1. VR Haftung für Datenschutzbussen?
Unter welchen Umständen haftet ein Verwaltungsrat eigentlich persönlich für Bussen, die der Gesellschaft für Verletzungen des Datenschutzrechtes auferlegt wurden?
Diese Frage stellen sich so einige Verwaltungsräte und Geschäftsleitungsmitglieder in der Schweiz seit die neue EU-Datenschutzgrundverordnung (DSGVO) Bussen in Millionenhöhe eingeführt hat. Die abstrakte Strafdrohung wurde erst kürzlich durch die bislang höchste und daher bekannteste Busse jäh zum sehr realen Risiko: In Frankreich wurde Google für verschiedene Datenschutzverstösse eine Busse von EUR 50’000’000 auferlegt (mehr dazu im Artikel auf diesem Blog).
Doch der Reihe nach: Wie kann es überhaupt dazu kommen, dass aufgrund einer Datenschutzverletzung Geld bezahlt werden muss? Und welche Umstände müssen dann hinzutreten, damit ein Verwaltungsrats- oder Geschäftsleitungsmitglied dafür persönlich gerade stehen muss?
2. Zivilrechtliche oder aufsichtsrechtliche Verantwortung?
Wenn eine Datenschutzverletzung geschieht (z.B. Data Breach, illegale Übermittlung von Daten in unsichere Drittstaaten, Verarbeitung von Personendaten ohne angemessene Information oder ohne Zustimmung, wo eine solche nötig wäre etc.) sieht man sich als Unternehmen vor allem zwei Anspruchstellern gegenüber:
- dem von der Verletzung Betroffenen und
- der zuständigen Datenschutz-Aufsichtsbehörde.
Der Betroffene kann grundsätzlich verlangen, dass der ihm durch die Verletzung entstandene Schaden ersetzt wird (zivilrechtliche Verantwortung). Das gilt sowohl nach Schweizer Recht wie auch nach dem EU Datenschutzrecht. Solche Fälle sind bisher aber selten und der eingetretene Schaden ist in der Regel eher klein, weshalb die zivilrechtliche Verantwortung gegenüber dem Betroffenen in diesem Beitrag nicht weiter betrachtet wird.
Neben dem Betroffenen, kann aber auch eine Datenschutzbehörde auf Anzeige hin oder von sich aus aktiv werden und sich die Datenverarbeitungsvorgänge in einem Unternehmen genauer anschauen (aufsichtsrechtliche Verantwortung). Die Untersuchungskompetenzen der Behörden sind dabei weitereichend. Ist sie mit der vorgefundenen Situation nicht zufrieden, stehen ihr zwei Werkzeuge zur Verfügung:
- Massnahmen und
- Sanktionen.
Dies gilt wiederum für Schweizer Recht wie auch für das EU Datenschutzrecht, wobei sich die Art und Härte der Massnahmen und Sanktionen stark unterscheiden. Nach aktuellem Schweizer Datenschutzrecht hat die Schweizer Aufsichtsbehörde (in der Regel der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, EDÖB) sehr viel weniger weitreichende Kompetenzen als ihre europäischen Pendants (z.B. die französische Commission nationale de l’informatique et des libertés, CNIL oder im diesbezüglich föderal organisierten Deutschland, das Bayerische Landesamt für Datenschutzaufsicht, BayLDA), insbesondere was Bussen anbelangt. Das Schweizer Datenschutzrecht wird aktuell revidiert (s.a. unseren Artikel zum Thema auf diesem Blog) und für den Rest dieses Beitrags daher bis auf einen wichtigen Hinweis ganz am Schluss (siehe Ziffer 7) ausgeklammert.
3. Massnahmen und Sanktionen nach DSGVO
Die möglichen Massnahmen nach EU Datenschutzrecht reichen von einfachen Warnungen über spezifische Anweisungen (z.B. bestimmte Verarbeitung in Einklang mit dem Datenschutzrecht zu bringen) bis hin zu Verboten (z.B. Aussetzen von Übermittlungen an einen Empfänger in unsicherem Drittland). Auf diese wird hier nicht weiter eingegangen, denn für den vorliegenden Beitrag sind vor allem die Sanktionen, konkreter die Geldbussen von Interesse.
Unter dem EU Datenschutzrecht haben die Datenschutzaufsichtsbehörden die Kompetenz, Bussen zu verhängen. Solche Bussen sollen in jedem Einzelfall wirksam, verhältnismässig und abschreckend sein. Bei Verletzung untergeordneter Pflichten drohen Bussen von bis zu EUR 10’000’000.- oder 2 % des gesamten weltweit erzielten Jahresumsatzes. Werden Grundprinzipien (wie etwa Transparenz, Zweckbindung, Datenminimierung) oder Betroffenenrechte (wie das Recht auf Auskunft oder Löschung) verletzt oder Personendaten auf illegale Weise in unsichere Drittländer übermittelt, droht sogar eine Busse von bis zu EUR 20’000’000.- oder 4 % des gesamten weltweit erzielten Jahresumsatzes.
4. DSGVO Busse für Schweizer Unternehmen?
Aber das ist für Schweizer Unternehmen alles nicht relevant, das ist doch EU Recht, würde man gerne einwenden. Leider stimmt das nicht. Das EU Datenschutzrecht beansprucht in gewissen Fällen auch ausserhalb der EU Geltung (vgl. den Artikel auf diesem Blog für Details, Reiter “Geografischer Anwendungsbereich”). Die sogenannte extraterritoriale Anwendung der DSGVO (extraterritorial deshalb, weil es eben auch ausserhalb des EU “Territoriums” gilt) bezieht sich nicht nur auf die allgemeinen Grundsätze und Pflichten, sondern auch auf die Sanktionen des neuen EU Datenschutzrechts.
Fällt ein Schweizer Unternehmen unter die DSGVO, ist also denkbar, dass ihm durch eine EU Datenschutzbehörde eine Busse für Datenschutzverstösse auferlegt würde. Zwar ist derzeit unklar, wie die ausländischen Behörden eine solche Busse in der Schweiz tatsächlich eintreiben würden oder ob sie das überhaupt könnten. Faktisch dürfte es längerfristig aber schwierig sein, entsprechende Strafverfügungen zu ignorieren, auch wenn sie nicht von Schweizer Behörden erlassen wurden, insbesondere wenn man als Unternehmen (bzw. als Unternehmer) Berührungspunkte mit dem EU-Markt bzw. der EU hat.
5. Kurze Repetition: Wofür haftet ein Verwaltungsrat?
Nehmen wir also an, einem Schweizer Unternehmen würde durch die französische CNIL für Datenschutzverstösse eine Busse von EUR 1’000’000 auferlegt. Unter welchen Umständen könnte diese Busse, nun zu einer persönlichen Verantwortung für die einzelnen Verwaltungsrats- oder Geschäftsleitungsmitglieder werden?
Wie es generell zu einer persönlichen Haftung des Verwaltungsrates kommen kann, wurde auf unserem Verantwortlichkeitsblog bereits mehrmals beschrieben, z.B. ausführlich hier. Ein Verwaltungsrat haftet demnach persönlich für den Schaden, den er der Gesellschaft absichtlich oder fahrlässig verursacht, wobei bereits leichte Fahrlässigkeit genügt. Schadenersatz ist dabei an die Gesellschaft zu leisten, was entweder die Gesellschaft selbst oder ein Aktionär verlangen kann. Geht die Gesellschaft Konkurs, kann auch ein Gläubiger Schadenersatz für den ihm entstandenen Schaden (z.B. unbezahlte Rechnungen für erfolgte Lieferungen oder Dienstleistungen) verlangen. Eine persönliche Haftung des Verwaltungsrates setzt die klassischen vier Elemente des Haftpflichtrechts voraus:
- Schaden,
- Pflichtverletzung,
- Kausalzusammenhang und
- Verschulden.
6. Persönliche Verantwortlichkeit des Verwaltungsrats für Bussen
Wird einer Gesellschaft eine Busse auferlegt, stellt dies einen Schaden der Gesellschaft dar. Da der Verwaltungsrat gemäss OR für die Einhaltung der anwendbaren Gesetze im Geschäftsbetrieb zu sorgen bzw. diese bei Delegation (wie man richtig delegiert ist auf unserem Verantwortlichkeitsblog hier nachzulesen) zumindest zu beaufsichtigen hat, könnte eine Verletzung des Datenschutzrechtes eine Pflichtverletzung des Verwaltungsrates darstellen. Gerade angesichts der grossen medialen Aufmerksamkeit, die dem neuen Datenschutzrecht spätestens seit Mai 2018 zukommt, kann es für einen Verwaltungsrat schwierig sein, eine gänzliche Untätigkeit in diesem Bereich sachlich zu begründen. Der Kausalzusammenhang zwischen der Verletzung und der Busse liegt ebenfalls vor, ist sie doch deren direkte Ursache. In einer solchen Konstellation dürfte es dem Verwaltungsrat zudem regelmässig schwer fallen, zu zeigen, dass ihn kein Verschulden trifft. So kann es dazu kommen, dass die einzelnen Verwaltungsräte indirekt, über die gesellschaftsrechtliche Verantwortlichkeit, persönlich haftbar werden für die Datenschutzbussen, die ihrem Unternehmen auferlegt werden.
7. Exkurs: Bussenregime nach revidiertem Schweizer Datenschutzgesetz
Das Schweizer Datenschutzrecht ist in Revision und wird aktuell im Parlament debattiert (mehr dazu im Artikel zum Thema auf diesem Blog). Noch ist der Entwurf nicht Gesetz, aber werden die Grundzüge des Sanktionsregimes nicht mehr verändert, ist dieses gänzlich anders aufgesetzt als in der EU. In der Schweiz steht die Bestrafung von natürlichen Personen, insbesondere der Leitungsorgane (z.B. Verwaltungsrat) von fehlhaften Unternehmen im Vordergrund. Bei Verletzung bestimmter datenschutzrechtlicher Pflichten haften diese direkt und persönlich für Bussen bis zu maximal CHF 250‘000.-. Nur wenn der Bussbetrag unter CHF 50‘000.- liegt, kommt eine Bestrafung des Unternehmens anstelle der Leitungspersonen in Betracht.
Im Gegensatz zum oben beschriebenen Fall (Busse durch EU-Behörde, welche über gesellschaftsrechtliche Verantwortlichkeit zur Haftung der Verwaltungsräte führen kann), ist die nach neuem Schweizer Recht vorgesehen Haftung direkt. Der Verwaltungsrat wird sich in diesem Fall nicht in einem Zivilprozess gegen die Vorwürfe der Pflichtverletzung verteidigen müssen, sondern gegenüber dem Staatsanwalt.
8. Fazit
Wenn einem Schweizer Unternehmen eine Busse nach EU Datenschutzrecht, allenfalls in Millionenhöhe, auferlegt wird und die Verletzung auf die pflichtwidrige Untätigkeit des Verwaltungsrates zurückzuführen ist, kann dieser unter Umständen persönlich für den hieraus entstehenden Schaden, sprich, den Bussbetrag, haftbar werden.
Ähnliche Szenarien sind denkbar bei internationalen Strukturen, bei denen z.B. einer deutschen Tochtergesellschaft eines Schweizer Konzerns durch eine EU Datenschutzbehörde eine Busse auferlegt wird und daraus der Schweizer Muttergesellschaft ein Schaden entsteht. Auch bei einem solchen Setup ist ein Schweizer Verwaltungsrat daher gut beraten, das Thema Datenschutz nicht auf die Lange Bank zu schieben.