Unter Haftung versteht man die Leistungspflicht eines Schuldners gegenüber dem Gläubiger. Eine Haftung liegt vor, wenn jemand, ohne selbst Schuldner zu sein, für Schulden eines anderen oder einer Gesellschaft aufkommen muß, falls diese nicht mehr zahlen können. So haftet zum Beispiel jemand, der eine Bürgschaft übernommen hat, für die Schuld desjenigen, für den er gebürgt hat; die Gesellschafter einer offenen Handelsgesellschaft haften für die Schulden der Gesellschaft, ebenso die persönlich haftenden Gesellschafter einer Kommanditgesellschaft; alle, die ihre Unterschriften auf einen Wechsel gesetzt haben, haften für die Wechselsumme, wenn sie dies nicht ausdrücklich ausgeschlossen haben.

Die unternehmerische Haftung kann je nach Unternehmens-, oder Gesellschaftsform persönlich, solidarisch und uneingeschränkt erfolgen oder beschränkt sein. Nicht alle Unternehmer haften im gleichen Ausmaß: Einzelunternehmen, Personen- und Kapitalgesellschaften unterscheiden sich in ihrem Haftungsumfang signifikant voneinander.

Als Gläubiger der Haftung gilt nach Art. 23 Abs. EG-Datenschutzrichtlinie jede Person, der wegen eines in dieser Vorschrift vorgesehenen haftungsbegründenden Moments, ein Schaden entsteht.

Die Richtlinie spricht von „jeder Person”, ohne eine Präzisierung vorzunehmen. Dies darf allerdings nicht zu dem Fehlschluss verleiten, dass vom Begriff des Haftungsgläubigers sowohl natürliche als auch juristische Personen erfasst werden. Der persönliche Schutzbereich der EG-Datenschutzrichtlinie und damit auch der Bereich der Haftung erstreckt sich lediglich auf natürliche Personen.

Nur natürliche Personen sind deshalb als Haftungsgläubiger i.S. des Art. 23 EG Datenschutzrichtlinie zu verstehen. Diese natürliche Personen brauchen keine betroffene Person i.S. des Art. 2 lit. a EG-Datenschutzrichtlinie zu sein. Vielmehr kann jede natürliche Person haftungsberechtigt sein, die einen Schaden aufgrund einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung erleidet.

Der Kreis der Haftungsgläubiger beschränkt sich zwar nur auf natürliche Personen, die in Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften dürfen jedoch davon abweichen und als Haftungsgläubiger ebenso juristische Personen vorsehen. Ausschlaggebend hierfür ist der Erwägungsgrund 24 zur EG-Datenschutzrichtlinie. Dieser besagt, dass die Richtlinie „nicht die Rechtsvorschriften zum Schutz juristischer Personen bei der Verarbeitung von Daten, die sich auf sie beziehen” berührt.