Inwieweit haften Inhaber und Geschäftsführer?

Regelungen zur Haftung im Fall von Datenschutzverletzungen finden sich in Art. 82 Abs. 1 und 2 sowie Art. 83 Abs. 1 und 3 Datenschutz-Grundverordnung (DSGVO).

Grundsatz: Haftung des „Verantwortlichen“

Haftbar ist danach stets der „Verantwortliche“, also die „datenverantwortliche Stelle“. Und diese Haftung kann enorm sein:

• Zum einen weil Art. 82 Abs. 1 DSGVO auch einen Ersatzanspruch für das Erleiden „immaterieller“ Schäden vorsieht. Es geht also nicht nur um materielle und klar bezifferbare Schäden, sondern zusätzlich um das, was man in Deutschland oft etwas pauschal als „Schmerzensgeld“ bezeichnet.
• Zum anderen haben die Aufsichtsbehörden für den Datenschutz die Möglichkeit, gegen den „Verantwortlichen“ nach Art. 83 Abs. 1 und 2 DSGVO Geldbußen zu verhängen. Sie können nach Art. 83 Abs. 5 DSGVO bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes betragen.

Wer ist „Verantwortlicher“?

Damit ist zu fragen, wer als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung anzusehen ist und ob Geschäftsführer, Vorstände oder Unternehmensinhaber darunter fallen können.

Die DSGVO definiert in Art. 4 Nr. 7 DSGVO, wer im Sinne der DSGVO „Verantwortlicher“ ist, nämlich „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; (…)“

„Verantwortlicher“ ist nicht der gesetzliche Vertreter

Damit ist also das Unternehmen als solches gemeint, das die Daten verarbeitet und über die …