Haftet ein Verwaltungsrat persönlich für Bussen, die der Gesellschaft für Verletzungen des Datenschutzrechtes auferlegt wurden?
Diese Frage stellen sich so einige Verwaltungsräte und Geschäftsleitungsmitglieder in der Schweiz, seit die neue EU-Datenschutzgrundverordnung (DSGVO) Bussen in Millionenhöhe eingeführt hat. Die abstrakte Strafandrohung wurde erst kürzlich durch die bislang höchste und daher bekannteste Busse jäh zum sehr realen Risiko: In Frankreich wurde Google für verschiedene Datenschutzverstösse eine Busse von EUR 50’000’000 auferlegt (mehr dazu im Artikel auf unserem Datenschutzblog).
Doch der Reihe nach: Wie kann es überhaupt dazu kommen, dass aufgrund einer Datenschutzverletzung Geld bezahlt werden muss? Und welche Umstände müssen dann hinzutreten, damit ein Verwaltungsrats- oder Geschäftsleitungsmitglied dafür persönlich gerade stehen muss?
Zivilrechtliche oder aufsichtsrechtliche Verantwortung?
Wenn eine Datenschutzverletzung geschieht (z.B. Data Breach, illegale Übermittlung von Daten in unsichere Drittstaaten, Verarbeitung von Personendaten ohne angemessene Information oder ohne Zustimmung, wo eine solche nötig wäre etc.), sieht sich ein Unternehmen vor allem zwei Anspruchstellern gegenüber:
a) dem von der Verletzung Betroffenen und
b) der zuständigen Datenschutz-Aufsichtsbehörde.
Der Betroffene kann grundsätzlich verlangen, dass der ihm durch die Verletzung entstandene Schaden ersetzt wird (zivilrechtliche Haftung). Das gilt sowohl nach Schweizer Recht wie auch nach dem EU Datenschutzrecht. Solche Fälle sind bisher aber selten und der eingetretene Schaden ist in der Regel eher klein, weshalb die zivilrechtliche Haftung gegenüber dem Betroffenen in diesem Beitrag nicht weiter betrachtet wird.
Neben dem Betroffenen, kann aber auch eine Datenschutzbehörde auf Anzeige hin oder von sich aus aktiv werden und sich die Datenverarbeitungsvorgänge in einem Unternehmen genauer anschauen (aufsichtsrechtliche Verantwortung). Die Untersuchungskompetenzen der Behörden sind dabei weitereichend. Ist sie mit der vorgefundenen Situation nicht zufrieden, stehen ihr zwei Werkzeuge zur Verfügung:
a) Massnahmen und
b) Sanktionen.
Dies gilt wiederum für Schweizer Recht wie auch für das EU Datenschutzrecht, wobei sich die Art und Härte der Massnahmen und Sanktionen stark unterscheiden. Nach aktuellem Schweizer Datenschutzrecht hat die Schweizer Aufsichtsbehörde (in der Regel der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, EDÖB) sehr viel weniger weitreichende Kompetenzen als ihre europäischen Pendants (z.B. die französische Commission nationale de l’informatique et des libertés, CNIL oder im diesbezüglich föderal organisierten Deutschland, das Bayerische Landesamt für Datenschutzaufsicht, BayLDA), insbesondere was Bussen anbelangt. Das Schweizer Datenschutzrecht wird aktuell revidiert (siehe unseren Datenschutzblog für Details) und für den Rest dieses Beitrags daher bis auf einen wichtigen Hinweis ganz am Schluss (siehe Teil 3/3) ausgeklammert.
Massnahmen und Sanktionen nach DSGVO
Die möglichen Massnahmen nach EU Datenschutzrecht reichen von einfachen Warnungen über spezifische Anweisungen (z.B. bestimmte Verarbeitung in Einklang mit dem Datenschutzrecht zu bringen) bis hin zu Verboten (z.B. Aussetzen von Übermittlungen an einen Empfänger in unsicherem Drittland). Auf diese wird hier nicht weiter eingegangen, denn für den vorliegenden Beitrag sind vor allem die Sanktionen, konkreter die Geldbussen, von Interesse.
Unter dem EU-Datenschutzrecht haben die Datenschutzaufsichtsbehörden die Kompetenz, Bussen zu verhängen. Solche Bussen sollen in jedem Einzelfall wirksam, verhältnismässig und abschreckend sein. Bei Verletzung untergeordneter Pflichten drohen Bussen von bis zu EUR 10’000’000.- oder 2% des gesamten weltweit erzielten Jahresumsatzes. Werden Grundprinzipien (wie etwa Transparenz, Zweckbindung, Datenminimierung) oder Betroffenenrechte (wie das Recht auf Auskunft oder Löschung) verletzt oder Personendaten auf illegale Weise in unsichere Drittländer übermittelt, droht sogar eine Busse von bis zu EUR 20’000’000.- oder 4% des gesamten weltweit erzielten Jahresumsatzes.
DSGVO Busse für Schweizer Unternehmen?
Aber das ist für Schweizer Unternehmen alles nicht relevant, das ist doch EU Recht, würde man gerne einwenden. Leider stimmt das nicht. Das EU Datenschutzrecht beansprucht in gewissen Fällen auch ausserhalb der EU Geltung (vgl. hier auf unserem Datenschutzblog für Details, Reiter „Geografischer Anwendungsbereich“). Die sogenannte extraterritoriale Anwendung der DSGVO (extraterritorial deshalb, weil es eben auch ausserhalb des EU „Territoriums“ gilt) bezieht sich nicht nur auf die allgemeinen Grundsätze und Pflichten, sondern auch auf die Sanktionen des neuen EU Datenschutzrechts.
Fällt ein Schweizer Unternehmen unter die DSGVO, ist also denkbar, dass ihm durch eine EU Datenschutzbehörde eine Busse für Datenschutzverstösse auferlegt würde. Zwar ist derzeit unklar, wie die ausländischen Behörden eine solche Busse in der Schweiz tatsächlich eintreiben würden oder ob sie das überhaupt könnten. Faktisch dürfte es längerfristig aber schwierig sein, entsprechende Strafverfügungen zu ignorieren, auch wenn sie nicht von Schweizer Behörden erlassen wurden, insbesondere wenn man als Unternehmen (bzw. als Unternehmer) Berührungspunkte mit dem EU-Markt bzw. der EU hat.
Fortsetzung folgt…
Neueste Kommentare