OLG Dresden:
Datenschutzrechtliche Haftung des Geschäftsführers einer GmbH als „Verantwortlicher“
Entscheidung
Aufsehen hat eine neue (rechtskräftige) Entscheidung des OLG Dresden (Urteil vom 30.11.2021, 4 U 1158/21) zu einem Fall im Datenschutzrecht erregt: Der Geschäftsführer einer GmbH wurde neben der Gesellschaft als „Verantwortlicher“ im Sinne der DSGVO persönlich und unmittelbar zum Schadensersatz verpflichtet. Da im veröffentlichten Urteil der Sachverhalt gekürzt worden ist, bleibt offen, aus welchen (möglicherweise qualifizierenden) Gründen der Geschäftsführer zur persönlichen Außenhaftung herangezogen wurde. Das OLG Dresden hat hier eine direkte Durchgriffshaftung festgestellt, sodass GmbH-Geschäftsführer nunmehr grundsätzlich bei datenschutzrechtlichen Verstößen der Gesellschaft persönlich haftbar und schadensersatzpflichtig sein könnten.
Aus der veröffentlichten Urteilsbegründung ist erkennbar, dass der später verurteilte Geschäftsführer (im Namen der Gesellschaft) einen Dritten damit beauftragt hatte, im Rahmen einer Recherche etwaige Vorstrafen des Klägers auszuforschen. Der Kläger hatte zuvor einen Mitgliedschaftsantrag bei der Gesellschaft bzw. einem mit ihr zusammenhängenden Oldtimer-Verein gestellt. Nachdem durch dieses „Ausspähen“ eine strafrechtliche Vorgeschichte des Klägers bekannt wurde, lehnte die Gesellschaft die beantragte Mitgliedschaft ab, woraufhin der Kläger gegenüber beiden Beklagten – also der Gesellschaft und ihrem Geschäftsführer – mit Erfolg immateriellen Schadensersatz wegen einer ungerechtfertigten Datenverarbeitung begehrte. Der Geschäftsführer wurde mit und neben der Gesellschaft zu gesamtschuldnerischer Zahlung von 5.000 Euro Schmerzensgeld verurteilt.
Hintergrund
Das OLG Dresden kommt offenbar zu dem Ergebnis, dass ein Geschäftsführer in Person in der Lage ist, gemeinsam mit der Gesellschaft Mittel und Zwecke von Datenverarbeitungen festzulegen und deswegen als datenschutzrechtlicher Verantwortlicher zu behandeln wäre (Art. 4 Nr. 7 DSGVO). Die Begründung für diese Annahme einer eigenständigen Verantwortlichkeit eines Geschäftsführers, welche immerhin gegen die im deutschen Gesellschaftsrecht als eine der wesentlichen Grundlagen verankerte Organtheorie zu § 31 BGB verstößt, fällt dagegen denkbar knapp aus. Nach Ansicht des OLG Dresden lässt der Wortlaut des Art. 4 Nr. 7 DSGVO zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter entfallen, für Geschäftsführer allerdings nicht. Das OLG Dresden schließt offenbar aus der organschaftlichen Entscheidungsmacht eines Geschäftsführers auf dessen persönliches Verantwortlichsein für seine Entscheidungen, und zwar nicht nur in der Binnenhaftung, sondern eben auch in der Außenhaftung.
Die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen i.S.d. Art. 10 DSGVO führte nach Ansicht des OLG Dresden außerdem zu einem immateriellen Schaden, der die Bagatellschwelle überschreite, da es sich mangels Erforderlichkeit der Datenverarbeitung auch nicht um eine völlig unerhebliche Beeinträchtigung handle. Das Schmerzensgeld sei dabei unter Beachtung der relevanten Faktoren – Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, – in Höhe von 5.000,00 Euro zu bemessen.
Die Rechtsauffassung des OLG Dresden könnte nicht nur haftungsrechtliche Folgen haben, sondern eröffnet den gesamten Anwendungsbereich der DSGVO in Bezug auf die Person des Geschäftsführers. Müsste also der Geschäftsführer als mit der Gesellschaft gemeinsam Verantwortlicher ein entsprechendes Vertragswerk nach Art. 26 DSGVO mit der Gesellschaft abschließen, eigene Datenschutzhinweise publizieren und bei entsprechenden Verarbeitungsvorgängen einen eigenen Datenschutzbeauftragten benennen? Das OLG Dresden bleibt ausschließlich am Wortlaut des Art. 4 Nr. 7 DSGVO haften und berücksichtigt nicht die rechtliche Position eines Organs, welches regelmäßig für die Gesellschaft handelt, und nicht gemeinsam mit ihr.
Praxishinweis
Das Urteil des OLG Dresden hat große Praxisrelevanz: Es ist fraglich, ob Geschäftsführer tatsächlich eigenständig über die datenschutzrechtliche Verarbeitung und deren Zwecke und Mittel entscheiden. Es spricht auch nach der bisherigen Rechtsprechung des BGH mehr dafür, dem Geschäftsführer nur dann eine eigene datenschutzrechtliche Verantwortung zuzuweisen, wenn und soweit er sich mit seinem Verhalten über die Vorgaben hinwegsetzt. Noch wichtiger ist die Abgrenzung zwischen organschaftlichem Handeln und einem Eigeninteresse etwa beim Vorstand der Aktiengesellschaft, denn immerhin hat der Vorstand gemäß § 76 Abs. 1 AktG unter eigener Verantwortung die Gesellschaft zu leiten, aber eben auch nicht auf eigene Rechnung. Das vorliegende Urteil bietet also Anlass, die Grenze zu einer eigenen Verantwortlichkeit von Organmitgliedern zu bewahren und wie in der bisherigen Rechtsprechung erst dann in Richtung Durchgriffshaftung zu überschreiten, wenn Eigeninteressen der Organmitglieder ihr Handeln bestimmten.
Es kann allerdings nicht ausgeschlossen werden, dass der Ansatz des OLG Dresden von anderen Gerichten oder Aufsichtsbehörden aufgegriffen wird. Die Beachtung von datenschutzrechtlichen Vorgaben ist also im Rahmen des unternehmerischen Compliance-Konzepts zu berücksichtigen. Für den Geschäftsführer muss neben Rechtsbereichen wie dem Gesellschaftsrecht oder dem Wettbewerbsrecht eben auch das Datenschutzrecht als Handlungsmaßstab berücksichtigt werden. Die Bedingungen der D&O‑Versicherung sollten mit Blick auf die vom OLG Dresden aufgeworfenen Haftungsfragen kritisch hinterfragt werden.
Hinsichtlich des Anwendungsbereiches des Art. 10 DSGVO vertritt das OLG Dresden einen engen Anwendungsbereich, der etwa die Frage eines Arbeitgebers nach einem polizeilichen Führungszeugnis ausschließen würde.
Ansprechpartner
Alexander Hausner, LL. M.
Rechtsanwalt,
Fachanwalt für Arbeitsrecht,
zert. Datenschutzbeauftragter
Telefon: +49 40 4223 6660-44