Haftung des Geschäftsführers oder Vorstands bei Datenschutzverstößen

Der Geschäftsführer einer GmbH bzw. der Vorstand einer Aktiengesellschaft trifft nicht nur maßgebliche Entscheidungen, sondern muss auch die Konsequenzen dafür tragen. Damit geht ein gewisses Risiko einher, das insbesondere aufgrund der heutigen datenschutzrechtlichen Regelungen Fragen aufwirft. Hier lesen Sie, was Sie als Geschäftsführer oder Teil des Vorstands beachten müssen und wie Sie Ihr Haftungsrisiko reduzieren.

Geschäftsführerhaftung trotz Haftungsbeschränkung?!

Gesellschaften mit beschränkter Haftung (GmbH) oder Aktiengesellschaften (AG) sind beliebte Gesellschaftsformen. Wie der Namensteil „beschränkte Haftung“ vermuten lässt, beschränken sie die Haftung im Außenverhältnis auf das Vermögen der Gesellschaft. Eine Haftung darüber hinaus scheint auf den ersten Blick nicht zu bestehen.

Ein solches Verständnis zur Haftung birgt die Gefahr, dass Geschäftsführer und Vorstände sich aufgrund der Haftungsbeschränkung zu sicher fühlen und möglicherweise höhere Risiken eingehen, als dass das im Rahmen einer nicht beschränkten Haftung der Fall wäre. Die Realität vor den Gerichten zeigt zunehmend, dass Geschäftsführer, Vorstände und sogar Gesellschafter auch mit ihrem privaten Vermögen haften. Dies gilt sowohl gegenüber Dritten (Außenhaftung), als auch gegenüber der Gesellschaft selbst (Innenhaftung).

Haftungsrechtliche Grundsätze für Geschäftsführer

Geschäftsführer müssen mit der Sorgfalt eines ordentlichen Geschäftsmanns agieren (vgl. § 43 Abs. 1 GmbHG) und dabei aktiv den Gesellschaftszweck fördern. Wird diesen Grundsätzen nicht Folge geleistet, können Geschäftsführer persönlich schadensersatzpflichtig werden, wenn sie (vorsätzlich oder ggf. auch fahrlässig) eine Pflichtverletzung begangen haben und dadurch ein Schaden entstanden ist.

Haftungsrechtliche Ansprüche können Geschäftsführer nur dann abwenden, wenn sie nachweisen, dass sie hinsichtlich der Pflichtverletzung keine Schuld trifft. Hier gibt es zwei Verschuldensarten: Das sogenannte Organverschulden betrifft die Fälle, in denen ein Geschäftsführer sein Unternehmen organisatorisch nicht richtig führt. Ein eliktische Verschulden liegt dann vor, wenn der Geschäftsführer persönlich einen Schaden verursacht.

Geschäftsführerhaftung im Datenschutzrecht – welche Risiken bestehen?

Das Datenschutzrecht wird von vielen Geschäftsführern als komplex und undurchsichtig empfunden. Entsprechend groß ist die Hemmschwelle, sich mit den einzelnen Regelungen zu beschäftigen und sie im eigenen Unternehmen umzusetzen. Geschieht dies nicht, drohen Schadensersatzforderungen und Bußgelder, die im Einzelfall bis zu 20 Mio. Euro oder vier Prozent des Jahresumsatzes betragen können.

Die Risiken für eine datenschutzrechtliche Geschäftsführerhaftung bestehen insbesondere dann, wenn Geschäftsführer über keine ausreichende Sachkenntnis verfügen und/oder nicht richtig beraten werden. Das kann dazu führen, dass datenschutzrechtliche Vorgaben nicht oder nicht ausreichend in der Organisation umgesetzt sind und Mitarbeiter nicht in der Lage sind, rechtskonform zu handeln.

Mit welchen Ansprüchen und Strafen müssen Geschäftsführer oder Vorstandsmitglieder rechnen?

Verstöße gegen die DS-GVO können im Schadensfall bei den betroffenen Personen zu Ansprüchen auf Schadensersatz (Art. 82 DS-GVO) führen. Hierbei könne sowohl materielle als auch immaterielle Schäden geltend gemacht werden.

Unabhängig von einem tatsächlich entstandenen Schaden können die zuständigen Aufsichtsbehörden Geldbußen verhängen (Art. 83 DS-GVO) und die Weiterführung von Datenverarbeitungen untersagen (Art. 58 Abs. 2 DS-GVO). Dabei sollen Sanktionen „wirksam, verhältnismäßig und abschreckend“ sein (Art. 84 Abs. 1 S. 1 DS-GVO). Dies soll die verantwortlichen Stellen abschrecken und zu einer gewissenhaften Arbeit motivieren.

Das derzeitige Niveau von verhängten Bußgeldern in Deutschland ist noch weit von „abschreckend“ entfernt. Das liegt derzeit weniger an der Höhe von Bußgeldern – diese sind teilweise schmerzhaft – sondern mehr daran, dass noch immer viele Verstöße nicht gesehen und geahndet werden.

In bestimmten Fällen, wenn z. B. Daten in großen Mengen widerrechtlich und gewerbsmäßig weitergegeben oder verwendet werden, können Gerichte auch Haftstrafen bis zu 3 Jahren oder Geldstrafen verhängen (§ 42 BDSG).

Begehen einzelne Arbeitnehmer einen datenschutzrechtlichen Verstoß, führt dies in der Regel dazu, dass das Unternehmen oder – bei entsprechenden Pflichtversäumnissen – der Geschäftsführer haftet. Handeln Mitarbeiter allerdings vorsätzlich und wider besseren Wissen (Mitarbeiter-Eskalation), können diese direkt mit einem Bußgeld belegt werden.

Geschäftsführer können ihr Haftungsrisiko gering halten, indem sie insbesondere ihren organisatorischen Pflichten gewissenhaft nachkommt. Dazu zählen neben einer umfassenden Aufklärung und Weiterbildung der Mitarbeiter, die Einrichtung von geeigneten Organisationsstrukturen und Prozessen zum Datenschutz-Management.

Folgenreiches Urteil des OLG Dresden

Für datenschutzrechtliche Pannen sind neben der Gesellschaft auch die Geschäftsführer oder der Vorstand verantwortlich (Art. 4 Nr. 7 DS-GVO). Werden Daten rechtswidrig verarbeitet, haften sie deshalb (auch) persönlich. Das hat das Oberlandesgericht Dresden (4 U 1158/21) entschieden: Ein Verein – eine GmbH – wurde verklagt, weil er einen Antrag auf Aufnahme einer beitrittswilligen Person abgelehnt hat. Der Verein hatte zur Prüfung des Antrags einen Detektiv beauftragt, der strafrechtliche Fehltritte des Antragsstellers offenlegen konnte. Dieser machte sodann Schadensersatz in Höhe von 21.000 EUR wegen Verstößen gegen die DS-GVO geltend. Das OLG Dresden schloss sich der Entscheidung des Landesgerichts Dresden an, das dem Kläger zuvor 5.000 EUR zugesprochen hatte.

Als Begründung wurde angeführt, dass der Verein eine Selbstauskunft hätte einholen oder auf die Abgabe eines polizeilichen Führungszeugnisses hätte bestehen können. Zudem habe der Verein kein berechtigtes Interesse an den erhaltenen Informationen, weil sie auch nicht erforderlich gewesen seien. Die Besonderheit des Urteils liegt in der Entscheidung, dass nicht nur der Verein verantwortlich ist. Da der Geschäftsführer die Recherche über den Antragsteller selbst durchführen ließ, sei auch er Schadensersatzansprüchen ausgesetzt.

Schließen sich auch andere Gerichte der Entscheidung des OLG an, hat das weitreichende Folgen für Geschäftsführer und Vorstandsmitglieder. Regen diese eine rechtswidrige Verarbeitung von Daten in ihrem Unternehmen an, müssen sie damit rechnen, persönlich in Anspruch genommen zu werden. Das kann aufgrund ihrer leitenden Position selbst dann der Fall sein, wenn sie nicht ausdrücklich eine entsprechende Arbeitsanweisung gegeben haben.

Beispiel: Mangelnde Information und Anleitung von Mitarbeitern

Der Geschäftsführer lässt seine Aufgaben durch seine Mitarbeiter ausführen. Dies entledigt ihn nicht von der Verantwortung – im Gegenteil: Er muss die Prozesse überwachen (oder überwachen lassen) und dafür Sorge tragen, dass alle Mitarbeiter dazu in der Lage sind, ihre Aufgabe gewissenhaft zu erfüllen. Insbesondere dann, wenn sich der rechtliche Rahmen verändert oder sich der Stand der Technik weiterentwickelt, müssen Mitarbeiter angemessen informiert und angeleitet werden. Führungskräfte müssen ihre Mitarbeiter mit neuen Rahmenbedingungen vertraut machen, sie aufklären und sensibilisieren.

Vor allem bei der elektronischen Verarbeitung von Daten gehen Neuerungen mit einem gewissen technischen Know-how einher. Nicht jedem Arbeitnehmer sind Begriffe wie die Multifaktor-Authentifizierung oder die Anforderungen an starke Passwörter geläufig. Umfassende Einweisungen sind deshalb umso bedeutender. Neue Rahmenbedingungen müssen nicht nur abstrakt erklärt werden. Wichtig ist auch die Vorgabe konkreter Handlungsschritte, an denen sich Mitarbeiter orientieren und mit denen sie die Änderungen in ihrem Arbeitsalltag umsetzen können.

Verbesserte Sicherheitskonzepte helfen nicht nur Geschäftsführern und Vorständen dabei, ihr Haftungsrisiko möglichst gering zu halten. Sie erhöhen auch die Sicherheit im Unternehmen und machen es weniger anfällig für Cyberkriminalität. Das schließt die angemessene Information und Anleitung von Mitarbeitern explizit mit ein. Cyberkriminalität hat besonders in den letzten Jahren verstärkt zugenommen. Die dahinterstehenden Personen und Gruppierungen gehen professioneller, effizienter und spezialisierter vor und verfügen teilweise über umfassende technische und finanzielle Ressourcen, was einen umfassenden Schutz umso wichtiger macht.