So minimieren Unternehmen ihre Haftung bei Datenschutzverstößen
Amazon muss die bislang höchste DSGVO-Strafe in Kauf nehmen: Die nationale Datenschutzkommission (CNPD) in Luxemburg hat gegen den E-Commerce-Giganten aufgrund von Datenschutzverstößen ein Bußgeld von rund 746 Millionen Euro verhängt. Nicht nur dieser Fall zeigt, dass die unternehmerische Haftung für Datenschutzverletzungen zum ernsten Thema geworden ist, das existenzbedrohende Ausmaße annehmen kann. Auch in Deutschland hat es bereits mehrere Fälle gegeben, in denen Bußgelder in Millionenhöhe ausgesprochen wurden.
Wir haben mit Rechtsanwalt Frank Henkel darüber gesprochen, welche Haftungsrisiken für Unternehmerinnen und Unternehmer bestehen. Als externer betrieblicher Datenschutzbeauftragter zahlreicher Unternehmen bringt er über 20 Jahre Erfahrung im Datenschutzrecht mit.
DSGVO-Strafe: Welche Konsequenzen hat ein Datenschutzverstoß?
Die Strafen für eine Datenschutzverletzung konkretisiert die DSGVO in Artikel 83. So kann die zuständige Behörde je nach Art und Schwere des Datenschutzverstoßes Bußgelder von bis zu 20 Millionen Euro oder alternativ 4 Prozent des weltweiten Gesamtumsatzes im Vorjahr verhängen – je nachdem, welcher Betrag höher ist. Die Behörden haben hier einen erheblichen Spielraum. Der Trend geht jedoch seit Einführung der DSGVO zu deutlich höheren Bußgeldern als zu Zeiten des Bundesdatenschutzgesetzes (BDSG).
Dabei treffen die Forderungen nicht nur große Konzerne – auch Kleinstunternehmen können von einer Strafe infolge eines DSGVO-Verstoßes betroffen sein. Frank Henkel erklärt: „Es kommt weniger auf die Unternehmensgröße an, sondern eher auf die Art von Verarbeitungsprozessen. Wer viele Mitarbeiter beschäftigt, eine große Anzahl an Verbrauchern im B2C-Bereich bedient oder in einer sensiblen Branche wie dem E-Commerce oder im Bankenwesen tätig ist, hat ein ungleich höheres Risiko als andere Unternehmen, die fast ausschließlich mit juristischen Personen als Geschäftskunden arbeiten.“
Neben einer potenziellen Strafe für einen Datenschutzverstoß drohen weitere Konsequenzen:
- Schadenersatzklagen von Betroffenen
- Unterlassungsansprüche
- Löschungsansprüche (z. B. bei Datenverarbeitung ohne Rechtsgrundlage)
- Abgabe einer strafbewehrten Unterlassungserklärung, die eine Schuldanerkenntnis beinhaltet
- Massive Imageverluste (etwa infolge einer Datenpanne)
- Einschränkung oder Untersagung der Verarbeitung personenbezogener Daten bis zur Erfüllung aller Vorgaben der Aufsichtsbehörde
- Strafrechtliche Konsequenzen
Steigende Tendenz: Entwicklung der DSGVO-Bußgelder
Nach dem früheren Bundesdatenschutzgesetz (BDSG) konnten pro Datenschutzverstoß Bußgelder lediglich bis zu einer Höhe von 300.000 Euro verhängt werden. Mit dem Inkrafttreten der DSGVO sind die Forderungen nun erheblich gestiegen.
Auch die Häufigkeit von Bußgeldern steigt. 2019 wurden in 151 Fällen Strafen in Höhe von 73 Millionen Euro verhängt. 2021 gab es bereits 434 Fälle mit Bußgeldern in Höhe von 1,277 Milliarden Euro.
Bei der Festsetzung der Strafen für DSGVO-Verstöße haben die Behörden einen erheblichen Ermessensspielraum. Sie können folgende Aspekte berücksichtigen:
Ermessensspielraum bei der Festsetzung von Bußgeldern
- Art, Schwere und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- Maßnahmen zur Schadensminderung
- Grad der Verantwortung
- Frühere DSGVO-Verstöße und Einhaltung der in solchen Fällen angeordneten Maßnahmen
- Zusammenarbeit mit der Datenschutzaufsichtsbehörde
- Betroffene Daten
- Art der Bekanntmachung des Verstoßes
- Sonstige erschwerende oder mildernde Umstände (z. B. aus dem Verstoß resultierende finanzielle Vorteile)
DSGVO & Haftung: Wer haftet im Unternehmen für Verstöße?
Grundsätzlich liegt die Verantwortung für die Einhaltung der DSGVO-Vorschriften beim „Verantwortlichen“, also zunächst beim Unternehmen (ggf. bei der juristischen Person). Unter bestimmten Voraussetzungen können jedoch auch die Geschäftsführung und Vorstandsmitglieder persönlich haften. Des Weiteren kommt aber auch eine Haftung anderer Personen infrage.
Haftung der Geschäftsführung und Vorstände
Der Datenschutz ist eine der wichtigsten Aufgaben der Geschäftsführung. Hierfür gilt der strenge Sorgfaltsmaßstab der Generalklausel nach § 43 GmbHG oder § 93 Abs. 2 AktG. Geschäftsführung und Vorstände müssen sich selbst informieren und beraten lassen und die korrekte Einhaltung aller Vorgaben überprüfen. Verstoßen sie gegen diese Pflichten, verlieren sie mitunter auch ihren D&O-Versicherungsschutz.
Geschäftsführung und Vorstände können mit ihrem persönlichen Privatvermögen schadenersatzpflichtig werden. Henkel weiß: „Dies kann dann der Fall sein, wenn sie persönlich etwas veranlassen, mit dem sie gegen die Sorgfaltspflichten eines ordentlichen, gewissenhaften Geschäftsführers verstoßen. Das Oberlandesgericht Dresden entschied dies etwa in einem Urteil vom 30. November 2021. In dem zugrunde liegenden Fall hatte der Geschäftsführer eines Vereins ein potenzielles Mitglied von einer Detektei durchleuchten lassen und die gewonnenen Informationen an den Vorstand weitergegeben.“
Haftung der Mitarbeiterinnen und Mitarbeiter
Begehen Arbeitnehmerinnen oder Arbeitnehmer einen Verstoß gegen Bestimmungen der DSGVO, können auch sie haftbar gemacht werden. Dies ist allerdings nur in dem engen Rahmen der Arbeitnehmerhaftung möglich. Der Umfang der Haftung richtet sich
nach dem Grad der Fahrlässigkeit. In nennenswertem Maße stehen Mitarbeiterinnen und Mitarbeiter erst dann für verursachte Schäden ein, wenn sie grob fahrlässig oder sogar mit Vorsatz gehandelt haben. Ein unbeschränkter Regress ist jedoch auch dann meist nicht möglich. Bei leichter oder mittlerer Fahrlässigkeit kommt allenfalls eine anteilige Haftung in Betracht.
Haftung des oder der Datenschutzbeauftragten
Bei der Haftung des oder der Datenschutzbeauftragten ist zwischen internen Mitarbeiterinnen und Mitarbeitern sowie externen Beauftragten zu unterscheiden.
Interne Datenschutzbeauftragte
Interne Datenschutzbeauftragte sind Angestellte und unterliegen somit denselben Regeln wie andere Mitarbeiterinnen und Mitarbeiter. Sie können lediglich im Rahmen der Arbeitnehmerhaftung in Anspruch genommen werden.
Externe Datenschutzbeauftragte
Bei externen Datenschutzbeauftragten ist die Inanspruchnahme für Datenschutzverstöße durchaus möglich. Allerdings müssen hierfür zwei Voraussetzungen erfüllt sein:
- Es muss tatsächlich eine Pflichtverletzung vorliegen, etwa eine Falschberatung.
- Diese Pflichtverletzung muss tatsächlich die Ursache für den Schadenseintritt sein (Kausalität).
Henkel macht deutlich: „Weisen externe Datenschutzbeauftragte die Geschäftsführung auf bestehende Mängel im Datenschutz hin, ist diese in der Verantwortung, sie zu beseitigen. Unternehmerinnen und Unternehmer haben hier zudem eine Bringschuld: Führen sie neue Datenverarbeitungsprozesse ein oder verarbeiten neue Daten, müssen sie aktiv bei ihren Datenschutzspezialisten nachfragen. Versäumen sie diese Konsultation, ist der oder die Datenschutzbeauftragte automatisch aus der Haftung entlassen.“
Checkliste: neun Tipps, um das Haftungsrisiko zu senken
Eines der häufigsten Probleme, die zu Verstößen gegen die DSGVO-Vorgaben führen, ist eine mangelnde Datenschutzorganisation, weiß Henkel. Unklare Zuständigkeiten, nicht rechtzeitig erteilte Auskünfte, keine Nachverfolgung von Fristen oder liegen gebliebene Anträge liefern nach seiner Auffassung in der Praxis besonders häufig Stolperfallen im Bereich des Datenschutzrechts.
Ein umfassendes Datenschutzkonzept ist für Unternehmen deshalb unverzichtbar. Die folgenden Tipps helfen, das individuelle Haftungsrisiko für alle Beteiligten zu senken:
- Einführung eines fundierten Datenschutzmanagements
- Sensibilisierung der Mitarbeiterinnen und Mitarbeiter durch interne Schulungen
- Prüfung der IT-Security auf mögliche Sicherheitslücken
- Transparente Information der Betroffenen zum Umgang mit ihren personenbezogenen Daten (Anpassung der Datenschutzerklärungen)
- Rechtssichere Einholung der Einwilligung der Betroffenen zur Datenerhebung
- Beachtung von Löschfristen bei der Datenerhebung
- Regelmäßige Datenschutzaudits zur Aufdeckung von Schwachstellen
- Rechtzeitige Einbindung eines oder einer Datenschutzbeauftragten
- Gegebenenfalls Konsultation zusätzlicher Expertinnen und Experten (z. B. im juristischen oder technischen Bereich)
DSGVO Strafen frühzeitig vorbeugen
Datenschutzverstöße können empfindliche Strafen und Bußgelder nach sich ziehen. Ob groß angelegte Datenpanne mit Millionen Betroffenen oder nicht rechtzeitig gelöschte Daten von Kundinnen und Kunden im kleinen Handwerksbetrieb – Datenschutz geht alle Unternehmen an. Um ihr Haftungsrisiko zu minimieren und hohen Bußgeldern vorzubeugen, sollten sie frühzeitig Datenschutzbeauftragte hinzuziehen, ein maßgeschneidertes Datenschutzmanagement einführen und den Vorgaben der DSGVO ausreichend Beachtung schenken.
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de