Datenschutzverstöße – Haftet Mitarbeiter oder Unternehmen? 

Datenschutzverstöße sind ein ernstes Thema und können sowohl für Unternehmen als auch für deren Mitarbeiter weitreichende Konsequenzen haben. Doch wer trägt eigentlich die Verantwortung, wenn etwas schiefgeht? Der Europäische Gerichtshof (EuGH) lieferte konkrete Antworten auf diese Frage, wobei die Anfrage des Landgerichts Saarbrücken zu einem Fall erst einmal eine andere Unsicherheit klären sollte.

Der Fall Juris und der EuGH

Das Unternehmen Juris betreibt eine juristische Datenbank. Ein Rechtsanwalt sendete mehrfach eine Widerspruchserklärung an Juris mit der Bitte um Entfernung aus dem Werbeverteiler. Dennoch erhielt er weiterhin Werbepost. Irgendwann “platzte ihm der Kragen” und er brachte den Fall vor Gericht. Für ihn war dies ein klarer Verstoß gegen die DSGVO.

Das Landgericht Saarbrücken entschied, dass Juris diesen Verstoß verantwortet und demnach auch dafür haften muss. Art. 82 Abs. 1 DSGVO spricht „jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, einen Ersatzanspruch zu. Was ein immaterieller Schaden jedoch genau ist und welche Darlegungsanforderungen den Verletzten treffen, lässt die DSGVO offen.

Um diese Fragen zu klären, setzte das Landgericht das Verfahren aus und legte dem EuGH Fragen zur Auslegung von Art. 82 Abs. 1 DSGVO vor. Insbesondere wollte es wissen, ob für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ein tatsächlicher Schaden gegeben sein müsste. Der EuGH bejahte dies im Grundsatz. Doch was begründet einen immateriellen Schaden? Der EuGH konkretisierte hier nicht, was der Verletzte sachlich konkret vortragen muss, um darzulegen, dass er durch den Verlust der Kontrolle an den eigenen Daten einen tatsächlichen immateriellen Schaden erlitten hat.

Fakt ist: Unternehmen haften als “Verantwortliche Stelle” für Verstöße ihrer Mitarbeiter

Juris argumentierte nun, dass im Fall des Anwalts die internen betrieblichen Bestimmungen zum Umgang mit Werbewidersprüchen missachtet worden seien und daher keine Haftung des Unternehmens selbst bestehe. Diese Argumentation stützte Juris auf Art. 82 Abs. 3 DSGVO, der vorsieht, dass der Verantwortliche oder der Auftragsverarbeiter (also das Unternehmen) von der Haftung befreit wird, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Der EuGH hat jedoch klargestellt, dass Unternehmen im Aussenverhältnis immer für die Datenschutzverstöße ihrer Mitarbeiter haften. Es reicht nicht aus, nur Anweisungen zu geben und Richtlinien zu erstellen, wenn man aus der Haftung kommen möchte. Unternehmen müssen sicherstellen, dass diese Anweisungen auch tatsächlich korrekt umgesetzt werden. Nach Ansicht des EuGH liegt es in der Verantwortung der Unternehmen und Organisationen, die Einhaltung der Datenschutzbestimmungen durch ihre Mitarbeiter aktiv zu überwachen und (auch auf Wirksamkeit) zu kontrollieren.

Schadensersatz: Um welche Summen kann es bei DSGVO-Verstößen gehen?

Die Höhe des Schadensersatzes im Zusammenhang mit einem nachgewiesenen Datenschutzverstoß ist nicht eindeutig festgelegt und variiert stark. Während einige Gerichte nur geringe Beträge zusprechen, umfassen andere Urteile Summen von bis zu 10.000 Euro. Unternehmen sollten also sinnvolle Rückstellungen bilden, um derartige Forderungen abdecken zu können. Wichtig ist eine angemessene Reaktion bei Datenschutzpannen und Verstößen.

Mitarbeiterhaftung: Differenzierte Betrachtung

Während das Unternehmen primär (also im Aussenverhältnis) haftet, können aber auch Mitarbeiter im Rahmen der generellen Mitarbeiterhaftung in Regress genommen werden, je nach Grad ihrer Fahrlässigkeit:

• Leichte Fahrlässigkeit: Keine Haftung.
• Mittlere Fahrlässigkeit: Haftung kann geteilt werden.
• Grobe Fahrlässigkeit und Vorsatz: Mitarbeiter können vollständig haftbar gemacht werden.

Es ist jedoch wichtig zu betonen, dass eine persönliche Haftung der Mitarbeiter selten vorkommt, da Datenschutzverstöße meist als leichte Fahrlässigkeit eingestuft werden.

Arbeitsrechtliche Konsequenzen

Datenschutzverstöße können aber durchaus arbeitsrechtliche Folgen haben, wie Abmahnungen oder sogar Kündigungen. Gerichte haben in der Vergangenheit schon entschieden, dass schwerwiegende Verstöße wie das unerlaubte Lesen und Weitergeben von E-Mails eine fristlose Kündigung rechtfertigen können.

Geschäftsführer und Vorstände in der Verantwortung

Geschäftsführer und Vorstände können ebenfalls persönlich haften, wenn sie ihre Aufsichtspflichten vernachlässigen. Das Oberlandesgericht Dresden (Aktenzeichen 4 U 1158/21) entschied beispielsweise, dass Geschäftsführer als datenschutzrechtlich Verantwortliche gelten und persönlich zur Rechenschaft gezogen werden können, wenn sie nicht sicherstellen, dass die Datenschutzvorschriften eingehalten werden.

Tipp: Stellen Sie sicher, dass Sie als Geschäftsführer Ihre Aufsichtspflicht ernst nehmen und Ihren Betrieb so organisieren, dass alle Datenschutzvorschriften beachtet werden. Andernfalls könnten Sie persönlich für Bußgelder und Schadensersatzansprüche gegen Ihr Unternehmen haften.

Der EuGH hat in einem Urteil vom 10.7.2018 folgende Kriterien festgelegt, wann ein Geschäftsführer als Verantwortlicher angesehen wird:

• Der Geschäftsführer zieht Nutzen aus der Datenverarbeitung.
• Er initiiert oder erlaubt die Datenverarbeitung in irgendeiner Weise.
• Es ist dabei nicht erforderlich, dass er selbst Zugang zu den personenbezogenen Daten hat oder diese selbst verarbeitet.

Wie können Unternehmen Datenschutzverstöße verhindern?

Um Datenschutzverstöße zu vermeiden und Haftungsrisiken insgesamt zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

• Klare und verständliche Richtlinien: Datenschutzrichtlinien müssen für alle Mitarbeiter verständlich und praxisnah sein.
• Regelmäßige Schulungen: Mitarbeiter sollten kontinuierlich geschult und sensibilisiert werden, um die Bedeutung des Datenschutzes zu verstehen und umzusetzen.
• Kontrollen und Überprüfungen: Regelmäßige Überprüfungen der Einhaltung der Datenschutzrichtlinien sind unerlässlich. Praktische Übungen helfen, Schwachstellen zu identifizieren.
• Dokumentation: Alle Maßnahmen zur Einhaltung der DSGVO sollten dokumentiert werden, um im Ernstfall nachweisen zu können, dass alles Erforderliche getan wurde.
• Beratung und Unterstützung: Holen Sie sich Unterstützung von spezialisierten Datenschutzbeauftragten, um sicherzustellen, dass alle Anforderungen erfüllt werden.

Weitere Information zum Thema unter DSGVO Verstoss melden >>>