Geschäftsführer einer GmbH haften persönlich bei Datenschutzverstoß

Datenschutzverstoß

Der Fall des OLG Dresden vom 30.11.2021 - 4 U 1158/21

Datenschutzverstoß

Geschäftsführer einer GmbH haften persönlich bei Datenschutzverstoß

Einleitung

Wie würden Sie den Fall beurteilen? Ein Autohändler (Kläger) stellt eine Mitgliedsanfrage bei der beklagten GmbH. Der Geschäftsführer der GmbH beauftragt daraufhin erst einmal einen Detektiv, um herauszufinden, ob der Autohändler „sauber“ ist. Der Geschäftsführer handelt also im Namen der GmbH. Tatsächlich findet der Detektiv Vorstrafen in der Vergangenheit des Autohändlers, so dass die Gesellschafter der GmbH den Mitgliedsantrag ablehnen.

Der Autohändler verklagte daraufhin die GmbH auf Schadensersatz in Höhe von 21.0000 € aufgrund eines gegen ihn begangenen Datenschutzverstoß gem. Art. 82 I DS-GVO. Die GmbH hat ohne Erlaubnis sensible Daten erfasst. Der Fall landet vor dem Landgericht Dresden.

Die spannende nun zu klärende Frage ist:

Muss der Geschäftsführer persönlich haften, wenn die GmbH einen Datenschutzverstoß begeht?

Tatsächlich sprach das Landgericht Dresden dem Kläger 5.000 € an Schadensersatz unmittelbar gegen den Geschäftsführer zu und diesem Urteil schloss sich das OLG der Höhe nach an. Der rechtlichen Begründung folgte das OLG Dresden allerdings nicht vorbehaltlos.

Nach Ansicht des OLG Dresden gilt auch der Geschäftsführer einer GmbH als datenschutzrechtlicher Verantwortlicher i.S.d. Art. 4 Nr.7 DS-GVO und kann daher neben der Gesellschaft in persönliche Haftung genommen werden. Dies sei insbesondere deshalb so, weil der Geschäftsführer den Detektiv selbst beauftragt habe und nicht nur weisungsgebunden tätig gewesen sei. Bisher kam eine Geschäftsführerhaftung bei Datenschutzverstößen nur dann in Betracht, wenn eine rechtswidrige Verarbeitung der Unternehmensdaten zu eigenen Zwecken durchgeführt wurde.

Wer gilt als Verantwortlicher nach Art. 4 Nr. 7

DS-GVO?

Gemäß Art. 4 Nr. 7 DS-GVO gilt man als Verantwortlicher, wenn man als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Diese Verantwortlichkeit ist ausschlaggebend für einen Schadensersatzanspruch aus Art. 82 I DS-GVO. Ein Geschäftsführer kann also durchaus haftbar sein, im Gegensatz zu weisungsgebundenen Angestellten, welche in der Regel nicht erfasst werden.

Stellt das Urteil eine rechtliche Fehleinschätzung dar?

Die rechtliche Einschätzung des OLG Dresden blieb in diesem Fall nicht ohne Kritik. Insgesamt fehlt es dem Urteil an einer näheren Begründung.

Warum ist ein Geschäftsführer in jedem Fall Verantwortlicher gem. Art. 4 Nr.7 DS-GVO, selbst wenn er mal nicht allein oder mit anderen gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet? In solchen Fällen wäre eine differenziertere Betrachtung erforderlich, da sonst eine zu weite Haftung für den Geschäftsführer entstehen würde.

Es wäre durchaus möglich, wenn nicht sogar vorzugswürdig, den Geschäftsführer wie einen Arbeitsnehmer zu betrachten, der weisungsgebunden handelt. Denn der Geschäftsführer handelt in den meisten Fällen ebenfalls weisungsgebunden gegenüber der Gesellschaft.

Nach Ansicht von Datenschutzbehörden sind Arbeitnehmer nur dann eigene Verantwortliche, wenn sie sich eigenmächtig über einschlägige Weisungen ihres Arbeitgebers hinwegsetzen. Dies sollte auch für einen Geschäftsführer gelten, der dann nur haftbar wäre, wenn er sich über die Weisungen der Gesellschaft, sprich der Gesellschafterversammlung hinwegsetzt.

Auch hinsichtlich eines Datenschutzverstoßes gem. Art. 10 DS-GVO fehlen konkretere Begründungen im Urteil.

Art. 10 DS-GVO ermöglicht die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Vorstrafen nur unter behördlicher Aufsicht. Diese Regelung hat die GmbH bei der Beauftragung des Detektivs nicht berücksichtigt. Somit liegt auch dahingehend ein Datenschutzverstoß vor. Jedoch ist das eine sehr restriktive Auffassung von Art. 10 DS-GVO.

Welchen spürbaren Nachteil der Kläger erlitten haben soll, um einen Schadensersatzanspruch aus Art. 82 DS-GVO geltend zu machen, wird ebenfalls nicht näher ausgeführt.

Fazit

Ein OLG-Urteil hat durchaus eine höhere Aussagekraft als das Urteil eines Amts- oder Landgerichts. Sofern sich weitere Gerichte dieser Auffassung anschließen, könnten künftig Geschäftsführer verschärft persönlich für Datenschutzverstöße haftbar gemacht werden.

Weil aber das Urteil viel Kritik geerntet hat, ist es denkbar, dass in ähnlichen Fällen andere Urteile gesprochen werden.

Gerne halten wir Sie über die weiteren Entwicklungen zur Geschäftsführerhaftung in Zusammenhang mit Datenschutzverstößen auf dem Laufenden.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Empfohlene Beiträge