Können Geschäftsführer für Datenschutzverstöße persönlich haften?

Prinzipiell ja gemäß Art. 82 DSGVO, sowohl im Sinne des "Verantwortlichen" als auch im Sinne des "Auftragsverarbeiters".

"Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde." Art. 82 Abs. 2 DSGVO

Ja, ungeachtet der Vorschriften der Datenschutzgrundverordnung (DSGVO) sowie etwaiger strafrechtlicher Konsequenzen können Geschäftsführer persönlich für Datenschutzverstöße haften.

Gem. 43 II GmbHG hat ein Geschäftsführer geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Dies führt im Ergebnis dazu, dass ein Geschäftsführer "im Außenverhältnis sämtliche Vorschriften einhalten [muss], die das Unternehmen als Rechtssubjekt treffen" (vgl. LG München (10. 12. 2013 - 5 HK O 1387/10) und dafür Sorge tragen muss, "dass das Unternehmen so organisiert wird, dass keine Gesetzesverletzungen stattfinden und eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation" eigerichtet wird. Die Einrichtung eines mangelhaften Compliance-Systems und auch deren unzureichende Überwachung bedeutet eine Pflichtverletzung".

Im Ergebnis bedeutet dies, dass der Geschäftsführer für den Fall, dass er es versäumt hat, sein Unternehmen datenschutzkonform aufzustellen, eine Pflichtverletzung begeht, die zu einer persönlichen (zivilrechtlichen) Haftung führt.

Das wird im Licht der DSGVO ab Mai 2018 zusätzlich deshalb von Bedeutung, weil die Bußgelder für Datenschutzverstöße drastisch erhöht werden - auf bis zu 4% des jährlichen Umsatzes der Firma je Verstoß.

Das ist ein oft unterschätztes Thema. Gemäß § 43 Abs. 1 GmbHG haben Geschäftsführer in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Zudem sieht § 130 OWIG einen Tatbestand vor, der einen Bußgeldrahmen bis zu 100.000,00 € für schlechte Unternehmensführung vorsieht. Grundsätzlich besteht also ein Haftungsrisiko für Geschäftsführer und Vorstände bei Datenschutzverletzungen.

Datenschutz ist eine gesetzliche Pflicht des Unternehmens und gehört daher zu den Compliance Themen, die ein Unternehmen einhalten muss. Soweit man sich nicht um das Thema Datenschutz kümmert, also die Datenschutzvorgaben nicht einhält kann sich ein Geschäftsführer insbesondere auch gegenüber der Gesellschaft schadensersatzpflichtig machen. Dies gilt überdies auch für mangelnde IT-Security.

Selbstverständlich! Zumindest bei grober Fahrlässigkeit und bei Vorsatz (DSB weist GF auf Problem hin, GF antwortet: "Interessiert mich nicht) haften Geschäftsführer persönlich.