Das Oberlandesgericht (OLG) Dresden entschied in seinem Urteil vom 30. November 2021, dass der Geschäftsführer einer GmbH neben der Gesellschaft Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist und demnach als Gesamtschuldner haftet (Az.: 4 U 1158/21).
Der Sachverhalt
Das Oberlandesgericht Dresden hatte über die Haftbarkeit einer GmbH und insbesondere von deren Geschäftsführer zu entscheiden. Der zugrunde liegende Sachverhalt war die Mitgliedsanfrage eines Autohändlers (Kläger) bei einer GmbH. Bevor über diese Mitgliedsanfrage entschieden wurde, beauftragte der Geschäftsführer der beklagten GmbH einen Privatdetektiv, Hintergrundrecherchen zu möglichen strafrechtlich relevanten Handlungen des Autohändlers durchzuführen. Dabei handelte der Geschäftsführer im Namen der beklagten Gesellschaft. Die Recherche des Detektivs kam schließlich zu dem Ergebnis, dass der Kläger tatsächlich in der Vergangenheit an strafrechtlich relevanten Sachverhalten beteiligt war.
In dieser Erhebung von Daten sah der Kläger einen Datenschutzverstoß, der nicht durch Art. 6 Abs. 1 lit f. DSGVO zu rechtfertigen sei sowie einen Verstoß gegen Art. 10 DSGVO. Der Kläger verlangte sowohl von der Gesellschaft als auch von dem Geschäftsführer Schadensersatz in Höhe von 21.000 Euro. Die Beklagte dagegen sah keinen Grund für eine Haftung und ging ebenfalls mit dem Ziel einer Klageabweisung in Berufung.
Der Urteilsspruch
Das Oberlandesgericht sah einen Verstoß gegen die DSGVO als erwiesen an und sprach dem Kläger Schadensersatz in Höhe von 5.000 Euro zu. Näher entschied das Gericht, dass sowohl die GmbH als auch der Geschäftsführer selbst jeweils eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO seien.
Damit bejahte das Gericht einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO, der als Normadressat den Verantwortlichen in die Haftung nimmt. Eine Verantwortlichkeit sei immer dann gegeben, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Neben der rechtswidrigen Datenverarbeitung, eine Rechtsgrundlage liege im gegenwärtigen Fall nicht vor, nahm das Gericht auch einen Verstoß gegen Art. 10 DSGVO an. Denn die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten sei grundsätzlich nur unter behördlicher Aufsicht gestattet.
Datenschutzrechtliche Beurteilung
Damit führt dieses Urteil in der Praxis zu weitreichenden Haftungsrisiken für Geschäftsführer, insbesondere dann, wenn auch andere Gerichte der Auffassung des OLG Dresden folgen. Bejaht man eine eigene Verantwortlichkeit, könnten Geschäftsführer wegen Verstößen – nicht nur bei einem Exzess – gegen das Datenschutzrecht persönlich in Anspruch genommen werden.
Dabei spricht auch einiges für das Gegenteil, nämlich Geschäftsführer als ebenfalls weisungsgebundene Arbeitnehmer zu behandeln, wonach diese regelmäßig nicht in eigener Verantwortlichkeit handeln. Der Geschäftsführer handelt im Grunde immer auch für und im Namen der Gesellschaft und ist der Gesellschafterversammlung gegenüber weisungsgebunden. Die Frage der Verantwortlichkeit ist daher vielmehr eine des konkreten Einzelfalls und darf nicht per se für den Geschäftsführer gelten. Auch hier wird es im Ergebnis darauf ankommen müssen, ob eine eigenmächtig durchgeführte exzessive Verarbeitung durch den Geschäftsführer veranlasst wird, die keinen Geschäftszweck verfolgt. Dagegen wurde vom OLG Dresden ohne eine Einzelfallprüfung die Verantwortlichkeit des Geschäftsführers angenommen.
Die Rechtsfolgenseite kommt bei diesem Urteil zu kurz. Denn folgt man dieser Auffassung, gelten alle Pflichten, die aus der DSGVO für Verantwortliche resultieren, sowohl für das Unternehmen, als auch für den Geschäftsführer in gleicher Weise.
Auch führte dies möglicherweise zu einer gemeinsamen Verantwortlichkeit zwischen dem Unternehmen als juristischer Person und dem Geschäftsführer. Dies kann nicht Absicht des Verordnungsgebers gewesen sein.
Auch der Umstand, dass die beauftragte Sammlung von Hintergrundinformationen keinem privaten Interesse des Geschäftsführers diente, sondern vielmehr in die unternehmerische Sphäre zu verorten ist, kann vorliegend auch keine vom Unternehmen losgelöste datenschutzrechtliche Verantwortlichkeit zur Folge haben.