Verstöße gegen die DSGVO können durch die Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet werden. Um unrechtmäßig datenverarbeitende Unternehmen zu sanktionieren und von Verstößen abzuschrecken, sind in der Vergangenheit Bußgelder bis in den Millionenbereich verhängt worden.
Das OLG Dresden hat in einem Urteil vom 30. November 2021 (4 U 1158/21) entschieden, dass ein GmbH-Geschäftsführer neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO ist und daher für Datenschutzverstöße auch persönlich haftbar gemacht werden kann.
Was war passiert?
In dem der Entscheidung zugrundeliegenden Sachverhalt hatte der Kläger als Autohändler eine Mitgliedschaft bei der beklagten GmbH beantragt. Der Geschäftsführer der GmbH hat daraufhin im Namen der Gesellschaft einen Privatdetektiv beauftragt, etwaige strafrechtlich relevante Sachverhalte über den Kläger in Erfahrung zu bringen. Dies geschah ohne Kenntnis und Einwilligung des Klägers, so dass hierfür kein datenschutzrechtlicher Erlaubnistatbestand vorlag. Nachdem der Privatdetektiv die Gesellschaft über relevante Sachverhalte in Kenntnis gesetzt hatte, wurde der Mitgliedsantrag des Klägers abgelehnt.
Der Kläger hat in der Folge von der Beklagten einen immateriellen DSGVO-Schadensersatz in Höhe von EUR 21.000,00 gefordert. Das Landgericht Dresden hat daraufhin in seiner Entscheidung vom 26. Mai 2021 (8 O 1286/19) dem Kläger Schadensersatz in Höhe von EUR 5.000,00 zugesprochen. Das OLG Dresden hat die Entscheidung des Landgerichts Dresden bestätigt.
Die Entscheidung des OLG Dresden
In der Ausspähung des Klägers durch den beauftragten Privatdetektiv sah das OLG Dresden einen Datenschutzverstoß. Die Erhebung und Verarbeitung der persönlichen Daten des Klägers sei nicht zur Wahrung der berechtigten Interessen der Beklagten im Sinne von Art. 6 Abs. 1 lit. f DSGVO erforderlich gewesen und verstoße zudem gegen Art. 10 DSGVO. Nach Art. 10 DSGVO darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht vorgenommen werden.
Darüber hinaus hat das OLG Dresden den Geschäftsführer neben der GmbH als eigenständigen datenschutzrechtlichen Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO angesehen und in der Folge dessen persönliche Haftung bejaht. Dem Gericht zufolge sei eine Verantwortlichkeit immer dann zu bejahen, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden könne und entscheide. Eine Verantwortlichkeit weisungsgebundener Beschäftigter entfalle hiernach, nicht aber die von Geschäftsführern.
Fazit
Die vom OLG Dresden angeführte Begründung der datenschutzrechtlichen Verantwortlichkeit des Geschäftsführers fällt knapp aus und ist rechtlich angreifbar. Insbesondere hat das Gericht unterstellt, dass Geschäftsführer eigene datenschutzrechtlich Verantwortliche seien, ohne inhaltlich auf die Voraussetzungen von Art. 4 Nr. 7 DSGVO einzugehen. Nach Art. 4 Nr. 7 DSGVO entscheiden datenschutzrechtlich Verantwortliche über die Zwecke und Mittel der Datenverarbeitung; es stellt sich daher die Frage, unter welchen Voraussetzungen Geschäftsführer eigenständig Entscheidungen solcherart treffen. Da GmbH-Geschäftsführer den Weisungen der Gesellschafterversammlung unterliegen, kann dies nicht für jede Fallkonstellation ohne Weiteres unterstellt werden.
Sollten sich weitere Gerichte der Rechtsprechung des OLG Dresden anschließen, hätte dies weitreichende Folgen. Insbesondere könnten zukünftig Geschäftsführer und andere weisungsfrei agierende Mitarbeiter im Rahmen von gerichtlichen Auseinandersetzungen in die persönliche Haftung genommen werden und damit stärker in den Fokus rücken. DSGVO-Auskunftsersuchen und Schadensersatzforderungen sind schon seit Längerem ein probates Mittel von Arbeitnehmervertretern, um im Rahmen von Kündigungsschutzverfahren zusätzlichen Druck auszuüben. Sollte dem Führungspersonal von Unternehmen zukünftig eine persönliche Haftung drohen, könnte die Einigungsbereitschaft der Arbeitgeberseite noch einmal steigen.
