Datenschutzverletzungen – Wer haftet: Mitarbeiter oder Unternehmen?

Datenschutzverletzungen stellen eine ernsthafte Bedrohung für Unternehmen und ihre Mitarbeiter dar, mit potenziell weitreichenden Konsequenzen. Aber wer trägt tatsächlich die Verantwortung, wenn ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vorliegt? Diese Frage wurde durch eine Entscheidung des Europäischen Gerichtshofs (EuGH) näher beleuchtet. Sie resultierte aus einer Anfrage des Landgerichts Saarbrücken zu einem konkreten Fall.

Der Fall Juris und das EuGH-Urteil

Im Mittelpunkt stand das Unternehmen Juris, das eine juristische Datenbank betreibt. Ein Rechtsanwalt hatte wiederholt der Aufnahme in den Werbeverteiler widersprochen, Post erhielt er trotzdem. Schließlich wurde es ihm zu bunt und er brachte den Fall vor Gericht. Er berief sich dabei auf einen klaren Verstoß gegen die DSGVO.

Das Landgericht Saarbrücken entschied, dass Juris für diesen Verstoß verantwortlich sei und haftbar gemacht werden könne. Laut Art. 82 Abs. 1 DSGVO hat jede Person, der durch einen Verstoß gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz. Was jedoch genau unter einem immateriellen Schaden zu verstehen ist und welche Anforderungen an die Darlegung dieses Schadens gestellt werden, blieb unklar.

Um diese Unklarheit zu beseitigen, legte das Landgericht den Fall dem EuGH vor, insbesondere hinsichtlich der Frage, ob für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO ein tatsächlicher Schaden nachgewiesen werden muss. Der EuGH bestätigte dies im Grundsatz, ließ jedoch offen, was konkret als immaterieller Schaden anzusehen ist und welche Nachweise dafür erforderlich sind.

Unternehmen haften als „Verantwortliche Stelle“ für Verstöße ihrer Mitarbeiter

Juris argumentierte, dass interne betriebliche Vorschriften zum Umgang mit Werbewidersprüchen vom Mitarbeiter missachtet wurden und somit keine Haftung des Unternehmens selbst bestehe. Diese Argumentation stützte sich auf Art. 82 Abs. 3 DSGVO, der eine Haftungsbefreiung vorsieht, wenn der Verantwortliche nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Der EuGH stellte jedoch klar, dass Unternehmen im Außenverhältnis immer für Datenschutzverstöße ihrer Mitarbeiter haften. Es reicht nicht aus, lediglich Anweisungen und Richtlinien zu erlassen; Unternehmen müssen deren Einhaltung aktiv überwachen und kontrollieren.

Schadensersatz: Welche Summen stehen im Raum?

Die Höhe des Schadensersatzes bei Datenschutzverstößen ist nicht einheitlich festgelegt und kann stark variieren. Manche Gerichte sprechen nur geringe Beträge zu, während andere Summen bis zu 10.000 Euro umfassen. Unternehmen sollten daher Rückstellungen bilden, um solchen Forderungen begegnen zu können. Eine angemessene Reaktion bei Datenschutzpannen ist entscheidend.

 

Mitarbeiterhaftung: Eine differenzierte Betrachtung

Primär haften Unternehmen für Datenschutzverstöße. Mitarbeiter können jedoch je nach Fahrlässigkeitsgrad in Regress genommen werden:

  • Leichte Fahrlässigkeit: Keine Haftung.
  • Mittlere Fahrlässigkeit: Haftung kann geteilt werden.
  • Grobe Fahrlässigkeit und Vorsatz: Mitarbeiter können vollständig haftbar gemacht werden.

Persönliche Haftung von Mitarbeitern ist jedoch selten, da Datenschutzverstöße oft als leichte Fahrlässigkeit eingestuft werden.

DSM-Online 14 Tage kostenlos und unverbindlich testen!

Arbeitsrechtliche Konsequenzen

Datenschutzverstöße können auch arbeitsrechtliche Folgen haben, wie Abmahnungen oder Kündigungen. Schwere Verstöße, wie das unerlaubte Lesen und Weitergeben von E-Mails, können sogar eine fristlose Kündigung rechtfertigen.

 

Verantwortung der Geschäftsführer und Vorstände

Geschäftsführer und Vorstände können persönlich haften, wenn sie ihre Aufsichtspflichten vernachlässigen. Das Oberlandesgericht Dresden entschied, dass Geschäftsführer als datenschutzrechtlich Verantwortliche gelten und persönlich haftbar gemacht werden können, wenn sie die Einhaltung der Datenschutzvorschriften nicht sicherstellen.

Maßnahmen zur Verhinderung von Datenschutzverstößen

Um Datenschutzverstöße zu vermeiden und Haftungsrisiken zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

Klare Richtlinien: Datenschutzrichtlinien müssen verständlich und praxisnah sein.

Regelmäßige Schulungen: Mitarbeiter sollten kontinuierlich geschult werden.

Kontrollen und Überprüfungen: Regelmäßige Überprüfungen der Einhaltung der Datenschutzrichtlinien sind unerlässlich.

Dokumentation: Alle Maßnahmen zur Einhaltung der DSGVO sollten dokumentiert werden. Zum Beispiel in der Datenschutzmanagementsoftware DSM-Online.

Beratung und Unterstützung: Unterstützung von spezialisierten Datenschutzbeauftragten kann helfen, alle Anforderungen zu erfüllen.

Fazit – Ein Weckruf für Unternehmen

Die Entscheidungen des EuGH sind ein klarer Weckruf für Unternehmen, den Datenschutz ernst zu nehmen. Die Haftung für Datenschutzverstöße kann nicht nur finanziell schwerwiegende Konsequenzen haben, sondern auch den Ruf eines Unternehmens nachhaltig schädigen. Jetzt ist die Zeit, die notwendigen Schritte zu unternehmen, um die DSGVO vollständig zu erfüllen und die Risiken zu minimieren.

 

Nutzen Sie unsere Datenschutzmanagement-Software

Um Ihr Unternehmen effektiv vor Datenschutzverstößen zu schützen, empfehlen wir den Einsatz unserer Datenschutzmanagement-Software. Sie bietet umfassende Unterstützung bei der Einhaltung der DSGVO, von der Erstellung klarer Richtlinien bis zur Durchführung regelmäßiger Schulungen und Kontrollen. Kontaktieren Sie uns für weitere Informationen und eine persönliche Beratung.