Wer haftet im Schadensfall?

Bei einer Datenschutzverletzung in einem Unternehmen können unterschiedliche Personen geschädigt werden:

  • das Unternehmen selbst
  • die Eigentümer des Unternehmens
  • Dritte (Kunden, Lieferanten, andere Vertragspartner, Mitarbeiter)

Ein Schaden für das Unternehmen kann sich z. B. aus Datenverlusten durch IT-Fehler ergeben. Dazu gehören u. a. Wiederherstellungskosten bei Verlust von Daten aufgrund einer unterlassenen, fehlerhaften oder unvollständigen Datensicherung oder bei Zerstörung von Daten durch Schadsoftware wegen eines mangelhaften Internetschutzes durch Firewall und Virenscanner.

Die Eigentümer des Unternehmens können insbesondere geschädigt werden, wenn der Ruf und damit der Wert des Unternehmens nach einer öffentlich gewordenen Datenpanne leidet.

Dritte können geschädigt werden, wenn ihre Daten durch Diebstahl oder eine unzulässige Übermittlung in unbefugte Hände geraten. Ein Missbrauch der Daten lässt sich in solchen Fällen nur schwer oder gar nicht verhindern.

Gegenüber den Betroffenen haftet zunächst das Unternehmen, d. h. der Verantwortliche, als juristische Person oder Personengesellschaft für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurden. Eine Haftung ergibt sich auch aus Vertrags- oder Sorgfaltspflichtverletzungen des Unternehmens auf der Grundlage des allgemeinen Haftungsrechts.

Muss das Unternehmen wegen einer Datenschutzverletzung Schadensersatz leisten oder ein Bußgeld zahlen, stellt sich die Frage nach Regressmöglichkeiten im Innenverhältnis.

Geschäftsführer oder Vorstände können wegen Pflichtverletzungen im Datenschutzbereich persönlich dem Unternehmen gegenüber zum Schadenersatz verpflichtet sein. Sie können sich regelmäßig nicht darauf berufen, über nicht ausreichendes Wissen oder Fähigkeiten zu verfügen oder die Aufgaben delegiert zu haben. Sie sind vielmehr dazu verpflichtet, sich umfassend über das Datenschutzrecht zu informieren oder sich beraten zu lassen. Darüber hinaus haben sie die Einhaltung der Regeln im Unternehmen angemessen zu kontrollieren.

Mitarbeiter des Unternehmens haften nach den Grundsätzen des Arbeitsrechts nur beschränkt (Arbeitnehmerhaftung).