Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten

Nach der Entschließung der 97. Datenschutzkonferenz (DSK) haftet das Unternehmen im Rahmen von Art. 83 DSGVO für schuldhafte Verstöße seiner Beschäftigten, sofern es sich nicht um einen Exzess handelt.

Nach dem funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten ihrer sämtlichen Beschäftigten. Hierbei muss die Geschäftsführung weder Kenntnis vom konkreten Verstoß haben, noch ist eine Verletzung der Aufsichtspflicht für die Zuordnung der Verantwortlichkeit erforderlich. Lediglich bei Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können (Exzess), ist die Haftung ausgenommen.

Den bisher nicht europarechtskonform angepassten (alten) nationalen Haftungsregeln, sei die bisherige falsche Auslegung geschuldet. So verweise das BDSG unzutreffend auf zurechnungseinschränkende Regelungen nach dem Ordnungswidrigkeiten Gesetz (OWiG). Insofern begrüßt die DSK, dass das Sanktionsrecht für Unternehmen generell geändert werden soll, sodass: „die von Fehlverhalten von Mitarbeiterinnen und Mitarbeitern profitierenden Unternehmen stärker sanktioniert werden“. Insbesondere würde damit dem europäischen Kartellrecht und dem etablierten internationalen Standard genüge getan.

Nun bleibt abzuwarten, ob der Bundesgesetzgeber diesem Entschluss folgt und die Paragraphen aus dem OWiG klarstellend vom Anwendungsbereich ausschließt und ob die Haltung auf europäischer Ebene im europäischen Datenschutzausschuss (EDSA) bestätigt wird.