1. Persönliche Haftung des Geschäftsführers

Verständlicherweise besonders gefürchtet, im deutschen Ordnungswidrigkeitenrecht aber durchaus möglich, ist die persönliche Haftung des Geschäftsführers.

Weitestgehend unstreitig besteht zunächst die Möglichkeit, dass ein Geschäftsführer bei DSGVO-Verstößen, die er selbst verschuldet hat und sich zurechnen lassen muss, von seinem Unternehmen in Regress genommen wird und mit seinem privaten Vermögen einstehen muss. Doch kann ein Bußgeld auch direkt an einen Geschäftsführer adressiert werden?

1.1. Schuldprinzip und Handelnden Haftung

Das deutsche Ordnungswidrigkeitenrecht beruht auf der Idee der sog. „Handelndenhaftung“, die wiederum auf das im deutschen Recht geltende „Schuldprinzip“ zurückzuführen ist: Danach kann eine Ordnungswidrigkeit nur durch eine natürliche Person vorwerfbar begangen werden. Denn juristische Personen sind schlussendlich nur gedankliche Konstrukte. Sie können weder selbstständig handeln, noch Schuld auf sich laden. Ihnen kann lediglich das Handeln ihrer Organmitglieder oder Repräsentanten (also das vorwerfbare Tun der natürlichen Personen) zugerechnet werden. Dazu später mehr.

1.2. Haftung nach dem OWiG

§ 130 OWiG normiert ausdrücklich, dass Inhaber eines Betriebes oder Unternehmens für vorsätzliche und fahrlässige Verletzungen Ihrer Aufsichtspflicht mit einem Bußgeld belegt werden und damit haften können. Verstöße gegen die DSGVO können grundsätzlich eine Verletzung der Aufsichtspflicht darstellen.

1.3. Das OWiG und die DSGVO

Umstritten ist aber die Frage, ob man die Vorschrift des § 130 OWiG auf die DSGVO überhaupt anwenden darf. Bislang gingen insbesondere die Aufsichtsbehörden und auch das LG Bonn davon aus, dass dem nicht so ist und dass Bußgelder nur gegen den Verantwortlichen verhängt werden konnten – wobei sie den Verantwortlichen stets als juristische Person verstanden. Das Landgericht Berlin hat in einem Beschluss vom 18. Februar 2021 (Az.: (526 OWi LG) 212 Js-OWi 1/20 (1/20)) eine andere Ansicht vertreten. Argumentativ durchaus überzeugend legt es dar, dass § 130 OWiG über § 41 BDSG iVm Art. 84 DSGVO auch auf Verstöße gegen Datenschutzvorschriften Anwendung finden muss.

1.4. Haftet also der Geschäftsführer?

Im Ergebnis wird man derzeit sagen müssen: Es herrscht Uneinigkeit. Das Landgericht Berlin führt starke Argumente für die Anwendbarkeit nationaler Bußgeldvorschriften auf die DSGVO und damit auch für die persönliche Haftung des Geschäftsführers ins Feld. Es schließt sich damit der Ansicht des Verwaltungsgerichtshofs Österreich an, der im Mai 2020 in einem ähnlichen Verfahren eine vergleichbare Norm des österreichischen Ordnungswidrigkeitenrechts für anwendbar erklärte. Doch auch die Gegenseite weiß Ihren Standpunkt zu verteidigen. Bis eine endgültige Entscheidung vorliegt und Rechtsklarheit herrscht, ist eine persönliche Haftung des Geschäftsführers daher grundsätzlich möglich.

2. Die Haftung des Mitarbeiters

Würden Mitarbeiter für jeden DSGVO-Verstoß vollumfänglich haften, würde sich wohl jeder Arbeitnehmer weigern, personenbezogene Daten zu verarbeiten. Und in der Tat ist die Haftung des Arbeitnehmers bei DSGVO-Verstößen die Ausnahme.

2.1. Bußgeld an den Mitarbeiter

Der einzelne Mitarbeiter kann schon grundsätzlich nicht Adressat eines Bußgelds nach Art. 83 DSGVO sein, denn Adressat ist immer nur der „Verantwortliche“ iSv Art. 4 Nr. 7 DSGVO, also der Arbeitgeber.

Achtung: Eine Ausnahme existiert! Nutzt der Beschäftigte personenbezogene Daten in einer Art und Weise, die keinen Bezug mehr zur unternehmerischen Tätigkeit aufweist (sog. Exzess) – wenn er also bei der Datenverarbeitung eigene Zwecke verfolgt –, so wird er zum Verantwortlichen und ausnahmsweise kann ein Bußgeld gegen ihn erlassen werden.

Auch die Person, deren Rechte durch den Datenschutzverstoß ggf. verletzt wurden, muss sich mit ihrem Schadensersatzanspruch aus Art. 82 DSGVO an den Arbeitgeber wenden.

2.2. Regressansprüche gegenüber dem Mitarbeiter

Hat der Mitarbeiter den Verstoß gegen die DSGVO-Vorschriften aber schuldhaft begangen, d.h. sind ihm Vorsatz oder Fahrlässigkeit vorzuwerfen, so kann sich der Arbeitgeber im Innenverhältnis (= Verhältnis Arbeitgeber – Arbeitnehmer; Außenverhältnis = z.B. Arbeitgeber - Aufsichtsbehörde) einen Teil des gezahlten Bußgeldes zurückholen. Hier sind jedoch arbeitsrechtliche Sonderregelungen zu beachten, insbesondere der innerbetriebliche Schadensausgleich: Dahinter steht der Gedanke, dass es zwar die Pflicht des Arbeitnehmers ist, sich an die datenschutzrechtlichen Vorgaben zu halten, er als Beschäftigter aber so viel Zeit auf seinem Arbeitsplatz verbringt, dass ihm auch mal ein Fehler unterlaufen kann. Je mehr man ihm diesen Fehler vorwerfen kann (Staffelung: leichte Fahrlässigkeit/normale Fahrlässigkeit/Grobe Fahrlässigkeit/Vorsatz), desto größer ist der Haftungsumfang. Bei leichter Fahrlässigkeit ist eine Haftung ausgeschlossen.

Ist das ungerecht? Nein, denn den Arbeitnehmer treffen bestimmte Verpflichtungen, zu deren Einhaltung er sich mit Unterschreiben des Arbeitsvertrags verpflichtet hat. Eine dieser Verpflichtungen ist die Einhaltung der datenschutzrechtlichen Vorgaben. Hat der Arbeitgeber den Arbeitnehmer jedoch nicht hinreichend über diese Vorgaben informiert, liegt die Schuld ggf. wieder beim Arbeitgeber und eine Haftung des Arbeitnehmers ist ausgeschlossen.

3. Die Haftung des Unternehmens

Im Normalfall haftet also das Unternehmen als solches. Doch auch hier ist nicht alles abschließend geklärt: so stellt sich etwa die Frage, ob das Unternehmen für die Datenschutzverstöße eines jeden Mitarbeiters haftet oder nur für das ihm zurechenbare schuldhafte Handeln seiner Organe und Leitungspersonen?

Im Ergebnis läuft der Streit auf die bereits oben aufgeworfene Frage hinaus, nämlich inwieweit die Vorschriften des OWiG auf die DSGVO anwendbar sind. Geht man mit den deutschen Aufsichtsbörden und dem LG Bonn davon aus, dass Art. 83 DSGVO als europäisches Recht die nationalen Bußgeldvorschriften und damit auch die §§ 30, 130 OWiG verdrängt, ist eine umfassende Haftung des Unternehmens für die Verstöße all seiner Mitarbeiter zu bejahen. Dass in einem solchen Fall nicht einmal ermittelt werden müsse, welcher konkrete Mitarbeiter den Datenschutzverstoß verursacht hat, mag auf den ersten Blick sehr weit gehen. Doch spricht für diese Auffassung vor allem, dass nur so der Zielsetzung von Art. 83 DSGVO entsprochen werden und eine effektive Sanktionierung durchgesetzt werden kann.

Da jedoch die Gegenargumente des Landgerichts Berlin nicht einfach von der Hand zu weisen sind, wird man auch an dieser Stelle zu dem Ergebnis gelangen müssen: eine eindeutige Antwort gibt es bislang nicht.