

Die DSGVO bringt nicht nur erheblich höhere Geldbußen, sondern auch die Haftung für immaterielle Schäden und eine Sammelklage durch Datenschutz-NGOs. In unserem letzten Videoblog geben wir Tipps, wie Sie das Risiko gering halten können.
Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung:
- Kurzkommentar zur Datenschutz-Grundverordnung
- Gesetzbuch Datenschutzrecht
- Umsetzung der DSGVO in der Praxis
Fragen zum Thema Geldbußen und Haftung (Fragen 94-100)
Wann trägt die Geldbußen das Unternehmen, wann der Manager?
Florian Unterberger: “Last but not least” wollen wir uns in unserer Videoserie zur Datenschutz-Grundverordnung dem Thema Haftung und Geldbußen zuwenden. Dass mit der Datenschutz-Grundverordnung exorbitante Strafen möglich sind, ist allgemein bekannt, aber viel spannender ist die Frage: Wann müssen die vom Unternehmen bezahlt werden und wann haftet eigentlich der Manager persönlich?
Lukas Feiler: Hier sieht das österreichische Datenschutzgesetz – durchaus in Ergänzung zur DSGVO – vor, dass die Datenschutzbehörde nach eigenem Ermessen auch über die vertretungsbefugten Organe eine Geldbuße verhängen kann und nicht nur gegenüber der Gesellschaft selbst. Und das bedeutet daher ein persönliches Haftungsrisiko für die Geschäftsführer einer GmbH oder die Vorstände einer AG.
Wie man einer Haftung für immaterielle Schäden entgeht
Jetzt kommt ja mit der Datenschutz-Grundverordnung ein ausgeweiteter Schadenersatzanspruch für Betroffene. Wie weit reicht der in der Praxis und was kann man als Unternehmen tun, um sich in diesem Fall möglicherweise freibeweisen zu können?
Lukas Feiler: Die Verordnung sieht erstmals einen umfassenden Schadenersatzanspruch auch für immaterielle Schäden vor, das heißt für die emotional-seelische Beeinträchtigung der Betroffenen, die dadurch entstanden ist, dass beispielsweise ihr Passwort kompromittiert wurde und sie ein Gefühl der Unsicherheit dadurch erlitten haben.
Wie genau dieser Schaden zu bemessen sein wird, werden uns schlussendlich die Gerichte sagen. Aber es gibt erstmals wirklich dieses Recht und das wird auch in der Praxis insbesondere in Form von Sammelklagen auch geltend gemacht werden.
Wie ich mich als Unternehmen dagegen wehren kann, hier vorbeugen kann, ist im Ergebnis, alle Compliance-Maßnahmen – insbesondere alles, was ich im Bereich Datensicherheit tue – auch ordnungsgemäß zu dokumentieren, weil perfekte Sicherheit die Verordnung von uns nicht verlangt. Solange wir im Fall einer Sicherheitsverletzung nachweisen können, dass wir im Vorfeld alles Zumutbare getan haben, sind wir im Ergebnis von der Haftung befreit.
Datenschutzrechtliche Sammelklagen werden kommen
Weil Sie das Thema Sammelklagen angesprochen haben: Das bedeutet, dass das Urteil des Europäischen Gerichtshofes, dass Max Schrems keine Sammelklage gegen Facebook führen kann, in ein paar Monaten hinfällig ist?
Lukas Feiler: Das ist richtig. Die DSGVO führt eine neue Möglichkeit ein, im Ergebnis Sammelklagen zu führen. Künftig können Datenschutz-NGOs Betroffene auch vor Gericht vertreten und im Namen dieser Betroffenen Ansprüche geltend machen. Der österreichische Gesetzgeber hat sogar ausdrücklich geregelt, dass zu diesen Ansprüchen auch das Recht auf Schadenersatz gehört, das heißt die datenschutzrechtliche Sammelklage wird jedenfalls in Österreich Realität werden.
Spannende Zeiten sowohl für Betroffene als auch für Juristen.
Lukas Feiler: In der Tat.
Weitere Fragen zum Thema Geldbußen und Haftung
Diese Fragen stammen aus dem letzten Kapitel im neuen Buch von Lukas Feiler und Bernhard Horn zum Thema “Geldbußen und Haftung”. Die weiteren Fragen in diesem Kapitel lauten:
- Wie hoch können die Geldbußen für Datenschutzverstöße sein?
- Haftet die Konzernmutter für die Tochter?
- Haftet der Leiter der öffentlichen Stelle für die öffentliche Stelle?
Zur Videoserie “Die DSGVO in der Praxis”
Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:
- 12 Schritte – Teil 1 (Vorbereitungsmaßnahmen)
- 12 Schritte – Teil 2 (Konkrete Implementierung)
- 100 Fragen & Antworten – Der Datenschutzbeauftragte
- 100 Fragen & Antworten – Das Verzeichnis der Verarbeitungstätigkeiten
- 100 Fragen & Antworten – Datenschutz-Folgenabschätzungen
- 100 Fragen & Antworten – Datenschutzmitteilungen und Betroffenenrechte
- 100 Fragen & Antworten – E-Mails, Social-Media-Plugins, IP-Adressen und Cookies
- 100 Fragen & Antworten – Kundendatenschutz
- 100 Fragen & Antworten – Mitarbeiterdatenschutz
- 100 Fragen & Antworten – Outsourcing
- 100 Fragen & Antworten – Fotos und Videoüberwachung
- 100 Fragen & Antworten – Whistleblowing und interne Compliance-Untersuchungen
- 100 Fragen & Antworten – Datensicherheit und Sicherheitsverletzungen
- 100 Fragen & Antworten – Geldbußen und Haftung
Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: “Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster”
Einführung in die Datenschutz-Grundverordnung
Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:
- Teil 1: Einführung in die Datenschutz-Grundverordnung
- Teil 2: Die Grundsätze der Datenschutz-Grundverordnung
- Teil 3: Die Rechte von Betroffenen
- Teil 4: Die Pflichten von Unternehmen (I)
- Teil 5: Die Pflichten von Unternehmen (II)
- Teil 6: Datenschutz im Konzern
Autor: Lukas Feiler