Den Ausspruch „Eltern haften für ihre Kinder“ hat bestimmt jeder schon mal gelesen. Dass er rechtlich gesehen – jedenfalls in dieser Pauschalität – weitgehend wirkungslos ist, kann jedoch nicht darüber hinwegtäuschen, dass er nur allzu gerne als Warnhinweis beispielsweise an Baustellen plakatiert wird. In Anlehnung an diese Idee hat die Datenschutzkonferenz des Bundes und der Länder (DSK) am 5. April dieses Jahres eine Entschließung zur Frage, inwieweit Unternehmen für Datenschutzverstöße ihrer Mitarbeiter haften müssen, verabschiedet.

Spürbare Einflüsse des Europarechts

Zunächst einmal aber gilt es zu klären, wen diese „Regelung“ eigentlich betrifft. Die DSK geht dabei konsequent vom sog. funktionalen Unternehmensbegriff aus. Dieser zeichnet sich dadurch aus, dass er zum einen europarechtlich geprägt ist und zum anderen weder auf Rechtsform noch Art der Finanzierung Rücksicht nimmt – will sagen: Vom eingetragenen Verein (e.V.) über die gemeinnützige GmbH (gGmbH) bis hin zur Aktiengesellschaft (AG) wird alles davon erfasst. Die europarechtliche Komponente bedingt, dass man sich bei der Beurteilung der Organisationsstruktur eben nicht (allein) an den nationalen Regelungen z.B. aus dem Handels- und Gesellschaftsrechts orientieren kann und darf, sondern dass man zwingend in Betracht ziehen muss, was sich der europäische Normgeber vorstellt, wenn er von einem „Unternehmen“ spricht.

„Wir haben von nichts gewusst …“

Wichtig bei der Beurteilung des Haftungsumfangs für Unternehmen ist, dass es nicht auf ein sog. Organisationsverschulden ankommt. Es ist also nicht nötig, dass etwa ein Vorgesetzter oder gar die Geschäftsführung konkret von einem Verstoß wusste. Allein ausreichend ist, dass der Beschäftigte im Zusammenhang mit seiner dienstlichen Tätigkeit gehandelt hat und dabei etwas schiefläuft. Lediglich, wenn ein Exzess vorliegt – also ein Beschäftigter sich z.B. selbst als Prokurist ausgegeben und in diesem Zusammenhang datenschutzrechtswidrige Verträge unterzeichnet hat – dann ist es denkbar, dass er (und nur er) allein dafür geradestehen muss. Daneben gilt die altbewährte Regel: Unwissenheit schützt vor Strafe (bzw. Haftung) nicht.

Auftrag auch an die Bundesregierung

Im Zusammenhang mit ihrem Entschließungspapier hat die DSK auch einen Auftrag an die Bundesregierung formuliert, nämlich für Klarheit in dem Verhältnis zwischen nationalen und europäischen Haftungsregeln zu sorgen. Das Konglomerat aus Art. 82, 83 DSGVO, den Bestimmungen im Ordnungswidrigkeiten-Gesetz (OWiG) sowie den Verweisen auf dortige Ausnahmen im aktuellen § 41 BDSG geben genügend Anlass zur Verwirrung, die weitgehend rasch beseitigt werden könnten.

Fazit

Eltern haften zwar nicht für Ihre Kinder – Sie tun es stets nur für eigenes Verschulden – aber Unternehmen haften für Ihre Beschäftigten: Ständig, simpel und umfassend. Punkt.