäden, die durch nicht datenschutzkonforme Verarbeitung entstehen, festgeschrieben. Das Unternehmen haftet nur dann nicht, wenn nachweisbar ist, dass das Unternehmen nicht für die nicht datenschutzkonforme Verarbeitung und den dadurch entstandenen Schaden verantwortlich ist. Neben der Schadenersatzpflicht aus Art. 82 DS-GVO sollte man nicht die Geldbußen gem. Art. 83 DS-GVO vergessen. Diese können zusätzlich verhängt werden.

Für Mitarbeiter des Managements gilt grundsätzlich erst einmal dasselbe, wie für alle anderen Mitarbeiter – die Haftung ist eingeschränkt, da deren Tätigkeiten in die Verantwortlichkeit des Unternehmens als Gesamtheit fallen. Völlig ausgeschlossen ist die Haftung allerdings nicht. Bei der Aufgabenerfüllung sind persönliche Pflichten des Managers und Rechtspflichten des Unternehmens, welche sich aus Gesetzen, Satzungen oder internen Regelungen ergeben, zu beachten. Wenn das Management nun gegen diese unternehmensbezogenen Vorgaben verstößt, aufgrund eines Organisationsverschuldens, dann ist dies eine Pflichtverletzung des Managements, welche zu einer Schadenersatzpflicht führt. Um dem Ganzen entgegenzuwirken, sind die einzelnen Unternehmensorgane dazu verpflichtet, sich so zu organisieren, dass mögliche Gefährdungen des Unternehmensfortbestandes rechtzeitig erkannt und abgewendet werden können. Das Management sollte hier vorausschauende Prozesse schaffen, welche darauf hinwirken, Gefährdungen zu vermeiden und eine regelmäßige Dokumentation, Überprüfung und Anpassung sicherstellen. Es muss im Schadensfall beweisbar dargelegt werden können, dass kein Verschulden bzw. keine Pflichtverletzungen vorliegen. Eine Überwachung und Protokollierung aller Maßnahmen, wie explizites Nachfragen in den einzelnen Ressorts, Einsehen der Geschäftsprotokolle, Besprechungsinhalte in den Managementsitzungen ist unabdingbar, um sich ein Bild über die einzelnen Geschäftsbereiche und eventuelle Risiken zu machen.

Kann auch ein Beschäftigter haftbar gemacht werden? – Es kommt (wie immer) drauf an. Für betriebliche Tätigkeiten ist die Haftung des Mitarbeiters beschränkt und die Haftung bei grober Fahrlässigkeit wird durch das Bundesarbeitsgericht auf ein Jahresgehalt gedeckelt. Anders sieht das aus, wenn der Mitarbeiter sich außerhalb der betrieblich zugewiesenen Aufgaben bewegt und Datenverarbeitung zu privaten Zwecken vornimmt. Hier liegt dann ein Mitarbeiterexzess vor, der Beschäftigte wird zum Verantwortlichen und ist nach Art. 82 DS-GVO haftbar. Auch hier gibt es wieder eine Ausnahme: dem Unternehmen ist die Datenverarbeitung durch den Mitarbeiter bekannt und wird gebilligt. Dabei entsteht dann eine gemeinsame Verantwortlichkeit, da sich der Verantwortliche mit Billigung gegen sein Weisungsrecht entscheidet. Das Unternehmen ist auch bei einem Mitarbeiterexzess in die gesamtschuldnerische Haftung einzubeziehen und kommt dort nur wieder heraus indem es nachweisen kann, dass Sicherungsmaßnahmen ergriffen wurden.

Was können Sie nun tun, um das Risiko der Haftung so gut es geht zu minimieren? Es sollten Prozesse implementiert werden, welche regelmäßig kontrolliert, überarbeitet und dokumentiert werden, um im Fall eines Schadens nachweisen zu können, dass es Anweisungen und Regelungen im Umgang mit Daten im Unternehmen gibt, welche jedem Mitarbeiter bekannt sind und deren Einhaltung regelmäßig überwacht und dokumentiert wird. So kann das Risiko eines Schadens und eines möglichen Schadenersatzes geringgehalten werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in