.st0{fill:#FFFFFF;}

OLG Dresden: Persönliche Haftung des Geschäftsführers für DSGVO-Verstöße

Wichtige Datenschutz-Themen von Profis aufbereitet

OLG Dresden: Persönliche Haftung des Geschäftsführers für DSGVO-Verstöße

Das Oberlandesgericht Dresden hat kürzlich entschieden (Urteil vom 30.11.2021, Az. 4 U 1158/21), dass der Geschäftsführer einer GmbH neben der GmbH Verantwortlicher i.S.d. DSGVO ist und als Gesamtschuldner für etwaige Schadensersatzansprüche Betroffener haftet.


Das Wichtigste in Kürze

  • Ein GmbH-Geschäftsführer ist „Verantwortlicher“ im Sinne der DSGVO.
  • GmbH-Geschäftsführer und Gesellschaft haften für DSGVO-Schadensersatzansprüche Betroffener als Gesamtschuldner.
  • Weisungsgebundene Angestellte haften in der Regel nicht aus Art. 82 DSGVO.
  • Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten ist nach Art. 10 DSGVO grundsätzlich nur unter behördlicher Aufsicht gestattet.
    Inhalt
    Das Wichtigste in Kürze
    1. Sachverhalt
    2. OLG Dresden: Persönliche Haftung des Geschäftsführers für DSGVO-Verstöße
    3. Rechtswidrige Datenverarbeitung
    4. Überschreiten der Bagatellschwelle
    5. Ausblick

    1. Sachverhalt

    In dem abgeurteilten Fall ging es um einen gesamtschuldnerischen Schadensersatzanspruch des Klägers gegen eine GmbH sowie deren Geschäftsführer wegen einer Verletzung seiner Rechte aus der Datenschutzgrundverordnung.

    Anlässlich der Beantragung einer Mitgliedschaft durch den Kläger ließ der Geschäftsführer eine ausführliche Recherche durchführen, die Aufschluss über strafrechtlich relevantes Verhalten des Klägers gab. Nach der Offenlegung der Recherche-Ergebnisse gegenüber den Vorstandsmitgliedern der GmbH wurde dem Kläger aufgrund der gewonnenen Erkenntnisse die beantragte Mitgliedschaft versagt.


    2. OLG Dresden: Persönliche Haftung des Geschäftsführers für DSGVO-Verstöße

    Das OLG hat dem Kläger einen Schadenersatzanspruch in Höhe von 5.000 Euro gegen GmbH und Geschäftsführer als Gesamtschuldner zuerkannt.

    Sowohl die Gesellschaft als auch der Geschäftsführer seien als „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Maßgeblich für einen Schadenersatzanspruch aus Art. 82 Abs. 1 der DSGVO sei die „Verantwortlichkeit“, die immer dann zu bejahen sei, sobald eine natürliche oder juristische Person über Zwecke und Mittel einer Datenverarbeitung im Sinne der DSGVO (mit)entscheiden kann und dies auch tut.

    Davon kann man bei einem Geschäftsführer, im Gegensatz zu einem weisungsgebundenen Angestellten, in aller Regel ausgehen. So lag es auch in diesem Fall, denn der Geschäftsführer hat die Ausspähung des Klägers zum Zwecke der Datengewinnung veranlasst und diese Daten später gegenüber den Vorstandsmitgliedern offengelegt.

    3. Rechtswidrige Datenverarbeitung

    Voraussetzung eines Schadensersatzanspruchs aus der DSGVO ist eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 1 DSGVO. Gemäß Art. 4 Nr. 2 DSGVO ist darunter jede Erhebung, Erfassung sowie Offenlegung durch Übermittlung oder Abfragen, ebenso wie Verarbeitung oder auch andere Formen der Bereitstellung von Daten mit Personenbezug zu verstehen. Das Gericht stellte fest, dass dem Sachverhalt eine solche Datenverarbeitung durch die Gesellschaft und den Geschäftsführer zugrunde lag.

    Sowohl die Veranlassung der Überwachung und die anschließende Offenlegung der gewonnenen Erkenntnisse durch den Geschäftsführer als auch die anschließende Verarbeitung durch die GmbH seien unrechtmäßig, da weder eine Einwilligung des Klägers vorlag, noch einer der Rechtfertigungsgründe des Art. 6 Abs. 1 DSGVO, insbesondere Art. 6 Abs. 1 S. 1 lit. f) DSGVO, einschlägig seien.

    Im konkreten Fall sei die im Ausspähen des Klägers liegende Datenverarbeitung, die der GmbH zuzurechnen sei, bereits nicht erforderlich gewesen. Alternativ hätte der Geschäftsführer eine Selbstauskunft des Klägers einholen oder ihn zur Vorlage eines polizeilichen Führungszeugnisses auffordern können. Beide Alternativen hätten eine weniger eingriffsintensive und zumutbare Möglichkeit der Datenverarbeitung dargestellt.

    Zudem stellt die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten einen Verstoß gegen Art. 10 DSGVO, der eine solche Verarbeitung grundsätzlich nur unter behördlicher Aufsicht gestattet.

     

    4. Überschreiten der Bagatellschwelle

    Das von der Rechtsprechung für einen immateriellen Schadenersatz geforderte Überschreiten einer Bagatellschwelle lag im vorliegenden Fall durch die Ausspähung des Klägers eindeutig vor.

    Dies folgt daraus, dass die Datenweitergabe inklusive der daraus resultierenden Folgen weit über ein Privatverhältnis zwischen dem Betroffenen und dem Geschäftsführer hinausging. Zudem wurden die aus der Überwachung gewonnenen Informationen anschließend gegenüber den Vorstandsmitgliedern des beklagten Unternehmens offengelegt, mit dem Ergebnis, dass dem Kläger eine beantragte Mitgliedschaft versagt wurde.

    Dies führte zwar nicht unmittelbar zu wirtschaftlichen Nachteilen beim Kläger, allerdings wurde sein wirtschaftliches Interesse erheblich beeinträchtigt. Darüber hinaus konnte nicht vollkommen ausgeschlossen werden, dass Details aus dem Privatleben des Klägers einem größeren Personenkreis bekannt geworden sind.


    5. Ausblick

    Das Urteil des OLG Dresden, hat einschneidende Folgen für Geschäftsführer von Kapitalgesellschaften. Da Geschäftsführer aufgrund ihrer leitenden Tätigkeit vor allem über das „ob“ und „wie“ von Datenverarbeitungen (mit)entscheiden können oder sogar müssen, sind sie zukünftig einem höheren Haftungsrisiko ausgesetzt, wenn es zu Datenschutzverletzungen kommt.

    Geschäftsführern ist daher dringend zu raten, den Datenschutz bei sämtlichen Entscheidungsprozessen zu berücksichtigen und gegebenenfalls einen Datenschutzbeauftragten zurate zu ziehen.

    Share0
    Tweet0
    Share0

    Datenschutzschulungen für Ihre Mitarbeiter?

    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

     Mehr ansehen