Euroforum

Euroforum GmbH-Geschäftsführer-Seminare
Info-Hotline: +49 2 11/88743-3340

DATENSCHUTZRECHTLICHE HAFTUNGSRISIKEN DES GMBHGESCHÄFTSFÜHRERS

Michaela Wiesenborn, Rechtsanwältin und Syndikusrechtsanwältin im Arbeitgeberverband Südwestmetall, Bezirksgruppe Rems-Murr, Waiblingen

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ist es zu einer Erweiterung von Haftungsrisiken für den GmbH Geschäftsführer gekommen. Dieser kann unter Umständen Adressat von Schadensersatzansprüchen und/oder empfindlichen Bußgeldern und Sanktionen sein.

1. Zivilrechtliche Haftungsrisiken

1. Art. 82 DSGVO als zentrale Haftungsnorm
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Art. 82 DSGVO stellt die zentrale Haftungsnorm im Rahmen zivilrechtlicher Haftung für Datenschutzverstöße dar und ist aufgrund des europarechtlichen E‚ektivitätsgrundsatzes auch gleichzeitig Mindeststandard, der nicht unterschritten werden darf.

2. Vergleich zur bisherigen Rechtslage
Im Vergleich zur bisherigen Rechtslage (§ 7 BDSG alte Fassung [a.F.]) sieht Art. 82 DSGVO gleich mehrere Verschärfungen vor:

  • So enthält die Norm neben dem bisherigen materiellen nun auch einen immateriellen Schadensersatzanspruch.
  • Ferner wurden die Exkulpationsmöglichkeiten stark eingeschränkt, denn Art. 82 Abs. 3 DSGVO stellt den Verantwortlichen von der Haftung nur dann frei, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wohingegen nach § 7 BDSG a.F. die Beachtung der nach den Umständen des Falles gebotene Sorgfalt ausreichte.
  • Art. 82 DSGVO lässt nunmehr jeden Verstoß gegen die DSGVO zur Auslösung des Schadensersatzanspruches genügen. Nach alter Rechtslage bedurfte es einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten.
  • Strittig ist bislang, ob Art. 82 DSGVO sogar eine verschuldensunabhängige Haftung vorsieht.1 Ausgangspunkt ist der Begriff‚ „verantwortlich“ im Rahmen der Exkulpation nach Art. 82 Abs.Ä3 DSGVO, welcher mit Verschulden gleichzusetzen sein könnte. Da jedoch in der Vorschrift nicht von „Verschulden“ die Rede ist, kann die Norm auch als Gefährdungshaftungstatbestand begri‚en werden. Teilweise wird von einer Haftung für vermutetes Verschulden mit Exkulpationsmöglichkeit ausgegangen.2
  • Neu eingeführt wurde der Begriff‚ des Verantwortlichen, wohingegen die alte Rechtslage von verantwortlicher Stelle sprach.

3. Verantwortlicher
Verantwortlicher nach Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Jeder, der Daten für sich verarbeitet und damit weisungsfrei über den Verarbeitungszweck und die Mittel entscheidet, kann Verantwortlicher sein, es sei denn es handelt sich um Verarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 2 c DSGVO).

4. Auswirkungen auf den GmbH Geschäftsführer
Die Frage, ob der GmbH Geschäftsführer persönlich Verantwortlicher im Sinne der DSGVO ist bzw. sein kann, ist im Schrifttum umstritten und wurde von der Rechtsprechung bislang noch nicht entschieden. Vereinzelt wird die Auffassung vertreten, dass die- DSGVO die Verantwortung dem jeweiligen Rechtsträger zuordne und es somit unzulässig erscheine, die Verantwortlichkeit dem außenvertretungsbefugten Leitungsorgan eines Unternehmens zuzuordnen.3 Weite Teile des Schrifttums gehen jedoch davon aus, dass die natürlichen Personen, welche über Zweck und Mittel der Verarbeitung weisungsfrei entscheiden, letztendlich auch die persönliche Verantwortung für ein Tun oder Nichttun zu tragen haben und damit Verantwortliche i.S.d. DSGVO sein können.4 Demnach wäre der GmbH-Geschäftsführer immer dann Verantwortlicher, wenn er – ohne einer Weisung der Gesellschafterversammlung zu unterliegen – über Zweck und Mittel der Verarbeitung entscheidet.

Dem entspricht auch die zunehmend extensive Auffassung des Begriffs des Verantwortlichen. Der EuGH geht in einer aktuellen Entscheidung (EuGH 10.07.2018 – C-25/17 Zeugen Jehovas) bereits von einer Verantwortlichkeit aus, soweit aus Eigeninteresse auf die Entscheidung über die Datenverarbeitung Einfluss genommen werde, obgleich kein Zugriff auf die personenbezogenen Daten besteht. Des Weiteren gehen Teile der Literatur mit einer weiten Auslegung des Verantwortlichenbegriffs davon aus, dass auch einzelne Unternehmensmitarbeiter Verantwortliche im Sinne der DSGVO sein können, sofern sie weisungsfrei selbst über Mittel und Zweck der Verarbeitung entscheiden.5 Auch der Betriebsrat wird teilweise als Verantwortlicher im Sinne der DSGVO betrachtet, wobei hinsichtlich der Frage, wer letztendlich die Kosten bzw. den Schaden trägt, unter gewissen Voraussetzungen sogar von der persönlichen Haftung von Betriebsratsmitgliedern ausgegangen wird.6

Aufgrund dieser extensiven Auslegung erscheint es naheliegend, auch den GmbH-Geschäftsführer als Verantwortlichen anzusehen, sofern dieser weisungsfrei über Zweck und Mittel der Verarbeitung entscheidet. Damit kann dieser der – womöglich verschuldensunabhängigen – Haftung des Art. 82 DSGVO ausgesetzt sein.

Daneben sieht § 43 Abs. 2 GmbHG eine Regressmöglichkeit der Gesellschaft gegen den Geschäftsführer vor, falls die Gesellschaft als Verantwortliche nach Art. 82 DSGVO haftet, wobei der Regress nach § 43 Abs. 2 GmbHG jedoch einen verschuldensabhängigen Sorgfaltspflichtverstoß des Geschäftsführers voraussetzt.

2. Geldbußen und Strafvorschriften

Art. 83 DSGVO regelt die Bedingungen und Höhe von Geldbußen, welche zusätzlich zu oder an Stelle einer Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO verhängt werden können.

Art. 84 DSGVO bildet die Brückennorm ins nationale Recht. So ergibt sich aus § 41 BDSG die Anwendung der Vorschriften über das Bußgeld- und Strafverfahren, insbesondere die sinngemäße Anwendbarkeit des Gesetzes über Ordnungswidrigkeiten (OWiG).

Darüber hinaus normiert § 42 BDSG Strafvorschriften.

1. Geldbußen
Im Vergleich zur alten Rechtslage (§ 43 Abs. 3 BDSG a.F.) haben sich die Geldbußen empfindlich erhöht. So sah § 43 Abs. 3 BDSG a.F. je nach Art des Verstoßes Geldbußen von bis zu 50.000 € bzw. 300.000 € vor. Art. 83 DSGVO sieht abhängig von der Art des Verstoßes Geldbußen von bis zu 10 Mio € bzw. 20 Mio € oder im Falle eines Unternehmens von bis zu 2% bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor, je nachdem, welcher der Beträge höher ist.

Adressat von Geldbußen nach Art. 83 DSGVO ist u.a. der Verantwortliche, dies können neben natürlichen Personen auch Unternehmen sein. Über Art. 83, 84 DSGVO i.V.m. § 41 BDSG i.V.m. § 130 OWiG kommen als Adressaten der Zurechnung gem. § 9 OWiG auch die dort aufgeführten Organe, Organmitglieder, Vertreter und Beauftragte in Betracht, sofern es sich nicht um ein Einzelunternehmen handelt.7 Zu den in § 9 Abs. 1 Nr. 1 OWiG genannten vertretungsberechtigten Organen bzw. Organmitgliedern zählt bei der GmbH der Geschäftsführer (§ 35 GmbHG).

2. Strafvorschriften
§ 42 BDSG sieht in Abs. 1 Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe bei gewerbsmäßiger Tatbegehung bzw. in Abs. 2 Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe vor, wenn die Verarbeitung gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht begangen wurde. Auch dies stellt eine Verschärfung im Vergleich zur alten Rechtslage (§ 44 BDSG a.F.) dar, die noch keine Strafschärfung im Falle gewerbsmäßiger Begehung enthielt, sondern lediglich eine zweijährige Freiheitsstrafe oder Geldstrafe normierte.

Der Kreis möglicher Täter des § 42 BDSG umfasst u.a. vertretungsberechtigte Organe einer juristischen Person bzw. deren Mitglieder, gesetzliche Vertreter, leitende Angestellte und Personen, die ausdrücklich damit beauftragt wurden, in eigener Verantwortung – d.h. mit hinreichend eigenverantwortlicher Entscheidungs- und Leitungsbefugnis – die Aufgaben wahrzunehmen, die mit der Tätigkeit als Verantwortlicher zusammenhängen, womit auch der GmbH-Geschäftsführer Adressat der Strafvorschrift sein kann.8

3. Möglichkeiten der Haftungsbeschränkung
In Anbetracht der Verschärfung der zivilrechtlichen Haftungsnorm des Art. 82 DSGVO im Vergleich zur alten Rechtslage, als auch der Regresshaftung des GmbH Geschäftsführers über § 43 Abs. 2 GmbHG sowie der erheblichen Geldbußen, die auch den GmbH Geschäftsführer tre‚en können, wird die Einhaltung der DSGVO und des BDSG für den GmbH Geschäftsführer wichtiger denn je.

Vor diesem Hintergrund bleibt nach Möglichkeiten der Haftungsbegrenzung zu fragen:

  • Da der Wirksamkeit der DSGVO immer Rechnung zu tragen ist kommt ein vertraglicher Haftungsausschluss nicht in Betracht.9
  • Ferner werden die Deckungssummen von D&O-Versicherungen vermutlich nicht die hohen Bußgelder der DSGVO abdecken, was im Einzelfall mit dem Versicherer zu prüfen wäre.
  • Möglicherweise könnte – was abzuwarten bliebe – die Einführung eines Datenschutz-Management- Systems (DMS), ähnlich eines Compliance-Management- Systems, eine Bußgeldentscheidung der Behörden vermeiden oder zumindest die Sanktionsfolge minimieren. Sofern Art. 82 DSGVO jedoch als verschuldensunabhängiger Anspruch verstanden wird, wäre dies fraglich. Letztlich hilft dennoch ein DMS dem Geschäftsführer dabei, die Erfordernisse der DSGVO und des BDSG zu strukturieren, abzubilden und deren unternehmensweite Einhaltung zu überwachen und somit seiner Legalitätspflicht nachzukommen, um Haftungsrisiken zu minimieren.


1. Dafür: Paal/Pauly DSGVO 2. Aufl. 2018 Art 82 Rn 6; Wybitul in ZD 2016, 253; dagegen: Ehmann/Selmayr 2. Aufl. 2018 Art 82 Rn 14; Simitis/Hornung/ Spiecker DSGVO 1. Aufl. 2019 Art 82 Rn 6; offengelassen: Sydow DSGVO 2. Aufl. 2018 Art 82 Rn. 18
2. BeckOK Datenschutzrecht, Wolff/Brink, 26. Ed. 01.05.2017, Art 82 Einl; Gola DSGVO 2. Aufl. 2018 Art 82 Rn 18
3. Sydow DSGVO 2. Aufl. 2018 Art 4 Rn 129 Fn 167
4. BeckOK Datenschutzrecht Wolff/Brink, 26. Ed. Stand 01.02.2018 Art 4 Rn 89; Ehmann/Selmayr DSGVO 2. Aufl. 2018 Art 4 Rn 38, Paal/Pauly DSGVO 2. Aufl. 2018 Art 4 Rn 5
5. So DB 2018, 2635; andere Ansicht: Simitis/Hornung/Spiecker DSGVO 1. Aufl. 2019 Art 4 Rn 16; BB 2018, 1652
6. LfDI Baden-Württ., 34. Tätigkeitsbericht zum Datenschutz 2018, S. 37; Wybitul NZA 2017, 1488; ArbRB 2018, 371; BGH 25.10.2012 – III ZR 266/11
7. Handbuch Arbeitsstrafrecht Ignor/Mosbacher 3. Aufl. 2016 § 13 Rn 7
8. BeckOK Datenschutzrecht Wolff/Brink 26. Ed. 1.11.2018 Art 42 Rn 15
9. Paal/Pauly DSGVO 2. Aufl. 2018 Art 82 Rn 19