MENU
  1. Bildung
  2. Themenwelten: Weiter denken ‒ Wissen entwickeln
  3. Datenschutz
  4. EU-Datenschutz-Grundverordnung: Das müssen Sie wissen
  5. Haftung nach der EU-Datenschutz-Grundverordnung

Die Haftung des Geschäftsführers nach der EU-Datenschutz-Grundverordnung

Wenn Geschäftsführer und Vorstände die neue Datenschutz-Grundverordnung (DSGVO) nicht in allen Punkten korrekt umsetzen, kann es schnell teuer werden. Die EU-Verordnung stellt mehr als bisher das Recht jeder Person an ihren Daten in den Vordergrund. Die Unternehmen haben deshalb die Pflicht zur ordnungsgemäßen Verarbeitung der Daten. Und sie müssen die Risiken, die damit verbunden sind, berücksichtigen – und dafür Vorkehrungen treffen.

Weil der EU das Thema Datenschutz wichtiger ist als bisher, werden auch die Bußgelder bei Verletzungen wesentlich höher. Die Aufsichtsbehörden können momentan zwar schon Verstöße ahnden. Allerdings sieht das Bundesdatenschutzgesetz (BDSG) Bußgelder von maximal 300.000 Euro vor. In der Praxis wurden so hohe Strafen kaum verhängt. Die Zahlungen lagen – bis auf einige Ausnahmen wie zum Beispiel bei der Mitarbeiterüberwachung durch Lidl – bei einigen Hundert bis wenigen Tausend Euro.

Die EU will mehr Datenschutz – und schraubt die Bußgelder anlässlich der neuen DSGVO hoch

Die relativ geringen Bußgelder führten dazu, dass viele Firmen mit dem Thema eher nachlässig umgehen. Das will die EU nun ändern. Ab der Umsetzungspflicht der DSGVO am 25. Mai 2018 können die Bußgeldzahlungen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Firmenumsatzes betragen.

Dass einige Unternehmen das Datenschutzrecht nicht streng einhielten, lag aber nicht nur an den relativ geringen Bußgeldern. Sondern auch an der Personalknappheit bei den Aufsichtsbehörden. Auch das wird sich ändern. Die Bundesdatenschutzbeauftragte Andrea Voßloh hat für 2017 fast 50 neue Stellen erhalten. Damit hat sich die Zahl der Planstellen ihrer Behörde innerhalb von drei Jahren fast verdoppelt. Auch die Länderdatenschutzbehörden stocken ihr Personal auf – allerdings in weit geringerem Umfang.

Zugriff auf das Privatvermögen bei Verstößen gegen die Richtlinien der DSGVO

„Datenschutz im Unternehmen wird wichtiger, weil die Bedrohung aus Mängeln größer wird als bisher“, meint der Rechtsanwalt und langjährige Datenschutzbeauftragte Frank Henkel. Die juristische Verantwortung für die ordnungsgemäße Umsetzung der DSGVO trägt der Vorstand beziehungsweise der Geschäftsführer eines Unternehmens. Bei Verstößen können die Aufsichtsbehörden aber nicht nur hohe Bußgeldzahlungen verhängen. Unter Umständen haften die Verantwortlichen auch persönlich: Das heißt, sie müssen mit ihrem Privatvermögen einstehen.

Aus einer mangelhaft umgesetzten DSGVO können also hohe finanzielle Belastungen für den Geschäftsführer oder Vorstand und für das Unternehmen entstehen. Zur Absicherung empfiehlt sich deshalb eine D&O-Versicherung . Aber auch sie wird nur dann leisten, wenn es sich nicht um grobe Fahrlässigkeit handelt. Grobe Fahrlässigkeit kann bereits dann eintreten, wenn dem Verantwortlichen nachgewiesen werden kann, dass er auf Verstöße gegen das Datenschutzrecht hingewiesen wurde und trotzdem untätig geblieben ist.

Verantwortliche in größeren Firmen werden die Einführung und das kontinuierliche Monitoring der DSGVO nicht selbst durchführen. Eine wichtige Stütze für die Unternehmensführung bei der Umsetzung der umfangreichen Regelungen ist und bleibt der Datenschutzbeauftragte. Gegenüber dem BDSG wird seine beratende und unterstützende Rolle durch das neue EU-Recht nun aber ausgeweitet.

Neue DSGVO: Auch der Datenschutzbeauftragte haftet bei Verstößen

Der Datenschutzbeauftragte hat nun auch umfassende Überwachungspflichten. Schon in seinem eigenen Interesse wird er darauf achten, dass er seine Aufgaben pflichtgemäß erfüllt. Denn bei Verstößen verhängen die Aufsichtsbehörden gegebenenfalls auch gegen ihn Bußgeldzahlungen. Man kann davon ausgehen, dass „Haftpflichtversicherungen für Datenschutzbeauftragte vor dem Hintergrund des erweiterten Haftungsmaßstabs und der höheren Haftungsrisiken zukünftig deutlich teurer werden“, meint Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells.

Für Geschäftsführer von kleineren Unternehmen bietet es sich möglicherweise an, einen externen Datenschutzbeauftragten zu engagieren. Bislang ist diese Berufsbezeichnung kein geschützter Begriff. „Kontakt zu qualifizierten Datenschutzbeauftragten kann man zum Beispiel über den Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) oder über die Gesellschaft für Datenschutz und Datensicherheit (GDD) erhalten“, rät Marit Hansen, die Landesbeauftragte für Datenschutz in Schleswig-Holstein. Auch die Ausbildungsnachweise und Schulungszertifikate auf den Webseiten von externen Datenschutzbeauftragten geben Hinweise auf ihre Expertise.

Rechenschafts- und Nachweispflicht der neuen DSGVO: Zertifizierung wird wichtiger

Um mehr Rechtssicherheit zu bekommen, können Geschäftsführer und Vorstände die Datenschutzverarbeitung ihres Unternehmens auch zertifizieren lassen. Denn nach dem DSGVO haben sie nun eine Rechenschafts- und Nachweispflicht, dass sie die Verpflichtungen aus der Verordnung erfüllen. Das kann im Rahmen einer Zertifizierung geschehen. Diese Möglichkeit sieht das DSGVO ausdrücklich vor und unterscheidet sich damit von den bisherigen gesetzlichen Vorgaben.

Viele Verantwortliche kennen Zertifizierungen bereits vom Risikomanagement, das sie nach dem internationalen Standard ISO 27001ff prüfen lassen. Ähnliches wird sich nach Ansicht von Rechtsanwalt Henkel auch für die DSGVO entwickeln. Als Anbieter kommen große Steuer- und Wirtschaftsprüfungsgesellschaften wie KPMG oder PwC in Frage. Bereits heute ist die Einhaltung der DSGVO und anderer rechtlicher Vorgaben Teil von Datenschutz-Zertifizierungen bei TÜViT, zum Beispiel Trusted Site Privacy oder Trusted Cloud Datenschutzprofil. Auch die Aufsichtsbehörden auf Länderebene in Deutschland und EU-weit werden Zertifizierungen durchführen. 

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen