Und jetzt doch! Geschäftsführer einer GmbH haftet neben der Gesellschaft persönlich für Datenschutzverstöße nach der DSGVO
OLG Dresden 4 U 1158/21
Der Geschäftsführer einer GmbH kann neben der Gesellschaft „Verantwortlicher“ im Sinne des Art. 4 Nr.7 DSGVO sein und damit bei rechtswidriger Datenverarbeitung (auch) persönlich haften. Angesichts der Tragweite dieser Entscheidung überraschen die denkbar kurz gehalten Entscheidungsgründe des OLG Dresden doch sehr.
Sachverhalt: Was ist passiert?
Im Wesentlichen verweist das OLG Dresden auf die Feststellungen der Vorinstanz, welche - und dies ist in der Praxis nicht unüblich - ihr Urteil nicht veröffentlicht hat. In dem Berufungsverfahren, in welchem gleich mehrere Personen vom Kläger verklagt wurden, ist dennoch Folgendes klar:
Der Kläger stellte bei dem Beklagten-Verein einen Antrag auf Aufnahme als Mitglied. Der Beklagten-Verein wies diesen Mitgliedsantrag des Klägers ab, nachdem ein vom Geschäftsführer der Beklagten-GmbH beauftragter Detektiv, strafrechtliche Verfehlungen des Klägers offenlegen konnte. Der Kläger nahm das Vorgehen der Beklagten (Verein u. GmbH) zum Anlass, um von diesen gesamtschuldnerisch (immateriellen) Schadenersatz in Höhe von EUR 21.000 zu fordern. Die Beklagten konnten weder im Ausgangs- noch im Berufungsverfahren einen Erlaubnistatbestand zur Verarbeitung der personenbezogenen Daten im Sinne des Art. 6 DSGVO begründen. Mangels Beteiligung einer behördlichen Stelle wurde in Bezug auf die Verarbeitung der Vorstrafe zudem ein eigenständiger Verstoß gem. Art. 10 DSGVO festgestellt. Das LG Dresden sprach dem Kläger mit Urteil vom 26.05.2021 (Az. 8 O 1286/19) EUR 5.000 zu. Das OLG Dresden schloss sich dieser Entscheidung an.
Keine Erforderlichkeit – keine Rechtfertigung
Die von den Beklagten vorgetragenen Rechtfertigungsgründe blieben auch in der Berufungsinstanz unberücksichtigt, da die Beklagten vor Beauftragung des Detektivs keine „weniger invasiven Alternativen“ gegenüber dem Kläger geprüft bzw. veranlasst haben. Das OLG zählt hierzu insbesondere vor dem Hintergrund, dass der Kläger von sich aus ein Ermittlungsverfahren gegenüber den Beklagten kommuniziert habe, Möglichkeiten wie die einer ergänzenden Selbstauskunft oder einer Aufforderung zur Abgabe eines polizeilichen Führungszeugnisses auf. Auch scheide angesichts des Umstandes, dass die Maßnahmen gegenüber dem Kläger bereits nicht erforderlich gewesen seien, eine Datenverarbeitung auf Grund von berechtigtem Interesse im Sinne des Art. 6 (1) f.) DSGVO aus.
Knackpunkt: Persönliche Haftung des Geschäftsführers auf Schadensersatz nach der DSGVO
In Anbetracht der bisherigen Rechtsprechung und Ansicht der juristischen Fachliteratur urteilte das OLG Dresden sodann allerdings überraschend, dass nicht nur die Beklagte-GmbH „Verantwortliche“ im Sinne des Art. 4 Abs.7 DSGVO sei, sondern auch deren Geschäftsführer, da dieser die Recherche über den Kläger durchführen ließ. Nach Ansicht des OLG sei der Geschäftsführer persönlich verantwortlich, da die datenschutzrechtliche „Verantwortlichkeit“ - die den Anknüpfungspunkt für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO darstellt - immer dann einschlägig sei, sobald eine „natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)“. Eine solche Verantwortlichkeit entfalle zwar in aller Regel bei weisungsgebundenen Angestellten wie Arbeitnehmern und sonstigen Beschäftigten – in der streitgegenständlichen Angelegenheit allerdings nicht für den Geschäftsführer. Eine weitere Begründung blieb aus.
Ausblick und Bewertung
Sollte sich die Einzelfallentscheidung der Dresdner OLG Richter festigen, hätte dies weitreichende Folgen für (zumindest) die Organe von Kapitalgesellschaften. Demnach müssten bspw. Geschäftsführer einer GmbH damit rechnen, wegen rechtswidriger Datenverarbeitung die sie aufgrund ihrer Position und Funktion im Unternehmen meist mitinitiiert haben, persönlich in Anspruch genommen zu werden. Die juristische Literatur hat eine solch persönliche Haftung nach der DSGVO lediglich in Fällen andiskutiert, in welcher sich der Geschäftsführer „im Exzess“ zum Verantwortlichen „aufschwingt“ und die Daten für „eigene Zwecke nutzt“. Hierzu schweigt sich das OLG allerdings insgesamt aus und begründet seine Entscheidung allein auf die formale Organstellung des Geschäftsführers. Auch hinkt der Vergleich des OLGs zum Arbeitnehmervergleich und der einhergehenden Weisungsgebundenheit, da auch der Geschäftsführer zumindest gegenüber der Gesellschafterversammlung weisungsgebunden ist.
Abgrenzung zu andern Haftungstatbeständen und Möglichkeiten der Entlastung
Die vorliegende Entscheidung darf nicht mit Konstellation verwechselt werden, in welchen eine Haftung nicht an den datenschutzrechtlichen „Verantwortlichen“ im Sinne der DSGVO anknüpft, sondern an die Handlung eines „Jedermann“. Hierbei sind insbesondere an die nationalen Straf- und Bußgeldvorschriften gem. §§ 42, 43 aus dem Bundesdatenschutzgesetz (BDSG) sowie dem § 130 aus dem Ordnungswidrigkeitengesetz (OWiG) zu denken.
Beugen Sie auf Gestaltungsebene möglichen Schadenersatzklagen und Regressverfahren auf Gestaltungsebene daher rechtzeitig vor - eine funktionierende Datenschutz-Compliance ist hierfür sowohl im Außen- als auch im Innenverhältnis der entscheidende Entlastungsfaktor.