Die Haftung von Geschäftsführungs- und Aufsichtsorganen für Datenschutzverletzungen
Während die Datenschutz-Grundverordnung (DSGVO) auf europäischer Ebene keine Haftung der handelnden Organe eines Verantwortlichen ausdrücklich vorsieht, enthält das österreichische Datenschutzgesetz (öDSG) zumindest eine „Kann“-Bestimmung, und damit ein potentielles Haftungsrisiko (z.B. für GmbH-Geschäftsführer). Dieser Kurzbeitrag zeigt Lösungsmöglichkeiten auf, um Rechtssicherheit zu schaffen.
Auch wenn in Österreich bislang nur vereinzelt Geldbußen nach der DSGVO1 verhängt wurden und deren Höhe überschaubar war,2 sollte man sich nicht in falscher Sicherheit wiegen. Vielmehr sind die mit der DSGVO verbundenen Haftungsrisiken – seien sie (verwaltungs-) strafrechtlicher3 oder zivilrechtlicher Natur – nicht zu unterschätzen. Dieser Kurzbeitrag beschäftigt sich anlässlich der einjährigen Geltung der DSGVO mit einem bislang noch nicht ausreichend behandelten Thema, das auch in der Praxis eine große Rolle spielt: Die Haftung von Geschäftsführungs- und Aufsichtsorganen eines Verantwortlichen für datenschutzrechtliche Verstöße.
Die Verhängung von Geldbußen für Datenschutzverletzungen ist primär in Art. 83 DSGVO geregelt. Spannend ist die Frage, ob für datenschutzrechtliche Verstöße die juristische Person (z.B. die GmbH, AG oder Genossenschaft) als Verantwortlicher iSd DSGVO oder die für diese handelnden Organe (z.B. der Geschäftsführer, Vorstand oder Aufsichtsrat) haften, oder ob etwa beide einem Haftungsrisiko ausgesetzt sind.4 Pflichten- und Haftungsadressat des Art. 83 DSGVO sind der Verantwortliche bzw. der Auftragsverarbeiter. Es kann sich dabei nach den Definitionen des Art. 4 Z. 7 und Z. 8 DSGVO sowohl um juristische als auch natürliche Personen handeln. Während der Verantwortliche über Zwecke und Mittel der Datenverarbeitung entscheidet, führt der Auftragsverarbeiter die Datenverarbeitung im Auftrag des Verantwortlichen durch. Aus diesen Definitionen folgt, dass die DSGVO keine Haftung von Organen juristischer Personen ausdrücklich normiert.5 Die Verhängung von Geldbußen muss zudem nach Art. 83 DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein, was durch die jeweilige Aufsichtsbehörde sicherzustellen ist.
Gemäß § 30 Abs. 1 und 2 öDSG6 kann die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen, wobei der juristischen Person das Handeln ihrer Organe unter bestimmten Voraussetzungen zugerechnet wird.7 Zu haften hat die juristische Person dabei nicht nur für vertretungs- und entscheidungsbefugte Organe, sondern auch für Kontrollorgane.8
Besonders aufschlussreich ist § 30 Abs. 3 öDSG, der ausdrücklich normiert, dass von einer Bestrafung eines Verantwortlichen iSd § 9 VStG (zu unterscheiden vom „Verantwortlichen“ iSd DSGVO) abzusehen ist, wenn bereits gegen die juristische Person eine Verwaltungsstrafe verhängt wurde (sogenanntes „Doppelbestrafungsverbot“).9 Aus dieser Bestimmung folgt, dass auch die handelnden Organe – jedenfalls nach der Vorstellung des österreichischen Gesetzgebers10 – potenzielle Pflichten- und Haftungsadressaten der DSGVO und des öDSG sind.11 Andererseits ergibt sich aus der logischen Abfolge des § 30 Abs. 3 öDSG jedoch auch, dass die Behörde zuerst zumindest zu prüfen hat, ob ein Verfahren gegen die juristische Person einzuleiten ist.
Bei der Entscheidung, ob die Geldbuße gegen die juristische Person oder die jeweiligen Organe verhängt wird, soll der Datenschutzbehörde nach den Gesetzesmaterialien ein gebundenes Ermessen zukommen.12 Mit dieser Auffassung steht im Einklang, dass auch das Gesetz selbst eine „Kann“-Bestimmung enthält,13 also nicht ausdrücklich festlegt, ob die juristische Person oder das Organ zu bestrafen ist, sondern diese Entscheidung der Datenschutzbehörde überlasst.
Anhand welcher Kriterien die Behörde diese Entscheidung zu treffen hat, ist nicht näher im öDSG geregelt. Nachdem die Behörde in ihrem Ermessen gebunden ist, hat sie jedoch sowohl die Grundsätze des allgemeinen (Verwaltungs-) Strafrechts als auch des öDSG und der DSGVO zu beachten. Für eine primäre Bestrafung des jeweiligen Organs – und nicht der juristischen Person – könnte auf den ersten Blick ein Vergleich mit § 9 Verwaltungsstrafgesetz (VStG) sprechen, der im Bereich des Verwaltungsstrafrechts eine Haftung des zur Vertretung nach außen Berufenen, z.B. des Geschäftsführers einer GmbH, vorsieht. Eine Verbandsverantwortlichkeit, wie etwa nach dem Vorbild des Verbandsverantwortlichkeitsgesetzes (VbVG) im Bereich des gerichtlichen Strafrechts, kennt das VStG nicht.14
Daraus kann jedoch nicht geschlossen werden, dass auch für Datenschutzverletzungen primär das Organ und nicht die juristische Person selbst haftet. Vielmehr sind in der Ermessensentscheidung die mit der DSGVO und dem öDSG verfolgten Ziele und Zwecke zu berücksichtigen. Art. 83 Abs. 1 DSGVO sieht ausdrücklich vor, dass die Verhängung von Geldbußen wirksam, verhältnismäßig und abschreckend sein soll. Näher eingegangen wird auf die Verhältnismäßigkeit in Erwägungsgrund 148 der DSGVO, wonach unverhältnismäßige Belastungen für natürliche Personen zu vermeiden sind. Darüber hinaus sieht Erwägungsgrund 150 vor, dass bei der Verhängung von Geldbußen gegenüber Personen, die nicht Unternehmer sind, auf das Einkommensniveau und die wirtschaftliche Lage Bedacht zu nehmen ist.
Art. 83 DSGVO normiert ein Haftungsmodell für juristische Personen „sui generis“, wonach das dahinterstehende Unternehmen für das Zuwiderhandeln seiner Mitarbeiter haftbar ist (Modell der unmittelbaren Verbandshaftung). Im Falle einer Überschreitung von Kompetenzen einzelner handelnder Personen erfolgt allerdings keine Zurechnung, wenn der Handelnde die Funktion und Grenzen eindeutig überschreitet und dem Unternehmen auch nicht anderweitig zugerechnet werden kann.15
In Zusammenschau dieser Bestimmungen ergibt sich eine besondere Schutzbedürftigkeit natürlicher Personen, die keine Unternehmer sind. Dies trifft auf Geschäftsführungs- und Aufsichtsorgane regelmäßig zu, da nur die juristische Person selbst Unternehmer ist, nicht aber deren Organe (jedenfalls in Bezug auf das gegenständliche Unternehmen).16 Diese Schutzbedürftigkeit ist durchaus nachvollziehbar, sieht die DSGVO doch Geldbußen von bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes vor.
Für eine primäre Haftung der juristischen Person spricht darüber hinaus, dass die juristische Person selbst Vertragspartner ist und ihr auch die damit einhergehenden Vorteile zukommen.17 Im Ausgleich dafür ist es angebracht, dass in erster Linie die juristische Person für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Darüber hinaus käme aber auch die von der DSGVO angestrebte abschreckende Wirkung zu kurz, wenn primär die Organe hafteten, und nicht die juristische Person selbst.
Daraus folgt, dass die DSGVO selbst keine Haftung der Organe vorsieht, während das öDSG diesbezüglich nur eine „Kann“-Bestimmung enthält. Dennoch wird wohl auch nach dem öDSG die Ermessensentscheidung der Behörde aufgrund der von ihr sicherzustellenden Kriterien, nämlich der Wirksamkeit, Verhältnismäßigkeit und Abschreckungsfunktion, primär zu einer Haftung der juristischen Person bzw. des unternehmerischen Verantwortlichen (und bloß subsidiär zu einer Haftung der handelnden Organe) führen. Dies entspricht dem ursprünglich von der DSGVO verfolgten Zweck, einen sicheren Datentransfer im Binnenmarkt zu ermöglichen (Erwägungsgründe 5 ff DSGVO).
Auch wenn diese Argumente für eine primäre Verantwortung der juristischen Person, und nicht des handelnden Organs, sprechen, verbleibt eine gewisse Rechtsunsicherheit in Anbetracht der unklaren Gesetzeslage und in Ermangelung eines sich noch nicht etablierten Standards bei der Ausübung des Ermessens durch die jeweilige Aufsichtsbehörde. Es bietet sich daher eine ausdrückliche Regelung dieser Problematik, etwa im Geschäftsführervertrag, an. Dabei ist jedoch zu beachten, dass eine Übernahme der Geldbuße im Vorhinein sittenwidrig und somit unzulässig wäre.18
Differenzierter ist eine solche Übernahme im Nachhinein, also nach Begehung der Datenschutzverletzung, zu sehen. Insbesondere bedarf es dafür einer sachlichen Rechtfertigung im Einzelfall.19 Diese sachliche Rechtfertigung ist in Anbetracht der weiter oben angeführten Argumente für eine primäre Verantwortung der juristischen Person sicherlich gegeben. Unter bestimmten Voraussetzungen ist außerdem die Übernahme von Vertretungskosten zulässig.20
Darüber hinaus kann eine ausdrückliche Vereinbarung auch im Rahmen der oben beschriebenen Ermessensentscheidung der Datenschutzbehörde nach § 30 öDSG berücksichtigt werden, etwa im Falle einer Kompetenzabgrenzung zwischen solchen Angelegenheiten, die der Geschäftsführer selbständig vornehmen darf, und solchen, die einer Zustimmung der Gesellschafterversammlung bedürfen.
Neben der Verhängung von Geldbußen für Datenschutzverletzungen besteht das Risiko einer zivilrechtlichen Inanspruchnahme (Art. 82 DSGVO, § 29 öDSG). Nach § 29 Abs. 1 letzter Satz öDSG gelten dafür die allgemeinen Bestimmungen des bürgerlichen Rechts. Davon umfasst sind wohl auch die Bestimmungen des Gesellschaftsrechts, wie etwa § 25 GmbHG, wonach der Geschäftsführer einer GmbH primär gegenüber der Gesellschaft haftet und nur unter bestimmten Voraussetzungen von Außenstehenden in Anspruch genommen werden kann, wie etwa bei einer Schutzgesetzverletzung.21 Für eine primäre Haftung der juristischen Person, und nicht der handelnden Organe, spricht außerdem ein Vergleich mit dem Grundgedanken des Dienstnehmerhaftpflichtgesetzes (DHG), selbst wenn dieses nicht unmittelbar auf Geschäftsführer oder Vorstandsmitglieder anwendbar ist.22
Dennoch verbleibt ein gewisses Restrisiko einer unmittelbaren Inanspruchnahme der handelnden Organe auch im Zivilrecht. Insbesondere kann nicht ausgeschlossen werden, dass datenschutzrechtliche Bestimmungen als Schutzgesetze iSd § 1311 ABGB einzustufen sind. Die Frage, ob die juristische Person oder das handelnde Organ Pflichten- und Haftungsadressat der datenschutzrechtlichen Bestimmungen ist, wirkt sich somit auch auf das Zivilrecht aus.
Um Rechtssicherheit zu schaffen, bietet sich somit auch für diese Problematik eine ausdrückliche Vereinbarung an, insbesondere betreffend Regressansprüche und Vertretungskosten sowie Kompetenzabgrenzung. Im Bereich des Zivilrechts besteht diesbezüglich sogar eine größere Gestaltungsfreiheit als im Bereich des (Verwaltungs-)Strafrechts.
Weiteren Beiträgen vorbehalten bleiben daran anknüpfende Fragestellungen, wie etwa die ausführliche Erörterung der Regressmöglichkeiten zwischen juristischer Person und Organträger, die Möglichkeit zum Abschluss einer D&O Versicherung für Haftungen nach der DSGVO bzw. dem öDSG, oder die Haftungsabgrenzung zwischen Verantwortlichem und Auftragsverarbeiter im Sinne der Definition des Art. 4 Z. 7 und Z. 8 DSGVO.
Korrespondenz:
Hochleitner Rechtsanwälte GmbH
Kirchenplatz 8, 4070 Eferding
eferding@iura.at
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
2 Vgl. dazu etwa Salzburger Nachrichten, 12.03.2019, https://www.sn.at/wirtschaft/oesterreich/bisher-nur-wenige-strafen-wegen-dsgvo-verhaengt-67146160 (zuletzt besucht am 20.04.2019); Mangelberger, Wer ist Adressat von DS-GVO-Geldbußen? jusIT 2019, 59.
3 Es ist umstritten, ob es sich bei dem Geldbußensystem nach der DSGVO um eine Verwaltungsstrafe handelt oder um eine Geldbuße sui generis, vgl. Schweiger, Datenschutz und Mitarbeiterkontrolle am Arbeitsplatz, ZAS 2019, 100 (103).
4 Vgl. zu dieser Frage auch Illibauer in Knyrim, DatKomm Art. 83 DSGVO (Stand 1.10.2018) Rz 124 ff.
5 Vgl. zu dieser Frage auch Illibauer in Knyrim, DatKomm Art. 83 DSGVO Rz 20 mwN.
6 Stammfassung BGBl I 165/1999, idF BGBl I 14/2019.
7 Vgl. dazu auch § 99d BankwesenG, in dessen Anlehnung § 30 öDSG geschaffen wurde.
8 Nicht zuzurechnen sind die Organe jedoch bei Kompetenzüberschreitungen, vgl. Illibauer in Knyrim, DatKomm Art. 83 DSGVO Rz 20 mwN.
9 Vgl. Illibauer in Knyrim, DatKomm Art. 83 DSGVO Rz 40.
10 Das österreichische Datenschutzgesetz (öDSG) ist ein rein nationales Gesetz, das jedoch stark an die DSGVO angepasst wurde, vgl. etwa das Datenschutz-Anpassungsgesetz 2018, BGBl. I 120/2017.
11 So auch dem Grunde nach Mangelberger, jusIT 2019, 59 (62), die jedoch Einschränkungen bei der Haftung im Bereich des Sorgfaltsmaßstabs trifft. AA wohl Strasser, Versicherbarkeit von DSGVO-Geldbußen und Regressansprüchen daraus, ZFR 2018, 403 f.
12 Vgl. Ausschussbericht Nationalrat, 1761 BlgNR XXV. GP 16.
13 Vgl. aus § 30 Abs. 1 öDSG: “Die Datenschutzbehörde kann Geldbußen gegen eine juristische Person verhängen […]“.
14 Vgl. Lewisch in Lewisch/Fister/Weilguni, VStG2 § 9 (Stand 1.5.2017) Rz 3.
15 Illibauer in Knyrim, DatKomm Art. 83 DSGVO Rz 20, mwN.
16 Straube in Straube/Ratka/Rauter, UGB I4 § 1 (Stand 1.12.2009) Rz 10.
17 Zum Ergebnis eines Vorrangs der Haftung der juristischen Person kommt auch Illibauer in Knyrim, DatKomm Art. 83 DSGVO Rz 124 ff.
18 Vgl. OGH RIS-Justiz, RS0016830; Kalss, Die Übernahme von verwaltungsrechtlichen Geldstrafen durch die Gesellschaft, GesRZ 2015, 79 (82 f).
19 Vgl. Kalss, GesRZ 2015 (85).
20 Vgl. OGH RIS-Justiz, RS0108838.
21 Ausführlich dazu etwa Koppensteiner, Zur Außenhaftung von Geschäftsführern und Vorständen, GES 2015, 379.
22 Windisch-Graetz in Neumayr/Reissner, ZellKomm3 § 1 DHG (Stand 1.1.2018) Rz 3.