Haftung des Geschäftsführers bei fehlendem DS-GVO-Management

DSGVO News

Sorgfaltspflicht eines Geschäftsführers

Mit einer Entscheidung (Az. 12 U 1520/19) vom 30. März 2022 hat das OLG Nürnberg sich mit der Haftung eines Geschäftsführers für Compliance-Verstöße auseinandergesetzt

Das OLG Nürnberg hat sich in seiner Entscheidung vom 30.03.2022 (Az. 12 U 1520/19) mit der Haftung eines Geschäftsführers für Compliance-Verstöße auseinandergesetzt. Dieses Urteil lässt sich problemlos auf die DS-GVO und das Datenschutzmanagement übertragen.

Der Beklagte hatte es im vorliegenden Fall unterlassen, erforderliche Compliance-Strukturen zu schaffen, die zum einen ein rechtmäßiges und effektives Handeln gewährleisten und zum anderen die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.

Jede Gesellschaft verarbeitet in ihren Arbeitsprozessen und ihrer unternehmerischen Tätigkeit personenbezogene Daten von Kunden und Vertragspartnern, sodass die Einhaltung und Überwachung des Datenschutzes im Unternehmen zwingend zu beachten ist.

Das Gericht stellte in seinem Urteil klar, dass die Geschäftsführerpflichten an der Sorgfaltspflicht eines ordentlichen Geschäftsführers zu messen seien. Wenn diese Pflicht durch den Geschäftsführer verletzt werde, hafte er gegenüber der Gesellschaft für den entstandenen Schaden gemäß § 43 Abs. 2 GmbHG.

 

Das DS-GVO Management-System dpm-online unterstützt Sie bei der effizienten Dokumentation aller Nachweispflichten.

Dieses Datenschutz-Managements-System unterstützt Sie bei der Vielzahl von Datenschutz-Vorschriften. Im Hinblick auf die rechtliche Zulässigkeit der Datenverarbeitung betrifft das unter anderen folgenden Punkten:

 

  • DS-GVO Art. 6 – Rechtmäßigkeit der Datenverarbeitung
    Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten Verarbeitungstatbeständen ausrichten.

 

  • DS-GVO Art. 25 – „Data Privacy by Design“ und „Data Privacy by Default“
    Der Verantwortliche muss durch datenschutzfreundliche Voreinstellungen sicherstellen, dass er nur die jeweils erforderlichen Daten verarbeitet. Bei der Entscheidung für die Einführung neuer Dienst-, System- oder Geräte-Software müssen die Verantwortlichen die beiden Grundsätze „Privacy by Design“ und „Privacy by Default“ miteinbeziehen. Zudem müssen sie die diesen Produkten regelmäßig auf den aktuellen Stand der Technik und deren Voreinstellungen überprüfen. Es muss also nicht nur geprüft werden ob die Dienst-, System- oder Geräte-Software nach diesen Grundsätzen entwickelt wurde, sondern auch ob sie den aktuellen Stand der Technik entsprechen!

 

  • DS-GVO Art. 35 – Datenschutz-Folgenabschätzung
     Die Durchführung einer Datenschutz-Folgenabschätzung dient dazu, in einem systematischen Vorgehen geplante Verarbeitungsvorgänge zu beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit zu beurteilen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und zur Bewältigung dieser Risiken vorab Abhilfemaßnahmen festzulegen.

 

Zugleich fordert die DS-GVO vom Verantwortlichen geeignete Maßnahmen und nachvollziehbare Prozesse zur datenschutzrechtlichen Information und Kommunikation:

 

  • DS-GVO Art. 12 – Transparenz
    Der Verantwortliche muss Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren, und zwar in Bezug auf Namen und Kontaktdaten der verantwortlichen Stelle (samt Datenschutzbeauftragtem) sowie Zwecke, ggf. berechtigte Interessen und Empfänger sowie die Drittlandübermittlung.

 

  • DS-GVO Art. 33 und 34 – Datenschutzpanne/ -verletzung
    Der Verantwortliche muss Verletzungen des Schutzes personenbezogener Daten (Datenpannen) innerhalb von 72 Stunden an die Aufsichtsbehörde melden. Sofern eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, ist der für die Verarbeitung Verantwortliche grundsätzlich verpflichtet, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.