Auch sechs Jahre nach ihrem Inkrafttreten bereitet die Datenschutzgrundverordnung (DSGVO) vielen Beteiligten noch Schwierigkeiten. Einige der damaligen Prognosen haben sich jedoch anders entwickelt als angenommen. Im ersten Teil des Beitrags wird untersucht, was aus den erwarteten Abmahn- und Bußgeldwellen geworden ist und wie sich das Haftungsrisiko für Manager durch die DSGVO und wachsende Cyberrisiken erhöht hat.

Abmahnwellen?
Die seinerzeit mit Inkrafttreten der DSGVO am 25. Mai 2018 prognostizierten Abmahnwellen wegen fehlender oder unvollständiger Datenschutzerklärungen sind bislang ausgeblieben. Im Jahr 2022 kam es zwar zu einer größeren „DSGVO-Abmahnwelle“ vor dem Hintergrund des Urteils des Landgerichts München I aus 2022 zur fehlerhaften Einbindung von Google Fonts. Mit Urteil vom 30.03.2023 relativierte das Landgericht seine Rechtsprechung dahingehend, dass für das automatisierte Durchsuchen von Webseiten nach möglichen DSGVO-Verstößen durch Google Fonts weder Unterlassung noch immaterieller Schadensersatz verlangt werden könne. Weder liege eine Verletzung des allgemeinen Persönlichkeitsrechts vor, noch könne man persönlich so verunsichert sein, dass ein Schmerzensgeld in Betracht komme (Urt. v. 30.03.2023, Az. 4 O 13063/22).

Auch das Landgericht Baden-Baden (Urt. v. 11.10.2022, Az. 3 O 277/22) und das Amtsgericht Ludwigsburg (Urt. v. 28.2.2023, Az. 8 C 1361/22) hatten die Rechtsmissbräuchlichkeit von Google-Fonts-Abmahnungen festgestellt. Abgesehen von diesen Ausreißern ist die deutsche Rechtsprechung zur DSGVO insgesamt jedoch überschaubar und vor allem uneinheitlich. Nach einer Anlaufphase, in der vor allem der nationale Rechtsweg beschritten wurde, werden wichtige Fragen nun dem Europäischen Gerichtshof zur abschließenden Klärung vorgelegt.

Bußgeldschwemme?
Neben der viel diskutierten Frage nach der wettbewerbsrechtlichen Abmahnfähigkeit sieht die DSGVO für den Fall einer Abmahnung unter anderem Schadenersatz und Haftung der Verantwortlichen vor (Art. 82 DSGVO).

Für Datenschutzverstöße sieht die DSGVO in Art. 83 Abs. 5 Bußgelder von bis zu EUR 20 Millionen oder bei Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag am Ende höher ist). Verstöße in dieser Größenordnung sind aber zumindest in Deutschland bisher selten.

Die Verhängung von Bußgeldern ist jedenfalls auf deutscher Behördenseite kein Automatismus geworden, sondern immer noch eine Einzelfallentscheidung. In einigen prominenten Beispielsfällen wurden jedoch bereits Bußgelder in erheblicher Höhe verhängt, so etwa gegen H&M (EUR 35 Millionen wegen der Mitarbeiterbespitzelung), AOK Baden-Württemberg (EUR 1,2 Millionen wegen unzureichender technischer und organisatorischer Maßnahmen), VW (EUR 1,1 Millionen wegen mehrerer Datenschutzverstöße bei der Beauftragung eines Dienstleisters zur Erprobung eines Fahrassistenzsystems), 1&1 (EUR 900.000 wegen unzulässiger Weitergabe von Kundendaten) oder die Humboldt Forum Service GmbH (EUR 215.000 wegen der Verwendung sensibler Daten zur Beurteilung der Weiterbeschäftigung von Mitarbeitern.

Nach wie vor ist höchstrichterlich nicht geklärt, ob Geldbußen generell versicherbar sind und in den Versicherungsschutz einer D&O- oder Cyberversicherung einbezogen werden können. Nach weit verbreiteter Meinung würde die Absicherung von Bußgeldern gegen § 134 BGB (Verstoß gegen ein Verbotsgesetz) und § 138 BGB (Sittenwidrigkeit) verstoßen. 

Erhöhtes Haftungsrisiko durch die DSGVO und Cyberrisiken?
Die Verantwortung für die ordnungsgemäße Umsetzung des Datenschutzes trägt der Geschäftsführer beziehungsweise Vorstand des Unternehmens. Im Sinne der DSGVO (Art. 4 Nr. 7) ist für Datenschutzverstöße immer der sogenannte „Verantwortliche“ haftbar zu machen. Dies ist jedoch grundsätzlich die juristische Person und nicht der Geschäftsführer oder Vorstand. Das Oberlandesgericht Dresden hat jedoch mit Urteil vom 30. November 2021 (Az. 4 U 1158/21) den Geschäftsführer neben der GmbH als eigenen datenschutzrechtlich Verantwortlichen im Sinne des Art. 4 DSGVO eingestuft. Demnach haftet der Geschäftsführer persönlich als Gesamtschuldner neben der Gesellschaft für Ansprüche aus Art. 82 DSGVO. Eine eigene datenschutzrechtliche Verantwortlichkeit liegt nach Art. 4 Nr. 7 DSGVO vor, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden kann.

Unabhängig davon kommt jedoch eine Haftung der Geschäftsführung im Rahmen der gesellschaftsrechtlichen Innenhaftung (zum Beispiel § 43 GmbHG oder § 93 AktG) in Betracht, wenn die Gesellschaft das Organmitglied wegen einer Sorgfaltspflichtverletzung auf Ersatz des Bußgeldschadens in Anspruch nimmt.

Problematisch ist in der gängigen Praxis der Umstand, dass es derzeit keine zentrale gesetzliche Regelung der Pflichten der Geschäftsleitung im Zusammenhang mit der IT-Sicherheit gibt. Vielmehr ergeben sich die Pflichten der Geschäftsleitung aus verschiedenen Normen und Regelungen, die sich von Unternehmen zu Unternehmen unterscheiden können. So können für Unternehmen mit kritischen Infrastrukturen (KRITIS) völlig andere Regelungen für die Geschäftsleitung gelten als für kleine und mittlere Unternehmen (KMU).

Die Geschäftsleitung ist generell verpflichtet, Maßnahmen der technischen Organisation zu treffen, damit das Unternehmen ein als angemessen anzusehendes Schutzniveau gewährleisten kann. Dies ergibt sich auch aus Art. 32 Abs. 1 DSGVO. Zu diesem Schutzniveau gehört auch, dass ein Unternehmen in der Lage ist, personenbezogene Daten im Falle eines Cyberangriffs zeitnah und wirksam wiederherzustellen. Kommt es im Rahmen eines Cyberangriffs zu einem Datenleck, gehört es beispielsweise zu den Pflichten der Geschäftsführung, die betroffenen Personen sowie die Aufsichtsbehörde kurzfristig zu informieren. Diese Pflicht ergibt sich aus Art. 33 und 34 DSGVO.

Die bis spätestens Oktober 2024 auch in Deutschland umzusetzende EU-Richtlinie NIS2 (Network and Information Security) sieht zudem neue Cybersicherheitspflichten für Unternehmen sowie verpflichtende Schulungsmaßnahmen für Geschäftsleitung und Mitarbeiter vor. Welche konkreten neuen Pflichten und Haftungsrisiken des Managements sich hieraus ergeben, bleibt abzuwarten.

 
Beitragsbild: Beautrium / Shutterstock

Autor:
Rechtsanwalt Dr. Stefan Steinkühler 
Rechtsanwalt Dr. Stefan Steinkühler steht der VSMA GmbH seit Mitte des Jahres 2020 als juristischer Berater bei haftungs- und versicherungsrechtlichen Themen zur Seite. Er verfügt über langjährige Erfahrungen in der Versicherungswirtschaft. Seine Tätigkeitsschwerpunkte liegen neben der Bearbeitung von Sach-/BU- und Produkthaftungsschäden vor allem Fälle im Bereich der D&O- und VSV-Versicherung sowie der dazugehörigen Managerhaftung.

www.ra-steinkuehler.de

image_pdfPDFimage_printDrucken