Haftungsvermeidende Datenschutzorganisation im Konzern – DSGVO-Konzernhaftung

Wer haftet?

Soweit es um die drastisch angehobenen Bußgelder der DS-GVO geht, handelt es sich um eine Sanktion, die dem Gesetz über Ordnungswidrigkeiten unterliegt. Hiernach gilt der Einheitstäterbegriff. Zwischen Täterschaft, Anstiftung und Beihilfe wird nicht unterschieden. Anknüpfungspunkt ist sowohl ein verbotenes Tun als auch eine pflichtwidriges Unterlassen. Wird gegen eine betriebsbezogene Pflicht verstoßen, was bei unzureichender Datenschutz-/ Datensicherheitsorganisation (einschließlich der gebotenen personellen Schulungsmaßnahmen) in der Regel der Fall sein wird, haftet jedoch zumeist nicht die natürliche Person, deren Handlung oder Unterlassung einen DS-GVO-Verstoß verursacht hat, sondern der Bußgeldbescheid wird sich gegen das Unternehmen selbst richten.

Wann entsteht die Konzernhaftung?

Innerhalb einer Unternehmensgruppe sowie – neu durch die DS-GVO – (wohl) auch durch Joint Ventures oder z.B. im Rahmen von horizontalen Produktions- oder vertikalen Lieferbeziehungen („Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“) kann diese Gruppe als ein einziges „Unternehmen“ Adressat der DS-GVO-Bußgeldvorschriften sein, wenn ein gemeinsamer marktbezogener Auftritt nach außen festgestellt werden kann. Insoweit wird, wenn es um den Bußgelddurchgriff – insbesondere also von der Tochtergesellschaft auf die Muttergesellschaft für Datenschutzverletzungen der Tochtergesellschaft geht – auf die funktionale Einheit, die also das Unternehmen im Sinne der DS-GVO am Markt darstellt, abgestellt.

Zu demselben Ergebnis gelangt man bei Personenidentität der Handelnden auf mehreren Seiten der Konzernstruktur, wenn also Ressort-gleiche bzw. Ressort-verwandte Aufgaben – etwa im Bereich der IT-Sicherheit – zugleich vom IT-Leiter der Muttergesellschaft wie auch von derselben Person für eine GmbH-Tochtergesellschaft wahrgenommen werden. In diesen Fällen kann es zu einem Haftungsdurchgriff auf die Konzernmuttergesellschaft kommen.

Übt also die wirtschaftliche Einheit ein gemeinsames Marktverhalten, eine wirtschaftliche Tätigkeit am Markt aus, dann kann sie durchaus aus mehreren natürlichen oder juristischen Personen bestehen und doch ein einziger Sanktionsadressat sein.

Eine solche wirtschaftliche Einheit wird vermutet, wenn eine Gesellschaft auf die andere Gesellschaft einen beherrschenden Einfluss hat oder durch gesellschaftsrechtliche Vertragsgestaltung ausüben kann. Im Falle einer 100 %igen Tochtergesellschaft wird die wirtschaftliche Einheit (und somit auch die Beherrschung) vermutet, sodass die Konzernmutter beweisen müsste, ausnahmsweise keinen bestimmenden Einfluss auf das Verhalten der Konzerntochter auszuüben.

Kann nach diesen Grundsätzen ein ganzer Konzern als „ein Unternehmen“ behandelt werden, so wird der gesamte Konzernumsatz für die Berechnung des Bußgeldes herangezogen.

Welche Organisations- und Kontrollpflichten folgen hieraus?

Allgemeine IT-Compliance

Bereits aus dem allgemeinen Konzernrecht ist bekannt, dass das Management der Muttergesellschaft für die Einführung und Kontrolle/ Überwachung einer konzernweiten Compliance in der Verantwortung stehen wird. Hierfür bedarf es in der Regel einheitlicher Konzernrichtlinien und zugehöriger Verfahren, Verarbeitungstätigkeiten, deren Dokumentation und Kontrolle. Die konkrete Umsetzung dieser vom Management der Konzernmutter aufgestellten Vorgaben unterfallen sodann dem Pflichtenkreis des Managements der einzelnen beherrschten Konzernunternehmen.

Wenn die Anforderungen an die konzernweite Compliance oder – im Beispiel der DS-GVO – den konzernweiten Datenschutz allerdings vollständig in der Verantwortungshoheit und technischen Verfügungsmacht der Konzernmutter liegen, können sich die Verantwortlichkeiten des Managements der Tochtergesellschaften auf die (bloße) Überwachung und Kontrolle beschränken.

In jedem Falle gebietet die aus dem Risikomanagement abgeleitete Verpflichtung des Konzernmanagements zumindest eine Überwachung der ordnungsgemäßen Einführung, und Aufrechterhaltung (nebst Reporting) einer effizienten Datenschutzorganisation in den Tochterunternehmen, da sich gerade auch aus Versäumnissen in diesem Bereich Schäden ergeben können, die sich durch die Beteiligung an den Tochtergesellschaften auch auf die Muttergesellschaft auswirken können.

Mindestens trifft das Management der Konzernmuttergesellschaft also auch eine laufende Compliance-Verpflichtung zur Überwachung der DS-GVO-Konformität (insbes. IT- und Datenschutz- /Datensicherheitsrisiken) in den Tochterunternehmen, was wiederum die Ausarbeitung und Implementierung eines konzernweiten Kontrollsystems zur Überwachung bzw. – als den Organen der Tochtergesellschaften auferlegte Verpflichtung – zum Reporting bedingt.

Gefahren und Unregelmäßigkeiten, die für die Geschäftstätigkeit oder gar den Bestand der einzelnen Unternehmen oder des Gesamtkonzerns von wesentlicher, d.h. insbesondere betriebskritischer Bedeutung sind, dürfen nicht durch dieses Überwachungs- und Kontrollsystem „durchrutschen“ können und so der Konzernleitung über einen Zeitraum, der die Entfaltung geeigneter Abwehr- oder Beseitigungsmaßnahmen ausschließt, verborgen bleiben.

Gelingt dies nicht, dürften die Kontrollmechanismen durch die „Effizienzprüfung“ durchfallen und die Steuerungspflicht des Managements der Konzernmutter dürfte in diesen Fällen in zumindest fahrlässiger Weise verletzt worden sein – ein Umstand, der letztlich auch zu einer persönlichen haftungsrechtlichen Inanspruchnahme der zuständigen Organe führen kann – bzw., bei Inanspruchnahme der Gesellschaft selbst, zu entsprechenden Regressansprüchen gegen diese Organe.

DSGVO-Compliance

Wie aufgezeigt, besteht innerhalb von Unternehmensgruppen das Risiko eines Haftungsdurchgriffs, auch wenn die Datenschutzverletzung zunächst ihre Ursache im Bereich einer Tochtergesellschaft hat. Es gilt, bspw. über Art. 26-Vereinbarungen oder unternehmensweite Datenschutzrichtlinien die Verantwortlichkeiten klar und verbindlich zuzuweisen und sowohl Implementierung, Überwachung und Dokumentation in einer den Anforderungen der DS-GVO entsprechenden Weise vorzunehmen. Ein geeignetes und effizientes Datenschutz-Managementsystem gehört nach den Vorstellungen der DS-GVO in diesen Konstellationen zu den unternehmerischen Selbstverständlichkeiten einer angemessenen Risikovorsorge vor typischen Gefahren aus den Bereichen des Datenschutzes und der Datensicherheit. Bei menschlichem Einmalversagen – bspw. im Bereich des Meldewesens von Datenschutzvorfällen – kann es dazu beitragen, das einzelne Unternehmen weitgehend aus der Haftung zu nehmen oder zumindest eine erhebliche Bußgeldminderung auf der Rechtsfolgenseite zu bewirken. Außerdem wird eine schnelle Reaktion gerade im Bereich der Melde- und Informationspflichten ermöglicht, was wiederum weiteren (Folge-)Schaden vom Unternehmen – und spiegelbildlich der zugehörigen Ersatzpflichten – meiden oder mindern hilft.