Persönliche Haftung von Vorständen und Geschäftsführern bei Bußgeld?
In Ergänzung des vorherigen Beitrages „Aktuelles zum Datenschutz“ hat sich in den vergangenen Monaten die Folgefrage der Haftung gestellt, sofern eine Datenschutzverletzung tatsächlich auch gerügt und mittels eines Bußgeldbescheids sanktioniert wird. Allseits bekannt dürfte mittlerweile das Millionenbußgeld gegen einen deutschen Großvermieter aus dem Herbst 2019 sein.
Hierbei kommt eine Haftung des Vorstands/der Geschäftsführung zumindest in Betracht, spätestens mit der Leitentscheidung der Handelskammer des LG München I (Urt. v. 10.12.2013 – Az.: 5 HK O 1387/10, sog. „Neubürger-Entscheidung“) ist eine persönliche Inanspruchnahme der Unternehmensführung durch die Gesellschaft (vertreten durch Aufsichtsrat oder Gesellschafterversammlung) möglich.
Folgende grundlegende Punkte sind aus dem Urteil mit Blick auf die wieder brandaktuelle Thematik „Bußgeldbescheide wegen Datenschutzverletzung“ zu beachten:
- Pflicht zur Organisation und Aufsicht für Zahlungsflüsse, wobei die Einrichtung einer Compliance (Risikokontrolle + Schadensprävention = RMS und IKS) ausreichend ist;
- die Einhaltung des Gesetzmäßigkeitsprinzips;
- Durchsetzung und Wahrnehmung der Gesamtverantwortung im Unternehmen.
Die aus dem AktG, dem GmbHG sowie dem GenG resultierenden Haftungsmaßstäbe für Vorstände und Geschäftsführer legen die Schwelle für Regressforderungen zwar nicht allzu niedrig, da die Führungsorgane teilweise auch eine gewisse unternehmerische Freiheit genießen. Sobald aber dokumentiert bzw. undokumentiert ist, dass die Überwachung von Datenschutzprozessen und Einrichtung von Kontrollmechanismen in der Genossenschaft bzw. der GmbH nicht erfolgt sind und dies nach außen hin auch aufzeigbar ist, liegt eine schuldhafte (d. h. persönlich vorwerfbare) Pflichtverletzung unzweifelhaft vor.
Es ist zu betonen, dass gemäß § 93 Abs. 2 Satz 1 AktG (Schadensersatzanspruch der Gesellschaft) eine Beweislastumkehr zu-lasten des Vorstandes stattfindet (übertragbar auf GmbH und Genossenschaft). Die Benennung eines Datenschutzbeauftragten und eine Delegierung von Aufgaben ändert nichts daran, dass Datenschutz-Compliance „Chefsache“ und damit persönliches Haftungspotential des geschäftsführenden Organs im Rahmen des Gesamtschuld seiner Mitglieder ist.
Da die relevanten Präzedenzfälle langsam zunehmen sowie die Bedeutung der Rechtsmaterie nebst den Chancen für hohe Bußgeldeinnahmen bei den Behörden erkannt wurde, empfehlen wir unbedingt eine Überprüfung Ihrer Datenschutzregelungen und -systeme im Unternehmen vor allem mit dem Fokus auf Ihre als Geschäftsführer und Vorstände persönliche Involvierung. Sollten Haftungsproblematiken vorliegen oder sich andeuten, sprechen Sie uns gern an.
Sebastian Tempel
Rechtsanwalt
Kanzleiforum 12/2019
Rechtsanwälte Strunz ♦ Alter, Chemnitz