Angenommen, einem Schweizer Unternehmen würde durch die französische CNIL für Datenschutzverstösse eine Busse von EUR 1’000’000 auferlegt. Unter welchen Umständen könnte diese Busse nun zu einer persönlichen Haftung der einzelnen Verwaltungsrats- oder Geschäftsleitungsmitglieder führen?
Ein Verwaltungsrat haftet persönlich für den Schaden, den er der Gesellschaft absichtlich oder fahrlässig verursacht, wobei bereits leichte Fahrlässigkeit genügt (vgl. dazu Persönliche Haftung von Verwaltungsräten. Schadenersatz ist dabei an die Gesellschaft zu leisten. Klageberechtigt sind ausserhalb eines Konkurses entweder die Gesellschaft selbst oder ein Aktionär, im Konkursfalle kann auch ein Gläubiger den Schaden einklagen.
Eine persönliche Haftung des Verwaltungsrates setzt die klassischen vier Elemente des Haftpflichtrechts voraus, nämlich
1) Schaden,
2) Pflichtverletzung,
3) Kausalzusammenhang
4) Verschulden.
Wird einer Gesellschaft eine Busse auferlegt, stellt dies normalerweise einen Schaden der Gesellschaft dar.
Da der Verwaltungsrat gemäss OR für die Einhaltung der anwendbaren Gesetze im Geschäftsbetrieb zu sorgen bzw. diese bei Delegation zumindest zu beaufsichtigen hat (vgl. dazu Delegation von Aufgaben durch den Verwaltungsrat), könnte eine Verletzung des Datenschutzrechtes eine Pflichtverletzung des Verwaltungsrates darstellen. Gerade angesichts der grossen medialen Aufmerksamkeit, die dem neuen Datenschutzrecht spätestens seit Mai 2018 zukommt, kann es für einen Verwaltungsrat schwierig sein, eine gänzliche Untätigkeit in diesem Bereich, bzw. mangelnde Umsetzung allfälliger Anweisungen sachlich zu begründen.
Der Kausalzusammenhang zwischen der Verletzung und der Busse liegt ebenfalls vor, ist sie doch deren direkte Ursache. In einer solchen Konstellation dürfte es dem Verwaltungsrat zudem regelmässig schwer fallen, zu zeigen, dass ihn kein Verschulden trifft.
Zusammenfassend ist es somit durchaus denkbar, dass die einzelnen Verwaltungsräte oder auch Geschäftsführungsmitglieder indirekt, über die gesellschaftsrechtliche Verantwortlichkeit, persönlich haftbar werden für die Datenschutzbussen, die ihrem Unternehmen auferlegt werden.
Wenn einem Schweizer Unternehmen eine Busse nach EU-Datenschutzrecht auferlegt wird und die Verletzung auf die pflichtwidrige Untätigkeit des Verwaltungsrates zurückzuführen ist, kann dieser unter Umständen persönlich für den hieraus entstehenden Schaden, sprich, den Betrag der Busse, haftbar werden.
Ähnliche Szenarien sind denkbar bei internationalen Strukturen, bei denen z.B. einer deutschen Tochtergesellschaft eines Schweizer Konzerns durch eine EU-Datenschutzbehörde eine Busse auferlegt wird und daraus der Schweizer Muttergesellschaft ein Schaden entsteht. Auch bei einem solchen Setup ist ein Schweizer Verwaltungsrat daher gut beraten, das Thema Datenschutz nicht auf die lange Bank zu schieben.