Verantwortlichkeiten und Haftung im Datenschutz
Praxisratgeber
Wer ist verantwortlich für die Einhaltung des Datenschutzes?
Gemäß der DSGVO ist verantwortlich, wer über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Die Verantwortung eines Vereins obliegt demnach dem Vorstand.
Verantwortlichkeiten – Regelung in Art. 4 Nr. 7 DSGVO
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden
Organe eines Vereins – Vorstand
Der Verein ist eine Körperschaft, die durch Organe geführt und vertreten wird. Das Organ „Mitgliederversammlung“ wählt aus ihren Mitgliedern Vertreter, die das Organ „Vorstand“ bilden. Der Vorstand ist für die Geschäftsführung zuständig ist vertritt den Verein nach außen. Neben einem verantwortlichen Vorstand kann zusätzlich eine Geschäftsführung (sogenannte „besondere Vertreter“) eingesetzt werden, die je nach Satzung, einige Aufgaben der Geschäftsführung übernimmt und den Verein nach außen vertritt. Die Verantwortlichkeit gemäß der DSGVO bleibt dennoch bei dem Vorstand.
Regelung der Haftung gemäß DSGVO und BGB
Aufsichtsbehörden – Verantwortlich für die Überwachung des Datenschutzes
Die Überwachung des Datenschutzes in den einzelnen Einrichtungen übernehmen die Aufsichtsbehörden der Länder. In Deutschland ist diese Aufgabe verteilt auf über 17 Behörden. Die Aufsichtsbehörden werden aufgrund von Beschwerden durch Betroffene oder auch anlasslos tätig.
Grundsätzlich sind diese Behörden beratend tätig und verwarnen zunächst den Verantwortlichen bei einem Verstoß gegen die Datenschutz-Grundverordnung. Neben diesen Befugnissen haben die Aufsichtsbehörden auch das Recht, Bußgelder zu verhängen oder Strafanzeigen zu stellen.
Bußgelder – Was erwartet unseren Verein bei Datenschutzverstößen?
Die DSGVO macht grundsätzlich keine Unterscheidung zwischen einem Wirtschaftsunternehmen und einem Verein. Die Bußgelder bemessen sich nach der Art des Verstoßes und weiteren Faktoren wie die Zusammenarbeit mit der Aufsichtsbehörde, der Grad der Verantwortung, frühere Verstöße, Zahl der betroffenen Personen usw.
Je nach Art des Verstoßes kann gegen einen Verein ein Bußgeld in Höhe von bis zu 10 Mio. Euro bzw. bis zu 20 Mio. Euro verhängt werden. Grundsätzlich sollen Bußgelder verhältnismäßig aber auch abschreckend sein. Viele Vereine dienen einem gemeinnützigen Zweck. Auch dieser Umstand wird in die Verhältnismäßigkeit einbezogen.
Wird gegen einen Verein aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung ein Bußgeld verhängt, dann haftet grundsätzlich der Verein. Daraus kann sich allerdings eine persönliche Haftung der Vorstandsmitglieder ergeben, die wiederum mit ihrem Privatvermögen haften.
Schadenersatz
Schadenersatz kann von jeder Person verlangt werden, die einen materiellen oder auch immateriellen Schaden aufgrund eines Verstoßes gegen den Datenschutz erlitten hat.
Art. 82 Abs. 1 und Abs. 2 DSGVO
-
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
-
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
Im Rahmen der DSGVO sind auch immaterielle Schadenersatzansprüche möglich (z.B. bei Rufschädigung, Bloßstellung, Persönlichkeitsverletzung, Kontrollverlust über die Daten).
Ebenso kann der Verein ein verhängtes Bußgeld als Schaden gegenüber einem verantwortlichen Vorstandsmitglied geltend machen (BGB).
Autorin: Jacqueline Vogel