Rz. 37
Eine direkte Organhaftung sieht die DSGVO nicht vor, so dass neben der verantwortlichen Stelle (dem Unternehmen) nicht auch ihre Organe für Datenschutzverstöße einzustehen haben. Gleichwohl sind in der jüngeren Vergangenheit im Rahmen kartellrechtlicher Auseinandersetzungen vermehrt Versuche unternommen worden, für Kartellgeldbußen bei den jeweils handelnden Organen Rückgriff zu nehmen. Besonders populär ist dabei der Versuch von ThyssenKrupp, den Geschäftsführer einer Tochtergesellschaft für einen Kartellverstoß in Regress zu nehmen. Der Anspruch stützt sich dabei auf § 93 AktG, § 43 GmbHG. Sowohl das Arbeitsgericht Essen, als auch das Landesarbeitsgericht Düsseldorf haben eine Innenhaftung des Organs abgehlehnt und dies insbesondere mit der Zielsetzung von Kartellgeldbußen und damit begründet, dass bußgeldrechtliche Sanktionen, die sich gegen das Unternehmen richteten, nicht durch einen Regress des Unternehmens gegen seine Organe unterlaufen werden dürften. Das BAG hat den Rechtsstreit nicht entschieden, sondern die Sache – aus verfahrensrechtlichen Erwägungen – an die Ausgangsinstanz zurückverwiesen. In der Sache spricht sich die h.M. in der Literatur indes für eine grundsätzliche Regressmöglichkeit der Gesellschaft gegen ihre Organe aus, plädiert jedoch dafür, den Organen die Möglichkeit einzuräumen, dem Regressanspruch der Gesellschaft den Einwand der Vorteilsausgleichung entgegenzuhalten, damit sichergestellt wird, dass Kartellanten der erzielte Kartellgewinn nicht verbleibt. Es spricht viel dafür, diese Grundsätze auch auf Geldbußen nach der DSGVO Anwendung finden zu lassen.
Rz. 38
Die organhaftungsrechtliche Ausgangslage bilden dabei – jedenfalls für Verstöße deutscher Unternehmen – § 93 Abs. 2 AktG und § 43 Abs. 2 GmbHG und die hierin normierte organschaftliche Legalitätspflicht. Diese wird dahingehend verstanden, dass Vorstände und Geschäftsführer die Pflicht trifft, ein rechtmäßiges Verhalten der Gesellschaft sicherzustellen. Ein rechtswidriges Verhalten im Außenverhältnis stellt in diesem Sinne nach h.M. regelmäßig auch eine Pflichtverletzung im Innenverhältnis dar. Vorstand oder Geschäftsführer sind daher verpflichtet, sowohl sich selbst rechtstreu zu verhalten als auch einem Rechtsverstoß des Unternehmens durch dessen Mitarbeiter vorzubeugen. Ein bewusster Verstoß gegen den Pflichtenkatalog der DSGVO darf daher weder aktiv angeordnet oder wissentlich gebilligt werden. Schwierigkeiten bereitet die Legalitätspflicht indes dort, wo die konkrete rechtliche Beurteilung, ob sich eine Entscheidung des Organs noch im Rahmen des rechtlich Zulässigen bewegt oder ob dieses möglicherweise vorwerfbar seinen Überwachungspflichten nicht nachgekommen ist.
Rz. 39
Dabei ist zu berücksichtigen, dass es sich bei der DSGVO um eine vollkommen neues Gesetz handelt und sich das unternehmerische Handeln daher aus rechtlicher Sicht nicht (immer) trennscharf in zulässig oder unzulässig unterteilen lässt. Ähnlich wie im Kartellrecht, normiert auch die DSGVO viele Konstellationen, in denen die verantwortliche Stelle ihr Verhalten eigenverantwortlich zu veranlagen und damit auch das Subsumtionsrisiko zu tragen hat. Dabei ist die Grenze, ob eine Verarbeitung datenschutzrechtlich verboten oder zulässig ist, oftmals fließend; dem ist eine gewisse Entscheidungsunsicherheit immanent, was im Rahmen der Beurteilung vermeintlicher Pflichtverletzungen zu berücksichtigten ist. Ist Rechtslage bzw. konkrete Rechtsanwendung, z.B., wie vorliegend, nach Gesetzesänderung oder wegen unbestimmter Rechtsbegriffe, unklar oder nennenswert umstritten, steht dem Geschäftsführer daher nach h.M. ein gewisser Beurteilungs- bzw. Ermessensspielraum zu, innerhalb dessen er die Chancen seines Handelns mit den Risiken für den Fall, dass ein Gericht später das Verhalten als rechtswidrig erklärt, abzuwägen hat. Er darf dabei grundsätzlich eine für seine Gesellschaft günstige Rechtsposition einnehmen, solange dieser Entscheidungsfindung einer sorgfältige Entscheidungsvorbereitung zugrunde liegt, was in der Regel die Einholung sachkundigen Rechtsrats erfordert. Der BGH formuliert:
Zitat
"Verfügt der Geschäftsführer selbst nicht über die erforderliche Sachkunde, kann er Anforderungen an ihm obliegende Prüfung der Rechtslage und an die Beachtung von Gesetz und Rechtsprechung nur genügen, wenn er sich unter umfassender Darstellung der Verhältnisse der Gesellschaft und Offenlegung der erforderlichen Unterlagen von einem unabhängigen, für die zu klärende Frage fachlich qualifizierten Berufsträger beraten lässt und den erteilten Rechtsrat einer sorgfältigen Plausibilitätskontrolle unterzieht."