Die Frage der Haftung ist mehrschichtig und betrifft sowohl die bussrechtliche als auch die strafrechtliche und die zivilrechtliche Ebene.
Bußgeldhaftung - das Unternehmen:
Nach Art. 83 DSGVO richten sich Bußgelder primär gegen den Verantwortlichen oder Auftragsverarbeiter - also gegen das Unternehmen als juristische Person. Der Erwägungsgrund 150 stellt klar, dass der kartellrechtliche funktionale Unternehmensbegriff gilt. Nach der DSGVO reicht es aus, dass ein Beschäftigter oder ein externer Beauftragter gehandelt hat - eine Beschränkung auf Leitungspersonen wie bei Paragraph 30 OWiG besteht nach Auffassung der DSK nicht mehr.
Dies wurde durch den EuGH bestätigt: Das Unternehmen haftet für Datenschutzverstöße seiner Mitarbeiter, ohne dass ein konkretes Fehlverhalten der Geschäftsleitung nachgewiesen werden muss.
Strafrechtliche Haftung - natürliche Personen:
Die Strafvorschriften des Paragraph 42 BDSG richten sich gegen natürliche Personen. Hier können Geschäftsführer, Mitarbeiter oder andere natürliche Personen individuell strafrechtlich belangt werden. Voraußetzung ist allerdings persönliches Handeln mit Vorsatz (Paragraph 42 Abs. 1: "wissentlich"; Abs. 2: "gegen Entgelt" oder in Bereicherungs-/Schädigungsabsicht).
Zivilrechtliche Haftung (Art. 82 DSGVO):
- Der Verantwortliche (das Unternehmen) haftet für jeden DSGVO-Verstoß.
- Der Auftragsverarbeiter haftet nur, wenn er seine spezifischen Pflichten verletzt oder weisungswidrig gehandelt hat.
- Bei mehreren Beteiligten besteht gesamtschuldnerische Haftung (Art. 82 Abs. 4).
- Rückgriffsrecht unter Gesamtschuldnern (Art. 82 Abs. 5).
Persönliche Haftung von Geschäftsführern:
Geschäftsführer können darüber hinaus nach allgemeinen gesellschaftsrechtlichen Grundsätzen für Organisationsverschulden haften (z.B. fehlende Compliance-Strukturen). Bußgeldrisiken werden zunehmend als Haftungsthema in der Geschäftsleitung erkannt.