OLG Dres­den:
Daten­schutz­recht­li­che Haf­tung des Geschäfts­füh­rers einer GmbH als Ver­ant­wort­li­cher“

Ent­schei­dung

Auf­se­hen hat eine neue (rechts­kräf­ti­ge) Ent­schei­dung des OLG Dres­den (Urteil vom 30.11.2021, 4 U 1158/21) zu einem Fall im Daten­schutz­recht erregt: Der Geschäfts­füh­rer einer GmbH wur­de neben der Gesell­schaft als Ver­ant­wort­li­cher“ im Sin­ne der DSGVO per­sön­lich und unmit­tel­bar zum Scha­dens­er­satz ver­pflich­tet. Da im ver­öf­fent­lich­ten Urteil der Sach­ver­halt gekürzt wor­den ist, bleibt offen, aus wel­chen (mög­li­cher­wei­se qua­li­fi­zie­ren­den) Grün­den der Geschäfts­füh­rer zur per­sön­li­chen Außen­haf­tung her­an­ge­zo­gen wur­de. Das OLG Dres­den hat hier eine direk­te Durch­griffs­haf­tung fest­ge­stellt, sodass GmbH-Geschäfts­füh­rer nun­mehr grund­sätz­lich bei daten­schutz­recht­li­chen Ver­stö­ßen der Gesell­schaft per­sön­lich haft­bar und scha­dens­er­satz­pflich­tig sein könnten.

Aus der ver­öf­fent­lich­ten Urteils­be­grün­dung ist erkenn­bar, dass der spä­ter ver­ur­teil­te Geschäfts­füh­rer (im Namen der Gesell­schaft) einen Drit­ten damit beauf­tragt hat­te, im Rah­men einer Recher­che etwa­ige Vor­stra­fen des Klä­gers aus­zu­for­schen. Der Klä­ger hat­te zuvor einen Mit­glied­schafts­an­trag bei der Gesell­schaft bzw. einem mit ihr zusam­men­hän­gen­den Old­ti­mer-Ver­ein gestellt. Nach­dem durch die­ses Aus­spä­hen“ eine straf­recht­li­che Vor­ge­schich­te des Klä­gers bekannt wur­de, lehn­te die Gesell­schaft die bean­trag­te Mit­glied­schaft ab, wor­auf­hin der Klä­ger gegen­über bei­den Beklag­ten – also der Gesell­schaft und ihrem Geschäfts­füh­rer – mit Erfolg imma­te­ri­el­len Scha­dens­er­satz wegen einer unge­recht­fer­tig­ten Daten­ver­ar­bei­tung begehr­te. Der Geschäfts­füh­rer wur­de mit und neben der Gesell­schaft zu gesamt­schuld­ne­ri­scher Zah­lung von 5.000 Euro Schmer­zens­geld verurteilt.


Hin­ter­grund

Das OLG Dres­den kommt offen­bar zu dem Ergeb­nis, dass ein Geschäfts­füh­rer in Per­son in der Lage ist, gemein­sam mit der Gesell­schaft Mit­tel und Zwe­cke von Daten­ver­ar­bei­tun­gen fest­zu­le­gen und des­we­gen als daten­schutz­recht­li­cher Ver­ant­wort­li­cher zu behan­deln wäre (Art. 4 Nr. 7 DSGVO). Die Begrün­dung für die­se Annah­me einer eigen­stän­di­gen Ver­ant­wort­lich­keit eines Geschäfts­füh­rers, wel­che immer­hin gegen die im deut­schen Gesell­schafts­recht als eine der wesent­li­chen Grund­la­gen ver­an­ker­te Organ­theo­rie zu § 31 BGB ver­stößt, fällt dage­gen denk­bar knapp aus. Nach Ansicht des OLG Dres­den lässt der Wort­laut des Art. 4 Nr. 7 DSGVO zwar in aller Regel die Ver­ant­wort­lich­keit wei­sungs­ge­bun­de­ner Ange­stell­ter oder sons­ti­ger Beschäf­tig­ter ent­fal­len, für Geschäfts­füh­rer aller­dings nicht. Das OLG Dres­den schließt offen­bar aus der organ­schaft­li­chen Ent­schei­dungs­macht eines Geschäfts­füh­rers auf des­sen per­sön­li­ches Ver­ant­wort­lich­sein für sei­ne Ent­schei­dun­gen, und zwar nicht nur in der Bin­nen­haf­tung, son­dern eben auch in der Außenhaftung.

Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen i.S.d. Art. 10 DSGVO führ­te nach Ansicht des OLG Dres­den außer­dem zu einem imma­te­ri­el­len Scha­den, der die Baga­tell­schwel­le über­schrei­te, da es sich man­gels Erfor­der­lich­keit der Daten­ver­ar­bei­tung auch nicht um eine völ­lig uner­heb­li­che Beein­träch­ti­gung hand­le. Das Schmer­zens­geld sei dabei unter Beach­tung der rele­van­ten Fak­to­ren – Art, Schwe­re, Dau­er des Ver­sto­ßes, Grad des Ver­schul­dens, – in Höhe von 5.000,00 Euro zu bemessen. 

Die Rechts­auf­fas­sung des OLG Dres­den könn­te nicht nur haf­tungs­recht­li­che Fol­gen haben, son­dern eröff­net den gesam­ten Anwen­dungs­be­reich der DSGVO in Bezug auf die Per­son des Geschäfts­füh­rers. Müss­te also der Geschäfts­füh­rer als mit der Gesell­schaft gemein­sam Ver­ant­wort­li­cher ein ent­spre­chen­des Ver­trags­werk nach Art. 26 DSGVO mit der Gesell­schaft abschlie­ßen, eige­ne Daten­schutz­hin­wei­se publi­zie­ren und bei ent­spre­chen­den Ver­ar­bei­tungs­vor­gän­gen einen eige­nen Daten­schutz­be­auf­trag­ten benen­nen? Das OLG Dres­den bleibt aus­schließ­lich am Wort­laut des Art. 4 Nr. 7 DSGVO haf­ten und berück­sich­tigt nicht die recht­li­che Posi­ti­on eines Organs, wel­ches regel­mä­ßig für die Gesell­schaft han­delt, und nicht gemein­sam mit ihr.


Pra­xis­hin­weis

Das Urteil des OLG Dres­den hat gro­ße Pra­xis­re­le­vanz: Es ist frag­lich, ob Geschäfts­füh­rer tat­säch­lich eigen­stän­dig über die daten­schutz­recht­li­che Ver­ar­bei­tung und deren Zwe­cke und Mit­tel ent­schei­den. Es spricht auch nach der bis­he­ri­gen Recht­spre­chung des BGH mehr dafür, dem Geschäfts­füh­rer nur dann eine eige­ne daten­schutz­recht­li­che Ver­ant­wor­tung zuzu­wei­sen, wenn und soweit er sich mit sei­nem Ver­hal­ten über die Vor­ga­ben hin­weg­setzt. Noch wich­ti­ger ist die Abgren­zung zwi­schen organ­schaft­li­chem Han­deln und einem Eigen­in­ter­es­se etwa beim Vor­stand der Akti­en­ge­sell­schaft, denn immer­hin hat der Vor­stand gemäß § 76 Abs. 1 AktG unter eige­ner Ver­ant­wor­tung die Gesell­schaft zu lei­ten, aber eben auch nicht auf eige­ne Rech­nung. Das vor­lie­gen­de Urteil bie­tet also Anlass, die Gren­ze zu einer eige­nen Ver­ant­wort­lich­keit von Organ­mit­glie­dern zu bewah­ren und wie in der bis­he­ri­gen Recht­spre­chung erst dann in Rich­tung Durch­griffs­haf­tung zu über­schrei­ten, wenn Eigen­in­ter­es­sen der Organ­mit­glie­der ihr Han­deln bestimmten.

Es kann aller­dings nicht aus­ge­schlos­sen wer­den, dass der Ansatz des OLG Dres­den von ande­ren Gerich­ten oder Auf­sichts­be­hör­den auf­ge­grif­fen wird. Die Beach­tung von daten­schutz­recht­li­chen Vor­ga­ben ist also im Rah­men des unter­neh­me­ri­schen Com­pli­ance-Kon­zepts zu berück­sich­ti­gen. Für den Geschäfts­füh­rer muss neben Rechts­be­rei­chen wie dem Gesell­schafts­recht oder dem Wett­be­werbs­recht eben auch das Daten­schutz­recht als Hand­lungs­maß­stab berück­sich­tigt wer­den. Die Bedin­gun­gen der D&O‑Versicherung soll­ten mit Blick auf die vom OLG Dres­den auf­ge­wor­fe­nen Haf­tungs­fra­gen kri­tisch hin­ter­fragt werden.

Hin­sicht­lich des Anwen­dungs­be­rei­ches des Art. 10 DSGVO ver­tritt das OLG Dres­den einen engen Anwen­dungs­be­reich, der etwa die Fra­ge eines Arbeit­ge­bers nach einem poli­zei­li­chen Füh­rungs­zeug­nis aus­schlie­ßen würde.

Ansprechpartner


Alexander Hausner, LL. M.

Rechtsanwalt,
Fachanwalt für Arbeitsrecht,
zert. Datenschutzbeauftragter

Telefon: +49 40 4223 6660-44

Wir verwenden die nachfolgend aufgeführten Cookies, um die Zugriffe auf unsere Website zu analysieren und um die Nutzerfreundlichkeit zu erhöhen. Dadurch erhobene Daten geben wir an unsere Partner für Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Die jeweilige Einwilligung für die Nutzung der Cookies ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.