Die Geschäftsführung haftet bei Verstößen gegen die DSGVO
Ein Gerücht macht die Runde: Geschäftsführer seien für Verstöße gegen die Datenschutz-Grundverordnung nicht haftbar zu machen. Die Haftung ließe sich auf interne Datenschutzbeauftragte abwälzen. Irrtum. Geschäftsführer haften, in Österreich gem. §25 GmbHG. Bei Verletzung von Schutzgesetzen ist sogar eine direkte Haftung gegenüber Dritten möglich.
Es haftet jedoch nicht nur die Geschäftsführung für Verstöße gegen die Datenschutz Grundverordnung, sondern lt. Art 82 DSGVO jede*r an der Verarbeitung beteiligte Verantwortliche. Da können Manager genauso betroffen sein, wie Verantwortliche in der IT, im Marketing etc. pp. Das kann teuer werden.
Abs. 2
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Abs. 5
Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
Allein schon aus diesem Grund liegt es im Interesse aller Mitarbeiter*innen eines Unternehmens, die in irgendeiner Weise mit der Verarbeitung personenbezogener Daten zu tun haben, die Geschäftsführung zu drängen, Maßnahmen zu ergreifen, um Rechtskonformität sicherzustellen. Jedenfalls sollten Mitarbeiter*nnen zum Selbstschutz Verstöße gegen die DSGVO schriftlich melden. Es geht letztlich darum, hohe Strafen zu vermeiden.
Ist die Beauftragung externer Datenschutzbeauftragter ein Ausweg?
Weder interne noch externe Datenschutzbeauftragte haben üblicherweise Weisungs- und Durchgriffsrechte. Sie können letztlich Verstöße gegen Datenschutzbestimmungen nur aufzeigen und Handlungsbedarf anmelden. Ist das nachweisbar geschehen und blieben Hinweise im Unternehmen unberücksichtigt, so ist auch ein externer Datenschutzbeauftragter ohne Obligo. Zudem ist kaum vorstellbar, dass externe Dienstleister ohne weitgehenden Haftungsausschluss als externe Datenschutzbeauftragte tätig werden.
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
per E-Mail
Der Gesetzestext der DSGVO, EU-Lex
DSGVO Assessment
Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines
Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
2 Kommentare
Kommentar von: Stefan Schiffer Besucher
Ergänzend dazu die allgemeine Bedingungen für die Verhängung von Geldbußen aus dem DSG (neu): https://goo.gl/oxaZrt
§ 30 (1) DSG: Die Datenschutzbehörde kann Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund
1. der Befugnis zur Vertretung der juristischen Person,
2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder
3. einer Kontrollbefugnis innerhalb der juristischen Person
innehaben.
§ 30 (3) DSG: (3) Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes 1991 – VStG, BGBl. Nr. 52/1991, abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.
Kommentar von: Graf Hannelore Besucher
@Schiffer Die Verhängung einer Geldbuße gegen eine juristische Person bedeutet aber nicht, dass diese juristische Person natürliche Personen im Unternehmen, die für die Verarbeitung verantwortlich sind, nicht in Regress nehmen kann.
Formular wird geladen...